내보내기(0) 인쇄
모두 확장
확장 최소화

Windows Server 2003 서비스 팩 1의 Active Directory

적용 대상: Windows Server 2003 with SP1

Active Directory의 기능은 무엇입니까?

Active Directory®는 네트워크의 개체에 대한 정보를 저장하여 사용자와 네트워크 관리자가 이 정보를 사용할 수 있도록 해 주는 디렉터리 서비스입니다. 일반적으로 Active Directory 개체는 서버, 볼륨, 프린터, 네트워크 사용자 및 컴퓨터 계정 같은 공유 리소스를 포함하고 있습니다.

Active Directory는 다음으로 구성되어 있습니다.

  • 스키마. 디렉터리에 들어 있는 개체와 특성의 클래스, 이러한 개체의 인스턴스에 대한 제약 조건과 제한 사항, 개체의 형식을 정의하는 규칙의 집합입니다.

  • 글로벌 카탈로그. 이 데이터 저장소에는 디렉터리의 모든 개체에 대한 정보가 들어 있습니다. 사용자와 관리자는 이 정보를 사용하여 실제로 디렉터리의 어느 도메인에 해당 데이터가 들어 있는지에 관계없이 디렉터리 정보를 찾을 수 있습니다.

  • 쿼리 및 인덱스. 네트워크 사용자나 응용 프로그램은 이 메커니즘을 사용하여 개체 및 개체 속성을 게시하고 찾을 수 있습니다.

  • 복제 서비스. 이 서비스는 디렉터리 데이터를 네트워크를 통해 배포합니다. 도메인의 모든 도메인 컨트롤러는 복제에 참여하고 자신의 도메인에 대한 모든 디렉터리 정보의 전체 복사본을 포함합니다. 디렉터리 데이터의 모든 변경 사항은 도메인 내의 모든 도메인 컨트롤러로 복제됩니다.

  • Active Directory 클라이언트 소프트웨어. Active Directory 클라이언트는 Windows 2000 Professional 또는 Windows XP Professional에서 사용할 수 있는 Active Directory의 많은 기능을 Windows 95, Windows 98 및 Windows NT 4.0을 실행 중인 컴퓨터에서 사용할 수 있도록 해 줍니다.

이 기능의 적용 대상은 누구입니까?

Windows Server 2003 서비스 팩 1(SP1)에 대한 Active Directory의 변경 내용은 다음 사용자에게 적용됩니다.

  • Active Directory 관리자, Active Directory 스키마 관리자, DNS 관리자 및 도메인 컨트롤러 관리자 같이 Active Directory를 지원하는 IT 전문가.

  • 지원 부서 전문가.

  • 응용 프로그램 개발자.

  • 시스템 통합자.

Windows Server 2003 서비스 팩 1에서 변경된 기능은 무엇입니까?

디렉터리 서비스 백업 알림

이벤트 ID가 2089인 새 이벤트 메시지는 응용 프로그램 디렉터리 파티션과 ADAM(Active Directory 응용 프로그램 모드) 파티션을 포함하여 도메인 컨트롤러가 저장하는 각 디렉터리 파티션의 백업 상태를 알려 줍니다. 백업 대기 간격(삭제 표시 수명) 동안 파티션이 백업되지 않은 경우 이 이벤트는 디렉터리 서비스 이벤트 로그에 기록되며 파티션이 백업될 때까지 매일 계속됩니다.

추가 복제 보안 및 더 적은 복제 오류

Active Directory가 제거된 도메인 컨트롤러에 대한 복제 메타데이터는 대기 기간이 구성될 수 있더라도 기본적으로 더 오래 보관되지 않습니다. 이 변경으로 복제 보안이 향상되고 역할이 해제된 도메인 컨트롤러를 사용한 복제 시도의 실패로 발생하는 복제 오류 메시지가 제거됩니다. 복제 메타데이터 보관에 대한 자세한 내용은 Microsoft 웹 사이트(http://go.microsoft.com/fwlink/?LinkId=46510)의 "How the Active Directory Replication Model Works"를 참조하십시오.

