내보내기(0) 인쇄
모두 확장
이 항목은 아직 평가되지 않았습니다.- 이 항목 평가

AD DS의 새로운 기능: Active Directory 휴지통

업데이트 날짜: 2009년 1월

적용 대상: Windows Server 2008 R2

주요 변경 내용

AD DS(Active Directory Domain Services) 및 Active Directory AD LDS(Lightweight Directory Services) 사용자는 실수로 Active Directory 개체를 삭제하는 경우가 종종 있습니다.

Windows Server 2008 Active Directory 도메인에서는 실수로 삭제한 개체를 Windows Server 백업을 통해 작성한 AD DS 백업으로부터 복구할 수 있습니다. 정식 복원 명령인 ntdsutil 명령을 사용하여 개체를 정식 복원용으로 표시함으로써 복원된 데이터가 도메인 전체에 복제되었는지 확인할 수 있습니다. 정식 복원 솔루션은 DSRM(디렉터리 서비스 복원 모드)에서 수행해야 한다는 단점이 있습니다. DSRM에서는 복원 중인 도메인 컨트롤러가 오프라인 상태를 유지해야 합니다. 따라서 클라이언트 요청을 처리할 수 없습니다.

또한 Windows Server 2003 Active Directory 및 Windows Server 2008 AD DS에서는 삭제 표시 항목 재사용을 통해 삭제된 Active Directory 개체를 복구할 수 있습니다. Windows Server 2003 및 Windows Server 2008에서는 삭제된 Active Directory 개체가 실제로 데이터베이스에서 즉시 제거되지는 않습니다. 대신 개체의 DN(고유 이름)을 알아보지 못하도록 변경하고 개체의 연결되지 않은 값 특성을 대부분 지우며 연결된 모든 값 특성을 물리적으로 제거한 후 개체를 삭제된 개체라는 개체의 NC(명명 컨텍스트)에 있는 특수 컨테이너로 이동합니다. 이렇게 이동된 개체를 삭제 표시 항목이라고 하며 일반 디렉터리 작업에 표시되지 않습니다 삭제 표시 항목은 수명 기간 내에 언제든지 재사용할 수 있습니다. 그러면 삭제 표시 항목이 다시 활성 Active Directory 개체가 됩니다. Windows Server 2003 및 Windows Server 2008에서 기본 삭제 표시 항목 수명은 180일입니다. 삭제 표시 항목 재사용을 사용하면 도메인 컨트롤러 또는 AD LDS 인스턴스를 오프라인으로 전환하지 않고 삭제된 개체를 복구할 수 있습니다. 하지만 물리적으로 제거된 재사용 개체의 연결된 값 특성(예: 사용자 계정의 그룹 구성원)과 연결되어 있지 않아서 지워진 값 특성은 복구되지 않습니다. 따라서 삭제 표시 항목 재사용 명령은 실수로 삭제한 개체에 대한 궁극적인 해결 방안이 되지는 못합니다.

Windows Server 2008 R2에서는 기존의 삭제 표시 항목 재사용 인프라에 Active Directory 휴지통이 작성되므로 실수로 삭제한 Active Directory 개체를 보존하여 보다 쉽게 복구할 수 있습니다. 삭제 표시 항목 재사용에 대한 자세한 내용은 Active Directory 삭제 표시 항목 개체 재사용(http://go.microsoft.com/fwlink/?LinkID=125452)을 참조하십시오.

Windows Server 2008 R2의 Active Directory 휴지통은 디렉터리 서비스 중단 시간을 최소화할 수 있도록 해줍니다. Active Directory 휴지통을 사용하면 실수로 삭제한 Active Directory 개체를 보존하여 완전하게 복원할 수 있으므로, 백업에서 Active Directory 데이터를 복원하거나, AD DS를 다시 시작하거나 도메인 컨트롤러를 다시 부팅할 필요가 없습니다.

Active Directory 휴지통의 기능

Active Directory 휴지통을 사용할 경우 삭제된 Active Directory 개체의 모든 연결된 값 특성과 연결되지 않은 값 특성이 보관되고, 개체는 삭제 바로 전과 동일하게 일관된 논리적인 상태로 복원됩니다. 예를 들어 복원된 사용자 계정은 삭제 바로 전에 도메인에서 갖고 있었던 모든 그룹 구성원 자격과 해당하는 액세스 권한을 자동으로 다시 얻게 됩니다. Active Directory 휴지통은 AD DS 및 AD LDS 환경에서 모두 작동합니다.

