소개
이 문서는 Windows Server 2008에서 첫 번째 도메인 컨트롤러로서 새 포리스트를 만드는 전 과정을 단계별로 안내합니다. 스크린샷과 핵심 결정 포인트(기능 수준, DNS 역할, DSRM 암호 등)를 포함합니다. 초보자도 따라올 수 있도록 쉬운 문장과 체크리스트를 제공합니다.
정의: 포리스트(Forest) — 여러 도메인과 보안 경계를 포함하는 AD의 최상위 논리적 컨테이너입니다.
준비 사항
- Server 2008이 정상적으로 설치되어 있어야 합니다. 운영체제 패치와 네트워크 설정이 완료되었는지 확인하세요.
- 서버의 고정 IP를 권장합니다. DNS 서비스가 로컬에 설치될 경우 IP가 변경되면 문제가 발생합니다.
- 설치에 사용할 관리자 권한 계정이 필요합니다.
중요: 운영 환경에서 기존 도메인이나 레거시 서버(Windows 2000/2003)와의 호환성이 필요하면 기능 수준 선택이 제한됩니다. 이 문서에서는 Server 2008 전용 환경을 가정합니다.
설치 단계 요약
- Initial Configuration Tasks 창이나 Server Manager에서 역할 추가(Add roles)를 실행합니다.
- Active Directory Domain Services를 선택하고 설치합니다.
- 설치 완료 후 dcpromo.exe를 실행하여 도메인 서비스 설치 마법사를 시작합니다.
- 새 포리스트 및 루트 도메인 생성, 기능 수준 및 DNS 선택, 파일 경로 지정, DSRM 암호 설정을 수행합니다.
- 설치가 끝나면 서버가 재부팅되고 첫 도메인 컨트롤러로 작동합니다.
단계별 상세 가이드
1) 초기 구성 창 또는 Server Manager에서 역할 추가
Initial Configuration Tasks 창은 Server 2008을 처음 설치하면 나타납니다. 이 창을 닫았거나 다시 표시하지 않도록 설정했다면, 시작 메뉴 검색에서 Oobe.exe를 입력하여 Server Manager를 다시 엽니다.
Server Manager에서 화면을 아래로 스크롤하고 “Add roles” 링크를 클릭합니다.
2) Active Directory Domain Services 역할 선택
역할 목록에서 Active Directory Domain Services를 선택한 후 “Next”를 클릭합니다.첫 번째 포리스트의 첫 서버는 도메인 컨트롤러가 되어야 하므로 반드시 이 역할을 설치해야 합니다.
다음 화면은 설치할 항목에 대한 간단한 설명과 주의사항을 보여줍니다. 검토한 뒤 “Next”를 클릭합니다.
설치 준비 화면에서 “Install”을 눌러 역할을 실제로 설치합니다.
설치가 진행되는 동안 상태 화면을 지켜봅니다.
설치가 완료되면 Domain Services Installation Wizard(dcpromo.exe)를 실행하라는 메시지가 표시됩니다.
3) dcpromo.exe로 도메인 서비스 설치 마법사 실행
시작 메뉴 검색에 dcpromo.exe를 입력하여 마법사를 실행합니다. 첫 도메인 컨트롤러이므로 “간단 설치“(기본 설치)로 진행합니다.
“새 도메인 및 새 포리스트 생성”을 선택합니다.
루트 도메인 네임(예: example.local)을 입력합니다.
4) 기능 수준(Functional Level) 결정
다음 페이지는 포리스트 및 도메인의 기능 수준을 설정하도록 요구합니다. 이 설정은 포리스트에서 허용되는 기능과 호환되는 Windows Server 버전을 결정합니다.
- 사용하는 환경에 Windows Server 2000/2003과 같은 구형 서버가 있으면 오래된 버전에 맞춘 낮은 기능 수준을 선택해야 합니다.
- 최신 기능을 활용하려면 가능한 한 높은 기능 수준을 선택하세요. 이 예제에서는 Server 2008 전용 환경이므로 최고 레벨을 선택합니다.
중요: 기능 수준은 한 번 높이면 하위 호환성 때문에 되돌리기 어렵습니다. 선택 전에 전체 네트워크의 서버 버전 호환성을 확인하세요.
5) DNS 서버 역할 선택 및 설치
첫 도메인 컨트롤러에는 일반적으로 DNS 서버 역할을 같이 설치합니다. DNS는 도메인 컨트롤러 위치 검색과 도메인 네임 해석에 필수적입니다. DNS Server 체크박스를 확인하고 진행하세요.
