다음을 통해 공유

Active Directory 복제 이벤트 ID 2087: DNS 조회 실패로 인해 복제 실패

  • 아티클

이 문서에서는 DNS(도메인 이름 시스템) 조회 실패로 인해 복제가 실패할 때 발생하는 Active Directory 복제 이벤트 ID 2087에 대한 솔루션을 제공합니다.

적용 대상: 지원되는 Windows Server 버전
원래 KB 번호: 4469661

증상

이 문제는 일반적으로 DNS(도메인 이름 시스템) 조회 실패로 인해 복제가 실패할 때 발생합니다. 대상 도메인 컨트롤러가 디렉터리 서비스 이벤트 로그에서 이벤트 ID 2087을 받으면 별칭(CNAME) 리소스 레코드에서 GUID(Globally Unique Identifier), FQDN(정규화된 도메인 이름) 및 NetBIOS 이름을 원본 도메인 컨트롤러의 IP 주소로 확인하는 데 모두 실패했습니다. 원본 복제 파트너를 찾지 못하면 문제가 해결될 때까지 해당 원본과의 복제를 방지할 수 있습니다.

다음은 이벤트 텍스트의 예입니다.

로그 이름: 디렉터리
서비스 원본: Microsoft-Windows-ActiveDirectory_DomainService
날짜: 2008년 3월 9일 오전 11:00:21
이벤트 ID: 2087
작업 범주: DS RPC 클라이언트
수준: 오류
키워드: 클래식
사용자: ANONYMOUS LOGON
컴퓨터: DC3.contoso.com
설명: Active Directory에서 원본 도메인 컨트롤러의 다음 DNS 호스트 이름을 IP 주소로 확인할 수 없습니다. 이 오류는 포리스트에 있는 하나 이상의 도메인 컨트롤러 간 복제에서 추가, 삭제, Active Directory 도메인 서비스의 변경 내용을 방지 합니다. 이 오류가 해결될 때까지 보안 그룹, 그룹 정책, 사용자 및 컴퓨터 및 해당 암호는 도메인 컨트롤러 간에 일관성이 없으므로 로그온 인증 및 네트워크 리소스에 대한 액세스에 영향을 줄 수 있습니다.

원본 도메인 컨트롤러: DC2
DNS 호스트 이름 실패:
b0069e56-b19c-438a-8a1f-64866374dd6e._msdcs.contoso.com
참고: 기본적으로 10개 이상의 오류가 발생하더라도 지정된 12시간 동안 최대 10개의 DNS 오류만 표시됩니다. 모든 개별 오류 이벤트를 기록하려면 다음 진단 레지스트리 값을 1로 설정합니다.

레지스트리 경로: HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

사용자 조치:

  1. 원본 도메인 컨트롤러가 더 이상 작동하지 않거나 해당 운영 체제가 다른 컴퓨터 이름 또는 NTDSDSA 개체 GUID로 다시 설치된 경우 MSKB 문서 216498 설명된 단계를 사용하여 ntdsutil.exe로 원본 도메인 컨트롤러의 메타데이터를 제거합니다.

  2. 원본 도메인 컨트롤러가 Active Directory 도메인 서비스를 실행하고 있으며 "net view \\<source DC name" 또는 "ping <source DC name>>"을 입력하여 네트워크에서 액세스할 수 있는지 확인합니다.

  3. DCDIAG.EXE의 향상된 버전의 DNS를 http://www.microsoft.com/dns에서 사용하여 원본 도메인 컨트롤러가 DNS 서비스에 유효한 DNS 서버를 사용하고 있는지, 원본 도메인 컨트롤러의 호스트 레코드 및 CNAME 레코드가 올바르게 등록되었는지 확인합니다.
    dcdiag /test:dns

  4. 다음과 같이 대상 도메인 컨트롤러의 콘솔에서 DCDIAG.EXE 명령의 향상된 버전의 DNS를 실행하여 대상 도메인 컨트롤러가 다음과 같이 DNS 서비스에 유효한 DNS 서버를 사용하고 있는지 확인합니다.
    dcdiag /test:dns

  5. DNS 오류 실패에 대한 추가 분석은 KB 824449 http://support.microsoft.com/?kbid=824449를 참조하세요.

추가 데이터
오류 값: 11004
요청한 이름은 유효하지만 요청한 형식의 데이터를 찾을 수 없습니다.

