Active Directory_FSMO의 역할 및 역할 전송 방법

FSMO

(Flexible Single Master Operations)

작업 마스터 역할을 하는 DC를 지정하고 위임하는 역할을 하는 모델

 

FSMO의 5가지 역할

1. Schema Master- AD의 모든 개체들의 속성을 정의한 데이터베이스- 포리스트 전체에 사용되며 각 포리스트마다 있음

2. Domain Naming Master

- 도메인 이름을 관리하는 역할을 하는 서버

- 작동 불가시 포리스트에 새로운 도메인 추가하는 작업 불가

- 포리스트 전체에 사용되며 각 포리스트마다 있음

3. PDC Emulator

- 각종 변경사항이 저장되는 위치

- 도메인 전체에 사용되며 각 도메인마다 있음

4. RID Master

- AD에 생성된 개체의 SID(Security Identify)를 관리- 도메인 전체에 사용되며 각 도메인마다 있음

5. Infrastructure Master

- 디렉토리 내의 개체 정보와 GC의 정보를 비교하여 개체 정보를 업데이트

- 도메인 전체에 사용되며 각 도메인마다 있음

 

Active Directory 도메인 서비스를 설치할 때(dcpromo.exe)포리스트 루트 도메인의 첫 번째 DC에 5개의 FSMO역할이 모두 할당된다.

 

FSMO의 역할은 매우 중요하기 때문에현재 역할 소유자에서 작동 오류가 발생하여 FSMO 작업이 정상적으로 수행되지 않을 경우 dcpromo /forceremoval 명령어를 사용하여 FSMO 역할을 소유한 DC를 강제로 내린 경우FSMO 역할을 소유했던 컴퓨터의 운영체제가 없거나 다시 설치된 경우 이와 같은 상황들을 대비하여 다른 DC로 FSMO역할을 미리 넘겨주는 것이 좋다.

 

FSMO 역할을 전송하는 방법엔 2가지가 있다.

 

1. GUI환경에서의 역할 전송

2. Ntdsutil 유틸리티를 사용하여 역할 전송

 

참고로 ntdsutil 사용하여 seize 명령어로 바꿔주는 것은 기존의 정보는 안넘어가기 때문에

미리 GUI환경에서 전송해놓는 것이 좋다.

 

1. GUI 환경

 

현재 W2k8-1 서버가 포리스트 루트 도메인의 첫 번째 DC이므로

W2k8-1에 FSMO역할이 모두 할당된 상태이다.

 

netdom query fsmo 명령어로 확인 가능.

 

먼저 도메인 영역에 있는 PDC, RID 풀 관리자, 인프라 마스터 이 3가지를 2번 서버로 전송해보자.

첫 번째 서버에서 Active Directory 사용자 및 컴퓨터 > 도메인 컨트롤러 변경

 

현재 디렉터리 서버는 W2k8-1 이며, 변경할 서버인 W2k8-2 를 선택.

 

변경이 되었다면, 작업 마스터 클릭.

 

상단에 RID, PDC, 인프라 3개 모두 W2k8-2서버로 변경해준다.

 

다시 확인을 해보면 밑의 3가지가 변경된 것을 볼 수 있다.

 

도메인 명명 마스터는

첫 번째 서버의 Active Directory 도메인 및 트러스트에서 위와 마찬가지 방법으로 변경 가능하다.

 

스키마 마스터는 실행창에서 mmc 실행 후

Active Directory 스키마에서 똑같이 변경해주면 된다.

만약 Active Directory 스키마가 안보인다면 명령 프롬프트에서 regsvr32 schmmgmt.dll 입력해주면 나타난다.

 

https://hy2on.tistory.com/43?category=717906 참고.

 

모두 완료했다면 5가지 역할이 모두 W2k8-2서버로 전송된다.

 

2. Ntdsutil

 

W2k8-2로 넘어간 역할을 다시 ntdsutil을 사용하여 W2k8-1로 옮겨보자.

 

명령어를 잘 모를 때 ? 를 치면 친절히 알려준다. 

 

역할에 관한 부분을 설정할 것이므로 roles 입력.

 

W2k8-1서버로 역할을 전송할 것이기 때문에 W2k8-1로 연결.

성공적으로 연결이 되었다고 뜨면 quit로 하나 빠져 나온다.

 

seize ~ 명령어를 차례로 입력해주면

 

다시 W2k8-1서버에 역할이 잘 할당되어 있다.