Windows Server 2012 Active Directory RODC(읽기 전용 도메인 컨트롤러) 설치(수준 200)
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
이 문서에서는 준비된 RODC 계정을 만든 다음 RODC 설치 중에 해당 계정에 서버를 연결하는 방법을 설명합니다. 이 문서에서는 준비된 설치를 수행하지 않고 RODC를 설치하는 방법도 설명합니다.
RODC 준비 워크플로
준비된 RODC(읽기 전용) 설치는 다음 두 가지 개별 단계로 진행됩니다.
비어 있는 컴퓨터 계정 준비
수준을 올리는 동안 이 계정에 RODC 연결
다음 다이어그램에서는 Active Directory 관리 센터(Dsac.exe)를 사용하여 도메인에 비어 있는 RODC 컴퓨터 계정을 만드는 Active Directory Domain Services 읽기 전용 도메인 컨트롤러 준비 프로세스를 보여 줍니다.
RODC Windows PowerShell 스테이징
| ADDSDeployment Cmdlet | 인수(굵은 인수가 필요합니다. 기울임꼴 인수 는 Windows PowerShell 또는 AD DS 구성 마법사를 사용하여 지정할 수 있습니다.) |
|---|---|
| Add-addsreadonlydomaincontrolleraccount | -SkipPreChecks -Do기본ControllerAccountName -Do기본Name -Sitename -AllowPasswordReplicationAccountName -자격 증명 -Delegated관리istratorAccountName -DenyPasswordReplicationAccountName -NoGlobalCatalog -InstallDNS -ReplicationSourceDC |
참고 항목
-credential 인수는 현재 Domain Admins 그룹의 구성원으로 로그온되어 있지 않은 경우에만 필요합니다.
RODC 연결 워크플로
아래 다이어그램에서는 준비된 컴퓨터 계정에 연결하여 기존 도메인에 새 RODC를 만들기 위해 이미 AD DS 역할을 설치하고, RODC 계정을 준비했으며, 서버 관리자를 사용하여 이 서버를 도메인 컨트롤러로 승격을 시작한 Active Directory Domain Services 구성 프로세스를 보여 줍니다.
RODC Windows PowerShell 연결
| ADDSDeployment Cmdlet | 인수(굵은 인수가 필요합니다. 기울임꼴 인수 는 Windows PowerShell 또는 AD DS 구성 마법사를 사용하여 지정할 수 있습니다.) |
|---|---|
| Install-AddsDomaincontroller | -SkipPreChecks -Do기본Name -금고Mode관리istratorPassword -ApplicationPartitionsToReplicate -CreateDNSDelegation -자격 증명 -CriticalReplicationOnly -DatabasePath -DNSDelegationCredential -InstallationMediaPath -LogPath -Norebootoncompletion -ReplicationSourceDC -SystemKey -SYSVOLPath -UseExistingAccount |
참고 항목
-credential 인수는 현재 Domain Admins 그룹의 구성원으로 로그온되어 있지 않은 경우에만 필요합니다.
스테이징
Active Directory 관리 센터(Dsac.exe)를 열어 읽기 전용 도메인 컨트롤러 컴퓨터 계정의 준비 작업을 수행합니다. 탐색 창에서 do기본 이름을 선택합니다. 관리 목록에서 도메인 컨트롤러 를 두 번 클릭합니다. 작업 창에서 읽기 전용 do기본 컨트롤러 계정 미리 만들기를 선택합니다.
Active Directory 관리Istrative Center에 대한 자세한 내용은 Active Directory 관리istrative Center(수준 200)를 사용하여 고급 AD DS 관리를 참조하고 Active Directory 관리영구 센터: 시작)을 검토하세요.
읽기 전용 do기본 컨트롤러를 만든 경험이 있는 경우 설치 마법사가 Windows Server 2008에서 이전 Active Directory 사용자 및 컴퓨터 스냅인을 사용할 때와 동일한 그래픽 인터페이스를 사용하고 사용되지 않는 dcpromo에서 사용하는 무인 파일 형식으로 구성 내보내기를 포함하는 동일한 코드를 사용한다는 것을 알게 됩니다.
Windows Server 2012에는 RODC 컴퓨터 계정을 스테이징하는 새 ADDSDeployment cmdlet이 도입되었지만 마법사는 해당 작업에 cmdlet을 사용하지 않습니다. 다음 섹션에서는 정보를 서로 연결하여 보다 쉽게 이해할 수 있도록 상응하는 cmdlet 및 인수를 보여 줍니다.
읽기 전용 도메인 컨트롤러 계정 미리 만들기 Active Directory 관리 센터의 작업 창에서 링크 ADDSDeployment Windows PowerShell cmdlet과 같습니다.
Add-addsreadonlydomaincontrolleraccount
환영
Active Directory Domain Services 설치 마법사 시작 대화 상자에는 고급 모드 설치 사용이라는 옵션이 있습니다. 이 옵션을 선택하고 다음을 선택하여 암호 복제본(replica)tion 정책 옵션을 표시합니다. 암호 복제 정책 옵션에 기본값을 사용하려면 이 옵션의 선택을 취소합니다(이 섹션의 뒷부분에 자세히 설명되어 있음).
네트워크 자격 증명
네트워크 자격 증명 대화 상자의 도메인 이름 옵션에는 기본적으로 Active Directory 관리 센터의 대상 도메인이 표시됩니다. 현재 자격 증명이 기본적으로 사용됩니다. Do기본 관리s 그룹에 구성원이 포함되지 않은 경우 대체 자격 증명을 선택하고 설정을 선택하여 Do기본 관리 구성원인 사용자 이름과 암호를 마법사에 제공합니다.
상응하는 ADDSDeployment Windows PowerShell 인수는 다음과 같습니다.
-credential <pscredential>
스테이징 시스템은 Windows Server 2008 R2의 직접 포트이며 새 Adprep 기능을 제공하지 않습니다. 준비된 RODC 계정을 배포하려는 경우 먼저 자동 rodcprep 작업이 실행되도록 기본 준비되지 않은 RODC를 배포하거나 adprep.exe /rodcprep을 먼저 수동으로 실행해야 합니다.