진단

원본 도메인 컨트롤러의 현재 별칭(CNAME) 리소스 레코드를 IP 주소로 해결하지 못하면 다음과 같은 원인이 발생할 수 있습니다.

  • 원본 도메인 컨트롤러는 전원이 꺼져 있거나 오프라인이거나 격리된 네트워크에 상주하며, 도메인 컨트롤러에 액세스할 수 없음을 나타내기 위해 오프라인 도메인 컨트롤러에 대한 Active Directory 및 DNS 데이터가 삭제되지 않았습니다.

  • 다음 조건 중 하나가 있습니다.

    • 원본 도메인 컨트롤러가 DNS에 리소스 레코드를 등록하지 않았습니다.
    • 대상 도메인 컨트롤러가 잘못된 DNS 서버를 사용하도록 구성되었습니다.
    • 원본 도메인 컨트롤러가 잘못된 DNS 서버를 사용하도록 구성되었습니다.
    • 원본 도메인 컨트롤러에서 사용하는 DNS 서버가 올바른 영역을 호스트하지 않거나 영역이 동적 업데이트를 허용하도록 구성되지 않았습니다.
    • 대상 도메인 컨트롤러가 쿼리하는 직접 DNS 서버는 존재하지 않거나 잘못된 전달자 또는 위임의 결과로 원본 도메인 컨트롤러의 IP 주소를 확인할 수 없습니다.

  • AD DS(Active Directory 도메인 Services)가 원본 도메인 컨트롤러에서 제거된 다음 동일한 IP 주소로 다시 설치되었지만 새 NTDS 설정 GUID에 대한 지식이 대상 도메인 컨트롤러에 도달하지 못했습니다.

  • AD DS는 원본 도메인 컨트롤러에서 제거된 다음 다른 IP 주소로 다시 설치되었지만 원본 도메인 컨트롤러의 IP 주소에 대한 현재 호스트 주소(A) 리소스 레코드가 등록되지 않았거나 대상 도메인 컨트롤러가 복제 대기 시간 또는 복제 오류로 인해 쿼리하는 DNS 서버에 존재하지 않습니다.

  • 원본 도메인 컨트롤러의 운영 체제가 다른 컴퓨터 이름으로 다시 설치되었지만 해당 메타데이터는 제거되지 않았거나 제거되지 않았으며 대상 도메인 컨트롤러에서 아직 인바운드 복제되지 않았습니다.

해결

먼저 도메인 컨트롤러가 작동하는지 확인합니다. 원본 도메인 컨트롤러가 작동하지 않는 경우 AD DS에서 나머지 메타데이터를 제거합니다.

원본 도메인 컨트롤러가 작동하는 경우 필요에 따라 DNS 문제를 진단하고 해결하는 절차를 계속 진행합니다.

도메인 컨트롤러가 작동하는지 확인

원본 도메인 컨트롤러가 작동하는지 확인하려면 다음 테스트를 사용합니다.

요구 사항:

  • 도메인 컨트롤러의 도메인에 있는 도메인 사용자 그룹의 멤버 자격 또는 이와 동등한 경우 이 절차를 완료하기 위한 최소 요구 사항입니다. 적절 한 계정을 사용 하는 방법에 대 한 세부 정보를 검토 하 고 그룹 구성원 자격 로컬 및 도메인 기본 그룹합니다.

  • 도구: Net 보기

도메인 컨트롤러가 AD DS를 실행하고 네트워크에서 액세스할 수 있는지 확인하려면 명령 프롬프트에서 다음 명령을 입력한 다음 Enter 키를 누릅니다.

net view \\<SourceDomainControllerName>

여기서 <SourceDomainControllerName> 은 도메인 컨트롤러의 NetBIOS 이름입니다.

