이벤트 ID 5722가 도메인 컨트롤러에 기록됩니다.

  • 아티클

이 문서에서는 도메인 컨트롤러의 시스템 로그에 이벤트 5722가 표시되는 문제를 진단하고 resolve 방법을 설명합니다.

적용 대상: Windows 2000
원본 KB 번호: 810977

참고

이 문서는 Windows 2000에 적용됩니다. Windows 2000에 대한 지원은 2010년 7월 13일에 종료됩니다. 자세한 내용은 Microsoft 지원 수명 주기 정책을 참조하세요.

요약

이벤트 뷰어 사용하여 Windows 도메인 컨트롤러에서 시스템 로그를 볼 때 이벤트 5722가 기록된 것을 확인할 수 있습니다. 이 문제는 다음 두 가지 시나리오 중 하나에서 발생할 수 있습니다.

  • 컴퓨터가 도메인 컨트롤러를 사용하여 컴퓨터 계정 암호를 업데이트하는 경우
  • 컴퓨터가 이미 있는 이름을 가진 도메인에 가입된 경우

이 문서에서는 두 시나리오를 구분하는 방법과 문제를 resolve 방법에 대해 설명합니다.

증상

Microsoft Windows 도메인 컨트롤러에서 다음 이벤트가 시스템 로그에 기록됩니다.

이벤트 유형: 오류
이벤트 원본: NETLOGON
이벤트 범주: 없음
이벤트 ID: 5722
날짜: 날짜
시간: 시간
사용자: 해당/A
컴퓨터: ComputerName
설명: 컴퓨터 ComputerName 의 세션 설정이 인증되지 않았습니다. 보안 데이터베이스에서 참조되는 계정의 이름은 AccountName $입니다.
다음 오류가 발생했습니다.
액세스가 거부되었습니다.

원인

Microsoft Windows 도메인에서 Windows 2000부터 개별 통신 채널은 도메인 컨트롤러와 멤버 서버 또는 워크스테이션 간에 보다 안전한 통신 경로를 제공하는 데 도움이 됩니다. 이 채널을 보안 채널이라고 합니다. 컴퓨터를 도메인에 가입하면 컴퓨터 계정이 만들어지고 컴퓨터와 도메인 간에 암호가 공유됩니다. 기본적으로 이 암호는 30일마다 변경됩니다. 보안 채널의 암호는 PDC(기본 도메인 컨트롤러)의 컴퓨터 계정과 함께 저장됩니다. 암호는 모든 복제본(replica) 도메인 컨트롤러에 복제됩니다.

이벤트 5722는 다음 시나리오에 기록됩니다.

  • 컴퓨터가 도메인 컨트롤러를 사용하여 컴퓨터 계정 암호를 업데이트하면 이벤트가 인증 도메인 컨트롤러의 시스템 로그에 기록됩니다.

    이 시나리오에서는 인증 도메인 컨트롤러가 있는 컴퓨터의 보안 채널이 여전히 유효합니다.

  • 다른 컴퓨터에서 이미 사용 중인 이름을 사용하여 컴퓨터를 도메인에 가입하거나 기존 컴퓨터 계정을 다시 설정하는 경우 기존 컴퓨터 계정은 Active Directory 사용자 및 컴퓨터 사용하거나 Netdom.exe 유틸리티를 사용하여 다시 설정할 수 있습니다.

    이 시나리오에서는 컴퓨터의 계정 암호가 도메인 컨트롤러의 암호와 일치하지 않으며 원래 컴퓨터에서 도메인 컨트롤러로 보안 채널을 설정할 수 없습니다.

해결 방법

경고

ADSI 편집 스냅인, LDP 유틸리티 또는 기타 LDAP 버전 3 클라이언트를 사용하고 Active Directory 개체의 특성을 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 이러한 문제를 해결하려면 Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 또는 Windows 및 Exchange를 다시 설치해야 할 수 있습니다. Microsoft는 Active Directory 개체 특성을 잘못 수정할 경우 발생하는 문제를 해결할 수 있다고 보장할 수 없습니다. 이러한 특성을 수정하여 발생하는 모든 문제에 대한 책임은 사용자에게 있습니다.

