Microsoft Entra Connect Health 경고 카탈로그
Microsoft Entra Connect Health 서비스는 ID 인프라가 정상적이지 않다는 경고를 보냅니다. 이 문서에는 각 경고에 대한 경고 제목, 설명 및 수정 단계가 포함되어 있습니다.
오류, 경고 및 사전 경고는 Connect Health 서비스에서 생성되는 경고의 세 단계입니다. 트리거된 알림에 대한 작업을 즉시 수행하는 것이 좋습니다.
Microsoft Entra Connect Health 경고는 성공 조건에서 해결됩니다. Microsoft Entra Connect Health 에이전트는 성공 조건을 주기적으로 검색하고 서비스에 보고합니다. 일부 경고의 경우 시간을 기준으로 경고가 제거됩니다. 즉, 동일한 오류 조건이 경고 생성으로부터 72시간 내에 관찰되지 않으면 경고가 자동으로 해결됩니다.
일반 경고
경고 이름 | 설명 | 수정 |
---|---|---|
상태 서비스 데이터가 최신 상태가 아닙니다. | 하나 이상의 서버에서 실행 중인 상태 에이전트가 상태 관리 서비스에 연결되어 있지 않으며 상태 관리 서비스는 이 서버의 최신 데이터를 받고 있지 않습니다. 상태 관리 서비스에서 마지막으로 처리한 데이터는 2시간 이상 전의 데이터입니다. | 상태 에이전트에 필요한 서비스 엔드포인트에 대한 아웃바운드 연결이 있는지 확인합니다. 자세히 알아보기 |
Microsoft Entra Connect(동기화)에 대한 경고
경고 이름 | 설명 | 수정 |
---|---|---|
Microsoft Entra Connect 동기화 서비스가 실행되고 있지 않습니다. | Microsoft Entra ID Sync Windows 서비스가 실행되고 있지 않거나 시작할 수 없습니다. 결과적으로 개체는 Microsoft Entra ID와 동기화되지 않습니다. | Microsoft Entra ID 동기화 서비스 시작
|
Microsoft Entra ID에서 가져오기에 실패했습니다. | Microsoft Entra Connector에서 가져오기 작업이 실패했습니다. | 가져오기 작업에 대한 이벤트 로그 오류에서 자세한 내용을 조사합니다. |
인증 실패로 인해 Microsoft Entra ID 연결 실패 | 인증 실패로 인해 Microsoft Entra ID 연결에 실패했습니다. 결과적으로 개체는 Microsoft Entra ID와 동기화되지 않습니다. | 이벤트 로그 오류에서 자세한 내용을 조사합니다. |
Active Directory로 내보내지 못했습니다. | Active Directory Connector로 내보내기 작업이 실패했습니다. | 내보내기 작업에 대한 이벤트 로그 오류에서 자세한 내용을 조사합니다. |
Active Directory에서 가져오지 못했습니다. | Active Directory에서 가져오지 못했습니다. 이로 인해 이 포리스트의 일부 도메인에 있는 개체를 가져올 수 없습니다. | |
Microsoft Entra ID로 내보내기 실패 | Microsoft Entra Connector로 내보내기 작업이 실패했습니다. 결과적으로 일부 개체를 Microsoft Entra ID로 내보내지 못할 수 있습니다. | 내보내기 작업에 대한 이벤트 로그 오류에서 자세한 내용을 조사합니다. |