이 명령은 서버가 도메인 컨트롤러로 작동하고 있음을 나타내는 Netlogon 및 SYSVOL 공유를 표시합니다. 이 테스트에서 도메인 컨트롤러가 네트워크에서 작동하지 않는 것으로 표시되는 경우 연결 끊김의 특성과 도메인 컨트롤러를 복구할 수 있는지 또는 해당 메타데이터를 AD DS에서 수동으로 제거해야 하는지 여부를 결정합니다. 도메인 컨트롤러가 작동하지 않고 복원할 수 없는 경우 다음 섹션의 절차인 도메인 컨트롤러 메타데이터 정리를 사용하여 AD DS에서 해당 서버와 연결된 데이터를 삭제합니다.

도메인 컨트롤러 메타데이터 정리

테스트에서 도메인 컨트롤러가 더 이상 작동하지 않지만 Active Directory 사이트 및 서비스 스냅인에서 도메인 컨트롤러를 나타내는 개체가 계속 표시되는 경우 복제가 계속 시도되며 AD DS에서 이러한 개체를 수동으로 제거해야 합니다. Active Directory 사용자 및 컴퓨터 스냅인 또는 Ntdsutil 도구를 사용하여 소멸된 도메인 컨트롤러에 대한 메타데이터를 정리(삭제)해야 합니다.

소멸된 도메인 컨트롤러가 도메인의 마지막 도메인 컨트롤러인 경우 도메인에 대한 메타데이터도 제거해야 합니다. 포리스트의 모든 글로벌 카탈로그 서버가 동일한 이름의 새 도메인을 승격하기 전에 도메인 삭제를 인바운드 복제하는 데 충분한 시간을 허용합니다.

지원되는 Windows Server 버전에 포함된 Ntdsutil 버전에서 메타데이터 정리 프로세스가 개선되었습니다. Ntdsutil을 사용하여 메타데이터를 정리하는 지침은 다음 절차에서 제공됩니다.

요구 사항:

  • 엔터프라이즈 관리자의 멤버 자격 또는 이와 동등한 경우 이 절차를 완료하기 위한 최소 요구 사항입니다. 적절 한 계정을 사용 하는 방법에 대 한 세부 정보를 검토 하 고 그룹 구성원 자격 로컬 및 도메인 기본 그룹합니다.
  • 도구: Ntdsutil(System32 명령줄 도구)

서버 메타데이터를 정리하는 단계

도메인 컨트롤러의 메타데이터를 정리하는 편리한 방법은 Active Directory 사용자 및 컴퓨터 스냅인을 사용하는 것입니다. 자세한 내용은 다음을 참조하세요.

또는 Ntdsutil을 사용할 수 있습니다.

  1. 관리자 권한 명령 프롬프트를 엽니다.

  2. 명령 프롬프트에서 명령을 입력한 ntdsutil 다음 Enter 키를 누릅니다.

  3. ntdsutil 명령 프롬프트에서 metadata cleanup 명령을 입력한 다음 Enter 키를 누릅니다.

  4. 다음과 같이 메타데이터 정리를 수행합니다.

    참고 항목

    도메인 메타데이터와 서버 메타데이터를 제거하는 경우 다음 절차를 건너뛰고 1단계에서 시작하는 절차를 사용합니다.

    • 서버 메타데이터 정리만 수행하고 지원되는 Windows Server 버전에 포함된 Ntdsutil.exe 버전을 사용하는 경우 명령 프롬프트에서 metadata cleanup: 다음 명령을 입력한 다음 Enter 키를 누릅니다.

      remove selected server <ServerName>

      또는

      remove selected server <ServerName1> on <ServerName2>
      매개 변수 설명
      <ServerName>, <ServerName1> cn=ServerName,cn=Servers,cn=SiteName>>, cn=<Sites,cn=Configuration,dc=<<ForestRootDomain 형식으로 제거할 메타데이터가 있는 도메인 컨트롤러의 고유 이름입니다.>
      <ServerName2> 연결하려는 도메인 컨트롤러와 서버 메타데이터를 제거할 도메인 컨트롤러의 DNS 이름입니다.

    • Ntdsutil.exe 버전을 사용하여 메타데이터 정리를 수행하거나 도메인 메타데이터 정리 및 서버 메타데이터 정리를 모두 수행하는 경우 다음과 같이 메타데이터 정리를 수행합니다.

