- 기사
- 07/29/2021
- 6 읽을 분
-
-
+5
에 적용: 윈도우 서버 2022,윈도우 서버 2019,윈도우 서버 2016,윈도우 서버 2012,윈도우 서버 2012
즉,모든 도메인 컨트롤러가 디렉터리 변경을 수락하고 변경 내용을 다른 모든 도메인 컨트롤러에 복제할 수 있습니다. 그러나 스키마 수정과 같은 특정 변경 사항은 다중 마스터 방식으로 수행하기에는 실용적이지 않습니다. 이러한 이유로 작업 마스터라고 하는 특정 도메인 컨트롤러는 특정 변경 사항에 대한 요청을 수락하는 역할을 담당합니다.
참고
작업 마스터 역할 소유자는 활성 디렉터리 데이터베이스에 일부 정보를 쓸 수 있어야 합니다. 읽기 전용 도메인 컨트롤러에 있는 활성 디렉터리 데이터베이스의 읽기 전용 특성 때문에 작업 마스터 역할 보유자 역할을 할 수 없습니다.
각 도메인에 3 개의 작업 마스터 역할(유연한 단일 마스터 작업 또는 단일 마스터 작업이라고도 함)이 있습니다.:
-
주 도메인 컨트롤러 에뮬레이터 작업 마스터는 모든 암호 업데이트를 처리합니다.
-
도메인 컨트롤러에 로컬 리드 풀을 할당하여 도메인에서 만든 모든 보안 주체에 고유 식별자가 있는지 확인합니다.
-
지정된 도메인에 대한 인프라 작업 마스터는 해당 도메인 내의 그룹 구성원인 다른 도메인의 보안 주체 목록을 유지 관리합니다.
세 개의 도메인 수준 작업 마스터 역할 외에도 각 포리스트에 두 개의 작업 마스터 역할이 있습니다:
- 스키마 작업 마스터가 스키마 변경 내용을 제어합니다.
- 도메인 명명 작업 마스터는 포리스트에 도메인 및 기타 디렉터리 파티션(예:도메인 이름 시스템 응용 프로그램 파티션)을 추가 및 제거합니다.
이러한 작업 마스터 역할을 호스팅하는 도메인 컨트롤러를 네트워크 안정성이 높은 영역에 배치합니다.
작업 마스터 역할 소유자는 지정된 도메인의 첫 번째 도메인 컨트롤러가 만들어지면 자동으로 할당됩니다. 두 개의 포리스트 수준 역할(스키마 마스터 및 도메인 명명 마스터)은 포리스트에서 만든 첫 번째 도메인 컨트롤러에 할당됩니다. 또한 도메인에서 만든 첫 번째 도메인 컨트롤러에 세 가지 도메인 수준 역할(제거 마스터,인프라 마스터 및 에뮬레이터)이 할당됩니다.
참고
자동 작업 마스터 역할 보유자 할당은 새 도메인이 만들어지고 현재 역할 보유자가 강등될 때만 수행됩니다. 역할 소유자에 대한 다른 모든 변경 사항은 관리자가 시작해야 합니다.
이러한 자동 작업 마스터 역할 할당 포리스트 또는 도메인에서 만든 첫 번째 도메인 컨트롤러에서 매우 높은 사용량을 발생할 수 있습니다. 이를 방지하려면 작업 마스터 역할을 포리스트 또는 도메인의 다양한 도메인 컨트롤러에 할당(전송)하십시오. 작업 마스터 역할을 호스팅하는 도메인 컨트롤러를 네트워크가 신뢰할 수 있고 포리스트의 다른 모든 도메인 컨트롤러에서 작업 마스터에 액세스할 수 있는 영역에 배치합니다.
또한 모든 작업 마스터 역할에 대해 대기(대체)작업 마스터를 지정해야 합니다. 대기 작업 마스터는 원래 역할 소유자가 실패할 경우 작업 마스터 역할을 전송할 수 있는 도메인 컨트롤러입니다. 대기 작업 마스터가 실제 작업 마스터의 직접 복제 파트너인지 확인합니다.
에뮬레이터 배치 계획
에뮬레이터는 클라이언트 암호 변경을 처리합니다. 포리스트의 각 도메인에서 하나의 도메인 컨트롤러만 에뮬레이터 역할을 합니다.모든 도메인 컨트롤러가 윈도우 2000,윈도우 서버 2003 및 윈도우 서버 2008 로 업그레이드되고 도메인이 윈도우 2000 네이티브 기능 수준에서 작동하더라도,에뮬레이터는 도메인의 다른 도메인 컨트롤러에 의해 수행된 암호 변경의 우선적 복제를 수신한다. 암호가 최근에 변경된 경우 해당 변경 사항은 도메인의 모든 도메인 컨트롤러에 복제하는 데 시간이 걸립니다. 암호가 잘못되어 다른 도메인 컨트롤러에서 로그온 인증이 실패하면 해당 도메인 컨트롤러는 인증 요청을 에뮬레이터로 전달하여 로그온 시도를 수락할지 거부할지 여부를 결정합니다.
