내보내기(0) 인쇄
모두 확장
이 항목은 아직 평가되지 않았습니다.- 이 항목 평가

부록 A: Active Directory 도메인을 Windows Server 2008 AD DS 도메인으로 업그레이드에 대한 배경 정보

업데이트 날짜: 2010년 2월

적용 대상: Windows Server 2008, Windows Server 2008 R2

Windows 2000 또는 Windows Server 2003 Active Directory 환경을 Windows Server 2008 AD DS(Active Directory 도메인 서비스)로 업그레이드하는 프로세스를 시작하기 전에 업그레이드 프로세스에 영향을 주는 몇 가지 중요한 사항을 확인합니다.

Active Directory 준비 도구

AD DS로 업그레이드하거나 Windows Server 2008 기반 도메인 컨트롤러를 도입하기 위해 Windows 2000 또는 Windows Server 2003 포리스트 및 도메인을 준비하려면 Active Directory 준비 도구(Adprep.exe)를 사용해야 합니다. Adprep.exe는 Windows Server 2008 운영 체제 DVD의 \sources\adprep 폴더에 있습니다.

Adprep.exe는 첫 번째 Windows Server 2008 기반 도메인 컨트롤러를 설치하기 전에 일련의 작업을 수행하여 AD DS 업그레이드에 대해 포리스트와 도메인을 준비합니다. 이러한 작업은 다음과 같습니다.

  • 환경의 이전 스키마 수정 내용을 유지하는 동시에 Adprep.exe 도구에서 제공하는 새 스키마 정보를 사용하여 현재 스키마 확장

  • 향상된 보안 및 도메인과의 상호 운용성을 위해 디렉터리 전체 컨테이너 및 개체에 대한 사용 권한 다시 설정

  • 도메인을 관리하는 관리 도구를 로컬 컴퓨터로 복사

Adprep.exe를 사용하여 환경을 준비하는 방법에 대한 자세한 내용은 인프라 업그레이드 준비를 참조하십시오.

DNS에 대한 응용 프로그램 디렉터리 파티션

응용 프로그램 디렉터리 파티션은 동일한 포리스트의 특정 도메인 컨트롤러 집합에 복제될 수 있는 응용 프로그램별 데이터의 저장소를 제공합니다. 포리스트에 Windows Server 2008을 실행하는 도메인 컨트롤러가 하나 이상 있고 도메인 명명 마스터에서 Windows Server 2008을 실행하는 경우 응용 프로그램 디렉터리 파티션을 이용할 수 있습니다.

예를 들어 응용 프로그램 디렉터리 파티션을 사용하여 Windows Server 2008 기반 도메인 컨트롤러의 DNS(Domain Name System) 데이터를 저장할 수 있습니다. 새로 만들거나 업그레이드된 Windows Server 2008 기반 도메인 컨트롤러에 DNS 서버 서비스를 설치하면 자동으로 각 도메인과 포리스트에 DNS 관련 응용 프로그램 디렉터리 파티션이 만들어집니다. AD DS 설치 중에 응용 프로그램 디렉터리 파티션이 만들어지지 않으면 서비스가 시작될 때마다 DNS에서 파티션을 만듭니다. 기본 DNS 응용 프로그램 디렉터리 파티션을 비롯한 응용 프로그램 디렉터리 파티션을 만들고 삭제하려면 도메인 명명 작업 마스터 역할 소유자가 Windows Server 2008 기반 도메인 컨트롤러에 있어야 합니다.

AD DS 설치 중에 만들어지는 DNS 관련 응용 프로그램 디렉터리 파티션은 다음과 같습니다.

  • ForestDnsZones - 동일한 포리스트의 모든 DNS 서버에서 공유되는 포리스트 전체에 걸친 응용 프로그램 디렉터리 파티션

  • DomainDnsZones - 동일한 도메인의 각 DNS 서버에 대한 도메인 전체에 걸친 응용 프로그램 디렉터리 파티션

서비스(SRV) 리소스 레코드

Windows Server 2008 기반 도메인 컨트롤러 Net Logon 서비스는 동적 업데이트를 사용하여 서비스(SRV) 리소스 레코드를 DNS 데이터베이스에 등록합니다. 이 SRV 리소스 레코드는 서비스 이름(예: LDAP(Lightweight Directory Access Protocol) 서비스)을 해당 서비스를 제공하는 서버의 DNS 컴퓨터 이름에 매핑하는 데 사용됩니다. Windows Server 2008 네트워크에서 LDAP 리소스 레코드는 도메인 컨트롤러를 찾습니다. Windows Server 2008 기반 도메인에 로그온하는 워크스테이션은 다음과 같은 일반 형식으로 서비스(SRV) 리소스 레코드에 대해 DNS를 쿼리합니다.

