윈도우 서버 2022 / Active Directory / FSMO
FSMO
FSMO(Flexible Single Master Operation)는 Active Directory 환경에서 중요한 역할을 하는 특별한 운영 역할을 의미합니다. AD는 일반적으로 다중 마스터 복제 모델을 사용하여 모든 도메인 컨트롤러(DC)가 쓰기 작업을 수행할 수 있습니다. 그러나 특정 작업들은 단일 마스터 작업으로만 처리될 수 있으며, 이러한 작업을 담당하는 것이 FSMO입니다.
FSMO 역할 종류
Schema Master(스키마 마스터)
- AD 스키마의 수정 작업을 담당합니다.
- 스키마는 AD 내의 객체와 속성을 정의하는 구조입니다.
- 스키마 수정은 AD 내에서 한 번에 하나의 DC만 수행할 수 있으므로, 스키마 마스터가 이 작업을 담당합니다.
- 이 역할은 포리스트에 하나만 존재합니다.
Domain Naming Master(도메인 명명 마스터)
- 포리스트 내에서 새로운 도메인을 추가하거나 기존 도메인을 제거하는 작업을 담당합니다.
- 새로운 도메인을 추가할 때 도메인 네이밍 마스터가 이 작업을 수행하며, 포리스트 내에 하나만 존재합니다.
RID Master(RID 마스터)
- Relative Identifier(RID) 풀을 관리합니다.
- RID는 도메인 내에서 각 객체가 고유한 식별자를 가질 수 있도록 합니다.
- 도메인 컨트롤러가 새로운 객체를 생성할 때마다 RID를 사용하여 고유 식별자를 생성하는데, RID 마스터는 각 DC에 할당된 RID 풀을 관리합니다.
- 도메인당 하나의 RID 마스터가 존재합니다.
PDC Emulator(PDC 에뮬레이터)
- 구형 Windows NT PDC(Primary Domain Controller)를 에뮬레이션하여 하위 호환성을 제공합니다.
- 암호 변경 및 잠금과 같은 중요한 작업을 담당하며, 도메인 컨트롤러와의 동기화 작업도 수행합니다.
- 특히 암호 인증과 관련된 작업을 우선 처리하고, 사용자 또는 컴퓨터 계정 비밀번호가 변경되었을 때 이를 동기화하는 역할을 합니다.
- 그룹 정책 변경 사항을 처리하고, 타임 소스 역할도 담당합니다.
Infrastructure Master(인프라 마스터)
- 도메인 간 참조 객체를 관리합니다.
- 도메인 간 객체 참조(예: 다른 도메인의 그룹 멤버십 변경)를 처리하고, 이러한 참조가 정확하게 동기화되도록 합니다.
- 도메인당 하나의 인프라스트럭처 마스터가 존재합니다.
FSMO 역할 서버 확인하기
- 다음과 같이 명령하여 FSMO 역할 서버를 확인할 수 있습니다.
netdom query fsmo
C:\Users\Administrator>netdom query fsmo 스키마 마스터 MF-AD-01.mf.ad 도메인 명명 마스터 MF-AD-01.mf.ad PDC MF-AD-01.mf.ad RID 풀 관리자 MF-AD-01.mf.ad 인프라 마스터 MF-AD-01.mf.ad 명령을 완료했습니다.
FSMO 역할 서버 변경하기
GUI로 변경하기
스키마 마스터
- 다음과 같이 명령합니다.
regsvr32 schmmgmt.dll
- [확인]을 클릭합니다.
- mmc를 실행합니다.
- [파일 - 스냅인 추가/제거]를 실행합니다.
- [Active Directory 스키마]를 추가합니다.
- 마우스 우클릭 후 [Active Directory 도메인 컨트롤러 변경]을 클릭합니다.
- 변경하려는 DC를 선택합니다.
- 마우스 우클릭 후 [작업 마스터]를 클릭합니다.
- [변경]을 클릭합니다.
도메인 명명 마스터
- [Active Directory 도메인 및 트러스트]를 실행합니다.
- 마우스 우클릭 후 [Active Directory 도메인 컨트롤러 변경]을 클릭하고 DC를 선택합니다.
- 마우스 우클릭 후 [작업 마스터]를 클릭하고, 역할을 변경합니다.
RID, PDC, 인프라
- [Active Directory 사용자 및 컴퓨터]를 실행합니다.
- 마우스 우클릭 후 [도메인 컨트롤러 변경]을 실행하여 DC를 선택합니다.
- 마우스 우클릭 후 [작업 마스터]를 실행한 후 역할을 변경합니다.
명령어로 변경하기
FSMO를 MF-AD-02로 변경한다고 하면, CMD에서 다음과 같이 진행한다.
ntdsutil ntdsutil: roles fsmo maintenance: connections server connections: connect to server mf-ad-02 server connections: quit fsmo maintenance: transfer infrastructure master fsmo maintenance: transfer naming master fsmo maintenance: transfer pdc fsmo maintenance: transfer rid master fsmo maintenance: transfer schema master
윈도우 서버 2022 / Active Directory / 그룹 정책 / 파일 배포
그룹 정책으로 파일을 배포할 수 있습니다. 파일 배포는 컴퓨터 구성, 사용자 구성 두 가지로 모두 가능합니다. 컴퓨터에 파일을 배포한다면 컴퓨터 구성을, 사용자에 파일을 배포한다면 사용자 구성을 사용합니다.
