도메인 컨트롤러에서 파일 공유를 열거나 스냅인을 그룹 정책 수 없습니다.

  • 아티클

이 문서에서는 도메인 컨트롤러의 워크스테이션 또는 서버 서비스에 대해 SMB 서명을 사용하지 않도록 설정할 때 발생하는 문제를 resolve 방법을 설명합니다.

적용 대상: Windows Server 2003
원본 KB 번호: 839499

요약

Windows Server 2003 도메인 컨트롤러 또는 Windows 2000 Server 도메인 컨트롤러에서 파일 공유 또는 그룹 정책 스냅인을 열 수 없습니다. 도메인 컨트롤러에 로컬로 로그온한 다음 도메인 컨트롤러에서 공유를 열려고 하면 반복되는 암호 프롬프트가 표시되며 공유를 열 수 없습니다. 레지스트리를 변경하여 이 문제를 resolve 수 있습니다.

경고

레지스트리 편집기 또는 다른 방법을 사용하여 레지스트리를 잘못 수정하는 경우 심각한 문제가 발생할 수 있습니다. 이러한 문제를 해결하려면 운영 체제를 다시 설치해야 할 수 있습니다. Microsoft에서는 이 문제의 해결을 보장하지 않습니다. 레지스트리를 수정하는 데 따르는 위험은 사용자가 부담해야 합니다.

증상

시나리오 1 - 도메인 컨트롤러의 Workstation 서비스에 대해 SMB(서버 메시지 블록) 서명을 사용할 수 없지만 동일한 도메인 컨트롤러의 서버 서비스에는 SMB 서명이 필요합니다.

Windows Server 2003

도메인 컨트롤러에서 그룹 정책 스냅인을 열려고 하면 다음과 유사한 오류 메시지가 표시됩니다.

이 작업을 수행할 수 있는 권한이 없습니다. 액세스가 거부되었습니다.

도메인 컨트롤러는 5분마다 애플리케이션 이벤트 로그에 다음 이벤트를 기록합니다.

Windows 2000 Server

도메인 컨트롤러에서 그룹 정책 스냅인을 열려고 하면 다음과 유사한 오류 메시지가 표시됩니다.

이 작업을 수행할 수 있는 권한이 없습니다.

액세스가 거부되었습니다. 도메인 컨트롤러는 애플리케이션 이벤트 로그에 다음 이벤트를 기록합니다.

도메인 컨트롤러에 로컬로 로그온한 다음 도메인 컨트롤러에서 공유를 열려고 하면 반복되는 암호 프롬프트가 표시되며 공유를 열 수 없습니다.

시나리오 2 - 도메인 컨트롤러의 서버 서비스에 대해 SMB 서명을 사용할 수 없지만 동일한 도메인 컨트롤러의 Workstation 서비스에 SMB 서명이 필요합니다.

Windows Server 2003

그룹 정책 개체를 열지 못했습니다. 적절한 권한이 없을 수 있습니다.

계정에 이 스테이션에서 로그인할 수 있는 권한이 없습니다.

네트워크 추적에서 SMB 서명이 사용하도록 설정되고 클라이언트에서 필요하고 서버에서 사용하지 않도록 설정된 경우 TCP 세션에 대한 연결은 언어 협상 후에 정상적으로 닫히며 클라이언트는 다음 오류를 받습니다.

1240(ERROR_LOGIN_WKSTA_RESTRICTION)

도메인 컨트롤러는 5분마다 애플리케이션 이벤트 로그에 다음 이벤트를 기록합니다. 도메인 컨트롤러에 로컬로 로그온한 다음 도메인 컨트롤러에서 파일 공유를 열려고 하면 다음과 유사한 오류 메시지가 표시됩니다.

\\\ Server_NameShare_Name 액세스할 수 없습니다. 이 네트워크 리소스를 사용할 수 있는 권한이 없을 수 있습니다. 액세스 권한이 있는지 확인하려면 이 서버의 관리자에게 문의하세요.

계정에 이 스테이션에서 로그인할 수 있는 권한이 없습니다.

참고

네트워크 추적에서 SMB 서명을 사용하도록 설정하고 클라이언트에서 SMB 서명이 필요하고 서버에서 사용하지 않도록 설정된 경우 방언 협상 후에 TCP 세션에 대한 연결이 정상적으로 닫힙니다. 또한 클라이언트는 1240(ERROR_LOGIN_WKSTA_RESTRICTION) 오류 메시지를 받습니다.

