Windows 도메인 컨트롤러에서 누락된 SYSVOL 및 NETLOGON 공유 문제 해결

  • 아티클

이 문서에서는 netlogon 및 sysvol 공유가 누락된 Windows 2000 도메인 컨트롤러에서 사용할 문제 해결 단계를 설명합니다.

적용 대상: Windows Server 2008 R2 서비스 팩 1
원래 KB 번호: 257338

참고

이 문서는 Windows 2000에 적용됩니다. Windows 2000에 대한 지원은 2010년 7월 13일에 종료됩니다. Windows 2000 지원 종료 솔루션 센터는 Windows 2000에서 마이그레이션 전략을 계획하기 위한 시작점입니다. 자세한 내용은 Microsoft 지원 수명 주기 정책을 참조하세요.

요약

FRS(파일 복제 서비스)는 Windows NT 3.x 및 4.0의 LMREPL 서비스를 대체하는 다중 스레드 다중 master 복제 엔진입니다. Windows 2000 도메인 컨트롤러 및 서버는 FRS를 사용하여 Windows 2000 및 하위 수준 클라이언트에 대한 시스템 정책 및 로그인 스크립트를 복제합니다.

FRS는 동일한 내결함성 DFS 루트 또는 자식 노드 복제본을 호스팅하는 Windows 2000 서버 간에 콘텐츠를 복제할 수도 있습니다.

추가 정보

누락된 netlogon 및 sysvol 공유는 일반적으로 기존 도메인의 복제본(replica) 도메인 컨트롤러에서 발생하지만 새 도메인의 첫 번째 도메인 컨트롤러에서도 발생할 수 있습니다. 다음 단계는 복제본(replica) 도메인 컨트롤러 시나리오에서 자세히 설명하지만 복제 관련 단계를 무시하여 도메인의 첫 번째 도메인 컨트롤러에 적용할 수 있습니다.

  1. NTDS 연결 개체는 각 복제 파트너의 DS에 있습니다.

    NTDS Connections Active Directory를 복제하기 위해 디렉터리 서비스에서 사용하는 단방향 연결과 SYSVOL 폴더에 시스템 정책의 파일 시스템 부분을 복제하기 위해 FRS(파일 복제 서비스)입니다. KCC(지식 일관성 검사기)는 NTDS 연결 개체를 빌드하여 도메인과 포리스트의 도메인 컨트롤러 간에 잘 연결된 토폴로지를 형성합니다. 관리자는 자동 연결 대신 수동 연결 개체를 만들 수도 있습니다.

    "사이트 및 서비스"(Dssite.msc) 스냅인을 사용하여 문제 컴퓨터와 기존 도메인 컨트롤러 사이에 존재하는 연결 개체를 검사합니다. 컴퓨터 \\M1과 \\M2 간에 복제가 수행되려면 \\M1 에 \\M2의 인바운드 연결 개체와 \\M1의 인바운드 연결 개체가 있어야 합니다. "도메인 컨트롤러에 연결..."을 사용합니다. Dssite.msc의 명령을 사용하여 도메인 내 연결 개체의 각 도메인 컨트롤러 큐브 뷰를 보고 비교합니다.

    새 복제본(replica) 멤버에 대한 연결 개체가 없는 경우 Dssite.msc의 복제 토폴로지 확인 명령을 사용하여 KCC가 필요한 자동 연결 개체를 빌드하도록 강제합니다(나중에 보기를 새로 고치려면 F5 키를 누릅니다).

    KCC가 자동 연결을 빌드할 수 없는 경우 관리자는 도메인의 다른 도메인 컨트롤러에 대한 인바운드 또는 아웃바운드 연결이 없는 도메인 컨트롤러에 대한 수동 연결 개체를 빌드하여 개입해야 합니다. 단일 수동 연결 개체를 빌드하면 KCC에서 원하는 자동 연결 개체를 빌드할 수 있는 경우가 많습니다. 복제 차단 구성을 방지하려면 도메인의 동일한 도메인 컨트롤러에서 중복된 수동 및/또는 자동 연결을 삭제해야 합니다.

