AD DS(Active Directory 도메인 서비스)를 설치할 때는 다음 배포 구성 중 하나를 선택합니다.
-
도메인에 새 도메인 컨트롤러 추가
-
포리스트에 새 자식 도메인 추가 또는 새 도메인 트리 추가(옵션)
참고 새 도메인 트리를 설치하는 옵션은 Active Directory 도메인 서비스 설치 마법사의 Active Directory 도메인 서비스 설치 마법사 시작 페이지에서 고급 모드 설치 사용 확인란을 선택하는 경우에만 나타납니다.
-
새 포리스트 만들기
다음 섹션에서는 이러한 각 배포 구성에 대해 자세히 설명합니다.
도메인에 새 도메인 컨트롤러 추가
도메인에 도메인 컨트롤러가 이미 있는 경우 네트워크 서비스의 가용성과 안정성을 향상시키기 위해 도메인 컨트롤러를 추가할 수 있습니다. 도메인 컨트롤러를 추가하면 내결함성을 높이고 기존 도메인 컨트롤러의 부하를 분산하며 사이트에 추가 인프라 지원을 제공할 수 있습니다.
도메인에 도메인 컨트롤러가 두 개 이상 있으면 이 중 하나의 도메인 컨트롤러에 오류가 발생하거나 연결이 끊어진 경우에도 도메인이 계속 작동할 수 있습니다. 또한 도메인 컨트롤러가 여러 개 있으면 클라이언트가 네트워크에 로그온할 때 도메인 컨트롤러에 쉽게 연결할 수 있으므로 성능이 향상됩니다.
기존 도메인 준비
기존 Active Directory 도메인에 Windows Server 2008 R2를 실행하는 도메인 컨트롤러를 추가하기 전에 Adprep.exe를 실행하여 포리스트와 도메인을 준비해야 합니다. Windows Server 2008 R2 설치 미디어에 포함된 Adprep 버전을 실행해야 합니다. 이 버전의 Adprep는 Windows Server 2008 R2를 실행하는 도메인 컨트롤러에 필요한 스키마 개체 및 특성을 추가하고, 새 개체 및 기존 개체에 대한 사용 권한을 수정합니다.
사용자 환경의 필요에 따라 다음과 같은 adprep 매개 변수를 실행합니다.
-
Windows Server 2008 R2를 실행하는 도메인 컨트롤러를 추가하기 전에 스키마 작업 마스터 역할(스키마 마스터)을 갖는 포리스트의 도메인 컨트롤러에서 adprep /forestprep를 한 번 실행합니다. 이 명령을 실행하려면 스키마 마스터를 포함하는 도메인의 Enterprise Admins 그룹, Schema Admins 그룹 및 Domain Admins 그룹의 구성원이어야 합니다.
-
또한 Windows Server 2008 R2를 실행하는 도메인 컨트롤러를 추가하려는 각 도메인에서 인프라 작업 마스터 역할(인프라 마스터)을 갖는 도메인 컨트롤러에서 adprep /domainprep /gpprep를 한 번 실행합니다. 이 명령을 실행하려면 Domain Admins 그룹의 구성원이어야 합니다.
-
포리스트의 도메인에 RODC(읽기 전용 도메인 컨트롤러)를 배포하려면 포리스트에서도 adprep /rodcprep를 한 번 실행해야 합니다. 포리스트의 모든 컴퓨터에서 이 명령을 실행할 수 있습니다. 이 명령을 실행하려면 Enterprise Admins 그룹의 구성원이어야 합니다. 자세한 내용은 읽기 전용 도메인 컨트롤러에 대한 포리스트 준비(
https://go.microsoft.com/fwlink/?LinkID=93244(페이지는 영문일 수 있음) )를 참조하십시오.
미디어에서 설치
기존 도메인에 새 도메인 컨트롤러를 설치할 때 미디어에서 설치(IFM)하도록 선택할 수 있습니다. 그러면 네트워크를 통해서가 아니라 미디어에서 도메인 데이터베이스가 복사됩니다. 이 옵션은 Active Directory 도메인 서비스 설치 마법사의 시작 페이지에서 고급 모드 설치 사용 확인란을 선택하는 경우에만 사용할 수 있습니다. 설치 미디어를 만드는 데는 ntdsutil ifm 하위 명령을 사용하는 것이 좋습니다. IFM 사용에 대한 자세한 내용은 미디어에서 설치를 참조하십시오.
