Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드하는 방법
| 기술 자료 ID | : | 325379 |
| 마지막 검토 | : | 2007년 1월 22일 월요일 |
| 수정 | : | 21.2 |
이 페이지에서
요약
이 문서에서는 Microsoft Windows 2000 도메인 컨트롤러를 Microsoft Windows Server 2003으로 업그레이드하는 방법과 새 Windows Server 2003 도메인 컨트롤러를 Windows 2000 도메인에 추가하는 방법을 설명합니다.
위로 가기도메인 및 포리스트 인벤토리
Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드하거나 새 Windows Server 2003 도메인 컨트롤러를 Windows 2000 도메인에 추가하기 전에 다음과 같이 하십시오.| 1. | SMB 서명과 호환되도록 Windows Server 2003 도메인 컨트롤러를 호스트하는 도메인의 리소스에 액세스하는 클라이언트에 대해 다음과 같은 작업을 수행합니다. 각 Windows Server 2003 도메인 컨트롤러는 로컬 보안 정책에서 SMB 서명을 설정합니다. SMB/CIFS 프로토콜을 사용하여 Windows Server 2003 도메인 컨트롤러를 호스트하는 도메인의 공유 파일과 프린터에 액세스하는 모든 네트워크 클라이언트가 SMB 서명을 지원하도록 구성되거나 업그레이드될 수 있어야 합니다. 그렇지 않을 경우 업데이트를 설치할 수 있을 때까지나 SMB 서명을 지원하는 최신 운영 체제로 클라이언트를 업그레이드할 수 있을 때까지 일시적으로 SMB 서명을 해제합니다. SMB 서명을 해제하는 방법에 대한 자세한 내용은 이 단계 끝에 있는 "SMB 서명을 해제하려면"을 참조하십시오. 작업 계획 다음 목록은 일반적인 SMB 클라이언트에 대한 작업 계획을 보여 줍니다.
Windows Server 2003을 사용하기 전에 설치된 Windows 95, Windows NT 4.0 또는 다른 클라이언트를 실행하는 영향을 받는 도메인 컨트롤러에 소프트웨어 업데이트를 설치할 수 없는 경우에는 업데이트된 클라이언트 소프트웨어를 배포할 수 있을 때까지 일시적으로 그룹 정책에서 SMB 서비스 서명 요구 사항을 해제하십시오. SMB 서비스 서명은 도메인 컨트롤러 조직 구성 단위에 있는 기본 도메인 컨트롤러 정책의 다음 노드에서 해제할 수 있습니다. 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션\Microsoft 네트워크 서버: 디지털 서명 통신(항상) 도메인 컨트롤러의 조직 구성 단위에 도메인 컨트롤러가 없으면 Windows 2000 또는 Windows Server 2003 도메인 컨트롤러를 호스트하는 모든 조직 구성 단위에 기본 도메인 컨트롤러의 GPO(그룹 정책 개체)를 연결해야 합니다. 또는 그러한 조직 구성 단위에 연결된 GPO에서 SMB 서비스 서명을 구성할 수 있습니다. | ||||||||||||||||||||||||
| 2. | 도메인과 포리스트에 있는 도메인 컨트롤러에 대해 다음과 같은 작업을 수행합니다.
|
Windows 2000 포리스트의 Microsoft Exchange 2000
참고| • | Windows 2000 포리스트에 Exchange 2000 Server가 설치되어 있거나 설치하려는 경우 Windows Server 2003 adprep /forestprep 명령을 실행하기 전에 이 절을 읽어 보십시오. |
| • | Microsoft Exchange Server 2003 스키마 변경 내용을 설치하려면 Windows Server 2003 adprep 명령을 실행하기 전에 "개요: Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드" 절로 이동하십시오. |
Windows 2000 inetOrgPerson Kit 및 Windows Server 2003 adprep 명령은 비 RFC 호환 버전과 동일한 LDAPDisplayNames를 가진 RFC 호환 버전의 동일한 세 가지 특성을 정의합니다.
Windows Server 2003 adprep /forestprep 명령을 Windows 2000 및 Exchange 2000 스키마 변경 내용이 포함된 포리스트에서 스크립트를 수정하지 않고 실행하면 houseIdentifier, labeledURI, secretary 특성의 LDAPDisplayNames가 맹글링됩니다. 디렉터리에 있는 개체와 특성이 고유한 이름을 갖도록 "Dup" 또는 다른 고유 문자를 충돌하는 특성 이름 시작 부분에 추가하면 특성이 “맹글링”됩니다.