지난 120분 동안 암호 해시 동기화 하트비트를 건너뛰었습니다. | 지난 120분 동안 암호 해시 동기화가 Microsoft Entra ID와 연결되지 않았습니다. 결과적으로 암호는 Microsoft Entra ID와 동기화되지 않습니다. | Microsoft Entra ID 동기화 서비스를 다시 시작합니다. 현재 실행 중인 모든 동기화 작업이 중단됩니다. 진행 중인 동기화 작업이 없는 경우 아래 단계를 수행할 수 있습니다. 1. 시작, 실행을 차례로 클릭하고, Services.msc를 입력한 다음, 확인을 클릭합니다. 2. Microsoft Entra ID Sync를 찾아 마우스 오른쪽 단추로 클릭한 다음 다시 시작을 클릭합니다. |
높은 CPU 사용량이 감지됨 | 이 서버에서 CPU 사용률이 권장 임계값을 초과했습니다. |
|
높은 메모리 사용량이 감지됨 | 이 서버에서 메모리 사용률이 권장 임계값을 넘었습니다. | 서버에서 가장 많은 메모리를 소모하는 상위 프로세스를 검사합니다. 작업 관리자를 사용하거나 다음 PowerShell 명령을 실행할 수 있습니다. get-process | Sort-Object -Descending WS | Select-Object -First 10 높은 메모리를 소비하는 예기치 않은 프로세스가 있는 경우 다음 PowerShell 명령을 사용하여 프로세스를 중지합니다. stop-process -ProcessName [프로세스 이름] |
암호 해시 동기화가 중지되었습니다. | 암호 해시 동기화가 중지되었습니다. 결과적으로 암호는 Microsoft Entra ID와 동기화되지 않습니다. | Microsoft Entra ID 동기화 서비스를 다시 시작합니다. 현재 실행 중인 모든 동기화 작업이 중단됩니다. 진행 중인 동기화 작업이 없는 경우 아래 단계를 수행할 수 있습니다.
|
Microsoft Entra ID로 내보내기가 중지되었습니다. 실수로 삭제 임계값에 도달했습니다. | Microsoft Entra ID로 내보내기 작업이 실패했습니다. 구성된 임계값보다 삭제할 개체가 더 많습니다. 이로 인해 내보낼 개체가 없습니다. |
|
Active Directory Federation Services에 대한 경고
경고 이름 | 설명 | 수정 |
---|---|---|
테스트 인증 요청(가상 트랜잭션)이 토큰을 가져오지 못했습니다. | 이 서버에서 시작된 테스트 인증 요청(가상 트랜잭션)은 5회 재시도 후 토큰을 가져오지 못했습니다. 이는 일시적인 네트워크 문제, AD DS 도메인 컨트롤러 가용성 또는 잘못 구성된 AD FS 서버로 인해 발생할 수 있습니다. 이에 따라 페더레이션 서비스에서 처리한 인증 요청이 실패할 수 있습니다. 에이전트는 로컬 컴퓨터 계정 컨텍스트를 사용하여 페더레이션 서비스에서 토큰을 가져옵니다. | 다음 단계에 따라 서버의 상태를 확인합니다.
서비스 이름을 확인할 수 없는 경우 FAQ 섹션에서 이 서버의 IP 주소와 함께 AD FS 서비스의 HOST 파일 항목을 추가하는 지침을 참조하세요. 그러면 이 서버에서 실행되는 가상 트랜잭션 모듈이 토큰을 요청할 수 있습니다. |
프록시 서버를 페더레이션 서버에 연결할 수 없습니다. | 이 AD FS 프록시 서버는 AD FS 서비스에 연결할 수 없습니다. 이로 인해 이 서버에서 처리하는 인증 요청이 실패합니다. | 이 서버와 AD FS 서비스 간의 연결을 확인하려면 다음 단계를 수행합니다.
|
SSL 인증서가 곧 만료됩니다. | 페더레이션 서버에서 사용하는 TLS/SSL 인증서가 90일 이내에 만료됩니다. 만료되면 유효한 TLS 연결을 요구하는 모든 요청이 실패합니다. 예를 들어 Microsoft 365 고객의 경우 메일 클라이언트에서 인증할 수 없습니다. | 각 AD FS 서버에서 TLS/SSL 인증서를 업데이트합니다.
