다음을 통해 공유

Active Directory 도메인 가입 문제 해결 지침

이 가이드에서는 Active Directory 도메인 조인 문제를 해결할 때 사용되는 기본 개념을 제공합니다.

문제 해결 검사 목록

  • DNS(Domain Name System): 도메인에 가입하는 데 문제가 있을 때마다 가장 먼저 확인해야 할 것 중 하나는 DNS입니다. DNS는 AD(Active Directory)의 핵심이며 도메인 가입을 포함하여 작업이 올바르게 작동합니다. 다음 항목을 확인합니다.

    • DNS 서버 주소가 정확합니다.
    • 여러 DNS 도메인이 실행 중인 경우 DNS 접미사 검색 순서가 올바릅니다.
    • 동일한 컴퓨터 계정을 참조하는 부실 또는 중복 DNS 레코드가 없습니다.
    • 역방향 DNS는 A 레코드와 다른 이름을 가리키지 않습니다.
    • 도메인 이름, DC(도메인 컨트롤러) 및 DNS 서버를 ping할 수 있습니다.
    • 특정 서버에 대한 DNS 레코드 충돌을 확인합니다.

  • Netsetup.log: 도메인 가입 문제를 해결할 때 Netsetup.log 파일은 중요한 리소스입니다. netsetup.log 파일은 C:\Windows\Debug\netsetup.log 있습니다.

  • 네트워크 추적: AD 도메인 가입 중에는 클라이언트와 일부 DNS 서버 간에 여러 유형의 트래픽이 발생한 다음 클라이언트와 일부 DC 간에 트래픽이 발생합니다. 위의 트래픽 중 하나라도 오류가 표시되면 해당 프로토콜 또는 구성 요소의 해당 문제 해결 단계에 따라 범위를 좁힐 수 있습니다. 자세한 내용은 Netsh를 사용하여 추적 관리를 참조하세요.

  • 도메인 가입 강화 변경: 2022년 10월 11일 이후에 릴리스된 Windows 업데이트에는 CVE-2022-38042에서 도입된 추가 보호가 포함되어 있습니다. 이러한 보호 기능은 다음 조건 중 하나가 있는 경우를 제외하고 도메인 조인 작업이 대상 도메인의 기존 컴퓨터 계정을 다시 사용하지 못하도록 의도적으로 방지합니다.

    • 작업을 시도하는 사용자가 기존 계정의 작성자입니다.
    • 도메인 관리자의 구성원이 컴퓨터를 만들었습니다.

    자세한 내용은 KB5020276-Netjoin: 도메인 조인 강화 변경 내용을 참조하세요.

포트 요구 사항

다음 표에서는 클라이언트 컴퓨터와 DC 간에 열려 있는 데 필요한 포트를 나열합니다.

포트 프로토콜 애플리케이션 프로토콜 시스템 서비스 이름
53 TCP 도메인 네임 시스템 (DNS) DNS 서버
53 UDP 도메인 네임 시스템 (DNS) DNS 서버
389 UDP DC 로케이터 엘사스
389 TCP LDAP 서버 엘사스
88 TCP Kerberos Kerberos 키 배포 서버
135 TCP 원격 프로시저 호출 (RPC) RPC 엔드포인트 매퍼
445 TCP 중소기업 LanmanServer
1024-65535 TCP 원격 프로시저 호출 (RPC) 클라이언트와 도메인 컨트롤러 간의 DSCrackNames, SAMR 및 Netlogon 호출에 대한 RPC 엔드포인트 매퍼