다음과 같은 경우 Active Directory 포리스트는 이러한 특성의 맹글링된 LDAPDisplayNames에 취약하지 않습니다.
| • | Exchange 2000 스키마를 추가하기 전에 Windows 2000 스키마가 포함된 포리스트에서 Windows Server 2003 adprep /forestprep 명령을 실행하는 경우 |
| • | Windows Server 2003 도메인 컨트롤러가 첫 번째 도메인 컨트롤러가 되는 포리스트에 Exchange 2000 스키마를 설치하는 경우 |
| • | Windows 2000 스키마가 포함된 포리스트에 Windows 2000 inetOrgPerson Kit를 추가한 다음 Exchange 2000 스키마 변경 내용을 설치하고 Windows Server 2003 adprep /forestprep 명령을 실행하는 경우 |
| • | Windows Server 2003 adprep /forestprep 명령을 실행하기 전에 기존 Windows 2000 포리스트에 Exchange 2000 스키마를 추가한 다음 Exchange 2003 /forestprep 명령을 실행하는 경우 |
| • | Windows 2000 inetOrgPerson Kit를 설치하기 전에 labeledURI, houseIdentifier, secretary 특성의 Exchange 2000 버전을 Windows 2000 포리스트에 추가하는 경우 |
| • | 먼저 정리 스크립트를 실행하지 않고 Windows Server 2003 adprep /forestprep 명령을 실행하기 전에 labeledURI, houseIdentifier, secretary 특성의 Exchange 2000 버전을 Windows 2000 포리스트에 추가하는 경우 |
시나리오 1: Windows Server 2003 adprep /forestprep 명령을 실행한 후에 Exchange 2000 스키마 변경 내용을 추가한 경우
Windows Server 2003 adprep /forestprep 명령을 실행한 후에 Exchange 2000 스키마 변경 내용을 Windows 2000 포리스트에 적용하는 경우 정리가 필요하지 않습니다. "개요: Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드" 절로 이동하십시오.시나리오 2: Windows Server 2003 adprep /forestprep 명령을 실행하기 전에 Exchange 2000 스키마 변경 내용을 설치하는 경우
Exchange 2000 스키마 변경 내용이 이미 설치되었지만 Windows Server 2003 adprep /forestprep 명령을 실행하지 않은 경우에는 아래와 같은 작업 계획을 고려하십시오.| 1. | Schema Admins 보안 그룹의 구성원에 해당하는 계정을 사용하여 스키마 작업 마스터의 콘솔에 로그온합니다. | ||||||||||
| 2. | 시작, 실행을 차례로 누르고 열기 상자에 notepad.exe를 입력한 다음 확인을 누릅니다. | ||||||||||
| 3. | "schemaUpdateNow: 1" 다음에 후행 하이픈이 포함된 아래 텍스트를 메모장에 복사합니다.
dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X changetype: Modify replace:LDAPDisplayName LDAPDisplayName: msExchAssistantName - dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X changetype: Modify replace: LDAPDisplayName LDAPDisplayName: msExchLabeledURI - dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X changetype: Modify replace: LDAPDisplayName LDAPDisplayName: msExchHouseIdentifier - dn: changetype: Modify add: schemaUpdateNow schemaUpdateNow: 1 - | ||||||||||
| 4. | 각 줄 끝에는 공백이 없어야 합니다. | ||||||||||
| 5. | 파일 메뉴에서 저장을 누릅니다. 다른 이름으로 저장 대화 상자에서 다음 단계를 수행합니다.
| ||||||||||
| 6. | InetOrgPersonPrevent.ldf 스크립트를 실행합니다.
