Microsoft Entra Connect Health 경고 카탈로그

  • 아티클

Microsoft Entra Connect Health 서비스는 ID 인프라가 정상적이지 않다는 경고를 보냅니다. 이 문서에는 각 경고에 대한 경고 제목, 설명 및 수정 단계가 포함되어 있습니다.
오류, 경고 및 사전 경고는 Connect Health 서비스에서 생성되는 경고의 세 단계입니다. 트리거된 알림에 대한 작업을 즉시 수행하는 것이 좋습니다.
Microsoft Entra Connect Health 경고는 성공 조건에서 해결됩니다. Microsoft Entra Connect Health 에이전트는 성공 조건을 주기적으로 검색하고 서비스에 보고합니다. 일부 경고의 경우 시간을 기준으로 경고가 제거됩니다. 즉, 동일한 오류 조건이 경고 생성으로부터 72시간 내에 관찰되지 않으면 경고가 자동으로 해결됩니다.

일반 경고

경고 이름 설명 수정
상태 서비스 데이터가 최신 상태가 아닙니다. 하나 이상의 서버에서 실행 중인 상태 에이전트가 상태 관리 서비스에 연결되어 있지 않으며 상태 관리 서비스는 이 서버의 최신 데이터를 받고 있지 않습니다. 상태 관리 서비스에서 마지막으로 처리한 데이터는 2시간 이상 전의 데이터입니다. 상태 에이전트에 필요한 서비스 엔드포인트에 대한 아웃바운드 연결이 있는지 확인합니다. 자세히 알아보기

Microsoft Entra Connect(동기화)에 대한 경고

경고 이름 설명 수정
Microsoft Entra Connect 동기화 서비스가 실행되고 있지 않습니다. Microsoft Entra ID Sync Windows 서비스가 실행되고 있지 않거나 시작할 수 없습니다. 결과적으로 개체는 Microsoft Entra ID와 동기화되지 않습니다. Microsoft Entra ID Sync Services 시작
  1. 시작, 실행을 차례로 클릭하고, Services.msc를 입력한 다음, 확인을 클릭합니다.
  2. Microsoft Entra ID Sync 서비스를 찾은 다음 서비스가 시작되었는지 확인합니다. 서비스가 시작되지 않은 경우 서비스를 마우스 오른쪽 단추로 클릭한 다음, 시작을 클릭합니다.
Microsoft Entra ID에서 가져오기에 실패했습니다. Microsoft Entra Connector에서 가져오기 작업이 실패했습니다. 가져오기 작업에 대한 이벤트 로그 오류에서 자세한 내용을 조사합니다.
인증 실패로 인해 Microsoft Entra ID 연결 실패 인증 실패로 인해 Microsoft Entra ID 연결에 실패했습니다. 결과적으로 개체는 Microsoft Entra ID와 동기화되지 않습니다. 이벤트 로그 오류에서 자세한 내용을 조사합니다.
Active Directory로 내보내지 못했습니다. Active Directory Connector로 내보내기 작업이 실패했습니다. 내보내기 작업에 대한 이벤트 로그 오류에서 자세한 내용을 조사합니다.
Active Directory에서 가져오지 못했습니다. Active Directory에서 가져오지 못했습니다. 이로 인해 이 포리스트의 일부 도메인에 있는 개체를 가져올 수 없습니다.
  • DC 연결 확인
  • 수동으로 가져오기 다시 실행
  • 가져오기 작업에 대한 이벤트 로그 오류에서 자세한 내용을 조사합니다.
    		•
    Microsoft Entra ID로 내보내기 실패 Microsoft Entra Connector로 내보내기 작업이 실패했습니다. 결과적으로 일부 개체를 Microsoft Entra ID로 내보내지 못할 수 있습니다. 내보내기 작업에 대한 이벤트 로그 오류에서 자세한 내용을 조사합니다.
    지난 120분 동안 암호 해시 동기화 하트비트를 건너뛰었습니다. 지난 120분 동안 암호 해시 동기화가 Microsoft Entra ID와 연결되지 않았습니다. 결과적으로 암호는 Microsoft Entra ID와 동기화되지 않습니다. Microsoft Entra ID 동기화 서비스를 다시 시작합니다.
    현재 실행 중인 모든 동기화 작업이 중단됩니다. 진행 중인 동기화 작업이 없는 경우 아래 단계를 수행할 수 있습니다.
    1. 시작, 실행을 차례로 클릭하고, Services.msc를 입력한 다음, 확인을 클릭합니다.
    2. Microsoft Entra ID Sync를 찾아 마우스 오른쪽 단추로 클릭한 다음 다시 시작을 클릭합니다.
    높은 CPU 사용량이 감지됨 이 서버에서 CPU 사용률이 권장 임계값을 초과했습니다.
  • 이로 인해 CPU 사용량이 일시적으로 급증할 수 있습니다. 모니터링 섹션에서 CPU 사용량 추세를 확인합니다.
  • 서버에서 가장 높은 CPU 사용량을 소모하는 상위 프로세스를 검사합니다.
    1. 작업 관리자를 사용하거나 다음 PowerShell 명령을 실행할 수 있습니다.
      get-process | Sort-Object -Descending CPU | Select-Object -First 10
    2. CPU 사용량이 많은 예기치 않은 프로세스가 있는 경우 다음 PowerShell 명령을 사용하여 프로세스를 중지합니다.
      stop-process -ProcessName [프로세스 이름]
  • 위의 목록에 표시된 프로세스가 서버에서 실행되는 의도된 프로세스이고 CPU 사용량이 계속 임계값에 근접하고 있는 경우 이 서버의 배포 요구 사항을 다시 평가해 보세요.
  • fail-safe 옵션으로 서버를 다시 시작하는 것이 좋습니다.
    		•
    높은 메모리 사용량이 감지됨 이 서버에서 메모리 사용률이 권장 임계값을 넘었습니다. 서버에서 가장 많은 메모리를 소모하는 상위 프로세스를 검사합니다. 작업 관리자를 사용하거나 다음 PowerShell 명령을 실행할 수 있습니다.
    get-process | Sort-Object -Descending WS | Select-Object -First 10
    높은 메모리를 소모하는 예기치 않은 프로세스가 있는 경우 다음 PowerShell 명령을 사용하여 프로세스를 중지합니다.
    stop-process -ProcessName [프로세스 이름]
  • 위 목록에 표시된 프로세스가 서버에서 실행되는 의도된 프로세스인 경우 이 서버의 배포 요구 사항을 다시 평가해 보세요.
  • failsafe 옵션으로 서버를 다시 시작하는 것이 좋습니다.
    		•
    암호 해시 동기화가 중지되었습니다. 암호 해시 동기화가 중지되었습니다. 결과적으로 암호는 Microsoft Entra ID와 동기화되지 않습니다. Microsoft Entra ID 동기화 서비스를 다시 시작합니다.
    현재 실행 중인 모든 동기화 작업이 중단됩니다. 진행 중인 동기화 작업이 없는 경우 아래 단계를 수행할 수 있습니다.
    1. 시작, 실행을 차례로 클릭하고, Services.msc를 입력한 다음, 확인을 클릭합니다.
    2. Microsoft Entra ID Sync를 찾아 마우스 오른쪽 단추로 클릭한 다음 다시 시작을 클릭합니다.
    Microsoft Entra ID로 내보내기가 중지되었습니다. 실수로 삭제 임계값에 도달했습니다. Microsoft Entra ID로 내보내기 작업이 실패했습니다. 구성된 임계값보다 삭제할 개체가 더 많습니다. 이로 인해 내보낼 개체가 없습니다.
  • 삭제 표시된 개체 수가 설정된 임계값보다 큽니다. 이 결과가 필요한지 확인합니다.
  • 내보내기를 계속하려면 다음 단계를 수행합니다.
    1. Disable-ADSyncExportDeletionThreshold를 실행하여 임계값을 사용하지 않도록 설정합니다.
    2. Synchronization Service Manager 시작
    3. 형식 = Microsoft Entra ID인 커넥터에서 내보내기 실행
    4. 개체가 성공적으로 내보내지면 Enable-ADSyncExportDeletionThreshold를 실행하여 임계값을 사용하도록 설정합니다.
    		•