  2. Active Directory 복제는 도메인의 새 도메인 컨트롤러와 기존 도메인 컨트롤러 간에 수행됩니다.

    Repadmin.exe 사용하여 예약된 복제 간격으로 동일한 도메인의 원본 및 대상 도메인 컨트롤러 간에 Active Directory 복제가 수행되고 있는지 확인합니다. 기본 복제 간격은 동일한 사이트의 도메인 컨트롤러 간에 5분, 다른 사이트의 도메인 컨트롤러 간에 3시간마다 한 번(최소 15분)입니다.

    REPADMIN /SHOWREPS %UPSTREAMCOMPUTER%
REPADMIN /SHOWREPS %DOWNSTREAMCOMPUTER%

    FRS 복제는 도메인의 도메인 컨트롤러 간에 필요한 구성 정보를 복제하기 위해 Active Directory에 따라 달라집니다. 복제가 의심되는 경우 잠재적인 원본 컴퓨터(\\M1) 및 대상 컴퓨터(\\M2)에서 "복제 이벤트" 항목을 HKEY_LOCAL_MACHINE\system\ccs\services\ntds\diagnostics\ 5로 설정한 후 Dssite.msc의 "지금 복제" 명령 또는 REPLMON에 해당하는 명령을 사용하여 \\M1에서 \\M2로 복제를 강제 적용한 후 이벤트 뷰어 복제 이벤트를 검사합니다.

  3. Active Directory 및 SYSVOL 폴더를 원본으로 사용하는 서버는 NETLOGON 및 SYSVOL 공유 자체를 만들었어야 합니다.

    Dcpromo.exe 프로그램이 컴퓨터를 다시 시작한 후 FRS는 먼저 아래의 "복제본 부모 설정" 레지스트리 키에 식별된 컴퓨터에서 SYSVOL을 소스로 만들려고 시도합니다.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters\SysVol\DomainName

    참고

    이 키는 임시이며 SYSVOL이 원본이 되거나 SYSVOL 아래의 정보가 성공적으로 복제되면 삭제됩니다.

    Ntfrs.exe 2195 릴리스는 이 초기 원본 서버에서 복제를 방지하여 FRS가 자동 또는 수동 NTDS 연결 개체를 통해 도메인의 인바운드 복제 파트너로부터 복제를 시도할 때까지 SYSVOL 복제를 지연합니다.

    도메인의 모든 잠재적 원본 도메인 컨트롤러는 자체에서 NETLOGON 및 SYSVOL 공유를 공유하고 기본 도메인 및 도메인 컨트롤러 정책을 적용해야 합니다.

    SYSVOL 디렉터리 구조:

    • 도메인
      • DO_NOT_REMOVE_NtFrs_PreInstall_Directory
      • 정책
        • {GUID}
          • Adm
          • 기계
          • 사용자
        • {GUID}
          • Adm
          • 기계
          • 사용자
        • {etc.,}
      • 스크립트
    • 준비
    • 준비 영역
      • MyDomainName.com
    • 스크립트
    • sysvol(sysvol share)
      • MyDomainName.com
        • DO_NOT_REMOVE_NtFrs_PreInstall_Directory
        • 정책
          • {GUID}
            • Adm
            • 기계
            • 사용자
          • {GUID}
            • Adm
            • 기계
            • 사용자
          • {etc.,}
        • scripts(NETLOGON 공유)

  4. "엔터프라이즈 도메인 컨트롤러" 그룹에는 도메인 컨트롤러 OU의 기본 도메인 컨트롤러 정책에서 "네트워크에서 이 컴퓨터에 액세스" 권한이 부여되어야 합니다.

    Dcpromo.exe 프로그램을 사용하는 동안 Active Directory 복제는 Active Directory 설치 마법사에 지정된 자격 증명을 사용합니다. 다시 시작되면 도메인 컨트롤러의 컴퓨터 계정 컨텍스트에서 복제가 발생합니다. 도메인의 모든 원본 도메인 컨트롤러는 "엔터프라이즈 도메인 컨트롤러" 그룹 "네트워크에서 이 컴퓨터에 액세스" 권한을 부여하는 정책을 성공적으로 복제하고 적용해야 합니다. 빠른 확인을 위해 잠재적인 원본 도메인 컨트롤러의 애플리케이션 로그에서 이벤트를 1704s 찾습니다. 자세한 확인을 위해 Basicdc.inf 템플릿에 대해 보안 구성 분석을 실행하고(SYSVOL, DSLOG 및 DSIT에 대한 환경 변수를 정의해야 하며, 결과 로그 출력을 검사합니다.