Windows Server 2008 R2에 있는 AD FS 2.0의 경우:
Windows Server 2012 R2 이상 버전에 있는 AD FS의 경우: |
AD FS 서비스가 서버에서 실행되고 있지 않습니다. | Active Directory Federation Service(Windows 서비스)가 이 서버에서 실행되고 있지 않습니다. 이 서버를 대상으로 하는 모든 요청이 실패합니다. | Active Directory Federation Service(Windows 서비스)를 시작하려면 다음을 수행합니다.
|
페더레이션 서비스의 DNS가 잘못 구성되었을 수 있습니다. | DNS 서버는 AD FS 팜 이름에 CNAME 레코드를 사용하도록 구성할 수 있습니다. Windows 통합 인증이 회사 네트워크 내에서 원활하게 작동하려면 AD FS에 A 또는 AAAA 레코드를 사용하는 것이 좋습니다. | AD FS 팜 <Farm Name> 의 DNS 레코드 종류가 CNAME이 아닌지 확인합니다. A 또는 AAAA 레코드로 구성합니다. |
AD FS 감사를 사용할 수 없습니다. | 서버에서 AD FS 감사를 사용할 수 없습니다. 포털의 AD FS 사용 현황 섹션에는 이 서버의 데이터가 포함되지 않습니다. | AD FS 감사를 사용할 수 없는 경우 다음 지침을 따릅니다.
이러한 단계가 완료되면 AD FS 감사 이벤트가 이벤트 뷰어에 표시됩니다. 확인하려면 다음을 수행합니다.
앞에서 이러한 지침을 수행했지만 이 경고가 계속 표시되는 경우, 그룹 정책 개체에서 AD FS 감사를 사용하지 않도록 설정했을 수 있습니다. 근본 원인은 다음 중 하나일 수 있습니다.
|
AD FS SSL 인증서가 자체 서명되었습니다. | 현재 AD FS 팜에서 자체 서명된 인증서를 TLS/SSL 인증서로 사용하고 있습니다. 이로 인해 Microsoft 365에 대한 메일 클라이언트 인증이 실패합니다. | 각 AD FS 서버에서 TLS/SSL 인증서를 업데이트합니다.
로컬 컴퓨터 인증서 저장소의 각 서버에 새 TLS/SSL 인증서를 설치합니다.
Windows Server 2008 R2에 있는 AD FS 2.0의 경우: Windows Server 2012 R2 이상 버전에 있는 AD FS의 경우: |
프록시 서버와 페더레이션 서버 간의 신뢰가 잘못되었습니다. | 페더레이션 서버 프록시와 페더레이션 서비스 간의 신뢰를 설정하거나 업데이트할 수 없습니다. | 프록시 서버에서 프록시 신뢰 인증서를 업데이트합니다. 프록시 구성 마법사를 다시 실행합니다. |
AD FS에 대한 엑스트라넷 잠금 보호 사용 안 함 | AD FS 팜에 엑스트라넷 잠금 보호 기능을 사용하지 않도록 설정되어 있습니다. 이 기능은 AD DS 계정 잠금 정책이 적용된 경우 무차별 암호 대입 공격으로부터 사용자를 보호하고 사용자에 대한 서비스 거부 공격을 방지합니다. 이 기능을 사용하도록 설정한 경우 사용자에 대한 엑스트라넷 로그인 시도(WAP 서버 및 AD FS를 통한 로그인 시도) 실패 횟수가 'ExtranetLockoutThreshold'를 초과하면 AD FS 서버에서 'ExtranetObservationWindow'에 대한 추가적인 로그인 시도 처리를 중지합니다. AD FS 서버에서 이 기능을 사용하도록 설정하는 것이 좋습니다. | 다음 명령을 실행하여 AD FS 엑스트라넷 잠금 보호를 기본값으로 사용하도록 설정합니다. Set-AdfsProperties -EnableExtranetLockout $true 사용자에 대해 구성한 AD 잠금 정책이 있는 경우 'ExtranetLockoutThreshold' 속성이 AD DS 잠금 임계값보다 낮은 값으로 설정되어 있는지 확인합니다. 이렇게 하면 AD FS에 대한 임계값을 초과한 요청은 삭제되고 AD DS 서버에 대한 유효성이 검사되지 않습니다. |
