다시 시작 가능한 AD DS (Restartable AD DS)와 DSRM 로그온 정책

'다시 시작 가능한 AD DS'란?

Windows Server 2008부터 도입된 기능으로, 이전처럼 Active Directory 데이터베이스(ntds.dit) 유지 보수(예: 오프라인 조각 모음)를 위해 서버 전체를 DSRM으로 재부팅할 필요 없이, 서버가 일반 모드로 실행 중인 상태에서 Active Directory Domain Services(AD DS) 서비스만 중지했다가 다시 시작할 수 있게 해주는 기능입니다. 이를 통해 서비스 중단 시간을 최소화할 수 있습니다.

문제 상황: 서비스 중지 시 로그온 방법

하지만 여기서 한 가지 문제가 발생합니다. AD DS 서비스가 중지되면 해당 도메인 컨트롤러(DC)는 더 이상 도메인 로그온 요청을 처리할 수 없습니다. 그렇다면 관리자는 어떻게 이 서버에 로그온하여 필요한 작업을 수행할 수 있을까요?

이에 대한 해답이 바로 DSRM 관리자 계정을 활용하는 것이며, 이 동작은 특정 레지스트리 키를 통해 제어됩니다.

DSRM 로그온 동작 제어 레지스트리

• 경로: HKLM\System\CurrentControlSet\Control\Lsa
• 키(값): DSRMAdminLogonBehavior (DWORD 타입)

이 레지스트리 값에 따라 일반 모드에서 DSRM 관리자 계정의 로그온 허용 여부가 결정됩니다.

값	설명
0	(기본값) DSRM 관리자 계정 로그온 불가 서버가 일반 모드일 때는 오직 도메인 계정으로만 로그온할 수 있습니다. AD DS 서비스가 중지되면 사실상 이 서버에 원격으로 새로 로그온할 방법이 없습니다.
1	AD DS 서비스가 중지된 경우에만 DSRM 관리자 계정 로그온 허용 유지 보수 작업을 위한 가장 권장되는 설정입니다. 평소에는 도메인 계정만 사용 가능하지만, 관리자가 AD DS 서비스를 중지시키면 시스템이 자동으로 DSRM 관리자 계정(.\Administrator)의 로그온을 허용하도록 전환됩니다.
2	항상 DSRM 관리자 계정 로그온 허용 AD DS 서비스의 실행 여부와 관계없이 언제든지 DSRM 관리자 계정으로 로그온할 수 있습니다. 이 설정은 DC에 항상 활성화된 강력한 로컬 관리자 계정(일종의 백도어)을 만드는 것과 같으므로, 특별한 문제 해결 상황이 아니라면 보안상 매우 위험하여 권장되지 않습니다.