일반적인 문제 및 솔루션

도메인 가입 오류 코드 원인 관련 문서
0x569 이 오류는 도메인 가입 사용자 계정이 도메인 가입 작업을 처리하는 도메인 컨트롤러(DC)에서 네트워크를 통해 이 컴퓨터에 접근할 사용자 권한이 없기 때문에 발생합니다. 오류 코드 0x569 문제 해결: 사용자에게 이 컴퓨터에서 요청된 로그온 유형이 부여되지 않았습니다.
0xaac 또는 0x8b0 이 오류는 기존 컴퓨터 계정 이름을 사용하여 컴퓨터를 도메인에 가입하려고 할 때 발생합니다. 오류 코드 0xaac 문제 해결: 기존 컴퓨터 계정을 사용하여 도메인에 가입할 때 실패
0x6BF 또는 0xC002001C 이 오류는 네트워크 디바이스(라우터, 방화벽 또는 VPN(가상 사설망) 디바이스)가 가입되는 클라이언트와 DC(도메인 컨트롤러) 간의 네트워크 패킷을 거부할 때 발생합니다. 상태 코드 0x6bf 또는 0xc002001c 문제 해결: 원격 프로시저 호출이 실패하여 실행되지 않았습니다.
0x6D9 이 오류는 가입 클라이언트와 DC(도메인 컨트롤러) 간의 네트워크 연결이 차단될 때 발생합니다. 문제 해결 오류 코드 0x6D9 "엔드포인트 매퍼에서 사용할 수 있는 엔드포인트가 더 이상 없습니다."
0xa8b 이 오류는 작업 그룹 컴퓨터를 도메인에 가입할 때 발생합니다. 오류 코드 0xa8b 문제 해결: 가입되는 도메인에서 DC의 DNS 이름을 확인하려는 시도가 실패했습니다.
0x40 이 문제는 SMB(서버 메시지 블록) 세션에 대한 Kerberos 티켓을 가져오는 것과 관련이 있습니다. 오류 코드 0x40 "지정된 네트워크 이름을 더 이상 사용할 수 없습니다." 문제 해결
0x54b 이 오류는 지정된 도메인에 연결할 수 없기 때문에 발생하며, DC(도메인 컨트롤러)를 찾는 데 문제가 있음을 나타냅니다. 오류 코드 0x54b 문제 해결
0x0000232A 이 오류는 DNS(Domain Name System) 이름을 확인할 수 없음을 나타냅니다. 오류 코드 0x0000232A 문제 해결
0x3a 이 오류는 클라이언트 컴퓨터와 DC(도메인 컨트롤러) 간의 TCP(Transmission Control Protocol) 389 포트에서 클라이언트 컴퓨터에 안정적인 네트워크 연결이 부족할 때 발생합니다. 상태 코드 0x3a 문제 해결: 지정된 서버가 요청된 작업을 수행할 수 없습니다.
0x216d 이 오류는 사용자 계정이 도메인에 가입할 수 있는 컴퓨터 수인 10대 제한을 초과했거나 그룹 정책이 사용자가 컴퓨터를 도메인에 가입시키지 못하도록 제한하는 경우에 발생합니다. 상태 코드 0x216d 문제 해결: 컴퓨터를 도메인에 가입하는 데 실패했습니다.

Windows 기반 컴퓨터를 도메인에 가입할 때 발생하는 기타 오류

자세한 내용은 다음을 참조하세요.

도메인 조인 문제에 대한 데이터 컬렉션

도메인 가입 문제를 해결하기 위해 다음 로그가 도움이 될 수 있습니다.

  • Netsetup 로그
    이 로그 파일에는 도메인 가입 활동에 대한 대부분의 정보가 포함되어 있습니다. 파일은 클라이언트 컴퓨터의 .에 있습니다 %windir%\debug\netsetup.log.
    이 로그 파일은 기본적으로 사용하도록 설정됩니다. 명시적으로 사용하도록 설정할 필요가 없습니다.

  • 네트워크 추적
    네트워크 추적에는 클라이언트 컴퓨터와 네트워크를 통한 DNS 서버 및 도메인 컨트롤러와 같은 상대 서버 간의 통신이 포함됩니다. 클라이언트 컴퓨터에서 수집해야 합니다. 여러 도구는 모든 Windows 버전에 포함된 Wireshark, netsh.exe 같은 네트워크 추적을 수집할 수 있습니다.

