Windows Server 2003, Windows XP 또는 Windows 2000을 실행하는 컴퓨터에 그룹 정책 적용한 후 Userenv 오류가 발생하고 이벤트가 기록됩니다.

  • 아티클

이 문서에서는 네트워크의 컴퓨터가 네트워크 도메인 컨트롤러의 Sysvol 폴더에 있는 GPO(그룹 정책 개체)에 연결할 수 없는 문제에 대한 솔루션을 제공합니다.

적용 대상: Windows 10 - 모든 버전, Windows Server 2012 R2
원본 KB 번호: 887303

요약

그룹 정책 네트워크의 컴퓨터에 적용되는 경우 하나 이상의 오류 및 이벤트가 발생할 수 있습니다. 문제의 원인을 확인하려면 네트워크의 컴퓨터 구성 문제를 해결해야 합니다. 다음 단계에 따라 문제의 원인을 해결합니다.

  1. 서버 및 클라이언트 컴퓨터에서 DNS 설정 및 네트워크 속성을 검사합니다.
  2. 클라이언트 컴퓨터에서 서버 메시지 블록 서명 설정을 검사합니다.
  3. TCP/IP NetBIOS 도우미 서비스, Net Logon 서비스 및 RPC(원격 프로시저 호출) 서비스가 모든 컴퓨터에서 시작되었는지 확인합니다.
  4. DFS(분산 파일 시스템)가 모든 컴퓨터에서 사용하도록 설정되어 있는지 확인합니다.
  5. Sysvol 폴더의 내용과 사용 권한을 검사합니다.
  6. 바이패스 트래버스 확인 권한이 필요한 그룹에 부여되었는지 확인합니다.
  7. 도메인 컨트롤러가 저널 래핑 상태가 아닌지 확인합니다.
  8. dfsutil /purgemupcache 명령을 실행합니다.

증상

Microsoft Windows Server 2003, Microsoft Windows XP 또는 Microsoft Windows 2000을 실행하는 컴퓨터에서 다음 증상이 하나 이상 발생합니다.

  • 그룹 정책 설정은 컴퓨터에 적용되지 않습니다.

  • 그룹 정책 복제는 네트워크의 도메인 컨트롤러 간에 완료되지 않습니다.

  • 그룹 정책 스냅인을 열 수 없습니다. 예를 들어 도메인 컨트롤러 보안 정책 스냅인 또는 도메인 보안 정책 스냅인을 열 수 없습니다.

  • 그룹 정책 스냅인을 열려고 하면 다음 오류 메시지 중 하나가 표시됩니다.

    그룹 정책 개체를 열지 못했습니다. 적절한 권한이 없을 수 있습니다.
    세부 정보: 계정에 이 스테이션에서 로그인할 권한이 없습니다.

    이 작업을 수행할 수 있는 권한이 없습니다.
    세부 정보: 액세스가 거부되었습니다.

    그룹 정책 개체를 열지 못했습니다. 적절한 권한이 없을 수 있습니다.
    세부 정보: 시스템에서 지정된 경로를 찾을 수 없습니다.

  • 도메인 컨트롤러에서 공유 파일에 액세스하려고 하면 오류 메시지가 표시됩니다. 이 증상은 서버에 로그온하고 로컬 공유에 액세스하려고 하는 경우에도 발생합니다. 특히 이 증상은 도메인 컨트롤러의 Sysvol 공유에 대한 액세스에 영향을 줄 수 있습니다.

  • 파일 공유에 액세스하려고 하면 암호를 묻는 메시지가 반복적으로 표시됩니다.

  • 파일 공유에 액세스하려고 하면 다음 오류 메시지 중 하나와 유사한 오류 메시지가 표시됩니다.

    \\\ Server_NameShare_Name 액세스할 수 없습니다. 이 네트워크 리소스를 사용할 수 있는 권한이 없을 수 있습니다. 액세스 권한이 있는지 확인하려면 이 서버의 관리자에게 문의하세요.
    계정에 이 스테이션에서 로그인할 수 있는 권한이 없습니다.

    \\\ Server_NameShare_Name 액세스할 수 없습니다.
    계정에 이 스테이션에서 로그인할 수 있는 권한이 없습니다.

    네트워크 경로를 찾지 못했습니다.

Windows XP 또는 Windows Server 2003에서 이벤트 뷰어 애플리케이션 로그를 보면 다음 이벤트와 유사한 이벤트가 표시됩니다.

이벤트 유형: 오류

이벤트 원본: Userenv
이벤트 범주: 없음
이벤트 ID: 1058

날짜: 날짜
시간:
Time
사용자:
User_name
컴퓨터:
Computer_Name
설명: Windows는 GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC= domainname,DC=com 에 대한 파일 gpt.ini 액세스할 수 없습니다. 파일은 \\domainname.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini>위치에 <있어야 합니다. (Error_Message). 그룹 정책 처리가 중단되었습니다. 자세한 내용은 의 도움말 및 지원 센터를 참조하세요 https://support.microsoft.com.

이벤트 ID 1058의 Error_Message 자리 표시자에 표시되는 오류 메시지는 다음과 같은 오류 메시지일 수 있습니다.

  • 네트워크 경로를 찾지 못했습니다.

  • 액세스가 거부되었습니다.

  • 컴퓨터를 사용할 수 없거나 액세스가 거부되었으므로 도메인 컨트롤러에서 구성 정보를 읽을 수 없습니다.

이벤트 유형: 오류
이벤트 원본: Userenv
이벤트 범주: 없음
이벤트 ID: 1030
날짜:
날짜
시간:
Time
사용자:
User_name
컴퓨터:
Computer_Name
설명: Windows는 그룹 정책 개체 목록을 쿼리할 수 없습니다. 이에 대한 이유를 설명하는 메시지는 이전에 정책 엔진에 의해 기록되었습니다. 자세한 내용은 의 도움말 및 지원 센터를 참조하세요 https://support.microsoft.com.

일반적으로 이벤트 ID 1058 및 이벤트 ID 1030이 발생하는 경우 컴퓨터가 시작될 때 클라이언트 컴퓨터 및 멤버 서버에 의해 기록됩니다. 도메인 컨트롤러는 5분마다 이러한 이벤트를 기록합니다.

Windows 2000 기반 컴퓨터에서 이벤트 뷰어 애플리케이션 로그를 보면 다음 이벤트와 유사한 이벤트가 표시됩니다.

