그룹의 신뢰할 만한 복원으로 인해 도메인 컨트롤러에서 일치하지 않는 구성원 정보가 발생한다

기술 자료 번역 기술 자료 번역
기술 자료: 280079 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

현상

사용자 또는 그룹의 신뢰할 만한 복원을 수행하면 복원된 그룹의 구성원이 도메인 컨트롤러에서 일치하지 않을 수 있습니다.

이 그룹이 복원된 도메인 컨트롤러에서 비어 있지만 복제 도메인 컨트롤러에서 채워지면 사용자가 복원된 도메인 컨트롤러의 그룹에 추가될 때 복제 도메인 컨트롤러의 그룹에서 제거됩니다.

신뢰할 만한 복원 후에 비어 있을 수 있는 ManagedBy 특성에서 같은 동작이 발생할 수 있습니다.

원인

이 문제는 그룹 구성원이 그룹 개체의 Member 특성으로 저장되므로 발생할 수 있습니다. 보안 사용자(사용자, 그룹 또는 컴퓨터)가 그룹에 추가될 때 백 링크가 사용자 개체의 MemberOf 특성에 추가됩니다. 신뢰할 만한 복원 중에 사용자 개체에 앞서 그룹 개체가 복원되면 일치하는 백 링크가 있는 사용자가 없으므로 Active Directory는 그룹의 Member 특성에서 값을 제거합니다.

신뢰할 만한 복원 후에 복원된 그룹의 Member 특성의 버전 정보는 이 특성의 값이 일치하지 않더라도 각 도메인 컨트롤러에서 일치합니다. 그룹의 구성원이 수정될 때마다 버전 번호가 증가하고 해당 그룹의 내용은 모든 도메인 컨트롤러로 복제됩니다. 이 그룹이 올바른 그룹 구성원이 있는 도메인 컨트롤러에서 수정되면 그룹의 전체 내용이 복제되고 데이터가 손실되지 않습니다. 그러나 이 그룹이 복원된 도메인 컨트롤러에서 수정되면 추가된 사용자만 복제되며 사용자는 복제 도메인 컨트롤러의 그룹에서 제거됩니다.

참고 이 문제는 사용자가 신뢰할 만한 방식으로 복제되고 그룹은 복제되지 않는 경우에도 발생할 수 있습니다. 시스템 상태 복원이 수행되고 사용자만 신뢰할 만한 것으로 표시되면 그룹 개체의 정방향 연결이 시스템 상태 복원에서 복원되었기 때문에 해당 그룹 구성원은 복원을 수행한 도메인 컨트롤러에서 복원됩니다. 시스템 상태 백업이 수행된 후 그룹의 구성원이 변경되지 않은 경우 그룹의 복제가 복원 후에 수행되지 않습니다. 이로 인해 도메인 컨트롤러 간 그룹 구성원이 일치하지 않습니다. 한 도메인 컨트롤러에서 그룹의 구성원이 변경되면 이 도메인 컨트롤러에 대한 해당 그룹의 현재 내용이 다른 도메인 컨트롤러로 복제됩니다.

해결 방법

경고 : 이 절에서 설명한 절차를 수행하기 전에 다음 정보를 주의 깊게 읽으십시오. 이 절차를 정확하게 따르지 않으면 사용자와 그룹 정보가 돌이킬 수 없을 만큼 손실될 수 있습니다. 작업을 진행하기 전에 반드시 신뢰할 만한 도메인 컨트롤러에 대한 Active Directory의 백업 파일을 만들고 확인하십시오.

이 문제를 해결하려면 모든 보안 사용자 개체(사용자, 그룹 및 컴퓨터)가 신뢰할 만한 방식으로 복원되고 모든 도메인 컨트롤러로 복제된 다음 모든 그룹 개체가 신뢰할 만한 방식으로 복원되고 모든 도메인 컨트롤러로 다시 복제되어야 합니다. 이 절차를 사용할 때 두번째 복원 전에 모든 잠재적 그룹 구성원(사용자, 그룹 및 컴퓨터)이 데이터베이스에 있으며 백 링크가 유지 관리됩니다.

사용자 계정과 해당 그룹 구성원을 신뢰할 만한 방식으로 복원할 때 신뢰할 만한 것으로 표시되는 중요한 정보를 사용하여 도메인 컨트롤러를 찾은 다음 네트워크에서 이 도메인 컨트롤러의 연결을 끊습니다. 이 서버는 신뢰할 만한 도메인 컨트롤러가 됩니다.

이 문제를 해결하려면 다음과 같이 하십시오.
  1. 이 절차를 수행하는 중에 오류가 발생하는 경우 컴퓨터 상태를 전체 백업하여 Active Directory의 이러한 신뢰할 만한 복사본을 백업합니다.
  2. 사이트 내 토폴로지 생성과 사이트 간 토폴로지 생성을 모두 설정 해제합니다. 사이트 내 토폴로지와 사이트 간 토폴로지 설정 해제 방법은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
    242780 지식 일관성 검사기의 자동 복제 토폴로지 생성을 해제하는 방법
  3. Active Directory 사이트 및 서비스 스냅인을 시작한 다음 신뢰할 만한 도메인 컨트롤러의 NTDS 설정 개체에서 모든 연결 개체를 삭제합니다.