_<Service>._<Protocol>.<DnsDomainName>

여기서 <서비스>는 요청된 서비스이고, <프로토콜>은 요청된 프로토콜이며, <DNS 도메인 이름>은 AD DS 도메인의 정규화된 DNS 이름입니다.

AD DS 서버에서 TCP 프로토콜을 통해 LDAP 서비스를 제공하므로 클라이언트는 다음 형식의 레코드에 대해 DNS를 쿼리하여 LDAP 서버를 찾습니다.

_ldap._tcp.<DnsDomainName>

note참고
네임스페이스의 기존 이름과 잠재적 충돌을 방지하기 위해 서비스 및 프로토콜 문자열에는 밑줄( _ ) 접두사가 필요합니다.

이 형식은 Windows Server 2008 기반 도메인 컨트롤러가 아닌 LDAP 서버 구현과 Windows Server 2008을 실행하는 서버가 아닌 글로벌 카탈로그 서버를 사용하는 LDAP 디렉터리 서비스의 가능한 구현에 적용할 수 있습니다.

_msdcs.domain_name 하위 도메인

이 Microsoft 관련 하위 도메인을 통해 도메인에서 Windows Server 2008 관련 역할이 있는 도메인 컨트롤러를 찾을 수 있습니다. 도메인 이름이 바뀐 경우 이 하위 도메인을 통해 GUID(Globally Unique Identifier)로 도메인 컨트롤러를 찾을 수도 있습니다.

Windows Server 2008 기반 도메인 컨트롤러를 쉽게 찾을 수 있도록 표준 _Service._Protocol.<DNS 도메인 이름> 형식 레코드뿐 아니라 Net Logon 서비스도 잘 알려진 서버 유형 약어인 "dc"(도메인 컨트롤러), "gc"(글로벌 카탈로그), "pdc"(주 도메인 컨트롤러) 및 "domains"(GUID)를 접두사로 식별하는 서비스(SRV) 리소스 레코드를 _msdcs.<domain_name> 하위 도메인에 등록합니다. 서버 유형이나 GUID(약어 "dctype")로 도메인 컨트롤러를 찾을 수 있도록 Windows Server 2008 기반 도메인 컨트롤러는 다음 형식의 서비스(SRV) 리소스 레코드를 _msdcs.<domain_name> 하위 도메인에 등록합니다.

_Service._Protocol.DcTyle._msdcs.<DnsDomainName>

_msdcs.forest_root_domain 하위 도메인

_msdcs.forest_root_domain 하위 도메인은 포리스트의 모든 부분에 있는 클라이언트 및 도메인 컨트롤러와 관련된 포리스트 전체에 걸친 리소스 레코드를 저장합니다. 예를 들어 포리스트의 모든 도메인 컨트롤러는 별칭(CNAME)과 LDAP, Kerberos 및 GC SRV 리소스 레코드를 _msdcs.forest_root_domain 하위 도메인에 등록합니다. 별칭(CNAME) 리소스 레코드는 복제 시스템에서 복제 파트너를 찾는 데 사용되고 GC SRV 리소스 레코드는 클라이언트에서 글로벌 카탈로그 서버를 조회하는 데 사용됩니다.

동일한 도메인의 두 도메인 컨트롤러를 비롯하여 두 도메인 컨트롤러가 서로 복제하려면 포리스트 전체에 걸친 로케이터 레코드를 조회할 수 있어야 합니다. 새로 만든 도메인 컨트롤러가 복제에 참여하려면 DNS에 포리스트 전체에 걸친 레코드를 등록할 수 있어야 하고 다른 도메인 컨트롤러에서 해당 레코드를 조회할 수 있어야 합니다. 따라서 _msdcs.forest_root_domain 하위 도메인에 대한 권한이 있는 DNS 서버를 복제 및 글로벌 카탈로그 조회에 사용할 수 있어야 합니다.