AD FS 서비스 계정의 SPN(서비스 사용자 이름)이 잘못되었습니다. | 페더레이션 서비스 계정의 서비스 사용자 이름이 등록되어 있지 않거나 고유하지 않습니다. 이로 인해 도메인에 가입된 클라이언트의 Windows 통합 인증이 원활하지 않을 수 있습니다. | [SETSPN -L ServiceAccountName]을 사용하여 서비스 사용자를 나열합니다. [SETSPN -X]를 사용하여 중복된 서비스 사용자 이름을 확인합니다. SPN이 AD FS 서비스 계정에 대해 중복된 경우 [SETSPN -d service/namehostname]을 사용하여 중복된 계정에서 해당 SPN을 제거합니다. SPN이 설정되지 않은 경우 [SETSPN -s {Desired-SPN} {domain_name}{service_account}]를 사용하여 페더레이션 서비스 계정에 대해 원하는 SPN을 설정합니다. |
기본 AD FS 토큰 암호 해독 인증서가 곧 만료됩니다. | 기본 AD FS 토큰 암호 해독 인증서가 90일 이내에 만료됩니다. AD FS는 신뢰할 수 있는 클레임 공급자의 토큰을 해독할 수 없습니다. AD FS는 암호화된 SSO 쿠키를 해독할 수 없습니다. 이로 인해 최종 사용자는 리소스에 액세스하도록 인증받을 수 없습니다. | 자동 인증서 롤오버를 사용하도록 설정하면 AD FS에서 토큰 암호 해독 인증서를 관리합니다. 인증서를 수동으로 관리하는 경우 아래 지침을 따르세요. 새 토큰 암호 해독 인증서 가져오기
|
기본 AD FS 토큰 서명 인증서가 곧 만료됩니다. | AD FS 토큰 서명 인증서가 90일 이내에 만료됩니다. 이 인증서가 유효하지 않은 경우 AD FS에서 서명된 토큰을 발급할 수 없습니다. | 새 토큰 서명 인증서 가져오기
|
AD FS SSL 인증서를 로컬 인증서 저장소에서 찾을 수 없습니다. | AD FS 데이터베이스에서 TLS/SSL 인증서로 구성된 지문이 있는 인증서를 로컬 인증서 저장소에서 찾을 수 없습니다. 이로 인해 TLS/SSL을 통한 인증 요청이 실패합니다. 예를 들어 Microsoft 365에 대한 메일 클라이언트 인증이 실패합니다. | 지문이 구성된 인증서를 로컬 인증서 저장소에 설치합니다. |
SSL 인증서가 만료되었습니다. | AD FS 서비스에 대한 TLS/SSL 인증서가 만료되었습니다. 이로 인해 유효한 TLS 연결을 요구하는 모든 인증 요청이 실패합니다. 예를 들어 메일 클라이언트 인증은 Microsoft 365에 대해 인증할 수 없습니다. | 각 AD FS 서버에서 TLS/SSL 인증서를 업데이트합니다.
Windows Server 2008 R2에 있는 AD FS 2.0의 경우:
Windows Server 2012 R2 이상 버전에 있는 AD FS의 경우:AD FS 및 WAP에서 SSL 인증서 관리 참조 |
Microsoft Entra ID(Microsoft 365용)에 대한 필수 엔드포인트가 사용하도록 설정되지 않았습니다. | Exchange Online Services, Microsoft Entra ID 및 Microsoft 365에 필요한 다음 엔드포인트 집합은 페더레이션 서비스에 대해 사용하도록 설정되지 않습니다. |
페더레이션 서비스에서 Microsoft Cloud Services에 필요한 엔드포인트를 사용하도록 설정합니다. Windows Server 2012 R2 이상 버전에 있는 AD FS의 경우 |
페더레이션 서버에서 AD FS 구성 데이터베이스에 연결할 수 없습니다. | AD FS 구성 데이터베이스에 연결하는 동안 AD FS 서비스 계정에 문제가 발생합니다. 이로 인해 이 컴퓨터의 AD FS 서비스가 예상대로 작동하지 않을 수 있습니다. | |
필수 SSL 바인딩이 누락되었거나 구성되지 않았습니다. | 이 페더레이션 서버에서 인증을 성공적으로 수행하는 데 필요한 TLS 바인딩이 잘못 구성되었습니다. 이로 인해 AD FS에서 들어오는 요청을 처리할 수 없습니다. | Windows Server 2012 R2의 경우 관리자 권한으로 명령 프롬프트를 열고 다음 명령을 실행합니다.