그렇지 않으면 오류가 발생합니다. adprep /rodcprep이 아직 실행되지 않았기 때문에 이 작업에서는 읽기 전용 do기본 컨트롤러를 설치할 수 없습니다기본.
컴퓨터 이름 지정
컴퓨터 이름 지정 대화 상자에서는 존재하지 않는 do기본 컨트롤러의 단일 레이블 컴퓨터 이름을 입력해야 합니다. 나중에 이 계정을 구성하고 연결하는 do기본 컨트롤러의 이름은 동일해야 합니다. 그렇지 않으면 승격 작업에서 스테이징된 계정을 검색하지 못합니다.
상응하는 ADDSDeployment Windows PowerShell 인수는 다음과 같습니다.
-domaincontrolleraccountname <string>
사이트 선택
사이트 선택 대화 상자에는 현재 포리스트의 Active Directory 사이트 목록이 표시됩니다. 준비된 읽기 전용 도메인 컨트롤러 작업을 수행할 때 목록에서 단일 사이트를 선택해야 합니다. RODC에서는 이 정보를 사용하여 구성 파티션에 해당 NTDS 설정 개체를 만들고, 배포 후 처음 시작할 때 올바른 사이트에 자체적으로 가입합니다.
상응하는 ADDSDeployment Windows PowerShell 인수는 다음과 같습니다.
-sitename <string>
추가 도메인 컨트롤러 옵션
추가 도메인 컨트롤러 옵션 대화 상자에서는 도메인 컨트롤러에 DNS 서버 및 글로벌 카탈로그역할을 포함하도록 지정할 수 있습니다. Microsoft는 읽기 전용 do기본 컨트롤러가 DNS 및 GC 서비스를 제공하므로 둘 다 기본적으로 설치됩니다. RODC 역할의 한 가지 의도는 광역 네트워크를 사용할 수 없고 해당 DNS 및 글로벌 카탈로그 서비스가 없으면 분기의 컴퓨터가 AD DS 리소스 및 기능을 사용할 수 없는 지점 시나리오입니다.
RODC(읽기 전용 도메인 컨트롤러) 옵션은 미리 선택되며 사용하지 않도록 설정할 수 없습니다. 상응하는 ADDSDeployment Windows PowerShell 인수는 다음과 같습니다.
-installdns <string>
-NoGlobalCatalog <{$true | $false}>
참고 항목
기본적으로는 -NoGlobalCatalog 값은 $false 인수가 지정 되지 않은 경우 도메인 컨트롤러가 글로벌 카탈로그 서버 수를 의미 합니다.
암호 복제 정책 지정
암호 복제 정책 지정 대화 상자에서는 이 읽기 전용 도메인 컨트롤러에서 암호를 캐시할 수 있는 계정의 기본 목록을 수정할 수 있습니다. 거부로 구성되었거나 목록에 없는 목록의 계정(암시적)은 암호를 캐시하지 않습니다. RODC에서 암호를 캐시할 수 없고 쓰기 가능한 계정에 연결하고 인증할 수 없는 계정기본 컨트롤러는 Active Directory에서 제공하는 리소스 또는 기능에 액세스할 수 없습니다.
Important
이 대화 상자는 마법사의 시작 화면에서 고급 모드 설치 사용 확인란을 선택한 경우에만 표시됩니다. 이 확인란의 선택을 취소하면 마법사에서 다음 기본 그룹 및 값을 사용합니다.
- Administrators - Deny
- Server Operators - Deny
- Backup Operators - Deny
- Account Operators - Deny
- Denied RODC Password Replication Group - Deny
- Allowed RODC Password Replication Group - Allow
상응하는 ADDSDeployment Windows PowerShell 인수는 다음과 같습니다.
-allowpasswordreplicationaccountname <string []>
-denypasswordreplicationaccountname <string []>
RODC 설치 및 관리 위임
RODC 설치 및 관리 위임 대화 상자에서는 RODC 컴퓨터 계정에 서버를 연결할 수 있는 사용자 또는 이러한 사용자가 포함된 그룹을 구성할 수 있습니다. 설정을 선택하여 사용자 또는 그룹에 대한 do기본를 찾습니다. 이 대화 상자에 지정된 사용자 또는 그룹에는 RODC에 대한 로컬 관리 권한이 부여됩니다. 지정한 사용자 또는 지정된 된 그룹의 구성원 컴퓨터의 관리자 그룹과 동등한 권한으로 RODC에서 작업을 수행할 수 있습니다. Do기본 관리 또는 do기본 기본 제공 관리istrators 그룹의 멤버가 아닙니다.
Domain Admins 그룹에 분기 관리자 구성원 자격을 부여하지 않고 지점 관리를 위임하려면 이 옵션을 사용합니다. RODC 관리를 위임할 필요는 없습니다.
상응하는 ADDSDeployment Windows PowerShell 인수는 다음과 같습니다.
-delegatedadministratoraccountname <string>
요약
요약 대화 상자에서는 설정을 확인할 수 있습니다. 마법사에서 준비된 계정을 만들기 전에 설치를 중지할 수 있는 마지막 기회입니다. 준비된 RODC 컴퓨터 계정을 만들 준비가 되면 다음을 선택합니다. 설정 내보내기를 선택하여 응답 파일을 사용되지 않는 dcpromo 무인 파일 형식으로 저장합니다.
만들기
Active Directory Domain Services 설치 마법사는 Active Directory에 준비된 읽기 전용 도메인 컨트롤러를 만듭니다. 이 작업이 시작된 후에는 취소할 수 없습니다.
Windows PowerShell ADDSDeployment 모듈을 사용하여 읽기 전용 도메인 컨트롤러 컴퓨터 계정을 준비하려면 다음 cmdlet을 사용합니다.
Add-addsreadonlydomaincontrolleraccount
참조 RODC 준비 Windows PowerShell 필수 및 선택적 인수입니다.
