Windows Server Active Directory 포리스트에 남아 있는 개체에 대한 정보

아티클
02/19/2024

이 문서에서는 Windows Server Active Directory 포리스트에 남아 있는 개체에 대한 몇 가지 정보를 제공합니다.

적용 대상: Windows Server 2012 R2
원본 KB 번호: 910205

요약

이 문서에는 Active Directory 포리스트의 느린 개체에 대한 정보가 포함되어 있습니다. 특히 이 문서에서는 느린 개체의 존재, 느린 개체의 원인 및 느린 개체를 제거하는 데 사용할 수 있는 메서드를 나타내는 이벤트를 설명합니다.

소개

도메인 컨트롤러가 TSL(삭제 표시 수명)보다 긴 시간 간격 동안 복제하지 않는 경우 느린 개체가 발생할 수 있습니다. 그런 다음 도메인 컨트롤러가 복제 토폴로지로 다시 연결됩니다. 도메인 컨트롤러가 오프라인일 때 Active Directory 디렉터리 서비스에서 삭제된 개체는 느린 개체로 도메인 컨트롤러에 남아 있을 수 있습니다. 이 문서에는 느린 개체의 존재, 느린 개체의 원인 및 느린 개체를 제거하는 데 사용할 수 있는 메서드를 나타내는 이벤트에 대한 자세한 정보가 포함되어 있습니다.

추가 정보

삭제 표시 수명 및 삭제 복제

개체가 삭제되면 Active Directory는 삭제를 삭제 표시 개체로 복제합니다. 삭제 표시 개체는 삭제된 개체의 특성에 대한 작은 하위 집합으로 구성됩니다. 이 개체를 인바운드 복제하여 도메인 및 포리스트의 다른 도메인 컨트롤러는 삭제에 대한 정보를 받습니다. 삭제 표시는 지정된 기간 동안 Active Directory에 유지됩니다. 이 지정된 기간을 TSL이라고 합니다. TSL의 끝에 삭제 표시 개체가 영구적으로 삭제됩니다.

TSL의 기본값은 포리스트에 설치된 첫 번째 도메인 컨트롤러에서 실행되는 운영 체제의 버전에 따라 달라집니다. 다음 표에서는 다양한 Windows 운영 체제에 대한 기본 TSL 값을 나타냅니다.

포리스트 루트의 첫 번째 도메인 컨트롤러	기본 삭제 표시 수명
Windows 2000	60일
Windows Server 2003	60일
Windows Server 2003 서비스 팩 1	180일

참고

도메인 컨트롤러가 SP1(서비스 팩 1)을 사용하여 Windows Server 2003으로 업그레이드될 때 기존 TSL 값은 변경되지 않습니다. 기존 TSL 값은 수동으로 변경할 때까지 유지 관리됩니다.

삭제 표시가 영구적으로 삭제된 후에는 개체 삭제를 더 이상 복제할 수 없습니다. TSL은 포리스트의 도메인 컨트롤러가 삭제된 개체에 대한 정보를 유지하는 기간을 정의합니다. 또한 TSL은 원래 도메인 컨트롤러의 모든 직접 및 전이적 복제 파트너가 고유한 삭제를 받아야 하는 시간을 정의합니다.

느린 개체 발생 방법

TSL보다 긴 기간 동안 도메인 컨트롤러의 연결이 끊어진 경우 다른 모든 도메인 컨트롤러의 Active Directory에서 삭제된 하나 이상의 개체가 연결이 끊긴 도메인 컨트롤러에 남아 있을 수 있습니다. 이러한 개체를 느린 개체라고 합니다. 삭제 표시가 활성 상태인 동안 도메인 컨트롤러가 오프라인 상태이므로 도메인 컨트롤러는 삭제 표시 복제를 수신하지 않습니다.

이 도메인 컨트롤러가 복제 토폴로지에 다시 연결되면 대상 파트너에 없는 개체가 있는 원본 복제 파트너 역할을 합니다.

복제 문제는 원본 도메인 컨트롤러의 개체가 업데이트될 때 발생합니다. 이 경우 대상 파트너가 업데이트를 인바운드 복제하려고 하면 대상 도메인 컨트롤러는 다음 두 가지 방법 중 하나로 응답합니다.

대상 도메인 컨트롤러에 엄격한 복제 일관성이 사용하도록 설정된 경우 컨트롤러는 개체를 업데이트할 수 없음을 인식합니다. 컨트롤러는 원본 도메인 컨트롤러에서 디렉터리 파티션의 인바운드 복제를 로컬로 중지합니다.
대상 도메인 컨트롤러에 엄격한 복제 일관성을 사용하지 않도록 설정한 경우 컨트롤러는 업데이트된 개체의 전체 복제본(replica) 요청합니다. 이 경우 개체가 디렉터리에 다시 도입됩니다.