Windows 2000 Server

도메인 컨트롤러에서 그룹 정책 스냅인을 열려고 하면 다음과 유사한 오류 메시지가 표시됩니다.

그룹 정책 개체를 열지 못했습니다. 적절한 권한이 없을 수 있습니다.

계정에 이 스테이션에서 로그인할 수 있는 권한이 없습니다.

도메인 컨트롤러는 애플리케이션 이벤트 로그에 다음 이벤트를 기록합니다. 도메인 컨트롤러에 로컬로 로그온한 다음 도메인 컨트롤러에서 파일 공유를 열려고 하면 다음과 유사한 오류 메시지가 표시됩니다.

\\\ Server_NameShare_Name 액세스할 수 없습니다.

계정에 이 스테이션에서 로그인할 수 있는 권한이 없습니다.

참고

네트워크 추적에서 SMB 서명을 사용하도록 설정하고 클라이언트에서 SMB 서명이 필요하고 서버에서 사용하지 않도록 설정된 경우 방언 협상 후에 TCP 세션에 대한 연결이 정상적으로 닫힙니다. 또한 클라이언트는 1240(ERROR_LOGIN_WKSTA_RESTRICTION) 오류 메시지를 받습니다.

해결 방법

이 동작을 resolve 다음 단계를 수행합니다.

중요

이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의하여 수행해야 합니다. 추가된 보호를 위해 레지스트리를 수정하기 전에 백업하세요. 그런 다음 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 레지스트리를 백업하고 복원하는 방법에 대한 자세한 내용은 Windows XP에서 레지스트리를 백업하고 복원하는 방법을 참조하세요.

1단계 - 레지스트리 변경

enablesecuritysignature 레지스트리 항목의 값을 변경합니다. 이렇게 하려면 다음과 같이 하십시오.

  1. 도메인 컨트롤러에서 시작을 클릭한 다음 실행을 클릭합니다.

  2. 열기 상자에 regedit 명령을 복사한 다음 붙여넣거나 입력한 다음 Enter 키를 누릅니다.

    열기 상자에 regedit가 입력된 실행 창의 스크린샷

  3. 다음 레지스트리 하위 키를 찾아서 클릭합니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

  4. 오른쪽 창에서 enablesecuritysignature를 두 번 클릭하고 값 데이터 상자에 1을 입력한 다음 확인을 클릭합니다.

  5. requiresecuritysignature를 두 번 클릭하고 값 데이터 상자에 1을 입력한 다음 확인을 클릭합니다.

  6. 다음 레지스트리 하위 키를 찾아서 클릭합니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters

  7. 오른쪽 창에서 enablesecuritysignature를 두 번 클릭하고 값 데이터 상자에 1을 입력한 다음 확인을 클릭합니다.

  8. requiresecuritysignature를 두 번 클릭하고 값 데이터 상자에 0을 입력한 다음 확인을 클릭합니다.

2단계 - 서버 서비스 및 워크스테이션 서비스 다시 시작 레지스트리 값을 변경한 후 서버 서비스 및 워크스테이션 서비스를 다시 시작합니다.

중요

이 작업을 수행하면 그룹 정책 레지스트리 값을 이전 값으로 다시 변경할 수 있으므로 도메인 컨트롤러를 다시 시작하지 마세요.

서버 서비스 및 워크스테이션 서비스를 다시 시작하려면 다음 단계를 수행합니다.

  1. 시작을 클릭하고 관리 도구를 가리킨 다음 서비스를 클릭합니다.

  2. 서버를 마우스 오른쪽 단추로 클릭한 다음 다시 시작을 클릭합니다.

    서버가 선택되고 다시 시작이 선택된 메뉴가 있는 서비스 창의 스크린샷

  3. 워크스테이션을 마우스 오른쪽 단추로 클릭한 다음 다시 시작을 클릭합니다.

참고

다른 서비스를 다시 시작하라는 메시지가 표시되면 예를 클릭합니다.

3단계 - Sysvol 공유 업데이트

도메인 컨트롤러의 Sysvol 공유를 업데이트합니다. 이렇게 하려면 다음과 같이 하십시오.

