도메인 컨트롤러가 제대로 작동하지 않음

  • 아티클

이 문서에서는 도메인 컨트롤러가 제대로 작동하지 않는 문제에 대한 일반적인 해결 방법을 제공합니다.

적용 대상: Windows Server 2012 R2
원본 KB 번호: 837513

증상

Microsoft Windows 2000 서버 기반 도메인 컨트롤러 또는 Windows Server 2003 기반 도메인 컨트롤러에서 Dcdiag 도구를 실행하는 경우 다음 오류 메시지가 표시될 수 있습니다.

DC 진단
초기 설정 수행:
[DC1] 오류 31로 LDAP 바인딩 실패

도메인 컨틀롤러에서 로컬로 REPADMIN /SHOWREPS 유틸리티를 실행할 때 다음 오류 메시지 중 하나를 수신할 수 있습니다.

[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] LDAP 오류 82(로컬 오류).

마지막 시도 @ yyyy-mm-dd hh:mm.ss 실패, 결과 1753: 엔드포인트 매퍼에서 사용할 수 있는 더 이상 엔드포인트가 없습니다.

마지막 시도 @ yyyy-mm-dd hh:mm.ss 실패, 결과 5: 액세스가 거부되었습니다.

Active Directory 사이트 및 서비스를 사용하여 복제를 트리거하는 경우 액세스가 거부되었음을 나타내는 메시지를 받을 수 있습니다.

UNC(범용 명명 규칙) 리소스 또는 매핑된 네트워크 드라이브를 포함하여 영향을 받는 도메인 컨트롤러의 콘솔에서 네트워크 리소스를 사용하려고 하면 다음 오류 메시지가 표시될 수 있습니다.

로그온 서버를 사용할 수 없음(c000005e = "STATUS_NO_LOGON_SERVERS")

Active Directory 사이트 및 서비스 그리고 Active Directory 사용자 및 컴퓨터를 포함하여 영향을 받는 도메인 컨트롤러의 콘솔에서 Active Directory 관리 도구를 시작하는 경우 다음 오류 메시지 중 하나가 표시될 수 있습니다.

인증을 위해 연락할 수 인증 기관이 없으므로 이름 지정 정보는 확인할 수 없습니다. 시스템 관리자에게 문의하여 도메인이 제대로 구성되어 있고 현재 온라인인지 확인합니다.

대상 계정 이름이 올바르지 않으므로 이름 지정 정보를 확인할 수 없습니다. 시스템 관리자에게 문의하여 도메인이 제대로 구성되어 있고 현재 온라인인지 확인합니다.

다른 도메인 컨트롤러에서 성공적인 로그온 인증이 있더라도 인증에 영향을 받는 도메인 컨트롤러를 사용하는 Microsoft Exchange Server 컴퓨터에 연결된 Microsoft Outlook 클라이언트에 로그온 자격 증명을 묻는 메시지가 표시될 수 있습니다.

Netdiag 도구는 다음과 같은 오류 메시지를 표시할 수 있습니다.

DC 목록 테스트. . . . . . . . . . . : 실패함
[경고] DsBind를 서버 이름으로> 호출할 <수 없습니다.<fqdn>(<ip 주소>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Kerberos 테스트. . . . . . . . . . . : 실패함
[치명적] Kerberos에는 krbtgt/<fqdn에 대한 티켓이> 없습니다.

[치명적] Kerberos에는 호스트 이름에 대한 <티켓이> 없습니다.
LDAP 테스트. . . . . . . . . . . . . : 통과함
[경고] DC <호스트 이름><fqdn에서 SPN 등록을 쿼리하지 못했습니다.>

다음 이벤트는 영향을 받는 도메인 컨트롤러의 시스템 이벤트 로그에 기록될 수 있습니다.

Event Type: Error
Event Source: Service Control Manager
Event ID: 7023
Description: The Kerberos Key Distribution Center service terminated with the following error: The security account manager (SAM) or local security authority (LSA) server was in the wrong state to perform the security operation.

해결 방법

이러한 증상에 대한 몇 가지 해결 방법이 있습니다. 다음은 시도할 방법 목록입니다. 목록에는 각 방법을 수행하는 단계가 뒤따릅니다. 문제가 해결될 때까지 각 방법을 시도합니다. 이러한 증상에 대한 덜 일반적인 수정 사항을 설명하는 Microsoft 기술 자료 문서는 나중에 나열됩니다.

  1. 방법 1: DNS(도메인 이름 시스템) 오류를 수정합니다.
  2. 방법 2: 컴퓨터 간에 시간을 동기화합니다.
  3. 방법 3: 네트워크에서 이 컴퓨터에 액세스하는 사용자 권한을 확인합니다.
  4. 방법 4: 도메인 컨트롤러의 userAccountControl 특성이 532480인지 확인합니다.
  5. 방법 5: Kerberos 영역을 수정합니다(PolAcDmN 레지스트리 키와 PolPrDmN 레지스트리 키가 일치하는지 확인).
  6. 방법 6: 컴퓨터 계정 암호를 재설정한 다음 새 Kerberos 티켓을 가져옵니다.

방법 1: DNS 오류 수정

  1. 명령 프롬프트에서 netdiag -v 명령을 실행합니다. 이 명령은 명령이 실행된 폴더에 Netdiag.log 파일을 만듭니다.
  2. 계속하기 전에 Netdiag.log 파일에서 DNS 오류를 해결합니다. Netdiag 도구는 Windows 2000 Server CD-ROM의 Windows 2000 서버 지원 도구에 또는 다운로드로 있습니다.
  3. DNS가 올바르게 구성되었는지 확인합니다. 가장 일반적인 DNS 실수 중 하나는 도메인 컨트롤러를 DNS 자체를 가리키거나 동적 업데이트 및 SRV 레코드를 지원하는 다른 DNS 서버를 가리키는 대신 DNS용 ISP(인터넷 서비스 공급자)를 가리키는 것입니다. 도메인 컨트롤러 자체를 가리키거나 동적 업데이트 및 SRV 레코드를 지원하는 다른 DNS 서버를 가리키는 것이 좋습니다. 인터넷에서 이름 확인을 위해 ISP에 전달자를 설정하는 것이 좋습니다.

Active Directory 디렉터리 서비스용 DNS 설정에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 다음 문서를 참조하세요.
254680 DNS 네임스페이스 계획

방법 2: 컴퓨터 간 시간 동기화

도메인 컨트롤러 간에 시간이 올바르게 동기화되었는지 확인합니다. 또한 시간이 클라이언트 컴퓨터와 도메인 컨트롤러 간에 올바르게 동기화되었는지 확인합니다.

방법 3: "네트워크에서 이 컴퓨터에 액세스"할 수 있는 사용자 권한 확인

Gpttmpl.inf 파일을 수정하여 적절한 사용자가 네트워크에서 이 컴퓨터에 액세스할 수 있는 사용자 권리를 도메인 컨트롤러에서 보유하는지 확인합니다. 이렇게 하려면 다음과 같이 하십시오.

  1. 기본 도메인 컨트롤러 정책에 대한 Gpttmpl.inf 파일을 수정합니다. 기본적으로 기본 도메인 컨트롤러 정책은 도메인 컨트롤러에 대한 사용자 권한이 정의된 위치입니다. 기본적으로 기본 도메인 컨트롤러 정책에 대한 Gpttmpl.inf 파일은 다음 폴더에 있습니다.

    참고

    Sysvol은 다른 위치에 있을 수 있지만 Gpttmpl.inf 파일의 경로는 동일합니다.

    Windows Server 2003 도메인 컨트롤러의 경우

    C:\WINDOWS\Sysvol\Sysvol\Domainname>\<Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    Windows 2000 서버 도메인 컨트롤러의 경우

    C:\WINNT\Sysvol\Sysvol\Domainname>\<Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

  2. SeNetworkLogonRight 항목의 오른쪽에 관리자, 인증된 사용자 및 모든 사용자에 대한 보안 식별자를 추가합니다. 다음 예제를 참고하십시오.

    Windows Server 2003 도메인 컨트롤러의 경우

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-1-0

    Windows 2000 서버 도메인 컨트롤러의 경우

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    참고

    관리자(S-1-5-32-544), 인증된 사용자(S-1-5-11), 모든 사용자(S-1-1-1-0) 및 엔터프라이즈 컨트롤러(S-1-5-9)는 모든 도메인에서 동일한 잘 알려진 보안 식별자를 사용합니다.

  3. 다음 예와 일치하도록 SeDenyNetworkLogonRight 항목(네트워크에서 이 컴퓨터에 대한 액세스 거부)의 오른쪽에 있는 항목을 제거합니다.

    SeDenyNetworkLogonRight =

    참고

    이 예는 Windows 2000 Server 및 Windows Server 2003에 대해 동일합니다.

    기본적으로 Windows 2000 Server에는 SeDenyNetworkLogonRight 항목에 항목이 없습니다. 기본적으로 Windows Server 2003에는 SeDenyNetworkLogonRight 항목에 Support_random 문자열 계정만 있습니다. (Support_random 문자열 계정은 원격 지원에서 사용됩니다.) Support_random 문자열 계정은 모든 도메인에서 다른 SID(보안 식별자)를 사용하므로 SID를 보는 것만으로는 일반적인 사용자 계정과 쉽게 구별할 수 없습니다. SID를 다른 텍스트 파일에 복사한 다음 SeDenyNetworkLogonRight 항목에서 SID를 제거할 수 있습니다. 이렇게 하면 문제 해결을 마쳤을 때 다시 배치할 수 있습니다.