      1. 프롬프트에서 metadata cleanup: 명령을 입력한 connection 다음 Enter 키를 누릅니다.
      2. 프롬프트에서 server connections: 명령을 입력한 connect to server <Server> 다음 Enter 키를 누릅니다.
      3. 프롬프트에서 connection: 명령을 입력한 quit 다음 Enter 키를 누릅니다.
      4. 프롬프트에서 metadata cleanup: 명령을 입력한 select operation target 다음 Enter 키를 누릅니다.
      5. 프롬프트에서 select operation target: 명령을 입력한 list sites 다음 Enter 키를 누릅니다.
      6. 번호가 매겨진 사이트 목록이 나타납니다. 명령을 입력한 select site <SiteNumber> 다음 Enter 키를 누릅니 .
      7. 프롬프트에서 select operation target: 명령을 입력한 list domains in site 다음 Enter 키를 누릅니다.
      8. 선택한 사이트에서 번호가 매겨진 도메인 목록이 나타납니다. 명령을 입력한 select domain <DomainNumber> 다음 Enter 키를 누릅니 .
      9. 프롬프트에서 select operation target: 명령을 입력한 list servers in site 다음 Enter 키를 누릅니다.
      10. 도메인 및 사이트의 번호가 매겨진 서버 목록이 표시됩니다. 명령을 입력한 select server <ServerNumber> 다음 Enter 키를 누릅니 .
      11. 프롬프트에서 select operation target: 명령을 입력한 quit 다음 Enter 키를 누릅니다.
      12. 프롬프트에서 metadata cleanup: 명령을 입력한 remove selected server 다음 Enter 키를 누릅니다.
      13. 제거한 메타데이터가 도메인의 마지막 도메인 컨트롤러이고 도메인 메타데이터를 제거하려는 경우 프롬프트에서 metadata cleanup: 명령을 입력 remove selected domain 한 다음 Enter 키를 누릅니다. h단계에서 선택한 도메인에 대한 메타데이터가 제거됩니다.
      14. metadata cleanup:ntdsutil: 프롬프트에서, quit을 입력한 다음 Enter를 누릅니다.
      매개 변수 설명
      <서버> 연결하려는 도메인 컨트롤러의 DNS 이름입니다.
      <SiteNumber> 정리하려는 서버 사이트와 연결된 번호로, 목록에 표시됩니다.
      <DomainNumber> 정리하려는 서버의 도메인과 연결된 번호로, 목록에 표시됩니다.
      <ServerNumber> 정리하려는 서버와 연결된 번호로, 목록에 표시됩니다.

Dcdiag를 사용하여 DNS 문제 진단

도메인 컨트롤러가 온라인으로 작동하는 경우 계속해서 Dcdiag 도구를 사용하여 Active Directory 복제를 방해할 수 있는 DNS 문제를 진단하고 해결합니다.

다음 절차를 사용하여 이 프로세스를 완료합니다.

이러한 절차를 시작하기 전에 이벤트 ID 2087 메시지 텍스트에 포함된 다음 정보를 수집합니다.

  • 원본 도메인 컨트롤러 및 대상 도메인 컨트롤러의 FQDN
  • 원본 도메인 컨트롤러의 IP 주소

지원되는 Windows Server 버전에 포함된 업데이트된 버전의 Dcdiag에는 기본 및 고급 DNS 기능의 통합 및 향상된 테스트를 제공하는 테스트가 포함되어 있습니다. 이 도구를 사용하여 기본 DNS 기능 및 동적 업데이트를 진단할 수 있습니다.

DNS 테스트에 Dcdiag를 사용하는 경우 모든 Dcdiag 테스트에 적용되지 않는 특정 요구 사항이 있습니다.