DNS 서버 설치를 위한 미디어에서 설치의 향상된 기능

미디어에서 설치의 향상된 기능을 사용하면 새 도메인 컨트롤러를 설치할 때 사용하는 백업 미디어에 응용 프로그램 디렉터리 파티션을 포함하도록 새로운 옵션을 제공하여 DNS 서버인 새 도메인 컨트롤러를 쉽게 만들 수 있습니다. 이 옵션을 사용하면 DNS 서버가 작동하기 전에 DomainDNSZones과 ForestDNSZones 응용 프로그램 디렉터리 파티션을 복제해야 하는 요구 사항을 제거할 수 있습니다.

복제 및 DNS 테스트에 대해 향상된 기능

Windows 지원 도구에 들어 있는 Dcdiag.exe 명령줄 도구는 Active Directory 보안에 관한 복제의 전반적인 상태에 대해 새로운 보고를 제공합니다. 이 테스트는 테스트된 각 도메인 컨트롤러에 대한 상세한 정보와 보안 오류의 진단 결과를 요약하여 제공합니다. 또한 Dcdiag.exe에는 연결, 서비스 가용성, 전달자 및 루트 힌트, 위임, 동적 업데이트, 로케이터 레코드 등록, 외부 이름 확인 및 엔터프라이즈 인프라에 대한 새로운 DNS 테스트가 들어 있습니다. 이러한 테스트는 한 대의 도메인 컨트롤러나 포리스트의 모든 도메인 컨트롤러에 대해 수행할 수 있습니다. Dcdiag.exe의 변경 내용에 대한 자세한 내용은 이 문서의 Dcdiag.exe 섹션을 참조하십시오.

가상 머신에서 도메인 컨트롤러 실행 지원

Windows Server 2003 및 Microsoft Virtual Server 2005를 실행 중인 단일 실제 서버에서 별도의 가상 머신에 Windows Server 2003과 Microsoft Virtual Server 2005 도메인 컨트롤러를 다수 설치할 수 있습니다. 이런 플랫폼은 테스트 환경에 적합합니다. 가상 머신을 사용하면 동일한 도메인에 대해 다수의 도메인과 다수의 도메인 컨트롤러를 효과적으로 호스팅하고 단일 운영 체제를 실행 중인 실제 서버 한 대에 다수의 포리스트를 호스팅할 수 있습니다. 또한 Windows Server 2003 SP1은 디렉터리 손상을 방지하는 보호 기능을 제공합니다. 디렉터리 손상은 잘못된 도메인 컨트롤러의 이미지백업이나 복원으로 인해 발생할 수 있습니다. 가상 머신에서 도메인 컨트롤러를 실행하는 방법에 대한 자세한 내용은 Microsoft 웹 사이트(http://go.microsoft.com/fwlink/?LinkId=38330)에서 "Running Domain Controllers in Virtual Server 2005"를 참조하십시오.

작업 마스터 상태와 상태 보고

FSMO(Flexible Single-Master Operations)라고도 하는 작업 마스터 역할을 하는 도메인 컨트롤러를 필요로 하는 작업을 수행할 수 없을 경우 이제 이벤트는 Directory Service 이벤트 로그에 기록됩니다. 이벤트는 존재하지 않는 역할 소유자, 존재하지만 사용할 수 없는 역할 소유자, 사용할 수 있지만 접속 도메인 컨트롤러를 사용하여 최근에 복제되지 않은 역할 소유자 등을 식별합니다. 작업 마스터에 대한 자세한 내용은 Microsoft 웹 사이트(http://go.microsoft.com/fwlink/?LinkId=38333)의 "How Operations Masters Work"를 참조하십시오.

