본문 바로가기
카테고리 없음

AD Replication

씨오디이abc 2025. 8. 10. 19:30
반응형

1) AD Replication Concepts는 뭐죠?

A.
Active Directory(AD)는 멀티-마스터, 풀(Pull) 기반 복제다. 각 도메인 컨트롤러(DC)는 KCC(Knowledge Consistency Checker)가 만든 연결 개체(Connection Object) 를 통해 들어오는(Inbound) 복제 파트너를 갖고, 스스로 필요한 변경을 끌어온다. KCC는 사이트/사이트링크 정보를 보고 토폴로지를 자동 생성·조정한다. 인트라사이트는 보통 양방향 링 + 지름길 연결로 지연을 줄이고, 인터사이트는 스패닝 트리 기반으로 최소 연결만 유지한다. Microsoft Learn+1

2) “Pull-replication”이란?

Q. 푸시 말고 왜 풀이죠?
A.
AD는 목적지 DC가 자기에게 필요한 변경만 정확히 알고 있기 때문. 변경이 생긴 출발 DC가 알림을 주더라도 실제 데이터 전송은 대상 DC가 요청해서 가져온다. repadmin /syncall을 실행해도 결국 파트너들이 인바운드 복제를 시작한다. Microsoft Learn

3) USN이 뭐예요?

A.
USN(Update Sequence Number) 은 각 DC가 자기 데이터베이스에서 일어난 트랜잭션을 단조 증가값으로 표시한 번호다. 각 DC 인스턴스는 InvocationID 를 갖고, InvocationID + USN 쌍으로 변경을 유일하게 식별한다. 가상화 환경에서도 이 논리를 쓰므로, 스냅샷 롤백 같은 시간 되감기는 위험하다. Microsoft Learn

4) Change Notification은 뭐고 어떻게 쓰나요?

A.
인트라사이트에서는 변경을 커밋한 DC가 15초 후 파트너에게 알리고, 파트너마다 3초 간격으로 순차 통지한다(기본값). 인터사이트는 기본이 스케줄·주기 기반(기본 180분) 이지만 사이트 링크의 options=1 로 알림 기반을 켤 수 있다. Microsoft Learn+2Microsoft Learn+2

5) Authoritative Restore는?

A.
백업에서 시스템 상태 복구(비권한 복구) 한 뒤, ntdsutil의 authoritative restore특정 객체/서브트리의 버전 번호를 인위적으로 올려 다른 DC들이 “이게 최신”이라고 인정하도록 만든다. 보통 DSRM 부팅 후 수행한다. Microsoft Learn

6) 인터사이트 vs 인트라사이트 복제 차이?

A.

  • 인트라사이트: 빠른 링크 전제, Change Notification(15초+3초) 로 거의 즉시 복제.
  • 인터사이트: 사이트 링크 주기(기본 180분, 최소 15분) 와 스케줄에 따름. 필요하면 options=1로 알림 기반으로 바꿀 수 있다. 토폴로지는 스패닝 트리 형태. Microsoft Learn+2Microsoft Learn+2

7) KCC와 ISTG는 뭔가요?

A.

  • KCC: 모든 DC에서 돌아가며 복제 토폴로지 자동 생성/수정(연결 개체 생성). 장애 시 임시 경로를 만들기도 한다.
  • ISTG: 사이트마다 1대가 선출되어 사이트 간 연결을 담당하는 KCC 역할을 한다(선정 로직은 사양서에 정의). Microsoft Learn+1

8) “지금 당장 복제”는 어떻게 하나요?

A.
관리도구에서 “Replicate now”, 또는 repadmin /syncall(모든 파트너)·repadmin /replicate(출발/대상/파티션 지정)로 즉시 인바운드 복제 요청을 트리거한다. Microsoft Learn+2Microsoft Learn+2

9) AD 복제의 기본 동작 흐름(핵심 테이블)?

A.
대상 DC는 파트너에 요청하며, 자신이 가진

  • High-Watermark(직접 최신 USN)
  • UTD(Up-to-Dateness) Vector(모든 원본 DC별로 본 최신 USN)
    를 제시해 이미 받은 변경은 제외(Propagation Dampening) 하고 필요한 것만 받는다. PowerShell의 Get-ADReplicationUpToDatenessVectorTable/Get-ADReplicationAttributeMetadata로 확인 가능. Microsoft Learn+2Microsoft Learn+2

10) TSL(Tombstone Lifetime)은?