Add-addsreadonlydo기본controlleraccount에는 두 단계(필수 구성 요소 검사 및 설치)가 있는 하나의 작업만 있으므로 다음 스크린샷은 최소 필수 인수가 있는 설치 단계를 보여 줍니다.
RODC 준비 작업에서는 Active Directory에 RODC 컴퓨터 계정을 만듭니다. Active Directory 관리 센터에 도메인 컨트롤러 유형 이 비어 있는 도메인 컨트롤러 계정으로 표시되어 있습니다. 이 도메인 컨트롤러 유형은 준비된 RODC 계정에서 서버를 읽기 전용 도메인 컨트롤러로 연결할 준비가 되었음을 나타냅니다.
Important
더 이상 Active Directory 관리 센터에서 읽기 전용 도메인 컨트롤러 컴퓨터 계정에 서버를 연결할 필요가 없습니다. 서버 관리자와 Active Directory Domain Services 구성 마법사 또는 ADDSDeployment Windows PowerShell 모듈 cmdlet Install-AddsDomainController를 사용하여 새 RODC를 해당 준비된 계정에 연결할 수 있습니다. 이러한 단계는 RODC 컴퓨터 계정을 준비할 때 결정한 구성 옵션이 준비된 RODC 컴퓨터 계정에 포함되어 있다는 점을 제외하고는 기존 도메인에 새 쓰기 가능한 도메인 컨트롤러를 추가하는 것과 유사합니다.
연결 비교
배포 구성
서버 관리자는 배포 구성 페이지에서 모든 도메인 컨트롤러 수준 올리기를 시작합니다. 선택한 배포 작업에 따라 이 페이지 및 다음 페이지에 표시되는 나머지 옵션 및 필수 필드가 바뀝니다.
기존 do기본에 읽기 전용 do기본 컨트롤러를 추가하려면 기존 할 일기본 컨트롤러 추가기본를 선택하고 선택 단추를 선택하여 이 작업에 대한 do기본 정보를 지정합니다기본. 서버 관리자 유효한 자격 증명을 자동으로 묻는 메시지가 표시되거나 선택할 수 있습니다.변경합니다.
RODC를 연결하려면 Windows Server 2012 Domain Admins 그룹의 구성원 자격이 필요합니다. Active Directory 도메인 Services 구성 마법사는 현재 자격 증명에 적절한 사용 권한 또는 그룹 멤버 자격이 없는지 나중에 묻는 메시지를 표시합니다.
배포 구성 ADDSDeployment Windows PowerShell cmdlet 및 인수는 다음과 같습니다.
Install-AddsDomainController
-domainname <string>
-credential <pscredential>
도메인 컨트롤러 옵션
도메인 컨트롤러 옵션 페이지에 도메인 컨트롤러 옵션은 새로운 도메인 컨트롤러에 대 한 표시 합니다. 이 페이지가 로드되면 Active Directory Domain Services 구성 마법사에서 기존 도메인 컨트롤러로 LDAP 쿼리를 보내 비어 있는 계정을 확인합니다. 쿼리에서 현재 컴퓨터와 동일한 이름을 공유하는 비어 있는 do기본 컨트롤러 컴퓨터 계정을 찾은 경우 마법사는 대상 서버의 이름과 일치하는 미리 만든 RODC 계정을 읽는 정보 메시지를 페이지 맨 위에 표시합니다. 이 기존 RODC 계정을 사용할지 아니면 이 작업을 다시 설치할지기본 컨트롤러를 선택합니다. 마법사를 사용 하는 기존 RODC 계정 사용 기본 구성으로 합니다.
Important
도메인 컨트롤러에 물리적인 문제가 발생하여 정상적인 작동 상태로 되돌릴 수 없는 경우 이 도메인 컨트롤러 다시 설치 옵션을 사용할 수 있습니다. 그러면 도메인 컨트롤러 컴퓨터 계정 및 개체 메타데이터가 Active Directory에 그대로 유지되므로 대체 도메인 컨트롤러를 구성할 때 시간이 절약됩니다. 같은 이름으로 새 컴퓨터를 설치하고 도메인의 도메인 컨트롤러로 수준을 올립니다. 이 도메인 컨트롤러를 다시 설치 옵션은 Active Directory (메타 데이터 정리)에서 도메인 컨트롤러 개체의 메타 데이터를 제거 하는 경우에 사용할 수 없습니다.
RODC 컴퓨터 계정에 서버를 연결하는 경우 do기본 컨트롤러 옵션을 구성할 수 없습니다. 도메인 컨트롤러 옵션은 준비된 RODC 컴퓨터 계정을 만들 때 구성합니다.
지정한 디렉터리 서비스 복원 모드 암호는 서버에 적용되는 암호 정책을 준수해야 합니다. 항상 강력하고 복잡한 암호 또는 암호 문구를 선택하십시오.
도메인 컨트롤러 옵션 ADDSDeployment Windows PowerShell 인수는 다음과 같습니다.
-UseExistingAccount <{$true | $false}>
-SafeModeAdministratorPassword <secure string>
Important
-sitename에 대한 인수로 제공된 경우 사이트 이름이 이미 존재해야 합니다. install-AddsDomainController cmdlet은 사이트 이름을 만들지 않습니다. new-adreplicationsite cmdlet을 사용하여 새 사이트를 만들 수 있습니다.
Install-ADDSDomainController 인수는 서버 관리자와 동일한 기본값을 따릅니다(지정하지 않은 경우).
SafeModeAdministratorPassword 인수의 작업은 특별합니다.
인수로 지정하지 않을 경우 cmdlet은 마스킹된 암호를 입력 및 확인하라는 메시지를 표시합니다. cmdlet을 대화형으로 실행할 경우 기본 설정된 사용법입니다.
예를 들어 corp.contoso.com에 새 RODC를 만들고 마스킹된 암호를 입력하고 확인하라는 메시지를 표시하려면 다음 명령을 실행합니다.
