다음을 통해 공유

Active Directory 복제 오류 8524: DNS 조회 실패로 인해 DSA 작업을 진행할 수 없습니다.

이 문서에서는 Win32 오류 8524로 실패하는 AD 작업의 증상, 원인 및 해결 단계를 설명합니다.

DNS 조회 실패로 인해 DSA 작업을 진행할 수 없습니다.

원래 KB 번호: 2021446
적용 대상: 지원되는 모든 버전의 Windows Server

홈 사용자: 이 문서는 기술 지원 에이전트 및 IT 전문가만을 위한 것입니다. 문제에 대한 도움을 찾고 있는 경우 Microsoft 커뮤니티에 문의하세요.

증상

  1. DCDIAG는 Active Directory 복제 테스트가 8524 상태와 함께 실패했다고 보고합니다.

    테스트 서버: <사이트 이름><대상 DC>
    테스트 시작: 복제
    [복제 검사,<대상 DC>] 최근 복제 시도가 실패했습니다. 원본 DC에서 <대상 DC>로 <>
    명명 컨텍스트:
    실패한 디렉터리 파티션<에 대한 CN=>DN 경로,DC=Contoso,DC=Com
    복제에서 오류가 발생했습니다(8524).
    DNS 조회 실패로 인해 DSA 작업을 진행할 수 없습니다.

  2. REPADMIN은 8524 상태의 복제 시도가 실패했다고 보고합니다.

    일반적으로 8524 상태를 인용하는 REPADMIN 명령에는 다음이 포함되지만 다음으로 제한되지는 않습니다.

    • REPADMIN /REPLSUM
    • REPADMIN /SHOWREPS
    • REPADMIN /SHOWREPL

    REPADMIN /SHOWREPL의 8524 오류 샘플은 다음과 같습니다.

    Default-First-Site-Name\CONTOSO-DC1
    DSA 옵션: IS_GC
    사이트 옵션: (없음)
    DSA 개체 GUID: DSA invocationID:
    DC=contoso,DC=com
    RPC를 통한 Default-First-Site-Name\CONTOSO-DC2
    DSA 개체 GUID:
    마지막 시도 @ YYYY-MM-DD HH:MM:SS 실패, 결과 8524(0x214c):
    DNS 조회 실패로 인해 DSA 작업을 진행할 수 없습니다.
    1회 연속 실패.
    마지막 성공 @ YYYY-MM-DD HH:MM:SS.

    잘린 /showrepl 출력의 나머지

  3. 8524 상태의 다음 이벤트 중 하나는 디렉터리 서비스 이벤트 로그에 기록됩니다.

    • NTDS KCC(기술 일관성 검사기)
    • NTDS 일반
    • Microsoft-Windows-ActiveDirectory_DomainService

    일반적으로 8524 상태를 인용하는 Active Directory 이벤트는 다음을 포함하지만 제한되지는 않습니다.

    이벤트 출처 이벤트 문자열
    Microsoft-Windows-ActiveDirectory_DomainService 2023 이 디렉터리 서버는 다음 디렉터리 파티션에 대해 다음 원격 디렉터리 서버에 변경 내용을 복제할 수 없습니다.
    NTDS 일반 1655 Active Directory가 다음 글로벌 카탈로그와 통신 하려고 하 고는 시도 되지 않았습니다.
    NTDS KCC 1308 KCC는 다음 디렉터리 서비스로 복제하려는 연속적인 시도가 일관되게 실패한 것을 발견했습니다.
    NTDS KCC 1,865 KCC가 전체 스패닝 트리 네트워크 토폴로지 구성하지 못했습니다. 따라서 다음 사이트 목록은 로컬 사이트에서 연결할 수 없습니다.

    NTDS KCC 1925 다음 쓰기 가능한 디렉터리 파티션의 복제 링크를 설정 하려고 했으나 실패 했습니다.

    NTDS KCC 1926 다음 매개 변수를 사용하여 읽기 전용 디렉터리 파티션에 대한 복제 링크를 설정하지 못했습니다.

  4. 도메인 컨트롤러는 디렉터리 서비스 이벤트 로그에 NTDS 복제 이벤트 2087 및 NTDS 복제 이벤트 2088을 기록합니다.

