Flexible Single Master Operation(FSMO) 롤 이전과 장애 복구 시뮬레이션

FSMO 롤 이전과 장애 복구 시뮬레이션 완벽 가이드

Active Directory 환경을 운영하고 있다면 FSMO (Flexible Single Master Operation) 롤에 대해 들어본 적이 있을 것입니다. FSMO 롤은 Active Directory 도메인 내에서 특정 작업을 수행하는 중요한 역할을 담당합니다. 이 롤들이 제대로 작동하지 않으면 Active Directory 전체에 심각한 문제가 발생할 수 있습니다. 따라서 FSMO 롤의 역할과 이전 방법, 그리고 장애 발생 시 복구 시뮬레이션을 이해하는 것은 Active Directory 관리자에게 매우 중요합니다.

FSMO 롤이란 무엇인가

FSMO 롤은 Active Directory 도메인 내에서 단일 마스터 방식으로 관리되는 다섯 가지 중요한 역할입니다. 각 롤은 고유한 기능을 수행하며, Active Directory의 안정적인 운영을 위해 필수적입니다. 다섯 가지 FSMO 롤은 다음과 같습니다.

• 스키마 마스터 스키마 마스터는 Active Directory 스키마를 제어합니다. 스키마는 Active Directory에 저장할 수 있는 객체와 속성을 정의합니다. 도메인 포리스트당 하나만 존재합니다.

• 도메인 명명 마스터 도메인 명명 마스터는 포리스트에 도메인을 추가하거나 제거하는 것을 제어합니다. 도메인 포리스트당 하나만 존재합니다.
• RID 마스터 RID (Relative ID) 마스터는 도메인 내의 각 도메인 컨트롤러에 RID 풀을 할당합니다. RID는 Active Directory 객체 (사용자, 그룹, 컴퓨터 등)의 고유 식별자를 생성하는 데 사용됩니다. 도메인당 하나만 존재합니다.
• PDC 에뮬레이터 PDC (Primary Domain Controller) 에뮬레이터는 이전 버전의 Windows NT 도메인 컨트롤러와의 호환성을 제공하고, 비밀번호 변경 및 계정 잠금과 같은 작업을 처리합니다. 도메인당 하나만 존재합니다.
• 인프라스트럭처 마스터 인프라스트럭처 마스터는 도메인 간 객체 참조를 관리합니다. 객체가 다른 도메인으로 이동하면 인프라스트럭처 마스터가 해당 변경 사항을 반영합니다. 도메인당 하나만 존재합니다.

FSMO 롤 이전이 필요한 이유

FSMO 롤은 안정적인 Active Directory 환경을 위해 중요하지만, 때로는 롤을 다른 도메인 컨트롤러로 이전해야 하는 상황이 발생할 수 있습니다. FSMO 롤 이전이 필요한 일반적인 이유는 다음과 같습니다.

• 도메인 컨트롤러 유지보수 도메인 컨트롤러에 대한 유지보수 작업 (하드웨어 업그레이드, OS 패치 등)을 수행해야 하는 경우, 해당 도메인 컨트롤러가 보유한 FSMO 롤을 다른 도메인 컨트롤러로 이전해야 합니다.

• 도메인 컨트롤러 교체 오래된 도메인 컨트롤러를 새로운 하드웨어로 교체하는 경우, FSMO 롤을 새로운 도메인 컨트롤러로 이전해야 합니다.
• 도메인 컨트롤러 장애 도메인 컨트롤러에 심각한 장애가 발생하여 복구할 수 없는 경우, 해당 도메인 컨트롤러가 보유한 FSMO 롤을 다른 도메인 컨트롤러로 강제 이전해야 합니다.
• 성능 개선 특정 도메인 컨트롤러의 성능이 저하되어 FSMO 롤을 처리하기에 부적합한 경우, FSMO 롤을 더 강력한 도메인 컨트롤러로 이전하여 성능을 개선할 수 있습니다.

FSMO 롤 이전 방법

FSMO 롤을 이전하는 방법에는 두 가지가 있습니다.

• 정상 이전 (Planned Transfer) 정상 이전은 도메인 컨트롤러가 정상적으로 작동하는 동안 FSMO 롤을 이전하는 방법입니다. 이 방법은 유지보수 또는 계획된 교체와 같이 예측 가능한 상황에서 사용됩니다.

• 강제 이전 (Seize) 강제 이전은 도메인 컨트롤러에 장애가 발생하여 정상적으로 작동하지 않는 경우 FSMO 롤을 이전하는 방법입니다. 이 방법은 장애 발생 시에만 사용해야 합니다.

정상 이전 (Planned Transfer)

정상 이전은 다음 단계를 통해 수행됩니다.

• 대상 도메인 컨트롤러 확인 FSMO 롤을 이전할 대상 도메인 컨트롤러를 확인합니다. 대상 도메인 컨트롤러는 Active Directory와 정상적으로 동기화되어 있어야 합니다.
• Active Directory 관리 도구 실행 Active Directory 사용자 및 컴퓨터, Active Directory 도메인 및 트러스트, ADSI Edit 등의 Active Directory 관리 도구를 사용하여 FSMO 롤을 이전합니다.
• FSMO 롤 이전 각 FSMO 롤에 대해 해당 관리 도구를 사용하여 “작업 마스터 변경” 또는 유사한 옵션을 선택하고 대상 도메인 컨트롤러를 지정합니다.
• 이전 확인 FSMO 롤이 성공적으로 이전되었는지 확인합니다. PowerShell 명령 (Get-ADDomain, Get-ADForest) 또는 `netdom query fsmo` 명령을 사용하여 FSMO 롤 소유자를 확인할 수 있습니다.

