Active Directory 복제 오류 8456 또는 8457: 원본 | 대상 서버가 현재 복제 요청을 거부함

  • 아티클

이 문서에서는 오류 8456 또는 8457로 인해 Active Directory 작업이 실패하는 상황에 대한 증상, 원인 및 해결 단계를 설명합니다.

적용 대상: Windows Server(지원되는 모든 버전)
원본 KB 번호: 2023007

참고

홈 사용자: 이 문서는 기술 지원 에이전트 및 IT 전문가만을 위한 것입니다. 문제에 대한 도움을 찾고 있는 경우 Microsoft 커뮤니티에 문의하세요.

증상

8456 또는 8457 오류로 Active Directory 작업이 실패합니다. 원본 | 대상 서버는 현재 복제 요청을 거부합니다.

  1. 기존 포리스트에서 새 도메인 컨트롤러의 DCPROMO 승격은 오류와 함께 실패합니다. 원본 서버는 현재 복제 요청을 거부합니다.

    대화 상자 제목 텍스트: Active Directory 설치 마법사 대화 상자 메시지 텍스트:

    Active Directory가 디렉터리 파티션 디렉터리 파티션 <DN 경로> 의 나머지 데이터를 도메인 컨트롤러 <대상 DC>로 전송할 수 없기 때문에 작업이 실패했습니다. "원본 서버가 현재 복제 요청을 거부합니다."

  2. DCDIAG는 오류를 보고합니다. 원본 서버가 현재 복제 요청을 거부 하거나 대상 서버가 현재 복제 요청을 거부합니다.

    테스트 서버: Default-First-Site-Name<DC NAME>
    테스트 시작: 복제
    * 복제 확인
    [복제 확인,<DC NAME>] 최근 복제 시도가 실패했습니다.
    IADOMINO에서 DC NAME으로 <>
    명명 컨텍스트: 파티션의 DC=<DN 경로>
    복제로 인해 오류가 발생했습니다(8456).
    원본 서버는 현재 복제 요청을 거부합니다.
    날짜><시간에 <>오류가 발생했습니다.
    마지막 성공이 날짜><시간에 <>발생했습니다.
    마지막 성공 이후 957개의 실패가 발생했습니다.
    서버 옵션을 통해 복제를 명시적으로 사용하지 않도록 설정했습니다.

    테스트 서버: Default-First-Site-Name<DC NAME>
    테스트 시작: 복제
    * 복제 확인
    [복제 확인,<DC NAME>] 최근 복제 시도가 실패했습니다.
    IADOMINO에서 DC NAME으로 <>
    명명 컨텍스트: 파티션의 DC=<DN 경로>
    복제로 인해 오류가 발생했습니다(8457).
    대상 서버는 현재 복제 요청을 거부합니다.
    날짜><시간에 <>오류가 발생했습니다.
    마지막 성공이 날짜><시간에 <>발생했습니다.
    마지막 성공 이후 957개의 실패가 발생했습니다.
    서버 옵션을 통해 복제를 명시적으로 사용하지 않도록 설정했습니다.

  3. REPADMIN은 들어오는 Active Directory 및 나가는 Active Directory 복제가 오류와 함께 실패할 수 있음을 나타냅니다. 원본 | 대상 서버는 현재 복제를 거부합니다.

    DC=Contoso,DC=COM
    <RPC를 통한 사이트 이름><dc 이름>
    DC 개체 GUID: <원본 DC NTDS 설정 개체의 objectguid>
    마지막 시도 @ <날짜><시간이> 실패했습니다. 결과 8457(0x2109):
    대상 서버는 현재 복제 요청을 거부합니다.

    DC=Contoso,DC=COM
    <RPC를 통한 사이트 이름><dc 이름>
    DC 개체 GUID: <원본 DC NTDS 설정 개체의 objectguid>
    마지막 시도 @ <날짜><시간이> 실패했습니다. 결과 8456(0x2108):
    원본 서버는 현재 복제 요청을 거부합니다.