    로그 이름: 디렉터리 서비스
    출처: Microsoft-Windows-ActiveDirectory_DomainService
    날짜: <날짜><시간>
    이벤트 ID: 2087
    작업 범주: DS RPC 클라이언트
    수준: 오류
    키워드: 클래식
    사용자: ANONYMOUS LOGON
    컴퓨터: <dc 이름>입니다.<도메인 이름>
    설명:

    Active Directory 도메인 서비스에서 원본 도메인 컨트롤러의 다음 DNS 호스트 이름을 IP 주소로 확인할 수 없습니다. 이 오류는 Active Directory 도메인 서비스의 추가, 삭제 및 변경 내용이 포리스트에 있는 하나 이상의 도메인 컨트롤러 간에 복제되지 않도록 방지합니다. 이 오류가 해결될 때까지 보안 그룹, 그룹 정책, 사용자 및 컴퓨터 및 해당 암호는 도메인 컨트롤러 간에 일치하지 않습니다. 로그온 인증 및 네트워크 리소스에 대한 액세스에 영향을 줄 수 있습니다.

    로그 이름: 디렉터리 서비스
    출처: Microsoft-Windows-ActiveDirectory_DomainService
    날짜: <날짜><시간>
    이벤트 ID: 2088
    작업 범주: DS RPC 클라이언트
    수준: 경고
    키워드: 클래식
    사용자: ANONYMOUS LOGON
    컴퓨터: <dc 이름>입니다.<도메인 이름>
    설명:
    Active Directory 도메인 Services에서 DNS를 사용하여 아래에 나열된 원본 도메인 컨트롤러의 IP 주소를 확인할 수 없습니다. 보안 그룹, 그룹 정책, 사용자 및 컴퓨터 및 해당 암호의 일관성을 유지하기 위해 Active Directory 도메인 Services는 NetBIOS 또는 원본 도메인 컨트롤러의 정규화된 컴퓨터 이름을 사용하여 성공적으로 복제되었습니다.

    잘못된 DNS 구성은 로그온 인증 또는 네트워크 리소스에 대한 액세스를 포함하여 이 Active Directory 도메인 Services 포리스트의 멤버 컴퓨터, 도메인 컨트롤러 또는 애플리케이션 서버의 다른 필수 작업에 영향을 미칠 수 있습니다.

    이 도메인 컨트롤러가 DNS를 사용하여 원본 도메인 컨트롤러의 IP 주소를 확인할 수 있도록 DNS 구성 오류를 즉시 해결해야 합니다.

원인

오류 상태 8524는 다음 오류 문자열에 매핑됩니다.

DNS 조회 실패로 인해 DSA 작업을 진행할 수 없습니다.

Windows Server 2003 SP1 도메인 컨트롤러 이후 Active Directory에 영향을 주는 모든 가능한 DNS 오류에 대한 catch-all 오류입니다.

Microsoft-Windows-ActiveDirectory_DomainService 이벤트 2087은 Active Directory 도메인 컨트롤러가 정규화된 CNAME 레코드(<원본 DC NTDS 설정 개체>의 개체 guid)를 통해 원격 DC를 확인할 수 없는 경우 8524 상태를 인용하는 다른 Active Directory 이벤트에 대한 파트너 이벤트입니다._msdcs.<포리스트 루트 도메인>) DNS를 사용합니다.

Microsoft-Windows-ActiveDirectory_DomainService 이벤트 2088은 원본 도메인 컨트롤러가 NetBIOS 이름으로 성공적으로 확인되었지만 DNS 이름 확인이 실패할 때만 이러한 이름 확인 대체가 발생할 때 기록됩니다.

8524 상태와 Microsoft-Windows-ActiveDirectory_DomainService 이벤트 2088 또는 2087 이벤트가 있는 경우 모두 DNS 이름 확인이 Active Directory에 실패했음을 나타냅니다.

요약하자면, 대상 DC가 DNS를 사용하여 CNAME 및 호스트 "A" 또는 호스트 "AAAA" 레코드로 원본 DC를 확인할 수 없는 경우 8524 복제 상태가 기록됩니다. 특정 근본 원인은 다음과 같습니다.

  1. 원본 DC가 오프라인이거나 더 이상 존재하지 않지만 해당 NTDS 설정 개체는 대상 DC의 Active Directory 복사본에 여전히 존재합니다.

  2. 원본 DC는 다음과 같은 이유로 하나 이상의 DNS 서버에 CNAME 또는 호스트 레코드를 등록하지 못했습니다.

    • 등록 시도가 실패했습니다.
    • 원본의 DNS 클라이언트 설정은 _msdcs 호스트, 전달 또는 위임하는 DNS 서버를 가리키지 않습니다.<포리스트 루트 도메인 영역 및 (또는) 기본 DNS 접미사 도메인 영역입니다>.