    Active Directory Federation Services에 대한 경고

    경고 이름 설명 수정
    테스트 인증 요청(가상 트랜잭션)이 토큰을 가져오지 못했습니다. 이 서버에서 시작된 테스트 인증 요청(가상 트랜잭션)은 5회 재시도 후 토큰을 가져오지 못했습니다. 이는 일시적인 네트워크 문제, AD DS 도메인 컨트롤러 가용성 또는 잘못 구성된 AD FS 서버로 인해 발생할 수 있습니다. 이에 따라 페더레이션 서비스에서 처리한 인증 요청이 실패할 수 있습니다. 에이전트는 로컬 컴퓨터 계정 컨텍스트를 사용하여 페더레이션 서비스에서 토큰을 가져옵니다. 다음 단계에 따라 서버의 상태를 확인합니다.
    1. 팜에 있는 해당 AD FS 서버 또는 다른 AD FS 서버에 대해 확인되지 않은 추가 경고가 없는지 확인합니다.
    2. https://{your_adfs_server_name}/adfs/ls/idpinitiatedsignon.aspx에서 사용할 수 있는 AD FS 로그인 페이지에서 테스트 사용자로 로그온하여 이 조건이 일시적인 오류가 아닌지 확인합니다.
    3. https://testconnectivity.microsoft.com(으)로 이동하여 'Office 365' 탭을 선택합니다. 'Office 365 Single Sign-On 테스트'를 수행합니다.
    4. 이 서버의 명령 프롬프트에서 다음 명령을 실행하여 이 서버에서 AD FS 서비스 이름을 확인할 수 있는지 확인합니다. nslookup your_adfs_server_name

    서비스 이름을 확인할 수 없는 경우 FAQ 섹션에서 이 서버의 IP 주소와 함께 AD FS 서비스의 HOST 파일 항목을 추가하는 지침을 참조하세요. 그러면 이 서버에서 실행되는 가상 트랜잭션 모듈이 토큰을 요청할 수 있습니다.
    프록시 서버를 페더레이션 서버에 연결할 수 없습니다. 이 AD FS 프록시 서버는 AD FS 서비스에 연결할 수 없습니다. 이로 인해 이 서버에서 처리하는 인증 요청이 실패합니다. 이 서버와 AD FS 서비스 간의 연결을 확인하려면 다음 단계를 수행합니다.
    1. 이 서버와 AD FS 서비스 간의 방화벽이 정확하게 구성되어 있는지 확인합니다.
    2. AD FS 서비스 이름에 대한 DNS 확인이 회사 네트워크 내에 있는 AD FS 서비스를 적절하게 가리키고 있는지 확인합니다. 경계 네트워크에서 이 서버를 제공하는 DNS 서버 또는 AD FS 서비스 이름에 대한 HOSTS 파일의 항목을 통해 이 작업을 수행할 수 있습니다.
    3. 이 서버에서 브라우저를 열고, https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml에 있는 페더레이션 메타데이터 엔드포인트에 액세스하여 네트워크 연결이 유효한지 확인합니다.
    SSL 인증서가 곧 만료됩니다. 페더레이션 서버에서 사용하는 TLS/SSL 인증서가 90일 이내에 만료됩니다. 만료되면 유효한 TLS 연결을 요구하는 모든 요청이 실패합니다. 예를 들어 Microsoft 365 고객의 경우 메일 클라이언트에서 인증할 수 없습니다. 각 AD FS 서버에서 TLS/SSL 인증서를 업데이트합니다.
    1. 다음 요구 사항에 따라 TLS/SSL 인증서를 가져옵니다.
      1. 확장된 키 사용은 적어도 서버 인증입니다.
      2. 인증서 주체 또는 SAN(주체 대체 이름)에는 페더레이션 서비스의 DNS 이름이나 적절한 와일드카드가 포함됩니다. 예: sso.contoso.com 또는 *.contoso.com
    2. 로컬 컴퓨터 인증서 저장소의 각 서버에 새 TLS/SSL 인증서를 설치합니다.
    3. AD FS 서비스 계정에 인증서의 프라이빗 키에 대한 읽기 권한이 있는지 확인합니다.

    Windows Server 2008 R2에 있는 AD FS 2.0의 경우:

    • 새 TLS/SSL 인증서를 페더레이션 서비스를 호스팅하는 IIS의 웹 사이트에 바인딩합니다. 각 페더레이션 서버 및 페더레이션 서버 프록시에서 이 단계를 수행해야 합니다.

    Windows Server 2012 R2 이상 버전에 있는 AD FS의 경우:

  • AD FS 및 WAP에서 SSL 인증서 관리 참조
    • AD FS 서비스가 서버에서 실행되고 있지 않습니다. Active Directory Federation Service(Windows 서비스)가 이 서버에서 실행되고 있지 않습니다. 이 서버를 대상으로 하는 모든 요청이 실패합니다. Active Directory Federation Service(Windows 서비스)를 시작하려면 다음을 수행합니다.
    1. 관리자 권한으로 서버에 로그온합니다.
    2. services.msc를 엽니다.
    3. "Active Directory Federation Services" 찾기
    4. 마우스 오른쪽 단추를 클릭하고 "시작" 선택
    페더레이션 서비스의 DNS가 잘못 구성되었을 수 있습니다. DNS 서버는 AD FS 팜 이름에 CNAME 레코드를 사용하도록 구성할 수 있습니다. Windows 통합 인증이 회사 네트워크 내에서 원활하게 작동하려면 AD FS에 A 또는 AAAA 레코드를 사용하는 것이 좋습니다. AD FS 팜 <Farm Name>의 DNS 레코드 종류가 CNAME이 아닌지 확인합니다. A 또는 AAAA 레코드로 구성합니다.
    AD FS 감사를 사용할 수 없습니다. 서버에서 AD FS 감사를 사용할 수 없습니다. 포털의 AD FS 사용 현황 섹션에는 이 서버의 데이터가 포함되지 않습니다. AD FS 감사를 사용할 수 없는 경우 다음 지침을 따릅니다.
    1. AD FS 서버에서 "보안 감사 생성" 권한을 AD FS 서비스 계정에 부여합니다.
    2. gpedit.msc 서버에서 로컬 보안 정책을 엽니다.
    3. "Computer Configuration\Windows Settings\Local Policies\User Rights Assignment"로 이동합니다.
    4. "보안 감사 생성" 권한을 부여받도록 AD FS 서비스 계정을 추가합니다.
    5. 명령 프롬프트에서 다음 명령을 실행합니다.
      auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    6. 성공 및 실패 감사가 포함되도록 페더레이션 서비스 속성을 업데이트합니다.
    7. AD FS 콘솔에서 "페더레이션 서비스 속성 편집"을 선택합니다.
    8. "페더레이션 서비스 속성" 대화 상자에서 [이벤트] 탭을 선택하고 "성공 감사" 및 "실패 감사"를 선택합니다.