Install-ADDSDomainController -DomainName corp.contoso.com -credential (get-credential)값과 함께 지정한 경우 값은 보안 문자열이어야 합니다. 이 방법은 cmdlet을 대화형으로 실행할 때 기본 설정이 아닙니다.
예를 들어 Read-Host cmdlet을 사용하여 수동으로 암호를 물어 사용자에게 보안 문자열을 물을 수 있습니다.
-safemodeadministratorpassword (read-host -prompt Password: -assecurestring)
Warning
이전 옵션이 암호를 확인하지 않으므로 각별히 주의해야 합니다. 암호는 표시되지 않습니다.
변환된 일반 텍스트 변수로 보안 문자열을 제공할 수도 있습니다(권장되지 않음).
-safemodeadministratorpassword (convertto-securestring Password1 -asplaintext -force)
마지막으로 난독 처리된 암호를 파일에 저장한 다음 일반 텍스트 암호를 표시하지 않고 나중에 다시 사용할 수 있습니다. 예시:
$file = c:\pw.txt
$pw = read-host -prompt Password: -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Warning
일반 또는 난독 처리된 텍스트 암호는 제공하거나 저장하지 않는 것이 좋습니다. 스크립트에서 이 명령을 실행하는 사용자나 어깨 너머로 보고 있는 다른 사용자가 해당 도메인 컨트롤러의 DSRM 암호를 알게 될 수 있습니다. 파일에 액세스할 수 있는 모든 사람이 난독 처리된 암호를 반전시킬 수 있습니다. 이 정보를 알면 DSRM에서 시작된 DC에 로그온하여 도메인 컨트롤러 자체를 가장함으로써 AD 포리스트에서 가장 높은 수준으로 해당 권한을 상승시킬 수 있습니다. System.Security.Cryptography를 사용하여 텍스트 파일 데이터를 암호화하는 추가 단계를 수행하는 것이 좋지만 이러한 단계는 이 문서의 범위를 벗어납니다. 암호 스토리지를 완전히 피하는 것이 가장 좋습니다.
추가 옵션
추가 옵션 페이지에서는 도메인 컨트롤러 이름을 복제 원본으로 지정하는 구성 옵션을 제공하거나 원하는 도메인 컨트롤러를 복제 원본으로 사용할 수 있습니다.
또한 IFM(미디어에서 설치) 옵션을 통해 백업된 미디어를 사용하여 도메인 컨트롤러를 설치하도록 선택할 수도 있습니다. 미디어 검사 상자에서 설치는 선택한 후 찾아보기 옵션을 제공하며 제공된 경로가 유효한 미디어인지 확인하려면 확인을 선택해야 합니다.
IFM 원본에 대한 지침:
- IFM 옵션에서 사용하는 미디어는 동일한 운영 체제 버전만 있는 다른 기존 Windows Server Do기본 컨트롤러에서 Windows Server Backup 또는 Ntdsutil.exe를 사용하여 만들어집니다. 예를 들어 Windows Server 2008 R2 또는 이전 운영 체제를 사용하여 Windows Server 2012 do기본 컨트롤러용 미디어를 만들 수 없습니다.
- IFM 원본 데이터는 쓰기 가능한 Do기본 Controller에 있어야 합니다. RODC의 원본은 기술적으로 새 RODC를 만들기 위해 작동하지만 IFM 원본 RODC가 복제본(replica) 않는다는 가양성 복제본(replica)tion 경고가 있습니다.
IFM의 변경 내용에 대 한 자세한 내용은 참조 미디어 변경 사항에서 Ntdsutil.exe 설치합니다. SYSKEY로 보호된 미디어를 사용하는 경우 검증하는 동안 서버 관리자에는 이미지 암호를 제공하라는 메시지가 표시됩니다.
추가 옵션 ADDSDeployment cmdlet 인수는 다음과 같습니다.
-replicationsourcedc <string>
-installationmediapath <string>
-systemkey <secure string>
경로
경로 페이지에서 AD DS 데이터베이스, 데이터베이스 트랜잭션 로그 및 SYSVOL 공유의 기본 폴더 위치를 재정의할 수 있습니다. 기본 위치는 항상 %systemroot%의 하위 디렉터리입니다. 경로 ADDSDeployment cmdlet 인수는 다음과 같습니다.
-databasepath <string>
-logpath <string>
-sysvolpath <string>
옵션 검토 및 스크립트 보기
옵션 검토 페이지에서 설치를 시작하기 전에 설정을 확인하고 이러한 설정이 요구 사항을 충족하는지도 확인할 수 있습니다. 서버 관리자 사용하여 설치를 중지할 수 있는 마지막 기회는 아닙니다. 이 페이지에서는 단지 구성을 계속하기 전에 설정을 검토하고 확인합니다. 서버 관리자의 옵션 검토 페이지는 현재 ADDSDeployment 구성을 단일 Windows PowerShell 스크립트로 포함하는 유니코드 텍스트 파일을 만들 수 있도록 스크립트 보기 단추(선택 사항)도 제공합니다. 이 단추를 통해 서버 관리자 그래픽 인터페이스를 Windows PowerShell 배포 스튜디오로 사용할 수 있습니다. Active Directory 도메인 서비스 구성 마법사를 사용하여 옵션을 구성하고 구성을 내보낸 다음 마법사를 취소합니다. 이 프로세스를 통해 향후 수정을 위해 사용하거나 직접 사용하기 위한 유효하고 구문상으로 정확한 샘플이 만들어집니다. 예시:
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSDomainController `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath C:\Windows\NTDS `
-DomainName corp.contoso.com `
-LogPath C:\Windows\NTDS `
-SYSVOLPath C:\Windows\SYSVOL `
-UseExistingAccount:$true `
-Norebootoncompletion:$false
-Force:$true
참고 항목
서버 관리자는 수준을 올릴 때 일반적으로 모든 인수의 값을 채우며 기본값에 의존하지 않습니다. 기본값은 향후 버전의 Windows 또는 서비스 팩 간에 변경될 수 있기 때문입니다. 단, -safemodeadministratorpassword 인수는 예외입니다. 확인 프롬프트를 강제로 표시하려면 대화형으로 cmdlet을 실행할 때 이 값을 생략합니다.
