[문의내용]
Windows 2000 이상의 도메인은 더이상 NT 4.0에서의 PDC (Primary Domain Controller), BDC (Backup Domain Controller)로 구분되지 않고 단지 DC라고 표현을 하더군요.
그러나 막상 확인해 보니 첫번째 설치된 DC가 많은 역할을 하게 되는 것을 알게 되었습니다.
정확한 차이가 뭔가요.
또한 작업마스터 FSMO라는게 있어 실제 나뉘게 되더군요.
FSMO의 정확한 의미는 어떻게 되는지
[문의답변]
고객들이 가장 많이 물어보는 질문이고 가장 이해 시키기 어렵기도 하더군요.
그래서 정리해 봤습니다.
Windows 2000에서 부터는 더이상 PDC, BDC 라는 용어를 안 쓰죠.
NT 4.0에서는 PDC에서만 계정을 만들고 수정 할 수 있고 BDC에서는 단지 로그온만 처리하는 서버 입니다.
즉 PDC에서 모든 만들고 수정하는 작업을 수행하죠.
이러한 구성을 Single Master라고 합니다.
즉 PDC 에서 BDC로 단방향 복제를 하게 되어 있죠.
Windows 2000 부터는 양방향 복제로 바뀝니다.
많은 분들이 여기서 혼동이 옵니다.
위의 그림대로라면 모든 DC에서 계정을 만들 수 있고 어느 DC가 문제가 되더라도 동일한 역할을 하는거 아니냐는 거죠
그러나 여기서 알아 두어야 할 것이 있습니다.
바로 작업마스터(FSMO)에 대한 내용이죠. NT 4.0의 PDC 역할을 하는 DC를 예기 합니다.
총 5가지 Role이 있죠.
도메인을 설치하게 되면 처음 설치된 DC가 해당 되는 Role을 가지고 가게 되죠.
포리스트나 도메인에 반드시 한대만 가지고 있어야 하는 Role이라고 보면 정확 합니다.
아래 사이트에 자세히 나와 있네요..
참고로 Windows 2008 에서는 RODC라는 Read Only Domain Controller 가 나왔네요.
제 동영상 강좌를 확인해 보면 알 수 있을 듯.. ㅋㅋ (BDC의 확장판 이죠)
작업 마스터 역할
포리스트 차원의 작업 마스터 역할
모든 포리스트에는 다음과 같은 역할이 있어야 합니다,
|
• |
스키마 마스터 |
|
• |
도메인 명명 마스터 |
이러한 역할은 포리스트에서 고유성을 유지해야 합니다. 이는 전체 포리스트에 걸쳐 스키마 마스터 및 도메인 명명 마스터가 각각 하나씩만 존재할 수 있다는 뜻입니다,
스키마 마스터 도메인 컨트롤러는 스키마에 대한 모든 업데이트와 변경 내용을 제어합니다. 포리스트의 스키마를 업데이트하려면 스키마 마스터에 액세스할 수 있어야 합니다. 전체 포리스트에 걸쳐 스키마 마스터가 하나만 존재할 수 있습니다.
도메인 명명 마스터 역할을 맡은 도메인 컨트롤러는 포리스트에 도메인을 추가하거나 제거하는 것을 제어합니다. 전체 포리스트에 걸쳐 도메인 명명 마스터가 하나만 존재할 수 있습니다.
참고
|
• |
Windows Server 2003을 실행하는 모든 도메인 컨트롤러는 도메인 명명 마스터의 역할을 수행할 수 있습니다. 도메인 명명 마스터의 역할을 수행하는 Windows 2000 서버를 실행하는 도메인 컨트롤러를 글로벌 카탈로그 서버로 사용할 수 있어야 합니다. |
포리스트의 모든 도메인에는 다음과 같은 역할이 있어야 합니다.
|
• |
RID(상대 ID) 마스터 |
|
• |
PDC(주 도메인 컨트롤러) 에뮬레이터 마스터 |
|
• |
인프라 마스터 |
이러한 역할은 각 도메인에서 고유성을 유지해야 합니다. 이는 포리스트에 있는 각 도메인이 RID 마스터, PDC 에뮬레이터 마스터 및 인프라 마스터를 각각 하나씩만 가질 수 있다는 뜻입니다.
RID 마스터는 일련의 RID(상대 ID)를 자기 도메인에 있는 각 도메인 컨트롤러에 할당합니다, 포리스트의 각 도메인에서 RID 마스터로 작동하는 도메인 컨트롤러는 언제나 하나만 존재할 수 있습니다.
도메인 컨트롤러가 사용자, 그룹 또는 컴퓨터 개체를 만들 때마다 개체에 고유 SID(보안 식별자)를 할당합니다. SID는 해당 도메인에서 만들어진 모든 SID에 동일한 도메인 SID와 해당 도메인에서 만들어진 각 SID에 고유한 RID로 구성됩니다.