  1. 도메인 컨트롤러의 Sysvol 공유를 엽니다. 이렇게 하려면 시작을 클릭하고 실행을 클릭하고 열기 상자에 \\Server_Name\Sysvol을 입력한 다음 Enter 키를 누릅니다.
  2. Sysvol 공유가 열리지 않으면 1단계 - 레지스트리 변경 및 2단계 - 서버 및 워크스테이션 서비스 다시 시작을 반복합니다.
  3. 1단계 반복 - 레지스트리 변경 및 2단계 - 영향을 받는 각 도메인 컨트롤러에서 서버 및 워크스테이션 서비스를 다시 시작하여 각 도메인 컨트롤러가 자체 Sysvol 공유에 액세스할 수 있는지 확인합니다.

4단계 - SMB 정책 설정 설정

각 도메인 컨트롤러에서 Sysvol 공유에 연결한 후 도메인 컨트롤러 보안 정책 스냅인을 연 다음 SMB 서명 정책 설정을 설정합니다. 이렇게 하려면 다음과 같이 하십시오.

  1. 시작을 클릭하고 프로그램, 관리 도구를 차례로 가리킨 다음 도메인 컨트롤러 보안 정책을 클릭합니다.

  2. 왼쪽 창에서 로컬 정책을 확장한 다음 보안 옵션을 클릭합니다.

  3. 오른쪽 창에서 Microsoft 네트워크 서버: 디지털 서명 통신(항상)을 두 번 클릭합니다.

    참고

    Windows 2000 Server에서 동등한 정책 설정은 디지털 서명 서버 통신(항상)입니다.

    중요

    SMB 서명을 지원하지 않는 클라이언트 컴퓨터가 네트워크에 있는 경우 Microsoft 네트워크 서버: 디지털 서명 통신(항상) 정책 설정을 사용하도록 설정하면 안 됩니다. 이 설정을 사용하도록 설정하면 모든 클라이언트 통신에 대해 SMB 서명이 있어야 하며 SMB 서명을 지원하지 않는 클라이언트 컴퓨터는 다른 컴퓨터에 연결할 수 없습니다. 예를 들어 Apple Macintosh OS X 또는 Microsoft Windows 95를 실행하는 클라이언트는 SMB 서명을 지원하지 않습니다. 네트워크에 SMB 서명을 지원하지 않는 클라이언트가 포함된 경우 이 정책을 사용하지 않도록 설정합니다.

    보안 옵션이 선택된 기본 도메인 컨트롤러 보안 설정 창의 스크린샷

  4. 이 정책 설정 정의 검사 상자를 클릭하고 사용을 클릭한 다음 확인을 클릭합니다.

    이 정책 정의 설정이 선택되고 사용하도록 설정된 Microsoft 네트워크 서버 창의 스크린샷

  5. Microsoft 네트워크 서버: 디지털 서명 통신(클라이언트가 동의하는 경우)을 두 번 클릭합니다.

    참고

    Windows 2000 Server의 경우 해당하는 정책 설정은 디지털 서명 서버 통신(가능한 경우)입니다.

  6. 이 정책 설정 정의 검사 상자를 클릭하여 선택한 다음 사용을 클릭합니다.

  7. 확인을 클릭합니다.

  8. Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상)을 두 번 클릭합니다.

  9. 이 정책 설정 검사 정의 상자의 지우기를 클릭한 다음 확인을 클릭합니다.

    이 정책 설정 정의 검사 상자가 지워진 Microsoft 네트워크 서버 창의 스크린샷

  10. Microsoft 네트워크 클라이언트: 디지털 서명 통신(서버가 동의하는 경우)을 두 번 클릭합니다.

  11. 이 정책 설정 검사 정의 상자의 지우기를 클릭한 다음 확인을 클릭합니다.

5단계 - 그룹 정책 업데이트 유틸리티 실행

힘 스위치를 사용하여 그룹 정책 업데이트 유틸리티(Gpupdate.exe)를 실행합니다. 이렇게 하려면 다음과 같이 하십시오.

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. 열기 상자에 cmd 명령을 복사하여 붙여넣거나 입력한 다음 Enter 키를 누릅니다.

    열기 상자에 cmd가 입력된 실행 창의 스크린샷

  3. 명령 프롬프트에서 gpupdate /force 입력 후 Enter 키를 누릅니다.