    Windows 2000으로 업그레이드된 Windows NT 4.0 도메인에서 "네트워크에서 이 컴퓨터에 액세스" 권한이 누락되는 경우가 많습니다. 이 문제로 인해 "액세스 거부됨" 오류 메시지로 인해 Active Directory 및 FRS 복제가 실패합니다.

  5. 각 도메인 컨트롤러는 정규화된 컴퓨터 이름(%컴퓨터 이름%)을 resolve(ping)할 수 있어야 합니다.<도메인 이름>) 복제본(replica) 집합에 참여하는 컴퓨터의

    SYSVOL의 경우 이 단계는 도메인에 있는 모든 도메인 컨트롤러의 FQ 컴퓨터 이름을 ping하는 것을 의미합니다. ping 명령에서 반환된 주소가 각 복제본(replica) 집합 파트너의 콘솔에서 IPCONFIG에서 반환한 IP 주소와 일치하는지 확인합니다.

  6. FRS 서비스는 NTFRS 제트 데이터베이스를 만들었어야 합니다.

    도메인의 각 도메인 컨트롤러에 대해 를 실행 DIR \\<computername>\admin$\ntfrs\jet 하여 NTfrs.jdb 파일이 있는지 확인합니다. NTFRS 서비스가 실행되는 동안(의도적으로) jet 데이터베이스의 날짜와 크기가 올바르지 않을 수 있습니다.

  7. 각 도메인 컨트롤러는 SYSVOL 복제본(replica) 집합의 멤버여야 합니다.

    모든 복제본(replica) 집합 멤버에서 를 실행 NTFRSUTL DS [COMPUTERNAME] 합니다. 도메인의 모든 도메인 컨트롤러가 NTFRSUTL 출력의 "SET: DOMAIN SYSTEMVOLUME(SYSVOL SHARE)" 부분 아래에 표시되는지 확인합니다. 보기 메뉴에서 "고급 기능"을 사용할 수 있는 경우 사용자 및 컴퓨터(Dsa.msc) 스냅인에서 SYSVOL 복제본 집합 및 해당 멤버를 cn="도메인 시스템 볼륨",cn=file replication service,cn=system,dc=<FQDN> 아래에 표시할 수도 있습니다.

  8. 각 도메인 컨트롤러는 복제본(replica) 집합의 구독자여야 합니다.

    모든 복제본(replica) 집합 멤버에서 를 실행 NTFRSUTL DS [COMPUTERNAME] 합니다. 구독자 개체는 cn=domain system volume (SYSVOL share), cn=NTFRS Subscriptions,CN=%DCNAME%,OU=Domain Controllers,DC=<FQDN>에 나타납니다. 이 명령을 실행하려면 컴퓨터 개체가 존재하고 복제되어야 합니다. NTFRSUTL은 구독자 개체가 누락된 경우 다음을 보고합니다.

    SUBSCRIPTION: NTFRS SUBSCRIPTIONS DN: cn=ntfrs  
subscriptions,cn=W2KPDC,ou=domain controllers,dc=d... Guid:  
5c44b60b-8f01-48c6-8604c630a695dcdd  
Working: f:\winnt\ntfrs  
Actual Working: f:\winnt\ntfrs  
WIN2K-PDC IS NOT A MEMBER OF A REPLICA SET!

  9. 복제 일정을 사용하도록 설정해야 합니다.

  10. SYSVOL 공유 및 스테이징 폴더를 호스트하는 논리 드라이브에는 업스트림 및 다운스트림 파트너에 사용 가능한 디스크 공간이 충분합니다. 예를 들어 복제하려는 콘텐츠의 50%와 복제되는 가장 큰 파일 크기의 3배입니다.

  11. 새 복제본(replica) 대상 폴더 및 준비 폴더("NTFRSUTL DS"에 표시됨)를 확인하여 파일이 복제되고 있는지 확인합니다. 스테이징 폴더의 파일은 최종 위치로 이동하는 과정에 있어야 합니다. 스테이징 또는 대상 폴더의 파일 수가 지속적으로 변경된다는 것은 파일이 복제되거나 대상 폴더로 전환될 때 좋은 신호입니다.

참고

Ntfrsutl.exe Windows 2000 리소스 키트에 포함된 유틸리티입니다.