시스템 복원 후의 도메인 구성원 자격에 관련된 문제

기술 자료: 295049 - 이 문서가 적용되는 제품 보기.

모두 확대 | 모두 축소

현상

다음과 같은 현상이 나타날 수 있습니다.

암호 변경 간격이 한 번 만료된 후 시스템 복원을 사용하여 컴퓨터를 암호 변경 이전 지점으로 복원한 경우 다음 만료일에 암호가 변경되지 않을 수 있습니다. 이유는 운영 체제가 이 복원 작업에서 암호가 변경된 것으로 간주하기 때문입니다.
암호 변경 간격이 두 번 만료된 후 시스템 복원을 사용하여 컴퓨터를 암호 변경 이전 지점으로 복원한 경우, 컴퓨터에서 도메인 사용자 계정이 비활성화되고 해당 사용자가 로그온하려고 하면 오류 메시지가 나타납니다.

위로 가기 | 피드백 보내기

컴퓨터를 도메인에 가입시키면 컴퓨터 이름$ 계정이 생성되고 컴퓨터와 도메인 간에 암호가 공유됩니다. 기본적으로 이 암호는 30일(MaximumPasswordAge)마다 변경됩니다.

"현상" 절에 설명되어 있는 문제가 발생하는 이유는 시스템 복원이 로컬 컴퓨터 상태만을 롤백하기 때문입니다. 도메인 가입에 대한 정보 중 일부는 Active Directory 디렉터리 서비스에 보관되지만 시스템 복원이 Active Directory는 롤백하지 않습니다.

첫 번째 현상에서 암호 변경이 지연되는 이유는 시스템 복원이 동일한 값을 가진 암호를 사용하여 LSA 비밀을 다시 작성하기 때문입니다. 이러한 재작성에 따라 암호 변경 타임 스탬프를 확인하기 위해 Netlogon 서비스가 사용하는 보안 개체의 타임 스탬프가 업데이트됩니다. 두 번째 현상이 발생하는 이유는 Active Directory의 컴퓨터 계정 암호와 일치하는 암호가 로컬에 저장되어 있지 않기 때문입니다.

위로 가기 | 피드백 보내기

해결 방법

첫 번째 현상은 암호가 변경될 때까지 기다리면 자동으로 해결되지만, 필요한 경우 암호가 즉시 변경되도록 컴퓨터에 지시할 수도 있습니다. 암호가 즉시 변경되도록 하려면 nltest /sc_change_pwd:domain 명령을 실행합니다. nltest 명령은 Windows 지원 도구의 일부입니다.

두 번째 현상을 해결하려면 다음 방법 중 하나를 사용합니다.

컴퓨터를 도메인에서 제거한 후 다시 추가합니다.
복원을 취소합니다.

위로 가기 | 피드백 보내기

현재 상태

이것은 의도적으로 설계된 동작입니다.

위로 가기 | 피드백 보내기

추가 정보

특정 컴퓨터 계정에 대한 암호는 해당하는 특정 가입에 대해서만 유효합니다. 도메인의 멤버인 각 컴퓨터에 대해 도메인 컨트롤러와의 통신을 위한 별도의 채널이 있습니다. 이러한 개별 통신 채널을 보안 채널이라고도 합니다. 보안 채널에 대한 암호는 컴퓨터 계정과 함께 모든 도메인 컨트롤러에 저장됩니다. Microsoft Windows 2000과 Microsoft Windows XP의 경우 기본 컴퓨터 계정 암호 변경 기간은 30일입니다. 컴퓨터 계정의 암호와 LSA(로컬 보안 기관) 보안 개체가 동기화되지 않으면 Net Logon 서비스가 오류 메시지를 기록합니다.

자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

216393

(http://support.microsoft.com/kb/216393/ )

Windows 2000에서 컴퓨터 계정 재설정하기

251335

(http://support.microsoft.com/kb/251335/ )

도메인 사용자가 워크스테이션이나 서버를 도메인에 참가시킬 수 없다

260575

(http://support.microsoft.com/kb/260575/ )

HOWTO: Netdom.exe를 사용하여 Windows 2000 도메인 컨트롤러의 컴퓨터 계정 암호 다시 설정

175468

(http://support.microsoft.com/kb/175468/ )

도메인에서 컴퓨터 계정 중복이 미치는 영향