이벤트 유형: 오류
이벤트 원본: Userenv

이벤트 범주: 없음
이벤트 ID: 1000
날짜:
날짜
시간:
Time
사용자: NT AUTHORITY\SYSTEM
컴퓨터:
Computer_Name
설명: Windows는 \\ domainname.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F 9}\Machine\registry.pol(Error_Code)에서 레지스트리 정보에 액세스할 수 없습니다.

이벤트 ID 1000의 Error_Code 자리 표시자에 표시되는 오류 코드는 다음과 같은 오류 코드일 수 있습니다.

  • 5
  • 51
  • 53
  • 1231
  • 1240
  • 1722

원인

이러한 문제는 네트워크에 있는 컴퓨터가 특정 그룹 정책 개체에 연결할 수 없는 경우에 발생합니다. 특히 이러한 개체는 네트워크의 도메인 컨트롤러에 있는 Sysvol 폴더에 있습니다.

해결 방법

중요

이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 이러한 단계를 신중하게 수행해야 합니다. 추가된 보호를 위해 레지스트리를 수정하기 전에 백업하세요. 그런 다음 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 레지스트리를 백업 및 복원하는 방법에 대한 자세한 내용은 Windows에서 레지스트리를 백업 및 복원하는 방법을 참조하세요.

이 문제를 resolve 문제의 원인을 좁히려면 네트워크 구성 문제를 해결한 다음 구성을 수정해야 합니다. 이 문제의 가능한 원인을 해결하려면 다음 단계를 수행합니다.

1단계: 서버 및 클라이언트 컴퓨터에서 DNS 설정 및 네트워크 속성 검사

로컬 영역 연결 속성에서 모든 서버 및 클라이언트 컴퓨터에서 Microsoft Network용 클라이언트를 사용하도록 설정해야 합니다. 모든 도메인 컨트롤러에서 Microsoft Networks용 파일 및 프린터 공유 구성 요소를 사용하도록 설정해야 합니다.

또한 네트워크의 모든 컴퓨터는 컴퓨터가 멤버인 Active Directory 포리스트에 대한 SRV 레코드 및 호스트 이름을 resolve 수 있는 DNS 서버를 사용해야 합니다. 일반적으로 일반적인 구성 오류는 클라이언트 컴퓨터가 ISP(인터넷 서비스 공급자)에 속한 DNS 서버를 사용하는 것입니다.

Userenv 오류를 기록한 모든 컴퓨터에서 DNS 설정 및 네트워크 속성을 검사합니다. 또한 Userenv 오류를 기록하는지 여부에 관계없이 모든 도메인 컨트롤러에서 이러한 설정을 검사.

네트워크의 Windows XP 기반 컴퓨터에서 DNS 설정 및 네트워크 속성을 확인하려면 다음 단계를 수행합니다.

  1. 시작을 선택한 다음 제어판을 선택합니다.
  2. 제어판 범주 보기로 설정된 경우 클래식 보기로 전환을 선택합니다.
  3. 네트워크 Connections 두 번 클릭하고 로컬 영역 연결을 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.
  4. 일반 탭에서 을 클릭하여 Microsoft 네트워크용 클라이언트 검사 상자를 선택합니다.
  5. 인터넷 프로토콜(TCP/IP)을 선택한 다음 속성을 선택합니다.
  6. 다음 DNS 서버 주소 사용을 선택한 경우 기본 설정 및 대체 DNS 서버의 IP 주소가 Active Directory에서 SRV 레코드 및 호스트 이름을 resolve 수 있는 DNS 서버의 IP 주소인지 확인합니다. 특히 컴퓨터는 ISP에 속한 DNS 서버를 사용하면 안 됩니다. DNS 서버 주소가 올바르지 않으면 기본 DNS 서버 및 대체 DNS 서버 상자에 올바른 DNS 서버IP 주소를 입력합니다.
  7. 고급을 선택한 다음 DNS 탭을 선택합니다.
  8. DNS 검사 이 연결의 주소 등록 상자를 클릭하여 선택한 다음 확인을 세 번 선택합니다.
  9. 명령 프롬프트를 시작합니다. 이렇게 하려면 시작을선택하고 실행을 선택하고 cmd를 입력한 다음 확인을 선택합니다.
  10. ipconfig /flushdns를 입력한 다음 Enter 키를 누릅니다. ipconfig /registerdns를 입력한 다음 Enter 키를 누릅니다.
  11. 변경 내용을 적용하려면 컴퓨터를 다시 시작합니다.

네트워크의 Windows 2000 기반 컴퓨터에서 DNS 설정 및 네트워크 속성을 확인하려면 다음 단계를 수행합니다.

  1. 시작을 선택하고 설정을 가리킨 다음 제어판 선택합니다.

  2. 네트워크 및 전화 접속 Connections 두 번 클릭합니다.

  3. 로컬 영역 연결을 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.

  4. 일반 탭에서 을 클릭하여 Microsoft 네트워크용 클라이언트 검사 상자를 선택합니다.

  5. 컴퓨터가 도메인 컨트롤러인 경우 를 클릭하여 Microsoft 네트워크 검사 파일 및 프린터 공유 상자를 선택합니다.

    참고

    다중 홈 원격 액세스 서버 및 Microsoft ISA(인터넷 보안 및 가속) 서버 기반 서버에서 인터넷에 연결된 네트워크 어댑터에 대해 Microsoft Networks용 파일 및 프린터 공유 구성 요소를 사용하지 않도록 설정할 수 있습니다. 그러나 모든 서버의 네트워크 어댑터에 대해 Microsoft Networks용 클라이언트 구성 요소를 사용하도록 설정해야 합니다.

  6. 인터넷 프로토콜(TCP/IP)을 선택한 다음 속성을 클릭합니다.

  7. 다음 DNS 서버 주소 사용을 선택한 경우 기본 설정 및 대체 DNS 서버의 IP 주소가 Active Directory에서 SRV 레코드 및 호스트 이름을 resolve 수 있는 DNS 서버의 IP 주소인지 확인합니다. 특히 컴퓨터는 ISP에 속한 DNS 서버를 사용하지 않아야 합니다. DNS 서버 주소가 올바르지 않으면 기본 DNS 서버 및 대체 DNS 서버 상자에 올바른 DNS 서버IP 주소를 입력합니다.

  8. 고급을 선택한 다음 DNS 탭을 선택합니다.

  9. DNS 검사 이 연결의 주소 등록 상자를 클릭하여 선택한 다음 확인을 세 번 선택합니다.

  10. 명령 프롬프트를 시작합니다. 이렇게 하려면 시작을 선택하고 실행을 선택하고 열기 상자에 cmd를 입력한 다음 확인을 선택합니다.