이 기능의 대상 사용자

Windows Server 2008 R2의 Active Directory 휴지통 기능이 특히 유용할 수 있는 그룹은 다음과 같습니다.

  • Windows Server 2008 R2 얼리어답터, Windows Server 2008 R2를 평가하는 IT(정보 기술) 관리자, 계획자 및 분석가

  • 엔터프라이즈 IT 계획자 및 디자이너

  • 네트워크 및 서버 관리, IT 하드웨어 및 소프트웨어 예산 및 기술적 결정을 담당하는 IT 작업 관리자

  • Active Directory 관리자

특별 고려 사항

  • 기본적으로 Active Directory 휴지통은 사용되지 않도록 설정됩니다. Active Directory 휴지통을 사용하도록 설정하려면 먼저 AD DS 또는 AD LDS 환경의 포리스트 기능 수준을 Windows Server 2008 R2로 올려야 합니다. 그렇게 하려면 포리스트의 모든 도메인 컨트롤러 또는 AD LDS 구성 집합 인스턴스를 호스팅하는 모든 서버에서 Windows Server 2008 R2를 실행해야 합니다.

  • Windows Server 2008 R2에서 Active Directory 휴지통을 사용하도록 설정하는 프로세스는 되돌릴 수 없습니다. 해당 환경에서 Active Directory 휴지통을 사용하도록 설정한 후에는 설정을 해제할 수 없습니다.

Active Directory 휴지통의 새로운 기능

다음 다이어그램은 Active Directory 휴지통 기능을 사용하도록 설정할 경우 Windows Server 2008 R2의 새 Active Directory 개체 수명 주기를 보여 줍니다.

8eee582d-ce09-4d6b-96f8-b9e79794cc85

Windows Server 2008 R2에서 Active Directory 휴지통을 사용하도록 설정한 후 Active Directory 개체를 삭제하면 개체의 연결된 값 특성과 연결되지 않은 값 특성은 모두 유지되면서 개체가 논리적으로 삭제됩니다. 이는 Windows Server 2008 R2에서 도입된 새로운 상태입니다. 삭제된 개체는 삭제된 개체 컨테이너로 이동되고 개체의 고유 이름이 알아보지 못하도록 변경됩니다. 삭제된 개체는 삭제된 개체 수명 기간 동안 삭제된 개체 컨테이너에 논리적으로 삭제된 상태로 유지됩니다.

삭제된 개체 수명은 msDS-deletedObjectLifetime 특성 값에 따라 결정됩니다. 삭제 표시 항목 수명은 tombstoneLifetime 특성 값에 따라 결정됩니다. 기본적으로 msDS-deletedObjectLifetime 특성은 null로 설정됩니다. msDS-deletedObjectLifetime을 null로 설정하면 삭제된 개체 수명이 삭제 표시 항목 수명 값으로 설정됩니다. 기본적으로 tombstoneLifetime 특성도 null로 설정됩니다. tombstoneLifetime을 null로 설정하면 삭제 표시 항목 수명의 기본값이 180일로 설정됩니다. 언제든지 msDS-deletedObjectLifetimetombstoneLifetime 값을 수정할 수 있습니다. msDS-deletedObjectLife를 null이 아닌 값으로 설정하면 tombstoneLifetime 특성 값을 더 이상 가정하지 않습니다.

삭제된 개체 수명 기간 중에 삭제된 개체를 복구하여 다시 활성 Active Directory 개체로 만들 수 있습니다. 삭제된 개체 수명이 만료된 후에는 논리적으로 삭제된 개체가 재활용된 개체로 전환되고 대부분의 개체 특성이 제거됩니다.

note참고
기본적으로 Windows Server 2008 R2의 재활용된 개체는 Windows Server 2003 및 Windows Server 2008 삭제 표시 항목 개체와 동일한 특성 집합을 유지합니다. Windows Server 2008 R2의 재활용된 개체에 유지되는 특성 집합을 변경하려면, 즉 개체가 재활용될 때 이 개체의 특정 특성을 유지하려면 스키마에서 해당 특성에 대한 searchFlags 값을 0x00000008로 설정합니다. 이 프로세스는 Windows Server 2003 및 Windows Server 2008 삭제 표시 항목 개체에 대한 특성을 유지하는 프로세스와 비슷합니다. 자세한 내용은 검색 플래그 특성(http://go.microsoft.com/fwlink/?LinkID=125453)을 참조하십시오.