이 문제를 resolve 먼저 문제의 원인인 시나리오를 결정합니다. 다음 단계를 수행할 수 있습니다.

  1. 이벤트가 시스템 로그에 기록된 날짜와 시간을 확인합니다.

  2. 시작을 클릭하고 프로그램, 리소스 키트를 차례로 가리킨 다음 도구 관리 콘솔을 클릭합니다.

  3. 콘솔 트리에서 도구 A에서 Z로를 클릭합니다.

  4. 세부 정보 창에서 ADSI 편집기 클릭합니다.

    참고

    ADSI 편집은 Windows 지원 도구에 포함되어 있습니다. Windows 2000 Server CD-ROM의 Support\Tools 폴더에서 Windows 지원 도구를 설치할 수 있습니다.

    Windows Server 2003 또는 Windows XP 운영 체제를 실행하는 컴퓨터에 ADSI 편집을 설치하려면 Windows® Server® 2003 제품 CD에서 Windows Server 2003 지원 도구를 설치합니다. 제품 CD에서 Windows 지원 도구를 설치하는 방법에 대한 자세한 내용은 Windows 지원 도구 설치를 참조하세요.

    Windows Server 2008 또는 Windows Server 2008 R2를 실행하는 서버에서 AD DS(Active Directory Domain Services) 역할을 설치하여 서버를 도메인 컨트롤러로 만들 때 ADSI 편집이 설치됩니다. 도메인 구성원 서버 또는 독립 실행형 서버에 Windows Server 2008 RSAT(원격 서버 관리 도구)를 설치할 수도 있습니다. 특정 지침은 원격 서버 관리 도구 팩 설치 또는 제거를 참조하세요.

    SP1(서비스 팩 1) 또는 Windows 7을 사용하여 Windows Vista®를 실행하는 컴퓨터에 ADSI 편집을 설치하려면 RSAT를 설치해야 합니다.

  5. ADSI 편집에서 문제를 일으키는 컴퓨터를 찾아 마우스 오른쪽 단추로 클릭합니다.

  6. 속성을 클릭합니다.

  7. 볼 속성 선택에서 둘 다를 클릭합니다.

  8. 볼 속성 선택에서 PwdLastSet을 클릭합니다.

    값이 ntte UI에서 읽을 수 있는 날짜 및 타임스탬프로 변환되지 않은 경우 다음 명령을 실행하거나 대체 메서드에 대해 9단계로 진행합니다.

    w32tm /ntte pwdlastsetvalue

  9. 상자에 표시되는 값을 클립보드에 복사합니다.

  10. 시작을 클릭하고 프로그램, 보조프로그램을 차례로 가리킨 다음 계산기를 클릭합니다.

  11. 보기 메뉴에서 공학용을 클릭합니다.

  12. 12월을 클릭하여 번호 매기기 시스템을 10진수로 설정합니다.

  13. 클립보드의 값을 계산기에 붙여넣습니다.

  14. 값을 10진수에서 16진수 10진수 번호 매기기 시스템으로 변경하려면 16진수를 클릭합니다.

  15. 편집 메뉴에서 복사를 클릭합니다.

  16. 클립보드의 16진수를 메모장에서 파일에 붙여넣습니다.

  17. 16진수 문자열의 맨 오른쪽 문자에서 8자를 계산한 다음 스페이스바를 누릅니다.

    참고

    이 작업은 16진수 문자열을 두 개의 16진수 문자열로 분할합니다.

  18. 왼쪽의 16진수 문자열에 7자만 포함된 경우 문자열의 시작 부분에 0을 추가합니다.

  19. 명령 프롬프트에서 를 입력합니다.