  3. 대상 DC의 DNS 클라이언트 설정은 원본 DC에 대한 CNAME 또는 호스트 레코드가 포함된 DNS 영역을 호스트, 전달 또는 위임하는 DNS 서버를 가리키지 않습니다.

  4. 원본 DC에 의해 등록된 CNAME 및 호스트 레코드는 다음과 같은 이유로 대상 DC에서 쿼리한 DNS 서버에 존재하지 않습니다.

    • 간단한 복제 대기 시간
    • 복제 실패
    • 영역 전송 실패

  5. 전달자 또는 위임이 잘못되었습니다. 대상 DC가 포리스트의 다른 도메인에 있는 DC에 대한 CNAME 또는 호스트 레코드를 확인하는 것을 방지합니다.

  6. 대상 DC, 원본 DC 또는 중간 DNS 서버에서 사용하는 DNS 서버가 제대로 작동하지 않습니다.

해결

8524가 오프라인 DC 또는 부실 DC 메타데이터로 인해 발생했는지 확인합니다.

8524 오류/이벤트가 현재 오프라인 상태이지만 포리스트에서 여전히 유효한 DC를 참조하는 경우 작동합니다.

8524 오류/이벤트가 비활성 DC를 참조하는 경우 대상 DC의 Active Directory 복사본에서 해당 DC에 대한 부실 메타데이터를 제거합니다. 비활성 DC는 네트워크에 더 이상 존재하지 않는 DC 설치이지만 해당 NTDS 설정 개체는 대상 DC의 Active Directory 복사본에 여전히 존재합니다.

Microsoft 지원은 존재하지 않는 DC에 대한 부실 메타데이터 또는 Active Directory에서 제거되지 않은 동일한 컴퓨터 이름을 가진 DC의 이전 프로모션에서 부실 메타데이터를 정기적으로 찾습니다.

부실 DC 메타데이터(있는 경우) 제거

Active Directory 사이트 및 서비스(DSSITE)를 사용하여 GUI 메타데이터 정리 MSC)

  1. Windows Server 2008 또는 Windows Server 2008 R2 Active Directory 사이트 및 서비스 스냅인(DSSITE)을 시작합니다. MSC).

    RSAT(원격 서버 관리 도구) 패키지의 일부로 설치된 Windows Vista 또는 Windows 7 컴퓨터에서 Active Directory 사이트 및 서비스를 시작하여 수행할 수도 있습니다.

  2. DSSITE에 초점을 맞춥니다. 대상 DC의 Active Directory 복사본에 대한 MSC 스냅인입니다.

    DSSITE를 시작한 후 MSC에서 "Active Directory 사이트 및 서비스 [<DC 이름]"을 마우스 오른쪽 단추>로 클릭합니다.

    "도메인 컨트롤러 변경..."에 표시되는 DC 목록에서 8524 오류/이벤트를 로깅하는 대상 DC를 선택합니다. 목록

  3. 8524 오류 및 이벤트에서 참조되는 원본 DC NTDS 설정 개체를 삭제합니다. Active Directory 사용자 및 컴퓨터(DSA. MSC) 원본 DC NTDS 설정 개체를 스냅인하고 삭제합니다.

    DC NTDS 설정 개체가 나타납니다.

    • 사이트, 사이트 이름, 서버 컨테이너 및 %server name% 컨테이너 아래
    • Active Directory 사이트 및 서비스의 오른쪽 창에 표시되는 인바운드 연결 개체 위입니다.

    아래 스크린샷의 빨간색 강조 표시는 기본 사이트 이름 사이트 아래에 있는 CONTOSO-DC2에 대한 NTDS 설정 개체를 보여 줍니다.

    NTDS 설정이 선택된 Active Directory 사이트 및 서비스 창의 스크린샷

    제거할 부실 NTDS 설정 개체를 마우스 오른쪽 단추로 클릭하고 "삭제"를 선택합니다.

    TECHNET에 설명된 대로 W2K8/W2K8 R2 Active Directory 사용자 및 컴퓨터 스냅인에서도 메타데이터 정리를 수행할 수 있습니다.

NTDSUTIL을 사용한 명령줄 메타데이터 정리

NTDSUTIL 메타데이터 정리 명령을 사용하여 부실한 NTDS 설정 개체를 삭제하는 레거시 또는 명령줄 메서드는 Active Directory 도메인 컨트롤러 서버 메타데이터 정리에 설명되어 있습니다.