선택적 Whatif 인수를 Install-ADDSDomainController cmdlet과 함께 사용하여 구성 정보를 검토합니다. 이를 통해 cmdlet 인수의 명시적 및 암시적 값을 확인할 수 있습니다.
필수 구성 요소 확인
필수 구성 요소 확인은 AD DS 도메인 구성의 새로운 기능입니다. 이 새 단계에서는 서버 구성이 새 AD DS 포리스트를 지원할 수 있는지 확인합니다.
새 포리스트 루트 도메인을 설치할 때 서버 관리자 Active Directory Domain Services 구성 마법사는 일련의 직렬화된 모듈식 테스트를 호출합니다. 이러한 테스트에서는 제안된 복구 옵션을 알려 줍니다. 필요한 만큼 여러 번 테스트를 실행할 수 있습니다. do기본 컨트롤러 설치 프로세스는 모든 필수 구성 요소 테스트가 통과될 때까지 계속할 수 없습니다.
필수 구성 요소 확인에서는 이전 운영 체제에 영향을 주는 보안 변경 내용과 같은 관련 정보도 제공합니다. 필수 구성 요소 검사에 대 한 자세한 내용은 참조 필수 구성 요소 확인합니다.
서버 관리자 사용할 때는 필수 구성 요소 검사를 무시할 수 없지만 다음 인수를 사용하여 AD DS 배포 cmdlet을 사용하는 경우 프로세스를 건너뛸 수 있습니다.
-skipprechecks
Warning
필수 구성 요소 확인을 건너뛰면 도메인 컨트롤러 수준 올리기가 부분적으로 완료되거나 AD DS 포리스트가 손상될 수 있으므로 건너뛰지 않는 것이 좋습니다.
설치를 선택하여 do기본 컨트롤러 승격 프로세스를 시작합니다. 이때가 설치를 취소할 수 있는 마지막 기회입니다. 승격 프로세스가 시작되면 취소할 수 없습니다. 수준 올리기가 끝나면 수준 올리기 결과에 상관없이 컴퓨터가 자동으로 다시 부팅됩니다.
설치
설치 페이지가 표시되면 do기본 컨트롤러 구성이 시작되고 중지하거나 취소할 수 없습니다. 세부 작업이 이 페이지에 표시되고 다음 로그에 기록됩니다.
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
ADDSDeployment 모듈을 사용하여 새 Active Directory 포리스트를 설치하려면 다음 cmdlet을 사용합니다.
Install-addsdomaincontroller
참조 RODC 연결 Windows PowerShell 필수 및 선택적 인수입니다.
Install-addsdomaincontroller cmdlet은 두 단계(필수 구성 요소 확인 및 설치)만 수행합니다. 아래 두 그림에는 최소 필수 인수인 -domainname, -useexistingaccount및 -credential을 사용한 설치 단계가 나와 있습니다. 서버 관리자와 마찬가지로 Install-ADDSDomainController 에서도 수준 올리기 후 서버가 자동으로 다시 부팅됨을 미리 알려 줍니다.
다시 부팅 프롬프트를 자동으로 허용하려면 임의의 ADDSDeployment Windows PowerShell cmdlet에서 -force 또는 -confirm:$false 인수를 사용합니다. 수준 올리기가 끝난 후 서버가 자동으로 다시 부팅되는 것을 방지하려면 -norebootoncompletion 인수를 사용합니다.
Warning
다시 부팅을 무시하지 않는 것이 좋습니다. 도메인 컨트롤러가 올바르게 작동하려면 다시 부팅해야 합니다.
결과
결과 페이지에는 수준 올리기의 성공 또는 실패와 중요한 관리 정보가 표시됩니다. 10초 후 도메인 컨트롤러가 자동으로 다시 부팅됩니다.
준비 없는 RODC 워크플로
다음 다이어그램에서는 이전에 AD DS 역할을 설치하고 서버 관리자 사용하여 Active Directory 도메인 Services 구성 마법사를 시작한 Active Directory 도메인 Services 구성 프로세스를 보여 줍니다. 기존 Windows Server 2012에서 기본 컨트롤러를 새로 만듭니다. 할기본.
준비 없는 RODC Windows PowerShell
| ADDSDeployment Cmdlet | 인수(굵은 인수가 필요합니다. 기울임꼴 인수 는 Windows PowerShell 또는 AD DS 구성 마법사를 사용하여 지정할 수 있습니다.) |
|---|---|
| Install-AddsDomainController | -SkipPreChecks -Do기본Name -금고Mode관리istratorPassword -Sitename -ApplicationPartitionsToReplicate -CreateDNSDelegation -자격 증명 -CriticalReplicationOnly -DatabasePath -DNSDelegationCredential -DNSOnNetwork -InstallationMediaPath -InstallDNS -LogPath -MoveInfrastructureOperationMasterRoleIfNecessary -NoGlobalCatalog -Norebootoncompletion -ReplicationSourceDC -SkipAutoConfigureDNS -SystemKey -SYSVOLPath -AllowPasswordReplicationAccountName -Delegated관리istratorAccountName -DenyPasswordReplicationAccountName -ReadOnlyReplica |
참고 항목
-credential 인수는 현재 Domain Admins 그룹의 구성원으로 로그온되어 있지 않은 경우에만 필요합니다.
준비 없는 RODC 배포
배포 구성
서버 관리자는 배포 구성 페이지에서 모든 도메인 컨트롤러 수준 올리기를 시작합니다. 선택한 배포 작업에 따라 이 페이지 및 다음 페이지에 표시되는 나머지 옵션 및 필수 필드가 바뀝니다.
스테이징되지 않은 읽기 전용 do기본 컨트롤러를 기존 Windows Server 2012 do기본에 추가하려면 기존 작업에 do기본 컨트롤러 추가를 선택하고기본 선택 단추를 선택하여 이 작업에 대한 do기본 정보를 지정합니다기본. 서버 관리자 유효한 자격 증명을 자동으로 묻는 메시지가 표시되거나 선택할 수 있습니다.변경합니다.