| ||||||||||
| 7. | Windows Server 2003 adprep /forestprep 명령을 실행하기 전에 스키마 명명 컨텍스트에서 CN=ms-Exch-Assistant-Name, CN=ms-Exch-LabeledURI, CN=ms-Exch-House-Identifier 특성의 LDAPDisplayNames가 이제 msExchAssistantName, msExchLabeledURI, msExchHouseIdentifier로 나타나는지 확인합니다. | ||||||||||
| 8. | "개요: Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드" 절로 이동하여 adprep /forestprep 및 /domainprep 명령을 실행합니다. |
시나리오 3: inetOrgPersonFix를 처음 실행하기 전에 Windows Server 2003 forestprep 명령이 실행된 경우
Exchange 2000 스키마 변경 내용을 포함하는 Windows 2000 포리스트에서 Windows Server 2003 adprep /forestprep 명령을 실행한 경우에는 houseIdentier, secretary 및 labeledURI에 대한 LDAPDisplayName 특성이 맹글링됩니다. 맹글링된 이름을 식별하려면 Ldp.exe를 사용하여 영향을 받은 특성을 찾으십시오.| 1. | Microsoft Windows 2000 미디어나 Windows Server 2003 미디어의 Support\Tools 폴더에서 Ldp.exe를 설치합니다. | ||||||||||||
| 2. | 포리스트의 도메인 컨트롤러 또는 구성원 컴퓨터에서 Ldp.exe를 시작합니다.
| ||||||||||||
| 3. | SchemaNamingContext 특성의 고유 이름 경로를 적어 둡니다. 예를 들어, CORP.ADATUM.COM 포리스트에서 도메인 컨트롤러의 고유 이름 경로는 CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com입니다. | ||||||||||||
| 4. | Browse 메뉴에서 Search를 누릅니다. | ||||||||||||
| 5. | 다음 설정을 사용하여 Search 대화 상자를 구성합니다.
| ||||||||||||
| 6. | 맹글링된 houseIdentifier, secretary 및 labeledURI 특성의 LDAPDisplayName 특성은 다음과 유사한 형식을 갖습니다.
LDAPDisplayName: DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d; LDAPDisplayName: DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f LDAPDisplayName: DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef | ||||||||||||
| 7. | labeledURI, secretary 및 houseIdentifier에 대한 LDAPDisplayNames가 6단계에서 맹글링된 경우 Windows Server 2003 InetOrgPersonFix.ldf 스크립트를 실행하여 복구한 다음 "Winnt32.exe를 사용하여 Windows 2000 도메인 컨트롤러 업그레이드" 절로 이동하십시오.
| ||||||||||||
| 8. | Exchange 2000을 설치하기 전에 스키마 명명 컨텍스트의 houseIdentifier, secretary 및 labeledURI 특성이 "맹글링"되지 않았는지 확인합니다. |
293783 (http://support.microsoft.com/kb/293783/) UNIX 2.0용 Windows 서비스가 설치된 상태에서 Windows 2000 Server를 Windows Server 2003으로 업그레이드할 수 없다
개요: Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드
Windows Server 2003 미디어의 \I386 폴더에서 실행되는 Windows Server 2003 adprep 명령은 Windows Server 2003 도메인 컨트롤러를 추가하기 위해 Windows 2000 포리스트 및 도메인을 준비합니다. Windows Server 2003 adprep /forestprep 명령은 다음 기능을 추가합니다.| • | 개체 클래스의 향상된 기본 보안 설명자 |
| • | 새 사용자 및 그룹 특성 |
| • | 새 스키마 개체와 inetOrgPerson 등의 특성 |
adprep /forestprep: 포리스트 업그레이드 작업을 실행합니다.
adprep /domainprep: 도메인 업그레이드 작업을 실행합니다.
adprep /forestprep 명령은 포리스트의 스키마 작업 마스터(FSMO)에서 한 번만 수행되는 작업입니다. forestprep 작업이 완료되어 각 도메인의 인프라 마스터에 복제되어야 해당 도메인에서 adprep /domainprep를 실행할 수 있습니다. adprep /domainprep: 도메인 업그레이드 작업을 실행합니다.
adprep /domainprep 명령은 새로운 또는 업그레이드된 Windows Server 2003 도메인 컨트롤러를 호스트하는 포리스트의 각 도메인에 있는 인프라 작업 마스터 도메인 컨트롤러에서 한 번만 실행되는 작업입니다. adprep /domainprep 명령은 forestprep의 변경 내용이 도메인 파티션에 복제되었는지 확인한 다음 Sysvol 공유에 있는 도메인 파티션과 그룹 정책에 변경 내용을 적용합니다.
