Ntdsutil을 사용하여 중복 보안 식별자를 찾고 클린

이 문서에서는 Ntdsutil을 사용하여 중복 보안 식별자를 찾고 클린 방법에 대해 설명합니다.

적용 대상: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
원래 KB 번호: 816099

요약

이 문서에서는 SAM 데이터베이스에서 중복된 SID(보안 식별자)를 검사 및 클린 제거하는 방법을 설명합니다. 사용자, 그룹 또는 컴퓨터와 같은 모든 보안 계정에는 고유한 SID가 있습니다. 파일, 폴더, 프린터, Microsoft Exchange 사서함, Microsoft SQL Server 데이터베이스, Active Directory에 저장된 개체 및 Windows Server 보안 모델로 보호되는 모든 데이터와 같은 리소스에 대한 SID에 대한 액세스 권한이 부여되거나 거부됩니다.

SID에는 도메인 및 보안 계정을 식별하는 상대 식별자 집합과 헤더 정보가 포함됩니다. 도메인에서 각 도메인 컨트롤러는 계정을 만들고 모든 계정에 고유한 SID를 발급할 수 있습니다. 모든 도메인 컨트롤러는 SID를 만드는 데 사용되는 상대 ID 풀을 유지 관리합니다. 상대 ID 풀의 80%를 사용한 후 도메인 컨트롤러는 master 상대 ID 작업에서 새 상대 식별자 풀을 요청합니다. 동일한 상대 ID 풀이 다른 도메인 컨트롤러에 할당되지 않도록 하고 중복 SID 할당을 방지해야 합니다. 그러나 중복 상대 ID 풀을 할당할 수는 있지만 드물기 때문에 잘못된 보안이 적용되지 않도록 중복 SID를 발급한 계정을 식별해야 합니다.

관리자가 상대 ID master 역할(RID master)을 점유하는 동안 원래 RID master 작동하지만 네트워크에서 일시적으로 연결이 끊어진 경우 중복 상대 ID 풀이 발생할 수 있습니다. 일반적으로 RID master 역할은 한 번의 복제 주기 후에 하나의 도메인 컨트롤러에 의해서만 가정됩니다. 그러나 역할 소유권이 확인되기 전에 두 개의 서로 다른 도메인 컨트롤러가 각각 새 상대 ID 풀을 요청하고 동일한 상대 ID 풀을 할당할 수 있습니다.

Ntdsutil 시작

Ntdsutil을 시작하려면 다음 단계를 수행합니다.

1. 시작>실행을 선택합니다.
2. 열기 상자에 ntdsutil을 입력한 다음 Enter 키를 누릅니다. 언제든지 도움말에 액세스하려면 명령 프롬프트에 를 입력 ? 한 다음 Enter 키를 누릅니다.

중복 SID 찾기

중복 SID를 찾으려면 다음 단계를 수행합니다.

1. Ntdsutil 명령 프롬프트에서 보안 계정 관리를 입력한 다음 Enter 키를 누릅니다.

2. SAM(보안 계정 유지 관리) 데이터베이스를 저장하는 서버에 연결하려면 SAM 명령 프롬프트를 입력 connect to serverDNSNameOfServer 한 다음 Enter 키를 누릅니다.

3. SAM 명령 프롬프트에서 중복 sid를 검사 입력한 다음 Enter 키를 누릅니다.

   참고

   중복 항목이 표시됩니다.

중복 SID 정리

1. Ntdsutil 명령 프롬프트에서 보안 계정 관리를 입력한 다음 Enter 키를 누릅니다.

2. SAM(보안 계정 유지 관리) 데이터베이스를 저장하는 서버에 연결합니다. SAM 명령 프롬프트에서 'serverDNSNameOfServer에 연결'을 입력한 다음 Enter 키를 누릅니다.

3. SAM 명령 프롬프트에서 중복 sid 정리를 입력한 다음 Enter 키를 누릅니다.

   참고

   Ntdsutil은 중복 제거를 확인합니다.

4. SAM 명령 프롬프트에서 q를 입력한 다음 Enter 키를 누릅니다.

5. Ntdsutil 사용을 마친 후 q를 입력한 다음 Enter 키를 누릅니다.

데이터 수집

Microsoft 지원의 지원이 필요한 경우 Active Directory 복제 문제에 TSS를 사용하여 정보 수집에 설명된 단계에 따라 정보를 수집하는 것이 좋습니다.