강제 이전 (Seize)

강제 이전은 다음 단계를 통해 수행됩니다.

• 장애 발생 도메인 컨트롤러 확인 장애가 발생한 도메인 컨트롤러를 확인합니다. 해당 도메인 컨트롤러가 완전히 오프라인 상태이고 복구할 수 없는지 확인합니다.
• 대상 도메인 컨트롤러 확인 FSMO 롤을 강제 이전할 대상 도메인 컨트롤러를 확인합니다. 대상 도메인 컨트롤러는 Active Directory와 정상적으로 동기화되어 있어야 합니다.
• ntdsutil 명령 실행 대상 도메인 컨트롤러에서 관리자 권한으로 명령 프롬프트를 열고 `ntdsutil` 명령을 실행합니다.
• FSMO 롤 강제 이전 `ntdsutil` 명령 내에서 `roles` -> `connections` -> `connect to server <대상 도메인 컨트롤러>` -> `quit` -> `seize domain naming master` (각 FSMO 롤에 대해 해당 명령 실행) 순서로 명령을 실행하여 FSMO 롤을 강제 이전합니다.
• 메타데이터 정리 장애가 발생한 도메인 컨트롤러의 메타데이터를 Active Directory에서 정리합니다. 이는 `ntdsutil` 명령을 사용하여 수행할 수 있습니다.
• 이전 확인 FSMO 롤이 성공적으로 강제 이전되었는지 확인합니다. PowerShell 명령 (Get-ADDomain, Get-ADForest) 또는 `netdom query fsmo` 명령을 사용하여 FSMO 롤 소유자를 확인할 수 있습니다.

장애 복구 시뮬레이션

실제 장애 상황에 대비하기 위해 FSMO 롤 장애 복구 시뮬레이션을 수행하는 것이 좋습니다. 시뮬레이션은 다음과 같은 단계를 포함할 수 있습니다.

• 시뮬레이션 계획 시뮬레이션의 목표, 범위, 참여자 및 단계를 정의합니다.
• 테스트 환경 구축 프로덕션 환경과 유사한 테스트 환경을 구축합니다.
• 도메인 컨트롤러 장애 시뮬레이션 FSMO 롤을 보유한 도메인 컨트롤러를 오프라인 상태로 만들거나 장애를 시뮬레이션합니다.
• FSMO 롤 강제 이전 다른 도메인 컨트롤러로 FSMO 롤을 강제 이전합니다.
• Active Directory 기능 테스트 Active Directory 기능 (사용자 로그인, 그룹 정책 적용 등)이 정상적으로 작동하는지 테스트합니다.
• 결과 분석 및 개선 시뮬레이션 결과를 분석하고 개선 사항을 식별합니다.

유용한 팁과 조언

• FSMO 롤 소유자 문서화 현재 FSMO 롤 소유자를 문서화하고 최신 상태로 유지하십시오.
• 백업 및 복구 계획 Active Directory 백업 및 복구 계획을 수립하고 정기적으로 테스트하십시오.
• 도메인 컨트롤러 모니터링 도메인 컨트롤러의 상태를 모니터링하고 잠재적인 문제를 조기에 감지하십시오.
• 정기적인 FSMO 롤 점검 FSMO 롤 소유자를 정기적으로 점검하고 필요한 경우 이전하십시오.
• 최신 정보 유지 Active Directory 및 FSMO 롤에 대한 최신 정보를 유지하고 새로운 기능과 모범 사례를 학습하십시오.

흔한 오해와 사실 관계

• 오해 FSMO 롤은 중요하지 않다.

• 사실 FSMO 롤은 Active Directory의 안정적인 운영을 위해 필수적입니다.
• 오해 FSMO 롤은 자동으로 이전된다.
• 사실 FSMO 롤은 수동으로 이전해야 합니다.
• 오해 강제 이전은 항상 안전하다.
• 사실 강제 이전은 장애 발생 시에만 사용해야 하며, 데이터 손실의 위험이 있습니다.

자주 묻는 질문과 답변

• Q FSMO 롤 소유자를 확인하는 방법은 무엇입니까?

• A PowerShell 명령 (Get-ADDomain, Get-ADForest) 또는 `netdom query fsmo` 명령을 사용하여 FSMO 롤 소유자를 확인할 수 있습니다.
• Q FSMO 롤을 이전하는 데 걸리는 시간은 얼마나 걸립니까?
• A 정상 이전은 일반적으로 몇 분 정도 걸리지만, 강제 이전은 더 오래 걸릴 수 있습니다.
• Q FSMO 롤 이전 중에 문제가 발생하면 어떻게 해야 합니까?
• A 이벤트 로그를 확인하고, Active Directory 관련 문서를 참조하거나, 전문가의 도움을 받으십시오.

비용 효율적인 활용 방법

• 최적의 하드웨어 선택 FSMO 롤을 처리하기에 적합한 성능의 하드웨어를 선택하십시오.

• 가상화 활용 FSMO 롤을 가상 머신에서 실행하여 하드웨어 비용을 절감하십시오.
• 클라우드 기반 Active Directory Azure Active Directory Domain Services와 같은 클라우드 기반 Active Directory 서비스를 사용하여 FSMO 롤 관리를 간소화하고 비용을 절감하십시오.