    이러한 단계가 완료되면 AD FS 감사 이벤트가 이벤트 뷰어에 표시됩니다. 확인하려면 다음을 수행합니다.

    1. 이벤트 뷰어 / Windows 로그 / 보안으로 차례로 이동합니다.
    2. [현재 로그 필터링]을 선택하고 [이벤트 원본] 드롭다운에서 [AD FS 감사]를 선택합니다. AD FS 감사를 사용하도록 설정된 활성 AD FS 서버의 경우 이벤트가 위의 필터링에 표시됩니다.

    앞에서 이러한 지침을 수행했지만 이 경고가 계속 표시되는 경우, 그룹 정책 개체에서 AD FS 감사를 사용하지 않도록 설정했을 수 있습니다. 근본 원인은 다음 중 하나일 수 있습니다.

    1. AD FS 서비스 계정이 보안 감사 생성 권한이 있는 상태에서 제거되었습니다.
    2. 그룹 정책 개체의 사용자 지정 스크립트에서 "애플리케이션 생성됨" 상태에 따라 성공 및 실패 감사를 사용하지 않도록 설정되었습니다.
    3. AD FS 구성이 성공/실패 감사를 생성하도록 설정되지 않았습니다.
    AD FS SSL 인증서가 자체 서명되었습니다. 현재 AD FS 팜에서 자체 서명된 인증서를 TLS/SSL 인증서로 사용하고 있습니다. 이로 인해 Microsoft 365에 대한 메일 클라이언트 인증이 실패합니다.

    각 AD FS 서버에서 TLS/SSL 인증서를 업데이트합니다.

    1. 다음 요구 사항에 따라 공개적으로 신뢰할 수 있는 TLS/SSL 인증서를 가져옵니다.
    2. 인증서 설치 파일에는 프라이빗 키가 포함되어 있습니다.
    3. 확장된 키 사용은 적어도 서버 인증입니다.
    4. 인증서 주체 또는 SAN(주체 대체 이름)에는 페더레이션 서비스의 DNS 이름이나 적절한 와일드카드가 포함됩니다. 예: sso.contoso.com 또는 *.contoso.com

    로컬 컴퓨터 인증서 저장소의 각 서버에 새 TLS/SSL 인증서를 설치합니다.

      AD FS 서비스 계정에 인증서의 프라이빗 키에 대한 읽기 권한이 있는지 확인합니다.
      Windows Server 2008 R2에 있는 AD FS 2.0의 경우:
    1. 새 TLS/SSL 인증서를 페더레이션 서비스를 호스팅하는 IIS의 웹 사이트에 바인딩합니다. 각 페더레이션 서버 및 페더레이션 서버 프록시에서 이 단계를 수행해야 합니다.

      2. Windows Server 2012 R2 이상 버전에 있는 AD FS의 경우:
    2. AD FS 및 WAP에서 SSL 인증서 관리 참조
    프록시 서버와 페더레이션 서버 간의 신뢰가 잘못되었습니다. 페더레이션 서버 프록시와 페더레이션 서비스 간의 신뢰를 설정하거나 업데이트할 수 없습니다. 프록시 서버에서 프록시 신뢰 인증서를 업데이트합니다. 프록시 구성 마법사를 다시 실행합니다.
    AD FS에 대한 엑스트라넷 잠금 보호 사용 안 함 AD FS 팜에 엑스트라넷 잠금 보호 기능을 사용하지 않도록 설정되어 있습니다. 이 기능은 AD DS 계정 잠금 정책이 적용된 경우 무차별 암호 대입 공격으로부터 사용자를 보호하고 사용자에 대한 서비스 거부 공격을 방지합니다. 이 기능을 사용하도록 설정한 경우 사용자에 대한 엑스트라넷 로그인 시도(WAP 서버 및 AD FS를 통한 로그인 시도) 실패 횟수가 'ExtranetLockoutThreshold'를 초과하면 AD FS 서버에서 'ExtranetObservationWindow'에 대한 추가적인 로그인 시도 처리를 중지합니다. AD FS 서버에서 이 기능을 사용하도록 설정하는 것이 좋습니다. 다음 명령을 실행하여 AD FS 엑스트라넷 잠금 보호를 기본값으로 사용하도록 설정합니다.
    Set-AdfsProperties -EnableExtranetLockout $true

    사용자에 대해 구성한 AD 잠금 정책이 있는 경우 'ExtranetLockoutThreshold' 속성이 AD DS 잠금 임계값보다 낮은 값으로 설정되어 있는지 확인합니다. 이렇게 하면 AD FS에 대한 임계값을 초과한 요청은 삭제되고 AD DS 서버에 대한 유효성이 검사되지 않습니다.
    AD FS 서비스 계정의 SPN(서비스 사용자 이름)이 잘못되었습니다. 페더레이션 서비스 계정의 서비스 사용자 이름이 등록되어 있지 않거나 고유하지 않습니다. 이로 인해 도메인에 가입된 클라이언트의 Windows 통합 인증이 원활하지 않을 수 있습니다. [SETSPN -L ServiceAccountName]을 사용하여 서비스 사용자를 나열합니다.
    [SETSPN -X]를 사용하여 중복된 서비스 사용자 이름을 확인합니다.

    SPN이 AD FS 서비스 계정에 대해 중복된 경우 [SETSPN -d service/namehostname]을 사용하여 중복된 계정에서 해당 SPN을 제거합니다.

    SPN이 설정되지 않은 경우 [SETSPN -s {Desired-SPN} {domain_name}{service_account}]를 사용하여 페더레이션 서비스 계정에 대해 원하는 SPN을 설정합니다.
    기본 AD FS 토큰 암호 해독 인증서가 곧 만료됩니다. 기본 AD FS 토큰 암호 해독 인증서가 90일 이내에 만료됩니다. AD FS는 신뢰할 수 있는 클레임 공급자의 토큰을 해독할 수 없습니다. AD FS는 암호화된 SSO 쿠키를 해독할 수 없습니다. 이로 인해 최종 사용자는 리소스에 액세스하도록 인증받을 수 없습니다. 자동 인증서 롤오버를 사용하도록 설정하면 AD FS에서 토큰 암호 해독 인증서를 관리합니다.

