다음을 통해 공유

Active Directory 복제 오류 8453: 복제 액세스가 거부되었습니다.

이 문서에서는 Active Directory 복제가 실패하고 오류 8453: 복제 액세스가 거부된 문제를 해결하는 방법을 설명합니다.

원래 KB 번호: 2022387

참고 항목

홈 사용자: 이 문서는 기술 지원 에이전트 및 IT 전문가만을 위한 것입니다. 문제에 대한 도움을 찾고 있는 경우 Microsoft 커뮤니티에 문의하세요.

요약

이 오류 8453에는 다음과 같은 주요 원인이 있습니다.

  • 대상 도메인 컨트롤러에 명명 컨텍스트/파티션을 복제하는 데 필요한 권한이 없습니다.

  • 복제를 수동으로 시작한 관리자에게는 복제를 시작할 수 있는 권한이 없습니다.

    참고 항목

    이 조건은 주기적 또는 예약된 복제에 영향을 주지 않습니다.

주요 원인

기간 또는 예약된 복제의 경우 대상 도메인 컨트롤러가 RODC(읽기 전용 도메인 컨트롤러)인 경우:

엔터프라이즈 읽기 전용 도메인 컨트롤러 보안 그룹에는 복제하지 않고 오류 8453을 반환하는 파티션에 대한 명명 컨텍스트(NC)의 루트에 대한 복제 디렉터리 변경 권한이 없습니다.

상위 솔루션

RODC가 복제하지 않고 오류 8453을 반환하는 각 NC에서 포리스트 루트 도메인의 엔터프라이즈 읽기 전용 도메인 컨트롤러 보안 그룹에 복제 디렉터리 변경 권한을 부여합니다.

예제:

RODC childdc2.child.contoso.com 는 파티션을 contoso.com 복제하지 않고 오류 8453을 반환합니다. 이 상황을 해결하려면 다음 단계를 수행합니다.

  1. 도메인 컨트롤러에서 ADSIEDIT.msc를 contoso.com 엽니다.

  2. 도메인 NC에 대한 contoso.com 연결을 엽니다(기본 명명 컨텍스트).

  3. dc=contoso,dc=com NC속성을 열고 보안 탭을 선택합니다.

  4. 추가를 선택하고 텍스트 상자에 다음 항목을 입력합니다.
    Contoso\Enterprise 읽기 전용 도메인 컨트롤러

    참고 항목

    이 그룹은 포리스트 루트 도메인에만 존재합니다.

  5. 이름 확인을 선택한 다음, 확인을 선택합니다.

  6. 엔터프라이즈 읽기 전용 도메인 컨트롤러에 대한 사용 권한 대화 상자에서 자동으로 선택된 허용 확인란의 선택을 취소합니다.

    • 읽기
    • 도메인 암호 읽기 및 잠금 정책
    • 다른 도메인 매개 변수 읽기

  7. 디렉터리 변경 내용 복제 옆의 허용 상자를 선택한 다음 확인을 선택합니다.

이러한 단계를 수행해도 문제가 해결되지 않으면 이 문서의 나머지 부분을 참조하세요.

증상

이 문제가 발생하면 다음 증상 중 하나 이상이 발생합니다.

  • DCDIAG 복제 테스트(DCDIAG /TEST:Replications)는 테스트된 도메인 컨트롤러 가 테스트 복제 에 실패했으며 상태가 8453이라고 보고합니다. 복제 액세스가 거부되었습니다.

    Starting test: Replications  
[Replications Check,<destination domain controller] A recent replication attempt failed:  
From <source DC> to <Destination DC  
Naming Context: <DN path of failing directory partition>  
The replication generated an error (8453):  
Replication access was denied.  
The failure occurred at <date> <time>.  
The last success occurred at <date> <time>.  
%#% failures have occurred since the last success.  
The machine account for the destination <destination DC>.  
is not configured properly.  
Check the userAccountControl field.  
Kerberos Error.  
The machine account is not present, or does not match on the.  
destination, source or KDC servers.  
Verify domain partition of KDC is in sync with rest of enterprise.  
The tool repadmin/syncall can be used for this purpose.  
......................... <DC tested by DCDIAG> failed test Replications

  • DCDIAG NCSecDesc 테스트(DCDIAG /TEST:NCSecDesc)는 DCDIAG에서 테스트한 도메인 컨트롤러가 NCSecDec 테스트에 실패했으며 DCDIAG에서 테스트한 테스트된 도메인 컨트롤러에 있는 하나 이상의 디렉터리 파티션의 NC 헤드에 하나 이상의 권한이 누락되었다고 보고합니다.