긴 연결 끊김의 원인

다음 조건으로 인해 연결이 끊어질 수 있습니다.

도메인 컨트롤러가 네트워크에서 연결이 끊어지고 스토리지에 저장됩니다.
미리 준비된 도메인 컨트롤러를 원격 위치로 배송하는 데 TSL보다 오래 걸립니다.
WAN(광역 네트워크) 연결은 장기간 사용할 수 없습니다. 예를 들어, 유람선에 탑승한 도메인 컨트롤러는 선박이 TSL보다 더 오래 바다에 있기 때문에 복제하지 못할 수 있습니다.
관리자가 삭제된 개체의 가비지 수집을 강제하도록 TSL을 단축했기 때문에 보고된 이벤트는 가양성입니다.
보고된 이벤트는 원본 또는 대상 도메인 컨트롤러의 시스템 클록이 잘못 고급 또는 롤백되었기 때문에 가양성입니다. 시스템 다시 시작 후 클록 기울이기 가 가장 일반적입니다. 클록 오차는 다음과 같은 이유로 발생할 수 있습니다.
- 시스템 클록 배터리 또는 마더보드에 문제가 있습니다.
- 컴퓨터의 시간 원본이 잘못 구성되었습니다. 여기에는 Windows 시간 서비스(W32Time)를 사용하거나, 타사 시간 서버를 사용하거나, 네트워크 라우터를 사용하여 구성된 시간 원본 서버가 포함됩니다.
- 관리자는 시스템 상태 백업의 유용한 수명을 연장하거나 삭제된 개체의 가비지 수집을 가속화하기 위해 시스템 클록을 진행하거나 롤백합니다. 시스템 클록이 실제 시간을 반영하는지 확인합니다. 또한 이벤트 로그에 향후 또는 과거의 잘못된 이벤트가 포함되어 있지 않은지 확인합니다.

도메인 컨트롤러에 느린 개체가 있음을 나타냅니다.

오래된 도메인 컨트롤러는 다음 조건이 true일 때 눈에 띄는 효과 없이 느린 개체를 저장할 수 있습니다.

관리자, 애플리케이션 또는 서비스는 느린 개체를 업데이트하지 않습니다.
관리자, 애플리케이션 또는 서비스는 도메인에서 이름이 같은 개체를 만들려고 하지 않습니다.
관리자, 애플리케이션 또는 서비스는 포리스트에서 동일한 UPN(사용자 계정 이름)을 사용하여 개체를 만들려고 하지 않습니다.

눈에 띄는 효과가 없더라도 느린 개체가 있으면 문제가 발생할 수 있습니다. 이러한 문제는 느린 개체가 보안 주체인 경우 발생할 가능성이 높습니다.

느린 개체가 포리스트에 있을 수 있음을 나타내는 이벤트

이벤트 ID	일반 설명
1862	로컬 도메인 컨트롤러가 최근에 여러 도메인 컨트롤러(사이트 간)로부터 복제 정보를 받지 못했습니다.
1863	로컬 도메인 컨트롤러가 최근에 여러 도메인 컨트롤러(사이트 간)로부터 복제 정보를 받지 못했습니다.
1864	로컬 도메인 컨트롤러가 최근에 여러 도메인 컨트롤러로부터 복제 정보를 받지 못했습니다(요약).
1311	KCC(지식 일관성 검사기)가 스패닝 트리 토폴로지를 빌드할 수 없습니다.
2042	이 서버가 명명된 원본 서버와 마지막으로 복제된 지 너무 오래되었습니다.

느린 개체가 포리스트에 있음을 나타내는 이벤트

이벤트 ID	일반 설명
1084	서버에는 이러한 개체가 없습니다.
1388	이 대상 시스템은 로컬에 있어야 하지만 그렇지 않은 개체에 대한 업데이트를 받았습니다.
1311	다른 도메인 컨트롤러는 이 도메인 컨트롤러에 없는 개체를 복제했습니다.

참고

느린 개체는 이벤트 ID 1988을 기록하는 도메인 컨트롤러에 없습니다. 원본 도메인 컨트롤러에는 느린 개체가 포함됩니다.

느린 개체가 포리스트에 있음을 나타내는 Repadmin 오류

이벤트 ID	일반 설명
8240	서버에는 이러한 개체가 없습니다.
8606	개체를 만들기 위한 특성이 부족했습니다.