삭제된 개체의 확장된 저장

삭제된 개체의 사본이 Active Directory에서 유지되는 기본 기간은 삭제 표시 수명이라고 하며 60일에서 180일로 확장되었습니다. 삭제 표시 수명이 길어지면 삭제된 개체가 해당 개체가 온라인 도메인 컨트롤러에서 영구적으로 삭제된 시간 이후로 연결이 끊어진 도메인 컨트롤러에 남아 있을 기회가 감소합니다. 삭제 표시 수명은 Windows Server 2003 SP1로 업그레이드할 때 자동으로 변경되지 않지만 업그레이드 후에 삭제 표시 수명을 수동으로 변경할 수 있습니다. Windows Server 2003 SP1과 함께 설치된 새 포리스트의 기본 삭제 표시 수명은 180일입니다. 삭제 표시 수명에 대한 자세한 내용은 Microsoft 웹 사이트(http://go.microsoft.com/fwlink/?LinkId=38339)의 "How the Data Store Works"를 참조하십시오.

향상된 도메인 컨트롤러 이름 확인

복제 파트너와 글로벌 카탈로그 서버를 찾는 동안 발생할 수 있는 DNS(도메인 이름 시스템) 이름 확인 실패에 응답하기 위해 Windows Server 2003 SP1을 실행 중인 도메인 컨트롤러는 등록되었을 수도 있는 다른 변형된 서버 이름을 요청합니다. 이렇게 하면 DNS 지연 및 잘못된 구성으로 인한 실패가 줄어듭니다. DNS 이름 확인에 대한 자세한 내용은 Microsoft 웹 사이트(http://go.microsoft.com/fwlink/?LinkId=38335)의 "How DNS Support for Active Directory Works"를 참조하십시오.

서버 메타데이터 제거의 간소화된 처리

Active Directory 데이터베이스 관리를 위한 Ntdsutil.exe 명령줄 도구에는 도메인 컨트롤러 메타데이터를 쉽게 제거할 수 있도록 해 주는 새로운 명령이 들어 있습니다. 서버, 도메인 및 사이트에 대한 연결 같은 준비 단계는 더 이상 필요하지 않습니다. 제거할 서버를 지정하기만 하면 됩니다. 또한 삭제를 수행할 서버를 지정할 수 있습니다. Ntdsutil.exe의 변경 내용에 대한 자세한 내용은 이 문서의 Ntdsutil.exe 섹션을 참조하십시오.

기밀 특성 보호를 위해 향상된 보안

다른 개체 특성에 대해 읽기 액세스를 허용하면서도 주민 등록 번호 같은 기밀 특성에 대한 읽기 액세스를 방지하려면 각 attributeSchema 개체에 검색 플래그를 설정하여 특정 특성을 기밀로 지정할 수 있습니다. 기본적으로 도메인 관리자만이 기밀 특성에 대해 읽기 액세스를 가지고 있으나 이 액세스를 위임할 수 있습니다. 특성 액세스에 대한 자세한 내용은 Microsoft 웹 사이트(http://go.microsoft.com/fwlink/?LinkId=45972)의 "How Security Descriptors and Access Control Lists Work"를 참조하십시오.

삭제 표시에 대한 SID 기록 보존

개체가 삭제될 때 개체 삭제 표시에 보존되는 특성 집합에 sIDHistory 특성이 추가되었습니다. 삭제 표시 개체가 다시 활성화되면, 즉 삭제되지 않으면 sIDHistory 특성은 이제 개체와 함께 복원됩니다. 삭제 표시에 대한 자세한 내용은 Microsoft 웹 사이트(http://go.microsoft.com/fwlink/?LinkId=45973)의 "How the Data Store Works"를 참조하십시오.