    Nltest /time: RightSideHexadecimalstringLeftSideHexadecimalString

    다음과 유사한 출력을 받게 됩니다.

     C:\>nltest /time:a25cc370 01c294bc  
 a25cc370 01c294bc = 11/25/2002 13:55:41  
 The command completed successfully.

  20. 디코딩된 날짜 및 시간을 확인합니다.

  21. 1단계에서 기록한 날짜와 시간과 20단계에서 기록한 디코딩된 날짜 및 시간이 일치하는지 확인합니다.

  22. 이벤트 5722가 기록된 날짜 및 시간과 디코딩된 날짜 및 시간이 일치하는 경우, 문제를 일으키는 컴퓨터에 명령 프롬프트에 다음 명령을 입력하여 도메인 컨트롤러로 설정된 보안 채널이 있는지 여부를 검사.

    Nltest /server: **ComputerName** /sc_query: **DomainName**

    문제 컴퓨터에 도메인 컨트롤러를 사용하여 설정된 유효한 보안 채널이 있는 경우 다음과 유사한 출력이 표시됩니다.

    
 C:\>Nltest /server:computer1 /sc_query: DomainName Flags: 30  
HAS_IP HAS_TIMESERV  
Trusted DC Name \\homenode1.myhouse.com Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully.

    문제 컴퓨터에 도메인 컨트롤러를 사용하여 설정된 유효한 보안 채널이 없는 경우 다음과 유사한 출력이 표시됩니다.

    
 C:\>nltest /server:machine1 /sc_query: DomainName Flags: 0  
Trusted DC Name  
Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED The command completed successfully.

이벤트 5722의 날짜 및 시간과 디코딩된 날짜 및 시간이 일치하지 않으면 문제 컴퓨터의 계정 암호가 도메인 컨트롤러에 있는 암호와 일치하지 않을 수 있습니다. 이 문제는 다음 상황 중 하나에서 발생할 수 있습니다.

  • 관리자는 Active Directory 사용자 및 컴퓨터 또는 Netdom.exe 같은 다른 도구를 사용하여 컴퓨터 계정을 다시 설정합니다.
  • 도메인에 이미 있는 이름을 사용하여 새 컴퓨터가 도메인에 가입됩니다.

참고

도메인 컨트롤러에 대해 Netlogon 서비스 로깅이 켜져 있는 경우 다음과 유사한 Netlogon.log 항목을 확인하여 이 시나리오를 확인합니다.

05/06 13:35:25 [MISC] NlMainLoop: 트러스트 계정이 추가(또는 변경됨) TRUSTING_DOMAIN$ 0x##### 4

컴퓨터가 자체 컴퓨터 계정 암호를 업데이트하는 경우 이 메시지는 기록되지 않습니다.

중복된 컴퓨터 이름과 관련된 문제를 resolve 원래 컴퓨터를 도메인에 다시 연결합니다.

다음 조건이 모두 충족되면 이벤트 5722를 무시할 수 있습니다.

  • 이벤트 5722의 날짜와 시간 및 디코딩된 날짜 및 시간이 일치하는 경우
  • 문제 컴퓨터와 도메인 컨트롤러 간에 유효한 보안 채널이 설정됩니다.

참고

이러한 두 조건이 모두 충족되면 컴퓨터 계정 업데이트 프로세스 중에 컴퓨터가 도메인 컨트롤러로 인증을 시도할 때 이벤트 5722가 도메인 컨트롤러에 기록됩니다.

관리자는 Ldp.exe 사용하여 도메인의 모든 컴퓨터에서 Active Directory 정보를 쿼리할 수도 있습니다. Windows XP 서비스 팩 2 지원 도구에 포함된 Ldp.exe 버전을 사용하여 PwdLastSet 값을 디코딩할 수도 있습니다.

참조

디버그 로깅을 사용하도록 설정하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.

Net Logon 서비스에 대한 디버그 로깅을 사용하도록 설정하는 109626