  11. ipconfig /flushdns를 입력한 다음 Enter 키를 누릅니다. ipconfig /registerdns를 입력한 다음 Enter 키를 누릅니다.

  12. 컴퓨터를 다시 시작합니다.

네트워크의 Windows Server 2003 기반 컴퓨터에서 DNS 설정 및 네트워크 속성을 확인하려면 다음 단계를 수행합니다.

  1. 시작을 선택하고 제어판 가리킨 다음 네트워크 Connections 두 번 클릭합니다.

  2. 로컬 영역 연결을 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.

  3. 일반 탭에서 을 클릭하여 Microsoft 네트워크용 클라이언트 검사 상자를 선택합니다.

  4. 컴퓨터가 도메인 컨트롤러인 경우 를 클릭하여 Microsoft 네트워크 검사 파일 및 프린터 공유 상자를 선택합니다.

    참고

    다중 홈 원격 액세스 서버 및 ISA 서버 기반 서버에서 인터넷에 연결된 네트워크 어댑터에 대해 Microsoft Networks용 파일 및 프린터 공유 구성 요소를 사용하지 않도록 설정할 수 있습니다. 그러나 모든 서버의 네트워크 어댑터에 대해 Microsoft Networks용 클라이언트 구성 요소를 사용하도록 설정해야 합니다.

  5. 인터넷 프로토콜(TCP/IP)을 선택한 다음 속성을 선택합니다.

  6. 다음 DNS 서버 주소 사용을 선택한 경우 기본 설정 및 대체 DNS 서버의 IP 주소가 Active Directory에서 SRV 레코드 및 호스트 이름을 resolve 수 있는 DNS 서버의 IP 주소인지 확인합니다. 특히 컴퓨터는 ISP에 속한 DNS 서버를 사용하면 안 됩니다. DNS 서버 주소가 올바르지 않으면 기본 DNS 서버 및 대체 DNS 서버 상자에 올바른 DNS 서버IP 주소를 입력합니다.

  7. 고급을 선택한 다음 DNS 탭을 선택합니다.

  8. DNS 검사 이 연결의 주소 등록 상자를 클릭하여 선택한 다음 확인을 세 번 선택합니다.

  9. 명령 프롬프트를 시작합니다. 이렇게 하려면 시작을선택하고 실행을 선택하고 cmd를 입력한 다음 확인을 선택합니다.

  10. ipconfig /flushdns를 입력한 다음 Enter 키를 누릅니다. ipconfig /registerdns를 입력한 다음 Enter 키를 누릅니다.

  11. 변경 내용을 적용하려면 컴퓨터를 다시 시작합니다.

네트워크의 클라이언트 컴퓨터가 해당 IP 주소를 자동으로 가져오도록 구성된 경우 DHCP 서비스를 실행하는 컴퓨터가 Active Directory에서 SRV 레코드 및 호스트 이름을 resolve 수 있는 DNS 서버의 IP 주소를 할당해야 합니다.

컴퓨터가 DNS에 사용하는 IP 주소를 확인하려면 다음 단계를 수행합니다.

  1. 명령 프롬프트를 시작합니다. 이렇게 하려면 시작을선택하고 실행을 선택하고 열기 상자에 cmd를 입력한 다음 확인을 선택합니다.
  2. ipconfig /all을 입력한 다음 Enter 키를 누릅니.
  3. 화면에 나열된 DNS 항목을 확인합니다.

IP 주소를 가져오도록 구성된 컴퓨터가 올바른 DNS 서버를 자동으로 사용하지 않는 경우 DHCP 서버 설명서에서 DNS 서버 옵션을 구성하는 방법에 대한 정보를 확인하세요. 또한 각 컴퓨터가 도메인의 IP 주소를 resolve 수 있는지 확인합니다. 이렇게 하려면 ping Your_Domain_Name 입력합니다. 명령 프롬프트에서 Your_Domain_RootEnter 키를 누릅니다. 대신 nslookup Your_Domain_Name 입력합니다. Your_Domain_Root Enter 키를 누릅니 .

참고

이 호스트 이름은 네트워크의 도메인 컨트롤러 중 하나의 IP 주소로 resolve 것으로 예상됩니다. 컴퓨터에서 이 이름을 resolve 수 없거나 이름이 잘못된 IP 주소로 확인되면 도메인의 정방향 조회 영역에 유효한(부모 폴더와 동일) 호스트(A) 레코드가 포함되어 있는지 확인합니다.

도메인의 정방향 조회 영역에 Windows 2000 기반 컴퓨터의 유효한 (부모 폴더와 동일) 호스트(A) 레코드가 포함되어 있는지 확인하려면 다음 단계를 수행합니다.

  1. DNS를 실행하는 도메인 컨트롤러에서 시작을 선택하고 프로그램을 가리킨 다음 관리 도구를 가리킨 다음 DNS를 선택합니다.

  2. Your_Server_Name 확장하고 정방향 조회 영역을 확장한 다음 도메인에 대한 정방향 조회 영역을 선택합니다.

  3. (부모 폴더와 동일) 호스트(A) 레코드를 찾습니다.

  4. (부모 폴더와 동일) 호스트(A) 레코드가 없는 경우 다음 단계에 따라 레코드를 만듭니다.

    1. 작업 메뉴에서 새 호스트를 선택합니다.
    2. IP 주소 상자에 도메인 컨트롤러의 로컬 네트워크 어댑터의 IP 주소를 입력합니다.
    3. PTR(연결된 포인터) 레코드 검사 상자를 클릭하여 선택한 다음 호스트 추가를 선택합니다.
    4. 다음 메시지가 표시되면 예를 선택합니다.

      (부모 폴더와 동일) 는 유효한 호스트 이름이 아닙니다. 이 레코드를 추가하시겠습니까?

  5. (부모 폴더와 동일) 호스트(A) 레코드를 두 번 클릭합니다.

  6. 올바른 IP 주소가 IP 주소 상자에 나열되어 있는지 확인합니다.

  7. IP 주소 상자의 IP 주소가 잘못되면 IP 주소 상자에 올바른 IP 주소를 입력한 다음 확인을 선택합니다.

  8. 대신 유효하지 않은 IP 주소가 포함된 (부모 폴더와 동일) 호스트(A) 레코드를 삭제할 수 있습니다. (부모 폴더와 동일) 호스트(A) 레코드를 삭제하려면 해당 레코드를 마우스 오른쪽 단추로 클릭한 다음 삭제를 선택합니다.