    Starting test: NCSecDesc  
Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have  
Replicating Directory Changes                               <- List of missing access  
Replication Synchronization                                 <- rights required for each Manage Replication Topology                                       <- security group could vary  
Replicating Directory Changes In Filtered Set               <- depending in missing  
access rights for the naming context:                          <- right in your environment  
DC=contoso,DC=com  
Error CONTOSO\Domain Controllers doesn't have  
Replicating Directory Changes All  
access rights for the naming context:  
DC=contoso,DC=com  
Error CONTOSO\Enterprise Read-Only Domain Controllers doesn't have  
Replicating Directory Changes  
access rights for the naming context:  
DC=contoso,DC=com  
......................... CONTOSO-DC2 failed test NCSecDesc

  • DCDIAG MachineAccount 테스트(DCDIAG /TEST:MachineAccount)는 도메인 컨트롤러 컴퓨터 계정의 UserAccountControl 특성에 SERVER_TRUST_ACCOUNT 또는 TRUSTED_FOR_DELEGATION 플래그가 없으므로 DCDIAG에서 테스트한 도메인 컨트롤러가 MachineAccount를 테스트하지 못했다고 보고합니다.

    Starting test: MachineAccount  
The account CONTOSO-DC2 is not trusted for delegation . It cannot  
replicate.  
The account CONTOSO-DC2 is not a DC account. It cannot replicate.  
Warning: Attribute userAccountControl of CONTOSO-DC2 is:  
0x288 = ( HOMEDIR_REQUIRED | ENCRYPTED_TEXT_PASSWORD_ALLOWED | NORMAL_ACCOUNT )  
Typical setting for a DC is  
0x82000 = ( SERVER_TRUST_ACCOUNT | TRUSTED_FOR_DELEGATION )  
This may be affecting replication? 
......................... CONTOSO-DC2 failed test MachineAccount

  • DCDIAG KCC 이벤트 로그 테스트는 Microsoft-Windows-ActiveDirectory_DomainService 이벤트 2896에 해당하는 16진수임을 나타냅니다.

    B50 16진수 = 2896 10진수입니다. 이 오류는 인프라 마스터 도메인 컨트롤러에서 60초마다 기록될 수 있습니다.

    Starting test: KccEvent  
The KCC Event log test  
An error event occurred. EventID: 0xC0000B50  
Time Generated: 06/25/2010 07:45:07

Event String:  
A client made a DirSync LDAP request for a directory partition. Access was denied due to the following error.

Directory partition:  
<DN path of directory partition>

Error value:  
8453 Replication access was denied.

User Action  
The client may not have access for this request. If the client requires it, they should be assigned the control access right "Replicating Directory Changes" on the directory partition in question.

  • REPADMIN.EXE 복제 시도가 실패하고 8453 상태를 반환했다고 보고합니다.

    일반적으로 8453 상태를 나타내는 REPADMIN 명령은 포함하지만 다음으로 제한되지는 않습니다.

    • REPADMIN /KCC

    • REPADMIN /REHOST

    • REPADMIN /REPLICATE

    • REPADMIN /REPLSUM

    • REPADMIN /SHOWREPL

    • REPADMIN /SHOWREPS

    • REPADMIN /SHOWUTDVEC

    • REPADMIN /SYNCALL

      CONTOSO-DC2에서 REPADMIN /SHOWREPSCONTOSO-DC1로의 인바운드 복제를 보여 주는 샘플 출력에서 실패한 복제 액세스가 거부된 반환 오류는 다음과 같습니다.

      Default-First-Site-Name\CONTOSO-DC1  
DSA Options: IS_GC  
Site Options: (none)  
DSA object GUID:  
DSA invocationID:  
DC=contoso,DC=com  
Default-First-Site-Name\CONTOSO-DC2 via RPC  
DSA object GUID: 74fbe06c-932c-46b5-831b-af9e31f496b2  
Last attempt @ <date> <time> failed, result 8453 (0x2105):  
Replication access was denied.  
<#> consecutive failure(s).  
Last success @ <date> <time>.