    이 단계를 완료하면 이 절차를 수행하는 중에 도메인 컨트롤러가 변경 내용을 복제할 수 없습니다. 신뢰할 만한 도메인 컨트롤러의 복제 파트너는 서버의 신뢰할 만한 데이터를 사용할 수 있도록 서버를 가리키는 연결 개체를 계속 유지합니다.
  4. Active Directory 복원 모드로 컴퓨터를 다시 시작합니다.
  5. 신뢰할 만한 방식으로 필수 계정을 각각 복원합니다. 예를 들어, NWTRADERS.MSFT의 계정 조직 구성 단위에서 James Smith의 사용자 계정을 복원하려면 다음 구문을 사용하십시오.
    authoritative restore: restore subtree "cn=James Smith,ou=Accounting,dc=nwtraders,dc=msft"
    참고: Ntdsutil 도구를 스크립팅할 수 있으므로 복원될 사용자 계정 목록을 생성한 다음 해당 스크립트로 전달할 수 있습니다. 이 문서의 "추가 정보" 절에서 예제 스크립트를 설명합니다.

    대부분 사용자와 그룹을 포함하는 경우 여기서 전체 OU를 복원할 수도 있습니다.
  6. 표준 모드에서 컴퓨터를 다시 시작합니다.
  7. 복원된 사용자를 정상적으로 복제할 수 있도록 합니다.

    파트너가 신뢰할 만한 도메인 컨트롤러에서 복제하도록 하려면 ReplMon 도구나 Active Directory 사이트 및 서비스 스냅인을 사용하십시오.
  8. 사용자가 모든 도메인 컨트롤러로 복제되면 Active Directory 복원 모드에서 컴퓨터를 다시 시작합니다.
  9. 이전에 복원된 개체가 포함된 각 그룹 계정을 신뢰할 만한 방식으로 복원합니다. 예를 들어, NWTRADERS.MSFT의 ITG 조직 구성 단위에서 웹 관리자 그룹을 복원하려면 다음 구문을 사용하십시오.
    authoritative restore: restore subtree "cn=Web Administrator,ou=ITG,dc=nwtraders,dc=msft"
    참고: Ntdsutil 도구를 스크립팅할 수 있으므로 복원될 그룹 목록을 생성한 다음 해당 스크립트로 전달할 수 있습니다. 이 문서의 "추가 정보" 절에서 예제 스크립트를 설명합니다.
  10. 표준 모드에서 컴퓨터를 다시 시작합니다.
  11. 복원된 그룹을 정상적으로 복제할 수 있도록 합니다.

    파트너가 신뢰할 만한 도메인 컨트롤러에서 복제하도록 하려면 ReplMon 도구나 Active Directory 사이트 및 서비스 스냅인을 사용하십시오.
  12. 이 절차의 2단계에서 사이트 개체에 대해 변경한 내용을 취소합니다.

현재 상태

Microsoft는 Microsoft Windows 2000에서 이 문제를 확인했습니다.

추가 정보

신뢰할 수 있는 도메인 컨트롤러를 네트워크에서 분리하면 Active Directory 복원 모드에서 시스템을 시작하기 전에 다음 스크립트를 실행하여 사용자 목록을 가져올 수 있습니다.
List.vbs
--------
Set strOU = GetObject("LDAP://localhost/ou=layer two,ou=layer one,ou=test,dc=i,dc=j,dc=com")
strOU.Filter = Array("user")

For Each Member in strOU 
  Wscript.Echo Chr(92) & Chr(34) & member.distinguishedname & Chr(92) & Chr(34)
Next
					
참고: 첫번째 줄에서 조직 구성 단위 경로를 변경하여 복원될 사용자 및 그룹을 포함하는 경로를 가리킵니다. 또한 이와 동일한 스크립트를 사용하여 사용자나 그룹의 목록을 만들 수 있습니다.

그룹을 나열하려면 두번째 줄의 필터를 다음과 같이 변경합니다.
oU.Filter=Array("group")
					
이 스크립트를 실행하여 텍스트 파일로 출력을 가져오려면 명령 프롬프트에서 다음 명령을 입력합니다(스크립트와 같은 폴더에서 이 명령 실행).
cscript //nologo list.vbs > users.txt
사용자 목록과 그룹 목록을 만들면 Ntdsutil을 사용하여 각 항목을 신뢰할 만한 방식으로 복원할 수 있습니다.
Authrest.cmd
------------
@echo off
ntdsutil "popups off" "authoritative restore" "restore subtree %1" quit quit
					
사용자나 그룹 목록에서 모든 항목에 대해 이 스크립트를 실행하려면 for 명령을 사용하여 이 목록의 항목을 읽고 이전에 설명한 배치 파일로 전달합니다. 명령줄에서 다음 명령을 입력합니다. 이전에 만든 두 개의 텍스트 파일과 같은 폴더에 이 파일을 만듭니다.
for /f "tokens=*" %i in (users.txt) do authrest %i
이 명령은 텍스트 파일의 각 줄을 루핑하고 사용자를 신뢰할 만한 방식으로 복원합니다.



Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 280079 - 마지막 검토: 2003년 9월 3일 수요일 - 수정: 8.1
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
키워드:?
kbprb KB280079

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com