DetailPage-MSS-KB

기술 자료

기술 자료: 824449 - 마지막 검토: 2006년 9월 7일 목요일 - 수정: 4.1

이 페이지에서

요약

이 문서는 Microsoft Windows 2000이나 Microsoft Windows Server 2003을 실행하는 도메인 컨트롤러가 DNS 조회 오류로 인해 Active Directory를 복제할 수 없는 경우 관리자와 지원 전문가가 수행해야 할 작업 계획에 대해 설명합니다. DNS 이름 확인 부족으로 인해 발생하는 복제나 기타 구성 요소 오류 문제를 해결하는 관리자는 다음 작업 계획을 수행해야 합니다.

이 문서에서는 Windows Server 2003 서비스 팩 1(SP1)을 실행하는 대상 도메인 컨트롤러에서 기록하는 이벤트 ID 2087 및 이벤트 ID 2088 등 두 가지 새로운 이벤트에 대해서도 설명합니다. DNS 이름 확인 부족으로 Active Directory 디렉터리 서비스 파티션의 인바운드 복제를 수행할 수 없을 때 이러한 이벤트가 발생합니다. 이 문제 시나리오에서 더욱 심각한 것은 Windows Server 2003 SP1 기반 대상 도메인 컨트롤러가 DNS에 있는 원본 도메인 컨트롤러의 정규화된 도메인 이름이나 WINS(Windows Internet Name Service)에 있는 원본 도메인 컨트롤러의 NetBIOS 컴퓨터 이름을 사용하는 것입니다. Windows Server 2003의 기능 향상 목적은 Active Directory를 복제할 때 DNS 클라이언트나 DNS 서버 구성 오류의 결과를 최소화하기 위한 것입니다.

현상

Microsoft Windows Server 2003 서비스 팩 1(SP1) 기반 도메인 컨트롤러에서 디렉터리 서비스 이벤트 로그에 다음 이벤트 메시지가 기록될 수 있습니다.

메시지 1

종류: 오류
원본: NTDS 복제
범주: DS RPC 클라이언트
이벤트 ID: 2087
사용자: NT AUTHORITY\ANONYMOUS LOGON
컴퓨터: ComputerName
설명:
Active Directory에서 원본 도메인 컨트롤러의 다음 DNS 호스트 이름을 IP 주소로 확인할 수 없습니다. 이 오류는 포리스트의 도메인 컨트롤러 둘 이상을 복제할 때 Active Directory에서 추가하거나, 삭제하거나, 변경하지 못하도록 합니다. 이 오류가 해결될 때까지 보안 그룹, 그룹 정책, 사용자와 컴퓨터 및 암호가 도메인 컨트롤러와 일치하지 않게 되어 로그온 인증 및 네트워크 리소스에 대한 액세스에 영향을 줄 수 있습니다.

원본 도메인 컨트롤러: DomainControllerName
DNS 호스트 이름 오류: GUID._msdcs.DNSDomainName

참고: 지정된 12시간 동안 10개가 넘는 오류가 발생하더라도 DNS 오류는 기본적으로 최대 10개만 표시됩니다. 모든 오류 이벤트를 각각 기록하려면 다음 진단 레지스트리 값을 1로 설정합니다.

레지스트리 경로:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

사용자 작업:

1) 원본 도메인 컨트롤러가 더 이상 작동하지 않거나 다른 컴퓨터 이름이나 NTDSDSA 개체 GUID로 운영 체제를 다시 설치한 경우 MSKB 문서 216498에 설명된 단계를 사용하여 원본 도메인 컨트롤러의 메타데이터를 ntdsutil.exe로 제거합니다.

2) "net view \\<원본 DC 이름>" 또는 "ping <원본 DC 이름>"을 입력하여 원본 도메인 컨트롤러가 Active Directory에서 실행되고 있는지, 그리고 네트워크에서 액세스 가능한지 확인합니다.

3) http://www.microsoft.com/dns에서 다운로드할 수 있는 DNS 향상 버전의 DCDIAG.EXE를 사용하여 원본 도메인 컨트롤러가 DNS 서비스에 대해 올바른 DNS 서버를 사용하고 있고 원본 도메인 컨트롤러의 호스트 레코드와 CNAME 레코드가 올바로 등록되어 있는지 확인합니다.

dcdiag /test:dns

4) 대상 도메인 컨트롤러의 콘솔에서 다음과 같이 DNS 향상 버전의 DCDIAG.EXE 명령을 사용하여 이 대상 도메인 컨트롤러가 DNS 서비스에 대해 올바른 DNS 서버를 사용하고 있는지 확인합니다.

dcdiag /test:dns

5) DNS 오류에 대한 자세한 분석은 다음 KB 824449를 참조하십시오. http://support.microsoft.com/?kbid=824449

추가 데이터
오류 값:
11004 요청한 이름이 유효하지만 요청한 종류의 데이터가 없습니다.