이런 이유로 별도의 _msdcs.forest_root_domain 영역을 만들고 포리스트의 모든 DNS 서버에 복제되도록 해당 복제 범위를 정의하는 것이 좋습니다.

Windows 2000 Active Directory를 실행하는 일부 조직에서는 클라이언트가 보다 효율적으로 도메인 컨트롤러를 찾을 수 있도록 이미 _msdcs.forest_root_domain을 만들었습니다. _msdcs.forest_root_domain이 Windows 2000 환경에 있는 경우 포리스트의 모든 도메인 컨트롤러에서 Windows Server 2008을 실행하게 된 후 해당 영역을 ForestDnsZones 응용 프로그램 디렉터리 파티션으로 이동하는 것이 좋습니다. 뿐만 아니라 포리스트의 각 도메인에 대해 _msdcs.<domain_name> 영역을 해당 도메인의 DomainDnsZones 응용 프로그램 디렉터리 파티션으로 이동합니다.

Active Directory 통합 DNS 영역을 도메인 및 포리스트 전체에 걸친 응용 프로그램 디렉터리 파티션으로 이동하면 다음과 같은 이점이 있습니다.

  • 포리스트 전체에 걸친 응용 프로그램 디렉터리 파티션에서 지정한 도메인 외부에 복제할 수 있고 _msdcs.forest_root_domain을 포리스트 전체에 걸친 응용 프로그램 디렉터리 파티션으로 이동하면 포리스트에서 DNS 서버 서비스를 실행하는 모든 도메인 컨트롤러에 복제되므로 DNS 영역 전송을 사용하여 영역 파일 정보를 도메인 외부의 DNS 서버에 복제할 필요가 없습니다.

  • 도메인 전체에 걸친 복제를 대상으로 지정하면 관리자가 DNS 서버 서비스를 실행하는 도메인 컨트롤러 중 DNS 영역 데이터를 받을 수 있는 도메인 컨트롤러를 지정할 수 있으므로 복제 트래픽을 최소화할 수 있습니다.

  • 포리스트 전체에 걸친 복제를 대상으로 지정하면 DNS 데이터가 더 이상 글로벌 카탈로그에 복제되지 않으므로 복제 트래픽을 최소화할 수 있습니다.

  • 포리스트의 글로벌 카탈로그 서버에 있는 DNS 레코드가 제거되어 글로벌 카탈로그와 함께 복제되는 정보량이 최소화됩니다.

응용 프로그램 디렉터리 파티션을 사용하여 DNS 데이터를 저장하는 방법에 대한 자세한 내용은 DNS 데이터를 DNS 응용 프로그램 디렉터리 파티션으로 이동을 참조하십시오.

사이트 내 복제 빈도

Windows Server 2008로 업그레이드된 Windows 2000 기반 도메인 컨트롤러는 기본 사이트 내 복제 빈도인 300/30을 유지합니다. 즉, AD DS를 변경하면 포리스트 기능 수준을 Windows Server 2008로 올릴 때까지 변경 5분 후(300초)에 동일한 사이트의 다른 모든 도메인 컨트롤러에 변경 내용이 복제됩니다. 다음 도메인 컨트롤러에 알리기 전에 30초 오프셋이 있습니다. 포리스트 기능 수준을 Windows Server 2008로 올리면 AD DS의 복제 빈도가 Windows Server 2008 기본 설정인 15/3으로 변경됩니다. 즉, 변경 15초 후에 동일한 사이트의 모든 도메인 컨트롤러에 변경 내용이 복제됩니다. 다음 도메인 컨트롤러에 알리기 전에 3초 오프셋이 있습니다. Windows 2000에서 300/30 기본 복제 빈도 설정을 수정한 경우에는 업그레이드를 완료한 후 해당 설정이 Windows Server 2008의 15/3 기본 설정으로 변경되지 않습니다. 하지만 Windows Server 2008을 새로 설치하면 항상 15/3 사이트 내 복제 빈도 설정이 사용됩니다.