필요한 경우 암호 전달 작업을 위해 해당 도메인의 많은 사용자가 포함된 위치에 에뮬레이터를 배치합니다. 또한 복제 대기 시간을 최소화하기 위해 위치가 다른 위치에 잘 연결되어 있는지 확인합니다.
각 위치에 표시되는 각 도메인에 대한 사용자 수와 에뮬레이터를 배치할 위치에 대한 정보를 문서화하는 데 도움이 되는 워크시트를 참조하십시오.도메인 컨트롤러 배치에 대한 자세한 내용은
지역 도메인을 배포할 때 에뮬레이터를 배치해야 하는 위치에 대한 정보를 참조해야 합니다. 지역 도메인 배포에 대한 자세한 내용은 지역 도메인 배포를 참조하십시오.
인프라 마스터 배치 요구 사항
인프라 마스터는 자체 도메인의 그룹에 추가된 다른 도메인의 보안 주체 이름을 업데이트합니다. 예를 들어 한 도메인의 사용자가 두 번째 도메인의 그룹 구성원이고 첫 번째 도메인에서 사용자 이름이 변경된 경우 두 번째 도메인은 사용자 이름이 그룹의 구성원 목록에서 업데이트되어야 한다는 알림을 받지 않습니다. 한 도메인의 도메인 컨트롤러는 보안 주체를 다른 도메인의 도메인 컨트롤러에 복제하지 않으므로 두 번째 도메인은 인프라 마스터가 없을 때 변경 내용을 인식하지 못합니다.
인프라 마스터는 다른 도메인의 보안 주체를 찾아 그룹 구성원을 지속적으로 모니터링합니다. 이를 찾으면 보안 주체의 도메인을 확인하여 정보가 업데이트되었는지 확인합니다. 정보가 오래된 경우 인프라 마스터는 업데이트를 수행한 다음 해당 도메인의 다른 도메인 컨트롤러로 변경 내용을 복제합니다.
이 규칙에는 두 가지 예외가 적용됩니다. 첫째,모든 도메인 컨트롤러가 글로벌 카탈로그 서버인 경우 글로벌 카탈로그가 속한 도메인에 관계없이 업데이트된 정보를 복제하므로 인프라 마스터 역할을 호스팅하는 도메인 컨트롤러가 중요하지 않습니다. 둘째,포리스트에 도메인이 하나만 있는 경우 다른 도메인의 보안 주체가 없기 때문에 인프라 마스터 역할을 호스팅하는 도메인 컨트롤러가 중요하지 않습니다.
글로벌 카탈로그 서버인 도메인 컨트롤러에 인프라 마스터를 배치하지 마십시오. 인프라 마스터와 글로벌 카탈로그가 동일한 도메인 컨트롤러에 있는 경우 인프라 마스터가 작동하지 않습니다. 따라서 도메인의 다른 도메인 컨트롤러에 변경 내용을 복제하지 않습니다.
작업 마스터 배치 연결이 제한된 네트워크의 경우
환경에 작업 마스터 역할 소유자를 배치할 수 있는 중앙 위치 또는 허브 사이트가 있는 경우 해당 작업 마스터 역할 소유자의 가용성에 의존하는 특정 도메인 컨트롤러 작업이 영향을 받을 수 있습니다.네트워크 연결은 사이트 링크의 네트워크 연결을 정확하게 미러링합니다. 이 예제에서는 모든 작업 마스터 역할이 사이트에 배치되며 모든 사이트 링크를 연결하는 옵션이 선택되어 있지 않습니다.
이 구성으로 인해 모든 사이트 간에 복제가 성공적으로 수행되지만 작업 마스터 역할 함수에는 다음과 같은 제한이 있습니다:
- 암호를 업데이트하거나 최근에 업데이트된 암호를 확인하기 위해 이 에뮬레이터에 액세스할 수 없습니다.활성 디렉터리 설치 후 초기 제거 풀을 가져오고 제거 풀이 고갈되면 새로 고치려면 제거 마스터에 액세스할 수 없습니다.
- 사이트의 도메인 컨트롤러는 디렉터리,사용자 지정 응용 프로그램 파티션을 추가하거나 제거할 수 없습니다.
- 사이트의 도메인 컨트롤러는 스키마를 변경할 수 없습니다.
작업 마스터 역할 배치를 계획하는 데 도움이 되는 워크시트는 다음을 참조하십시오.도메인 컨트롤러 배치에 대한 자세한 내용은
포리스트 루트 도메인 및 지역 도메인을 만들 때 이 정보를 참조해야 합니다. 포리스트 루트 도메인 배포에 대한 자세한 내용은 포리스트 루트 도메인 배포를 참조하십시오. 지역 도메인 배포에 대한 자세한 내용은 지역 도메인 배포를 참조하십시오.
역할 배치에 대한 추가 정보는 지원 항목에서 찾을 수 있습니다.