요구 사항:

  • 엔터프라이즈 관리자 또는 동등한 멤버 자격은 DNS 테스트를 완료하기 위한 최소 요구 사항입니다. 적절 한 계정을 사용 하는 방법에 대 한 세부 정보를 검토 하 고 그룹 구성원 자격 로컬 및 도메인 기본 그룹합니다.
  • 도구: Dcdiag.exe
  • 운영 체제: RSAT(원격 서버 관리 도구)를 사용하는 지원되는 Windows Server 또는 클라이언트 버전

참고 항목

Dcdiag 명령의 /f: 스위치를 사용하여 출력을 텍스트 파일에 저장할 수 있습니다. FileName에 표시된 위치에 파일을 생성하는 데 사용합니다/f: FileName. 예를 들면 다음과 같습니다/f:c:\Test\DnsTest.txt.

기본 DNS 기능 확인

Active Directory 복제를 방해할 수 있는 설정을 확인하려면 도메인 컨트롤러에서 DNS가 제대로 작동하는지 확인하는 기본 DNS 테스트를 실행하여 시작할 수 있습니다.

기본 DNS 테스트는 다음을 확인합니다.

  • 연결: 테스트는 도메인 컨트롤러가 DNS에 등록되어 있는지, PING에서 연결할 수 있는지, LDAP/RPC(Lightweight Directory Access Protocol/remote procedure call) 연결이 있는지 여부를 결정합니다. 도메인 컨트롤러에서 연결 테스트가 실패하면 해당 도메인 컨트롤러에 대해 다른 테스트가 실행되지 않습니다. 연결 테스트는 다른 DNS 테스트를 실행하기 전에 자동으로 수행됩니다.

  • 필수 서비스: 테스트는 다음 서비스가 실행 중이며 테스트된 도메인 컨트롤러에서 사용할 수 있는지 확인합니다.

    • DNS 클라이언트 서비스
    • Net Logon 서비스
    • KDC(키 배포 센터) 서비스
    • DNS 서버 서비스(DNS가 도메인 컨트롤러에 설치된 경우)

  • DNS 클라이언트 구성: 테스트는 모든 어댑터의 DNS 서버에 연결할 수 있는지 확인합니다.

  • 리소스 레코드 등록: 테스트는 각 도메인 컨트롤러의 호스트(A) 리소스 레코드가 클라이언트에 구성된 DNS 서버 중 하나 이상에 등록되어 있는지 확인합니다.

  • SOA(권한 영역 및 시작): 도메인 컨트롤러가 DNS 서버 서비스를 실행하는 경우 테스트는 Active Directory 도메인 영역에 대한 Active Directory 도메인 영역 및 SOA(권한 시작) 리소스 레코드가 있는지 확인합니다.

  • 루트 영역: 루트(.) 영역이 있는지 여부를 확인합니다.

기본 DNS 기능을 확인하는 단계

  1. 명령 프롬프트에서 다음 명령을 입력한 후 Enter 키를 누릅니다.

    dcdiag /test:dns /s:<SourceDomainControllerName> /DnsBasic

    여기서 <SourceDomainControllerName> 은 도메인 컨트롤러의 고유 이름, NetBIOS 이름 또는 DNS 이름입니다.

    대신 입력하여 포리스트의 모든 도메인 컨트롤러를 테스트할 /e: /s:수 있습니다.

  2. 보고서를 메모장 또는 해당하는 텍스트 편집기에 복사합니다.

  3. Dcdiag 로그 파일의 아래쪽 근처에 있는 요약 테이블로 스크롤합니다.

  4. 요약 테이블에서 "경고" 또는 "실패" 상태를 보고하는 모든 도메인 컨트롤러의 이름을 확인합니다.

  5. "DC: <DomainControllerName>" 문자열을 검색하여 문제 도메인 컨트롤러에 대한 자세한 중단 섹션을 찾습니다.

  6. DNS 클라이언트 및 DNS 서버에서 필요한 구성을 변경합니다.

  7. 구성 변경 내용의 유효성을 검사하려면 다시 실행 Dcdiag /test:DNS 하거나 /s: 전환합니다/e:.

기본 DNS 테스트에 오류가 표시되지 않는 경우 도메인 컨트롤러를 찾는 데 사용되는 리소스 레코드가 DNS에 등록되어 있는지 확인하여 계속합니다.