포리스트에 남아 있는 개체가 있다는 기타 표시

삭제된 사용자 또는 그룹 계정은 Microsoft Exchange Server 실행 중인 서버의 GAL(전역 주소 목록)에 남아 있습니다. 따라서 계정 이름이 GAL에 표시되지만 사용자가 전자 메일 메시지를 보내려고 할 때 오류가 발생합니다.
개체의 여러 복사본이 포리스트에서 고유해야 하는 개체의 개체 선택기 또는 GAL에 표시됩니다. 경우에 따라 이름이 변경된 중복 개체가 표시됩니다. 이러한 중복 개체는 디렉터리 검색에 혼동을 일으킵니다. 예를 들어 두 개체의 상대 고유 이름을 확인할 수 없는 경우 충돌 해결은 이름에 CNF:GUID 를 추가합니다. 이 예제에서 는 * 예약된 문자를 나타내고 , CNF 는 충돌 해결을 나타내는 상수이며 GUID 는 objectGUID 특성 값을 나타냅니다.
전자 메일 메시지는 Active Directory 계정이 최신인 것처럼 보이는 사용자에게 배달되지 않습니다. 오래된 도메인 컨트롤러 또는 글로벌 카탈로그 서버가 다시 연결되면 사용자 개체의 두 인스턴스가 모두 글로벌 카탈로그에 표시됩니다. 두 개체 모두 전자 메일 주소가 같으므로 전자 메일 메시지를 배달할 수 없습니다.
더 이상 존재하지 않는 범용 그룹은 사용자의 액세스 토큰에 계속 표시됩니다. 그룹이 더 이상 존재하지 않지만 사용자 계정에 여전히 보안 토큰에 그룹이 있는 경우 사용자는 해당 사용자가 사용할 수 없는 리소스에 액세스할 수 있습니다.
새 개체 또는 Exchange 사서함을 만들 수 없습니다. 그러나 Active Directory에는 개체가 표시되지 않습니다. 오류 메시지는 개체가 이미 있음을 보고합니다.
기존 개체의 특성을 사용하는 검색에서 동일한 이름의 개체 복사본을 여러 권 잘못 찾을 수 있습니다. 도메인에서 하나의 개체가 삭제되었습니다. 그러나 해당 개체는 격리된 글로벌 카탈로그 서버에 남아 있습니다.

쓰기 가능한 디렉터리 파티션에 있는 느린 개체를 업데이트하려고 하면 이벤트가 대상 도메인 컨트롤러에 기록됩니다. 그러나 느린 개체의 유일한 버전이 전역 카탈로그 서버의 읽기 전용 디렉터리 파티션에 있는 경우 개체를 업데이트할 수 없습니다. 따라서 이러한 종류의 이벤트는 트리거되지 않습니다.

포리스트에서 느린 개체 제거

Windows 2000 기반 포리스트

Windows 2000 기반 도메인에서 느린 개체를 제거하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 확인합니다.

오래된 글로벌 카탈로그 서버를 다시 온라인 상태로 만든 후에도 314282 느린 개체가 남아 있을 수 있습니다.

Windows Server 2003 기반 포리스트

자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.

892777 Windows Server 2003 서비스 팩 1 지원 도구

느린 개체 방지

다음은 느린 개체를 방지하는 데 사용할 수 있는 메서드입니다.

방법 1: 엄격한 복제 일관성 레지스트리 항목 사용

의심되는 개체가 격리되도록 엄격한 복제 일관성 레지스트리 항목을 사용하도록 설정할 수 있습니다. 그런 다음, 관리에서 이러한 개체를 포리스트 전체에 퍼뜨리기 전에 제거할 수 있습니다.

쓰기 가능한 느린 개체가 사용자 환경에 있고 개체를 업데이트하려고 하면 엄격한 복제 일관성 레지스트리 항목의 값에 따라 복제가 진행되는지 아니면 중지되는지가 결정됩니다. 엄격한 복제 일관성 레지스트리 항목은 다음 레지스트리 하위 키에 있습니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
이 항목의 데이터 형식은 REG_DWORD. 값을 1로 설정하면 항목이 활성화됩니다. 원본에서 지정된 디렉터리 파티션의 인바운드 복제가 대상에서 중지됩니다. 값을 0으로 설정하면 항목이 비활성화됩니다. 대상은 원본 도메인 컨트롤러에서 전체 개체를 요청합니다. 느린 개체는 디렉터리에서 새 개체로 부활합니다.