원본 DC + 대상 DC에서 실행 DCDIAG /TEST:DNS

DCDIAG /TEST:DNS 는 도메인 컨트롤러의 DNS 상태를 신속하게 검사하기 위해 7가지 테스트를 수행합니다. 이 테스트는 DCDIAG의 기본 실행의 일부로 실행되지 않습니다.

  1. Enterprise Admin 자격 증명을 사용하여 8524 이벤트를 기록하는 대상 도메인 컨트롤러의 콘솔에 로그인합니다.

  2. 관리자 권한 CMD 프롬프트를 연 다음, 대상 DC가 복제하는 8424 상태 및 원본 DC를 로깅하는 DC에서 실행 DCDIAG /TEST:DNS /F 합니다.

    포리스트의 모든 DC에 대해 DCDIAG를 실행하려면 .를 입력합니다 DCDIAG /TEST:DNS /V /E /F:<File name.txt>.

    특정 DC에 대해 DCDIAG TEST:DNS를 실행하려면 다음을 입력합니다 DCDIAG /TEST:DNS /V /S:<DC NAME> /F:<File name.txt>.

  3. 출력의 끝에서 요약 테이블을 찾습니다 DCDIAG /TEST:DNS . 보고서의 관련 DC에서 경고 또는 실패 조건을 식별하고 조정합니다.

  4. DCDIAG가 근본 원인을 식별하지 않는 경우 아래 단계를 사용하여 "먼 길"을 수행합니다.

PING을 사용하여 Active Directory 이름 확인 확인

대상 DC는 원격 DC NTDS 설정 개체의 개체 GUID에서 파생된 정규화된 CNAME 레코드(Active Directory 사이트 및 서비스 스냅인에 표시되는 연결 개체에 대한 부모 개체)로 DNS의 원본 DC를 확인합니다. PING 명령을 사용하여 원본 DC 정규화된 CNAME 레코드를 확인하는 지정된 DC의 기능을 테스트할 수 있습니다.

  1. 원본 DC의 Active Directory 복사본에서 원본 DC NTDS 설정 개체의 objectGUID를 찾습니다.

    8524 오류/이벤트를 로깅하는 원본 DC의 콘솔에서 다음을 입력합니다.

    repadmin /showrepl <fully qualified hostname of source DC cited in the 8524 error (event)>

    예를 들어 8524 오류/이벤트에서 참조되는 DC가 도메인의 contoso-DC2인 경우 다음을 contoso.com 입력합니다.

    repadmin /showrepl contoso-dc2.contoso.com

    명령 헤더의 repadmin /SHOWREPl "DSA 개체 GUID" 필드에는 원본 DC 현재 NTDS 설정 개체의 objectGUID가 포함됩니다. 복제가 느리거나 실패하는 경우 원본 DC의 NTDS 설정 개체 보기를 사용합니다. 출력의 repadmin 헤더는 다음과 같습니다.

    Default-First-Site-Name\CONTOSO-DC1
    DSA 옵션: IS_GC
    사이트 옵션: (없음)
    DSA 개체 GUID: 8a7baee5-cd81-4c8c-9c0f-b10030574016 <- 마우스 오른쪽 단추를 클릭하고 이 문자열을 Windows에 복사합니다.
    <- 클립보드에 PING 명령을 붙여넣습니다.
    <- 4단계

  2. 대상 DC의 Active Directory 복사본에서 원본 DC의 ObjectGUID를 찾습니다.

    8524 오류/이벤트를 로깅하는 대상 DC의 콘솔에서 다음을 입력합니다.

    repadmin /showrepl <fully qualified hostname of destination DC>

    예를 들어 DC 로깅 8524 오류/이벤트가 도메인의 contoso-DC1인 경우 다음을 contoso.com 입력합니다.

    repadmin /showrepl contoso-dc1.contoso.com

    REPADMIN /SHOWREPL 출력은 다음과 같습니다. 대상 DC 인바운드가 복제하는 각 원본 DC에 대해 "DSA 개체 GUID" 필드가 나열됩니다.

     c:\>repadmin /showreps `contoso-dc1.contoso.com`  
 Default-First-Site-Name\CONTOSO-DC1  
 DSA Options: IS_GC  
 Site Options: (none)  
 DSA object GUID:  
 DSA invocationID:  
  DC=contoso,DC=com  
     Default-First-Site-Name\CONTOSO-DC2 via RPC  
         DSA object GUID: 8a7baee5-cd81-4c8c-9c0f-b10030574016      <- Object GUID for source DC derived from  
         Last attempt @ 2010-03-24 15:45:15 failed, result 8524 (0x214c):        \ destination DCs copy of Active Directory  
             The DSA operation is unable to proceed because of a DNS lookup failure.
         23 consecutive failure(s).  
         Last success @ YYYY-MM-DD HH:MM:SS.