|
기본 AD FS 토큰 서명 인증서가 만료되었습니다. | AD FS 토큰 서명 인증서가 만료되었습니다. 이 인증서가 유효하지 않은 경우 AD FS에서 서명된 토큰을 발급할 수 없습니다. | 자동 인증서 롤오버를 사용하도록 설정하면 AD FS에서 토큰 서명 인증서 업데이트를 관리합니다. 인증서를 수동으로 관리하는 경우 아래 지침을 따르세요.
|
프록시 서버에서 정체 제어 요청을 삭제하고 있습니다. | 이 프록시 서버는 현재 이 프록시 서버와 페더레이션 서버 간의 일반적인 대기 시간보다 길기 때문에 엑스트라넷의 요청을 삭제하고 있습니다. 이로 인해 AD FS 프록시 서버에서 처리한 인증 요청의 특정 부분이 실패할 수 있습니다. | |
AD FS 서비스 계정에서 인증서의 프라이빗 키 중 하나에 대한 액세스가 거부되었습니다. | AD FS 서비스 계정에 이 컴퓨터의 AD FS 인증서 중 하나의 개인 키에 대한 액세스 권한이 없습니다. | AD FS 서비스 계정에 로컬 컴퓨터 인증서 저장소에 저장된 TLS, 토큰 서명 인증서 및 토큰 암호 해독 인증서에 대한 액세스가 제공되는지 확인합니다.
Certificates(로컬 컴퓨터)/Personal/Certificates를 엽니다. AD FS에서 사용하는 모든 인증서에 대해 다음을 수행합니다.
|
AD FS SSL 인증서에 개인 키가 없습니다. | AD FS TLS/SSL 인증서가 프라이빗 키 없이 설치되었습니다. 이로 인해 SSL을 통한 인증 요청이 실패합니다. 예를 들어 Microsoft 365에 대한 메일 클라이언트 인증이 실패합니다. | 각 AD FS 서버에서 TLS/SSL 인증서를 업데이트합니다.
Windows Server 2008 R2에 있는 AD FS 2.0의 경우:
Windows Server 2012 R2 이상 버전에 있는 AD FS의 경우: |
기본 AD FS 토큰 암호 해독 인증서가 만료되었습니다. | 기본 AD FS 토큰 암호 해독 인증서가 만료되었습니다. AD FS는 신뢰할 수 있는 클레임 공급자의 토큰을 해독할 수 없습니다. AD FS는 암호화된 SSO 쿠키를 해독할 수 없습니다. 이로 인해 최종 사용자는 리소스에 액세스하도록 인증받을 수 없습니다. | 자동 인증서 롤오버를 사용하도록 설정하면 AD FS에서 토큰 암호 해독 인증서를 관리합니다. 인증서를 수동으로 관리하는 경우 아래 지침을 따르세요.
