이 문서에서는 도메인 구성원이 원격 도메인의 DC와 통신해야 할 때 발생하는 지연을 해결하는 데 도움이 됩니다.
원래 KB 번호: 4550655
증상
하나 이상의 포리스트가 있고 각 포리스트에 하나 이상의 도메인 트리가 있는 Active Directory 환경이 있다고 가정합니다. 이 환경에서 도메인 트리는 포리스트 루트와 독립적인 DNS 이름 루트입니다.
모든 포리스트의 모든 도메인에 멤버 컴퓨터가 있습니다. 또한 컴퓨터의 비즈니스 기능에 필요한 서버 및 피어와 해당 비즈니스 기능을 사용하는 사용자로의 통신을 제한하는 네트워크 보안 정책이 있습니다.
이 시나리오에서는 도메인 구성원이 구성원인 도메인 이외의 도메인에서 DC(도메인 컨트롤러)에 액세스하는 것을 볼 수 있습니다. 사용자가 로그온하는 서버와 다른 서버에 액세스할 수 있습니다. 이 통신은 설정한 방화벽 규칙에 의해 제한될 수 있습니다.
이 활동은 멤버 컴퓨터가 다른 도메인 DC의 서버 포트에 액세스하지 못한 경우 자주 지연 및 오류가 발생합니다.
이 문제가 발생하면 다음과 같이 사용되는 프로토콜을 기반으로 하는 오류 메시지가 표시됩니다.
- RPC: 오류 코드 1722(RPC_S_SERVER_UNAVAILABLE)
- LDAP: 오류 코드 85(LDAP_TIMEOUT)
- WinSock: 오류 코드 10060(WSAETIMEDOUT)
분석 및 원인
일반적으로 컴퓨터와 사용자가 구성원인 동일한 도메인의 DC를 주로 사용할 것으로 예상합니다. 또한 포리스트 또는 원격 포리스트에서 포리스트 전체 검색을 위해 글로벌 카탈로그에 연결할 수도 있습니다.
그러나 도메인 멤버는 때때로 자신의 도메인 외부에 연결됩니다. 구성에 따라 이 작업을 수행할 수 있습니다. 또한 전체 포리스트 구조를 검색한 다음 검색한 모든 도메인에 요청을 보낸 후에 이 작업을 수행할 수 있습니다.
이러한 통신 요구 사항의 예:
구성은 도메인 구성원에 대한 정책 설정의 범위에 연결된 그룹 정책 설정일 수 있습니다. 또는 컴퓨터가 있는 Active Directory 사이트의 정책 설정일 수 있습니다.
찾은 모든 도메인에서 개체를 검색하거나 동기화하려는 애플리케이션이 있을 수 있습니다. 예를 들어 SharePoint 토폴로지 검색입니다.
LDAP 검색을 사용하여 도메인 루트 개체를 검색하고 연속 조회를 허용하고 받는 애플리케이션 그룹도 있습니다. 즉, 조회를 모든 자식 NC(애플리케이션 파티션 및 자식 도메인)로 리디렉션합니다. 따라서 자식 도메인 DC에 대한 액세스 권한이 필요합니다.
발생하는 지연은 도메인 수, 참조되는 DC 및 애플리케이션에서 수행한 재시도 횟수에 따라 달라집니다. 지연에는 몇 분 정도 걸릴 수 있습니다. 또한 일부 애플리케이션은 결국 모든 DC 및 도메인이 오류를 충분히 자주 반환하기 전에 시간이 초과됩니다. 분석에서 쿼리가 시작된 도메인에서 결과를 받았기 때문에 원래 LDAP 쿼리가 성공한 것으로 표시될 수 있습니다. 그러나 조회가 완료되기를 기다리고 있으므로 쿼리는 여전히 지연됩니다.
권장 사항
Microsoft에는 특정 구성을 기반으로 엔터프라이즈 범위의 포리스트에 있는 도메인의 DC를 확인하는 방법에 대한 설명서가 없습니다. 액세스할 수 있는 DC를 제어하는 규칙도 없습니다. 이는 Windows 및 모든 Microsoft 애플리케이션에 적용됩니다.
모든 도메인 멤버가 모든 포리스트의 모든 DC에 연결할 것으로 예상해야 합니다. 도메인 구성원을 제한하려면 시행 착오 방법을 사용해야 합니다. 추가 DC에 연결하여 지연이 발생하는 경우 해당 DC에 대한 액세스를 허용하는 방화벽 규칙을 채택해야 합니다.
방화벽에서 사용할 수 있거나 차단된 포트를 잘 모르는 경우 PortQry 도구를 사용하여 설정을 테스트합니다. 자세한 내용은 PortQry 버전 2.0의 새로운 기능 및 기능을 참조 하세요.