  9. DNS 서버가 라우팅 및 원격 액세스 서버이기도 한 도메인 컨트롤러인 경우 DNS 또는 WINS를 실행하는 라우팅 및 원격 액세스 서버의 이름 확인 및 연결 문제를 참조하세요.

  10. DNS 레코드를 추가, 삭제 또는 수정하는 모든 컴퓨터에서 명령 프롬프트에 ipconfig /flushdns 를 입력한 다음 Enter 키를 누릅니다.

도메인의 정방향 조회 영역에 Windows Server 2003 기반 컴퓨터의 유효한 (부모 폴더와 동일) 호스트(A) 레코드가 포함되어 있는지 확인하려면 다음 단계를 수행합니다.

  1. DNS를 실행하는 도메인 컨트롤러에서 시작을 선택하고 관리 도구를 가리킨 다음 DNS를 선택합니다.

  2. Your_Server_Name 확장하고 정방향 조회 영역을 확장한 다음 도메인에 대한 정방향 조회 영역을 선택합니다.

  3. (부모 폴더와 동일) 호스트(A) 레코드를 찾습니다.

  4. (부모 폴더와 동일) 호스트(A) 레코드가 없는 경우 다음 단계에 따라 레코드를 만듭니다.

    1. 작업 메뉴에서 새 호스트(A)를 선택합니다.
    2. IP 주소 상자에 도메인 컨트롤러의 로컬 네트워크 어댑터의 IP 주소를 입력합니다.
    3. PTR(연결된 포인터) 레코드 검사 상자를 클릭하여 선택한 다음 호스트 추가를 선택합니다.
    4. 다음 메시지가 표시되면 예를 선택합니다.

      (부모 폴더와 동일) 는 유효한 호스트 이름이 아닙니다. 이 레코드를 추가하시겠습니까?

  5. (부모 폴더와 동일) 호스트(A) 레코드를 두 번 클릭합니다.

  6. 올바른 IP 주소가 IP 주소 상자에 나열되어 있는지 확인합니다.

  7. IP 주소 상자의 IP 주소가 유효하지 않은 경우 IP 주소 상자에 올바른 IP 주소를 입력한 다음 확인을 선택합니다.

  8. 대신 유효하지 않은 IP 주소가 포함된 (부모 폴더와 동일) 호스트(A) 레코드를 삭제할 수 있습니다. 호스트(A) 레코드를 삭제하려면 ( 부모 폴더와 동일)을 마우스 오른쪽 단추로 클릭한 다음 삭제를 선택합니다.

  9. DNS 서버가 라우팅 및 원격 액세스 서버이기도 한 도메인 컨트롤러인 경우 DNS 또는 WINS를 실행하는 라우팅 및 원격 액세스 서버의 이름 확인 및 연결 문제를 참조하세요.

  10. DNS 레코드를 추가, 삭제 또는 수정하는 모든 컴퓨터에서 명령 프롬프트에 ipconfig /flushdns 를 입력한 다음 Enter 키를 누릅니다.

2단계: 클라이언트 컴퓨터 및 멤버 서버에서 서버 메시지 블록 서명 설정 검사

SMB(서버 메시지 블록) 서명 설정은 네트워크의 컴퓨터가 통신에 디지털 서명하는지 여부를 정의합니다. SMB 서명 설정이 올바르게 구성되지 않은 경우 클라이언트 컴퓨터 또는 멤버 서버가 도메인 컨트롤러에 연결하지 못할 수 있습니다.

예를 들어 도메인 컨트롤러에서 SMB 서명이 필요할 수 있지만 클라이언트 컴퓨터에서 SMB 서명을 사용하지 않도록 설정할 수 있습니다. 이 문제가 발생하면 그룹 정책 올바르게 적용할 수 없습니다. 따라서 클라이언트 컴퓨터는 애플리케이션 로그에 사용자 환경(Userenv) 오류를 기록합니다. 경우에 따라 도메인 컨트롤러의 서버 서비스 및 워크스테이션 서비스에 대한 SMB 서명 설정이 서로 충돌할 수 있습니다.

예를 들어 도메인 컨트롤러의 Workstation 서비스에 대해 SMB 서명을 사용하지 않도록 설정할 수 있지만 도메인 컨트롤러의 서버 서비스에는 SMB 서명이 필요합니다. 이 시나리오에서는 서버에 로그온한 경우 도메인 컨트롤러의 로컬 파일 공유 중 하나 이상을 열 수 없습니다. 또한 서버에 로그온한 경우 그룹 정책 스냅인을 열 수 없습니다.
도메인 컨트롤러에서 이 문제를 해결하는 방법에 대한 자세한 내용은 도메인 컨트롤러에서 파일 공유를 열거나 스냅인을 그룹 정책 수 없음을 참조하세요.

클라이언트 컴퓨터 및 멤버 서버에서만 그룹 정책 오류가 발생하거나 도메인 컨트롤러에서 파일 공유 또는 그룹 정책 스냅인을 열 수 없다고 판단되는 경우 계속해서 문제를 해결합니다.

기본적으로 SMB 서명은 사용하도록 설정되지만 Windows XP, Windows 2000 또는 Windows Server 2003을 실행하는 클라이언트 컴퓨터 및 멤버 서버의 클라이언트 통신에는 필요하지 않습니다. 클라이언트 컴퓨터는 가능한 경우 SMB 서명을 사용할 수 있지만 SMB 서명이 사용하지 않도록 설정된 서버와 계속 통신하므로 기본 구성을 사용하는 것이 좋습니다.

SMB 서명이 사용하도록 설정되었지만 필요하지 않도록 클라이언트 컴퓨터 및 멤버 서버를 구성하려면 일부 레지스트리 항목의 값을 변경해야 합니다. 클라이언트 컴퓨터에서 레지스트리를 변경하려면 다음 단계를 수행합니다.

  1. 시작, 실행을 차례로 선택하고 열기 상자에 regedit을 입력한 후 확인을 클릭합니다.
  2. 다음 레지스트리 하위 키를 확장합니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  3. 오른쪽 창에서 enablesecuritysignature를 마우스 오른쪽 단추로 클릭한 다음 수정을 선택합니다.
  4. 값 데이터 상자에 0을 입력한 다음 확인을 선택합니다.
  5. requiresecuritysignature를 마우스 오른쪽 단추로 클릭한 다음 수정을 선택합니다.
  6. 값 데이터 상자에 0을 입력한 다음 확인을 선택합니다.
  7. 다음 레지스트리 하위 키를 확장합니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  8. 오른쪽 창에서 enablesecuritysignature를 마우스 오른쪽 단추로 클릭한 다음 수정을 선택합니다.
  9. 값 데이터 상자에 1을 입력한 다음 확인을 선택합니다.
  10. requiresecuritysignature를 마우스 오른쪽 단추로 클릭한 다음 수정을 선택합니다.
  11. 값 데이터 상자에 0을 입력한 다음 확인을 선택합니다.