/forestprep 및 /domainprep 작업이 완료되어 해당 도메인의 모든 도메인 컨트롤러에 복제되지 않으면 다음 작업을 수행할 수 없습니다.
| • | Winnt32.exe를 사용하여 Windows 2000 도메인 컨트롤러를 Windows Server 2003 도메인 컨트롤러로 업그레이드합니다. 참고: 원할 경우 언제라도 Windows 2000 구성원 서버와 컴퓨터를 Windows Server 2003 구성원 컴퓨터로 업그레이드할 수 있습니다. |
| • | Dcpromo.exe를 사용하여 새로운 Windows Server 2003 도메인 컨트롤러의 수준을 도메인으로 올립니다. |
adprep /forestprep 및 adprep /domainprep 명령은 글로벌 카탈로그 부분 특성 집합에 특성을 추가하지 않거나 글로벌 카탈로그가 완전히 동기화되지 않게 합니다. adprep /domainprep의 RTM 버전을 실행하면 Sysvol 트리에서 \Policies 폴더가 완전히 동기화됩니다. forestprep와 domainprep를 여러 번 실행하더라도 전체 작업은 한 번만 수행됩니다.
adprep /forestprep와 adprep /domainprep의 변경 내용이 완전히 복제되면 Windows Server 2003 미디어의 \I386 폴더에서 Winnt32.exe를 실행하여 Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드할 수 있습니다. 또한 Dcpromo.exe를 사용하여 도메인에 새 Windows Server 2003 도메인 컨트롤러를 추가할 수 있습니다.
adprep /forestprep 명령을 사용하여 포리스트 업그레이드
Windows Server 2003 도메인 컨트롤러를 적용할 수 있도록 Windows 2000 포리스트와 도메인을 준비하려면 아래 단계를 먼저 연구실 환경에서 수행한 다음 프로덕션 환경에서 수행하십시오.| 1. | 다음 항목에 특히 주의하여 "포리스트 인벤토리" 단계의 모든 작업을 완료했는지 확인합니다.
| ||||||||||||
| 2. | Schema Admins 보안 그룹의 구성원에 해당하는 계정을 사용하여 스키마 작업 마스터의 콘솔에 로그온합니다. | ||||||||||||
| 3. | Windows NT 명령 프롬프트에서 다음 명령을 입력하여 스키마 FSMO가 스키마 파티션의 인바운드 복제를 수행했는지 확인합니다.
repadmin /showreps repadmin은 Active Directory의 Support\Tools 폴더에서 설치됩니다. | ||||||||||||
| 4. | 초기에 Microsoft에서는 adprep /forestprep를 실행하기 전에 개인 네트워크에서 스키마 작업 마스터를 분리하도록 권고했습니다. 실제로는 이 단계가 필요하지 않으며 개인 네트워크에서 다시 시작할 때 스키마 작업 마스터가 스키마 변경을 거부하도록 할 수 있습니다. adprep가 추가한 스키마를 분리하려면 repadmin 명령줄 유틸리티를 사용하여 Active Directory의 아웃바운드 복제를 임시로 해제하는 것이 좋습니다. 아웃바운드 복제를 임시로 해제하려면 다음과 같이 하십시오.
| ||||||||||||
| 5. | 스키마 작업 마스터에서 adprep를 실행합니다. 이렇게 하려면 시작, 실행을 차례로 누르고 cmd를 입력한 다음 확인을 누릅니다. 스키마 작업 마스터에서 다음 명령을 입력합니다.
X:\I386\adprep /forestprep 여기서 X:\I386\은 Windows Server 2003 설치 미디어의 경로입니다. 이 명령은 포리스트 전체에 적용되는 스키마 업그레이드를 실행합니다.참고 다음 예와 같은 디렉터리 서비스 이벤트 로그에 기록된 이벤트 ID 1153 이벤트는 무시해도 좋습니다. 이벤트 종류: 오류 | ||||||||||||
| 6. | adprep /forestprep 명령이 스키마 작업 마스터에서 성공적으로 실행되었는지 확인합니다. 이렇게 하려면 스키마 작업 마스터의 콘솔에서 다음 항목을 확인합니다.
| ||||||||||||
| 7. | 스키마 작업의 4단계에서 아웃바운드 복제를 해제한 경우 adprep /forestprep에서 수행한 스키마 변경 내용을 전파할 수 있도록 복제를 설정합니다. 아웃바운드 복제를 임시로 해제하려면 다음과 같이 하십시오.
| ||||||||||||
| 8. | adprep /forestprep 변경 내용이 포리스트의 모든 도메인 컨트롤러에 복제되었는지 확인합니다. 다음 특성을 모니터링하면 유용합니다.