A.
삭제된 개체가 영구 삭제되기 전 보관되는 기간. 지원되는 현재 버전 기준 기본값은 180일이며, 포리스트에서 명시적으로 값이 설정돼 있으면 업그레이드해도 그대로 유지된다. (아주 오래된 환경은 60일 기본이던 시절이 있었음) Microsoft Learn

11) Lingering Objects(잔존 개체)는?

A.
어떤 DC가 너무 오래(보통 TSL 초과) 복제에서 떨어져 있다가 다시 합류하면, 다른 DC에는 이미 가비지 컬렉션으로 사라진 객체가 그 DC에만 “유령”처럼 남아 복제 에러와 불일치를 만든다. 해결은 원인 DC를 격리·정상화하고, 필요 시 repadmin /removelingeringobjects 로 제거한다. Microsoft Learn

12) DSRM(Directory Services Restore Mode) 진입 방법은?

A.
도메인 컨트롤러를 디렉터리 서비스가 내려간 안전모드로 부팅해 복구 작업을 한다. GUI 없는 환경/원격에서는
bcdedit /set safeboot dsrepair → 재부팅, 복구 후 bcdedit /deletevalue safeboot 로 정상 부팅을 돌린다. (DSRM 암호가 필요) Microsoft Learn

[추가 1] USN Rollback이 뭔가요? 어떻게 복구해요?

A.
DC의 AD 데이터베이스가 스냅샷/이미지 복원 등 지원되지 않는 방식으로 과거 시점으로 돌아가 같은 InvocationID에서 예전 USN을 재사용할 때 발생. 겉으로 오류가 안 나도 복제가 조용히 멈춤. 일반 복구 절차는 해당 DC를 강제 강등/제거정상 DC에서 메타데이터 정리 → 필요 시 새로 승격. (Windows Server 2012 이상은 VM-GenerationID로 스냅샷 복원 안전성이 향상되지만, 원칙은 지원되는 시스템 상태 복원만 사용.) Microsoft Learn+1

[추가 2] “누가/어디서” 특정 객체·속성을 바꿨는지 추적하려면?

A.
두 축으로 본다.

  1. 복제 메타데이터: Get-ADReplicationAttributeMetadata(또는 repadmin /showobjmeta)로 속성 버전, 원본 DC, USN, 시간을 본다.
  2. Security Auditing(Directory Service Changes): GPO로 고급 감사 정책을 켜고, 대상 객체에 SACL을 설정하면 Event ID 5136/5137/5139/5141누가 무엇을 했는지 남는다. Microsoft Learn+2Microsoft Learn+2

[추가 3] 복제 오류 1753 “There are no more endpoints available from the endpoint mapper” 해결?

A.
RPC 통신 문제다. 주로 방화벽/네트워크에서 RPC Endpoint Mapper(135/TCP) 는 열려있는데 동적 RPC 포트(기본 49152–65535/TCP) 를 막아서 발생한다.
조치:

  • 양방향으로 135/TCP + 동적 포트 범위 개방(서버 OS 기본 동적 범위는 49152–65535).
  • 필요 시 AD RPC 고정 포트로 제한 후 그 포트만 허용.
  • DNS, SPN, 방화벽/AV 간섭도 함께 점검. Microsoft Learn+3Microsoft Learn+3Microsoft Learn+3

[추가 4] AD 복제에 필요한 RPC/포트는?

A.
필수는 135/TCP(RPC EPM) + 동적 RPC 포트(기본 49152–65535/TCP). 도메인 운영에는 Kerberos(88), LDAP(389/636), SMB(445), DNS(53) 등도 필요하다. DFSR로 SYSVOL을 쓰는 최신 환경에서는 별도 5722 포트는 요구되지 않지만, 방화벽 가이드를 공식 문서로 맞추는 게 안전하다. Microsoft Learn+3Microsoft Learn+3Microsoft Learn+3

[추가 5] DC 부팅 실패(예: c00002e2/“Directory Services could not start”) 시나리오와 대처?

A.
대표 시나리오

  • NTDS.DIT 접근/손상/부재(디스크 가득 참, 파일 손상/누락, SAN 정책, 갑작스런 전원 차단 등) → DSRM 부팅 후 원인 점검·복구(공간 확보/파일 확인/복원) 또는 강제 제거/재구축.
  • DFSR( SYSVOL ) Dirty ShutdownEvent 2213 발생 시 백업 확보 후 ResumeReplication 으로 재개, 필요한 경우 컨텐츠 새 동기화.
    참고 절차는 아래 공식 트러블슈팅 문서들을 따른다. Microsoft Learn+3Microsoft Learn+3Microsoft Learn+3
반응형

티스토리툴바