각 로그를 개별적으로 수집할 수 있습니다. 또는 Microsoft에서 제공하는 일부 도구를 사용하여 모두 함께 수집할 수 있습니다. 이렇게 하려면 다음 섹션의 단계를 수행합니다.

수동으로 수집

  1. AD 도메인에 가입할 클라이언트 컴퓨터에 Wireshark를 다운로드하고 설치합니다.
  2. 관리자 권한으로 애플리케이션을 시작한 다음 캡처를 시작합니다.
  3. AD 도메인에 가입하여 오류를 재현해 봅니다. 오류 메시지를 기록합니다.
  4. 앱에서 캡처를 중지하고 네트워크 추적을 파일에 저장합니다.
  5. %windir%\debug\nnetsetup.log 파일이 있는 위치에서 netsetup.log 파일을 수집합니다.

인증 스크립트 사용

인증 스크립트는 인증 관련 문제를 해결하기 위해 로그 수집을 용이하게 하기 위해 Microsoft에서 개발한 간단한 PowerShell 스크립트입니다. 사용하려면 다음 단계를 수행합니다.

  1. 클라이언트 컴퓨터에서 인증 스크립트 를 다운로드합니다. 폴더에 파일을 추출합니다.

  2. 관리자 권한으로 PowerShell 창을 시작합니다. 추출된 파일이 포함된 폴더로 전환합니다.

  3. start-auth.ps1실행하고, 메시지가 표시되면 EULA를 수락하고, 신뢰할 수 없는 게시자에 대해 경고가 표시되면 실행을 허용합니다.

    비고

    실행 정책으로 인해 스크립트를 실행할 수 없는 경우 about_Execution_Policies 참조하세요.

  4. 명령이 성공적으로 완료되면 AD 도메인에 가입하여 오류를 재현해 봅니다. 오류 메시지를 기록합니다.

  5. stop-auth.ps1실행하고 신뢰할 수 없는 게시자에 대해 경고가 표시되면 실행을 허용합니다.

  6. 로그 파일은 Netsetup.log 로그 및 네트워크 추적 파일(Nettrace.etl)을 포함하는 authlogs 하위 폴더에 저장됩니다.

TSS 도구 사용

TSS 도구는 로그 수집을 용이하게 하기 위해 Microsoft에서 개발한 또 다른 도구입니다. 사용하려면 다음 단계를 수행합니다.

  1. 클라이언트 컴퓨터에서 TSS 도구를 다운로드합니다. 폴더에 파일을 추출합니다.

  2. 관리자 권한으로 PowerShell 창을 시작합니다. 추출된 파일이 포함된 폴더로 전환합니다.

  3. 다음 명령을 실행합니다.

    TSS.ps1 -scenario ADS_AUTH -noSDP -norecording -noxray -noupdate -accepteula -startnowait

    메시지가 표시되면 EULA를 수락하고 신뢰할 수 없는 게시자에 대해 경고가 표시되면 실행을 허용합니다.

    비고

    실행 정책으로 인해 스크립트를 실행할 수 없는 경우 about_Execution_Policies 참조하세요.

  4. 명령을 완료하는 데 몇 분 정도 걸립니다. 명령이 성공적으로 완료되면 AD 도메인에 가입하여 오류를 재현해 봅니다. 오류 메시지를 기록합니다.

  5. TSS.ps1 -stop을 실행하고, 신뢰할 수 없는 게시자에 대한 경고가 표시되면 실행을 허용하십시오.

  6. 로그 파일은 C:\MS_DATA 하위 폴더에 저장되며 이미 압축되어 있습니다. ZIP 파일 이름은 TSS_<hostname>_<date-time><>-ADS_AUTH.zip형식을 따릅니다.

  7. zip 파일에는 Netsetup.log 및 네트워크 추적이 포함됩니다. 네트워크 추적 파일의 이름은 <hostname>_<date>-<time>-Netsh_packetcapture.etl입니다.