삭제된 Active Directory 개체가 재활용된 개체로 전환된 후에는 개체를 더 이상 복구할 수 없습니다. 이 동작은 Windows Server 2008 R2의 새로운 동작입니다. 재활용된 개체는 삭제 표시 항목 수명이 만료될 때까지 삭제된 개체 컨테이너에 유지됩니다.

note참고
기본적으로 Windows Server 2008 R2를 새로 설치하여 AD DS 또는 AD LDS 환경을 만들 경우 삭제 표시 항목 수명이 180일로 설정됩니다.

삭제 표시 항목 수명이 만료된 이후에는 가비지 컬렉션 프로세스에서 재활용된 Active Directory 개체를 데이터베이스에서 물리적으로 삭제합니다.

종속성 유무

기본적으로 Windows Server 2008 R2에서 Active Directory 휴지통은 사용하지 않도록 설정됩니다. Active Directory 휴지통을 사용하도록 설정하려면 먼저 AD DS 또는 AD LDS 환경의 포리스트 기능 수준을 Windows Server 2008 R2로 올려야 합니다. 그렇게 하려면 포리스트의 모든 도메인 컨트롤러 또는 AD LDS 구성 집합 인스턴스를 호스팅하는 모든 서버에서 Windows Server 2008 R2를 실행해야 합니다.

Active Directory 휴지통 배포 준비 방법

AD DS 환경에서 Active Directory 휴지통을 사용하도록 설정하려면 다음을 수행합니다.

  • Adprep를 실행하여 Active Directory 스키마를 필요한 Active Directory 휴지통 특성으로 업데이트합니다. 다음 Adprep 작업을 완료하려면 최소한 Schema Admins 그룹의 구성원 자격이 필요합니다.

    note참고
    Windows Server 2008 R2에서 Active Directory 포리스트를 새로 설치할 경우 Adprep를 실행할 필요가 없습니다. 또한 Active Directory 스키마는 Active Directory 휴지통을 제대로 작동하는 데 필요한 모든 특성을 자동으로 포함합니다. 하지만 기존 Windows Server 2003 또는 Windows Server 2008 포리스트에 Windows Server 2008 R2 도메인 컨트롤러를 도입한 후 나머지 도메인 컨트롤러를 Windows Server 2008 R2로 업그레이드할 경우, Adprep를 실행하여 Active Directory 휴지통을 올바르게 작동하는 데 필요한 특성을 포함하도록 Active Directory 스키마를 업데이트해야 합니다.

    • 스키마 작업 마스터(Flexible Single Master Operations 또는 FSMO라고도 함) 역할을 보유하는 서버에서 adprep /forestprep 명령을 실행하여 스키마를 업데이트하는 방법으로 포리스트를 준비합니다.

    • 인프라 작업 마스터 역할을 보유하는 서버에서 adprep /domainprep /gpprep 명령을 실행하여 도메인을 준비합니다.

    • AD DS 환경에 RODC(읽기 전용 도메인 컨트롤러)가 있는 경우 adprep /rodcprep 명령을 함께 실행해야 합니다.

  • Active Directory 포리스트의 모든 도메인 컨트롤러에서 Windows Server 2008 R2를 실행 중인지 확인합니다.

  • Active Directory 포리스트의 기능 수준을 Windows Server 2008 R2로 올립니다.

AD LDS 환경에서 Active Directory 휴지통을 사용하도록 설정하려면 다음을 수행합니다.

  • ldifde -$ 명령으로 MS-ADAM-Upgrade-2.ldf 파일을 가져와서 AD LDS 구성 집합 스키마를 필요한 Active Directory 휴지통 특성으로 업그레이드합니다.

  • AD LDS 구성 집합 인스턴스를 호스팅하는 모든 서버에서 Windows Server 2008 R2를 실행 중인지 확인합니다.

  • AD LDS 구성 집합의 기능 수준을 Windows Server 2008 R2로 올립니다.

Active Directory 휴지통이 포함된 버전

Active Directory 휴지통을 사용할 수 있는 Windows Server 2008 R2 버전은 다음과 같습니다.

  • Windows Server 2008 R2 Standard

  • Windows Server 2008 R2 Enterprise

  • Windows Server 2008 R2 Datacenter

Active Directory 휴지통을 사용할 수 없는 Windows Server 2008 R2 버전은 다음과 같습니다.

  • Itanium 시스템용 Windows Server 2008 R2

  • Windows Web Server 2008 R2

추가 참조

Windows Server 2008 R2에서 Active Directory 휴지통을 사용하도록 설정하는 방법은 Active Directory 휴지통 단계별 가이드(http://go.microsoft.com/fwlink/?LinkId=133971)를 참조하십시오.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft. All rights reserved.