메시지 2

종류: 경고
원본: NTDS 복제
범주: DS RPC 클라이언트
이벤트 ID: 2088
사용자: NT AUTHORITY\ANONYMOUS LOGON
컴퓨터: ComputerName
설명:
Active Directory에서 DNS를 사용하여 아래에 표시된 원본 도메인 컨트롤러의 IP 주소를 확인할 수 없습니다. 보안 그룹, 그룹 정책, 사용자와 컴퓨터 및 암호의 일관성을 유지하기 위해 Active Directory에서 원본 도메인 컨트롤러의 NetBIOS나 정규화된 컴퓨터 이름을 사용하여 복제했습니다.

잘못된 DNS 구성은 로그온 인증이나 네트워크 리소스에 대한 액세스 등 이 Active Directory 포리스트의 구성원 컴퓨터, 도메인 컨트롤러 또는 응용 프로그램 서버의 중요한 작업에 영향을 줄 수 있습니다.

즉시 이 DNS 구성 오류를 해결하여 이 도메인 컨트롤러가 DNS를 사용하여 원본 도메인 컨트롤러의 IP 주소를 확인할 수 있도록 해야 합니다.

다른 서버 이름: AlternateServerName
오류가 발생한 DNS 호스트 이름: GUID._msdcs.DNSDomainName

참고: 지정된 12시간 동안 10개가 넘는 오류가 발생하더라도 DNS 오류는 기본적으로 최대 10개만 표시됩니다. 모든 오류 이벤트를 각각 기록하려면 다음 진단 레지스트리 값을 1로 설정합니다.

레지스트리 경로:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

사용자 작업:

1) 원본 도메인 컨트롤러가 더 이상 작동하지 않거나 다른 컴퓨터 이름이나 NTDSDSA 개체 GUID로 운영 체제를 다시 설치한 경우 MSKB 문서 216498에 설명된 단계를 사용하여 원본 도메인 컨트롤러의 메타데이터를 ntdsutil.exe로 제거합니다.

2) "net view \\<원본 DC 이름>" 또는 "ping <원본 DC 이름>"을 입력하여 원본 도메인 컨트롤러가 Active Directory에서 실행되고 있는지, 그리고 네트워크에서 액세스할 수 있는지 확인합니다.

3) http://www.microsoft.com/dns에서 다운로드할 수 있는 DNS 향상 버전의 DCDIAG.EXE를 사용하여 원본 도메인 컨트롤러가 DNS 서비스에 대해 올바른 DNS 서버를 사용하고 있고 원본 도메인 컨트롤러의 호스트 레코드와 CNAME 레코드가 올바로 등록되어 있는지 확인합니다.

dcdiag /test:dns

4) 대상 도메인 컨트롤러의 콘솔에서 다음과 같이 DNS 향상 버전의 DCDIAG.EXE 명령을 사용하여 이 대상 도메인 컨트롤러가 DNS 서비스에 대해 올바른 DNS 서버를 사용하고 있는지 확인합니다.

dcdiag /test:dns

5) DNS 오류에 대한 자세한 분석은 다음 위치의 KB 824449를 참조하십시오. http://support.microsoft.com/?kbid=824449

추가 데이터
오류 값:
11004 요청한 이름이 유효하지만 요청한 유형의 데이터가 없습니다.

DNS 또는 NetBIOS 조회 오류로 인해 Active Directory 복제가 실패하면 이벤트 ID 2087이 발생합니다. 특히 이벤트 ID 2087을 기록한 도메인 컨트롤러가 다음 중 하나를 사용하여 복제 파트너의 IP 주소를 해결할 수 없습니다.
  • CNAME 리소스 레코드
  • DNS의 정규화된 컴퓨터 이름
  • NetBIOS 컴퓨터 이름
이벤트를 기록한 도메인 컨트롤러가 인바운드 복제를 실행할 수 없으므로 도메인 컨트롤러 간에 Active Directory 데이터가 일치하지 않을 수 있습니다. 예를 들어 사용자와 컴퓨터 그룹 정보가 일치하지 않을 수 있습니다.

