이 지침은 도메인에 가입된 컴퓨터가 도메인 프로필을 검색할 수 없는 시나리오를 해결하는 데 도움이 됩니다.
컴퓨터가 도메인 네트워크에 가입되어 있지만 이 네트워크의 도메인 프로필을 검색할 수 없으므로 다음과 같은 문제 또는 증상이 나타날 수 있습니다.
- 네트워크 상태는 시스템 트레이에 "식별되지 않은 네트워크"로 표시됩니다.
- 컴퓨터에 잘못된 방화벽 프로필이 적용됩니다. 예를 들어 컴퓨터가 도메인에 조인되어 있더라도 공용 프로필이 적용됩니다.
- 도메인 프로필에 구성된 방화벽 규칙은 적용되지 않으므로 연결 문제가 발생합니다.
- 도메인 프로필이 활성화되지 않아 내부 애플리케이션에 대한 연결이 실패할 수 있습니다.
NLA(네트워크 위치 인식) 개요
NLA(네트워크 위치 인식) 서비스는 다음 네트워크 변경 내용에 대해 네트워크 위치 검색을 수행합니다.
- IP 경로를 추가하거나 제거합니다.
- IP 주소를 추가하거나 제거합니다.
- 네트워크 어댑터 연결 끊기 또는 다시 연결
- 네트워크 어댑터를 사용하지 않도록 설정하거나 다시 사용하도록 설정합니다.
- DHCP(동적 호스트 구성 프로토콜) 이벤트(임대 갱신, DNS(도메인 이름 시스템) 서버 추가 또는 제거 등).
- DomainLocationDeterminationUrl 설정과 같은 NCSI(네트워크 연결 상태 표시기) 설정을 변경합니다.
NLA에 대한 도메인 인증
도메인에 가입된 컴퓨터가 새 네트워크에 연결되면 다음 검사를 수행하여 도메인 네트워크에 있는지 확인합니다. NCSI는 인터넷 연결을 결정하고 NLA는 네트워크 프로필에 대한 도메인 인증을 수행합니다.
모든 네트워크 변경은 NCSI 검색을 트리거하고 NLA는 도메인 컨트롤러(DC)에 인증하여 Windows 방화벽에 올바른 프로필을 할당하려고 합니다.
인증 단계는 다음과 같습니다.
- NLA 서비스는 함수를
DsGetDcName
호출하여 DC 이름을 검색합니다. 이 작업은 DNS 이름 확인을 통해 수행됩니다(예:_ldap._tcp.<SiteName>._sites.dc._msdcs.<DomainName>
.). - DNS 이름 확인에 성공하고 DC 이름을 반환하면 포트 389에서 이전 단계에서 검색된 DC에 대한 LDAP(Lightweight Directory Access Protocol) 연결이 발생합니다.
- 컴퓨터는 TCP 포트 389를 통해 DC와 TCP 연결을 설정하고 LDAP 바인딩 요청을 보냅니다. 이 LDAP 바인딩이 성공하면 컴퓨터는 도메인 네트워크에서 자신을 식별합니다.
도메인 검색 프로세스의 성공 여부에 따라 방화벽 프로필이 그에 따라 적용됩니다.
Windows 7, Windows Server 2008 R2 이상을 실행하는 컴퓨터는 다음 네트워크 위치 유형을 검색할 수 있습니다.
공공 사업
기본적으로 공용 네트워크 위치 유형은 컴퓨터가 처음 연결되면 모든 새 네트워크에 할당됩니다. 공개 프로필은 커피숍, 공항 및 기타 위치의 Wi-Fi 핫스팟과 같은 공용 네트워크를 지정하는 데 사용됩니다.
프라이빗
로컬 관리자는 공용에서 직접 액세스할 수 없는 네트워크에 연결하기 위해 개인 네트워크 위치 유형을 수동으로 선택할 수 있습니다. 이 연결은 방화벽 디바이스 또는 NAT(네트워크 주소 변환)를 수행하는 디바이스를 사용하여 공개적으로 액세스할 수 있는 네트워크에서 격리된 홈 또는 사무실 네트워크에 연결할 수 있습니다.
도메인
로컬 컴퓨터가 Active Directory 도메인의 구성원이면 도메인 네트워크 위치 유형이 검색되고 로컬 컴퓨터는 네트워크 연결 중 하나를 통해 해당 도메인에 대한 DC에 인증할 수 있습니다. 관리자는 이 네트워크 위치 유형을 수동으로 할당할 수 없습니다.