Windows 2000 Server 업그레이드를 위해 Adprep.exe의 향상된 내용

Adprep.exe 도구는 업그레이드하는 동안 SYSVOL 파일의 업데이트로 인해 야기되는 FRS(파일 복제 서비스) 동기화의 영향을 줄일 수 있도록 향상되었습니다. Adprep.exe는 Windows 2000 Server 스키마를 Windows Server 2003 스키마로 업그레이드하고 Windows Server 2003 도메인 컨트롤러가 작동하는 데 필요한 SYSVOL을 포함하여 포리스트별 구성이나 도메인별 구성을 업데이트하는 데 사용됩니다. 이제 이 도구를 사용하여 도메인 업그레이드를 준비할 때 SYSVOL 작업을 별도의 단계로 수행할 수 있습니다. 새 스위치 /gpprep이 추가되어 업그레이드한 후에 편리할 때 SYSVOL을 업데이트합니다. 이전에는 디렉터리와 SYSVOL 모두를 업데이트했던 adprep /domainprep 명령은 이제 디렉터리만 업데이트할 수 있습니다. 또한 Adprep.exe는 업그레이드를 차단했던 타사의 스키마 확장을 이제 감지하고 차단 확장을 식별하고 수정 사항을 권장합니다. Microsoft Exchange Server 스키마 개체도 감지되므로 InetOrgPerson 명명을 수행하도록 Exchange Server 스키마를 적절하게 준비할 수 있습니다. Adprep.exe의 변경 사항에 대한 자세한 내용은 이 문서의 Adprep.exe 섹션을 참조하십시오.

Active Directory 사용자 및 컴퓨터에서 개체의 끌어서 놓기에 대한 변경 사항

Windows Server 2003 서비스 팩1에서는 고객의 피드백에 따라 Active Directory 사용자 및 컴퓨터 MMC(Microsoft Management Console) 스냅인의 끌어서 놓기 동작에 대해 두 가지가 변경되었습니다.

우선, 이제는 기본적으로 Active Directory 사용자 및 컴퓨터 MMC(Microsoft Management Console) 스냅인에서 개체를 끌어서 놓을 때 확인 대화 상자가 나타납니다. Windows Server 2003에서도 Active Directory 사용자 및 컴퓨터에서 끌어서 놓기 지원이 가능했지만 개체를 이동할 때 확인 대화 상자는 나타나지 않았습니다. 이럴 경우 개체를 보다 쉽게 이동할 수 있지만 실수로 잘못된 위치에 개체를 이동할 수도 있으므로 클라이언트 워크스테이션에서 중요한 리소스에 액세스할 수 없게 됩니다. 관리자는 끌어서 놓기 동작에 확인 대화 상자를 추가하여 조직에 영향을 미치기 전에 미리 부주의한 오류를 해결할 수 있게 됩니다. 표시되는 확인 대화 상자에는 스냅인이 열려 있을 때에는 이 경고를 표시하지 않음 확인란이 있습니다.

사용자가 스냅인이 열려 있을 때에는 이 경고를 표시하지 않음 확인란을 선택하면 현재 스냅인 세션 내내 이 확인 대화 상자는 더 이상 나타나지 않습니다. 해당 스냅인 세션에서는 계속해서 끌어서 놓기를 시도해도 확인 대화 상자가 나타나지 않습니다.

사용자가 스냅인이 열려 있을 때에는 이 경고를 표시하지 않음 확인란을 선택하지 않으면 개체를 끌거나 놓으려고 할 때마다 이 경고 메시지가 나타납니다.

둘째, 관리자는 표시 지정자 컨테이너의 flags 특성을 설정하여 끌어서 놓기를 전혀 사용할 수 없도록 선택할 수 있습니다. 이 표시 지정자 컨테이너는 다음 디렉터리에 있습니다. CN=DisplaySpecifiers,CN=Configuration,DC=<insert domain name>. 이 특성은 Windows 지원 도구로 제공된 ADSIedit.msc를 사용하여 설정할 수 있습니다.

전체 동작은 다음과 같습니다.

  • flags 특성이 값으로 설정된 경우 끌어서 놓기를 사용할 수 없습니다. 기본값이 아닙니다.

  • flags 특성이 설정되지 않은 경우(기본값) 사용자는 Active Directory 컴퓨터 및 사용자 MMC 스냅인에서 개체를 이동할 때 끌어서 놓기를 사용할 수 있습니다.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft