도메인 컨트롤러가 올바르게 작동하지 않습니다.

기술 자료 번역 기술 자료 번역
기술 자료: 837513 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

현상

Microsoft Windows 2000 서버에서 Dcdiag 도구를 실행할 때 도메인 컨트롤러를 기준으로 또는 Windows Server 2003 기반 도메인 컨트롤러에서 다음과 같은 오류 메시지가 나타날 수 있습니다.
DC 진단
초기 설치 수행:
[dc1] LDAP 바인드 오류 31 실패했습니다.
도메인 컨트롤러에서 로컬로 REPADMIN/SHOWREPS 유틸리티를 실행할 때 다음 오류 메시지 중 하나가 나타날 수 있습니다.
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] LDAP 오류 82 (로컬 오류).
결과 1753 @ yyyy-mm-dd hh:mm.ss 마지막 시도가 실패했습니다: 끝점 매퍼에서 사용 가능한 끝점이 더 이상 가지.
5 결과 @ yyyy-mm-dd hh:mm.ss 마지막 시도가 실패했습니다: 액세스가 거부되었습니다.
Active Directory 사이트 및 서비스를 사용하여 복제를 트리거할 경우 액세스가 거부되었음을 나타내는 메시지가 나타날 수 있습니다.

범용 명명 규칙(UNC) 리소스 또는 매핑된 네트워크 드라이브 등 영향을 받는 도메인 컨트롤러의 콘솔에서 네트워크 리소스를 사용하려고 하면 다음 오류 메시지가 나타날 수 있습니다.
로그온 서버가 없습니다 (c000005e = "STATUS_NO_LOGON_SERVERS")
Active Directory 관리 도구를 비롯하여 Active Directory 사이트 및 서비스 및 Active Directory 사용자 및 컴퓨터, 영향을 받는 도메인 컨트롤러의 콘솔에서 시작하면 다음 오류 메시지 중 하나가 나타날 수 있습니다.
명명 정보를 때문에 찾을 수 없습니다: 인증에 없음 기관에 연결하지 못했습니다. 도메인이 올바르게 구성되었고 현재 온라인 상태인지 확인하려면 시스템 관리자에게 문의하십시오.
명명 정보를 때문에 찾을 수 없습니다: 대상 계정 이름이 올바르지 않습니다. 도메인이 올바르게 구성되었고 현재 온라인 상태인지 확인하려면 시스템 관리자에게 문의하십시오.
인증 로그온 자격 증명을 입력하라는 메시지가 대한 있어도 성공적인 영향을 받는 도메인 컨트롤러를 사용하여 Microsoft Exchange Server 컴퓨터에 연결되어 있는 Microsoft Outlook 클라이언트를 다른 도메인 컨트롤러의 인증 로그온.

다음 Netdiag 도구는 다음과 같은 오류 메시지가 표시될 수 있습니다.
테스트........... DC 목록 : 실패
[경고] DsBind <servername>.<fqdn>(< IP 주소 >) 호출할 수 없습니다. [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Kerberos 테스트........... : 실패
[치명적인] Kerberos는 krbtgt/<fqdn>에 대한 티켓을 있지 않습니다.
[치명적인] Kerberos는 <hostname>에 대한 티켓을 있지 않습니다.
LDAP 테스트할............. : 전달된
[경고] 쿼리 SPN 실패했습니다 <hostname>\<fqdn>DC에서 등록
영향을 받는 도메인 컨트롤러가 시스템 이벤트 로그에 다음 이벤트가 기록될 수 있습니다.

이벤트 종류: 오류
이벤트 원본: 서비스 제어 관리자
이벤트 ID: 7023이
설명: Kerberos 키 배포 센터 서비스가 다음 오류 때문에 종료되었습니다: 이 보안 계정 관리자(SAM) 또는 로컬 보안 권한(LSA) 서버가 잘못된 상태에 있어 보안 작업을 수행할 수 없습니다.

해결 방법

이러한 현상은 여러 가지 해결 방법이 있습니다. 다음 방법을 시도하십시오 목록입니다. 목록의 각 메서드를 수행할 단계는 통해 옵니다. 문제가 해결될 때까지 각 방법을 시도하십시오. 이러한 현상은 일반적인 수정 설명하는 Microsoft 기술 자료 문서 뒷부분에 나열되어 있습니다.
  1. 방법 1: 수정 도메인 이름 시스템 (DNS) 오류가 발생했습니다.
  2. 방법 2: 컴퓨터 간의 시간을 동기화.
  3. 방법 3: 네트워크에서 이 컴퓨터 액세스 사용자 권한을 확인하십시오.
  4. 방법 4: 도메인 컨트롤러의 userAccountControl 특성 532480 있는지 확인하십시오.
  5. 방법 5: Kerberos 영역의 수정 (확인해야 해당 PolAcDmN 레지스트리 키와 일치하는 PolPrDmN 레지스트리 키).
  6. 방법 6: 컴퓨터 계정 암호 재설정 및 새 Kerberos 티켓을 얻습니다.

해결 방법 1: DNS 오류

  1. 명령 프롬프트에서 netdiag - v 명령을 실행하십시오. 이 명령은 명령이 실행된 폴더에 Netdiag.log 파일을 만듭니다.
  2. 계속하기 전에 Netdiag.log 파일에 있는 모든 DNS 오류를 해결하십시오. Netdiag 도구를 Windows 2000 Server 지원 도구를 Windows 2000 Server CD-ROM 또는 다운로드할 수 있습니다. Windows 2000 Server 지원 도구를 다운로드하려면 다음 Microsoft 웹 사이트를 방문하십시오.
    http://www.microsoft.com/downloads/details.aspx?familyid=F08D28F3-B835-4847-B810-BB6539362473
  3. DNS가 올바르게 구성되어 있는지 확인하십시오. 가장 일반적인 DNS 실수를 자체 또는 다른 DNS DNS 가리키는 대신 DNS에서 도메인 컨트롤러를 사용하여 인터넷 서비스 공급자(ISP) 수 가리키도록 하나입니다 SRV 레코드와 동적 업데이트를 지원하는 서버. 도메인 컨트롤러 자체 또는 SRV 레코드와 동적 업데이트를 지원하는 다른 DNS 서버를 가리킵니다 것이 좋습니다. ISP 인터넷 이름 확인에 대한 전달자를 설정하는 것이 좋습니다.
Active Directory 디렉터리 서비스를 구성하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
291382Windows 2000 DNS 및 Windows Server 2003 DNS에 대한 질문과 대답
237675도메인 이름 시스템은 Active Directory에 대한 설정
254680DNS 네임스페이스 계획
255248Active Directory에서 자식 도메인 만들기 및 자식 도메인 DNS 네임스페이스를 위임하는 방법

방법 2: 컴퓨터 간의 시간을 동기화합니다

도메인 컨트롤러 간의 시간을 올바르게 동기화되었는지 확인하십시오. 또한 시간이 클라이언트 컴퓨터와 도메인 컨트롤러 간에 제대로 동기화되었는지 확인하십시오.

Windows 시간 서비스를 구성하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
258059Windows NT 4.0 도메인의 Windows 2000 기반 컴퓨터에서 시간을 동기화하는 방법
216734Windows 2000에서 권한을 보유한 시간 서버를 구성하는 방법

방법 3: "네트워크에서 이 컴퓨터 액세스" 사용자 권한 검사

적절한 사용자에게 네트워크에서 이 컴퓨터 액세스 사용자 권한이 도메인 컨트롤러에 있는지 확인하려면 Gpttmpl.inf 파일을 수정하십시오. 이렇게 하려면 다음과 같이 하십시오.
  1. Gpttmpl.inf 파일의 수정에 대한 기본 도메인 컨트롤러 정책. 기본적으로 기본 도메인 컨트롤러 정책을 사용자 권한이 도메인 컨트롤러에 대해 정의되어 있습니다. 기본적으로 해당 Gpttmpl.inf 기본 도메인 컨트롤러 정책을 다음 폴더에 대한 파일.

    참고 다른 위치에 Sysvol 수 있지만 Gpttmpl.inf 파일의 경로를 동일하게 됩니다.

    Windows Server 2003 도메인 컨트롤러:

    C:\WINDOWS\Sysvol\Sysvol\<domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    Windows 2000 Server 도메인 컨트롤러:

    C:\WINNT\Sysvol\Sysvol\<domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
  2. SeNetworkLogonRight 항목 오른쪽으로 사용, 인증된 사용자 및 Everyone 보안 식별자를 추가하십시오. 다음 예제를 참조하십시오.

    Windows Server 2003 도메인 컨트롤러:

    SeNetworkLogonRight *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0 =

    Windows 2000 Server 도메인 컨트롤러:

    SeNetworkLogonRight *S-1-5-11,*S-1-5-32-544,*S-1-1-0 =

    참고 모든 도메인에서 동일한 잘 알려진 보안 식별자를 (S-1-5-32-544), 인증된 사용자 (S-1-5-11), Everyone (S-1-1-0), 관리자와 엔터프라이즈 컨트롤러 (S-1-5-9) 사용합니다.
  3. 다음 예제에서는 일치하도록 SeDenyNetworkLogonRight 항목 (네트워크에서 이 컴퓨터 액세스 거부) 오른쪽의 모든 항목을 제거하십시오.

    SeDenyNetworkLogonRight =

    참고 이 예제에서는 Windows 2000 Server 및 Windows Server 2003 동일합니다.

    기본적으로 Windows 2000 Server SeDenyNetworkLogonRight 항목을 항목이 있습니다. 기본적으로 Windows Server 2003 Support_ random string 계정을 SeDenyNetworkLogonRight 항목이 있습니다. 원격 지원에서 Support_ random string 계정이 사용됩니다. 모든 도메인에 있는 다른 보안 식별자 (SID) Support_ random string 계정을 사용하기 때문에 계정 SID에 조회하여 일반 사용자 계정에서 쉽게 구별이 가능한 아닙니다. SID 다른 텍스트 파일을 복사하여 다음 SeDenyNetworkLogonRight 항목에서 SID를 제거할 할 수 있습니다. 다시 문제 해결을 마친 이렇게 하면 해당 넣을 수 있습니다.

    SeNetworkLogonRight 및 SeDenyNetworkLogonRight 모든 정책을 정의할 수 있습니다. 이전 단계로 문제가 해결되지 않는 경우 다른 정책에서 사용자 권한 수도 있이 정의되지 중인 않은 것을 확인하려면 Sysvol Gpttmpl.inf 파일을 확인하십시오. Gpttmpl.inf 파일의 SeNetworkLogonRight 또는 SeDenyNetworkLogonRight 참조가 있으면 해당 설정을 정책에 정의되어 있고 해당 정책에 이 문제를 일으키는. 이러한 항목이 존재하지 않으면 기본 도메인 컨트롤러 앞에서 설명한 설정이 일치하는지 확인하십시오 정책.

방법 4: 도메인 컨트롤러의 userAccountControl 특성 532480 있는지 확인

  1. 시작, 실행 을 누른 다음 adsiedit.msc 입력하십시오.
  2. 도메인 NC 를 확장하고 DC = domain, 및 차례로 OU 도메인 컨트롤러 =.
  3. 영향을 받는 도메인 컨트롤러를 마우스 오른쪽 단추로 클릭한 다음 속성 을 클릭하십시오.
  4. Windows Server 2003에서 필수 특성 표시 확인란 및 특성 편집기 탭에서 선택적 특성 표시 확인란을 눌러 선택합니다. Windows 2000 Server에서 모두볼 수 있는 속성 선택 상자에서 클릭하십시오.
  5. Windows Server 2003에서 특성 상자에 userAccountControl 클릭하십시오. Windows 2000 Server에서 속성 보기 선택 상자에서 userAccountControl 클릭하십시오.
  6. 값이 없는 532480, 형식 532480특성 편집 상자에 경우 설정 을 클릭합니다 적용 을 누른 다음 확인 을 누릅니다.
  7. ADSI 편집을 끝냅니다.