포리스트에 새 도메인 추가
기본적으로 새로 만든 포리스트에는 하나의 도메인이 포함되며 이 도메인을 포리스트 루트 도메인이라고 합니다. 이 단일 도메인은 Active Directory 복제에 적은 양의 네트워크 대역폭을 사용할 수 있는 경우에도 많은 사용자를 수용할 수 있습니다. 따라서 대부분의 중소규모 조직에는 일반적으로 도메인 하나면 충분합니다. 포리스트에 도메인을 추가하면 포리스트의 관리 요구 사항이 크게 늘어납니다.
반면 규모가 더 큰 조직은 포리스트에 자식 도메인을 추가하여 필요한 곳에만 도메인 데이터를 복제하도록 할 수 있습니다. 자식 도메인은 부모 도메인과 연속 네임스페이스를 공유합니다. 예를 들어 sales.contoso.com은 contoso.com의 자식 도메인입니다. 자식 도메인은 부모 도메인과 자동으로 양방향 전이적 트러스트를 가집니다.
부모 도메인과 연속 네임스페이스를 공유하지 않는 새 도메인을 새 도메인 트리라고 합니다. 새 도메인 트리를 만드는 방법에 대한 자세한 내용은 이 항목 뒷부분의 새 도메인 트리 만들기를 참조하십시오.
포리스트에 도메인을 추가하면 AD DS를 분할하게 되며 이를 통해 필요한 곳에만 데이터를 복제할 수 있습니다. 이와 같은 방식으로 단일 Active Directory 포리스트가 전역적으로 확장되어 제한된 대역폭을 가진 네트워크에서 수천 명 또는 수백만 명의 사용자를 수용할 수 있습니다.
새 도메인을 만들기 위한 요구 사항
새 자식 도메인을 만드는 경우 작업을 계속하려면 Enterprise Admins 그룹 또는 부모 도메인의 Domain Admins 그룹의 구성원이어야 합니다. 새 도메인 트리를 만들려면 Enterprise Admins 그룹의 구성원이어야 합니다.
Active Directory 도메인 서비스 설치 마법사는 Active Directory 도메인 이름을 최대 64자 또는 최대 155바이트까지 허용합니다. 일반적으로 155바이트 제한 전에 64자 제한에 도달하지만 이름에 3바이트의 유니코드 문자가 들어 있으면 반대의 경우도 가능합니다. 컴퓨터 이름에는 이러한 제한 사항이 적용되지 않습니다.
설치 과정에서 Dcpromo.exe에 의해 DNS(Domain Name System) 영역 위임이 만들어집니다. DNS 영역 위임 만들기에 실패하거나 만들지 않도록 선택(권장하지 않음)한 경우에는 영역 위임을 수동으로 만들어야 합니다. 영역 위임을 만드는 방법에 대한 자세한 내용은 DNS 위임 만들기 또는 업데이트를 참조하십시오.
포리스트에 도메인을 추가하려면 추가하는 Active Directory 도메인의 이름과 일치하는 DNS 영역에 대해 DNS 위임을 만들어야 합니다. Active Directory 도메인 서비스 설치 마법사는 DNS 위임이 있는지 확인합니다. DNS 위임이 없으면 새 도메인을 만드는 동안 DNS 위임을 자동으로 만들 수 있는 옵션을 제공합니다.
새 도메인 트리 만들기
DNS 네임스페이스가 포리스트의 다른 도메인과 관련이 없는 도메인을 만들어야 하는 경우에만 새 도메인 트리를 만들어야 합니다. 이는 트리 루트 도메인 및 자식 도메인의 이름에는 부모 도메인의 전체 이름이 포함되지 않아도 된다는 의미입니다.
예를 들어 treyresearch.net는 contoso.com 포리스트에서 도메인 트리가 될 수 있습니다. 새 도메인 트리는 주로 기업을 인수하거나 여러 조직을 병합할 때 만듭니다. 포리스트에는 하나 이상의 도메인 트리가 포함될 수 있습니다.
다른 DNS 네임스페이스가 필요한 경우 새 도메인 트리를 만들기 전에 다른 포리스트를 만드는 것을 권장합니다. 여러 포리스트는 각 포리스트에 대해 독립된 네임스페이스 디자인을 사용하도록 독립적인 관리, 스키마 및 구성 디렉터리 파티션의 분리, 별도의 보안 경계 및 유연성을 제공합니다.
새 포리스트 만들기
새 포리스트를 만들려면 AD DS를 설치할 서버에서 로컬 Administrators 그룹의 구성원이어야 합니다.
