2025년 11월 12일

AD Server Migration – 복제 후 독립 구성 가이드

기존 AD(Active Directory)에 이미 수많은 서버/PC가 가입된 상태에서, 폐쇄망(Closed Network) 전용 AD를 새로 구축하려고 하면 가장 큰 현실 문제는 “재가입 비용”입니다.
서버 수가 많을수록 재도메인 조인 + 서비스 계정/권한 재설정 + GPO 재적용 + 애플리케이션 설정 변경 비용이 급격히 커집니다.

이 글은 “기존 AD를 기반으로 신규 DC를 추가하여 복제를 완료한 뒤, 네트워크를 분리(air-gap)해 독립 인증 체계를 가진 AD로 운영”하는 실무 패턴을 개념 → 설계 고려사항 → 절차 → 검증 → 유지보수 순서로 정리합니다.

⚠️ 중요 전제(반드시 읽기)
이 방식은 사실상 동일 포리스트/도메인을 ‘복제 후 영구 분리’(forest fork에 가까운 운영) 하는 형태가 될 수 있습니다.

분리 후 두 환경이 다시 연결될 가능성이 있다면 권장하지 않습니다.(충돌/불일치/보안 리스크)

“분리 후 영구 격리”가 전제이며, 사전 리허설(테스트)과 백업이 필수입니다.

0. 이 가이드의 목표와 범위

목표

기존 AD의 사용자/그룹/OU/GPO/DNS(AD 통합 존)/SYSVOL을 최대한 유지한 채,
폐쇄망에서 독립적으로 인증/정책이 동작하는 AD를 빠르게 확보
분리 이후에도 계정 생성, GPO 변경, 컴퓨터 계정 관리가 정상 동작하도록 FSMO/DNS/시간 동기화를 정리

“두 가지” 운영 시나리오를 구분해야 합니다

실무에서는 아래 둘 중 어디에 해당하는지 먼저 확정해야 합니다.

시나리오	목적	핵심 특징	FSMO 처리 방향
A. 전체 전환(Cutover)	기존 환경을 폐쇄망으로 “이전”	분리 후 기존 AD는 사실상 종료/폐기	분리 전 `transfer`로 계획 이전
B. 복제 후 영구 분리(Fork & Isolate)	기존 AD는 유지, 폐쇄망에 “복제본” 운영	두 AD는 절대 재연결 금지	분리 후 `seize`로 강제 확보가 일반적

Decision flowchart comparing Cutover Migration and Fork & Isolate strategies for Active Directory separation.

1. AD 인프라 기본 구조(이해가 절차를 단순하게 만듭니다)

AD는 크게 Forest → Domain → Domain Controller(DC) 구조로 이해하면 됩니다.

Forest: AD의 최상위 보안 경계(스키마/구성 파티션 공유)
Domain: 사용자·컴퓨터·그룹·정책의 관리 단위
DC: AD 데이터베이스(NTDS)와 SYSVOL을 보유하고 인증/정책을 제공하는 서버
DNS: AD는 DNS와 강하게 결합되어 운영됩니다(특히 AD 통합 존)

그리고 “단 하나의 DC만 맡아야 하는” 핵심 역할이 FSMO 입니다.

FSMO 5가지 역할(실무에서 꼭 외우는 표)

FSMO 역할을 설명하는 인포그래픽: Forest 스코프에 Schema Master와 Domain Naming Master, Domain 스코프에 RID Master와 PDC Emulator 보여줌.

FSMO 역할	설명	적용 범위
Schema Master	스키마(객체/속성 정의) 변경	Forest
Domain Naming Master	도메인 추가/삭제	Forest
RID Master	SID 생성에 필요한 RID 풀 관리	Domain
PDC Emulator	암호 변경/시간 동기화/정책 처리 중심	Domain
Infrastructure Master	도메인 간 객체 참조 관리	Domain

폐쇄망 독립 운영에서 가장 자주 문제를 일으키는 축은 PDC Emulator(시간/NTP), DNS, RID Master(계정 생성/조인) 입니다.

2. 폐쇄망(Closed Network) AD 설계 고려사항(필수 3대 축)

폐쇄망은 “외부와 끊긴다”는 전제 때문에, 기존 환경에서 자동으로 해결되던 것들을 내부에서 완결해야 합니다.