    참고

    그룹 정책 업데이트 유틸리티는 Windows 2000 Server에 없습니다. Windows 2000 Server에서 해당 명령은 입니다 secedit /refreshpolicy machine_policy /enforce.

6단계 - 애플리케이션 이벤트 로그 확인

그룹 정책 업데이트 유틸리티를 실행한 후 애플리케이션 이벤트 로그를 검사 그룹 정책 설정이 성공적으로 업데이트되었는지 확인합니다. 그룹 정책 업데이트가 성공하면 도메인 컨트롤러는 이벤트 ID 1704를 기록합니다. 이벤트 뷰어 애플리케이션 로그를 열려면 다음 단계를 수행합니다.

  1. 시작을 클릭하고 관리 도구를 가리킨 다음 이벤트 뷰어를 클릭합니다.

  2. 왼쪽 창에서 애플리케이션을 클릭합니다.

    애플리케이션이 선택된 이벤트 뷰어 창의 스크린샷

  3. 이벤트 ID 1704를 두 번 클릭하고 그룹 정책 설정이 성공적으로 적용되었는지 확인합니다.

    참고

    이벤트의 원본은 SceCli입니다.

    이벤트 ID 1704에 대한 이벤트 속성 창 스크린샷

7단계 - 레지스트리 값 확인

1단계 - 레지스트리 변경에서 변경한 레지스트리 값을 확인하여 레지스트리 값이 변경되지 않았는지 확인합니다.

참고

이 단계에서는 충돌하는 정책 설정이 다른 그룹 또는 OU(조직 구성 단위) 수준에서 적용되지 않도록 합니다. 예를 들어 Microsoft 네트워크 클라이언트: 디지털 서명 통신(서버가 동의하는 경우) 정책이 도메인 컨트롤러 보안 정책에서 "정의되지 않음"으로 구성되지만 이 동일한 정책이 도메인 보안 정책에서 사용하지 않도록 구성된 경우 워크스테이션 서비스에 대해 SMB 서명이 비활성화됩니다.

8단계 - RSoP(결과 정책 집합) 스냅인을 사용하여 SMB 서명 정책 설정 확인

그룹 정책 업데이트 유틸리티를 실행한 후 레지스트리 값이 변경된 경우 Windows Server 2003에서 RSoP 스냅인을 사용하여 SMB 서명 정책 설정을 검사. 이렇게 하려면 다음과 같이 하십시오.

  1. 시작을 클릭하고 실행을 클릭하고 열기 상자에 rsop.msc를 입력한 다음 확인을 클릭합니다.

    열기 상자에 rsop.msc가 입력된 실행 창의 스크린샷

  2. RSoP 스냅인에서 SMB 서명 설정은 컴퓨터 구성/Windows 설정/보안 설정/로컬 정책/보안 옵션 경로에 있습니다.

    참고

    Windows 2000 Server를 실행하는 경우 Windows 2000 서버 리소스 키트에서 그룹 정책 업데이트 유틸리티를 설치한 다음 명령 프롬프트에 다음을 입력합니다.gpresult /scope computer /v

  3. 이 명령을 실행하면 적용된 그룹 정책 개체 목록이 나타납니다. 이 목록에는 컴퓨터 계정에 적용되는 모든 그룹 정책 개체가 표시됩니다. 이러한 모든 그룹 정책 개체에 대한 SMB 서명 정책 설정을 확인합니다.

추가 리소스

이 동작은 워크스테이션 서비스와 서버 서비스에 대한 SMB 서명 설정이 서로 모순되는 경우에 발생합니다. 이러한 방식으로 도메인 컨트롤러를 구성할 때 도메인 컨트롤러의 Workstation 서비스는 도메인 컨트롤러의 Sysvol 공유에 연결할 수 없습니다. 따라서 스냅인을 그룹 정책 시작할 수 없습니다. 또한 SMB 서명 정책이 기본 도메인 컨트롤러 보안 정책에 의해 설정된 경우 문제는 네트워크의 모든 도메인 컨트롤러에 영향을 줍니다. 따라서 Active Directory 디렉터리 서비스에서 그룹 정책 복제가 실패하고 그룹 정책 편집하여 이러한 설정을 실행 취소할 수 없습니다.

시나리오 1 - 도메인 컨트롤러 진단 도구(DcDiag.exe)를 실행하는 경우 Windows 2000 Server 및 Windows Server 2003의 경우 다음과 유사한 오류가 발생합니다.