리소스 레코드 등록 확인

대상 도메인 컨트롤러는 CNAME(DNS 별칭) 리소스 레코드를 사용하여 원본 도메인 컨트롤러 복제 파트너를 찾습니다. 도메인 컨트롤러는 FQDN(또는 실패하는 경우 NetBIOS 이름)을 사용하여 원본 복제 파트너를 찾을 수 있지만, 별칭(CNAME) 리소스 레코드의 존재가 예상되며 적절한 DNS 기능을 확인해야 합니다.

Dcdiag를 사용하여 테스트를 사용하여 도메인 컨트롤러 위치에 필수적인 모든 리소스 레코드의 등록을 dcdiag /test:dns /DnsRecordRegistration 확인할 수 있습니다. 이 테스트는 DNS에서 다음 리소스 레코드의 등록을 확인합니다.

  • 별칭(CNAME)(복제 파트너를 찾는 GUID 기반 리소스 레코드)
  • 호스트(A)(도메인 컨트롤러의 IP 주소를 포함하는 호스트 리소스 레코드)
  • LDAP SRV(LDAP 서버를 찾는 서비스(SRV) 리소스 레코드)
  • GC SRV(글로벌 카탈로그 서버를 찾는 서비스(SRV) 리소스 레코드)
  • PDC SRV(PDC(주 도메인 컨트롤러) 에뮬레이터 작업 마스터를 찾는 서비스(SRV) 리소스 레코드)

또는 다음 절차를 사용하여 별칭(CNAME) 리소스 레코드만 확인할 수 있습니다.

별칭(CNAME) 리소스 레코드 등록을 확인하는 단계

  1. DNS 스냅인에서 DNS 서버 서비스를 실행하는 도메인 컨트롤러를 찾습니다. 여기서 서버는 도메인 컨트롤러의 Active Directory 도메인과 동일한 이름으로 DNS 영역을 호스트합니다.

  2. 콘솔 트리에서 이름이 _msdcs 영역을 클릭합니다. Dns_Domain_Name.

    참고 항목

    Windows 2000 Server DNS에서 _msdcs. Dns_Domain_Name Active Directory 도메인 이름에 대한 DNS 영역의 하위 도메인입니다. Windows Server 2003 DNS에서 _msdcs. Dns_Domain_Name 별도의 영역입니다.

  3. 세부 정보 창에서 다음 리소스 레코드가 있는지 확인합니다.

    • Dsa_Guid._msdcs라는 이름의 CNAME(별칭) 리소스 레코드입니다. Dns_Domain_Name
    • DNS 서버 이름에 해당하는 호스트(A) 리소스 레코드

별칭(CNAME) 리소스 레코드가 등록되지 않은 경우 동적 업데이트가 제대로 작동하는지 확인합니다. 다음 섹션의 테스트를 사용합니다.

동적 업데이트 확인

기본 DNS 테스트에서 리소스 레코드가 DNS에 없는 것으로 표시되는 경우 동적 업데이트 테스트를 사용하여 Net Logon 서비스가 리소스 레코드를 자동으로 등록하지 않은 이유를 진단합니다. Active Directory 도메인 영역이 보안 동적 업데이트를 수락하고 테스트 레코드(_dcdiag_test_record)의 등록을 수행하도록 구성되었는지 확인하려면 다음 절차를 사용합니다. 테스트 레코드는 테스트 후에 자동으로 삭제됩니다.

동적 업데이트를 확인하려면 명령 프롬프트에서 다음 명령을 입력한 다음 Enter 키를 누릅니다.

dcdiag /test:dns /s:<SourceDomainControllerName> /DnsDynamicUpdate

여기서 <SourceDomainControllerName> 은 도메인 컨트롤러의 고유 이름, NetBIOS 이름 또는 DNS 이름입니다.

또는 스위치 대신 스위치를 사용하여 모든 도메인 컨트롤러를 /e: 테스트할 /s: 수 있습니다.

보안 동적 업데이트가 구성되지 않은 경우 다음 절차를 사용하여 구성합니다.

보안 동적 업데이트 사용

  1. DNS 스냅인을 엽니다.
  2. 콘솔 트리에서 해당 영역을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
  3. 일반 탭에서 영역 유형이 Active Directory 통합되어 있는지 확인합니다.
  4. 동적 업데이트에서 보안만 클릭합니다.