RODC를 연결하려면 Windows Server 2012 Domain Admins 그룹의 구성원 자격이 필요합니다. Active Directory 도메인 Services 구성 마법사는 현재 자격 증명에 적절한 사용 권한 또는 그룹 멤버 자격이 없는지 나중에 묻는 메시지를 표시합니다.
배포 구성 ADDSDeployment Windows PowerShell cmdlet 및 인수는 다음과 같습니다.
Install-AddsDomainController
-domainname <string>
-credential <pscredential>
도메인 컨트롤러 옵션
도메인 컨트롤러 옵션 페이지에서는 새 도메인 컨트롤러에 대한 도메인 컨트롤러 기능을 지정합니다. 구성 가능한 도메인 컨트롤러 기능에는 DNS 서버, 글로벌 카탈로그 및 읽기 전용 도메인 컨트롤러가 포함됩니다. 분산된 환경에서의 고가용성을 위해 모든 도메인 컨트롤러에서 DNS 및 GC 서비스를 제공하는 것이 좋습니다. GC는 항상 기본적으로 선택되며, DNS 서버는 현재 도메인에서 권한 시작 쿼리를 기반으로 해당 DC에 이미 있는 DNS를 호스트하는 경우 기본적으로 선택됩니다.
도메인 컨트롤러 옵션 페이지에서는 포리스트 구성에서 적절한 Active Directory 논리 사이트 이름을 선택할 수도 있습니다. 기본적으로 가장 정확한 서브넷을 포함한 사이트가 선택됩니다. 사이트가 하나뿐이면 해당 사이트가 자동으로 선택됩니다.
Important
서버가 어떠한 Active Directory 서브넷에도 속해 있지 않고 둘 이상의 Active Directory 사이트가 있는 경우에는 아무 항목도 선택되지 않습니다. 이 경우 목록에서 사이트를 선택해야 다음 단추를 사용할 수 있습니다.
지정한 디렉터리 서비스 복원 모드 암호는 서버에 적용되는 암호 정책을 준수해야 합니다. 항상 강력하고 복잡한 암호를 선택해야 하며 가급적 암호 문구를 선택하는 것이 좋습니다. 도메인 컨트롤러 옵션 ADDSDeployment Windows PowerShell 인수는 다음과 같습니다.
-UseExistingAccount <{$true | $false}>
-SafeModeAdministratorPassword <secure string>
Important
-sitename에 대한 인수로 제공된 경우 사이트 이름이 이미 존재해야 합니다. install-AddsDomainController cmdlet은 사이트 이름을 만들지 않습니다. new-adreplicationsite cmdlet을 사용하여 새 사이트를 만들 수 있습니다.
Install-ADDSDomainController 인수는 서버 관리자와 동일한 기본값을 따릅니다(지정하지 않은 경우).
SafeModeAdministratorPassword 인수의 작업은 특별합니다.
인수로 지정하지 않을 경우 cmdlet은 마스킹된 암호를 입력 및 확인하라는 메시지를 표시합니다. cmdlet을 대화형으로 실행할 경우 기본 설정된 사용법입니다.
예를 들어 corp.contoso.com에 새 RODC를 만들고 마스킹된 암호를 입력하고 확인하라는 메시지를 표시하려면 다음 명령을 실행합니다.
Install-ADDSDomainController -DomainName corp.contoso.com -credential (get-credential)값과 함께 지정한 경우 값은 보안 문자열이어야 합니다. 이 방법은 cmdlet을 대화형으로 실행할 때 기본 설정이 아닙니다.
예를 들어 Read-Host cmdlet을 사용하여 수동으로 암호를 물어 사용자에게 보안 문자열을 물을 수 있습니다.
-safemodeadministratorpassword (read-host -prompt Password: -assecurestring)
Warning
이전 옵션이 암호를 확인하지 않으므로 각별히 주의해야 합니다. 암호는 표시되지 않습니다.
변환된 일반 텍스트 변수로 보안 문자열을 제공할 수도 있습니다(권장되지 않음).
-safemodeadministratorpassword (convertto-securestring Password1 -asplaintext -force)
마지막으로 난독 처리된 암호를 파일에 저장한 다음 일반 텍스트 암호를 표시하지 않고 나중에 다시 사용할 수 있습니다. 예시:
$file = c:\pw.txt
$pw = read-host -prompt Password: -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Warning
일반 또는 난독 처리된 텍스트 암호는 제공하거나 저장하지 않는 것이 좋습니다. 스크립트에서 이 명령을 실행하는 사용자나 어깨 너머로 보고 있는 다른 사용자가 해당 도메인 컨트롤러의 DSRM 암호를 알게 될 수 있습니다. 파일에 액세스할 수 있는 모든 사람이 난독 처리된 암호를 반전시킬 수 있습니다. 이 정보를 알면 DSRM에서 시작된 DC에 로그온하여 도메인 컨트롤러 자체를 가장함으로써 AD 포리스트에서 가장 높은 수준으로 해당 권한을 상승시킬 수 있습니다. System.Security.Cryptography를 사용하여 텍스트 파일 데이터를 암호화하는 추가 단계를 수행하는 것이 좋지만 이러한 단계는 이 문서의 범위를 벗어납니다. 암호 스토리지를 완전히 피하는 것이 가장 좋습니다.
RODC 옵션
RODC 옵션 페이지에서는 다음 설정을 수정할 수 있습니다.
위임된 관리자 계정
암호를 RODC에 복제할 수 있는 계정
암호를 RODC에 복제할 수 없는 계정
위임된 관리자 계정은 RODC에 대한 로컬 관리 권한을 가집니다. 이러한 사용자는 로컬 컴퓨터의 관리자 그룹에 해당 하는 권한으로 작동할 수 있습니다. Do기본 관리 또는 do기본 기본 제공 관리istrators 그룹의 구성원이 아닙니다. 이 옵션은 도메인 관리 권한을 정지하지 않고도 지점 관리를 위임하는 데 유용합니다. 관리 위임을 구성할 필요는 없습니다.