    인증서를 수동으로 관리하는 경우 아래 지침을 따르세요. 새 토큰 암호 해독 인증서 가져오기

    1. EKU(확장된 키 사용)에 "키 암호화"가 포함되어 있는지 확인
    2. 주체 또는 SAN(주체 대체 이름)에는 제한이 없습니다.
    3. 토큰 암호 해독 인증서의 유효성을 검사할 때, 페더레이션 서버 및 클레임 공급자 파트너에서 신뢰할 수 있는 루트 인증 기관에 연결할 수 있어야 합니다.
    클레임 공급자 파트너에서 새 토큰 암호 해독 인증서를 신뢰하는 방법 결정
    1. 인증서를 업데이트한 후 페더레이션 메타데이터를 가져오도록 파트너에 요청합니다.
    2. 새 인증서(.cer 파일)의 공개 키를 파트너와 공유합니다. 클레임 공급자 파트너의 AD FS 서버에 있는 [관리 도구] 메뉴에서 [AD FS 관리]를 시작합니다. [트러스트 관계/신뢰 당사자 트러스트] 아래에서 사용자에 대해 만들어진 신뢰를 선택합니다. [속성/암호화] 아래에서 "찾아보기"를 클릭하여 새 토큰 암호 해독 인증서를 선택하고 [확인]을 클릭합니다.
    각 페더레이션 서버의 로컬 인증서 저장소에 인증서 설치
    • 각 서버에서 인증서 설치 파일에 인증서의 프라이빗 키가 있는지 확인합니다.
    페더레이션 서비스 계정에 새 인증서의 프라이빗 키에 대한 액세스 권한이 있는지 확인합니다.AD FS에 새 인증서를 추가합니다.
    1. [관리 도구] 메뉴에서 [AD FS 관리]를 시작합니다.
    2. [서비스]를 펼치고 [인증서]를 선택합니다.
    3. [작업] 창에서 [토큰 암호 해독 인증서 추가]를 클릭합니다.
    4. 토큰 암호 해독에 유효한 인증서 목록이 표시됩니다. 새 인증서가 목록에 표시되지 않은 경우, 다시 돌아가서 프라이빗 키가 연결된 로컬 컴퓨터 개별 저장소에 인증서가 있고, 인증서에 키 암호화가 확장된 키 사용으로 있는지 확인해야 합니다.
    5. 새 토큰 암호 해독 인증서를 선택하고 [확인]을 클릭합니다.
    새 토큰 암호 해독 인증서를 기본 인증서로 설정
    1. [AD FS 관리]에서 [인증서] 노드를 선택하면 [토큰 암호 해독] 아래에 나열된 두 개의 인증서(기존 및 새 인증서)가 표시됩니다.
    2. 새 토큰 암호 해독 인증서를 선택하고, 마우스 오른쪽 단추로 클릭한 다음, [기본 인증서로 설정]을 선택합니다.
    3. 롤오버를 위해 이전 인증서를 보조 인증서로 남겨 둡니다. 롤오버에 더 이상 필요하지 않거나 인증서가 만료되면 이전 인증서를 제거하도록 계획해야 합니다.
    기본 AD FS 토큰 서명 인증서가 곧 만료됩니다. AD FS 토큰 서명 인증서가 90일 이내에 만료됩니다. 이 인증서가 유효하지 않은 경우 AD FS에서 서명된 토큰을 발급할 수 없습니다. 새 토큰 서명 인증서 가져오기
    1. EKU(확장된 키 사용)에 "디지털 서명"이 포함되어 있는지 확인
    2. 주제 또는 SAN(주체 대체 이름)에는 제한이 없습니다.
    3. 토큰 서명 인증서의 유효성을 검사할 때, 페더레이션 서버, 리소스 파트너 페더레이션 서버 및 신뢰 당사자 애플리케이션 서버에서 신뢰할 수 있는 루트 인증 기관에 연결할 수 있어야 합니다.
    각 페더레이션 서버의 로컬 인증서 저장소에 인증서 설치
    • 각 서버에서 인증서 설치 파일에 인증서의 프라이빗 키가 있는지 확인합니다.
    페더레이션 서비스 계정에 새 인증서의 프라이빗 키에 대한 액세스 권한이 있는지 확인합니다.AD FS에 새 인증서를 추가합니다.
    1. [관리 도구] 메뉴에서 [AD FS 관리]를 시작합니다.
    2. [서비스]를 펼치고 [인증서]를 선택합니다.
    3. [작업] 창에서 [토큰 서명 인증서 추가...]를 클릭합니다.
    4. 토큰 서명에 유효한 인증서 목록이 표시됩니다. 새 인증서가 목록에 표시되지 않은 경우, 다시 돌아가서 개인 키가 연결된 로컬 컴퓨터 개별 저장소에 인증서가 있고, 인증서에 디지털 서명 KU가 있는지 확인해야 합니다.
    5. 새 토큰 서명 인증서를 선택하고 [확인]을 클릭합니다.
    토큰 서명 인증서의 변경에 대해 모든 신뢰 당사자에게 알림
    1. AD FS 페더레이션 메타데이터를 사용하는 신뢰 당사자가 새 인증서를 사용하여 시작하려면 새 페더레이션 메타데이터를 가져와야 합니다.
    2. AD FS 페더레이션 메타데이터를 사용하지 않는 신뢰 당사자는 새 토큰 서명 인증서의 공개 키를 수동으로 업데이트해야 합니다. .cer 파일을 신뢰 당사자와 공유합니다.
      3. 새 토큰 서명 인증서를 기본 인증서로 설정합니다.
      1. [AD FS 관리]에서 [인증서] 노드를 선택하면 [토큰 서명] 아래에 나열된 두 개의 인증서(기존 및 새 인증서)가 표시됩니다.
      2. 새 토큰 서명 인증서를 선택하고, 마우스 오른쪽 단추로 클릭한 다음, 기본 인증서로 설정을 선택합니다.
      3. 롤오버를 위해 이전 인증서를 보조 인증서로 남겨 둡니다. 롤오버에 더 이상 필요하지 않거나 인증서가 만료되면 이전 인증서를 제거하도록 계획해야 합니다. 현재 사용자의 SSO 세션은 서명되어 있습니다. 현재 AD FS 프록시 트러스트 관계는 이전 인증서를 사용하여 서명되고 암호화된 토큰을 활용합니다.
    AD FS SSL 인증서를 로컬 인증서 저장소에서 찾을 수 없습니다. AD FS 데이터베이스에서 TLS/SSL 인증서로 구성된 지문이 있는 인증서를 로컬 인증서 저장소에서 찾을 수 없습니다. 이로 인해 TLS/SSL을 통한 인증 요청이 실패합니다. 예를 들어 Microsoft 365에 대한 메일 클라이언트 인증이 실패합니다. 지문이 구성된 인증서를 로컬 인증서 저장소에 설치합니다.
    SSL 인증서가 만료되었습니다. AD FS 서비스에 대한 TLS/SSL 인증서가 만료되었습니다. 이로 인해 유효한 TLS 연결을 요구하는 모든 인증 요청이 실패합니다. 예를 들어 메일 클라이언트 인증은 Microsoft 365에 대해 인증할 수 없습니다. 각 AD FS 서버에서 TLS/SSL 인증서를 업데이트합니다.
    1. 다음 요구 사항에 따라 TLS/SSL 인증서를 가져옵니다.
    2. 확장된 키 사용은 적어도 서버 인증입니다.
    3. 인증서 주체 또는 SAN(주체 대체 이름)에는 페더레이션 서비스의 DNS 이름이나 적절한 와일드카드가 포함됩니다. 예: sso.contoso.com 또는 *.contoso.com
    4. 로컬 컴퓨터 인증서 저장소의 각 서버에 새 TLS/SSL 인증서를 설치합니다.
    5. AD FS 서비스 계정에 인증서의 프라이빗 키에 대한 읽기 권한이 있는지 확인합니다.

    Windows Server 2008 R2에 있는 AD FS 2.0의 경우:

    • 새 TLS/SSL 인증서를 페더레이션 서비스를 호스팅하는 IIS의 웹 사이트에 바인딩합니다. 각 페더레이션 서버 및 페더레이션 서버 프록시에서 이 단계를 수행해야 합니다.