| ||||||||||||
| 9. | 맹글링된 LDAPDisplayNames를 찾습니다. Exchange 2000이 설치된 상태에서 Windows Server 2003 adprep /forestprep 명령을 실행하는 경우 이에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오. 314649 (http://support.microsoft.com/kb/314649/) Windows Server 2003 adprep /forestprep 명령을 실행할 경우 Exchange 2000 서버를 포함하는 Windows 2000 포리스트에서 특성 맹글링 문제 발생 맹글링된 이름을 찾으려면 이 문서의 시나리오 3으로 이동하십시오. | ||||||||||||
| 10. | 스키마 작업 마스터를 호스트하는 포리스트의 Schema Admins 보안 그룹 구성원에 해당하는 계정을 사용하여 스키마 작업 마스터의 콘솔로 로그온합니다. |
adprep /domainprep 명령을 사용하여 도메인 업그레이드
/forestprep 변경 내용이 Windows Server 2003 도메인 컨트롤러를 호스트할 각 도메인의 인프라 마스터 도메인 컨트롤러로 완전히 복제된 후에 adprep /domainprep를 실행합니다. 이렇게 하려면 다음과 같이 하십시오.| 1. | 업그레이드 중인 도메인의 인프라 마스터 도메인 컨트롤러를 식별한 다음 업그레이드 중인 도메인의 Domain Admins 보안 그룹 구성원에 해당하는 계정을 사용하여 로그온합니다. 참고: 엔터프라이즈 관리자는 해당 포리스트의 자식 도메인에 있는 Domain Admins 보안 그룹의 구성원이 아닐 수도 있습니다. | ||||||||||
| 2. | 인프라 마스터에서 adprep /domainprep를 실행합니다. 이렇게 하려면 시작, 실행을 차례로 누르고 cmd를 입력한 후 인프라 마스터에 다음 명령을 입력합니다.
X:\I386\adprep /domainprep 여기서 X:\I386\은 Windows Server 2003 설치 미디어의 경로입니다. 이 명령은 대상 도메인에서 도메인 전체에 적용되는 변경 내용을 실행합니다.참고: adprep /domainprep 명령은 Sysvol 공유의 파일 사용 권한을 수정합니다. 그러면 해당 디렉터리 트리에 있는 파일들의 전체 동기화가 수행됩니다. | ||||||||||
| 3. | domainprep가 성공적으로 완료되었는지 확인합니다. 이렇게 하려면 다음 항목을 확인하십시오.
| ||||||||||
| 4. | adprep /domainprep 변경 내용이 복제되었는지 확인합니다. 이렇게 하려면 해당 도메인의 나머지 도메인 컨트롤러에 대해 다음 항목을 확인합니다.
|
Winnt32.exe를 사용하여 Windows 2000 도메인 컨트롤러 업그레이드
/forestprep 및 /domainprep의 변경 내용이 완전히 복제되고 이전 버전 클라이언트와의 보안 상호 운용성에 대한 결정을 내린 후에는 Windows 2000 도메인 컨트롤러를 Windows Server 2003으로 업그레이드하고 새 Windows Server 2003 도메인 컨트롤러를 도메인에 추가할 수 있습니다.다음과 같은 컴퓨터는 포리스트의 각 도메인에서 Windows Server 2003을 실행하는 첫 번째 도메인 컨트롤러에 속해야 합니다.
| • | 기본 DNS 프로그램 파티션을 만들 수 있도록 포리스트의 도메인 명명 마스터 |
| • | Windows Server 2003의 forestprep가 추가한 엔터프라이즈 범위의 보안 주체를 ACL 편집기에서 볼 수 있도록 하는 포리스트 루트 도메인의 주 도메인 컨트롤러 |
| • | 새로운 도메인 관련 Windows 2003 보안 주체를 만들 수 있도록 하는 루트 도메인이 아닌 각 도메인의 주 도메인 컨트롤러 |
| 1. | WINNT32를 사용하여 Windows 2000 구성원 컴퓨터와 도메인 컨트롤러를 업그레이드하기 전에 Windows 2000 관리 도구를 제거합니다. 관리 도구를 제거하려면 제어판의 프로그램 추가/제거 도구를 사용합니다(Windows 2000 업그레이드만 해당). | ||||||||||||||
| 2. | 핫픽스 파일이나 Microsoft 또는 관리자가 중요하다고 판단하는 다른 수정 프로그램을 설치합니다. | ||||||||||||||
| 3. | 가능한 업그레이드 문제가 있는지 각 도메인 컨트롤러를 검사합니다. 이렇게 하려면 설치 미디어의 \I386 폴더에서 다음 명령을 실행합니다.