시작 테스트: MachineAccount
[SERVERNAME]:5: 액세스가 거부된 상태에서 파이프를 열 수 없습니다.
NetBIOSDomainName을 가져올 수 없습니다.
실패한 경우 HOST SPN을 테스트할 수 없습니다.
실패한 경우 HOST SPN을 테스트할 수 없습니다.
* SPN 누락:(null)
* SPN 누락:(null)
......................... SERVERNAME 테스트 실패 MachineAccount
시작 테스트: 서비스
[SERVERNAME]:5: 액세스가 거부됨으로 인해 원격 ipc를 열 수 없습니다.
......................... SERVERNAME에 실패한 테스트 서비스
시작 테스트: ObjectsReplicated
......................... SERVERNAME 통과된 테스트 개체복제됨
시작 테스트: frssysvol
[SERVERNAME] 순 사용 또는 LsaPolicy 작업이 오류 5로 실패했습니다. 액세스가 거부되었습니다.
......................... SERVERNAME 테스트 실패 frssysvol
시작 테스트: frsevent
......................... SERVERNAME 테스트 실패(frsevent)
시작 테스트: kccevent
이벤트 로그 레코드를 열거하지 못했습니다. 오류 액세스가 거부되었습니다.
......................... SERVERNAME 테스트 실패 kccevent
테스트 시작: systemlog
이벤트 로그 레코드를 열거하지 못했습니다. 오류 액세스가 거부되었습니다.
......................... SERVERNAME 테스트 시스템 로그 실패

시나리오 2 - 도메인 컨트롤러 진단 도구를 실행하는 경우 Windows 2000 Server 및 Windows Server 2003의 경우 다음과 유사한 오류가 발생합니다.

테스트 서버: Default-First-Site-Name\SERVERNAME
테스트 시작: 복제
......................... SERVERNAME 통과 테스트 복제
시작 테스트: NCSecDesc
......................... SERVERNAME 통과 테스트 NCSecDesc
시작 테스트: NetLogons
[SERVERNAME] 순 사용 또는 LsaPolicy 작업이 오류 1240으로 실패했습니다. 이 계정에는 이 스테이션에서 로그인할 권한이 없습니다.
......................... SERVERNAME 테스트 실패 NetLogons
시작 테스트: 광고
......................... SERVERNAME 통과 테스트 광고
시작 테스트: KnowsOfRoleHolders
......................... SERVERNAME 통과 테스트 KnowsOfRoleHolders
테스트 시작: RidManager
......................... SERVERNAME 통과 테스트 RidManager
시작 테스트: MachineAccount
[SERVERNAME]:failed with 1240으로 파이프를 열 수 없습니다. 계정에 이 스테이션에서 로그인할 권한이 없습니다.
NetBIOSDomainName을 가져올 수 없습니다.
실패한 경우 HOST SPN을 테스트할 수 없습니다.
실패한 경우 HOST SPN을 테스트할 수 없습니다.
* SPN 누락:(null)
* SPN 누락:(null)
......................... SERVERNAME 테스트 실패 MachineAccount
시작 테스트: 서비스
[SERVERNAME]:1240으로 원격 ipc를 열 수 없습니다. 이 스테이션에서 로그인할 권한이 없습니다.
......................... SERVERNAME에 실패한 테스트 서비스
시작 테스트: ObjectsReplicated
......................... SERVERNAME 통과된 테스트 개체복제됨
시작 테스트: frssysvol
[SERVERNAME] 순 사용 또는 LsaPolicy 작업이 오류 1240으로 실패했습니다. 이 계정에는 이 스테이션에서 로그인할 권한이 없습니다.
......................... SERVERNAME 테스트 실패 frssysvol
시작 테스트: frsevent
......................... SERVERNAME 테스트 실패(frsevent)
시작 테스트: kccevent
이벤트 로그 레코드를 열거하지 못했습니다. 오류 계정에 이 스테이션에서 로그인할 권한이 없습니다. ......................... SERVERNAME 테스트 실패 kccevent
테스트 시작: systemlog
이벤트 로그 레코드를 열거하지 못했습니다. 오류 계정에 이 스테이션에서 로그인할 권한이 없습니다. ......................... SERVERNAME 테스트 시스템 로그 실패