윈도우 서버 2022 / Active Directory / 사용자가 특정 컴퓨터에만 로그온 할 수 있도록 설정하는 방법
도메인 사용자는 도메인에 등록된 모든 컴퓨터에 로그온 할 수 있습니다. 내가 사용하는 컴퓨터가 아니더라도 도메인에 등록된 기기라면 내 계정으로 로그온 할 수 있죠. 만약 사용자가 지정된 컴퓨터에만 로그온 할 수 있도록 하려면, 다음과 같이 합니다. 사용자 계정을 속성을 엽니다. 탭으로 이동합니다. 을 클릭합니다. 를 선택한 다음, 로그온 가능한 컴퓨터 이름을 추가합니다. 이제 사용자가 ...
윈도우 서버 2022 / Active Directory / 그룹 정책 / 바탕 화면 배경 이미지
Active Directory의 그룹 정책을 사용하여 도메인 내 사용자들의 바탕 화면 배경 이미지를 설정할 수 있습니다. 이 방법을 통해 조직의 일관된 이미지를 유지하거나 보안 관련 공지를 표시하는 데 유용합니다. 그룹 정책을 통해 특정 배경 이미지를 강제로 적용할 수 있으며, 사용자가 이 설정을 변경하지 못하도록 할 수도 있습니다.
윈도우 서버 2022 / 원격 데스크톱 서비스 역할 추가하고 라이선스 등록하는 방법
윈도우 서버를 원격으로 관리할 때 보통 원격 데스크톱으로 접속한다. 동시 접속 가능 세션은 2개로, 그 수가 넘어가면 기존 연결을 끊어야 한다. 만약 3개 이상의 세션을 허용하고 싶다면 Remote Desktop Services Connections 라이선스를 구입하고, 서버에 역할을 추가하고, 라이선스를 등록해야 한다. 그 과정은 다음과 같다. Remote Desktop Services Connections 라이선스는 사용자 단위와 장치 단위가 ...
윈도우 서버 2022 / IIS / 기본 문서 변경하는 방법
파일을 지정하지 않고 도메인에 접속했을 때, 자동으로 보여질 페이지를 정할 수 있다. 이를 IIS에서는 기본 문서라고 한다. IIS 관리자를 실행하고 를 더블 클릭한다. 미리 정의된 기본 문서 목록이 나오는데, 순서대로 적용된다. 즉, Defalut.htm을 찾고, 만약 없다면 Default.asp 찾는다. 찾는 순서를 변경하고 싶다면, 파일을 선택하고 위로 또는 아래로 이동시킨다. 다른 이름의 파일을 보여주고 싶다면 ...
윈도우 서버 2022 / Active Directory / 도메인에 가입(조인)하는 방법, 탈퇴하는 방법
컴퓨터를 도메인에 가입하는 방법, 탈퇴하는 방법은 다음과 같다. 윈도우 서버라면 방법 2로 가입한다. 가정 도메인은 MF.AD, NetBIOS는 MF이다. 도메인 사용자는 ggn@mf.ad이다. 가입(조인)하는 방법 DNS 설정 가입하려는 컴퓨터의 DNS를 도메인 컨트롤러의 IP로 설정한다. 방법 1 sysdm.cpl을 실행하여 시스템 속성을 연다. 를 클릭한다. 를 선택한다. 을 클릭한다. 를 선택한다. 을 클릭한다. 사용자와 컴퓨터 ...
윈도우 서버 2022 / Active Directory / 메모
AD 계정에 로그인할 수 없음 AD 조인 후 AD 계정을 로그인할 때 '계정에 로그인할 수 없음'이라는 창이 뜬다면, 레지스트리의 아래 경로에서 문제가 있는 프로필 폴더를 삭제하고 다시 로그인한다. 보통 첫 로그인 때 발생하는 문제 같은데, 생성한 파일 등이 있으면 백업하고 진행한다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList 복제 관련 명령어 복제 상태 요약 repadmin /replsummary 마지막 복제 상태 repadmin /showrepl 즉시 복제 repadmin /syncall ...
윈도우 서버 2022 / Active Directory / 사용자 관리 / PowerShell
사용자 만들기 다음의 특성을 갖는 사용자를 만든다. DN : CN=가 다라,OU=OU-01,DC=mf,DC=ad 성 : 가 이름 : 다라 표시 이름 : 가 다라 SAM account name : gdr UPN : gdr@mf.ad 비밀번호 : 1234qwer!@#$ dsadd user 'cn=가 다라,ou=OU-01,dc=mf,dc=ad' -fn 다라 -ln 가 -display '가 다라' -samid gdr -upn gdr@mf.ad -pwd 1234qwer!@#$ 참고 자료 Dsadd user | Microsoft Learn 사용자 수정하기 사용자 삭제하기 SAM account name이 ...
윈도우 서버 2022 / Hyper-V / 기능 추가하는 방법
Hyper-V는 Windows Server에 포함된 가상화 솔루션입니다. 윈도우 서버 설치 시 자동으로 활성화되지 않으므로, 사용을 위해서는 기능을 추가해주어야 합니다. 기능 추가하는 방법은 다음과 같습니다. 서버 관리자에서 를 클릭합니다. 을 클릭합니다. 을 클릭합니다. 을 클릭합니다. 에 체크하면... 다음과 같은 창이 나옵니다. 를 클릭합니다. 을 ...
윈도우 서버 2022 / IIS / 인터넷 정보 서비스 기능 추가하는 방법
를 클릭한다. 에 체크한다. 를 클릭한다. 을 클릭한다. 을 클릭한다. 을 클릭한다. 역할을 적절히 선택한 후 을 클릭한다. 를 클릭하고... 잠시 기다리면... 기능 추가가 완료된다. 서버 IP 또는 127.0.0.1 또는 localhost로 접속했을 때 아래와 같이 나오면 정상적으로 작동하는 것이다.