  3. #2 및 #3의 개체 GUID를 비교합니다.

    개체 GUID가 동일한 경우 원본 DC와 대상 DC는 원본 DC의 동일한 인스턴스화(동일한 승격)에 대해 알고 있습니다. 다른 경우 나중에 만든 것을 파악합니다. 이전 만들기 날짜가 있는 NTDS 설정 개체는 부실할 수 있으며 제거해야 합니다.

  4. 정규화된 CNAME을 사용하여 원본 DC를 PING합니다.

    대상 DC의 콘솔에서 원본 DC 정규화된 CNAME 레코드의 PING을 사용하여 Active Directory의 이름 확인을 테스트합니다.

    c:\>ping <ObjectGUID> from source DCs NTDS Settings object._msdcs.<DNS name for Active Directory forest root domain>

    도메인의 contoso.com objectGUID의 예제를 사용하면 PING 구문은 다음과 같습니다.

    c:\>ping 8a7baee5-cd81-4c8c-9c0f-b10030574016. _msdcs.contoso.com

    ping이 작동하는 경우 Active Directory에서 실패한 작업을 다시 시도합니다. PING이 실패하면 "8524 DNS 조회 실패 해결"으로 진행하지만 각 단계가 해결될 때까지 PING 테스트를 다시 시도합니다.

8524 DNS 조회 실패 해결: 먼 길

8524 오류/이벤트가 부실 DC 메타데이터로 인해 발생하지 않고 CNAME PING 테스트가 실패하는 경우 다음의 DNS 상태를 검사합니다.

  • 원본 DC
  • 대상 DC
  • 원본 및 대상 DC에서 사용하는 DNS 서버

요약하면 다음을 확인합니다.

  • 원본 DC가 유효한 DNS를 사용하여 CNAME 및 호스트 레코드를 등록했습니다.
  • 대상 DC는 유효한 DNS 서버를 가리킵니다.
  • 원본 DC에서 등록한 관심 레코드는 대상 DC에서 확인할 수 있습니다.

DS RPC 클라이언트 이벤트 2087의 오류 메시지 텍스트는 8524 오류를 해결하기 위한 사용자 작업을 문서화합니다. 더 자세한 작업 계획은 다음과 같습니다.

  1. 원본 DC가 유효한 DNS 서버를 가리키는지 확인합니다.

    원본 DC에서 DNS 클라이언트 설정이 the_msdcs 호스트, 전달 또는 위임하는 운영 DNS 서버만 가리키는지 확인합니다.<포리스트 루트 도메인> 영역(즉, contoso.com 포리스트의 모든 DC는 the_msdcs.contoso.com 영역에 CNAME 레코드를 등록합니다.)

    그리고

    Active Directory 도메인의 DNS 영역(즉, contoso.com 도메인의 컴퓨터가 contoso.com 영역에 호스트 레코드를 등록합니다).

    그리고

    Active Directory 도메인 이름과 다른 경우 컴퓨터 기본 DNS 접미사 도메인입니다(Technet 문서 분리 네임스페이스 참조).

    DNS 서버가 호스트, 전달 또는 대리자(즉, "해결 가능")를 포함하는지 확인하는 옵션입니다.

    • DNS에 대한 DNS 관리 도구를 시작하고 이름 확인을 위해 원본 DC가 가리키는 DNS 서버가 해당 영역을 호스트하는지 확인합니다.

    • NSLOOKUP을 사용하여 원본 DC가 가리키는 모든 DNS 서버가 해당 DNS 영역에 대한 쿼리를 확인할 수 있는지 확인합니다.

      원본 DC의 콘솔에서 IPCONFIG /ALL 실행

      c:\>ipconfig /all
…
DNS Servers . . . . . . . . . . . : 10.45.42.99 <- Primary DNS Server IP>
                                           10.45.42.101<- Secondary DNS Server IP>

      다음 NSLOOKUP 쿼리를 실행합니다.

      c:\>nslookup -type=soa  <Source DC DNS domain name> <source DCs primary DNS Server IP >
c:\>nslookup -type=soa  < Source DC DNS domain name > <source DCs secondary DNS Server IP >
c:\>nslookup -type=soa  <_msdcs.<forest root DNS domain> <source DCs primary DNS Server IP >
c:\>nslookup -type=soa  <_msdcs.<forest root DNS domain> <source DCs secondary DNS Server IP >