다음과 같은 경우 이벤트 ID 2088이 발생합니다.
  • Active Directory 복제가 DNS를 사용하여 복제 파트너의 CNAME 리소스 레코드를 IP 주소로 확인할 수 없습니다.
  • Active Directory가 파트너의 DNS에 있는 정규화된 컴퓨터 이름이나 파트너의 WINS 또는 NetBIOS 브로드캐스트에 있는 NetBIOS 컴퓨터 이름을 사용하여 복제 파트너의 IP 주소를 확인할 수 있습니다.
참고 NetBIOS 이름이 확인된 경우에도 DNS 구성 오류로 인해 Active Directory 함수가 실패할 수 있으므로 모든 DNS 이름 확인 오류를 조사하고 확인해야 합니다.

원인

DNS 조회 문제로 인해 다음 중 한 가지 방법으로 Active Directory를 복제하지 못할 수 있습니다.
  • 경우 1: 도메인 컨트롤러가 오프라인 상태인 다른 도메인 컨트롤러를 복제하려고 하면 오프라인 도메인 컨트롤러의 Active Directory 및 DNS 데이터가 업데이트되거나 삭제되지 않아 도메인 컨트롤러에 액세스할 수 없다고 표시됩니다.
  • 경우 2: 도메인 컨트롤러가 온라인 상태인 다른 도메인 컨트롤러를 복제하려고 하는 경우에도 DNS 또는 네트워킹 문제로 인해 도메인 컨트롤러에서 서로 찾을 수 없습니다.
모든 도메인 컨트롤러는 DNS에 SRV, A 및 CNAME 레코드를 등록합니다. CNAME 레코드는 Dsa_Guid._msdcs.Dns_Domain_Name 형식입니다. Dsa_Guid는 도메인 컨트롤러에 대한 DSA(디렉터리 시스템 에이전트)의 GUID입니다. Dns_Domain_Name은 도메인 컨트롤러가 있는 포리스트의 이름입니다. 도메인 컨트롤러에서는 CNAME 레코드가 해당 복제 파트너를 찾고 확인해야 합니다.

도메인 컨트롤러의 Net Logon 서비스는 모든 SRV 레코드를 등록합니다. 도메인 컨트롤러의 DNS 클라이언트 서비스가 DNS 호스트(A) 레코드와 GUID CNAME 레코드를 등록합니다.

도메인 컨트롤러는 다음 단계를 사용하여 복제 파트너를 찾습니다.
  1. 도메인 컨트롤러는 DNS를 사용하여 복제 파트너의 CNAME 레코드를 찾습니다.
  2. 찾지 못하면 도메인 컨트롤러에서 복제 파트너의 DNS A 레코드를 찾습니다. 예를 들어 도메인 컨트롤러에서 dc-03.corp.contoso.com을 찾습니다.
  3. DNS A 레코드를 찾지 못하면 도메인 컨트롤러에서 복제 파트너의 호스트 이름을 사용하여 NetBIOS 브로드캐스트를 실행합니다. 예를 들어 도메인 컨트롤러는 dc-03을 사용합니다.

해결 방법

경우 1

더 이상 사용하지 않는 도메인 컨트롤러에서 남긴 Active Directory와 DNS 데이터를 제거하려면 다음 Microsoft 기술 자료 문서의 절차를 수행합니다.
216498  (http://support.microsoft.com/kb/216498/ ) 도메인 컨트롤러의 수준 내리기 실패 후 Active Directory에서 데이터를 제거하는 방법
도메인 컨트롤러가 온라인 상태여야 하는 경우 차단 문제를 해결한 다음 도메인 컨트롤러를 다시 온라인 상태로 만듭니다. 도메인 컨트롤러를 다시 시작하면 대상 도메인 컨트롤러를 사용하여 Active Directory를 복제하는 데 필요한 Active Directory와 DNS 데이터가 자동으로 등록됩니다.

도메인 컨트롤러를 다시 시작하지 않고 DNS 레코드를 등록하려면 7단계 "DNS에서 리소스 레코드 등록"으로 이동하십시오.

경우 2

대상 도메인 컨트롤러가 복제 파트너의 DNS 이름을 확인할 수 없어 복제되지 않으면 DNS 및 네트워크 연결 문제를 진단하여 실패 원인을 확인해야 합니다.

Active Directory 복제에 대한 DNS 지원을 진단하고 해결하려면 다음과 같이 하십시오.
  1. 정보를 수집합니다.

