FSMO 역할 캡처 및 전송하는 방법 (GUI 및 파워셸)

튜토리얼

어느 Active Directory (AD) 관리자의 경력에는 FSMO 역할을 이전(또는 인수)해야 하는 시기가 옵니다. 도메인 컨트롤러(DC)가 생성되고 소멸되며, 해당 DC에 호스팅된 FSMO 역할은 이동되어야 합니다.

이 자습서에서는 AD FSMO 역할을 단계별로 전이하고 인수하는 방법을 배우게 됩니다. 다양한 GUI 도구 및 PowerShell을 통해 FSMO 역할을 이동하는 방법을 확인할 수 있습니다.

시작해 봅시다!

사전 요구 사항

따라하려면 다음 사항을 준비해야 합니다:

  • 최소한 두 개의 DC – 이 자습서에서는 Windows Server 2019를 사용하며, 포리스트 기능 수준은 Windows Server 2016입니다. 그러나 큰 변화는 없습니다.
  • A domain-joined computer with RBAC installed or you’re on a DC’s desktop directly

관련: Active Directory PowerShell 모듈 설치 및 가져오는 방법

  • Windows PowerShell v5.1
  • 도메인에 연결된 컴퓨터에 AD 계정으로 로그인합니다. 역할을 쿼리하려면 특별한 권한이 필요하지 않습니다. 그러나 역할을 전이하거나 인수하려면 추가 권한이 필요합니다.

GUI를 사용하여 FSMO 역할 전이하기

FSMO 역할을 전이하는 방법은 두 가지가 있습니다. GUI와 PowerShell입니다. 먼저 몇 가지 다른 MMC 스냅인을 통해 FSMO 역할 전이하는 방법을 알아보겠습니다.

RID 마스터, PDCe 및 인프라스트럭처 마스터

먼저 도메인별 FSMO 역할을 처리해 봅시다.

  1. ADUC(dsa.msc)를 엽니 다. 도메인을 마우스 오른쪽 단추로 클릭하고 Operations Masters를 선택하십시오. 여기에서 도메인에 고유한 모든 FSMO 역할(RID 마스터, PDCe 및 Infrastructure 마스터)이 RID, PDCInfrastructure 탭을 통해 나타납니다.
Domain-specific FSMO roles

2. 각 탭을 클릭하십시오. 현재 FSMO 역할 보유자(Operations master)와 변경 단추가 표시됩니다.

3. 각 탭 아래의 변경 단추를 클릭하고 RID 마스터, PDCe 및 Infrastructure 마스터 FSMO 역할을 전송할 새 DC를 선택하십시오.

도메인 네이밍 마스터

다음으로, 도메인 네이밍 마스터 역할로 이동합시다. 이 FSMO 역할을 Active Directory 도메인 및 신뢰 콘솔에서 확인하고 변경할 수 있습니다.

  1. Active Directory 도메인 및 신뢰 콘솔(domain.msc)을 엽니다.

2. Active Directory 도메인 및 신뢰 상위 노드를 마우스 오른쪽 단추로 클릭하고 Operations Master를 클릭하십시오. 여기에서 현재 이 역할을 보유하고 있는 DC가 도메인 네임 연산 마스터로 설명됩니다.

3. 변경 단추를 클릭하고 전송하려는 DC를 선택하십시오.

Transferring the domain naming master FSMO role

스키마 마스터

마지막으로 스키마 마스터 역할입니다. 이 역할을 변경하려면 Active Directory 스키마 MMC 스냅인이 필요합니다.

시작하기 전에 먼저 스키마 관리자 AD 그룹의 계정으로 로그인되어 있는지 확인하십시오.

  1. 개발된 명령 프롬프트 또는 PowerShell 콘솔을 열고 regsvr32.exe "schmmgmt.dll"을(를) 실행하십시오. 기본적으로 Active Directory 스키마 스냅인이 제공되지 않습니다. 이 명령은 스키마 관리에 필요한 DLL을 등록합니다.

2. mmc.exe 유틸리티를 엽니다.

3. 파일을 클릭하고 추가/제거 스냅인을 선택하십시오.

4. 사용 가능한 스냅인에서 Active Directory 스키마를 선택하고 추가 >확인을 클릭하십시오.

Add the Active Directory Schema in the MMC console

5. 스냅인에 들어간 후, Active Directory 스키마 [<귀하의 도메인 이름>]을(를) 마우스 오른쪽 버튼으로 클릭하고 팝업 창에서 현재 스키마 마스터를 확인하려면 작업 마스터를 선택하십시오.

6. 변경을 클릭하고 새로운 DC를 선택하여 스키마 마스터 역할을 이전하십시오.

Transferring the Schema Master role

PowerShell을 사용하여 FSMO 역할 이전

명령 줄에 더 익숙하다면 PowerShell이 도와드립니다.

현재 FSMO 역할 보유자 보기

PowerShell로 전환하기 전에 현재 FSMO 역할 보유자를 확인하는 방법을 먼저 알아봅시다. 이를 위해 고도의 Windows PowerShell 콘솔을 열고 아래에 표시된대로 Get-ADDomainGet-ADForest를 실행하십시오.