      예를 들어 포리스트 도메인의 CHILD.CONTOSO.COM DC contoso.com 가 기본 및 보조 DNS 서버 IP "10.45.42.99" 및 "10.45.42.101"로 구성된 경우 NSLOOKUP 구문은 다음과 같습니다.

      c:\>nslookup -type=soa  child.contoso.com 10.45.42.99
c:\>nslookup -type=soa  child.contoso.com 10.45.42.101
c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.99
c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.101

    참고:

    • 대상 DNS에 좋은 전달자 또는 위임이 있거나 the_msdcs 경우 _mscs.contoso.com 영역에 대한 SOA 쿼리가 올바르게 확인됩니다.<포리스트 루트 영역>입니다. _msdcs 경우 올바르게 확인되지 않습니다.<쿼리되는 DNS 서버의 포리스트 루트 영역>은 Windows 2000 도메인에서 만든 영역 관계인 포리스트 루트 영역<의 >위임되지 않은 하위 도메인입니다.
    • CNAME 레코드는 항상 _msdcs 등록됩니다.<루트가 아닌 도메인의 DC에서도 포리스트 루트 영역>입니다.
    • 이름 확인을 위해 ISP DNS 서버를 가리키도록 DC 또는 멤버 컴퓨터의 DNS 클라이언트를 구성하는 것은 유효하지 않습니다. 유일한 예외는 ISP가 계약(즉, 유료)되었으며 현재 Active Directory 포리스트에 대한 DNS 쿼리를 호스팅, 전달 또는 위임하고 있다는 것입니다.
    • ISP DNS 서버는 일반적으로 동적 DNS 업데이트를 허용하지 않으므로 CNAME, 호스트 및 SRV 레코드를 수동으로 등록해야 할 수 있습니다.

  2. 원본 DC에서 CNAME 레코드를 등록했는지 확인합니다.

    "PING을 사용하여 Active Directory 이름 확인 확인"의 1단계를 사용하여 원본 DC의 현재 CNAME을 찾습니다.

    원본 DC의 콘솔에서 실행 ipconfig /all 하여 원본 DC가 이름 확인을 위해 가리키는 DNS 서버를 결정합니다.

    c:\>ipconfig /all
…
DNS Servers . . . . . . . . . . . : 10.45.42.99                        <primary DNS Server IP
                                           10.45.41.101                      <secondary DNS Server IP

    NSLOOKUP을 사용하여 원본 DC의 CNAME 레코드에 대한 현재 DNS 서버를 쿼리합니다("PING을 사용하여 Active Directory 이름 확인 확인"의 절차를 통해 찾음).

    c:\>nslookup -type=cname <fully qualified cname of source DC> <source DCs primary DNS Server IP >
c:\>nslookup -type=cname <fully qualified cname of source DC> <source DCs secondary DNS Server IP>

    이 예제에서 contoso.com 도메인의 contoso-dc2에 대한 NTDS Settings objectGUID는 8a7baee5-cd81-4c8c-9c0f-b10030574016입니다. DNS 이름 확인의 기본으로 "10.45.42.99"를 가리킵니다. NSLOOKUP 구문은 다음과 같습니다.

    c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.99
c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.101

    원본 DC가 이름 확인을 위해 가리키는 DNS 서버에 CNAME 레코드를 등록하지 않은 경우 원본 DC에서 다음 명령을 실행합니다. 그런 다음, CNAME 레코드의 등록을 다시 확인합니다.

    c:\>net stop netlogon & net start netlogon

    참고:

    • CNAME 레코드는 항상 _msdcs 등록됩니다.<루트가 아닌 도메인의 DC에서도 포리스트 루트 영역>입니다.
    • CNAME 레코드는 OS 시작, NETLOGON 서비스 시작 및 나중에 되풀이 간격 동안 NETLOGON 서비스에 의해 등록됩니다.
    • 이름이 같은 DC의 각 승격은 다른 objectGUID를 사용하여 새 NTDS 설정 개체를 만들 수 있으므로 다른 CNAME 레코드를 등록합니다. 원본이 1배 이상 승격된 경우 원본 DC의 마지막 승격과 대상 DC의 NTDS 설정 개체에 대한 objectGUID를 기반으로 CNAME 레코드 등록을 확인합니다.
    • OS를 시작하는 동안 타이밍 문제가 발생하면 성공적인 동적 DNS 등록이 지연됩니다.
    • DC의 CNAME 레코드가 성공적으로 등록되었지만 나중에 사라지면 KB953317 확인합니다. 다른 복제 범위에서 DNS 영역을 복제하거나 DNS 서버에서 지나치게 공격적인 DNS 청소를 수행합니다.
    • 원본 DC가 이름 확인을 가리키는 DNS 서버에서 CNAME 레코드 등록이 실패하는 경우 DNS 등록 실패에 대한 SYSTEM 이벤트 로그의 NETLOGN 이벤트를 검토합니다.