    Active Directory 복제 및 DNS에 종속된 다른 작업에 대한 DNS 지원을 진단하고 해결하려면 다음 정보가 있어야 합니다.
    • 원본 도메인 컨트롤러의 정규화된 도메인 이름(FQDN) 및 IP 주소
    • Active Directory 도메인 이름의 DNS 영역을 호스팅하는 DNS 서버의 FQDN 및 IP 주소
    참고 도메인 컨트롤러가 Active Directory 도메인 이름의 DNS 영역을 호스팅하는 DNS 서버 서비스도 실행하는 경우 도메인 컨트롤러 및 DNS 서버 정보가 같을 수 있습니다.
  2. 네트워크 연결 설정을 확인합니다.
    1. 오류가 보고된 도메인 컨트롤러의 제어판에서 네트워크 연결을 누릅니다.
    2. 구성할 네트워크 연결을 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
    3. 일반 탭(로컬 영역 연결의 경우) 또는 네트워킹 탭(다른 모든 연결의 경우)에서 인터넷 프로토콜(TCP/IP)을 누른 다음 속성을 누릅니다.
    4. 다음 DNS 서버 주소 사용에서 기본 설정된 DNS 서버나 다른 DNS 서버에 Active Directory 도메인 이름의 DNS 영역을 호스팅하는 DNS 서버의 올바른 IP 주소가 있는지 확인합니다.

      참고 도메인 컨트롤러에 대해 기본 설정된 DNS 서버는 로컬 또는 연결된 허브 사이트에 있습니다. 그러한 허브 사이트를 사용하는 경우 복제 대기 시간이 줄어듭니다.
    5. IP 주소가 올바르면 3단계로 이동합니다. IP 주소가 잘못되었으면 올바른 주소를 입력한 다음 7단계로 이동합니다.
  3. 연결을 확인합니다.

    연결을 확인하려면 대상 도메인 컨트롤러에서 ping 명령을 사용하여 원본 도메인 컨트롤러와 DNS 서버의 IP 주소를 찾습니다.
    대상 도메인 컨트롤러의 명령 프롬프트에 다음 명령을 입력하고 각 명령 다음에 Enter 키를 누릅니다.

    ping IP_Address_of_source_domain_controller
    ping IP_Address_DNS_server

    명령이 하나라도 실패하면 네트워크 연결 오류가 있을 수 있습니다. 네트워크 관리자에게 문의하여 이 오류를 진단하고 해결합니다. 명령이 모두 성공하면 DNS에 오류가 있습니다.
  4. DNS 서버 서비스가 실행되고 있는지 확인합니다.

    대상 도메인 컨트롤러가 로컬 DNS 서버를 사용하도록 구성되어 있으면 DNS 서버 서비스가 실행되고 있는지 확인합니다. 이렇게 하려면 명령 프롬프트에서 net start “DNS Server”를 입력한 다음 Enter 키를 누릅니다.

    DNS 서버 서비스를 실행하고 있다면 서비스가 실행되고 있다는 메시지가 나타납니다. DNS 서버 서비스가 설치되어 있지만 서비스가 실행되지 않고 있다면 명령을 통해 DNS 서버 서비스가 시작됩니다.

    DNS 서버 서비스가 설치되어 있지 않으면 서버 이름이 잘못되었다는 메시지가 나타납니다. 대상 도메인 컨트롤러가 원격 DNS 서버를 사용하도록 구성되어 있으면 DNS 콘솔을 사용하여 DNS 서버 서비스를 시작합니다. 이렇게 하려면 다음을 수행합니다.
    1. DNS 콘솔을 엽니다.
    2. 동작 메뉴에서 DNS 서버에 연결을 누릅니다.
    3. DNS 서버에 연결에서 다음 컴퓨터를 누릅니다.
    4. 원격 서버에 연결하려면 원격 서버의 DNS 컴퓨터 이름이나 해당 IP 주소 중 하나를 지정합니다.
    5. 지정한 컴퓨터에 지금 연결 확인란을 눌러 선택한 다음 확인을 누릅니다.
    6. 동작 메뉴에서 모든 작업을 가리킨 다음 시작을 누릅니다.
  5. 리소스 레코드가 등록되었는지 확인합니다.

    대상 도메인 컨트롤러가 DNS CNAME 리소스 레코드인 Dsa_Guid._msdcs.Dns_Domain_Name을 사용하여 도메인 컨트롤러 복제 파트너를 찾습니다. Active Directory 도메인 이름의 DNS 영역에 이 리소스 레코드가 있는지 확인하려면 다음과 같이 하십시오.
    1. 콘솔 트리에서 DNS 콘솔을 엽니다. Active Directory 도메인 이름과 이름이 같은 DNS 영역을 호스팅하는 DNS 서버 서비스를 실행하는 도메인 컨트롤러를 찾습니다.
    2. 콘솔 트리에서 _msdcs.Dns_Domain_Name이라는 이름의 영역을 누릅니다.