  • Active Directory 사이트 및 서비스(DSSITE)의 복제 지금 명령입니다. MSC)는 복제 액세스가 거부된 오류를 반환합니다.

    원본 도메인 컨트롤러에서 연결 개체를 마우스 오른쪽 단추로 클릭한 다음 복제선택하면 실패합니다. 복제 액세스가 거부되었습니다. 오류가 반환됩니다. 다음 오류 메시지가 표시됩니다.

    Dialog title text: Replicate Now  
Dialog message text: The following error occurred during the attempt to synchronize naming context <%directory partition name%> from Domain Controller <Source DC> to Domain Controller <Destination DC>:  
Replication access was denied  

The operation will not continue  
Buttons in Dialog: OK

    복제 액세스가 지금 복제 명령을 실행한 후 발생하는 오류가 거부되었습니다.

  • 8453 상태가 있는 NTDS KCC, NTDS 일반 또는 Microsoft-Windows-ActiveDirectory_DomainService 이벤트는 AD DS(Active Directory 지시문 서비스) 이벤트 로그에 기록됩니다.

일반적으로 8453 상태를 나타내는 Active Directory 이벤트에는 다음 이벤트가 포함되지만 제한되지는 않습니다.

이벤트 원본 이벤트 ID 이벤트 문자열
Microsoft-Windows-ActiveDirectory_DomainService 1699 이 디렉터리 서비스는 다음 디렉터리 파티션에 대해 요청된 변경 내용을 검색하지 못했습니다. 따라서 다음 네트워크 주소에서 디렉터리 서비스에 변경 요청을 보낼 수 없습니다.
Microsoft-Windows-ActiveDirectory_DomainService 2896 클라이언트가 디렉터리 파티션에 대해 DirSync LDAP 요청을 했습니다. 다음 오류로 인해 액세스가 거부되었습니다.
NTDS 일반 1655 Active Directory가 다음 글로벌 카탈로그와 통신 하려고 하 고는 시도 되지 않았습니다.
NTDS KCC 1265 매개 변수를 사용하여 복제 링크를 설정하려는 시도
파티션: <파티션 DN 경로>
원본 DSA DN: <원본 DC NTDS 설정 개체의 DN>
원본 DSA 주소: <원본 DC 정규화된 CNAME>
사이트 간 전송(있는 경우): <dn 경로>
다음 상태로 실패했습니다.
NTDS KCC 1925 다음 쓰기 가능한 디렉터리 파티션의 복제 링크를 설정 하려고 했으나 실패 했습니다.

원인

오류 8453(복제 액세스가 거부됨)에는 다음을 비롯한 여러 근본 원인이 있습니다.

  • 대상 도메인 컨트롤러 컴퓨터 계정의 UserAccountControl 특성에 다음 플래그 중 하나가 없습니다.
    SERVER_TRUST_ACCOUNT 또는 TRUSTED_FOR_DELEGATION

  • 운영 체제의 보안 컨텍스트에서 예약된 복제가 발생할 수 있도록 하나 이상의 디렉터리 파티션에 기본 권한이 없습니다.

  • 사용자가 DSSITE를 사용하여 임시 또는 즉시 복제를 트리거할 수 있도록 하나 이상의 디렉터리 파티션에 기본 또는 사용자 지정 권한이 없습니다. MSC 는 지금, repadmin /replicate또는 repadmin /syncall유사한 명령을 복제합니다.

  • 임시 복제를 트리거하는 데 필요한 권한은 관련 디렉터리 파티션에 올바르게 정의됩니다. 그러나 사용자는 복제 디렉터리 변경 권한이 부여된 보안 그룹의 구성원이 아닙니다.

  • 임시 복제를 트리거하는 사용자는 필요한 보안 그룹의 구성원이며 해당 보안 그룹에는 디렉터리 변경 내용 복제 권한이 부여되었습니다. 그러나 복제 디렉터리 변경 권한을 부여하는 그룹의 멤버 자격은 사용자 계정 컨트롤 분할 사용자 액세스 토큰 기능에 의해 사용자의 보안 토큰에서 제거됩니다. 이 기능은 Windows Vista 및 Windows Server 2008에서 도입되었습니다.

    참고 항목

    Vista 및 Windows Server 2008에 도입된 사용자 계정 컨트롤 분할 토큰 보안 기능을 Active Directory 서비스에 의해 저장된 도메인 컨트롤러 역할 컴퓨터 계정에 정의된 UserAccountControl 특성과 혼동하지 마세요.