|
Active Directory Domain Services에 대한 경고
경고 이름 | 설명 | 수정 |
---|---|---|
LDAP ping을 통해 도메인 컨트롤러에 연결할 수 없습니다. | LDAP ping을 통해 도메인 컨트롤러에 연결할 수 없습니다. 네트워크 문제 또는 컴퓨터 문제로 인해 발생할 수 있습니다. 이에 따라 LDAP ping이 실패합니다. | 영향을 받는 도메인 컨트롤러의 netdom 쿼리 fsmo 입니다. |
Active Directory 복제 오류가 발생했습니다. | 이 도메인 컨트롤러에 복제 문제가 발생했으며, 이는 복제 상태 대시보드에서 확인할 수 있습니다. 잘못된 구성이나 기타 관련된 문제로 인해 복제 오류가 발생했을 수도 있습니다. 처리되지 않은 복제 오류로 인해 데이터 불일치가 발생할 수 있습니다. | 영향을 받는 원본 및 대상 DC의 이름에 대한 자세한 내용을 참조합니다. 복제 상태 대시보드로 이동하고 영향을 받는 DC의 활성 오류를 찾습니다. 오류를 클릭하여 해당 특정 오류를 수정하는 방법에 대한 자세한 내용이 포함된 블레이드를 엽니다. |
도메인 컨트롤러에서 PDC를 찾을 수 없습니다. | PDC는 이 도메인 컨트롤러를 통해 연결할 수 없습니다. 이로 인해 영향을 받는 사용자 로그온, 적용되지 않은 그룹 정책 변경 및 시스템 시간 동기화 오류가 발생합니다. | 영향을 받는 도메인 컨트롤러의 netdom 쿼리 fsmo 입니다. |
도메인 컨트롤러에서 글로벌 카탈로그 서버를 찾을 수 없습니다. | 글로벌 카탈로그 서버는 이 도메인 컨트롤러에서 연결할 수 없습니다. 이로 인해 이 도메인 컨트롤러를 통한 인증이 실패합니다. | 영향을 받는 서버가 GC일 수 있는 도메인 컨트롤러를 보급하고 있지 않습니다 경고에 대한 경고 목록을 검사합니다. 보급 경고가 없으면 GC에 대한 SRV 레코드를 확인합니다. 다음을 실행하여 확인할 수 있습니다. nltest /dnsgetdc: [ForestName] /gc DC 광고를 GC로 나열해야 합니다. 목록이 비어 있으면 DNS 구성을 확인하여 GC에서 SRV 레코드를 등록했는지 확인합니다. DC는 DNS에서 이러한 레코드를 찾을 수 있습니다. 글로벌 카탈로그 문제를 해결하려면 글로벌 카탈로그 서버로 보급을 참조하세요. |
도메인 컨트롤러에서 로컬 sysvol 공유에 연결할 수 없습니다. | Sysvol에는 도메인의 DC 내에서 배포할 그룹 정책 개체 및 스크립트의 중요한 요소가 포함되어 있습니다. DC는 자체를 DC로 보급하지 않으며, 그룹 정책이 적용되지 않습니다. | 누락된 sysvol 및 Netlogon 공유 문제를 해결하는 방법을 참조하세요. |
도메인 컨트롤러 시간이 동기화되지 않았습니다. | 이 도메인 컨트롤러의 시간이 정상적인 시간차 범위를 벗어났습니다. 이로 인해 Kerberos 인증이 실패합니다. | net stop w32time 영향을 받는 도메인 컨트롤러에서 net start w32time 을 실행합니다. 영향을 받는 도메인 컨트롤러에서 w32tm /resync . |
도메인 컨트롤러가 보급하고 있지 않습니다. | 이 도메인 컨트롤러는 수행할 수 있는 역할을 제대로 보급하고 있지 않습니다. 복제 또는 DNS 구성 오류가 있거나, 중요한 서비스가 실행되지 않거나, 서버가 완전히 초기화되지는 않았기 때문일 수 있습니다. 이로 인해 도메인 컨트롤러, 도메인 멤버 및 기타 디바이스에서 이 도메인 컨트롤러를 찾을 수 없습니다. 또한 다른 도메인 컨트롤러가 이 도메인 컨트롤러에서 복제하지 못할 수도 있습니다. | '복제가 중단되었습니다'와 같은 다른 관련 경고에 대한 경고 목록을 검사합니다. 도메인 컨트롤러 시간이 동기화되지 않았습니다. Netlogon 서비스가 실행되고 있지 않습니다. DFSR 및/또는 NTFRS 서비스가 실행되고 있지 않습니다. 관련 DNS 문제를 확인하고 해결합니다. 