포리스트 루트 도메인 선택

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Active Directory 포리스트에 배포하는 첫 번째 도메인을 포리스트 루트 도메인이라고 합니다. 이 도메인은 AD DS 배포의 수명 주기 동안 포리스트 루트 도메인으로 유지됩니다.

포리스트 루트 도메인에는 Enterprise Admins 및 Schema Admins 그룹이 포함됩니다. 이러한 서비스 관리자 그룹은 도메인 추가 및 제거, 스키마 변경 구현과 같은 포리스트 수준 작업을 관리하는 데 사용됩니다.

포리스트 루트 도메인을 선택하려면 도메인 디자인에서 Active Directory 도메인 중 하나가 포리스트 루트 도메인으로 작동할 수 있는지 또는 전용 포리스트 루트 도메인을 배포해야 하는지 여부를 결정해야 합니다.

포리스트 루트 도메인 배포에 대한 자세한 내용은 Windows Server 2008 포리스트 루트 도메인 배포를 참조하세요.

지역 또는 전용 포리스트 루트 도메인 선택

단일 도메인 모델을 적용하는 경우 단일 도메인이 포리스트 루트 도메인으로 작동합니다. 여러 도메인 모델을 적용하는 경우 전용 포리스트 루트 도메인을 배포하거나 포리스트 루트 도메인으로 작동할 지역 도메인을 선택할 수 있습니다.

전용 포리스트 루트 도메인

전용 포리스트 루트 도메인은 포리스트 루트로 작동하도록 특별히 만들어진 도메인입니다. 포리스트 루트 도메인에 대한 서비스 관리자 계정 이외의 사용자 계정은 포함되지 않습니다. 또한 도메인 구조의 지리적 지역을 나타내지 않습니다. 포리스트의 다른 모든 도메인은 전용 포리스트 루트 도메인의 자식입니다.

전용 포리스트 루트를 사용하면 다음과 같은 이점이 있습니다.

  • 도메인 서비스 관리자와 포리스트 서비스 관리자의 운영 분리. 단일 도메인 환경에서 Domain Admins 및 기본 제공 Administrators 그룹의 구성원은 표준 도구 및 절차를 사용하여 Enterprise Admins 및 Schema Admins 그룹의 구성원으로 만들 수 있습니다. 전용 포리스트 루트 도메인을 사용하는 포리스트에서 도메인 관리자 및 지역 도메인의 기본 제공 Administrators 그룹의 구성원은 표준 도구 및 절차를 사용하여 포리스트 수준 서비스 관리자 그룹의 구성원이 될 수 없습니다.
  • 다른 도메인의 운영 변경으로부터 보호 전용 포리스트 루트 도메인은 도메인 구조의 특정 지리적 지역을 나타내지 않습니다. 이러한 이유로 도메인의 이름 바꾸기 또는 재구성을 초래하는 재구성 또는 기타 변경의 영향을 받지 않습니다.
  • 다른 지역에 종속된 것으로 보이는 국가 또는 지역이 없도록 중립 루트 역할을 합니다. 일부 조직에서는 한 국가 또는 지역이 네임스페이스의 다른 국가 또는 지역에 종속되는 모양을 방지하는 것을 선호할 수 있습니다. 전용 포리스트 루트 도메인을 사용하는 경우 모든 지역 도메인은 도메인 계층 구조의 피어가 될 수 있습니다.

전용 포리스트 루트가 사용되는 다중 지역 도메인 환경에서 포리스트 루트 도메인의 복제는 네트워크 인프라에 미치는 영향을 최소화합니다. 이는 포리스트 루트가 서비스 관리자 계정만 호스팅하기 때문입니다. 포리스트 및 기타 도메인별 데이터에 있는 대부분의 사용자 계정은 지역 도메인에 저장됩니다.

전용 포리스트 루트 도메인을 사용하는 경우의 한 가지 단점은 추가 도메인을 지원하기 위해 추가 관리 오버헤드가 발생한다는 것입니다.

포리스트 루트 도메인인 지역 도메인

전용 포리스트 루트 도메인을 배포하지 않도록 선택하는 경우 포리스트 루트 도메인으로 작동할 지역 도메인을 선택해야 합니다. 이 도메인은 다른 모든 지역 도메인의 부모 도메인이며 배포하는 첫 번째 도메인이 됩니다. 포리스트 루트 도메인은 사용자 계정을 포함하며 다른 지역 도메인이 관리되는 것과 동일한 방식으로 관리됩니다. 주요 차이점은 Enterprise Admins 및 Schema Admins 그룹도 포함된다는 것입니다.

포리스트 루트 도메인으로 작동할 지역 도메인을 선택하는 이점은 추가 도메인 유지 관리로 인해 생성되는 추가 관리 오버헤드가 발생하지 않는다는 것입니다. 본사 또는 네트워크 연결 속도가 가장 빠른 지역을 나타내는 도메인과 같이 포리스트 루트가 될 적절한 지역 도메인을 선택합니다. 조직에서 포리스트 루트 도메인이 될 지역 도메인을 선택하기 어려운 경우 전용 포리스트 루트 모델을 대신 사용하도록 선택할 수 있습니다.