레지스트리 값을 변경한 후 서버 및 워크스테이션 서비스를 다시 시작합니다. 그룹 정책이 적용될 수 있고 그룹 정책 설정이 충돌하는 값을 다시 구성할 수 있으므로 컴퓨터를 다시 시작하지 마세요.

레지스트리 값을 변경하고 영향을 받는 컴퓨터에서 서버 및 워크스테이션 서비스를 다시 시작한 후 다음 단계를 수행합니다.

  1. 영향을 받는 컴퓨터 계정에 적용되는 GPO 또는 GPO에 대한 그룹 정책 설정을 봅니다.
  2. 그룹 정책이 필요한 레지스트리 설정과 충돌하지 않는지 확인합니다.
  3. 그룹 정책 개체 편집기 사용하여 다음 폴더의 정책 설정을 봅니다.Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options

Windows Server 2003을 실행하는 컴퓨터에서 SMB 서명 그룹 정책 설정에는 다음 이름이 있습니다.

  • Microsoft 네트워크 서버: 디지털 서명 통신(항상)
  • Microsoft 네트워크 서버: 디지털 서명 통신(클라이언트가 동의하는 경우)
  • Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상)
  • Microsoft 네트워크 클라이언트: 디지털 서명 통신(서버가 동의하는 경우)

Windows 2000 Server를 실행하는 컴퓨터에서 SMB 서명 그룹 정책 설정에는 다음 이름이 있습니다.

  • 서버 통신 디지털 서명(항상)
  • 서버 통신 디지털 서명(가능한 경우)
  • 클라이언트 통신 디지털 서명(항상)
  • 클라이언트 통신에 디지털 서명(가능한 경우)

일반적으로 SMB 서명 그룹 정책 설정은 "정의되지 않음"으로 구성됩니다. SMB 서명 그룹 정책 설정을 정의하는 경우 설정이 네트워크 연결에 미치는 영향을 이해해야 합니다.
SMB 서명 설정에 대한 자세한 내용은 보안 설정 및 사용자 권한 할당을 변경하는 경우 클라이언트, 서비스 및 프로그램 문제가 발생할 수 있습니다를 참조하세요.

Windows 2000 Server를 실행하는 도메인 컨트롤러에서 GPO 설정을 변경하는 경우 다음 단계를 수행합니다.

  1. 명령 프롬프트를 시작합니다. 이렇게 하려면 시작을 선택하고 실행을 선택하고 열기 상자에 cmd를 입력한 다음 확인을 선택합니다.
  2. secedit /refreshpolicy machine_policy /enforce를 입력한 다음 Enter 키를 누릅니다.
  3. 영향을 받는 클라이언트 컴퓨터를 다시 시작합니다.
  4. 클라이언트 컴퓨터의 레지스트리에서 SMB 서명 값을 다시 확인하여 예기치 않게 변경되지 않았는지 확인합니다.

Windows Server 2003을 실행하는 도메인 컨트롤러에서 GPO 설정을 변경하는 경우 다음 단계를 수행합니다.

  1. 명령 프롬프트를 시작합니다. 이렇게 하려면 시작을 선택하고 실행을 선택하고 열기 상자에 cmd를 입력한 다음 확인을 선택합니다.
  2. gpupdate /force를 입력한 다음 Enter 키를 누릅니다.
  3. 영향을 받는 클라이언트 컴퓨터를 다시 시작합니다.
  4. 클라이언트 컴퓨터의 레지스트리에서 SMB 서명 값을 다시 확인하여 예기치 않게 변경되지 않았는지 확인합니다.

클라이언트 컴퓨터를 다시 시작한 후 레지스트리의 SMB 서명 값이 예기치 않게 변경되는 경우 다음 방법 중 하나를 사용하여 클라이언트 컴퓨터에 적용되는 적용된 정책 설정을 확인합니다.

  • Windows XP 기반 컴퓨터에서 정책 MMC 스냅인의 결과 집합(Rsop.msc)을 사용합니다. 결과 정책 집합에 대한 자세한 내용은 결과 정책 집합을 참조하세요.

  • Windows 2000에서 Gpresult.exe 명령줄 도구를 사용하여 그룹 정책 결과를 검사합니다. 이렇게 하려면 다음 단계를 따르세요.

    1. Windows 2000 리소스 키트에서 Gpresult.exe 설치합니다.

    2. 명령 프롬프트에서 gpresult /scope 컴퓨터를 입력한 다음 Enter 키를 누릅니다.

    3. 출력의 적용된 그룹 정책 개체 섹션에서 컴퓨터 계정에 적용되는 그룹 정책 개체를 확인합니다.

    4. 이러한 그룹 정책 개체에 대한 도메인 컨트롤러에 SMB 서명 정책 설정이 있는 컴퓨터 계정에 적용되는 그룹 정책 개체를 비교합니다.

3단계: 모든 컴퓨터에서 TCP/IP NetBIOS 도우미 서비스가 시작되었는지 확인합니다.

네트워크의 모든 컴퓨터는 TCP/IP NetBIOS 도우미 서비스를 실행해야 합니다.

TCP/IP NetBIOS 도우미 서비스가 Windows XP 기반 컴퓨터에서 실행 중인지 확인하려면 다음 단계를 수행합니다.

  1. 시작을 선택한 다음 제어판을 선택합니다.
  2. 제어판 범주 보기에 있는 경우 클래식 보기로 전환을 선택합니다.
  3. 관리 도구를 두 번 클릭합니다.
  4. 서비스를 두 번 클릭합니다.
  5. 서비스 목록에서 TCP/IP NetBIOS 도우미를 선택합니다. 상태 열 아래의 값이 시작되었는지 확인합니다. 시작 유형 열 아래의 값이 자동인지 확인합니다. 상태 또는 시작 유형 값이 올바르지 않으면 다음 단계를 수행합니다.
    1. TCP/IP NetBIOS 도우미를 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.
    2. 시작 유형 목록에서 자동을 선택합니다.
    3. 서비스 상태 영역에서 서비스가 시작되지 않은 경우 시작을 선택합니다.
    4. 확인을 선택합니다.