    참고

    REPADMIN 명령은 현재 거부되는 복제 오류에 해당하는 16진수와 10진수를 모두 표시할 수 있습니다.

  4. USN 롤백이 발생했음을 나타내는 이벤트 원본 및 이벤트 ID는 포함되지만 다음으로 제한되지는 않습니다.

    이벤트 원본 이벤트 ID 이벤트 문자열
    NTDS KCC 1308 KCC(지식 일관성 검사기)는 다음 도메인 컨트롤러를 사용하여 연속 복제 시도가 지속적으로 실패한 것을 발견했습니다.
    NTDS KCC 1925 다음 쓰기 가능한 디렉터리 파티션에 대한 복제 링크를 설정하지 못했습니다.
    NTDS KCC 1926 다음 매개 변수를 사용하여 읽기 전용 디렉터리 파티션에 대한 복제 링크를 설정하지 못했습니다.
    NTDS 복제 1586 PDC 에뮬레이터 master Windows NT 4.0 이전 복제 검사점이 실패했습니다. PDC 에뮬레이터 master 역할이 다음 성공적인 검사점 이전에 로컬 도메인 컨트롤러로 전송되는 경우 SAM(보안 계정 관리자) 데이터베이스를 Windows NT 4.0 이하를 실행하는 도메인 컨트롤러와 완전히 동기화할 수 있습니다. 검사점 프로세스는 4시간 후에 다시 시도됩니다.
    NTDS 복제 2023 로컬 도메인 컨트롤러가 다음 디렉터리 파티션에 대해 다음 원격 도메인 컨트롤러에 변경 내용을 복제할 수 없습니다.
    Microsoft-Windows-ActiveDirectory_DomainService 2095 Active Directory Domain Services 복제 요청 중에 DC(로컬 도메인 컨트롤러)는 이미 승인된 USN 추적 번호를 사용하여 로컬 DC에서 복제 데이터를 받은 원격 DC를 식별했습니다.
    Microsoft-Windows-ActiveDirectory_DomainService 2103 Active Directory Domain Services 데이터베이스는 지원되지 않는 복원 절차를 사용하여 복원되었습니다. 이 조건이 지속되는 동안 Active Directory Domain Services 사용자를 로그온할 수 없습니다. 따라서 Net Logon 서비스가 일시 중지되었습니다.

    포함된 상태 코드 8456 및 8457은 다음과 같습니다.

    10진수 오류 16진수 오류 오류 문자열
    8456 2108 원본 서버가 현재 복제를 거부하고 있습니다.
    8457 2109 대상 서버가 현재 복제를 거부하고 있습니다.

  5. NTDS 일반 이벤트 2013은 Directory Services 이벤트 로그에 기록될 수 있습니다. 이는 Active Directory 데이터베이스의 지원되지 않는 롤백 또는 복원으로 인해 USN 롤백이 발생했음을 나타냅니다.

    이벤트 유형: 오류
    이벤트 원본: NTDS 일반
    이벤트 범주: 서비스 제어
    이벤트 ID: 2103
    날짜: <날짜>
    시간: <시간>
    사용자: <사용자 이름>
    컴퓨터: <컴퓨터 이름>
    설명: 지원되지 않는 복원 절차를 사용하여 Active Directory 데이터베이스를 복원했습니다. 이 조건이 지속되는 동안 Active Directory에서 사용자를 로그온할 수 없습니다. 결과적으로 Net Logon 서비스가 일시 중지되었습니다. 사용자 작업 자세한 내용은 이전 이벤트 로그를 참조하세요. 자세한 내용은 의 도움말 및 지원 센터를 참조하세요 https://support.microsoft.com.

  6. NTDS 일반 이벤트 1393은 Directory Services 이벤트 로그에 기록될 수 있습니다. 이는 Active Directory 데이터베이스 또는 로그 파일을 호스팅하는 물리적 또는 가상 드라이브에 충분한 사용 가능한 디스크 공간이 없음을 나타냅니다.