DNS 리소스 레코드 등록

DNS 리소스 레코드가 원본 도메인 컨트롤러에 대한 DNS에 표시되지 않는 경우 동적 업데이트를 확인했으며 DNS 리소스 레코드를 즉시 등록하려는 경우 다음 절차를 사용하여 수동으로 등록을 강제할 수 있습니다. 도메인 컨트롤러의 Net Logon 서비스는 도메인 컨트롤러가 네트워크에 배치되는 데 필요한 DNS 리소스 레코드를 등록합니다. DNS 클라이언트 서비스는 별칭(CNAME) 레코드가 가리키는 호스트(A) 리소스 레코드를 등록합니다.

요구 사항:

  • 이 절차를 완료하려면 포리스트 루트 도메인 또는 Enterprise Admins 그룹 또는 이와 동등한 도메인 관리자 그룹의 멤버 자격이 필요합니다.
  • 도구: net stop/net start, ipconfig

DNS 리소스 레코드를 수동으로 등록

원본 도메인 컨트롤러에서 수동으로 도메인 컨트롤러 로케이터 리소스 레코드 등록을 시작하려면 명령 프롬프트에서 다음 명령을 입력한 다음 각 명령 다음에 Enter 키를 누릅니다.

net stop net logon
net start net logon

호스트 A 리소스 레코드 등록을 수동으로 시작하려면 명령 프롬프트에서 다음 명령을 입력한 다음 Enter 키를 누릅니다.

ipconfig /flushdns
ipconfig /registerdns

15분 동안 기다린 다음 이벤트 뷰어 이벤트를 검토하여 리소스 레코드의 적절한 등록을 확인합니다.

이 섹션의 앞부분에 있는 리소스 레코드 등록 확인 섹션의 절차를 반복하여 리소스 레코드가 DNS에 표시되는지 확인합니다.

원본 및 대상 도메인 컨트롤러 간의 복제 동기화

DNS 테스트를 완료한 후 다음 절차를 사용하여 원본 도메인 컨트롤러에서 대상 도메인 컨트롤러로 인바운드 연결의 복제를 동기화합니다.

요구 사항:

  • 대상 도메인 컨트롤러의 도메인에 있는 Domain Admins 그룹의 멤버 자격 또는 이와 동등한 경우 이 절차를 완료하기 위한 최소 요구 사항입니다. 적절 한 계정을 사용 하는 방법에 대 한 세부 정보를 검토 하 고 그룹 구성원 자격 로컬 및 도메인 기본 그룹합니다.
  • 도구: Active Directory 사이트 및 서비스

원본 도메인 컨트롤러에서 복제를 동기화하는 단계

  1. Active Directory 사이트 및 서비스를 엽니다.
  2. 콘솔 트리에서 사이트 컨테이너를 두 번 클릭하고 복제를 동기화할 도메인 컨트롤러의 사이트를 두 번 클릭하고 서버 컨테이너를 두 번 클릭한 다음 도메인 컨트롤러의 서버 개체를 두 번 클릭한 다음 NTDS 설정을 클릭합니다.
  3. 세부 정보 창의 From Server 열에서 원본 도메인 컨트롤러의 이름을 표시하는 연결 개체를 찾습니다.
  4. 적절한 연결 개체를 마우스 오른쪽 단추로 클릭한 다음 지금 복제를 클릭합니다.
  5. 확인을 클릭합니다.

복제가 성공하지 못하면 다음 섹션의 절차를 사용하여 NTDS 설정 GUID의 일관성을 확인합니다.

NTDS 설정 GUID의 일관성 확인

모든 DNS 테스트 및 기타 테스트 및 복제가 성공하지 못한 경우 다음 절차를 사용하여 대상 도메인 컨트롤러가 복제 파트너를 찾는 데 사용하는 NTDS 설정 개체의 GUID가 원본 도메인 컨트롤러 자체에 현재 적용되는 GUID와 일치하는지 확인합니다. 이 테스트를 수행하려면 개체 GUID가 각 도메인 컨트롤러의 로컬 디렉터리에 나타나는 것처럼 표시됩니다.