winnt32.exe /checkupgradeonly 호환성 검사에서 확인된 문제를 모두 해결합니다. | ||||||||||||||
| 4. | 설치 미디어의 \I386 폴더에서 WINNT32.EXE를 실행한 다음 업그레이드한 2003 도메인 컨트롤러를 다시 시작합니다. | ||||||||||||||
| 5. | 필요할 경우 이전 버전 클라이언트의 보안 설정을 낮춥니다. Windows NT 4.0 클라이언트에 NT 4.0 SP6이 없거나 Windows 95 클라이언트에 디렉터리 서비스 클라이언트가 설치되어 있지 않은 경우에는 도메인 컨트롤러 조직 구성 단위의 기본 도메인 컨트롤러 정책에서 SMB 서비스 서명을 해제한 다음 이 정책을 도메인 컨트롤러를 호스트하는 모든 조직 구성 단위에 연결합니다. 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션\Microsoft 네트워크 서버: 디지털 서명 통신(항상) | ||||||||||||||
| 6. | 다음 데이터 항목을 사용하여 업그레이드의 상태를 확인하십시오.
| ||||||||||||||
| 7. | Windows Server 2003 관리 도구를 설치합니다(Windows 2000 업그레이드와 Windows Server 2003 비 도메인 컨트롤러만 해당). Adminpak.msi는 Windows Server 2003 CD-ROM의 \I386 폴더에 있습니다. Windows Server 2003 미디어의 Support\Tools\Suptools.msi 파일에는 업데이트된 지원 도구가 있습니다. 이 파일을 다시 설치해야 합니다. | ||||||||||||||
| 8. | 포리스트의 각 도메인에서 Windows Server 2003으로 업그레이드한 최소 처음 두 개의 Windows 2000 도메인 컨트롤러에 대한 복사본을 새로 백업합니다. 실수로 Windows 2000 컴퓨터를 사용하여 현재 Windows Server 2003을 실행하는 도메인 컨트롤러를 복원하지 않도록 Windows Server 2003으로 업그레이드한 Windows 2000 컴퓨터의 백업을 잠긴 저장소에 둡니다. | ||||||||||||||
| 9. | (옵션) SIS(단일 인스턴스 저장소)의 작업이 완료된 후에 Windows Server 2003으로 업그레이드한 도메인 컨트롤러에 Active Directory 데이터베이스의 오프라인 조각 모음을 수행합니다(Windows 2000 업그레이드만 해당). SIS는 Active Directory에 저장되어 있는 개체에 대한 기존의 사용 권한을 검토한 다음 그러한 개체에 보다 효율적인 보안 설명자를 적용합니다. 업그레이드한 도메인 컨트롤러가 Windows Server 2003 운영 체제를 처음 시작하면 SIS가 자동으로 시작되는데, 이는 디렉터리 서비스 이벤트 로그의 이벤트 1953으로 식별됩니다. 디렉터리 서비스 이벤트 로그에 이벤트 ID 1966 이벤트 메시지를 기록할 때만 향상된 보안 설명자 저장소의 혜택을 받습니다. 이벤트 종류: 정보 오프라인 조각 모음은 Windows 2000 Ntds.dit 파일의 크기를 최대 40%까지 줄이고 Active Directory 성능을 향상시키며 Link Valued 특성을 보다 효율적으로 저장하도록 데이터베이스의 페이지를 업데이트할 수 있습니다. Active Directory 데이터베이스의 조각 모음을 수행하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오. 232122 (http://support.microsoft.com/kb/232122/) Active Directory 데이터베이스의 오프라인 조각 모음 수행 | ||||||||||||||
| 10. | DLT 서버 서비스를 조사합니다. Windows Server 2003 도메인 컨트롤러는 새로운 설치와 업그레이드 설치에서 DLT 서버 서비스를 해제합니다. 조직의 Windows 2000 클라이언트나 Windows XP 클라이언트가 DLT 서버 서비스를 사용하는 경우에는 그룹 정책을 통해 새로운 또는 업그레이드한 Windows Server 2003 도메인 컨트롤러에 DLT 서버 서비스를 설정합니다. 그렇지 않으면 Active Directory에서 분산 링크 추적 개체를 점차적으로 삭제합니다. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
312403 (http://support.microsoft.com/kb/312403/) Windows 기반 도메인 컨트롤러의 분산 링크 추적