    이벤트 유형: 오류
    이벤트 원본: NTDS 일반
    이벤트 범주: 서비스 제어
    이벤트 ID: 1393
    날짜: <날짜>
    시간: <시간>
    사용자: <사용자 이름>
    컴퓨터: <컴퓨터 이름> 설명:
    디렉터리 서비스 데이터베이스를 업데이트하려는 시도가 오류 112로 실패합니다. 이 조건이 지속되는 동안 Windows에서 사용자를 로그온할 수 없으므로 NetLogon 서비스가 일시 중지됩니다. M은 디렉터리 데이터베이스 및 로그 파일이 있는 드라이브에서 충분한 사용 가능한 디스크 공간을 사용할 수 있는지 확인합니다.

원인

여러 근본 원인으로 인해 운영 체제에서 들어오거나 나가는 복제를 자동으로 사용하지 않도록 설정했습니다.

인바운드 또는 아웃바운드 복제를 사용하지 않도록 설정하는 세 가지 이벤트는 다음과 같습니다.

  • USN 롤백이 발생했습니다(NTDS 일반 이벤트 2103).
  • 하드 디스크가 가득 찼습니다(NTDS 일반 이벤트 1393).
  • 손상된 UTD 벡터가 있습니다(이벤트 2881).

운영 체제는 세 가지 조건 중 하나가 발생할 때 자동으로 네 가지 구성을 변경합니다. 네 가지 구성 변경 내용은 다음과 같습니다.

  1. 들어오는 Active Directory 복제를 사용할 수 없습니다.
  2. 나가는 Active Directory 복제를 사용할 수 없습니다.
  3. 쓰기 불가능 DSA 는 레지스트리에서 0이 아닌 값으로 설정됩니다.
  4. NETLOGON 서비스 상태 실행 중에서 일시 중지됨으로 변경됩니다.

이 오류 조건의 주요 근본 원인은 USN 롤백이 발생할 때 Windows Server 도메인 컨트롤러 로그 Directory Services 이벤트 2095에서 설명하는 USN 롤백입니다.

DSA에 대한 0이 아닌 값이 쓰기 가능하지 않거나 원본 또는 대상 서버가 현재 DCPROMO/AD 복제 중에 복제 요청을 거부한다고 가정하지 마십시오. 이는 USN 롤백이 발생했으며 이러한 도메인 컨트롤러가 암시적으로 강제 강등되거나 강제로 다시 변환되어야 한다는 것을 의미합니다. 올바른 옵션을 강등합니다. 그러나 사용 가능한 디스크 공간이 부족하여 오류가 발생하는 경우 과도할 수 있습니다.

해결 방법

  1. 쓸 수 없는 DSA의 값을 확인합니다.

    8456 또는 8457 오류를 로깅하는 각 도메인 컨트롤러에 대해 로컬 레지스트리에서 "DSA를 쓸 수 없음" 값을 읽어 세 개의 트리거 이벤트 중 하나가 자동으로 들어오거나 나가는 Active Directory 복제를 사용하지 않도록 설정할지 여부를 결정합니다.

    복제를 자동으로 사용하지 않도록 설정하면 운영 체제는 가능한 4가지 값 중 하나를 쓸 수 없는 DSA에 씁니다.

    • 경로: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
    • 설정: DSA를 쓸 수 없음
    • 형식: Reg_dword
    • 값:
      • #define DSA_WRITABLE_GEN 1
      • #define DSA_WRITABLE_NO_SPACE 2
      • #define DSA_WRITABLE_USNROLLBCK 4
      • #define DSA_WRITABLE_CORRUPT_UTDV 8

    포리스트 버전이 OS와 호환되지 않는 경우에만 값 1을 작성할 수 있습니다(예: W2K DC는 Windows Server 2003 포리스트 기능 수준 포리스트 등으로 승격됨).

    값이 2이면 Active Directory 데이터베이스 또는 로그 파일을 호스트하는 실제 또는 가상 드라이브에 충분한 사용 가능한 디스크 공간이 부족합니다.

