[Windows Server] AD 도메인 컨트롤러(DC) 장애 시 FSMO 역할 강제 탈취(Seize) 방법 및 복구 가이드

IT|Computing/Windows Server / / 2026. 2. 4. 23:27

1. 문제 상황 (Scenario)

메인 도메인 컨트롤러(Primary DC)가 하드웨어 고장이나 OS 손상으로 인해 영구적으로 다운되었습니다. 이 서버가 FSMO(Flexible Single Master Operation) 5대 역할을 모두 가지고 있어, 현재 AD 환경에서 사용자 추가나 스키마 변경이 불가능한 상태입니다.

죽어버린 서버를 살릴 수 없다고 판단될 때, 살아있는 보조 DC(Additional DC)로 권한을 강제로 가져오는 'Seize(강제 점유)' 작업을 수행해야 합니다.

  • 주의: 기존 DC가 단순히 재부팅 중이거나 네트워크 일시 단절인 경우에는 수행하지 마십시오. 기존 DC가 영구적으로 복구 불가능할 때만 수행해야 합니다.

2. 현재 FSMO 역할 소유자 확인

먼저 어떤 서버가 역할을 가지고 있는지 확인합니다. CMD(명령 프롬프트) 창을 열고 아래 명령어를 입력합니다.

Bash
 
netdom query fsmo
  • 결과: 5가지 역할(Schema, Naming, PDC, RID, Infrastructure)이 현재 접속 불가능한(장애가 난) DC 이름으로 되어 있다면 작업이 필요합니다.

3. ntdsutil을 이용한 역할 강제 탈취 (Seize Process)

AD 데이터베이스 관리 도구인 ntdsutil을 사용하여 역할을 가져옵니다. **명령 프롬프트(관리자 권한)**에서 순서대로 진행합니다.

3-1. 도구 실행 및 역할 모드 진입

Bash
 
C:\> ntdsutil
ntdsutil: roles
fsmo maintenance: connections

3-2. 정상적인(살아있는) DC 서버에 연결

권한을 넘겨받을 정상 상태의 DC로 연결합니다.

Bash
 
server connections: connect to server DC02
# (DC02 부분에 본인의 정상적인 DC 호스트명을 입력하세요)

server connections: quit
fsmo maintenance:

프롬프트가 fsmo maintenance: 상태가 되면 연결이 완료된 것입니다.

3-3. 역할 가져오기 (Seize vs Transfer)

여기서 명령어 선택이 중요합니다.

  • Transfer (전송): 기존 마스터 DC가 살아있을 때 정상적으로 권한을 이관함.
  • Seize (강제 점유): 기존 마스터 DC가 죽었을 때 강제로 권한을 뺏어옴.

현재는 장애 상황이므로 Seize 명령어를 사용합니다. 각 명령어를 입력하면 "역할을 가져오시겠습니까?"라는 팝업창이 뜨는데, [예(Yes)]를 누릅니다.

Tip: Seize 명령을 입력하면 시스템은 먼저 안전한 Transfer를 시도합니다. 연결이 실패하면 그때 강제로 Seize를 수행합니다.

Bash
 
# 5가지 역할 강제 점유 실행
fsmo maintenance: seize schema master
fsmo maintenance: seize naming master
fsmo maintenance: seize RID master
fsmo maintenance: seize PDC
fsmo maintenance: seize infrastructure master
  • 모든 작업이 끝나면 quit을 두 번 입력하여 ntdsutil을 종료합니다.

4. 결과 검증 및 복제 상태 확인

작업이 완료되면 다시 한번 역할을 조회하여 변경된 서버(DC02)로 정상 반영되었는지 확인합니다.

Bash
 
netdom query fsmo

그 후, AD 복제 토폴로지가 정상적인지 확인합니다.

Bash
 
# 복제 요약 정보 확인
repadmin /replsummary

# 상세 복제 파트너 간 상태 확인
repadmin /showrepl

5. ⚠️ 엔지니어를 위한 치명적 주의사항 (Critical Warning)

가장 중요한 단계입니다. FSMO 역할을 강제로 뺏긴(Seize 당한) 기존의 고장 난 DC는 절대 네트워크에 다시 연결하면 안 됩니다.

만약 기존 DC를 고쳐서 다시 켜게 되면, AD 데이터베이스의 버전 충돌로 인해 'USN 롤백(USN Rollback)' 현상이 발생하거나 **'유령 객체(Lingering Object)'**가 생성되어 전체 도메인이 망가질 수 있습니다.

  • 조치 방법: 장애가 난 기존 DC는 포맷하여 OS를 재설치하거나, AD에서 메타데이터 정리(Metadata Cleanup)를 통해 깨끗이 제거해야 합니다.

 

 

저작자표시 (새창열림)
  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기
IT|Computing/Windows Server 관련 글
글 더보기

티스토리툴바