TCP/IP NetBIOS 도우미 서비스가 Windows Server 2003 기반 컴퓨터에서 실행 중인지 확인하려면 다음 단계를 수행합니다.

  1. 시작을 선택하고 관리 도구를 가리킨 다음 서비스를 선택합니다.
  2. 서비스 목록에서 TCP/IP NetBIOS 도우미를 선택합니다. 상태 열 아래의 값이 시작되었는지 확인합니다. 시작 유형 열 아래의 값이 자동인지 확인합니다. 상태 또는 시작 유형 값이 올바르지 않으면 다음 단계를 수행합니다.
    1. TCP/IP NetBIOS 도우미를 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.
    2. 시작 유형 목록에서 자동을 선택합니다.
    3. 서비스 상태 영역에서 서비스가 시작되지 않은 경우 시작을 선택합니다.
    4. 확인을 선택합니다.

TCP/IP NetBIOS 도우미 서비스가 Windows 2000 기반 컴퓨터에서 실행 중인지 확인하려면 다음 단계를 수행합니다.

  1. 시작을 선택하고 프로그램, 관리 도구를 차례로 가리킨 다음 서비스를 선택합니다.
  2. 서비스 목록에서 TCP/IP NetBIOS 도우미 서비스를 선택합니다. 상태 열 아래의 값이 시작되었는지 확인합니다. 시작 유형 열 아래의 값이 자동인지 확인합니다. 상태 또는 시작 유형 값이 올바르지 않으면 다음 단계를 수행합니다.
    1. TCP/IP NetBIOS 도우미 서비스를 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.
    2. 시작 유형 목록에서 자동을 선택합니다.
    3. 서비스 상태 영역에서 서비스가 시작되지 않은 경우 시작을 선택합니다.
    4. 확인을 선택합니다.

또한 그룹 정책 개체를 사용하여 필요한 시스템 서비스를 하나 이상 사용하지 않도록 설정하지 않았는지 확인합니다. 폴더의 그룹 정책 Object 편집기 사용하여 이러한 정책 설정을 봅니다Computer Configuration/Windows Settings/Security Settings/System Services.

Windows Server 2003 및 Windows XP에서 Rsop.msc(정책 MMC 스냅인의 결과 집합)를 사용하여 컴퓨터에 적용되는 모든 적용된 정책 설정을 검사 수 있습니다. 이렇게 하려면 시작을선택하고 실행을 선택하고 열기 상자에 rsop.msc를 입력한 다음 확인을 선택합니다.

Windows 2000에서 Gpresult.exe 명령줄 도구를 사용하여 그룹 정책 결과를 검사합니다. 이렇게 하려면 다음 단계를 따르세요.

  1. Windows 2000 리소스 키트에서 Gpresult.exe 설치합니다.
  2. 명령 프롬프트에서 gpresult /scope 컴퓨터를 입력한 다음 Enter 키를 누릅니다.
  3. 출력의 적용된 그룹 정책 개체 섹션에서 컴퓨터 계정에 적용되는 그룹 정책 개체를 확인합니다.
  4. 컴퓨터 계정에 적용되는 그룹 정책 개체를 이러한 그룹 정책 개체에 대한 도메인 컨트롤러의 SMB 서명 정책 설정과 비교합니다.

참고

많은 데스크톱에서 TCP/IP NetBIOS 도우미 서비스를 사용하지 않도록 설정한 경우 다음 샘플 Microsoft Visual Basic 스크립트를 사용하여 OU(조직 구성 단위)의 모든 컴퓨터에서 TCP/IP NetBIOS 도우미 서비스를 동시에 시작할 수 있습니다.

Microsoft에서 제공하는 프로그래밍 예제는 예시를 위한 것일 뿐이며 이와 관련하여 명시적이거나 묵시적인 어떠한 보증도 하지 않습니다. 이는 상품성이나 특정 목적에 대한 적합성의 묵시적인 보증을 포함하며 이에 제한되지 않습니다. 이 문서에서는 예제에 사용되고 있는 프로그래밍 언어와 프로시저를 만들고 디버깅하는 데 사용되는 도구를 사용자가 잘 알고 있는 것으로 가정합니다. Microsoft 지원 엔지니어는 특정 프로시저의 기능을 설명하는 데 도움을 줄 수 있지만 특정 요구 사항을 충족하기 위해 추가된 기능 또는 생성 프로시저를 제공하도록 이러한 예제를 수정하지는 않습니다.

Set objDictionary = CreateObject("Scripting.Dictionary") 
i = 0
Set objOU = GetObject("LDAP://OU=Computers, OU=OUName, OU=OUName, DC=OUName,
DC=OUName,DC=CompanyName,
DC=com")
objOU.Filter = Array("Computer")
For Each objComputer In objOU
        objDictionary.Add i, objComputer.CN
        i = i + 1
Next
For Each objItem In objDictionary
        strComputer = objDictionary.Item(objItem)
        Set objWMIService =
GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer &
"\root\cimv2")

        Set colServices = objWMIService.ExecQuery _
                ("Select * from Win32_Service where Name = 'LmHosts'")
        For Each objService In colServices
                If objService.StartMode = "Disabled" Then
                        objService.Change( , , , , "Automatic")
                End If
        Next
Next

4단계: 모든 컴퓨터에서 DFS(분산 파일 시스템)가 사용하도록 설정되어 있는지 확인합니다.

Sysvol 공유는 DFS 볼륨이므로 모든 도메인 컨트롤러는 분산 파일 시스템 서비스를 실행해야 합니다. 또한 DFS 클라이언트는 모든 컴퓨터의 레지스트리에서 사용하도록 설정해야 합니다.

분산 파일 시스템 서비스가 Windows Server 2003 기반 도메인 컨트롤러에서 실행되고 있는지 확인하려면 다음 단계를 수행합니다.

  1. 시작을 선택하고 관리 도구를 가리킨 다음 서비스를 선택합니다.
  2. 서비스 목록에서 분산 파일 시스템 서비스를 선택합니다. 상태 열 아래의 값이 시작되었는지 확인합니다. 시작 유형 열 아래의 값이 자동인지 확인합니다. 상태 또는 시작 유형 값이 올바르지 않으면 다음 단계를 수행합니다.
    1. 분산 파일 시스템을 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.
    2. 시작 유형 목록에서 자동을 선택합니다.
    3. 서비스 상태 영역에서 서비스가 시작되지 않은 경우 시작을 선택합니다.
    4. 확인을 선택합니다.