      Windows 2000 Server DNS에서는 _msdcs.Dns_Domain_Name이 Active Directory 도메인 이름의 DNS 영역에 대한 하위 도메인입니다. Windows Server 2003에서는 _msdcs.Dns_Domain_Name이 별도의 영역입니다.
    named _msdcs.Dns_Domain_Name이라는 영역에 다음 리소스 레코드가 있어야 합니다.
    • 이름이 Dsa_Guid._msdcs.Dns_Domain_Name인 CNAME 리소스 레코드
    • CNAME 레코드에서 대상 호스트로 확인된 DNS 서버의 이름에 대한 해당 A 리소스 레코드


    해당 리소스 레코드가 없으면 6단계로 이동하여 Net Logon 서비스가 리소스 레코드를 자동으로 등록하지 않은 원인을 진단합니다.
  6. Active Directory 도메인 이름을 호스팅하는 DNS 서버 서비스가 동적 업데이트를 허용하도록 구성되어 있는지 확인합니다.
    1. DNS 콘솔에서 응용 프로그램 영역을 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
    2. 일반 탭에서 영역 종류가 Active Directory 통합 영역인지 확인합니다.
    3. 동적 업데이트에서 보안된 항목만을 누릅니다. (Windows 2000 Server의 경우 보안 동적 업데이트 옵션 이름은 보안된 업데이트만입니다.)
  7. DNS에서 DNS 리소스 레코드를 등록합니다.

    도메인 컨트롤러의 Net Logon 서비스가 네트워크에서 도메인 컨트롤러를 찾는 데 필요한 DNS 리소스 레코드를 등록합니다. 원본 도메인 컨트롤러에서 이 등록을 수동으로 초기화하려면 명령 프롬프트에 다음 명령을 입력하고 각 명령 다음에 Enter 키를 누릅니다.

    net stop "net logon"

    net start "net logon"

    DNS 클라이언트 서비스에서 CNAME 레코드가 가리키는 호스트 (A) 리소스 레코드를 등록합니다. 원본 도메인 컨트롤러에서 이 등록을 초기화하려면 명령 프롬프트에 ipconfig /registerdns를 입력한 다음 Enter 키를 누릅니다.
  8. 리소스 레코드 등록을 확인합니다.

    레코드가 등록되었는지 확인하려면 5단계인 "리소스 레코드가 등록되었는지 확인합니다."로 이동합니다.
  9. 원본 및 대상 도메인 컨트롤러에서 강제로 복제합니다.
    1. 대상 도메인 컨트롤러에서 Active Directory 사이트 및 서비스를 엽니다.
    2. 콘솔 트리에서 강제로 복제할 도메인 컨트롤러의 NTDS 설정을 누릅니다.
    3. 세부 정보 창에서 디렉터리 정보를 복제하는 데 사용할 연결을 마우스 오른쪽 단추로 누른 다음 지금 복제를 누릅니다.
    명령줄 도구에서 repadminreplmon을 사용할 수도 있습니다. 이런 도구는 Windows Server 2003 설치 CD에 있습니다. (repadmin 명령은 repadmin /syncall /d /e /P source_domain_controller입니다.)
  10. 다른 문제를 검토합니다.

    이전 단계에서 오류가 해결되지 않았다면 도메인 컨트롤러가 이름을 확인하는 데 사용하는 DNS 서버에서 이러한 리소스 레코드에 대한 기본 권한 영역을 찾을 수 없으므로 도메인 컨트롤러에서 DNS 리소스 레코드를 동적으로 구성하지 못할 수 있습니다. 이 경우 가능한 원인은 다음 두 가지입니다.

추가 정보

Netdiag.exeDcdiag.exe 명령줄 도구를 사용하여 DNS 및 Active Directory 인프라 문제를 해결할 수도 있습니다. 이러한 도구는 온라인이나 Windows Server 2003 설치 CD에 있습니다. 이러한 도구를 다운로드하려면 다음 Windows Server 2003 Resource Kit Tools 웹 페이지를 방문하십시오.
http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en) (영문)




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹 (http://support.microsoft.com/newsgroups/default.aspx) 에 참여하시기 바랍니다.

본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
키워드: 
kbprb kbdirservices KB824449
공유
추가 지원 옵션
Microsoft Community 지원 포럼
직접 문의하기
Microsoft Certified Partner 찾기
Microsoft Store
소기업이 아닙니까?
다음에서 팔로우하십시오.