2.1 시간 동기화(NTP): 인증 장애의 1순위 원인

Kerberos 인증은 시간 오차에 민감합니다.
폐쇄망에서는 다음 중 하나를 선택해야 합니다.

내부 NTP 서버(전용) 운영
폐쇄망 내부 PDC Emulator를 Time Source로 설계(권장)
외부 NTP는 없으므로 내부 표준시 원천(하드웨어 시계, 내부 NTP)을 정합니다.

2.2 DNS 독립 운영: “도메인 = DNS”라고 봐도 됩니다

폐쇄망에서는 외부 포워더/루트힌트 정책을 명확히 정리해야 합니다.
클라이언트/서버의 DNS는 폐쇄망 DC의 DNS만 바라보게 해야 합니다.
AD 통합 DNS 존이면 “존 데이터”는 AD 복제에 포함되지만, 포워더/루트힌트/레코드 정리는 별도 점검이 필요합니다.

2.3 복제(Replication) 상태: 분리 전에 ‘완전 동기화’가 끝나야 합니다

분리 이후에는 기존 DC와 복제가 불가능합니다.
따라서 분리 전에:
AD 복제(repadmin)
DNS 상태(dcdiag /test:dns)
SYSVOL/DFSR
가 모두 정상이어야 합니다.

3. 기존 AD 환경 점검 및 준비(분리 전에 반드시 “건강검진”)

핵심은 “복제에 문제가 있는 AD를 그대로 복제하면, 문제도 같이 복제된다” 입니다.

3.1 필수 점검 명령(기본 세트)

:: FSMO 역할 보유 DC 확인
netdom query fsmo

:: DC 복제 요약
repadmin /replsummary

:: 특정 DC 기준 상세 복제 상태
repadmin /showrepl

:: DNS 진단(DC에서 실행 권장)
dcdiag /test:dns

:: SYSVOL/DFSR 상태 점검(환경에 따라 사용)
dfsrdiag pollad

3.2 사전 백업(권장: “되돌릴 수 있어야” 합니다)

최소 권장:
System State Backup(DC)
주요 GPO/정책 백업(Export)
운영 표준(가능하면):
DC 2대 이상(폐쇄망도 HA 필요)
복구 Runbook(복원 절차, 권한, 복구 시간)

4. 포리스트/도메인 복제용 DC 추가 구축(복제의 시작점)

폐쇄망으로 가져갈 신규 DC(New DC)를 준비합니다. 가능하면 1대가 아니라 2대를 권장합니다(폐쇄망에서도 DC 이중화는 필요).

4.1 신규 서버에 AD DS 역할 설치 후 “추가 DC”로 승격

절차(요약):
1) Windows Server 설치/패치/기본 보안 설정
2) AD DS 역할 추가
3) 기존 도메인에 Additional Domain Controller로 승격
4) DNS 서버 역할 포함 여부 결정(대부분 포함 권장)

4.2 복제 상태 확인(이 단계에서 오류가 없어야 다음으로 갑니다)

repadmin /showrepl
repadmin /replsummary

4.3 SYSVOL 및 NTDS 복제 확인(운영에서 자주 놓치는 포인트)

NTDS: C:\Windows\NTDS
SYSVOL: C:\Windows\SYSVOL

SYSVOL은 GPO/스크립트가 들어있고, 분리 후 “정책 미적용” 사고의 핵심 원인이 됩니다.

Pre-Separation Health Checks checklist with commands: netdom query fsmo, repadmin replsummary, repadmin showrepl, dcdiag dns test, SYSVOL/DFSR check.

5. 분리(air-gap) 전에 반드시 해야 할 핵심 작업 3가지

5.1 신규 DC를 Global Catalog(GC)로 운영할지 결정

폐쇄망에서 단일 도메인이라면 대부분 GC가 필요합니다.
(다도메인/트러스트/복합 구조일수록 GC의 중요도가 커집니다.)

신규 DC를 GC로 지정
DNS 역할을 신규 DC가 확실히 수행하도록 설계

5.2 클라이언트/서버 DNS 전환 계획 수립

분리 후 가장 흔한 장애는 “도메인 로그온은 되는데 GPO가 안 된다”, “리소스 이름 해석이 안 된다” 같은 DNS 문제입니다.