분산 파일 시스템 서비스가 Windows 2000 서버 기반 도메인 컨트롤러에서 실행되고 있는지 확인하려면 다음 단계를 수행합니다.

  1. 시작을 선택하고 프로그램, 관리 도구를 차례로 가리킨 다음 서비스를 선택합니다.
  2. 서비스 목록에서 분산 파일 시스템 서비스를 선택합니다. 상태 열 아래의 값이 시작되었는지 확인합니다. 시작 유형 열 아래의 값이 자동인지 확인합니다. 상태 또는 시작 유형 값이 올바르지 않으면 다음 단계를 수행합니다.
    1. 분산 파일 시스템을 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.
    2. 시작 유형 목록에서 자동을 선택합니다.
    3. 서비스 상태 영역에서 서비스가 시작되지 않은 경우 시작을 선택합니다.
    4. 확인을 선택합니다.

모든 클라이언트 컴퓨터에서 분산 파일 시스템 클라이언트를 사용하도록 설정하려면 다음 단계를 수행합니다.

  1. 시작, 실행을 차례로 선택하고 열기 상자에 regedit을 입력한 후 확인을 클릭합니다.
  2. 다음 하위 키를 확장합니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup
  3. Mup을 선택한 다음 오른쪽 창에서 DisableDFS라는 DWORD 값 항목을 검색합니다.
  4. DisableDFS 항목이 있고 값 데이터가 1이면 DisableDFS를 두 번 클릭합니다. 값 데이터 상자에 0을 입력한 다음 확인을 선택합니다. DisableDFS 값 데이터가 이미 0이거나 DisableDFS 항목이 없는 경우 변경하지 마세요.
  5. 레지스트리 편집기를 종료합니다.
  6. DisableDFS 값 데이터를 변경한 경우 컴퓨터를 다시 시작합니다.

5단계: Sysvol 폴더의 내용 및 사용 권한 검사

기본적으로 Sysvol 폴더는 폴더에 %systemroot% 있습니다. Sysvol 폴더에는 도메인의 그룹 정책 개체, Sysvol 및 Netlogon 공유 및 FRS(파일 복제 서비스) 스테이징 폴더가 포함됩니다.

Sysvol 폴더 또는 Sysvol 공유에 대한 권한이 너무 제한적이면 그룹 정책을 올바르게 적용할 수 없으며 사용자 환경(Userenv) 오류가 발생합니다. 또한 Sysvol 공유 또는 그룹 정책 개체가 누락된 경우 Userenv 오류가 발생할 수 있습니다.
Sysvol 공유를 사용할 수 있는지 확인하려면 각 도메인 컨트롤러의 명령 프롬프트에서 net share 명령을 실행합니다. 이렇게 하려면 다음 단계를 따르세요.

  1. 시작을 선택하고 실행을 선택하고 열기 상자에 cmd를 입력한 다음 확인을 선택합니다.
  2. net share를 입력한 다음 Enter 키를 누릅니.
  3. 폴더 목록에서 SYSVOLNETLOGON 을 찾습니다.

Sysvol 또는 Netlogon 공유가 하나 이상의 도메인 컨트롤러에서 누락된 경우 문제의 원인을 해결해야 합니다.
Windows 2000 Server에서 누락된 Sysvol 및 Netlogon 공유 문제를 해결하는 방법에 대한 자세한 내용은 Windows 도메인 컨트롤러에서 누락된 SYSVOL 및 NETLOGON 공유 문제 해결을 참조하세요.

Windows Server 2003에서 Sysvol 공유를 다시 빌드하는 방법에 대한 자세한 내용은 도메인에서 SYSVOL 트리 및 해당 콘텐츠를 다시 빌드하는 방법을 참조하세요.

Sysvol 공유를 사용할 수 있는지 확인한 후 Sysvol 폴더, Sysvol 공유 및 Sysvol 폴더가 포함된 볼륨의 루트 폴더가 올바른 권한으로 구성되어 있는지 확인합니다.

또한 Windows 2000 Server에서 모든 사용자 그룹에는 Sysvol 폴더가 포함된 볼륨의 루트 폴더에 대한 모든 권한 권한이 부여되어야 합니다. Windows Server 2003에서 모든 사용자 그룹에는 "이 폴더에만 해당"에 대한 읽기 & 실행 특별 권한이 부여되어야 하며 domain\Users 그룹에는 다음과 같은 표준 권한이 부여되어야 합니다.

  • 읽기 & 실행
  • 폴더 내용 나열
  • 읽기

또한 Windows Server 2003에서 domain\Users 그룹에는 다음과 같은 특별한 권한이 있어야 합니다.

  • "이 폴더, 하위 폴더 및 파일"에 대한 & 실행 권한을 읽습니다.
  • "이 폴더 및 하위 폴더"에 폴더 만들기/데이터 추가 권한
  • "하위 폴더에만 해당"에 대한 파일 만들기/데이터 쓰기 권한

Sysvol 권한을 확인한 후 Sysvol 폴더에 필요한 그룹 정책 개체가 포함되어 있는지 확인합니다. 필요한 그룹 정책 개체를 찾으려면 Windows 2000 또는 Windows Server 2003 리소스 키트의 Gpotool.exe 프로그램을 사용합니다.

옵션 없이 Gpotool.exe 프로그램을 실행하는 경우 도메인의 모든 도메인 컨트롤러에서 모든 그룹 정책 개체를 검색합니다. 스위치를 /checkacl 포함하는 경우 도구는 Sysvol ACL(액세스 제어 목록)도 검색합니다. Gpotool.exe 프로그램을 실행할 때 자세한 출력을 보려면 스위치를 /verbose 사용합니다.

대신 SYSVOL 폴더에서 개별 GPO를 수동으로 확인할 수 있습니다. 예를 들어 Userenv 1058 이벤트의 설명에 GPO 이름이 나열된 경우 SYSVOL 폴더에서 개별 GPO를 수동으로 확인할 수 있습니다. 이 작업을 수행하여 USER 폴더, MACHINE 폴더 및 Gpt.ini 파일이 포함되어 있는지 확인할 수 있습니다. SYSVOL 폴더에서 개별 GPO를 수동으로 확인하려면 다음 단계를 수행합니다.