이렇게 하려면 영향을 받는 도메인 컨트롤러에 로그온합니다. [시스템 이벤트 로그]를 엽니다. 5774, 5775 또는 5781 이벤트가 있는 경우 도메인 컨트롤러 로케이터의 DNS 레코드 등록 오류 문제 해결을 참조하세요. Windows 시간 서비스 관련 문제를 확인하고 해결합니다. 이렇게 하려면 Windows 시간 서비스가 영향을 받는 도메인 컨트롤러에서 'net start w32time'을 실행하고 있는지 확인합니다. Windows 시간 서비스를 다시 시작합니다. 영향을 받는 도메인 컨트롤러에서 'net stop w32time', 다음으로 'net start w32time'을 실행합니다. |
GPSVC 서비스가 실행되고 있지 않습니다. | 서비스가 중지되거나 사용하지 않도록 설정된 경우, 관리자가 구성한 설정이 적용되지 않으며 그룹 정책을 통해 애플리케이션 및 구성 요소를 관리할 수 없습니다. 서비스를 사용하지 않을 경우 그룹 정책 구성 요소에 종속된 모든 구성 요소나 애플리케이션이 작동하지 않을 수 있습니다. | 을 실행합니다. 영향을 받는 도메인 컨트롤러에서 net start gpsvc 를 실행합니다. |
DFSR 및/또는 NTFRS 서비스가 실행되고 있지 않습니다. | DFSR 및 NTFRS 서비스가 둘 다 중지되면 도메인 컨트롤러에서 sysvol 데이터를 복제할 수 없습니다. sysvol 데이터는 불일치 상태가 됩니다. |
|
Netlogon 서비스가 실행되고 있지 않습니다. | 이 DC에서 도메인 컨트롤러의 로그온 요청, 등록, 인증 및 찾기를 사용할 수 없습니다. | 영향을 받는 도메인 컨트롤러에서 'net start netlogon'을 실행합니다. |
W32Time 서비스가 실행되고 있지 않습니다. | Windows 시간 서비스가 중지되면 날짜 및 시간 동기화를 사용할 수 없습니다. 이 서비스를 사용하지 않으면 이 서비스에 명시적으로 종속된 모든 서비스를 시작할 수 없습니다. | 영향을 받는 도메인 컨트롤러에서 'net start win32Time'을 실행합니다. |
ADWS 서비스가 실행되고 있지 않습니다. | Active Directory 웹 서비스가 중지되거나 사용하지 않도록 설정된 경우, Active Directory PowerShell과 같은 클라이언트 애플리케이션은 이 서버에서 로컬로 실행되는 모든 디렉터리 서비스 인스턴스에 액세스하거나 이를 관리할 수 없습니다. | 영향을 받는 도메인 컨트롤러에서 'net start adws'를 실행합니다. |
루트 PDC가 NTP 서버에서 동기화되지 않습니다. | 외부 또는 내부 시간 원본에서 시간을 동기화하도록 PDC를 구성하지 않는 경우, PDC 에뮬레이터가 내부 클록을 사용하고 자체적으로 포리스트에 대한 신뢰할 수 있는 시간 원본이 됩니다. PDC 자체의 시간이 정확하지 않으면 모든 컴퓨터의 시간이 잘못 설정됩니다. | 영향을 받는 도메인 컨트롤러에서 명령 프롬프트를 엽니다. net stop w32time을 실행하여 시간 서비스를 중지합니다. w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes 참고: time.windows.com을 원하는 외부 시간 원본의 주소로 바꿉니다. Time 서비스 시작: net start w32time |
도메인 컨트롤러가 격리되었습니다. | 이 도메인 컨트롤러는 작동 중인 다른 도메인 컨트롤러에 연결되지 않았습니다. 이 문제는 부적절한 구성으로 인해 발생할 수 있습니다. 이에 따라 이 DC는 사용되지 않으며 어떤 사용자에게도 복제되지 않습니다. | 인바운드 및 아웃바운드 복제를 사용하도록 설정합니다. 이렇게 하려면 영향을 받는 도메인 컨트롤러에서 'repadmin /options ServerName -DISABLE_INBOUND_REPL' 및 'repadmin /options ServerName -DISABLE_OUTBOUND_REPL'을 실행합니다. 다른 도메인 컨트롤러에 새 복제 연결을 만듭니다.