Movetree.exe를 사용하여 도메인 간에 개체를 이동하려면 현재 개체를 포함하고 있는 도메인의 RID 마스터로 작동하는 도메인 컨트롤러에서 이동을 시작해야 합니다,
도메인에 Windows 2000 또는 Windows XP Professional 클라이언트 소프트웨어 없이 작동하는 컴퓨터가 있거나 Windows NT BDC(백업 도메인 컨트롤러)가 있는 경우에는 PDC 에뮬레이터 마스터가 Windows NT 주 도메인 컨트롤러로 작동합니다. PDC 에뮬레이터는 클라이언트의 암호 변경을 처리하고 BDC에 업데이트를 복제합니다. 포리스트의 각 도메인에서 PDC 에뮬레이터 마스터로 작동하는 도메인 컨트롤러는 언제나 하나만 존재할 수 있습니다.
기본적으로 PDC 에뮬레이터 마스터는 도메인 전체의 모든 도메인 컨트롤러에서 시간을 동기화하는 역할도 맡고 있습니다. 도메인의 PDC 에뮬레이터는 자신의 시간을 부모 도메인에 있는 임의 도메인 컨트롤러의 시간으로 설정합니다. 부모 도메인에 있는 PDC 에뮬레이터는 외부 시간 원본과 동기화되도록 구성해야 합니다. "net time" 명령을 다음 구문과 함께 실행하면 PDC 에뮬레이터의 시간을 외부 서버와 동기화할 수 있습니다.
net time \\ServerName/setsntp:TimeSource
마지막에는 전체 포리스트에서 Windows Server 2003 또는 Windows 2000을 실행하는 모든 컴퓨터의 시간이 몇 초만 차이가 납니다.
PDC 에뮬레이터는 도메인에 있는 다른 도메인 컨트롤러가 변경한 암호를 우선적으로 전달받습니다. 최근에 암호가 변경된 경우 어느 정도 시간이 지나야 도메인의 모든 도메인 컨트롤러에 변경 내용이 복제됩니다. 잘못된 암호 때문에 다른 도메인 컨트롤러에서 로그온 인증이 실패하는 경우 도메인 컨트롤러는 로그온을 거부하기 전에 PDC 에뮬레이터에 인증 요청을 전달합니다.
PDC 에뮬레이터 역할을 갖도록 구성된 도메인 컨트롤러는 다음 두 가지 인증 프로토콜을 지원합니다.
|
• |
Kerberos V5 프로토콜 |
|
• |
NTLM 프로토콜 |
각 도메인에서 인프라 마스터로 작동하는 도메인 컨트롤러는 언제나 하나만 존재할 수 있습니다. 인프라 마스터는 자기 도메인에 있는 개체의 조회를 다른 도메인에 있는 개체로 업데이트하는 역할을 합니다. 인프라 마스터는 자신이 가지고 있는 데이터와 글로벌 카탈로그의 데이터를 비교합니다. 모든 도메인에 있는 개체의 업데이트가 복제를 통해 글로벌 카탈로그에 주기적으로 전달되기 때문에 글로벌 카탈로그 데이터는 언제나 최신 상태를 유지합니다. 인프라 마스터는 오래된 데이터를 발견하면 글로벌 카탈로그에 업데이트된 데이터를 요청합니다. 그런 다음 업데이트된 데이터를 도메인에 있는 다른 도메인 컨트롤러로 복제합니다.
중요
|
• |
도메인에 도메인 컨트롤러가 두 개 이상 있는 경우 글로벌 카탈로그를 호스팅하는 도메인 컨트롤러에 인프라 마스터 역할을 할당하면 안 됩니다. 인프라 마스터와 글로벌 카탈로그가 같은 도메인 컨트롤러에 있으면 인프라 마스터가 작동하지 않습니다. 인프라 마스터가 오래된 데이터를 찾지 못하기 때문에 도메인에 있는 다른 도메인 컨트롤러에 변경 내용이 결코 복제되지 않습니다. 도메인에 있는 모든 도메인 컨트롤러가 글로벌 카탈로그도 호스팅하는 경우 모든 도메인 컨트롤러가 최신 데이터를 유지하며 어떠한 도메인 컨트롤러가 인프라 마스터 역할을 수행하든 관계없습니다. |
인프라 마스터는 그룹의 구성원이 변경되거나 이름이 바뀔 때마다 그룹과 사용자 간 조회를 업데이트하는 역할도 담당합니다. 이동하거나 이름을 바꾼 그룹 구성원이 작업 중인 그룹의 도메인이 아닌 다른 도메인에 속해 있는 경우 그룹에는 일시적으로 구성원이 없는 것으로 표시됩니다. 그룹이 속해 있는 도메인의 인프라 마스터는 구성원의 새 이름이나 위치를 알 수 있도록 그룹을 업데이트해야 합니다. 따라서 사용자 계정의 이름을 바꾸거나 이동하더라도 이 사용자 계정과 관련된 그룹 구성원 자격이 손실되지 않습니다. 인프라 마스터는 멀티마스터 복제를 통해 업데이트를 배포합니다.
구성원의 이름을 바꾸고 그룹을 업데이트하는 동안 보안에는 어떠한 영향도 미치지 않습니다. 해당 그룹 구성원을 모니터링하는 관리자만 일시적으로 일치하지 않는 문제를 인식할 수 있습니다.
작업 마스터 역할을 이전하는 방법에 대한 자세한 내용은 작업 마스터 역할 이전을 참조하십시오. 작업 마스터가 실패했을 때 수행할 수 있는 작업에 대한 자세한 내용은 작업 마스터 오류 응답을 참조하십시오.
댓글