  • 대상 도메인 컨트롤러가 RODC인 경우 RODCPREP는 현재 읽기 전용 도메인 컨트롤러를 호스팅하는 도메인에서 실행되지 않았거나 엔터프라이즈 읽기 전용 도메인 컨트롤러 그룹에 복제되지 않는 파티션에 대한 복제 디렉터리 변경 권한이 없습니다.

  • LDS(Lightweight Directory Services) 인스턴스가 있습니다. 그리고 영향을 받는 인스턴스에 대한 NTDS 설정 개체가 LDS 구성 컨테이너에서 누락되었습니다. 예를 들어 다음 항목이 표시됩니다.

    CN=NtDs 설정,CN=Server1$ADAMINST1,CN=Server,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,CN={A560B9B8-6B05-4000-9A1F-9A853DB6615A}

증상 섹션에 언급된 것과 같은 Active Directory 오류 및 이벤트도 발생하고 오류 5 메시지를 생성할 수 있습니다(액세스가 거부됨).

해결 섹션에 언급된 오류 5 또는 오류 8453의 단계는 현재 복제에 실패하고 다른 오류 메시지를 생성하는 컴퓨터의 복제 오류를 해결하지 않습니다.

오류 5 메시지를 생성하는 Active Directory 작업이 실패하는 일반적인 근본 원인은 다음과 같습니다.

  • 과도한 시간 기울이기
  • 네트워크의 중간 디바이스에 의한 UDP 형식 Kerberos 패킷의 조각화
  • 네트워크 권한에서 이 컴퓨터에 대한 액세스 권한이 없습니다.
  • 보안 채널 또는 도메인 내 트러스트 손상
  • CrashOnAuditFail = 레지스트리의 2 개 항목

해결

이 문제를 해결하려면 다음 메서드를 사용합니다.

DCDIAG + DCDIAG /test:CheckSecurityError를 사용하여 상태 검사 실행

  1. 8453 오류 또는 이벤트를 보고하는 대상 DC에서 DCDIAG를 실행합니다.
  2. 대상 도메인 컨트롤러가 8453 오류 또는 이벤트를 보고하는 원본 도메인 컨트롤러에서 DCDIAG를 실행합니다.
  3. 대상 도메인 컨트롤러에서 실행 DCDIAG /test:CheckSecurityError 합니다.
  4. 원본 DC에서 실행 DCDIAG /test:CheckSecurityError 합니다.

잘못된 UserAccountControl 수정

UserAccountControl 특성에는 사용자 또는 컴퓨터 계정의 기능 및 상태를 정의하는 비트 마스크가 포함되어 있습니다. UserAccountControl 플래그에 대한 자세한 내용은 User-Account-Control 특성을 참조하세요.

쓰기 가능(전체) DC 컴퓨터 계정에 대한 일반적인 UserAccountControl 특성 값은 532480 10진수 또는 8200016666입니다. DC 컴퓨터 계정에 대한 UserAccountControl 값은 다를 수 있지만 다음 표와 같이 SERVER_TRUST_ACCOUNTTRUSTED_FOR_DELEGATION 플래그를 포함해야 합니다.

속성 플래그 16진수 값 10진수 값
SERVER_TRUST_ACCOUNT 0x2000 8192
TRUSTED_FOR_DELEGATION 0x80000 524288
UserAccountControl 값 0x82000 532480

읽기 전용 도메인 컨트롤러 컴퓨터 계정에 대 한 일반적인 UserAccountControl 특성 값은 10진수 또는 5001000 16 83890176.

속성 플래그 16진수 값 10진수 값
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION 0x1000000 16777216
PARTIAL_SECRETS_ACCOUNT 0X4000000 67108864
RODC에 대한 일반적인 UserAccountControl 값 0x5001000 83890176

  • 대상 도메인 컨트롤러의 UserAccountControl 특성에 SERVER_TRUST_ACCOUNT 플래그가 없습니다.

    DCDIAG MachineAccount 테스트가 실패하고 실패한 테스트 MachineAcccount 오류 메시지를 반환하고 테스트된 도메인 컨트롤러의 UserAccountControl 특성에 SERVER_TRUST_ACCOUNT 플래그가 없는 경우 테스트된 도메인 컨트롤러의 Active Directory 복사본에 누락된 플래그를 추가합니다.