    값이 4이면 Active Directory 데이터베이스가 시간에 잘못 롤백되었기 때문에 USN 롤백이 발생했음을 의미합니다. USN 롤백을 유발하는 것으로 알려진 작업에는 다음이 포함됩니다.

    • Hyper-V 또는 VMWARE 호스트에서 도메인 컨트롤러 역할 컴퓨터의 이전에 저장된 가상 머신 스냅샷에서 부팅합니다.
    • 둘 이상의 도메인 컨트롤러를 포함하는 포리스트에서 잘못된 P2V(물리적-가상) 변환입니다.
    • Ghost와 같은 이미징 제품을 사용하여 DC 역할 컴퓨터 복원
    • 고급 디스크 하위 시스템을 사용하여 Active Directory 데이터베이스를 호스트하는 파티션의 콘텐츠를 다시 롤백합니다.

    값이 8이면 로컬 DC에서 최신 벡터가 손상되었음을 나타냅니다.

    기술적으로 작성할 수 없는 DSA는 여러 값으로 구성됩니다. 예를 들어 레지스트리 값이 10이면 디스크 공간이 부족하고 UTD가 손상되었음을 나타냅니다. 일반적으로 단일 값은 쓸 수 없는 DSA에 기록됩니다.

    참고

    지원 전문가 및 관리자는 나가는 복제를 사용하도록 설정하고, 들어오는 복제를 사용하도록 설정하고, NETLOGON 서비스의 시작 값을 비활성화에서 자동으로 변경하고, NETLOGON 서비스를 시작하여 복제 격리를 부분적으로 사용하지 않도록 설정하는 것이 일반적입니다. 따라서 전체 격리 구성이 검사될 때 배치되지 않을 수 있습니다.

  2. 디렉터리 서비스 이벤트 로그에서 격리 이벤트를 확인합니다.

    Directory Service 이벤트 로그가 래핑되지 않았다고 가정하면 8456 또는 8457 오류를 기록하는 도메인 컨트롤러의 디렉터리 서비스 이벤트 로그에 기록된 하나 이상의 관련 이벤트를 찾을 수 있습니다.

    이벤트 세부 정보
    NTDS 일반 2103 Active Directory 데이터베이스는 지원되지 않는 복원 절차를 사용하여 복원되었습니다. 이 조건이 지속되는 동안 Active Directory에서 사용자를 로그온할 수 없습니다. 따라서 Net Logon 서비스가 일시 중지되었습니다. 사용자 작업 자세한 내용은 이전 이벤트 로그를 참조하세요.
    NTDS 일반 이벤트 1393 디스크에 공간이 부족합니다.
    이벤트 2881 해당 없음

  3. 작성할 수 없는 DSA 값 또는 시스템에 기록된 이벤트에 따라 복구를 수행합니다.

    • 쓰기 가능하지 않은 DSA가 4이거나 NTDS 일반 이벤트 2103이 기록된 경우 USN 롤백에 대한 복구 단계를 수행합니다. 자세한 내용은 UsN 롤백이 발생할 때 Windows Server 도메인 컨트롤러 로그 Directory Services 이벤트 2095를 참조하세요.

    • 쓰기 가능하지 않은 DSA가 2이거나 NTDS 일반 이벤트 1393이 기록된 경우 Active Directory 데이터베이스 및 로그 파일을 호스팅하는 실제 및 가상 파티션에 충분한 여유 디스크 공간을 검사. 필요에 따라 공간을 확보합니다.

    • 쓰기 가능하지 않은 DSA가 8과 같으면 도메인 컨트롤러를 강등한 다음 다시 표시한 후 해당 잘못된 값을 포리스트의 다른 도메인 컨트롤러에 복제할 수 있습니다.

데이터 수집

Microsoft 지원의 지원이 필요한 경우 Active Directory 복제 문제에 TSS를 사용하여 정보 수집에 설명된 단계에 따라 정보를 수집하는 것이 좋습니다.