요구 사항:

  • 대상 도메인 컨트롤러의 도메인에 있는 Domain Admins 그룹의 멤버 자격 또는 이와 동등한 경우 이 절차를 완료하기 위한 최소 요구 사항입니다.
  • 도구: Ldp.exe(Windows 지원 도구)

NTDS 설정 GUID의 일관성을 확인하는 단계

  1. 시작을 클릭하고 실행을 클릭하고 Ldp를 입력한 다음 확인을 클릭합니다.
  2. 연결 메뉴에서 연결을 클릭합니다.
  3. 연결 대화 상자에서 서버 상자를 비워 둡니다.
  4. 포트에서 389를 입력한 다음 확인을 클릭합니다.
  5. 연결 메뉴에서 바인딩을 클릭합니다.
  6. 바인딩 대화 상자에서 엔터프라이즈 관리자 자격 증명을 제공합니다. 아직 선택하지 않은 경우 도메인을 클릭합니다.
  7. 도메인에서 포리스트 루트 도메인의 이름을 입력한 다음 확인을 클릭합니다.
  8. 보기 메뉴에서 트리를 클릭합니다.
  9. 트리 뷰 대화 상자에서 CN=Configuration, DC=Forest_Root_Domain 입력한 다음 확인을 클릭합니다.
  10. CN=NTDS 설정,CN=SourceServerName,CN=Servers,CN=SiteName, CN=Sites,CN=configuration,DC=ForestRootDomain 개체로 이동합니다.
  11. NTDS 설정 개체를 두 번 클릭합니다. 세부 정보 창에서 attribute objectGUID의 값을 봅니다. 해당 값을 마우스 오른쪽 단추로 클릭한 다음 메모장에 복사합니다.
  12. 연결 메뉴에서 연결 끊기를 클릭합니다.
  13. 2~11단계를 반복하지만 3단계에서는 원본 도메인 컨트롤러의 이름(예: DC03)을 입력합니다.
  14. 메모장에서 두 GUID의 값을 비교합니다.
  15. 값이 일치하지 않는 경우 대상 도메인 컨트롤러는 유효한 GUID의 복제를 받아야 합니다. 다른 도메인 컨트롤러의 GUID 값을 확인하고 올바른 GUID가 있는 다른 도메인 컨트롤러를 사용하여 대상 도메인 컨트롤러에서 복제를 시도합니다.
  16. 값이 일치하는 경우 GUID가 Dsa_Guid._msdcs의 GUID와 일치하는지 확인합니다. 다음과 같이 원본 도메인 컨트롤러에 대한 레코드를 Dns_Domain_Nameresource.
    1. 각 도메인 컨트롤러가 네트워크 설정의 TCP/IP 속성에서 식별하는 기본 DNS 서버를 확인합니다. 각 TCP/IP 속성에 나열된 모든 DNS 서버는 이 별칭(CNAME) 리소스 레코드를 간접적으로 또는 직접 확인할 수 있어야 합니다.
    2. 나열된 서버에서 영역의 루트에 있는 NS(이름 서버) 리소스 레코드에 대해 나열된 서버 이름을 확인하여 이 도메인 영역에 대한 신뢰할 수 있는 이름 서버 또는 서버를 식별합니다. (DNS 스냅인에서 루트 도메인에 대한 정방향 조회 영역을 선택한 다음 세부 정보 창에서 NS(이름 서버) 레코드를 봅니다.)
    3. b단계에서 가져온 이름 서버 또는 서버에서 DNS 스냅인을 열고 포리스트 루트 도메인 이름에 대한 정방향 조회 영역을 두 번 클릭합니다. _msdcs 폴더를 두 번 클릭하고 서버 이름에 대해 존재하는 별칭(CNAME) 리소스 레코드를 적어둡니다.

데이터 수집

Microsoft 지원의 지원이 필요한 경우 Active Directory 복제 문제에 대해 TSS를 사용하여 정보 수집에 설명된 단계에 따라 정보를 수집하는 것이 좋습니다.