    1. ADSIEDIT를 시작합니다. DCDIAG에서 보고한 SERVER_TRUST_ACCOUNT 누락된 도메인 컨트롤러의 콘솔에 있는 MSC입니다.
    2. ADSIEDIT의 왼쪽 위 창에서 ADSIEDIT를 마우스 오른쪽 단추로 클릭합니다. MSC를 선택한 다음 연결을 선택합니다.
    3. 연결 설정 대화 상자에서 잘 알려진 명명 컨텍스트 선택을 클릭한 다음 기본 명명 컨텍스트(컴퓨터 계정 도메인 파티션)를 선택합니다.
    4. 선택 또는 도메인 또는 서버 입력을 클릭합니다. 그리고 DCDIAG에서 실패하는 도메인 컨트롤러의 이름을 선택합니다.
    5. 확인을 선택합니다.
    6. 도메인 명명 컨텍스트에서 도메인 컨트롤러 컴퓨터 계정을 찾아 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
    7. UserAccountControl 특성을 두 번 클릭한 다음 해당 10진수 값을 기록합니다.
    8. 프로그래머 모드(Windows Server 2008 이상 버전)에서 Windows 계산기를 시작합니다.
    9. UserAccountControl10진수 값을 입력합니다. 10진수 값을 해당하는 16진수로 변환하고, 기존 값에 0x80000 추가한 다음, 등호(=)를 누릅니다.
    10. 새로 계산 된 UserAccountContorl 값을 해당 10진수 값으로 변환합니다.
    11. WINDOWS 계산기에서 ADSIEDIT의 UserAccountControl 특성으로 새 10진수 값을 입력합니다. MSC.
    12. 확인을 두 번 선택하여 저장합니다.

  • 대상 도메인 컨트롤러의 UserAccountControl 특성에 TRUSTED_FOR_DELEGATION 플래그가 없습니다.

    DCDIAG MachineAccount 테스트에서 실패한 테스트 MachineAcccount 오류 메시지를 반환하고 테스트된 도메인 컨트롤러의 UserAccountControl 특성에 TRUSTED _FOR_DELEGATION 플래그가 없는 경우 테스트된 도메인 컨트롤러의 Active Directory 복사본에 누락된 플래그를 추가합니다.

    1. DSA(Active Directory 사용자 및 컴퓨터 시작합니다. MSC) DCDIAG에서 테스트한 도메인 컨트롤러의 콘솔에 있습니다.

    2. 도메인 컨트롤러 컴퓨터 계정을 마우스 오른쪽 단추로 클릭합니다.

    3. 위임 탭을 선택합니다.

    4. 도메인 컨트롤러 컴퓨터 계정에서 모든 서비스(Kerberos에만 해당) 위임을 위해 신뢰할 수 있는 이 컴퓨터를 선택합니다.

      DC 속성 대화 상자의 위임 탭 아래에 있는 모든 서비스에 대한 위임을 위해 신뢰할 수 있는 컴퓨터입니다.

잘못된 기본 보안 설명자 수정

Active Directory 작업은 작업을 시작한 계정의 보안 컨텍스트에서 수행됩니다. Active Directory 파티션에 대한 기본 권한은 다음 작업을 허용합니다.

  • 엔터프라이즈 관리자 그룹의 구성원은 동일한 포리스트의 모든 도메인에 있는 도메인 컨트롤러 간에 임시 복제를 시작할 수 있습니다.
  • 기본 제공 관리자 그룹의 구성원은 동일한 도메인의 도메인 컨트롤러 간에 임시 복제를 시작할 수 있습니다.
  • 동일한 포리스트의 도메인 컨트롤러는 변경 알림 또는 복제 일정을 사용하여 복제를 시작할 수 있습니다.

Active Directory 파티션에 대한 기본 권한은 기본적으로 다음 작업을 허용하지 않습니다.

  • 한 도메인에 있는 기본 제공 관리자 그룹의 구성원은 다른 도메인의 도메인 컨트롤러에서 해당 도메인의 도메인 컨트롤러에 대한 임시 복제를 시작할 수 없습니다.
  • 기본 제공 관리자 그룹의 구성원이 아닌 사용자는 동일한 도메인 또는 포리스트의 다른 도메인 컨트롤러에서 임시 복제를 시작할 수 없습니다.