    Windows Server 2012 R2 이상 버전에 있는 AD FS의 경우:AD FS 및 WAP에서 SSL 인증서 관리 참조

    Microsoft Entra ID(Microsoft 365용)에 대한 필수 엔드포인트가 사용하도록 설정되지 않았습니다. Exchange Online Services, Microsoft Entra ID 및 Microsoft 365에 필요한 다음 엔드포인트 집합은 페더레이션 서비스에 대해 사용하도록 설정되지 않습니다.
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
    		•  페더레이션 서비스에서 Microsoft Cloud Services에 필요한 엔드포인트를 사용하도록 설정합니다.
    Windows Server 2012 R2 이상 버전에 있는 AD FS의 경우
  • AD FS 및 WAP에서 SSL 인증서 관리 참조

    • 페더레이션 서버에서 AD FS 구성 데이터베이스에 연결할 수 없습니다. AD FS 구성 데이터베이스에 연결하는 동안 AD FS 서비스 계정에 문제가 발생합니다. 이로 인해 이 컴퓨터의 AD FS 서비스가 예상대로 작동하지 않을 수 있습니다.
  • AD FS 서비스 계정에 구성 데이터베이스에 대한 액세스 권한이 있는지 확인합니다.
  • AD FS 구성 데이터베이스 서비스를 사용할 수 있고 연결할 수 있는지 확인합니다.
    • 필수 SSL 바인딩이 누락되었거나 구성되지 않았습니다. 이 페더레이션 서버에서 인증을 성공적으로 수행하는 데 필요한 TLS 바인딩이 잘못 구성되었습니다. 이로 인해 AD FS에서 들어오는 요청을 처리할 수 없습니다. Windows Server 2012 R2의 경우
    관리자 권한으로 명령 프롬프트를 열고 다음 명령을 실행합니다.
    1. 현재 TLS 바인딩을 보려면: Get-AdfsSslCertificate
    2. 새 바인딩을 추가하려면: netsh http add sslcert hostnameport=<federation service name>:443 certhash=0102030405060708090A0B0C0D0E0F1011121314 appid={00112233-4455-6677-8899-AABBCCDDEEFF} certstorename=MY
    기본 AD FS 토큰 서명 인증서가 만료되었습니다. AD FS 토큰 서명 인증서가 만료되었습니다. 이 인증서가 유효하지 않은 경우 AD FS에서 서명된 토큰을 발급할 수 없습니다. 자동 인증서 롤오버를 사용하도록 설정하면 AD FS에서 토큰 서명 인증서 업데이트를 관리합니다.

    인증서를 수동으로 관리하는 경우 아래 지침을 따르세요.

    1. 새 토큰 서명 인증서 가져오기
      1. EKU(확장된 키 사용)에 "디지털 서명"이 포함되어 있는지 확인
      2. 주제 또는 SAN(주체 대체 이름)에는 제한이 없습니다.
      3. 토큰 서명 인증서의 유효성을 검사할 때, 페더레이션 서버, 리소스 파트너 페더레이션 서버 및 신뢰 당사자 애플리케이션 서버에서 신뢰할 수 있는 루트 인증 기관에 연결할 수 있어야 합니다.
    2. 각 페더레이션 서버의 로컬 인증서 저장소에 인증서 설치
      • 각 서버에서 인증서 설치 파일에 인증서의 프라이빗 키가 있는지 확인합니다.
    3. 페더레이션 서비스 계정에 새 인증서의 프라이빗 키에 대한 액세스 권한이 있는지 확인합니다.
    4. AD FS에 새 인증서 추가
      1. [관리 도구] 메뉴에서 [AD FS 관리]를 시작합니다.
      2. [서비스]를 펼치고 [인증서]를 선택합니다.
      3. [작업] 창에서 [토큰 서명 인증서 추가...]를 클릭합니다.
      4. 토큰 서명에 유효한 인증서 목록이 표시됩니다. 새 인증서가 목록에 표시되지 않은 경우, 다시 돌아가서 개인 키가 연결된 로컬 컴퓨터 개별 저장소에 인증서가 있고, 인증서에 디지털 서명 KU가 있는지 확인해야 합니다.
      5. 새 토큰 서명 인증서를 선택하고 [확인]을 클릭합니다.
    5. 토큰 서명 인증서의 변경에 대해 모든 신뢰 당사자에게 알림
      1. AD FS 페더레이션 메타데이터를 사용하는 신뢰 당사자가 새 인증서를 사용하여 시작하려면 새 페더레이션 메타데이터를 가져와야 합니다.
      2. AD FS 페더레이션 메타데이터를 사용하지 않는 신뢰 당사자는 새 토큰 서명 인증서의 공개 키를 수동으로 업데이트해야 합니다. .cer 파일을 신뢰 당사자와 공유합니다.
    6. 새 토큰 서명 인증서를 기본 인증서로 설정합니다.
      1. [AD FS 관리]에서 [인증서] 노드를 선택하면 [토큰 서명] 아래에 나열된 두 개의 인증서(기존 및 새 인증서)가 표시됩니다.
      2. 새 토큰 서명 인증서를 선택하고, 마우스 오른쪽 단추로 클릭한 다음, 기본 인증서로 설정을 선택합니다.
      3. 롤오버를 위해 이전 인증서를 보조 인증서로 남겨 둡니다. 롤오버에 더 이상 필요하지 않거나 인증서가 만료되면 이전 인증서를 제거하도록 계획해야 합니다. 현재 사용자의 SSO 세션은 서명되어 있습니다. 현재 AD FS 프록시 트러스트 관계는 이전 인증서를 사용하여 서명되고 암호화된 토큰을 활용합니다.
    프록시 서버에서 정체 제어 요청을 삭제하고 있습니다. 이 프록시 서버는 현재 이 프록시 서버와 페더레이션 서버 간의 일반적인 대기 시간보다 길기 때문에 엑스트라넷의 요청을 삭제하고 있습니다. 이로 인해 AD FS 프록시 서버에서 처리한 인증 요청의 특정 부분이 실패할 수 있습니다.
  • 페더레이션 프록시 서버와 페더레이션 서버 간의 네트워크 대기 시간이 허용되는 범위 내에 속하는지 확인합니다. "토큰 요청 대기 시간"의 추세 값은 모니터링 섹션을 참조하세요. 대기 시간이 [1500ms]보다 길면 대기 시간이 긴 것으로 간주해야 합니다. 대기 시간이 길면 AD FS 및 AD FS 프록시 서버 간의 네트워크에 연결 문제가 없는지 확인합니다.
  • 페더레이션 서버가 인증 요청으로 오버로드되지 않는지 확인합니다. 모니터링 섹션에서는 초당 토큰 요청 수, CPU 사용률 및 메모리 사용량에 대한 추세 보기를 제공합니다.
  • 위의 항목이 확인되었고 이 문제가 계속 표시되면, 관련 링크의 지침에 따라 각 페더레이션 프록시 서버에서 정체 방지 설정을 조정합니다.
    		•
    AD FS 서비스 계정에서 인증서의 프라이빗 키 중 하나에 대한 액세스가 거부되었습니다. AD FS 서비스 계정에 이 컴퓨터의 AD FS 인증서 중 하나의 개인 키에 대한 액세스 권한이 없습니다. AD FS 서비스 계정에 로컬 컴퓨터 인증서 저장소에 저장된 TLS, 토큰 서명 인증서 및 토큰 암호 해독 인증서에 대한 액세스가 제공되는지 확인합니다.
    1. 명령줄에서 MMC를 입력합니다.
    2. [파일] -> [스냅인 추가/제거]로 차례로 이동합니다.
    3. [인증서]를 선택하고 [추가]를 클릭합니다. -> [컴퓨터 계정]을 선택하고 [다음]을 클릭합니다. -> [로컬 컴퓨터]를 선택하고 [마침]을 클릭합니다. 확인을 클릭합니다.