315229 (http://support.microsoft.com/kb/315229/) Microsoft 기술 자료 문서 312403에 대한 Dltpurge.vbs의 텍스트 버전 수천 개의 DLT 개체 또는 다른 개체를 대량 삭제할 경우에는 버전 저장소가 부족하여 복제가 차단될 수 있습니다. 마지막 DLT 개체를 삭제한 후 tombstonelifetime 시간(기본적으로 60일) 동안 가비지 수집이 완료될 때까지 기다린 다음 NTDSUTIL.EXE를 사용하여 Ntds.dit 파일의 오프라인 조각 모음을 수행합니다. | ||||||||||||||
| 11. | 최적의 조직 구성 단위 구조를 구성합니다. 관리자가 모든 Active Directory 도메인에서 최적의 조직 구성 단위 구조를 적극적으로 배포하고, Windows 도메인 모드에서 Windows Server 2003 도메인 컨트롤러를 업그레이드하거나 배포한 후 이전 버전의 API가 사용자, 컴퓨터 및 그룹을 만드는 데 사용하는 기본 컨테이너를 관리자가 지정한 조직 구성 단위 컨테이너로 리디렉션하는 것이 좋습니다. 최적의 조직 구성 단위 구조에 대한 자세한 내용은 "Windows 네트워크 관리에 최적인 Active Directory 설계(Best Practice Active Directory Design for Managing Windows Networks)" 백서의 "조직 구성 단위 설계(Creating an Organizational Unit Design)" 절을 참조하십시오. 이 백서를 보려면 아래의 Microsoft 웹 사이트를 방문하십시오. http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx (http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx)(영문) 이전 버전의 API가 만든 사용자, 컴퓨터 및 그룹이 위치해 있는 기본 컨테이너를 변경하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
324949 (http://support.microsoft.com/kb/324949/) Windows Server 2003 도메인에서 사용자 및 컴퓨터 컨테이너 리디렉션 | ||||||||||||||
| 12. | 필요하면 포리스트의 새로운 또는 업그레이드한 각 Windows Server 2003 도메인 컨트롤러에 대해 1-10단계를 반복하고 각 Active Directory 도메인에 대해 11단계(최적의 조직 구성 단위 구조)를 반복합니다. 요약:
|
연구실 환경에서 드라이 런(Dry Run) 업그레이드
Windows 도메인 컨트롤러를 프로덕션 Windows 2000 도메인으로 업그레이드하기 전에 연구실에서 업그레이드 프로세스를 확인하고 개선시키도록 합니다. 프로덕션 포리스트를 정확하게 미러링한 연구실 환경의 업그레이드가 원활하게 수행된 경우에는 프로덕션 환경에서도 비슷한 결과를 예상할 수 있습니다. 환경이 복잡한 경우 연구실 환경은 다음과 같은 분야에서 프로덕션 환경을 미러링해야 합니다.| • | 하드웨어: 컴퓨터 종류, 메모리 크기, 페이지 파일 배치, 디스크 크기, 성능 및 RAID 구성, BIOS 및 펌웨어 버전 수준 | ||||||||
| • | 소프트웨어: 클라이언트 및 서버 운영 체제 버전, 클라이언트 및 서버 응용 프로그램, 서비스 팩 버전, 핫픽스, 스키마 변경 내용, 보안 그룹, 그룹 구성원, 사용 권한, 정책 설정, 개체 카운트 형식 및 위치, 버전 상호 운용성 | ||||||||
| • | 네트워크 인프라: WINS, DHCP, 연결 속도, 사용 가능한 대역폭 | ||||||||
| • | 로드: Load Simulator는 암호 변경, 개체 만들기, Active Directory 복제, 로그온 인증 및 기타 이벤트를 시뮬레이션할 수 있습니다. 목표는 프로덕션 환경의 규모를 재현하려는 것이 아니라, 일반적으로 수행되는 작업의 비용과 빈도를 알아내고 현재와 미래의 요구 사항을 기반으로 프로덕션 환경에서 이들 작업의 결과(이름 쿼리, 복제 트래픽, 네트워크 대역폭 및 프로세서 소모량)를 예측하려는 것입니다. | ||||||||
| • | 관리: 수행 작업, 사용 도구, 사용 운영 체제 | ||||||||
| • | 작업: 용량, 상호 운용성 | ||||||||
| • | 디스크 공간: 아래와 같은 각 작업 이후에 각 도메인의 글로벌 카탈로그 및 비 글로벌 카탈로그 도메인 컨트롤러에서 운영 체제, Ntds.dit 및 Active Directory 로그 파일의 시작, 최대 및 종료 크기를 적어 둡니다.