  3. 원본 DC가 호스트 레코드를 등록했는지 확인합니다.

    원본 DC의 콘솔에서 실행 ipconfig /all 하여 이름 확인을 위해 원본 DC가 가리키는 DNS 서버를 결정합니다.

    c:\>ipconfig /all
…
DNS Servers . . . . . . . . . . . : 10.45.42.99 <- Primary DNS Server IP>
                                           10.45.42.101<- Secondary DNS Server IP>

    NSLOOKUP을 사용하여 호스트 레코드에 대한 현재 DNS 서버를 쿼리합니다.

    c:\>nslookup -type=A+AAAA  <fully qualified hostname of source DC> <source DCs primary DNS Server IP >
c:\>nslookup -type=A+AAAA <fully qualified hostname of source DC> <source DCs secondary DNS Server IP>

    contoso.com 도메인에서 contoso-dc2의 호스트 이름 예제는 8a7baee5-cd81-4c8c-9c0f-b10030574016이며 DNS 이름 확인의 기본으로 자체(127.0.0.1)를 가리키며 NSLOOKUP 구문은 다음과 같습니다.

    c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.99
c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.101

    원본 DC 보조 DNS 서버 IP 주소에 대해 NSLOOKUP 명령을 반복합니다.

    호스트 "A" 레코드를 동적으로 등록하려면 컴퓨터 콘솔에서 다음 명령을 입력합니다.

    c:\>ipconfig /registerdns

    참고:

    • Windows 2000~Windows Server 2008 R2 컴퓨터는 모두 IPv4 호스트 "A" 레코드를 등록합니다.
    • Windows Server 2008 및 Windows Server 2008 R2 컴퓨터는 모두 IPv6 호스트 "AAAA" 레코드를 등록합니다.
    • 호스트 "A" 및 "AAAA" 레코드는 컴퓨터 기본 DNS 접미사 영역에 등록됩니다.
    • 네트워크 케이블이 연결되지 않은 NIC를 사용하지 않도록 설정합니다.
    • 네트워크의 DC 및 구성원 컴퓨터에서 액세스할 수 없는 NIC에서 호스트 레코드 등록을 사용하지 않도록 설정합니다.
    • 네트워크 카드 속성에서 IPv6 확인란을 선택 취소하여 IPv6 프로토콜을 사용하지 않도록 설정하는 것은 지원되지 않습니다.

  4. 대상 DC가 유효한 DNS 서버를 가리키는지 확인합니다.

    대상 DC에서 DNS 클라이언트 설정이 _msdcs 호스트, 전달 및 위임하는 현재 온라인 DNS 서버만 가리키는지 확인합니다.<포리스트 루트 도메인> 영역(즉, contoso.com 포리스트의 모든 DC는 the_msdcs.contoso.com 영역에 CNAME 레코드를 등록합니다).

    그리고

    Active Directory 도메인의 DNS 영역(즉, contoso.com 도메인의 컴퓨터가 contoso.com 영역에 호스트 레코드를 등록합니다).

    그리고

    Active Directory 도메인 이름과 다른 경우 컴퓨터 기본 DNS 접미사 도메인입니다(Technet 문서 분리 네임스페이스 참조).

    DNS 서버가 호스트, 전달 또는 대리자(즉, "확인할 수 있습니다")를 확인하는 옵션은 다음과 같습니다.

    • DNS에 대한 DNS 관리 도구를 시작하고 이름 확인을 위해 원본 DC가 가리키는 DNS 서버가 해당 영역을 호스트하는지 확인합니다.

      또는

    • NSLOOKUP을 사용하여 원본 DC가 가리키는 모든 DNS 서버가 해당 DNS 영역에 대한 쿼리를 확인할 수 있는지 확인합니다.