|
아웃바운드 복제를 사용할 수 없습니다. | 사용할 수 없는 아웃바운드 복제가 있는 DC는 자체 내에서 시작된 변경을 배포할 수 없습니다. | 영향을 받는 도메인 컨트롤러에서 아웃바운드 복제를 사용하도록 설정하려면 다음 단계를 수행합니다. [시작], [실행]을 차례로 클릭하고, cmd를 입력한 다음, [확인]을 클릭합니다. 다음 텍스트를 입력한 다음, Enter 키를 누릅니다. repadmin /options -DISABLE_OUTBOUND_REPL |
인바운드 복제를 사용할 수 없습니다. | 사용할 수 없는 인바운드 복제가 있는 DC에는 최신 정보가 없습니다. 이 조건 때문에 로그온이 실패할 수 있습니다. | 영향을 받는 도메인 컨트롤러에서 인바운드 복제를 사용하도록 설정하려면 다음 단계를 수행합니다. [시작], [실행]을 차례로 클릭하고, cmd를 입력한 다음, [확인]을 클릭합니다. 다음 텍스트를 입력한 다음, Enter 키를 누릅니다. repadmin /options -DISABLE_INBOUND_REPL |
LanmanServer 서비스가 실행되고 있지 않습니다. | 이 서비스를 사용하지 않으면 이 서비스에 명시적으로 종속된 모든 서비스를 시작할 수 없습니다. | 영향을 받는 도메인 컨트롤러에서 'net start LanManServer'를 실행합니다. |
Kerberos 키 배포 센터 서비스가 실행되고 있지 않습니다. | KDC 서비스가 중지되면 사용자가 Kerberos v5 인증 프로토콜을 사용하여 이 DC를 통해 인증받을 수 없습니다. | 영향을 받는 도메인 컨트롤러에서 'net start kdc'를 실행합니다. |
DNS 서비스가 실행되고 있지 않습니다. | DNS 서비스가 중지되면 DNS를 위해 해당 서버를 사용하는 컴퓨터 및 사용자가 리소스를 찾을 수 없습니다. | 영향을 받는 도메인 컨트롤러에서 'net start dns'를 실행합니다. |
DC에 USN 롤백이 발생했습니다. | SN 롤백이 발생하면 이전에 USN을 확인한 대상 도메인 컨트롤러에서 개체 및 특성에 대한 수정 내용을 인바운드 복제하지 않습니다. 이러한 대상 도메인 컨트롤러는 최신 상태로 간주되기 때문에 디렉터리 서비스 이벤트 로그에 또는 모니터링 및 진단 도구에 의해 복제 오류가 보고되지 않습니다. USN 롤백은 모든 패턴에 있는 모든 개체 또는 속성의 복제에 영향을 줄 수 있습니다. 가장 자주 발견되는 부작용은 롤백 도메인 컨트롤러에 생성된 사용자 계정 및 컴퓨터 계정이 하나 이상의 복제 파트너에 존재하지 않는 것입니다. 또는 롤백 도메인 컨트롤러에서 시작된 암호 업데이트가 복제 파트너에 존재하지 않을 수 있습니다. | USN 롤백에서 복구하는 방법에는 두 가지가 있습니다. 다음 단계에 따라 도메인에서 도메인 컨트롤러를 제거합니다.
이 도메인 컨트롤러에 대해 유효한 시스템 상태 백업이 존재하는지 확인합니다. 롤백 도메인 컨트롤러가 잘못 복원되기 전에 유효한 시스템 상태 백업이 수행되었고 도메인 컨트롤러에서 수행된 최근 변경 사항이 백업에 포함된 경우, 최근 백업으로부터 시스템 상태를 복원합니다. 또한 스냅샷을 백업 원본으로 사용할 수도 있습니다. 또는 이 문서에 있는 "시스템 상태 데이터 백업 없이 이전 버전의 가상 도메인 컨트롤러 VHD 복원" 섹션의 절차를 사용하여 데이터베이스에 새 호출 ID를 부여하도록 설정할 수 있습니다. |