여러 네트워크 어댑터가 컴퓨터에 연결된 경우 다양한 유형의 네트워크에 연결할 수 있습니다. Windows 7, Windows Server 2008 R2 이상을 실행하는 컴퓨터는 다양한 네트워크 위치 유형을 지원합니다.
NLA 서비스의 기능은 네트워크에 대한 구성 정보를 수집 및 저장하고 해당 정보가 수정될 때 프로그램에 알리는 것입니다.
NLA에서 수집한 정보는 NLS(네트워크 목록 서비스) 서비스에서 큐레이팅되고 아래에 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList
저장됩니다.
Windows 11부터 NLA 서비스는 더 이상 도메인 프로필을 검색할 책임이 없습니다. 대신 네트워크 목록 관리자가 이 작업을 수행하고 시스템 컨텍스트에서 실행됩니다.
다음은 현재 프로필, 네트워크 또는 어댑터 상태를 진단하는 데 도움이 되는 몇 가지 중요한 레지스트리입니다.
위치 | 사용 |
---|---|
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Managed |
이 레지스트리 키는 Windows 레지스트리에 저장된 관리되는 네트워크 프로필을 보여 줍니다. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged |
이 레지스트리 키는 Windows 레지스트리에 저장된 관리되지 않는 네트워크 프로필을 보여줍니다. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\{985EE69C-23B4-4D38-AC66-5F0D6AD8A128} |
이 레지스트리 키에는 Windows의 네트워크 프로필 및 네트워크 프로필의 현재 범주에 대한 정보가 포함되어 있습니다. 값 0 은 네트워크가 Active Directory 네트워크가 아님을 의미합니다.값 1 은 네트워크가 Active Directory 네트워크이지만 이 컴퓨터에 대해 인증되지 않음을 의미합니다.값 2 은 네트워크가 Active Directory 네트워크이고 이 컴퓨터가 해당 네트워크에 대해 인증됨을 의미합니다. |
현재 적용된 네트워크 프로필 확인
도메인에 가입된 컴퓨터가 다음 PowerShell cmdlet을 사용하여 도메인 네트워크 프로필을 성공적으로 검색할 수 있는지 확인할 수 있습니다.
PS C:\Users\admin> Get-NetConnectionProfile
Name : contoso.com
InterfaceAlias : Contoso
InterfaceIndex : 13
NetworkCategory : DomainAuthenticated
IPv4Connectivity : Internet
IPv6Connectivity : NoTraffic
도메인 검색 문제 해결
컴퓨터에서 이름을
_ldap._tcp.<SiteName>._sites.dc._msdcs.<DomainName>
확인하여 LDAP 서버 또는 DC를 식별할 수 있는지 확인합니다.관리 명령 프롬프트 또는 PowerShell 창에서 다음 명령을 실행하여 DC 검색을 강제로 수행합니다.
Nltest /dsgetdc:<DomainName> /force
예를 들어 명령 출력에 DC 이름을 나열할 수 있는지 확인합니다.
PS C:\tss> nltest /dsgetdc:contoso.com /force DC: \\DC.contoso.com Address: \\10.0.1.2 Dom Guid: <GUID> Dom Name: contoso.com Forest Name: contoso.com Dc Site Name: Default-First-Site-Name Our Site Name: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS DS_8 DS_9 DS_10 KEYLIST The command completed successfully
DNS 이름 확인이 실패하고 반환
DsGetDcName function Failed with ERROR_NO_SUCH_DOMAIN
되는 경우 컴퓨터는 회사 네트워크 내에 있더라도 도메인 네트워크에서 자신을 식별하지 않습니다.컴퓨터가 이전 단계에서 식별된 DC에 대한 TCP 포트 389 연결을 설정할 수 있는지 확인합니다.
Windows 방화벽에서 TCP 포트 389가 허용되는지 확인합니다.
관리 명령 프롬프트 또는 PowerShell 창에서 다음 명령을 실행하여 DC에 대한 TCP 연결이 성공했는지 확인합니다.
Telnet <DCName or IP> 389
빈 창이 열리면 TCP 연결이 성공적으로 설정될 수 있음을 의미합니다.
실패하면 NLA 도메인 검색 프로세스를 더 이상 진행할 수 없으며 컴퓨터가 도메인 네트워크를 식별할 수 없습니다.
컴퓨터가 설정된 TCP 포트 389 연결 내에서 DC로 LDAP 바인딩을 수행할 수 있는지 확인합니다.
LDAP 바인딩 요청 및 응답은 NLA 도메인 검색 프로세스 중에 수집된 네트워크 추적의 TCP 포트 389 세션에서 볼 수 있습니다.