엄격한 복제 일관성 레지스트리 항목의 기본값은 도메인 컨트롤러가 포리스트에 설치된 조건에 따라 결정됩니다.

참고

도메인 또는 포리스트의 기능 수준을 높이면 도메인 컨트롤러의 복제 일관성 설정이 변경되지 않습니다.

기본적으로 포리스트에 설치된 도메인 컨트롤러의 엄격한 복제 일관성 레지스트리 항목 값은 다음 조건이 충족되면 1(사용)입니다.

Windows Server 2003 버전의 Winnt32.exe Windows NT 4.0 PDC(기본 도메인 컨트롤러)를 Windows Server 2003으로 업그레이드하는 데 사용됩니다. 이 컴퓨터는 새 포리스트의 포리스트 루트 도메인을 만듭니다.
Active Directory는 Windows Server 2003을 실행하는 서버에 설치됩니다. 이 컴퓨터는 새 포리스트의 포리스트 루트 도메인을 만듭니다.

기본적으로 도메인 컨트롤러의 엄격한 복제 일관성 레지스트리 항목 값은 다음 조건이 충족되면 0(사용 안 함)입니다.

Windows 2000 기반 도메인 컨트롤러는 Windows Server 2003으로 업그레이드됩니다.
Active Directory는 Windows 2000 기반 포리스트의 Windows Server 2003 기반 멤버 서버에 설치됩니다.

WINDOWS Server 2003 SP1을 실행하는 도메인 컨트롤러가 있는 경우 엄격한 복제 일관성 레지스트리 항목의 값을 설정하도록 레지스트리를 수정할 필요가 없습니다. 대신 Repadmin.exe 도구를 사용하여 포리스트의 도메인 컨트롤러 하나 또는 포리스트의 모든 도메인 컨트롤러에 대해 이 값을 설정할 수 있습니다.

Repadmin.exe 사용하여 엄격한 복제 일관성을 설정하는 방법에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하세요.
https://technet.microsoft.com/library/cc780362(WS.10).aspx

방법 2: 명령줄 명령을 사용하여 복제 모니터링

명령을 사용하여 복제를 repadmin /showrepl 모니터링하려면 다음 단계를 수행합니다.

시작, 실행을 차례로 클릭하고 cmd를 입력한 다음 확인을 클릭합니다.
repadmin /showrepl * /csv >showrepl.csv을(를) 입력한 다음 Enter 키를 누릅니다.
Microsoft Excel에서 Showrepl.csv 파일을 엽니다.
A + RPC 열과 SMTP 열을 선택합니다.
편집 메뉴에서 삭제를 클릭합니다.
열 머리글 바로 아래에 있는 행을 선택합니다.
Windows 메뉴에서 틀 고정을 클릭합니다.
전체 스프레드시트를 선택합니다.
데이터 메뉴에서 필터를 가리킨 다음 자동 필터를 클릭합니다.
Last Success 열의 제목에서 아래쪽 화살표를 클릭한 다음 오름차순 정렬을 클릭합니다.
src DC 열의 제목에서 아래쪽 화살표를 클릭한 다음 사용자 지정을 클릭합니다.
사용자 지정 자동 필터 대화 상자에서 클릭에 포함되지 않습니다.
오른쪽에 있는 상자에 del을 입력합니다.

참고

이 단계에서는 삭제된 도메인 컨트롤러가 결과에 나타나지 않도록 방지합니다.
마지막 실패 열의 제목에서 아래쪽 화살표를 클릭한 다음 사용자 지정을 클릭합니다.
사용자 지정 자동 필터 대화 상자에서 클릭이 같지 않습니다.
오른쪽 상자가 같지 않으면 0을 입력합니다.
표시되는 복제 오류를 해결합니다.

방법 3: 도메인 컨트롤러 제거

TSL이 만료되기 전에 포리스트에서 실패한 도메인 컨트롤러를 제거할 수 있습니다.

방법 4: TSL 늘리기

Windows 2000 Server

Adsiedit 도구를 사용하여 TSL을 180일로 늘입니다. 이렇게 하려면 다음 단계를 따르세요.

Adsiedit 도구에서 ConfigurationDomainControllerName, CN=Configuration, DC=ForestRootDomain, CN=Services, CN=Windows NT 차례로 확장하고 CN=Directory Service를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
특성 탭 을 클릭합니다.
볼 속성 선택 목록에서 선택 항목을 클릭합니다.
볼 속성 선택 목록에서 TombstoneLifetime을 클릭합니다.
특성 편집 상자에 180을 입력하고 설정을 클릭한 다음 확인을 클릭합니다. Windows Server 2003