DHCP 환경이면: DHCP 옵션(006 DNS Servers)을 폐쇄망 DC로 변경
고정 IP 서버면: DNS 주소를 폐쇄망 DC로 일괄 변경(변경 계획/스크립트 필요)

5.3 FSMO 역할 처리 전략 확정(transfer vs seize)

Cutover(전체 전환): 분리 전 transfer 권장(정상 절차)
Fork & Isolate(복제 후 영구 분리): 분리 후 seize가 필요할 수 있음
(분리된 네트워크에서 기존 FSMO 보유 DC에 접근 불가하기 때문)

FSMO 이전을 위한 Transfer와 Seize 개념 다이어그램, 신규 DC로의 역할 이전 방법 비교.

6. FSMO 역할 이전(Transfer) 또는 강제 확보(Seize)

6.1 (권장) PowerShell로 FSMO 이전(계획 전환)

AD 모듈이 설치된 관리 환경에서:

$NewDC = "NEW-DC01"

Move-ADDirectoryServerOperationMasterRole `
  -Identity $NewDC `
  -OperationMasterRole SchemaMaster, DomainNamingMaster, RIDMaster, PDCEmulator, InfrastructureMaster `
  -Confirm:$false

Write-Host "FSMO roles transferred to $NewDC"

6.2 ntdsutil로 FSMO 이전(명령줄 기반)

ntdsutil
roles
connections
connect to server NEW-DC01
quit
transfer schema master
transfer naming master
transfer rid master
transfer pdc
transfer infrastructure master
quit
quit

6.3 기존 DC가 “분리 후 접근 불가”라면: seize(최후 수단)

ntdsutil
roles
connections
connect to server NEW-DC01
quit
seize schema master
seize naming master
seize rid master
seize pdc
seize infrastructure master
quit
quit

⚠️ 주의(실무에서 가장 중요한 문장)
seize는 “원래 역할 보유 DC가 영구적으로 복구 불가/재연결 불가”일 때만 사용합니다.
나중에 원래 DC가 네트워크에 다시 붙으면 충돌/불일치 위험이 큽니다.
즉, Fork & Isolate 시나리오에서는 ‘절대 재연결 금지’가 전제입니다.

6.4 FSMO 이전/확보 후 확인

netdom query fsmo

7. 네트워크 분리(폐쇄망 전환) 후 “독립 AD로 만들기” 정리 작업

분리 후에는 “기존 DC가 존재했던 흔적”을 정리해 독립적으로 정상 동작하는 AD로 다듬어야 합니다.

7.1 DNS 정리(폐쇄망 내부 완결)

클라이언트/서버가 폐쇄망 DNS만 바라보는지 확인
외부 DNS 포워더 제거 또는 내부 전용으로 변경
필요 시 루트 힌트 정책도 점검(조직 정책에 맞게)

검증:

nslookup yourdomain.local
nslookup _ldap._tcp.dc._msdcs.yourdomain.local

7.2 시간 동기화 재구성(PDC Emulator 기준)

폐쇄망 PDC Emulator를 내부 시간 기준으로 설정
다른 DC/멤버 서버는 도메인 계층 시간 동기화 사용

상태 확인:

w32tm /query /status
w32tm /query /source

7.3 기존 DC 메타데이터 정리(분리 후 가장 자주 누락되는 작업)

분리 후에도 AD에는 “과거 DC” 정보가 남아 있을 수 있습니다.
이 상태로 두면 이벤트 로그가 지저분해지고, 일부 작업에서 지연/오류가 발생할 수 있습니다.