LDAP 바인딩이 실패하면 ncpa.cpl 네트워크 어댑터에 '인증되지 않음'이 표시됩니다. "Contoso.com(인증되지 않음)"로 표시됩니다.
Microsoft-Windows-NetworkProfile/Operational 이벤트 로그에서 오류가 있는지 확인합니다.
다음은 성공적인 도메인 검색의 예입니다.
진행 중인 네트워크 식별:
식별된 도메인 네트워크:
네트워크 캡처 분석
시나리오 문제를 해결하려면 네트워크 어댑터를 사용하지 않도록 설정하고 다시 사용하도록 설정하거나 NLS 서비스(NLA 도메인 검색 프로세스를 트리거)를 다시 시작하는 동안 Wireshark를 사용하여 네트워크 캡처를 수집할 수 있습니다.
참고 항목
일부 시나리오에서는 어댑터를 사용하지 않도록 설정하고 다시 사용하도록 설정하거나 NLS 서비스를 다시 시작하여 문제를 해결할 수 있습니다. 문제가 지속되는 경우에만 이 작업을 수행하는 동안 네트워크 추적을 수집할 수 있습니다.
Wireshark를 다운로드하려면 Wireshark 다운로드를 참조하세요.
Wireshark 추적을 캡처하려면 캡처 시작의 단계를 참조하세요.
네트워크 추적이 수집되면 다음 단계에 따라 기본 분석을 수행하여 근본 원인을 식별할 수 있습니다.
Wireshark에서 네트워크 캡처를 엽니다. "표시 필터 적용" 공간에서 dns를 입력하고 필터를 적용합니다.
도메인에서 DC를 식별하기 위해 이름이 "_ldap"로 전송된 DNS 쿼리를 찾습니다.
성공적인 이름 확인은 다음 예제와 유사합니다.
292 <DateTime> 10.0.1.10 10.0.1.2 DNS 130 Standard query 0x9022 SRV _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.contoso.com
293 <DateTime> 10.0.1.2 10.0.1.10 DNS 173 Standard query response 0x9022 SRV _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.contoso.com SRV 0 100 389 dc.contoso.com A 10.0.1.2
다음 단계는 확인된 DC를 대상으로 사용하여 TCP 포트 389를 통해 LDAP 연결을 성공적으로 설정하는 것입니다.
디스플레이 필터 공간에 "ip.addr==10.0.1.2 및 tcp.port==389" 필터를 적용하여 이 TCP 세션을 식별합니다.
참고 항목
필터의 값을 10.0.1.2
사용자 환경에서 가져온 DC의 IP 주소로 바꿔야 합니다.
성공적인 LDAP 연결 및 바인딩은 다음과 같습니다.
TCP 연결 설정:
298 <DateTime> 10.0.1.10 10.0.1.2 TCP 66 1521521070 0 59506 → 389 [SYN, ECE, CWR] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
299 <DateTime> 10.0.1.2 10.0.1.10 TCP 66 690649648 1521521071 389 → 59506 [SYN, ACK, ECE] Seq=0 Ack=1 Win=65535 Len=0 MSS=1460 WS=256 SACK_PERM
300 <DateTime> 10.0.1.10 10.0.1.2 TCP 54 1521521071 690649649 59506 → 389 [ACK] Seq=1 Ack=1 Win=2097920 Len=0
LDAP 바인딩이 성공적으로 완료되었습니다.
316 <DateTime> 10.0.1.10 10.0.1.2 LDAP 1912 1521521422 690652335 bindRequest(267) "<ROOT>" sasl
318 <DateTime> 10.0.1.2 10.0.1.10 LDAP 266 690652335 1521523280 bindResponse(267) success
추가 문제 해결을 위해 Microsoft 지원 문의하세요.
데이터 수집
Microsoft 지원 문의하기 전에 문제에 대한 정보를 수집할 수 있습니다.
TSS 도구 집합을 사용하여 로그를 다운로드하고 수집한 다음, 다음 cmdlet을 사용하여 영향을 받는 컴퓨터에서 로그 수집을 사용하도록 설정합니다.
.\TSS.ps1 -Scenario NET_NCSI
타사 정보 고지 사항
이 문서에 나와 있는 다른 공급업체 제품은 Microsoft와 무관한 회사에서 제조한 것입니다. Microsoft는 이들 제품의 성능이나 안정성에 관하여 명시적이든 묵시적이든 어떠한 보증도 하지 않습니다.