기본적으로 이러한 작업은 기본 사용 권한 또는 그룹 멤버 자격이 수정될 때까지 실패합니다.

사용 권한은 각 디렉터리 파티션(NC 헤드)의 맨 위에 정의되며 파티션 트리 전체에서 상속됩니다. 명시적 그룹(사용자가 직접 구성원인 그룹) 및 암시적 그룹(명시적 그룹에 중첩 멤버 자격이 있는 그룹)에 필요한 권한이 있는지 확인합니다. 또한 암시적 또는 명시적 그룹에 할당된 거부 권한이 필요한 권한보다 우선하지 않는지 확인합니다. 기본 디렉터리 파티션에 대한 자세한 내용은 Configuration Directory 파티션의 기본 보안을 참조 하세요.

  • 실패하고 복제 액세스 반환이 거부된 각 디렉터리 파티션의 맨 위에 기본 권한이 있는지 확인합니다.

    다른 도메인의 도메인 컨트롤러 간에 또는 도메인이 아닌 관리자에 대해 동일한 도메인의 도메인 컨트롤러 간에 임시 복제가 실패하는 경우 비 도메인 관리자 권한 부여 섹션을 참조하세요.

    엔터프라이즈 관리자 그룹의 구성원에 대해 임시 복제가 실패하는 경우 엔터프라이즈 관리자 그룹에 부여된 NC 헤드 권한에 초점을 맞춥니다.

    도메인 관리자 그룹의 구성원에 대해 임시 복제가 실패하는 경우 기본 제공 Administrators 보안 그룹에 부여된 권한에 집중합니다.

    포리스트의 도메인 컨트롤러에서 시작된 예약된 복제가 실패하고 오류 8453을 반환하는 경우 다음 보안 그룹에 대한 권한에 초점을 맞춥니다.

    • Enterprise Domain Controllers

    • 엔터프라이즈 읽기 전용 도메인 컨트롤러

      RODC(읽기 전용 도메인 컨트롤러)에서 도메인 컨트롤러가 예약된 복제를 시작하고 오류 8453을 반환하는 경우 엔터프라이즈 읽기 전용 도메인 컨트롤러 보안 그룹에 각 디렉터리 파티션의 NC 헤드에 필요한 액세스 권한이 부여되었는지 확인합니다.

      다음 표에서는 다양한 Windows 버전에서 스키마, 구성, 도메인 및 DNS 애플리케이션에 정의된 기본 권한을 보여 줍니다.

      각 디렉터리 파티션에 필요한 DACL Windows Server 2008 이상
      복제 토폴로지 관리 X
      디렉터리 변경 내용 복제 X
      복제 동기화 X
      모든 디렉터리 변경 내용 복제 X
      필터 집합의 변경 내용 복제 X

      참고 항목

      DCDIAG NcSecDesc 테스트는 시스템 버전이 혼합된 환경에서 실행될 때 가양성 오류를 보고할 수 있습니다.

      DSACLS 명령은 다음 구문을 사용하여 지정된 디렉터리 파티션에 대한 권한을 덤프하는 데 사용할 수 있습니다.
      디렉터리 파티션의 DSACLS <DN 경로>

      예를 들어 다음 명령을 사용합니다.

      C:\>dsacls dc=contoso,dc=com

      이 명령은 구문을 사용하여 원격 도메인 컨트롤러를 대상으로 지정할 수 있습니다.

      c:\>dsacls \\contoso-dc2\dc=contoso,dc=com

      실패한 사용자가 직접 또는 중첩 멤버인 그룹에 대한 사용 권한을 제거하는 NC 헤드에 대한 DENY 권한을 주의해야 합니다.

누락된 필수 권한 추가

ADSIEDIT에서 Active Directory ACL 편집기를 사용합니다. 누락된 DACLS를 추가하는 MSC입니다.

비 도메인 관리자 권한 부여

비 도메인 관리자에게 다음 권한을 부여합니다.

  • 엔터프라이즈가 아닌 관리자를 위해 동일한 도메인의 도메인 컨트롤러 간에 복제하려면
  • 다른 도메인의 도메인 컨트롤러 간에 복제하려면

Active Directory 파티션에 대한 기본 권한은 다음 작업을 허용하지 않습니다.