    Certificates(로컬 컴퓨터)/Personal/Certificates를 엽니다. AD FS에서 사용하는 모든 인증서에 대해 다음을 수행합니다.
    1. 인증서를 마우스 오른쪽 단추로 클릭합니다.
    2. [모든 작업] -> [프라이빗 키 관리]를 차례로 선택합니다.
    3. [그룹 또는 사용자 이름] 아래의 [보안] 탭에서 AD FS 서비스 계정이 있는지 확인합니다. 그렇지 않은 경우 [추가]를 선택하고 AD FS 서비스 계정을 추가합니다.
    4. AD FS 서비스 계정을 선택하고 "<AD FS 서비스 계정 이름>에 대한 권한"에서 읽기 권한이 허용되는지 확인합니다(확인 표시).
    AD FS SSL 인증서에 개인 키가 없습니다. AD FS TLS/SSL 인증서가 프라이빗 키 없이 설치되었습니다. 이로 인해 SSL을 통한 인증 요청이 실패합니다. 예를 들어 Microsoft 365에 대한 메일 클라이언트 인증이 실패합니다. 각 AD FS 서버에서 TLS/SSL 인증서를 업데이트합니다.
    1. 다음 요구 사항에 따라 공개적으로 신뢰할 수 있는 TLS/SSL 인증서를 가져옵니다.
      1. 인증서 설치 파일에는 프라이빗 키가 포함되어 있습니다.
      2. 확장된 키 사용은 적어도 서버 인증입니다.
      3. 인증서 주체 또는 SAN(주체 대체 이름)에는 페더레이션 서비스의 DNS 이름이나 적절한 와일드카드가 포함됩니다. 예: sso.contoso.com 또는 *.contoso.com
    2. 로컬 컴퓨터 인증서 저장소의 각 서버에 새 TLS/SSL 인증서를 설치합니다.
    3. AD FS 서비스 계정에 인증서의 프라이빗 키에 대한 읽기 권한이 있는지 확인합니다.

    Windows Server 2008 R2에 있는 AD FS 2.0의 경우:

    • 새 TLS/SSL 인증서를 페더레이션 서비스를 호스팅하는 IIS의 웹 사이트에 바인딩합니다. 각 페더레이션 서버 및 페더레이션 서버 프록시에서 이 단계를 수행해야 합니다.

    Windows Server 2012 R2 이상 버전에 있는 AD FS의 경우:

  • AD FS 및 WAP에서 SSL 인증서 관리 참조
    • 기본 AD FS 토큰 암호 해독 인증서가 만료되었습니다. 기본 AD FS 토큰 암호 해독 인증서가 만료되었습니다. AD FS는 신뢰할 수 있는 클레임 공급자의 토큰을 해독할 수 없습니다. AD FS는 암호화된 SSO 쿠키를 해독할 수 없습니다. 이로 인해 최종 사용자는 리소스에 액세스하도록 인증받을 수 없습니다.

    자동 인증서 롤오버를 사용하도록 설정하면 AD FS에서 토큰 암호 해독 인증서를 관리합니다.

    인증서를 수동으로 관리하는 경우 아래 지침을 따르세요.

    1. 새 토큰 암호 해독 인증서 가져오기
      • EKU(확장된 키 사용)에 "키 암호화"가 포함되어 있는지 확인합니다.
      • 주체 또는 SAN(주체 대체 이름)에는 제한이 없습니다.
      • 토큰 암호 해독 인증서의 유효성을 검사할 때, 페더레이션 서버 및 클레임 공급자 파트너에서 신뢰할 수 있는 루트 인증 기관에 연결할 수 있어야 합니다.
    2. 클레임 공급자 파트너에서 새 토큰 암호 해독 인증서를 신뢰하는 방법 결정
      • 인증서를 업데이트한 후 페더레이션 메타데이터를 가져오도록 파트너에 요청합니다.
      • 새 인증서(.cer 파일)의 공개 키를 파트너와 공유합니다. 클레임 공급자 파트너의 AD FS 서버에 있는 [관리 도구] 메뉴에서 [AD FS 관리]를 시작합니다. [트러스트 관계/신뢰 당사자 트러스트] 아래에서 사용자에 대해 만들어진 신뢰를 선택합니다. [속성/암호화] 아래에서 "찾아보기"를 클릭하여 새 토큰 암호 해독 인증서를 선택하고 [확인]을 클릭합니다.
    3. 각 페더레이션 서버의 로컬 인증서 저장소에 인증서 설치
      • 각 서버에서 인증서 설치 파일에 인증서의 프라이빗 키가 있는지 확인합니다.
    4. 페더레이션 서비스 계정에 새 인증서의 프라이빗 키에 대한 액세스 권한이 있는지 확인합니다.
    5. AD FS에 새 인증서 추가
      • [관리 도구] 메뉴에서 [AD FS 관리]를 시작합니다.
      • [서비스]를 펼치고 [인증서]를 선택합니다.
      • [작업] 창에서 [토큰 암호 해독 인증서 추가]를 클릭합니다.
      • 토큰 암호 해독에 유효한 인증서 목록이 표시됩니다. 새 인증서가 목록에 표시되지 않은 경우, 다시 돌아가서 프라이빗 키가 연결된 로컬 컴퓨터 개별 저장소에 인증서가 있고, 인증서에 키 암호화가 확장된 키 사용으로 있는지 확인해야 합니다.
      • 새 토큰 암호 해독 인증서를 선택하고 [확인]을 클릭합니다.
    6. 새 토큰 암호 해독 인증서를 기본 인증서로 설정
      • [AD FS 관리]에서 [인증서] 노드를 선택하면 [토큰 암호 해독] 아래에 나열된 두 개의 인증서(기존 및 새 인증서)가 표시됩니다.
      • 새 토큰 암호 해독 인증서를 선택하고, 마우스 오른쪽 단추로 클릭한 다음, [기본 인증서로 설정]을 선택합니다.
      • 롤오버를 위해 이전 인증서를 보조 인증서로 남겨 둡니다. 롤오버에 더 이상 필요하지 않거나 인증서가 만료되면 이전 인증서를 제거하도록 계획해야 합니다.