6) 디렉터리 데이터베이스, 로그 및 SYSVOL 경로
기본 경로가 대부분 환경에서 적절합니다. 대용량 환경이나 디스크 I/O를 분리하려면 별도의 물리 디스크를 지정할 수도 있습니다.
7) DSRM(Directory Services Restore Mode) 암호 설정
DSRM 암호는 디렉터리 복구 시 사용하는 로컬 복구 계정의 암호입니다. 반드시 안전한 암호를 설정하고 안전한 장소에 보관하세요.
중요: DSRM 암호를 분실하면 복구 작업이 매우 어려워질 수 있습니다. 회사의 비밀번호 관리 정책에 따라 저장하세요.
8) 설치 설정 내보내기
설정을 텍스트 파일로 내보내면 동일한 구성을 다른 서버에 재사용할 수 있습니다. 테스트 환경이나 다수의 DC를 설정할 때 유용합니다.
9) 설치 완료 및 서버 재부팅
설치가 완료되면 마법사는 성공 메시지를 표시하고 서버를 재부팅합니다. 재부팅 후 서버는 새 포리스트의 첫 번째 도메인 컨트롤러로 작동합니다.
설치 후 검증 체크리스트
- 서버가 정상적으로 재부팅되었는가?
- Active Directory Users and Computers 콘솔이 열리는가?
- DNS가 올바르게 등록되었는가? (nslookup으로 SRV 레코드 확인)
- 이벤트 뷰어에 오류(특히 Directory Service, DNS, File Replication Service)가 없는가?
- SYSVOL이 공유되고 있는가? (\<서버이름>\SYSVOL)
일반적인 문제와 해결책
- DNS 이름 해석 실패: DNS 설정을 확인하고 forwarders를 설정하세요. 필요한 경우 DNS 캐시를 비우고(적절한 명령 사용) 재등록을 시도하세요.
- 설치 중 권한 오류: 설치를 실행하는 계정이 로컬 및 도메인 관리자 권한을 가지고 있는지 확인하세요.
- DSRM 암호 분실: 물리적 접근과 별도의 복구 계획이 필요합니다. 암호를 안전하게 보관하세요.
롤 기반 체크리스트
- 시스템 관리자
- Server 2008 최신 패치 적용
- 고정 IP, 올바른 네트워크 게이트웨이 및 DNS 설정
- 설치 로그 확보
- 네트워크 엔지니어
- DNS 포워더 및 방화벽 규칙 확인
- 필요한 포트(AD, DNS, LDAP 등) 개방 확인
- 보안 관리자
- DSRM 암호 보관 정책 적용
- 도메인 관리자 계정 비밀번호 정책 설정
의사결정 흐름도
아래 흐름도는 새 포리스트를 설치할지, 기존 도메인에 조인할지, 또는 추가 DC를 생성할지 결정하는 간단한 모델입니다.
flowchart TD
A[서버 준비 완료?] -->|아니오| B[준비 완료 후 진행]
A -->|예| C[새 포리스트 필요?]
C -->|예| D[새 포리스트 생성'dcpromo']
C -->|아니오| E[기존 도메인에 조인]
D --> F{네트워크에 레거시 서버 존재?}
F -->|예| G[낮은 기능 수준 선택]
F -->|아니오| H[최신 기능 수준 선택]간단한 SOP(표준 운영 절차)
- 서버 백업 및 스냅샷 생성
- 고정 IP 및 호스트네임 설정
- Server Manager에서 AD DS 역할 설치
- dcpromo 실행 및 새 포리스트 생성
- DSRM 암호 기록 및 설정 파일 내보내기
- 서버 재부팅 후 로그/서비스 정상 확인
1줄 용어집
- AD: Active Directory, 중앙 인증/디렉터리 서비스
- DC: Domain Controller, 도메인 인증을 제공하는 서버
- DSRM: Directory Services Restore Mode, AD 복구 모드
- SYSVOL: 도메인에서 공유되는 정책 및 스크립트 저장소
요약
- 새 포리스트 설치는 역할 추가 → AD DS 설치 → dcpromo 실행의 순서입니다.
- 기능 수준 결정은 네트워크의 가장 오래된 서버 버전에 따라 달라집니다.
- DSRM 암호는 안전하게 보관하세요.
중요: 운영 환경에서는 설치 전 전체 네트워크와 보안 요구사항을 검토하고, 테스트 환경에서 먼저 시도하는 것을 권장합니다.