Get-ADDomain
Get-ADForest
Running Get-ADDomain
Running Get-ADForest

FSMO 역할 이전

한번 DC가 현재 FSMO 역할을 보유하고 있는지 알면, 해당 역할을 전송할 수 있습니다. Windows PowerShell에서 이를 수행하려면 Move-ADDirectoryServerOperationMasterRole 명령을 사용하고 ChildDC1과 같은 DC에 FSMO 역할을 전송하려면 Identity 매개변수를 사용하고 그 뒤에 FSMO 역할의 이름을 입력하세요. 아래 예제는 RID 마스터 역할을 전송합니다.

Move-ADDirectoryServerOperationMasterRole -Identity "ChildDC1" RidMaster

FSMO 역할 이름으로는 PDCEmulator, RIDMaster, InfrastructureMaster, SchemaMaster, DomainNamingMaster를 사용할 수 있습니다.

Transferring FSMO roles with PowerShell

각 역할 이름을 쉼표로 구분하여 한 번에 하나 이상의 역할을 전송할 수도 있습니다. 예를 들어, Move-ADDirectoryServerOperationMasterRole -Identity "ChildDC1" PDCEmulator,InfrastructureMaster와 같이 입력합니다.

혹시 아주 게으르거나 긴 이름을 입력하기 귀찮은 경우 숫자를 사용하여 각 FSMO 역할에 해당하는 번호를 사용할 수도 있습니다.

Role Name Number
PDCEmulator 0
RIDMaster 1
InfrastructureMaster 2
SchemaMaster 3
DomainNamingMaster 4

역할 이름 대신 식별자를 사용하면, PDCE 역할을 전송하는 명령은 다음과 같이 간단해집니다. Move-ADDirectoryServerOperationMasterRole ChildDc2 0

FSMO 역할 이름을 전송하려는지 확인하는 프롬프트가 표시되므로, 자신이 무엇을 하는지 잘 알고 있는지 확인하세요. 이 작업이 빈번하지 않기 때문에 전송하려는 역할의 전체 이름을 사용하는 것이 좋습니다. 특히 다른 사람이 사용할 스크립트에서 해당 명령을 사용하는 경우에는 더욱 명확합니다.

The short, lazy way to transfer the PDCE role

GUI를 사용하여 FSMO 역할 장악하기

FSMO 역할을 한 DC에서 다른 DC로 옮기려면 역할을 전송하는 것이 항상 최선의 선택입니다. 전송은 FSMO 역할이 이전 DC에서 완전히 제거되고 새로운 DC로 전송되도록 보장합니다. 그러나 모든 것이 항상 계획대로 진행되지는 않습니다.

DC가 더 이상 온라인이 아니거나 어떤 방식으로든 실패한 경우 현재 역할 보유자를 다시 온라인으로 가져올 수 없다고 확신하는 경우에만 FSMO 역할을 선점하세요. 역할이 선점되면 이전 FSMO 역할 보유자가 다시 가져와지지 않도록 확인하세요.

GUI를 사용하여 역할을 선점하는 것은 Active Directory Users and Computers (ADUC) 콘솔에서 DC 컴퓨터 계정을 제거함으로써 수행됩니다. 다음과 같이 진행하십시오:

  1. 먼저 ADUC를 FSMO 역할을 전송하려는 DC에 연결합니다. 이를 위해 ADUC에서 루트 Active Directory Users and Computers 노드를 마우스 오른쪽으로 클릭하고 도메인 컨트롤러 변경을 클릭합니다.

2. 연결하려는 DC를 찾아 연결합니다.

3. 도메인 컨트롤러 OU를 클릭합니다.

4. FSMO 역할을 선점하려는 DC에 마우스 오른쪽 버튼을 클릭하고 삭제를 클릭합니다.

Right-click the offline DC account and select Delete

5. 그런 다음 첫 두 프롬프트를 로 클릭합니다.

Click OK to continue with the deletion process.
Confirm that you want to delete a DC that is a GC

6. 마지막으로 DC가 FSMO 역할 보유자였음을 나타내는 프롬프트가 나타납니다. 역할은 다른 DC로 이동됩니다. 이제 ADUC 콘솔이 연결된 DC가 됩니다. 확인을 클릭하면 오프라인 DC의 컴퓨터 계정이 삭제되고 역할이 쥐어집니다. 그리고 새로운 DC로 이동됩니다.

You get a final prompt that the FSMO role(s) will be transferred to another DC. Click OK to seize the role(s) and to complete the deletion wizard

PowerShell을 사용하여 FSMO 역할 쥐어짐

PowerShell을 사용하여 FSMO 역할을 쥐어지려면 Windows PowerShell이 열려 있어야 하며 Move-ADDirectoryServerOperationMasterRole을 실행하십시오. 새 DC의 이름을 Identity 매개변수 값으로 제공하고 Force 매개변수도 함께 사용합니다.

아래 예제는 RID 마스터 역할을 쥐어주고 NewDC3 DC에 할당하는 것입니다.

Move-ADDirectoryServerOperationMasterRole -Identity "NewDC3" RidMaster -Force

전이에 사용된 FSMO 역할 이름은 Move-ADDirectoryServerOperationMasterRole cmdlet에도 적용됩니다.

결론

FSMO 역할을 이동하는 것은 일상적인 작업은 아니지만 새로운 DC를 승격하고 이전 DC를 해제하며 서버를 폐기할 때 FSMO 역할에 대해 알아야 합니다.

이 자습서의 단계를 따라이 작업을 완료하세요!

Source:
https://adamtheautomator.com/transfer-fsmo-roles/