Active Directory_[6]_FSMO(Flexible Single Master Operation)

 

-목차-

 

1. FSMO 개념

2. FSMO 변경 - GUI 환경 실습

3. FSMO 변경 - CLI 환경 실습

 

 

  1. FSMO 개념

 

모든 DC들은 몇 가지 특별한 기능을 제외하고는 동일하다. 여기서 그 몇 가지 특별한 기능을 FSMO라고 부르며 특정 DC만이 가지고 있도록 한다. AD의 지정된 작업 마스터들은 CMD창에서 netdom query fsmo를 입력하여 확인할 수 있다.

 

FSMO는 크게 다섯 가지로 나뉜다

 

1. Domain Naming Master

2. Schema Master

3. RID Master

4. Infrastructure Master

5. PDC

 

 

1. Domain Naming Master

 

- DCPROMO가  새로운 도메인은 생성하려고 할 때마다 자신이 가지고 있는 전체 도메인 목록을 체크하여 도메인 이름이 중복되지 않도록 하는 역할이다. 만약 새로운 도메인을 생성하는 시점에서 DCPROMO가 도메인 명명 작업 마스터를 찾지 못하면 더 이상 작업을 진행할 수 없다.

- 변경은 Active Directory 도메인 및 트러스트에서 가능하다

 

2. Schema Master

 

- AD 데이터 베이스의 구조를 나타내며, 사용자 이름, 암호 등과 같은 데이터 베이스의 어떤 것들의 목록이다. 스키마는 전체 포리스트에 오직 하나의 스키마만을 가지며, 기본적으로 첫 포리스트의 첫 도메인 컨트롤러가 스키마를 복제하는 GC를 가지고 있다.

- 변경은 Active Directory 스키마에서 가능하다.

- Active Directory 스키마 MMC는 기본 제공되지 않고, cmd창에서 regsvr32 schmmgmt.dll 입력 후 MMC를 실행하면 스냅인 추가 항목이 나타난다.

- Domain Naming Master와 Schema Master는 포리스트에 하나만 존재해야 한다.

 

3. RID Master (Relative ID Master)

 

- 도매인내에서 하나의 DC는 RID Pool FSMO를 가지게 되고, 500개의 RID Pool 할당을 관리한다. RID가 반 정도 소모되면 작업 마스터가 재 충전한다. 이러한 RID를 분배해주는 역할을 하는 컴퓨터를 RID 작업 마스터라고 한다.

- 기본적으로 도메인에서 첫 번째로 설치된 DC가 역할을 담당한다.

- 도매인 내 하나의 RID Master를 가지게 됨으로 다중 포메인 포리스트 환경에서는 다수의 RID Master가 존재한다.

- RID, PDC, 인프라 작업 마스터 변경은 Active Directory 사용자 및 컴퓨터에서 가능하다.

 

4. Infrastructure Master

 

- 도메인 간 개체 참조를 올바르게 처리하는 역할이다.

- 글로벌 카탈로그에서 도메인 간 참조 및 개체를 업데이트한다.

- 한 도메인의 사용자가 다른 도메인의 보안 그룹에 올바르게 추가되는지 여부를 확인한다.

- RID, PDC, 인프라 작업 마스터 변경은 Active Directory 사용자 및 컴퓨터에서 가능하다.

 

5. PDC (Primary Domain Controller)

 

- FSMO 역할의 사용과 Active Directory 기능의 넓은 범위를 가지고 있다.

- 다른 DC의 시간 동기화를 위한 원본 역할을 하거나, 각 도메인의 PDC는 Forest PDC와 동기화를 하기도 한다.

- 사용자 계정의 변경사항, 그룹 정책이 저장되는 기본 위치가 되는 등의 다양한 기능을 수행한다.

- 시간 동기화는 DC 간의 마스터 복제로 인한 무한 루프를 방지할 수 있는 타임스탬프를 동기화해주는 것이기 때문에 매우 중요하다.

- RID, PDC, 인프라 작업 마스터 변경은 Active Directory 사용자 및 컴퓨터에서 가능하다.

 

 

 

 

  2. FSMO 변경 - GUI 환경 실습

 

2-1. cmd → regsvr32 schmmgmt

 

2-2. 실행창 → mmc

 

2-3. 파일 → 스냅인 추가/제거

 

2-4. 다음과 같은 4개 항목 추가

 

2-5. 다른 이름으로 바탕화면에 저장

 

2-6. 바탕화면에 생성된 파일 진입. 스키마 DC 변경.

 

2-7. MEM2 서버로 변경

 

2-8. 도메인 및 트러스트도 같은 방법으로 DC를 MEM2 서버로 변경

 

2-9. Active Dirctory 스키마 우 클릭 → 작업 마스터 → 변경

 

2-10. Active Dirctory 도메인 및 트러스트 우 클릭 → 작업 마스터 → 변경

 

2-11. Active Directory 사용자 및 컴퓨터 → 도메인 컨트롤러 변경 

 

2-12. MEM2 서버로 변경

 

2-13. 모든 작업 → 작업 마스터

 

2-14. 이곳에서 RID 변경 가능. PDC와 인프라도 같은 방법으로 변경할 수 있습니다.

 

2-15. 변경된 것 확인. PDC와 인프라도 같은 방법으로 변경할 수 있습니다.

 

2-16. cmd → netdom query fsmo

스키마 마스터, 도메인 명명 마스터, RID 풀 관리자가 MEM2로 바뀐 것 확인.

PDC와 인프라 마스터도 RID 풀 관리자 변경한 것과 같은 방법으로 변경할 수 있습니다.

 

 

 

  3. FSMO 변경 - CLI 환경 실습

 

3-1. netdom query fsmo 입력 후 현재 모든 fsmo는 AD서버 관리하는 것 확인

 

3-2. 역할 확인

 

 

3-3. MEM1 서버 연결 후 RID Master 역할 덮어쓰기

 

3-4. 확인

 

3-5. transfer pdc

 

3-6. transfer infrastructure master

 

3-7. transfer naming master

 

3-8. transfer schema master

 

3-9. netdom query fsmo 확인 후 모든 FSMO MEM1로 변경된 것 확인

 

3-10. 도메인 생성 테스트를 위해 현재 FSMO 모든 권한이 있는 MEM1 서버 일시 정지

 

3-11. MEM2 서버를 자식 도메인을 추가

 

3-12. 도메인 명명 마스터인 MEM1 서버가 오프라인이기 때문에 새 도메인을 만들 수 없음

 

3-13. MEM1로 바뀐걸 다시 AD서버로 바꾸기 위해 AD 서버에서 진행.

 

3-14. 마저 진행

 

3-15. FSMO 모든 권한 AD서버로 돌아온 것 확인