읽기 전용 도메인 컨트롤러의 단계적 설치 수행

첫 번째 설치 단계에서는 AD DS(Active Directory 도메인 서비스)에 RODC에 대한 계정을 만듭니다. 두 번째 설치 단계에서는 RODC가 될 실제 서버를 이전에 만든 계정에 연결합니다.

첫 번째 단계를 수행하는 동안 Active Directory 도메인 서비스 설치 마법사는 분산 Active Directory 데이터베이스에 저장될 RODC에 관한 데이터(예: RODC의 도메인 컨트롤러 계정 이름 및 RODC를 배치할 사이트)를 모두 기록합니다. 이 단계를 수행하려면 Domain Admins 그룹의 구성원이어야 합니다.

또한 RODC 계정을 만드는 사용자는 사용자 또는 그룹이 다음 설치 단계를 완료할 수 있는 시점을 지정할 수도 있습니다. 계정이 만들어졌을 때 설치를 완료할 수 있는 권한이 위임된 그룹의 구성원 또는 사용자가 다음 설치 단계를 지점에서 수행할 수 있습니다. 이 단계에는 Domain Admins 그룹과 같은 기본으로 제공된 그룹에 어떠한 구성원도 필요하지 않습니다. RODC 계정을 만드는 사용자가 설치 완료 및 RODC 관리 위임을 지정하지 않으면 Domain Admins 그룹 또는 Enterprise Admins 그룹의 구성원만 설치를 완료할 수 있습니다.

두 번째 설치 단계를 수행하는 동안 마법사는 RODC가 될 서버에 AD DS를 설치합니다. 일반적으로 이 단계는 RODC가 배포되는 지점에서 나타납니다. 이 단계를 수행하는 동안 데이터베이스, 로그 파일 등과 같이 로컬로 상주하는 모든 AD DS 데이터는 RODC 자체에 만들어집니다. 네트워크를 통해 설치 원본 파일을 다른 도메인 컨트롤러에서 RODC로 복제할 수 있거나, IFM(미디어에서 설치) 기능을 사용할 수 있습니다. IFM을 사용하면 Ntdsutil.exe를 사용하여 RODC 설치용의 특별한 설치 미디어를 만들 수 있습니다. IFM 사용에 대한 자세한 내용은 미디어에서 설치를 참조하십시오.

RODC가 될 서버는 RODC 계정에 연결하기 전에 도메인에 가입해서는 안 됩니다. 설치 과정의 일부로서 Active Directory 도메인 서비스 설치 마법사는 서버 이름이 사전에 도메인용으로 만든 RODC 계정 이름과 일치하는지 여부를 자동으로 감지합니다. 마법사에서 일치하는 계정 이름을 찾으면 이 계정을 사용하여 RODC 설치를 완료할지 묻는 메시지를 표시합니다.

조직에서 단계적 설치를 사용하는 경우 이전 버전의 Windows Server로 배포할 때보다 보다 효율적으로 도메인 컨트롤러를 지점에 배포할 수 있습니다. 예를 들어 중앙 위치에 있는 Domain Admins 그룹 구성원은 AD DS에 RODC 계정을 만들 수 있습니다. 이 설치 단계는 Domain Admin 자격 증명이 필요한 모든 배포 작업(예: 도메인 컨트롤러의 컴퓨터 계정 만들기, 사이트 지정 및 서버에 대한 관련 NTDS 설정 개체 만들기 등)을 완료합니다.

Domain Admins 그룹의 구성원이 RODC 계정을 만들면 그 구성원은 지점에서 RODC 설치를 완료하는 권한을 다른 사용자 또는 보안 그룹에 위임할 수 있습니다. 서버를 기존 RODC 계정에 연결하는 작업을 Domain Admins 그룹의 구성원이 수행해야 할 필요는 없습니다. Domain Admins 그룹의 구성원이 첫 번째 설치 단계에서 지정하는 위임된 관리자(또는 위임된 그룹 구성원)는 이 작업을 수행할 수 있습니다.

조직은 RODC 설치를 완료할 수 있는 지점으로 직접 서버를 주문하고 제공할 수 있습니다. 과거에는 지점용 도메인 컨트롤러를 종종 중앙 위치 또는 만들 단계적 사이트로 주문하고 제공한 후 배포할 지점으로 차례로 제공해야 했습니다. 대안으로, 설치 미디어를 중앙 위치에서 만든 후 지점에 제공하여 도메인 컨트롤러를 설치했습니다. RODC 단계적 설치는 이러한 중간 설치 단계를 없애 도메인 컨트롤러 배포 프로세스를 간소화합니다.

RODC를 설치하려면 먼저 adprep /rodcprep를 실행하여 포리스트를 준비해야 합니다. adprep를 실행하여 포리스트를 준비하는 방법에 대한 자세한 내용은 Active Directory 도메인 서비스 배포 구성 선택을 참조하십시오.

그런 다음 Active Directory 사용자 및 컴퓨터 스냅인을 사용하여 RODC 계정을 만들 수 있습니다. 콘솔 트리에서 도메인 컨트롤러 컨테이너를 마우스 오른쪽 단추로 클릭하거나 도메인 컨트롤러 컨테이너를 클릭하고 동작을 클릭한 다음 읽기 전용 도메인 컨트롤러 계정 미리 만들기를 클릭합니다.