    Active Directory Domain Services에 대한 경고

    경고 이름 설명 수정
    LDAP ping을 통해 도메인 컨트롤러에 연결할 수 없습니다. LDAP ping을 통해 도메인 컨트롤러에 연결할 수 없습니다. 네트워크 문제 또는 컴퓨터 문제로 인해 발생할 수 있습니다. 이에 따라 LDAP ping이 실패합니다.
  • '도메인 컨트롤러를 보급하고 있지 않습니다'와 같은 관련 경고에 대한 경고 목록을 검사합니다.
  • 영향을 받는 도메인 컨트롤러에 충분한 디스크 공간이 있는지 확인합니다. 공간이 부족하면 DC에서 자체를 LDAP 서버로 보급하는 것을 중지합니다.
  • PDC를 찾습니다. 이렇게 하려면
    영향을 받는 도메인 컨트롤러에서 netdom query fsmo
    .
  • 실제 네트워크가 제대로 구성/연결되었는지 확인합니다.
    • Active Directory 복제 오류가 발생했습니다. 이 도메인 컨트롤러에 복제 문제가 발생했으며, 이는 복제 상태 대시보드에서 확인할 수 있습니다. 잘못된 구성이나 기타 관련된 문제로 인해 복제 오류가 발생했을 수도 있습니다. 처리되지 않은 복제 오류로 인해 데이터 불일치가 발생할 수 있습니다. 영향을 받는 원본 및 대상 DC의 이름에 대한 자세한 내용을 참조합니다. 복제 상태 대시보드로 이동하고 영향을 받는 DC의 활성 오류를 찾습니다. 오류를 클릭하여 해당 특정 오류를 수정하는 방법에 대한 자세한 내용이 포함된 블레이드를 엽니다.
    도메인 컨트롤러에서 PDC를 찾을 수 없습니다. PDC는 이 도메인 컨트롤러를 통해 연결할 수 없습니다. 이로 인해 영향을 받는 사용자 로그온, 적용되지 않은 그룹 정책 변경 및 시스템 시간 동기화 오류가 발생합니다.
  • '도메인 컨트롤러를 보급하고 있지 않습니다'와 같이 PDC에 영향을 줄 수 있는 관련 경고에 대한 경고 목록을 검사합니다.
  • PDC를 찾습니다. 이렇게 하려면
    영향을 받는 도메인 컨트롤러에서 netdom query fsmo
    .
  • 네트워크가 제대로 작동하고 있는지 확인합니다.
    • 도메인 컨트롤러에서 글로벌 카탈로그 서버를 찾을 수 없습니다. 글로벌 카탈로그 서버는 이 도메인 컨트롤러에서 연결할 수 없습니다. 이로 인해 이 도메인 컨트롤러를 통한 인증이 실패합니다. 영향을 받는 서버가 GC일 수 있는 도메인 컨트롤러를 보급하고 있지 않습니다 경고에 대한 경고 목록을 검사합니다. 보급 경고가 없으면 GC에 대한 SRV 레코드를 확인합니다. 다음을 실행하여 확인할 수 있습니다.
    nltest /dnsgetdc: [ForestName] /gc
    GC로 보급하는 DC를 나열해야 합니다. 목록이 비어 있으면 DNS 구성을 확인하여 GC에서 SRV 레코드를 등록했는지 확인합니다. DC는 DNS에서 이러한 레코드를 찾을 수 있습니다.
    글로벌 카탈로그 문제를 해결하려면 글로벌 카탈로그 서버로 보급을 참조하세요.
    도메인 컨트롤러에서 로컬 sysvol 공유에 연결할 수 없습니다. Sysvol에는 도메인의 DC 내에서 배포할 그룹 정책 개체 및 스크립트의 중요한 요소가 포함되어 있습니다. DC는 자체를 DC로 보급하지 않으며, 그룹 정책이 적용되지 않습니다. 누락된 sysvol 및 Netlogon 공유 문제를 해결하는 방법을 참조하세요.
    도메인 컨트롤러 시간이 동기화되지 않았습니다. 이 도메인 컨트롤러의 시간이 정상적인 시간차 범위를 벗어났습니다. 이로 인해 Kerberos 인증이 실패합니다.
  • Windows 시간 서비스를 다시 시작합니다.
    net stop w32time
    을 실행한 다음
    영향을 받는 도메인 컨트롤러에서 net start w32time
    을 실행합니다.
  • 시간을 다시 동기화합니다.
    영향을 받는 도메인 컨트롤러에서 w32tm /resync
    .
    		•
    도메인 컨트롤러가 보급하고 있지 않습니다. 이 도메인 컨트롤러는 수행할 수 있는 역할을 제대로 보급하고 있지 않습니다. 복제 또는 DNS 구성 오류가 있거나, 중요한 서비스가 실행되지 않거나, 서버가 완전히 초기화되지는 않았기 때문일 수 있습니다. 이로 인해 도메인 컨트롤러, 도메인 멤버 및 기타 디바이스에서 이 도메인 컨트롤러를 찾을 수 없습니다. 또한 다른 도메인 컨트롤러가 이 도메인 컨트롤러에서 복제하지 못할 수도 있습니다. '복제가 중단되었습니다'와 같은 다른 관련 경고에 대한 경고 목록을 검사합니다. 도메인 컨트롤러 시간이 동기화되지 않았습니다. Netlogon 서비스가 실행되고 있지 않습니다. DFSR 및/또는 NTFRS 서비스가 실행되고 있지 않습니다. 관련 DNS 문제를 확인하고 해결합니다. 이렇게 하려면 영향을 받는 도메인 컨트롤러에 로그온합니다. [시스템 이벤트 로그]를 엽니다. 5774, 5775 또는 5781 이벤트가 있는 경우 도메인 컨트롤러 로케이터의 DNS 레코드 등록 오류 문제 해결을 참조하세요. Windows 시간 서비스 관련 문제를 확인하고 해결합니다. 이렇게 하려면 Windows 시간 서비스가 영향을 받는 도메인 컨트롤러에서 'net start w32time'을 실행하고 있는지 확인합니다. Windows 시간 서비스를 다시 시작합니다. 영향을 받는 도메인 컨트롤러에서 'net stop w32time', 다음으로 'net start w32time'을 실행합니다.
    GPSVC 서비스가 실행되고 있지 않습니다. 서비스가 중지되거나 사용하지 않도록 설정된 경우, 관리자가 구성한 설정이 적용되지 않으며 그룹 정책을 통해 애플리케이션 및 구성 요소를 관리할 수 없습니다. 서비스를 사용하지 않을 경우 그룹 정책 구성 요소에 종속된 모든 구성 요소나 애플리케이션이 작동하지 않을 수 있습니다. 을 실행합니다.
    영향을 받는 도메인 컨트롤러에서 net start gpsvc
    를 실행합니다.
    DFSR 및/또는 NTFRS 서비스가 실행되고 있지 않습니다. DFSR 및 NTFRS 서비스가 둘 다 중지되면 도메인 컨트롤러에서 sysvol 데이터를 복제할 수 없습니다. sysvol 데이터는 불일치 상태가 됩니다.
  • DFSR을 사용하는 경우
      영향을 받는 도메인 컨트롤러에서 'net start dfsr'을 실행합니다.
    1. NTFRS를 사용하는 경우
        영향을 받는 도메인 컨트롤러에서 'net start ntfrs'를 실행합니다.
    • Netlogon 서비스가 실행되고 있지 않습니다. 이 DC에서 도메인 컨트롤러의 로그온 요청, 등록, 인증 및 찾기를 사용할 수 없습니다. 영향을 받는 도메인 컨트롤러에서 'net start netlogon'을 실행합니다.
    W32Time 서비스가 실행되고 있지 않습니다. Windows 시간 서비스가 중지되면 날짜 및 시간 동기화를 사용할 수 없습니다. 이 서비스를 사용하지 않으면 이 서비스에 명시적으로 종속된 모든 서비스를 시작할 수 없습니다. 영향을 받는 도메인 컨트롤러에서 'net start win32Time'을 실행합니다.
    ADWS 서비스가 실행되고 있지 않습니다. Active Directory 웹 서비스가 중지되거나 사용하지 않도록 설정된 경우, Active Directory PowerShell과 같은 클라이언트 애플리케이션은 이 서버에서 로컬로 실행되는 모든 디렉터리 서비스 인스턴스에 액세스하거나 이를 관리할 수 없습니다. 영향을 받는 도메인 컨트롤러에서 'net start adws'를 실행합니다.
    루트 PDC가 NTP 서버에서 동기화되지 않습니다. 외부 또는 내부 시간 원본에서 시간을 동기화하도록 PDC를 구성하지 않는 경우, PDC 에뮬레이터가 내부 클록을 사용하고 자체적으로 포리스트에 대한 신뢰할 수 있는 시간 원본이 됩니다. PDC 자체의 시간이 정확하지 않으면 모든 컴퓨터의 시간이 잘못 설정됩니다. 영향을 받는 도메인 컨트롤러에서 명령 프롬프트를 엽니다. net stop w32time을 실행하여 시간 서비스를 중지합니다.
  • 다음을 실행하여 외부 시간 원본을 구성합니다.
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    참고: time.windows.com을 원하는 외부 시간 원본의 주소로 바꿉니다. Time 서비스 시작:
    net start w32time
    • 도메인 컨트롤러가 격리되었습니다. 이 도메인 컨트롤러는 작동 중인 다른 도메인 컨트롤러에 연결되지 않았습니다. 이 문제는 부적절한 구성으로 인해 발생할 수 있습니다. 이에 따라 이 DC는 사용되지 않으며 어떤 사용자에게도 복제되지 않습니다. 인바운드 및 아웃바운드 복제를 사용하도록 설정합니다. 이렇게 하려면 영향을 받는 도메인 컨트롤러에서 'repadmin /options ServerName -DISABLE_INBOUND_REPL' 및 'repadmin /options ServerName -DISABLE_OUTBOUND_REPL'을 실행합니다. 다른 도메인 컨트롤러에 새 복제 연결을 만듭니다.
    1. Active Directory 사이트 및 서비스를 엽니다. 이렇게 하려면 [시작] 메뉴에서 [관리 도구]를 가리킨 다음, [Active Directory 사이트 및 서비스]를 클릭합니다.
    2. 콘솔 트리에서 [사이트]를 펼친 다음, 이 DC가 속한 사이트를 펼칩니다.
    3. [서버] 컨테이너를 확장하여 서버 목록을 표시합니다.
    4. 이 DC에 대한 서버 개체를 펼칩니다.
    5. NTDS 설정 개체를 마우스 오른쪽 단추로 클릭하고, [새 Active Directory Domain Services 연결...]을 클릭합니다.
    6. 목록에서 [서버]를 선택하고 [확인]을 클릭합니다.
    Active Directory에서 분리된 도메인을 제거하는 방법
    아웃바운드 복제를 사용할 수 없습니다. 사용할 수 없는 아웃바운드 복제가 있는 DC는 자체 내에서 시작된 변경을 배포할 수 없습니다. 영향을 받는 도메인 컨트롤러에서 아웃바운드 복제를 사용하도록 설정하려면 다음 단계를 수행합니다. [시작], [실행]을 차례로 클릭하고, cmd를 입력한 다음, [확인]을 클릭합니다. 다음 텍스트를 입력한 다음, Enter 키를 누릅니다.
    repadmin /options -DISABLE_OUTBOUND_REPL
    인바운드 복제를 사용할 수 없습니다. 사용할 수 없는 인바운드 복제가 있는 DC에는 최신 정보가 없습니다. 이 조건 때문에 로그온이 실패할 수 있습니다. 영향을 받는 도메인 컨트롤러에서 인바운드 복제를 사용하도록 설정하려면 다음 단계를 수행합니다. [시작], [실행]을 차례로 클릭하고, cmd를 입력한 다음, [확인]을 클릭합니다. 다음 텍스트를 입력한 다음, Enter 키를 누릅니다.
    repadmin /options -DISABLE_INBOUND_REPL
    LanmanServer 서비스가 실행되고 있지 않습니다. 이 서비스를 사용하지 않으면 이 서비스에 명시적으로 종속된 모든 서비스를 시작할 수 없습니다. 영향을 받는 도메인 컨트롤러에서 'net start LanManServer'를 실행합니다.
    Kerberos 키 배포 센터 서비스가 실행되고 있지 않습니다. KDC 서비스가 중지되면 사용자가 Kerberos v5 인증 프로토콜을 사용하여 이 DC를 통해 인증받을 수 없습니다. 영향을 받는 도메인 컨트롤러에서 'net start kdc'를 실행합니다.
    DNS 서비스가 실행되고 있지 않습니다. DNS 서비스가 중지되면 DNS를 위해 해당 서버를 사용하는 컴퓨터 및 사용자가 리소스를 찾을 수 없습니다. 영향을 받는 도메인 컨트롤러에서 'net start dns'를 실행합니다.
    DC에 USN 롤백이 발생했습니다. SN 롤백이 발생하면 이전에 USN을 확인한 대상 도메인 컨트롤러에서 개체 및 특성에 대한 수정 내용을 인바운드 복제하지 않습니다. 이러한 대상 도메인 컨트롤러는 최신 상태로 간주되기 때문에 디렉터리 서비스 이벤트 로그에 또는 모니터링 및 진단 도구에 의해 복제 오류가 보고되지 않습니다. USN 롤백은 모든 패턴에 있는 모든 개체 또는 속성의 복제에 영향을 줄 수 있습니다. 가장 자주 발견되는 부작용은 롤백 도메인 컨트롤러에 생성된 사용자 계정 및 컴퓨터 계정이 하나 이상의 복제 파트너에 존재하지 않는 것입니다. 또는 롤백 도메인 컨트롤러에서 시작된 암호 업데이트가 복제 파트너에 존재하지 않을 수 있습니다. USN 롤백에서 복구하는 방법에는 두 가지가 있습니다.