  1. 명령 프롬프트를 시작합니다. 이렇게 하려면 시작을 선택하고 실행을 선택하고 열기 상자에 cmd를 입력한 다음 확인을 선택합니다.
  2. Time/interactive/next: cmd.exe 입력한 다음 Enter 키를 누릅니다. 여기서 Time은 현재 시간보다 1분 또는 2분 후이며 24시간 형식으로 작성됩니다. 예를 들어 오후 1시 이후 3분은 24시간 형식으로 13:03이 됩니다.
  3. 이전 명령에서 지정한 시간에 새 명령 프롬프트 창이 열립니다. net use j:\\domainname.com\sysvol\domainname.com\Policies\{GUID}를 입력한 다음 Enter 키를 누릅니다. 여기서 GUID 는 Userenv 이벤트 설명에 있는 GPO의 GUID입니다. 예를 들어 Userenv 1058 이벤트 설명에 "파일은 \\Domain_Name.com\sysvol\Domain_Name.com\Policies\{31B2F340-016D-11D2-945F-00C 위치에 <있어야 합니다. 04FB984 F9}\gpt.ini>," 명령에 사용할 GUID는 31B2F340-016D-11D2-945F-00C04FB984F9입니다.
  4. dir j:\*.*를 입력한 다음 Enter 키를 누릅니 .
  5. USER 폴더, MACHINE 폴더 및 Gpt.ini 파일이 I 드라이브의 폴더 목록에 나열되어 있는지 확인합니다. 이러한 폴더와 파일 중 하나가 누락된 경우 네트워크의 컴퓨터는 애플리케이션 로그에 Userenv 오류를 기록할 수 있습니다.

Sysvol 폴더에 하나 이상의 그룹 정책 개체가 없는 경우 Windows Server 2003 기본 그룹 정책 복원 유틸리티(Dcgpofix.exe) 또는 Windows 2000 기본 그룹 정책 복원 도구(Recreatedefpol.exe)를 실행하여 기본 그룹 정책 개체를 다시 만듭니다.

Dcgpofix.exe 프로그램은 Windows Server 2003에 포함되어 있습니다. Dcgpofix.exe 프로그램에 대한 자세한 내용은 명령 프롬프트에서 명령을 실행 dcgpofix /? 합니다.

바이러스 백신 소프트웨어로 Sysvol 드라이브를 검사할 때 권장되는 제외를 설정해야 합니다. 바이러스 백신 소프트웨어를 사용하여 스캔하면 Gpt.ini 파일과 같은 필요한 파일에 대한 액세스를 차단할 수 있습니다. 모든 실시간, 예약 및 수동 바이러스 백신 검사에 대해 이러한 제외를 구성해야 합니다.

6단계: 바이패스 트래버스 확인 권한이 필요한 그룹에 부여되었는지 확인합니다.

바이패스 트래버스 확인 권한은 도메인 컨트롤러의 다음 그룹에 부여되어야 합니다.

  • 관리자
  • Authenticated Users
  • 모든 사용자
  • Windows 2000 이전 호환 액세스

Windows Server 2003 기반 도메인 컨트롤러에서 바이패스 트래버스 확인 권한이 부여되었는지 확인하려면 다음 단계를 수행합니다.

  1. 시작을 선택하고 관리 도구를 가리킨 다음 도메인 컨트롤러 보안 정책을 선택합니다.
  2. 로컬 정책을 확장한 다음, 사용자 권한 할당을 선택합니다.
  3. 트래버스 검사 무시를 두 번 클릭합니다.
  4. 이러한 정책 설정 정의 검사 상자를 클릭하여 선택합니다.
  5. 이 정책 설정에 대해 관리자, 인증된 사용자, 모든 사용자 및 Windows 2000 이전 호환 액세스 그룹이 나열되어 있는지 확인합니다. 이러한 그룹이 누락된 경우 다음 단계를 수행합니다.
    1. 사용자 또는 그룹 추가를 선택합니다.
    2. 사용자 및 그룹 이름 상자에 누락된 그룹의 이름을 입력한 다음 확인을 선택합니다.
  6. 확인을 선택하여 정책 설정을 닫습니다.
  7. 명령 프롬프트를 시작합니다. 이렇게 하려면 시작을 선택하고 실행을 선택하고 열기 상자에 cmd를 입력한 다음 확인을 선택합니다.
  8. gpupdate /force를 입력한 다음 Enter 키를 누릅니다.

Windows 2000 서버 기반 도메인 컨트롤러에서 바이패스 트래버스 확인 권한이 부여되었는지 확인하려면 다음 단계를 수행합니다.

  1. 시작을 선택하고 프로그램, 관리 도구를 차례로 가리킨 다음 도메인 컨트롤러 보안 정책을 선택합니다.
  2. 보안 설정을 확장하고 로컬 정책을 확장한 다음 사용자 권한 할당을 선택합니다.
  3. 트래버스 검사 무시를 두 번 클릭합니다.
  4. 이러한 정책 설정 정의 검사 상자를 클릭하여 선택합니다.
  5. 이 정책 설정에 대해 관리자, 인증된 사용자, 모든 사용자 및 Windows 2000 이전 호환 액세스 그룹이 나열되어 있는지 확인합니다. 이러한 그룹 중 하나가 누락된 경우 다음 단계를 수행합니다.
    1. 추가를 선택합니다.
    2. 사용자 및 그룹 이름 상자에 누락된 그룹의 이름을 입력한 다음 확인을 선택합니다.
  6. 확인을 선택하여 정책 설정을 닫습니다.
  7. 명령 프롬프트를 시작합니다. 이렇게 하려면 시작을 선택하고 실행을 선택하고 열기 상자에 cmd를 입력한 다음 확인을 선택합니다.
  8. secedit /refreshpolicy machine_policy /enforce를 입력한 다음, 선택을 누릅니다.

7단계: 도메인 컨트롤러가 저널 래핑 상태가 아닌지 확인

도메인 컨트롤러가 저널 래핑 상태인지 확인하려면 이벤트 뷰어 파일 복제 서비스 로그를 보고 NTFRS 이벤트 ID 13568을 검색합니다. 이벤트 ID 13568은 다음 이벤트 ID와 유사합니다.
NTFRS 이벤트 ID 13568이 도메인 컨트롤러에 로그온된 경우 저널 래핑 오류 문제를 해결하는 방법에 대한 자세한 내용은 Sysvol 및 DFS 복제본(replica) 집합의 journal_wrap 오류를 해결하는 방법을 참조하세요.

8단계: Dfsutil /PurgeMupCache 명령 실행

스위치를 사용하여 Dfsutil.exe 프로그램을 /PurgeMupCache 실행하여 로컬 DFS/MUP 캐시된 정보를 플러시합니다. Dfsutil.exe 프로그램은 Windows 2000 서버 지원 도구 및 Windows Server 2003 지원 도구에 포함되어 있습니다.