    SeNetworkLogonRight 및 SeDenyNetworkLogonRight는 모든 정책에서 정의할 수 있습니다. 이전 단계에서 문제가 해결되지 않으면 Sysvol의 다른 정책에서 Gpttmpl.inf 파일을 확인하여 사용자 권한도 정의되지 않는지 확인합니다. Gpttmpl.inf 파일에 SeNetworkLogonRight 또는 SeDenyNetworkLogonRight에 대한 참조가 없는 경우 해당 설정은 정책에 정의되지 않으며 해당 정책이 이 문제를 일으키지 않습니다. 해당 항목이 있는 경우 기본 도메인 컨트롤러 정책에 대해 이전에 나열된 설정과 일치하는지 확인합니다.

방법 4: 도메인 컨트롤러의 userAccountControl 특성이 532480인지 확인

  1. 시작을 클릭하고 실행을 클릭한 다음 adsiedit.msc를 입력합니다.
  2. 도메인 NC를 확장하고 DC=도메인을 확장한 다음 OU=도메인 컨트롤러를 확장합니다.
  3. 영향 받은 도메인 컨트롤러를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
  4. Windows Server 2003에서 필수 특성 표시 확인란을 클릭하고 특성 편집기 탭에서 선택적 특성 표시 확인란을 선택합니다. Windows 2000 Server에서는 표시할 여러 속성 선택 상자에서 모두를 클릭합니다.
  5. Windows Server 2003의 특성 상자에서 userAccountControl을 클릭합니다. Windows 2000 Server에서 표시할 속성 선택 상자에서 userAccountControl을 클릭합니다.
  6. 값이 532480이 아니면 특성 편집 상자에 532480을 입력하고 설정을 클릭하고 적용을 클릭한 다음 확인을 클릭합니다.
  7. ADSI 편집 종료.

방법 5: Kerberos 영역 수정(PolAcDmN 레지스트리 키 및 PolPrDmN 레지스트리 키가 일치하는지 확인)

참고

이 방법은 Windows 2000 Server에만 유효합니다.

중요

이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의하여 수행해야 합니다. 추가된 보호를 위해 레지스트리를 수정하기 전에 백업하세요. 그런 다음 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. Windows XP 및 Windows Server 2003에서 레지스트리를 백업, 편집 및 복원하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료를 참조하세요.
322756 Windows에서 레지스트리를 백업 및 복원하는 방법

  1. 레지스트리 편집기를 시작합니다.
  2. 탐색 창에서 보안을 확장합니다.
  3. 보안 메뉴에서 권한을 클릭하여 관리자 로컬 그룹에 보안 하비느 및 해당 자식 컨테이너 및 개체에 대한 모든 권한을 부여합니다.
  4. HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN 키를 찾습니다.
  5. 레지스트리 편집기 오른쪽 창에서 이름> 없음: REG_NONE 항목을 한 번 클릭합니다<.
  6. 보기 메뉴에서 이진 데이터 표시를 클릭합니다. 대화 상자의 형식 섹션에서 바이트를 클릭합니다.
  7. 도메인 이름은 이진 데이터 대화 상자의 오른쪽에 문자열로 나타납니다. 도메인 이름은 Kerberos 영역과 동일합니다.
  8. HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN 레지스트리 키를 찾습니다.
  9. 레지스트리 편집기 오른쪽 창에서 이름> 없음: REG_NONE 항목을 두 번 클릭합니다<.
  10. 이진 편집기 대화 상자에서 PolPrDmN 값을 붙여 넣습니다. (PolPrDmN의 값은 NetBIOS 도메인 이름이 됩니다).
  11. 도메인 컨트롤러를 다시 시작합니다.

방법 6: 컴퓨터 계정 암호를 재설정한 다음 새 Kerberos 티켓을 가져옵니다.

  1. Kerberos 키 배포 센터 서비스를 중지한 다음 시작 값을 수동으로 설정합니다.

  2. Windows 2000 Server 지원 도구 또는 Windows Server 2003 지원 도구의 Netdom 도구를 사용하여 도메인 컨트롤러의 컴퓨터 계정 암호를 다시 설정합니다.

    netdom resetpwd /server: <another domain controller> /userd:domain\administrator /passwordd: <administrator password>

    netdom 명령이 성공적으로 완료된 상태로 반환되었는지 확인합니다. 그렇지 않으면 명령이 작동하지 않습니다. 영향을 받는 도메인 컨트롤러가 DC1이고 작업 도메인 컨트롤러가 DC2인 Contoso 도메인의 경우 DC1 콘솔에서 다음 netdom 명령을 실행합니다.

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: <administrator password>

  3. 영향 받는 도메인 컨트롤러를 다시 시작합니다.

  4. Kerberos 키 배포 센터 서비스를 시작한 다음 시작 설정을 자동으로 설정합니다.

이 문제에 대한 자세한 내용을 확인하려면 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하세요.
323542 서버가 작동되지 않으므로 Active Directory 사용자 및 컴퓨터 도구를 시작할 수 없습니다.