    다음 단계에 따라 도메인에서 도메인 컨트롤러를 제거합니다.

    1. 도메인 컨트롤러에서 Active Directory를 제거하여 독립형 서버가 되도록 강제 적용합니다. 추가 정보는 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 살펴봅니다.
      332199 Active Directory 설치 마법사를 사용하여 Windows Server 2003 및 Windows 2000 Server에서 수준 내리기를 강제로 적용할 때 정상적으로 강등되지 않는 도메인 컨트롤러
    2. 강등된 서버를 종료합니다.
    3. 정상 상태의 도메인 컨트롤러에서 강등된 도메인 컨트롤러의 메타데이터를 정리합니다. 추가 정보는 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 살펴봅니다.
      216498 도메인 컨트롤러의 수준 내리기 실패 후 Active Directory에서 데이터를 제거하는 방법
    4. 잘못 복원된 도메인 컨트롤러가 작업 마스터 역할을 호스팅할 경우, 이러한 역할을 올바른 상태의 도메인 컨트롤러로 전송합니다. 추가 정보는 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 살펴봅니다.
      255504 Ntdsutil.exe를 사용하여 FSMO 역할을 획득하거나 도메인 컨트롤러로 전송
    5. 강등된 서버를 다시 시작합니다.
    6. 필요한 경우 독립 실행형 서버에 Active Directory를 다시 설치합니다.
    7. 도메인 컨트롤러가 이전에 글로벌 카탈로그인 경우, 도메인 컨트롤러를 글로벌 컨트롤러로 구성합니다. 추가 정보는 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 살펴봅니다.
      313994 Windows 2000에서 글로벌 카탈로그를 만들거나 이동하는 방법
    8. 도메인 컨트롤러가 이전에 작업 마스터 역할을 호스팅한 경우 작업 마스터 역할을 다시 도메인 컨트롤러로 전송합니다. 추가 정보는 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 살펴봅니다.
      255504 Ntdsutil.exe를 사용하여 FSMO 역할을 획득하거나 도메인 컨트롤러로 전송 - 양호한 백업의 시스템 상태 복원

    이 도메인 컨트롤러에 대해 유효한 시스템 상태 백업이 존재하는지 확인합니다. 롤백 도메인 컨트롤러가 잘못 복원되기 전에 유효한 시스템 상태 백업이 수행되었고 도메인 컨트롤러에서 수행된 최근 변경 사항이 백업에 포함된 경우, 최근 백업으로부터 시스템 상태를 복원합니다.

    또한 스냅샷을 백업 원본으로 사용할 수도 있습니다. 또는 이 문서에 있는 "시스템 상태 데이터 백업 없이 이전 버전의 가상 도메인 컨트롤러 VHD 복원" 섹션의 절차를 사용하여 데이터베이스에 새 호출 ID를 부여하도록 설정할 수 있습니다.

    다음 단계