AD Sites and Services에서:
기존 DC 서버 오브젝트/연결 개체(Connection) 정리
Site/Subnet이 폐쇄망 구성에 맞게 정리
필요 시 ntdsutil로 metadata cleanup
DNS에서 과거 DC 관련 SRV/A 레코드 정리(필요 시)

복제 파트너 확인:

repadmin /showrepl

목표: 외부/기존 DC로의 복제 파트너가 사라지고, 폐쇄망 내 DC끼리만 보이는 상태

폐쇄망에서 AD를 독립적으로 운영하기 위한 절차 다이어그램, DNS 재구성, 시간 동기화 설정, 기존 DC 메타데이터 제거, 복제 파트너 검증, 최종 검증 단계 포함

8. 폐쇄망 독립 구성 후 검증 절차(체크리스트)

폐쇄망 AD 검증 체크리스트로, 로그온 테스트, GPO 적용 확인, DNS 해석 점검, 복제 상태 확인, 사용자/그룹/컴퓨터 생성 테스트 항목이 포함된 인포그래픽.

8.1 인증(Logon) 테스트

클라이언트/서버에서 도메인 로그온이 되는지
캐시된 자격증명만이 아니라 DC와의 실제 인증이 되는지(네트워크 차단/변경 시 특히 중요)

8.2 그룹 정책(GPO) 적용 확인

gpupdate /force
gpresult /r

8.3 DNS 내부 해석 확인

nslookup yourdomain.local
nslookup NEW-DC01

8.4 AD 기능 정상성(관리 기능)

신규 사용자/그룹 생성 가능 여부
암호 변경/잠금 해제
컴퓨터 계정 조인/삭제
(필요 시) OU 이동/권한 위임 정상 동작

8.5 복제 상태 확인(폐쇄망 내 DC가 2대 이상일 때)

repadmin /replsummary
repadmin /showrepl

9. 폐쇄망 AD 유지보수 전략(운영에서 “진짜” 중요)

폐쇄망은 패치/업데이트/외부 연동이 제한되기 때문에, 유지보수 체계를 표준화해야 운영 품질이 유지됩니다.

유지보수 항목	권장 주기	설명
System State 백업(DC)	주 1회 이상	DC 장애 시 복구의 핵심
DNS 존 백업	매주	`dnscmd /zoneexport` 등 활용
시간 동기화 점검	상시/월간	Kerberos 오류 예방
보안 업데이트	분기/월간	폐쇄망 WSUS 또는 오프라인 패치 프로세스
계정/권한 리뷰	월/분기	폐쇄망일수록 내부자 통제가 중요

DNS 존 내보내기 예시:

dnscmd /zoneexport yourdomain.local yourdomain.local.dns

10. FAQ(실무에서 자주 나오는 질문)

Q1. 복제 후 네트워크를 끊으면 동기화가 멈추나요?

네. 단절 즉시 복제는 중단됩니다.
따라서 단절 전에 repadmin 기준으로 완전 동기화가 보장되어야 합니다.

Q2. 기존 DC는 분리 후 어떻게 처리해야 하나요?

Cutover 시나리오: 기존 DC는 정상 demote(강등) 후 폐기/재설치가 정석입니다.
Fork & Isolate 시나리오: 폐쇄망에서 seize를 수행했다면, 기존 DC는 절대 재연결 금지가 원칙입니다. (재연결 시 충돌 위험)

Q3. 폐쇄망 AD에서 새 사용자/그룹 생성이 가능한가요?

FSMO가 폐쇄망 DC에 정상적으로 확보되어 있고(RID/PDC 포함), DNS/시간 동기화가 정상이면 가능합니다.

Q4. 폐쇄망에서는 DNS를 별도로 운영해야 하나요?

필수에 가깝습니다. 도메인 환경에서 DNS는 “옵션”이 아니라 핵심 인프라입니다.

Q5. FSMO 이전이 실패하면 어떻게 하나요?

기존 DC가 온라인이고 통신 가능하면 transfer를 우선 시도
기존 DC가 오프라인/접근 불가라면 seize 고려(단, 해당 DC는 재사용/재연결 금지 원칙)

결론

AD 서버를 “추가 DC로 복제 → 네트워크 분리 → FSMO/DNS/시간 체계 정리 → 메타데이터 정리 → 검증” 순서로 표준화하면, 폐쇄망에서도 재가입 없이 빠르게 독립 AD를 구축할 수 있습니다.

핵심 성공 요인은 3가지입니다.
1) 분리 전 복제 건강 상태(AD/DNS/SYSVOL) 완전성
2) FSMO + DNS + 시간 동기화의 폐쇄망 내부 완결
3) 분리 후 메타데이터 정리 + 체크리스트 기반 검증