상응하는 ADDSDeployment Windows PowerShell 인수는 다음과 같습니다.
-delegatedadministratoraccountname <string>
RODC에서 암호를 캐시할 수 없고 쓰기 가능한 계정에 연결하고 인증할 수 없는 계정기본 컨트롤러는 Active Directory에서 제공하는 리소스 또는 기능에 액세스할 수 없습니다.
Important
수정하지 않을 경우 기본 그룹 및 설정이 사용됩니다.
- Administrators - Deny
- Server Operators - Deny
- Backup Operators - Deny
- Account Operators - Deny
- Denied RODC Password Replication Group - Deny
- Allowed RODC Password Replication Group - Allow
상응하는 ADDSDeployment Windows PowerShell 인수는 다음과 같습니다.
-allowpasswordreplicationaccountname <string []>
-denypasswordreplicationaccountname <string []>
추가 옵션
추가 옵션 페이지에서는 도메인 컨트롤러 이름을 복제 원본으로 지정하는 구성 옵션을 제공하거나 원하는 도메인 컨트롤러를 복제 원본으로 사용할 수 있습니다.
또한 IFM(미디어에서 설치) 옵션을 통해 백업된 미디어를 사용하여 도메인 컨트롤러를 설치하도록 선택할 수도 있습니다. 미디어 검사 상자에서 설치는 선택한 후 찾아보기 옵션을 제공하며 제공된 경로가 유효한 미디어인지 확인하려면 확인을 선택해야 합니다.
IFM 원본에 대한 지침:
- IFM 옵션에서 사용하는 미디어는 동일한 운영 체제 버전만 있는 다른 기존 Windows Server Do기본 컨트롤러에서 Windows Server Backup 또는 Ntdsutil.exe를 사용하여 만들어집니다. 예를 들어 Windows Server 2008 R2 또는 이전 운영 체제를 사용하여 Windows Server 2012 do기본 컨트롤러용 미디어를 만들 수 없습니다.
- IFM 원본 데이터는 쓰기 가능한 Do기본 Controller에 있어야 합니다. RODC의 원본은 기술적으로 새 RODC를 만들기 위해 작동하지만 IFM 원본 RODC가 복제본(replica) 않는다는 가양성 복제본(replica)tion 경고가 있습니다.
IFM의 변경 내용에 대 한 자세한 내용은 참조 미디어 변경 사항에서 Ntdsutil.exe 설치합니다. SYSKEY로 보호된 미디어를 사용하는 경우 검증하는 동안 서버 관리자에는 이미지 암호를 제공하라는 메시지가 표시됩니다.
추가 옵션 ADDSDeployment cmdlet 인수는 다음과 같습니다.
-replicationsourcedc <string>
-installationmediapath <string>
-systemkey <secure string>
경로
경로 페이지에서 AD DS 데이터베이스, 데이터베이스 트랜잭션 로그 및 SYSVOL 공유의 기본 폴더 위치를 재정의할 수 있습니다. 기본 위치는 항상 %systemroot%의 하위 디렉터리입니다. 경로 ADDSDeployment cmdlet 인수는 다음과 같습니다.
-databasepath <string>
-logpath <string>
-sysvolpath <string>
준비 옵션
준비 옵션 페이지에서는 AD DS 구성에 스키마 확장(forestprep) 및 도메인 업데이트(domainprep)가 포함되어 있음을 알려 줍니다. 이전 Windows Server 2012 do기본 컨트롤러 설치에서 또는 수동으로 Adprep.exe를 실행하여 포리스트 또는 수행기본 준비되지 않은 경우에만 이 페이지가 표시됩니다. 예를 들어 기존 Windows Server 2012 포리스트 루트 도메인에 새 복제본 도메인 컨트롤러를 추가하는 경우에는 Active Directory 도메인 서비스 구성 마법사에서 이 페이지를 표시하지 않습니다.
스키마를 확장하고 do기본 업데이트는 다음을 선택할 때 발생하지 않습니다. 이러한 이벤트는 설치 단계 중에만 발생합니다. 이 페이지는 설치 후반에서 발생할 이벤트를 알려 주는 역할만 합니다.
또한 스키마를 확장하거나 도메인을 준비하려면 Schema Admin 및 Enterprise Admins 그룹의 구성원 자격이 필요하므로 이 페이지에서는 현재 사용자 자격 증명이 이러한 그룹의 구성원인지 확인합니다. 현재 자격 증명이 충분한 권한을 제공하지 않는다고 페이지에 알리는 경우 변경을 선택하여 적절한 사용자 자격 증명을 제공합니다.
추가 옵션 ADDSDeployment cmdlet 인수는 다음과 같습니다.
-adprepcredential <pscredential>
Important
이전 버전의 Windows Server와 마찬가지로 Windows Server 2012의 자동화된 도메인 준비에서는 GPPREP를 실행하지 않습니다. 이전에 Windows Server 2003, Windows Server 2008 또는 Windows Server 2008 R2가 준비되지 않은 모든 도메인에 대해 adprep.exe /gpprep를 수동으로 실행하세요. 업그레이드마다 실행하지 말고 도메인 기록에서 GPPrep를 한 번만 실행해야 합니다. Adprep.exe는 /gpprep를 자동으로 실행하지 않습니다. 자동으로 실행할 경우 SYSVOL 폴더의 모든 파일 및 폴더가 모든 도메인 컨트롤러에서 다시 복제될 수 있기 때문입니다.
자동 RODCPrep는 도메인에서 준비되지 않은 첫 번째 RODC의 수준을 올릴 때 실행됩니다. 쓰기 가능한 첫 번째 Windows Server 2012 도메인 컨트롤러의 수준을 올릴 때는 실행되지 않습니다. 또한 읽기 전용 도메인 컨트롤러를 배포하려는 경우에도 adprep.exe /rodcprep 를 수동으로 실행할 수 있습니다.
