윈도우 서버 2022 / Active Directory / FSMO

FSMO

FSMO(Flexible Single Master Operation)는 Active Directory 환경에서 중요한 역할을 하는 특별한 운영 역할을 의미합니다. AD는 일반적으로 다중 마스터 복제 모델을 사용하여 모든 도메인 컨트롤러(DC)가 쓰기 작업을 수행할 수 있습니다. 그러나 특정 작업들은 단일 마스터 작업으로만 처리될 수 있으며, 이러한 작업을 담당하는 것이 FSMO입니다.

FSMO 역할 종류

Schema Master(스키마 마스터)

• AD 스키마의 수정 작업을 담당합니다.
• 스키마는 AD 내의 객체와 속성을 정의하는 구조입니다.
• 스키마 수정은 AD 내에서 한 번에 하나의 DC만 수행할 수 있으므로, 스키마 마스터가 이 작업을 담당합니다.
• 이 역할은 포리스트에 하나만 존재합니다.

Domain Naming Master(도메인 명명 마스터)

• 포리스트 내에서 새로운 도메인을 추가하거나 기존 도메인을 제거하는 작업을 담당합니다.
• 새로운 도메인을 추가할 때 도메인 네이밍 마스터가 이 작업을 수행하며, 포리스트 내에 하나만 존재합니다.

RID Master(RID 마스터)

• Relative Identifier(RID) 풀을 관리합니다.
• RID는 도메인 내에서 각 객체가 고유한 식별자를 가질 수 있도록 합니다.
• 도메인 컨트롤러가 새로운 객체를 생성할 때마다 RID를 사용하여 고유 식별자를 생성하는데, RID 마스터는 각 DC에 할당된 RID 풀을 관리합니다.
• 도메인당 하나의 RID 마스터가 존재합니다.

PDC Emulator(PDC 에뮬레이터)

• 구형 Windows NT PDC(Primary Domain Controller)를 에뮬레이션하여 하위 호환성을 제공합니다.
• 암호 변경 및 잠금과 같은 중요한 작업을 담당하며, 도메인 컨트롤러와의 동기화 작업도 수행합니다.
• 특히 암호 인증과 관련된 작업을 우선 처리하고, 사용자 또는 컴퓨터 계정 비밀번호가 변경되었을 때 이를 동기화하는 역할을 합니다.
• 그룹 정책 변경 사항을 처리하고, 타임 소스 역할도 담당합니다.

Infrastructure Master(인프라 마스터)

• 도메인 간 참조 객체를 관리합니다.
• 도메인 간 객체 참조(예: 다른 도메인의 그룹 멤버십 변경)를 처리하고, 이러한 참조가 정확하게 동기화되도록 합니다.
• 도메인당 하나의 인프라스트럭처 마스터가 존재합니다.

FSMO 역할 서버 확인하기

• 다음과 같이 명령하여 FSMO 역할 서버를 확인할 수 있습니다.

netdom query fsmo

C:\Users\Administrator>netdom query fsmo
스키마 마스터               MF-AD-01.mf.ad
도메인 명명 마스터        MF-AD-01.mf.ad
PDC                         MF-AD-01.mf.ad
RID 풀 관리자            MF-AD-01.mf.ad
인프라 마스터       MF-AD-01.mf.ad
명령을 완료했습니다.

FSMO 역할 서버 변경하기

GUI로 변경하기

스키마 마스터

• 다음과 같이 명령합니다.

regsvr32 schmmgmt.dll

• [확인]을 클릭합니다.

• mmc를 실행합니다.

• [파일 - 스냅인 추가/제거]를 실행합니다.

• [Active Directory 스키마]를 추가합니다.

• 마우스 우클릭 후 [Active Directory 도메인 컨트롤러 변경]을 클릭합니다.

• 변경하려는 DC를 선택합니다.

• 마우스 우클릭 후 [작업 마스터]를 클릭합니다.

• [변경]을 클릭합니다.

도메인 명명 마스터

• [Active Directory 도메인 및 트러스트]를 실행합니다.
• 마우스 우클릭 후 [Active Directory 도메인 컨트롤러 변경]을 클릭하고 DC를 선택합니다.

• 마우스 우클릭 후 [작업 마스터]를 클릭하고, 역할을 변경합니다.

RID, PDC, 인프라

• [Active Directory 사용자 및 컴퓨터]를 실행합니다.
• 마우스 우클릭 후 [도메인 컨트롤러 변경]을 실행하여 DC를 선택합니다.

• 마우스 우클릭 후 [작업 마스터]를 실행한 후 역할을 변경합니다.

명령어로 변경하기

FSMO를 MF-AD-02로 변경한다고 하면, CMD에서 다음과 같이 진행한다.

ntdsutil
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server mf-ad-02
server connections: quit
fsmo maintenance: transfer infrastructure master
fsmo maintenance: transfer naming master
fsmo maintenance: transfer pdc
fsmo maintenance: transfer rid master
fsmo maintenance: transfer schema master