Important중요
Windows 2000 기반 도메인 컨트롤러에서 기본 300/30 사이트 내 복제 빈도를 수정하지 마십시오. 대신 Windows 2000 기반 도메인을 Windows Server 2008로 업그레이드하고 포리스트 기능 수준을 Windows Server 2008로 올려 15/3 사이트 내 복제 빈도를 이용합니다.

PDC를 업그레이드한 후 만들어지는 새 그룹 및 새 그룹 구성원

포리스트의 각 도메인에서 PDC(주 도메인 컨트롤러) 에뮬레이터 작업 마스터(Flexible Single Master Operations 또는 FSMO라고도 함) 역할을 소유한 Windows 2000 기반 도메인 컨트롤러를 Windows Server 2003으로 업그레이드하면 잘 알려진 몇 개의 새로운 기본 제공 그룹이 만들어집니다. 또한 몇 개의 새 그룹 구성원이 설정됩니다. PDC 에뮬레이터 작업 마스터 역할을 업그레이드하는 대신 Windows Server 2003 기반 또는 Windows Server 2008 기반 도메인 컨트롤러로 전송하는 경우 역할이 전송될 때 이러한 그룹이 만들어집니다. 잘 알려진 새로운 기본 제공 그룹은 다음과 같습니다.

  • Builtin\Remote Desktop Users

  • Builtin\Network Configuration Operators

  • Performance Monitor Users

  • Performance Log Users

  • Builtin\Incoming Forest Trust Builders

  • Builtin\Performance Monitoring Users

  • Builtin\Performance Logging Users

  • Builtin\Windows Authorization Access Group

  • Builtin\Terminal Server License Servers

새로 설정되는 그룹 구성원은 다음과 같습니다.

  • Everyone 그룹이 Pre–Windows 2000 Compatible Access 그룹에 있으면 Anonymous Logon 그룹과 Authenticated Users 그룹도 Pre–Windows 2000 Compatible Access 그룹에 추가됩니다.

  • Network Servers 그룹이 Performance Monitoring 별칭에 추가됩니다.

  • Enterprise Domain Controllers 그룹이 Windows Authorization Access 그룹에 추가됩니다.

또한 포리스트 루트 도메인에서 PDC 에뮬레이터 마스터 역할을 소유한 Windows 2000 기반 도메인 컨트롤러를 업그레이드하는 경우 다음과 같은 추가 보안 주체가 만들어집니다.

  • LocalService

  • NetworkService

  • NTLM Authentication

  • Other Organization

  • Remote Interactive Logon

  • SChannel Authentication

  • This Organization

포리스트의 각 도메인에서 PDC 에뮬레이터 마스터 역할을 소유한 Windows Server 2003 기반 도메인 컨트롤러를 Windows Server 2008로 업그레이드한 후, PDC 에뮬레이터 작업 마스터 역할을 기반 도메인 컨트롤러로 이동한 후 또는 RODC(읽기 전용 도메인 컨트롤러)를 Windows Server 2008 AD DS 도메인에 추가한 후 다음과 같은 잘 알려진 새로운 기본 제공 그룹이 만들어집니다.

  • Builtin\IIS_IUSRS

  • Builtin\Cryptographic Operators

  • Allowed RODC Password Replication 그룹

  • Denied RODC Password Replication 그룹

  • Read-only Domain Controllers

  • Builtin\Event Log Readers

  • Enterprise Read-only Domain Controllers(포리스트 루트 도메인에만 만들어짐)

  • Builtin\Certificate Service DCOM Access

새로 설정되는 그룹 구성원은 다음과 같습니다.

  • IUSR 보안 주체가 Builtin\IIS_IUSRS 그룹에 추가됩니다.

  • 다음 그룹이 Denied RODC Password Replication 그룹에 추가됩니다.

    • Group Policy Creator Owners

    • Domain Admins

    • Cert Publishers

    • Domain Controllers

    • Krbtgt

    • Enterprise Admins

    • Schema Admins

    • Read-only Domain Controllers

  • 네트워크 서비스 보안 주체가 Builtin\Performance Log Users에 추가됩니다.

  • 뿐만 아니라 포리스트 루트 도메인에 다음과 같은 새로운 추가 보안 주체가 만들어집니다.