명령줄에서 dcpromo를 실행하여 RODC 계정을 만들 수도 있지만, 이 경우 명령에 RODC를 설치하려는 도메인의 이름도 지정해야 합니다. 명령줄에 다음 명령을 입력한 후 Enter 키를 누릅니다.

dcpromo /CreateDCAccount /ReplicaDomainDNSName:도메인 이름

여기서 도메인 이름은 RODC를 설치할 도메인의 이름입니다.

RODC 계정을 만들면 이 계정은 위임된 사용자가 서버를 계정에 연결할 때까지 비어 있는 도메인 컨트롤러 계정이라고 도메인 컨트롤러 컨테이너에 나타납니다.

위임된 관리자가 고정 IP 주소를 할당하고 서버의 DNS 클라이언트 설정을 구성하면 위임된 관리자는 Active Directory 도메인 서비스 설치 마법사를 실행하여 지점의 서버를 기존 RODC 계정에 연결할 수 있습니다. 서버를 기존 계정에 연결하려면 도메인 컨트롤러가 될 서버에서 명령 프롬프트를 열고 다음 명령을 입력한 후 Enter 키를 누릅니다.

dcpromo /UseExistingAccount:Attach

AD DS 바이너리를 설치하는 중이라고 위임된 관리자에게 알려 줍니다. 그런 다음 Active Directory 도메인 서비스 설치 마법사는 두 번째 설치 단계를 자동으로 시작합니다. 위임된 관리자는 /adv 매개 변수를 dcpromo 명령에 추가하거나 마법사의 Active Directory 도메인 서비스 설치 마법사 시작 페이지에서 고급 모드 설치 사용 확인란을 선택하여 다음 추가 설치 옵션을 지정할 수 있습니다.

• 네트워크를 통해 또는 미디어에서 데이터를 복제할지 여부
  
  
• 설치 파트너로 사용할 도메인 컨트롤러 선택
  
  

마법사의 네트워크 자격 증명 페이지에서 위임된 관리자는 RODC를 설치하고 있는 포리스트의 도메인 이름 및 설치 시 사용할 대체 자격 증명을 입력해야 합니다. 대체 자격 증명은 도메인 사용자가 수행해야 하므로 기존 도메인 컨트롤러 계정을 서버에 연결할 때 필요합니다. 그러나 위임된 관리자는 서버가 도메인에 아직 가입되어 있지 않았기 때문에 처음에 로컬 관리자 계정으로 서버에 로그온했습니다. 따라서 위임된 관리자는 Domain Admins 그룹의 구성원이 RODC에 대한 계정을 만들었을 때 RODC 설치 및 관리 권한이 위임된 도메인 사용자 계정 또는 위임된 관리 그룹의 구성원인 계정을 지금 지정해야 합니다.

위임된 관리자는 Dcpromo.exe를 실행하여 RODC에서 AD DS를 제거할 수 있습니다. Active Directory 도메인 서비스 설치 마법사는 AD DS를 제거하고 컴퓨터를 독립 실행형 서버로 만드는 데 필요한 정보(새 로컬 Administrator 계정의 암호 포함)를 요청할 수 있습니다. AD DS 제거를 완료하려면 서버를 다시 시작해야 합니다.

위임된 관리자가 서버를 연결할 RODC 계정의 이름을 선택하면 Active Directory 도메인 서비스 설치 마법사는 실제 도메인 컨트롤러가 계정을 현재 사용하지 않는지 확인합니다. 계정이 사용 중이지 않으면 마법사는 자동으로 서버를 그 계정에 연결하고 설치를 완료하려고 합니다.

이름이 일치하는 컴퓨터 계정을 찾지 못한 경우 마법사는 위임된 관리자가 기존 컴퓨터 계정과 일치하는 다른 이름으로 서버 이름을 변경할 수 있게 하거나 이름 충돌을 해결하기 위해 다른 단계를 수행할 수 있게 합니다.

이름이 일치하는 도메인 컨트롤러 계정을 찾았으나 계정이 사용 중이면 마법사는 해당 도메인 컨트롤러에 연결하여 도메인 컨트롤러가 온라인 상태인지 확인합니다. 그런 다음 마법사는 다음과 같이 진행합니다.

• 이름이 같은 다른 도메인 컨트롤러가 이미 온라인 상태이면 마법사는 AD DS 설치를 중단합니다. 이런 경우 RODC를 설치 중인 서버는 사용하지 않는 RODC 계정 이름으로 이름을 변경해야 합니다.
  
  
• 이름이 같은 다른 도메인 컨트롤러가 온라인 상태인지 확인할 수 없으면 마법사는 사실상 온라인 상태이지만 마법사가 연결할 수 없음에도 불구하고 위임된 관리자에게 설치를 계속하면 계정 이름이 같은 도메인 컨트롤러가 올바르게 작동하지 않을 수 있다고 경고합니다.
  
  이전에 서버를 기존 계정에 연결하려고 했으나 설치를 완료하기 전에 연결을 취소했으면 이 오류가 발생할 수 있습니다. 이런 경우 RODC 계정 상태는 설치가 완료되기 전에 사용 불가능에서 사용 가능으로 변경될 수 있습니다. 이 경우 위임된 관리자는 확인을 클릭하여 경고 후에 계속할 수 있습니다.
  
  

자세한 내용은 읽기 전용 도메인 컨트롤러 계정 선택을 참조하십시오.