옵션 검토 및 스크립트 보기
옵션 검토 페이지에서 설치를 시작하기 전에 설정을 확인하고 이러한 설정이 요구 사항을 충족하는지도 확인할 수 있습니다. 서버 관리자 사용하여 설치를 중지할 수 있는 마지막 기회는 아닙니다. 이 페이지에서는 단지 구성을 계속하기 전에 설정을 검토하고 확인합니다.
서버 관리자의 옵션 검토 페이지는 현재 ADDSDeployment 구성을 단일 Windows PowerShell 스크립트로 포함하는 유니코드 텍스트 파일을 만들 수 있도록 스크립트 보기 단추(선택 사항)도 제공합니다. 이 단추를 통해 서버 관리자 그래픽 인터페이스를 Windows PowerShell 배포 스튜디오로 사용할 수 있습니다. Active Directory 도메인 서비스 구성 마법사를 사용하여 옵션을 구성하고 구성을 내보낸 다음 마법사를 취소합니다. 이 프로세스를 통해 향후 수정을 위해 사용하거나 직접 사용하기 위한 유효하고 구문상으로 정확한 샘플이 만들어집니다. 예시:
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSDomainController `
-AllowPasswordReplicationAccountName @(CORP\Allowed RODC Password Replication Group, CORP\Chicago RODC Admins, CORP\Chicago RODC Users and Computers) `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath C:\Windows\NTDS `
-DelegatedAdministratorAccountName CORP\Chicago RODC Admins `
-DenyPasswordReplicationAccountName @(BUILTIN\Administrators, BUILTIN\Server Operators, BUILTIN\Backup Operators, BUILTIN\Account Operators, CORP\Denied RODC Password Replication Group) `
-DomainName corp.contoso.com `
-InstallDNS:$true `
-LogPath C:\Windows\NTDS `
-ReadOnlyReplica:$true `
-SiteName Default-First-Site-Name `
-SYSVOLPath C:\Windows\SYSVOL
-Force:$true
참고 항목
서버 관리자는 수준을 올릴 때 일반적으로 모든 인수의 값을 채우며 기본값에 의존하지 않습니다. 기본값은 향후 버전의 Windows 또는 서비스 팩 간에 변경될 수 있기 때문입니다. 단, -safemodeadministratorpassword 인수는 예외입니다. 확인 프롬프트를 강제로 표시하려면 대화형으로 cmdlet을 실행할 때 이 값을 생략합니다.
선택적 Whatif 인수를 Install-ADDSDomainController cmdlet과 함께 사용하여 구성 정보를 검토합니다. 이를 통해 cmdlet 인수의 명시적 및 암시적 값을 확인할 수 있습니다.
필수 구성 요소 확인
필수 구성 요소 확인은 AD DS 도메인 구성의 새로운 기능입니다. 이 새 단계에서는 서버 구성이 새 AD DS 포리스트를 지원할 수 있는지 확인합니다.
새 포리스트 루트 도메인을 설치할 때 서버 관리자 Active Directory Domain Services 구성 마법사는 일련의 직렬화된 모듈식 테스트를 호출합니다. 이러한 테스트에서는 제안된 복구 옵션을 알려 줍니다. 필요한 만큼 여러 번 테스트를 실행할 수 있습니다. do기본 컨트롤러 프로세스는 모든 필수 구성 요소 테스트가 통과될 때까지 계속할 수 없습니다.
필수 구성 요소 확인에서는 이전 운영 체제에 영향을 주는 보안 변경 내용과 같은 관련 정보도 제공합니다.
서버 관리자 사용할 때는 필수 구성 요소 검사를 무시할 수 없지만 다음 인수를 사용하여 AD DS 배포 cmdlet을 사용하는 경우 프로세스를 건너뛸 수 있습니다.
-skipprechecks
설치를 선택하여 do기본 컨트롤러 승격 프로세스를 시작합니다. 이때가 설치를 취소할 수 있는 마지막 기회입니다. 승격 프로세스가 시작되면 취소할 수 없습니다. 수준 올리기가 끝나면 수준 올리기 결과에 상관없이 컴퓨터가 자동으로 다시 부팅됩니다.
설치
설치 페이지가 표시되면 do기본 컨트롤러 구성이 시작되고 중지하거나 취소할 수 없습니다. 세부 작업이 이 페이지에 표시되고 다음 로그에 기록됩니다.
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
ADDSDeployment 모듈을 사용하여 새 Active Directory 포리스트를 설치하려면 다음 cmdlet을 사용합니다.
Install-addsdomaincontroller
필수 및 선택적 인수는 이 섹션의 시작 부분에 있는 ADDSDeployment Cmdlet 테이블을 참조하세요.
Install-addsdomaincontroller cmdlet은 두 단계(필수 구성 요소 확인 및 설치)만 수행합니다. 아래 두 그림에는 최소 필수 인수인 -domainname, -readonlyreplica, -sitename및 -credential을 사용한 설치 단계가 나와 있습니다. 서버 관리자와 마찬가지로 Install-ADDSDomainController 에서도 수준 올리기 후 서버가 자동으로 다시 부팅됨을 미리 알려 줍니다.
다시 부팅 프롬프트를 자동으로 허용하려면 임의의 ADDSDeployment Windows PowerShell cmdlet에서 -force 또는 -confirm:$false 인수를 사용합니다. 수준 올리기가 끝난 후 서버가 자동으로 다시 부팅되는 것을 방지하려면 -norebootoncompletion 인수를 사용합니다.
Warning
다시 부팅을 무시하지 않는 것이 좋습니다. 도메인 컨트롤러가 올바르게 작동하려면 다시 부팅해야 합니다. 도메인 컨트롤러에서 로그오프한 경우 다시 시작할 때까지 대화형으로 다시 로그온할 수 없습니다.
결과
결과 페이지에는 수준 올리기의 성공 또는 실패와 중요한 관리 정보가 표시됩니다. 10초 후 도메인 컨트롤러가 자동으로 다시 부팅됩니다.