포리스트 루트 도메인 이름 할당

포리스트 루트 도메인 이름은 포리스트의 이름이기도 합니다. 포리스트 루트 이름은 접두사와 접미사(prefix.suffix) 형식으로 구성된 DNS(Domain Name System) 이름입니다. 예를 들어 조직에 포리스트 루트 이름 corp.contoso.com 있을 수 있습니다. 이 예제에서 corp는 접두사이고 contoso.com 접미사입니다.

네트워크의 기존 이름 목록에서 접미사를 선택합니다. 접두사에 대해 이전에 네트워크에서 사용되지 않은 새 이름을 선택합니다. 기존 접미사에 새 접두사를 연결하여 고유한 네임스페이스를 만듭니다. Active Directory Domain Services(AD DS)에 대한 새 네임스페이스를 만들면 기존 DNS 인프라를 수정하여 AD DS 수용할 필요가 없습니다.

접미사 선택

포리스트 루트 도메인에 대한 접미사를 선택하려면 다음을 수행합니다.

  1. AD DS 호스트할 네트워크에서 사용 중인 등록된 DNS 접미사 목록은 조직의 DNS 소유자에게 문의하세요. 내부 네트워크에서 사용되는 접미사는 외부에서 사용되는 접미사와 다를 수 있습니다. 예를 들어 조직에서는 인터넷에서 contosopharma.com 사용하고 내부 회사 네트워크에 contoso.com 수 있습니다.

  2. DNS 소유자에게 문의하여 AD DS 사용할 접미사를 선택합니다. 적절한 접미사가 없는 경우 인터넷 명명 기관에 새 이름을 등록합니다.

Active Directory 네임스페이스에서 인터넷 기관에 등록된 DNS 이름을 사용하는 것이 좋습니다. 등록된 이름만 전역적으로 고유하게 보장됩니다. 나중에 다른 조직에서 동일한 DNS 도메인 이름을 등록하는 경우(또는 조직이 동일한 DNS 이름을 사용하는 다른 회사에 의해 병합, 획득 또는 인수되는 경우) 두 인프라는 서로 상호 작용할 수 없습니다.

주의

단일 레이블 DNS 이름을 사용하지 마십시오. 자세한 내용은 단일 레이블 DNS 이름을 사용하여 구성된 Active Directory 도메인의 배포 및 작업을 참조하세요. 또한 .local 과 같이 등록되지 않은 접미사를 사용하지 않는 것이 좋습니다.

접두사 선택

네트워크에서 이미 사용 중인 등록된 접미사를 선택한 경우 아래 표의 접두사 규칙을 사용하여 포리스트 루트 도메인 이름에 대한 접두사를 선택합니다. 현재 사용되지 않는 접두사 를 추가하여 새 하위 이름을 만듭니다. 예를 들어 DNS 루트 이름이 contoso.com 경우 네임스페이스 concorp.contoso.com 네트워크에서 아직 사용되지 않는 경우 concorp.contoso.com Active Directory 포리스트 루트 도메인 이름을 만들 수 있습니다. 네임스페이스의 이 새 분기는 AD DS 전용이며 기존 DNS 구현과 쉽게 통합될 수 있습니다.

포리스트 루트 도메인으로 작동하도록 지역 도메인을 선택한 경우 도메인에 대한 새 접두사를 선택해야 할 수 있습니다. 포리스트 루트 도메인 이름은 포리스트의 다른 모든 도메인 이름에 영향을 주므로 지역별 기반 이름이 적절하지 않을 수 있습니다. 현재 네트워크에서 사용되지 않는 새 접미사를 사용하는 경우 추가 접두사를 선택하지 않고 포리스트 루트 도메인 이름으로 사용할 수 있습니다.

다음 표에서는 등록된 DNS 이름의 접두사를 선택하는 규칙을 나열합니다.

규칙 설명
오래될 가능성이 없는 접두사 를 선택합니다. 나중에 변경될 수 있는 제품 라인 또는 운영 체제와 같은 이름을 사용하지 않습니다. corp 또는 ds와 같은 일반 이름을 사용하는 것이 좋습니다.
인터넷 표준 문자만 포함하는 접두사 를 선택합니다. A-Z, a-z, 0-9 및 (-)이지만 전체 숫자는 아닙니다.
접두사에 15자 이하를 포함합니다. 접두사 길이를 15자 이하로 선택하는 경우 NetBIOS 이름은 접두사와 동일합니다.

Active Directory DNS 소유자가 조직의 DNS 소유자와 협력하여 Active Directory 네임스페이스에 사용할 이름의 소유권을 얻는 것이 중요합니다. AD DS 지원하도록 DNS 인프라를 디자인하는 자세한 내용은 DNS 인프라 디자인 만들기를 참조하세요.

포리스트 루트 도메인 이름 문서화

포리스트 루트 도메인에 대해 선택한 DNS 접두사 및 접미사를 문서화합니다. 이 시점에서 포리스트 루트가 될 도메인을 식별합니다. 새 도메인 및 업그레이드된 도메인 및 도메인 이름에 대한 계획을 문서화하기 위해 만든 "도메인 계획" 워크시트에 포리스트 루트 도메인 이름 정보를 추가할 수 있습니다. 이를 열려면 Windows Server 2003 배포 키트에 대한 작업 지원에서 Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip 다운로드하고 "도메인 계획"(DSSLOGI_5.doc)을 엽니다.