방법 5: Kerberos 영역의 수정 PolAcDmN 레지스트리 키 및 PolPrDmN 레지스트리 키 일치 확인

참고 이 메서드는 Windows 2000 Server에 대해 사용할 수 있습니다.
중요한 이 섹션에서는, 메서드 또는 작업이 레지스트리 수정 방법을 알려 주는 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 이 단계를 주의 깊게 따라야 합니다. 추가 보호 기능을 수정하기 전에 레지스트리를 백업해야. 그런 다음 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 백업 및 복원하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
322756백업 및 Windows 에서 레지스트리를 복원하는 방법
  1. 레지스트리 편집기를 시작하십시오.
  2. 왼쪽된 창에서 보안 을 확장하십시오.
  3. 보안 메뉴에서 로컬 Administrators 보안 하이브 및 자식 컨테이너 및 개체에 대한 모든 권한을 부여할 권한 클릭하십시오.
  4. 해당 HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN 찾을 키.
  5. 레지스트리 편집기의 오른쪽 창에서 < 이름 없음 > 을: REG_NONE 항목이 한 시간.
  6. 보기 메뉴에서 표시 이진 데이터. 대화 상자의 형식 섹션에서 Byte 를 클릭하십시오.
  7. 도메인 이름을 문자열로 이진 데이터 대화 상자의 오른쪽에 나타납니다. Kerberos 영역 같은 도메인 이름입니다.
  8. 해당 HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN 찾은 레지스트리 키를.
  9. <이름 없음 > 레지스트리 편집기의 오른쪽 창에서 두 번: REG_NONE 항목을.
  10. 바이너리 편집기 대화 상자에서 PolPrDmN의 값을 붙여 넣습니다. (PolPrDmN의 값을 NetBIOS 도메인 이름을 수 있습니다).
  11. 도메인 컨트롤러를 다시 시작하십시오.

방법 6: 컴퓨터 계정 암호 재설정 및 새 Kerberos 티켓을 얻기

  1. Kerberos 키 배포 센터 서비스를 중지하고 수동으로 시작 값을 설정하십시오.
  2. Netdom 도구를 Windows 2000 Server 지원 도구를 또는 Windows Server 2003 지원 도구를 사용하여 도메인 컨트롤러의 컴퓨터 계정 암호 다시 설정.

    netdom resetpwd/server: another domain controller 를/userd:domain\administrator/passwordd: administrator password

    성공적으로 완료된 것으로 netdom 명령이 반환되는 것을 확인하십시오. 그렇지 않으면 명령이 제대로 작동되지 않습니다. DC1, 영향을 받는 도메인 컨트롤러인 및 DC2, 작업 도메인 컨트롤러인 Contoso 도메인에 대한 DC1 콘솔에서 다음 netdom 명령을 실행합니다.

    netdom resetpwd/server:DC2/userd:contoso\administrator/passwordd: administrator password
  3. 영향을 받는 도메인 컨트롤러를 다시 시작하십시오.
  4. Kerberos 키 배포 센터 서비스를 시작한 후 시작 설정은 자동 으로 설정하십시오.

이 문제에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
325322Exchange System Manager 열려고 하면 "서버 작동 수 없습니다." 오류 메시지가 나타난다
284929없습니다;에 대한 인증 기관에 연결할 수 없습니다 오류 메시지 내용의 Active Directory 스냅인 시작
257623업그레이드 설치 후 새 도메인 컨트롤러의 컴퓨터 이름 DNS 접미사가 Windows NT 4.0 주 도메인 컨트롤러가 Windows 2000 도메인 이름을 일치하지 않을
257346"액세스가 네트워크에서 컴퓨터" 사용자 권한이 작동하지 않을 수 있는 도구를 인해 발생합니다.
316710비활성된 Kerberos 키 배포 Exchange 서비스를 시작할 수 없습니다.
329642Active Directory 스냅인 및 Exchange 시스템 관리자를 열면 오류 메시지
272686Active Directory 사용자 및 컴퓨터 스냅인을 열 때 오류 메시지가 발생합니다.
323542서버가 작동 있지 않기 때문에 Active Directory 사용자 및 컴퓨터 도구를 시작할 수 없습니다.
329887Active Directory MMC 스냅인과 상호 작용할 수 없습니다.
325465Windows 2000 도메인 컨트롤러를 SP3 필요한 또는 나중에 Windows Server 2003 관리 도구를 사용하여 때
322267Microsoft 네트워크용 클라이언트 제거하면 다른 서비스가 제거됩니다.
297234클라이언트와 서버 사이에 시간 차이가 있습니다.
247151하위 수준 도메인 사용자 MMC 스냅인을 시작할 때 오류 메시지가 나타날 수 있습니다.
280833프록시 클라이언트 모든 DNS 영역을 지정하려면 실패 추적하려면 어려운 DNS 오류가 이어집니다.
322307Windows 2000 서비스 팩 2 (SP2)를 설치한 후 Exchange 서비스 또는 Active Directory 스냅인을 시작할 수 없습니다.

속성

기술 자료: 837513 - 마지막 검토: 2007년 4월 25일 수요일 - 수정: 2.3
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
키워드:?
kbmt kbactivedirectoryrepl kbactivedirectory kbevent kbtshoot kberrmsg KB837513 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com