|
아래와 같은 작업을 수행하려면 연구실에서 "드라이 런(Dry-run)" 업그레이드를 사용하십시오.
| • | 업그레이드 과정의 내부 동작과 관련 위험을 파악합니다. |
| • | 해당 환경에서의 배포에 대한 잠재적인 문제 영역을 밝힙니다. |
| • | 업그레이드가 성공하지 못한 경우에 대비한 복원 계획을 테스트하고 개발합니다. |
| • | 프로덕션 도메인의 업그레이드 과정에 적용할 적절한 수준의 세부 작업을 정의합니다. |
충분한 디스크 공간이 없는 도메인 컨트롤러
디스크 공간이 충분하지 않은 도메인 컨트롤러에서는 다음 작업을 수행하여 Ntds.dit 및 로그 파일을 호스트하는 볼륨에서 디스크 공간을 추가로 확보하십시오.| a. | 인터넷 브라우저가 사용하는 캐시된 파일이나 *.tmp 파일을 포함하여 사용하지 않는 파일을 삭제합니다. 이렇게 하려면 다음 명령을 입력하고 각 명령 끝에서 Enter 키를 누릅니다.
cd /d drive\ del *.tmp /s |
| b. | 사용자 또는 메모리 덤프 파일을 모두 삭제합니다. 이렇게 하려면 다음 명령을 입력하고 각 명령 끝에서 Enter 키를 누릅니다.
cd /d drive\ del *.dmp /s |
| c. | 다른 서버에서 액세스하거나 쉽게 다시 설치할 수 있는 파일을 임시로 제거하거나 재배치합니다. 제거하고 쉽게 바꿀 수 있는 파일로는 ADMINPAK, 지원 도구 및 %systemroot%\System32\Dllcache 폴더의 모든 파일이 있습니다. |
| d. | 오래되거나 사용되지 않는 사용자 프로필을 삭제합니다. 이렇게 하려면 시작을 누르고 내 컴퓨터를 마우스 오른쪽 단추로 누르고 속성, 사용자 프로필 탭을 차례로 누른 다음 오래되고 사용되지 않는 계정에 대한 프로필을 모두 삭제합니다. 서비스 계정에 대한 프로필은 삭제하지 않아야 합니다. |
| e. | %systemroot%\Symbols의 기호를 삭제합니다. 이렇게 하려면 다음 명령을 입력합니다.
rd /s %systemroot%\symbols 서버에 전체 기호 집합이 있는지 또는 소규모 기호 집합이 있는지 여부에 따라 이 작업으로 약 70MB에서 600MB까지 확보할 수 있습니다. |
| f. | 오프라인 조각 모음을 수행합니다. Ntds.dit 파일에 대해 오프라인 조각 모음을 수행하면 공간이 확보되지만 임시로 현재 DIT 파일 공간보다 두 배의 공간이 필요합니다. 가능한 경우 다른 로컬 볼륨을 사용하여 오프라인 조각 모음을 수행합니다. 또는 최적으로 연결된 네트워크 서버의 공간을 사용하여 오프라인 조각 모음을 수행합니다. 디스크 공간이 여전히 부족하면 Active Directory에서 필요하지 않은 사용자 계정, 컴퓨터 계정, DNS 레코드 및 DLT 개체를 점차적으로 삭제해 봅니다. 참고: Active Directory는 tombstonelifetime 시간(기본적으로 60일)이 지나고 가비지 수집이 완료될 때까지는 데이터베이스에서 개체를 삭제하지 않습니다. tombstonelifetime이 포리스트의 종단 간 복제보다 낮은 값으로 줄어들면 Active Directory에서 불일치가 발생할 수 있습니다. |
참조
자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
821076 (http://support.microsoft.com/kb/821076/) Windows Server 2003 도움말 파일에 Windows 2000 도메인을 업데이트하는 방법에 대한 잘못된 정보가 포함되어 있다