  • 한 도메인에 있는 기본 제공 Administrators 그룹의 구성원은 다른 도메인의 도메인 컨트롤러에서 임시 복제를 시작할 수 없습니다.
  • 기본 제공 도메인 관리자 그룹의 구성원이 아닌 사용자는 동일한 도메인 또는 다른 도메인의 도메인 컨트롤러 간에 임시 복제를 시작합니다.

이러한 작업은 디렉터리 파티션에 대한 권한이 수정될 때까지 실패합니다.

이 문제를 해결하려면 다음 방법 중 하나를 사용합니다.

  • 디렉터리 파티션을 복제하는 데 필요한 권한이 이미 부여된 기존 그룹에 사용자를 추가합니다. (동일한 도메인에서 복제할 도메인 관리자를 추가하거나 엔터프라이즈 관리자 그룹을 추가하여 다른 도메인 간에 임시 복제를 트리거합니다.)

  • 사용자 고유의 그룹을 만들고, 포리스트 전체의 디렉터리 파티션에 필요한 권한을 해당 그룹에 부여한 다음, 해당 그룹에 사용자를 추가합니다.

자세한 내용은 KB303972 참조하세요. 잘못된 기본 보안 설명자 수정 섹션의 표에 나열된 것과 동일한 권한을 해당 보안 그룹에 부여합니다.

필요한 보안 그룹의 그룹 멤버 자격 확인

올바른 보안 그룹에 디렉터리 파티션에 필요한 권한이 부여된 후 복제를 시작하는 사용자에게 복제 권한이 부여된 직접 또는 중첩된 보안 그룹의 유효 멤버 자격이 있는지 확인합니다. 이렇게 하려면 다음 단계를 따르세요.

  1. 임시 복제가 실패하고 복제 액세스 반환 이 거부된 사용자 계정을 사용하여 로그온합니다.

  2. 명령 프롬프트에서 다음 명령을 실행합니다.

    WHOAMI /ALL

  3. 관련 디렉터리 파티션에 대한 복제 디렉터리 변경 권한이 부여된 보안 그룹의 멤버 자격을 확인합니다.

    사용자가 마지막 사용자 로그온 후 변경된 허용된 그룹에 추가된 경우 두 번째로 로그온한 다음 명령을 다시 실행 WHOAMI /ALL 합니다.

    이 명령이 여전히 예상 보안 그룹의 멤버 자격을 표시하지 않는 경우 관리자 권한 명령 프롬프트 창을 로컬 컴퓨터에서 열고 명령 프롬프트에서 실행 WHOAMI /ALL 합니다.

    관리자 권한 명령 프롬프트에서 생성된 출력과 관리자 권한 없는 명령 프롬프트에서 생성된 출력 간에 WHOAMI /ALL 그룹 멤버 자격이 다른 경우 Windows Server 2008 기반 도메인 컨트롤러에 대해 LDAP 쿼리를 실행할 때 부분 특성 목록을 가져옵니다.

  4. 예상되는 중첩된 그룹 멤버 자격이 있는지 확인합니다.

    사용자가 복제 권한이 직접 부여된 그룹의 구성원인 중첩된 그룹의 구성원으로 임시 복제를 실행할 수 있는 권한을 얻는 경우 중첩된 그룹 멤버 자격 체인을 확인합니다. 도메인 관리자 및 엔터프라이즈 관리자 그룹이 기본 제공 Administrators 그룹에서 제거되었기 때문에 임시 Active Directory 복제 오류가 발생했습니다.

RODC 복제

RODC에서 컴퓨터 시작 복제가 실패하는 경우 실행 ADPREP /RODCPREP 되었는지, 엔터프라이즈 읽기 전용 도메인 컨트롤러 그룹에 각 NC 헤드에 대한 디렉터리 변경 내용 복제 권한이 부여되었는지 확인합니다.

LDS 서버에 대한 NTDS 설정 개체가 없습니다.

Active Directory LDS(Lightweight Directory Services)에서는 DBDSUTIL에서 메타데이터 정리 없이 개체를 삭제할 수 있습니다. 이 문제가 발생할 수 있습니다. 인스턴스를 구성 집합으로 복원하려면 영향을 받는 서버에서 LDS 인스턴스를 제거한 다음 ADAM 구성 마법사를 실행해야 합니다.

참고 항목

인스턴스에 대한 LDAPS 지원을 추가한 경우 인스턴스를 제거하면 서비스 인스턴스도 제거되므로 서비스 저장소에서 인증서를 다시 구성해야 합니다.

  • Last updated on