  • IUSR

  • Owner Rights

  • Well-Known-Security-Id-System 보안 주체의 이름이 System으로 바뀝니다.

    note참고
    Windows 2000 기반 도메인 컨트롤러의 PDC 에뮬레이터 작업 마스터 역할을 기반 도메인 컨트롤러로 이동하면 위에서 설명한 잘 알려진 새로운 기본 제공 그룹과 새로 설정된 그룹 구성원이 모두 만들어집니다.

Windows 2000에서 Windows Server 2003으로 업그레이드할 때의 보안 정책 고려 사항

SMB(서버 메시지 블록) 패킷 서명과 보안 채널 서명은 Windows Server 2008 기반 도메인 컨트롤러에서 기본적으로 사용되는 보안 정책입니다. 이전 버전의 Windows를 실행하는 클라이언트에서 Windows Server 2008을 실행하는 도메인 컨트롤러와 통신할 수 있게 하려면 업그레이드 프로세스 중에 이러한 보안 정책을 일시적으로 사용하지 않도록 설정해야 할 수도 있습니다.

SMB 패킷 서명

SMB 패킷 서명은 클라이언트 컴퓨터와 서버 간에 SMB 트래픽의 데이터 무결성을 보호하고 일종의 상호 인증을 제공하여 악성 소프트웨어 공격을 방지하는 보안 메커니즘입니다. 이 작업을 수행하려면 디지털 보안 서명을 각 SMB 패킷에 배치합니다. 이 서명은 받는 상대에 의해 확인됩니다. Windows Server 2008 기반 도메인 컨트롤러에서 서버 쪽 SMB 서명은 기본적으로 필요합니다. 즉, 모든 클라이언트에서 SMB 패킷 서명이 사용하도록 설정되어 있어야 합니다.

Windows NT 4.0 SP2(서비스 팩 2) 이전이나 특정 타사 운영 체제를 실행하는 클라이언트는 SMB 패킷 서명을 지원하지 않습니다. 해당 클라이언트는 Windows Server 2008 기반 도메인 컨트롤러에 인증할 수 없습니다. 인증에 성공하려면 해당 클라이언트를 이후 버전의 운영 체제나 서비스 팩으로 업그레이드합니다. 하지만 클라이언트를 업그레이드할 수 없는 경우 모든 Windows Server 2008 기반 도메인 컨트롤러에서 SMB 패킷 서명이 허용되지만 필수는 아니도록 SMB 패킷 서명을 구성하여 인증을 받도록 할 수 있습니다.

Windows Server 2008 기반 도메인 컨트롤러에서 SMB 패킷 서명을 구성하는 방법에 대한 자세한 내용은 Windows Server 2008 기반 도메인 컨트롤러의 기본 보안 정책 수정을 참조하십시오.

보안 채널 서명 및 암호화

컴퓨터가 도메인의 구성원이 되면 컴퓨터 계정이 만들어집니다. 컴퓨터는 시작될 때마다 컴퓨터 계정 암호를 사용하여 해당 도메인의 도메인 컨트롤러와 보안 채널을 만듭니다. 이 보안 채널은 도메인 구성원과 해당 도메인의 도메인 컨트롤러 간 보안 통신에 사용됩니다. Windows Server 2008 기반 도메인 컨트롤러에서 보안 채널 서명은 기본적으로 필요합니다. 즉, 모든 클라이언트에서 보안 채널 서명과 암호화를 사용하도록 설정해야 합니다.

Windows NT 4.0 SP3(서비스 팩 3) 이전이 설치되어 실행되는 클라이언트는 보안 채널 서명을 지원하지 않습니다. 해당 클라이언트는 Windows Server 2008 기반 도메인 컨트롤러와 통신을 설정할 수 없습니다. 통신에 성공하려면 해당 클라이언트를 이후 버전의 운영 체제나 서비스 팩으로 업그레이드합니다. 하지만 클라이언트를 업그레이드할 수 없는 경우 보안 채널을 통과하는 트래픽이 서명 또는 암호화될 필요가 없도록 모든 Windows Server 2008 기반 도메인 컨트롤러에서 보안 채널 서명을 사용하지 않도록 설정해야 합니다.

Windows Server 2003 기반 도메인 컨트롤러의 보안 채널 서명 구성에 대한 자세한 내용은 Windows Server 2008 기반 도메인 컨트롤러의 기본 보안 정책 수정을 참조하십시오.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft. All rights reserved.