DNS 및 NetBIOS 이름
새 포리스트를 만들기 전에 DNS 인프라를 완벽하게 계획해야 합니다. 새 포리스트를 만들려면 포리스트의 전체 DNS 이름을 알아야 합니다. AD DS를 설치하기 전에 DNS 서버 서비스를 설치할 수 있으며, Active Directory 도메인 서비스 설치 마법사에서 DNS 서버 서비스를 설치하도록 선택할 수 있습니다.
마법사에서 DNS 서버 서비스를 설치하도록 하는 경우 마법사는 포리스트의 첫 번째 도메인의 NetBIOS 이름을 자동으로 생성하기 위해 제공한 DNS 이름을 사용합니다. 마법사는 계속하기 전에 DNS 이름과 NetBIOS 이름이 네트워크에서 고유한지 확인합니다. 마법사에서 자동으로 생성한 이름이 아닌 다른 NetBIOS 이름을 지정하려면 Active Directory 도메인 서비스 설치 마법사 시작 페이지에서 고급 모드 설치 사용 확인란을 선택해야 합니다.
참고 | |
자동으로 생성된 NetBIOS 이름이 기존 이름과 충돌하는 경우에는 도메인 NetBIOS 이름 마법사 페이지가 나타납니다. |
기본적으로 DNS 서버 서비스는 포리스트의 첫 번째 도메인 컨트롤러에 설치됩니다. 새 포리스트에 대해 이름 확인을 지원하도록 이미 DNS 인프라를 설정한 경우에는 추가 옵션 마법사 페이지에서 DNS 서버 확인란의 선택을 취소할 수 있습니다. 지원하는 DNS 인프라를 설정하지 않았으면 기본 설정을 적용하여 포리스트의 첫 번째 도메인 컨트롤러에 DNS 서버 서비스가 설치되도록 합니다.
다음을 클릭하여 계속하면 Active Directory 도메인 서비스 설치 마법사는 기존 DNS 인프라를 검사합니다. DNS 서버 확인란의 선택을 취소한 경우 마법사는 진단 테스트를 수행하여 지원하는 DNS 인프라가 설정되어 있는지 확인합니다. 진단 테스트가 실패하면 마법사를 사용하여 다시 DNS 서버 서비스를 설치할 수 있습니다.
기능 수준
새 포리스트의 경우 기본 포리스트 기능 수준은 Windows 2000이고 도메인 기능 수준은 Windows 2000 기본입니다. 이러한 기능 수준은 가장 낮은 기능 수준이며 이 경우 도메인 컨트롤러는 Windows Server 2003, Windows® 2000 Server, Windows Server 2008 또는 Windows Server 2008 R2를 실행할 수 있습니다.
이와 같은 이전 버전의 Windows Server를 실행하는 도메인 컨트롤러를 추가할 계획이 없는 경우에는 고급 기능을 사용할 수 있도록 더 높은 기능 수준을 선택할 수 있습니다. 포리스트 기능 수준으로 Windows Server 2008 R2를 선택하면 이후에 포리스트에 추가되는 모든 도메인은 Windows Server 2008 R2 도메인 기능 수준에서 만들어집니다. 따라서 Active Directory 도메인 서비스 설치 마법사에 도메인 기능 수준 설정 페이지가 나타나지 않습니다. 다른 포리스트 기능 수준을 선택하면 포리스트의 각 도메인에 대해 독립적으로 도메인 기능 수준을 설정할 수 있습니다. 기능 수준에 대한 자세한 내용은 도메인 또는 포리스트 기능 수준 설정을 참조하십시오.
작업 마스터 역할
이 도메인의 첫 번째 도메인 컨트롤러는 포리스트에 대한 모든 작업 마스터 역할(Flexible Single Master Operations 또는 FSMO라고도 함)을 호스트합니다.
AD DS의 가용성 및 내결함성을 향상시키려면 도메인에 도메인 컨트롤러를 추가하는 것이 좋습니다. 도메인 컨트롤러를 추가로 만든 후에 첫 번째 도메인 컨트롤러에서 호스트되는 작업 마스터 역할 중 일부를 추가한 다른 도메인 컨트롤러를 전송할 수 있습니다. 여러 개의 도메인 포리스트를 만들려고 하고 포리스트 루트 도메인의 도메인 컨트롤러가 글로벌 카탈로그 서버가 되지 않으면 포리스트 루트 도메인의 인프라 마스터 역할을 글로벌 카탈로그 서버가 아닌 도메인의 다른 도메인 컨트롤러로 이전해야 합니다.
작업 마스터 역할 관리에 대한 자세한 내용은 작업 마스터 역할을 관리하여 성공적인 Active Directory 작업 보장을 참조하십시오.