      대상 DC의 콘솔에서 IPCONFIG /ALL을 실행합니다.

      c:\>ipconfig /all
…
DNS Servers . . . . . . . . . . . : 10.45.42.102 <- Primary DNS Server IP>
                                                      10.45.42.103<- Secondary DNS Server IP>

      대상 DC의 콘솔에서 다음 NSLOOKUP 쿼리를 실행합니다.

      c:\>nslookup -type=soa  <Source DC DNS domain name> <destinatin DCs primary DNS Server IP >
c:\>nslookup -type=soa  < Source DC DNS domain name > <destination DCs secondary DNS Server IP >
c:\>nslookup -type=soa  _msdcs.<forest root DNS domain> <destination DCs primary DNS Server IP >
c:\>nslookup -type=soa  _msdcs.<forest root DNS name> <destination DCs secondary DNS Server IP>

    예를 들어 contoso.com 포리스트의 CHILD.CONTOSO.COM 도메인에 있는 DC가 기본 및 보조 DNS 서버 IP "10.45.42.102" 및 "10.45.42.103"으로 구성된 경우 NSLOOKUP 구문은

    c:\>nslookup -type=soa  child.contoso.com 10.45.42.102
c:\>nslookup -type=soa  child.contoso.com 10.45.42.103
c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.102
c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.103

    참고:

    • 대상 DNS에 좋은 전달자 또는 위임이 있거나 the_msdcs 경우 _mscs.contoso.com 영역에 대한 SOA 쿼리가 올바르게 확인됩니다.<포리스트 루트 영역>입니다. the_msdcs 경우 올바르게 확인되지 않습니다.<쿼리되는 DNS 서버의 포리스트 루트 영역>은 Windows 2000 도메인에서 만든 영역 관계인 포리스트 루트 영역<의 >위임되지 않은 하위 도메인입니다.
    • CNAME 레코드는 항상 _msdcs 등록됩니다.<루트가 아닌 도메인의 DC에서도 포리스트 루트 영역>입니다.
    • 이름 확인을 위해 ISP DNS 서버를 가리키도록 DC 또는 멤버 컴퓨터의 DNS 클라이언트를 구성하는 것은 유효하지 않습니다. 유일한 예외는 ISP가 계약(즉, 유료)되었으며 현재 Active Directory 포리스트에 대한 DNS 쿼리를 호스팅, 전달 또는 위임하고 있다는 것입니다.
    • ISP DNS 서버는 일반적으로 동적 DNS 업데이트를 허용하지 않으므로 CNAME, 호스트 및 SRV 레코드를 수동으로 등록해야 할 수 있습니다.
    • Windows 컴퓨터의 DNS 확인자는 기본적으로 "고정"됩니다. 이러한 DNS 서버가 필요한 영역을 호스트, 전달 또는 위임하는지 여부에 관계없이 쿼리에 응답하는 DNS 서버를 사용합니다. DNS 확인자는 DNS 서버의 응답이 "원하는 레코드를 호스트하지 않거나 해당 레코드에 대한 영역의 복사본을 호스트하지 않음"인 경우에도 활성 DNS가 응답하는 한 다른 DNS 서버를 장애 조치(failover)하고 쿼리하지 않습니다.

  5. 대상 DC에서 사용하는 DNS 서버가 원본 DC CNAME 및 HOST 레코드를 확인할 수 있는지 확인합니다.

    대상 DC의 콘솔에서 실행 ipconfig /all 하여 이름 확인을 위해 대상 DC가 가리키는 DNS 서버를 확인합니다.

    DNS Servers that destination DC points to for name resolution:

c:\>ipconfig /all
…
  DNS Servers . . . . . . . . . . . : 10.45.42.102 <- Primary DNS Server IP>
                                             10.45.42.103<- Secondary DNS Server IP>

    대상 DC의 콘솔에서 원본 DC CNAME 및 호스트 레코드에 대해 대상 DC에 구성된 DNS 서버를 쿼리하는 데 사용합니다 NSLOOKUP .

    c:\>nslookup -type=cname <fully qualified CNAME of source DC> <destination DCs primary DNS Server IP >
c:\>nslookup -type=cname <fully qualified CNAME of source DC> <destination DCs secondary DNS Server IP>
c:\>nslookup -type=host <fully qualified hostname of source DC> <destination DCs primary DNS Server IP >
c:\>nslookup -type=host <fully qualified hostname of source DC> <destination DCs secondary DNS Server IP>

    예제에서 포리스트 루트 도메인의 GUID 8a7baee5-cd81-4c8c-9c0f-b10030574016이 있는 Contoso.com contoso.com 도메인의 contoso-dc2는 DNS 서버 "10.45.42.102" 및 "10.45.42.103"을 가리킵니다. NSLOOKUP 구문은 다음과 같습니다.

    c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.102
c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.103
c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.102
c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.102

  6. 원본 DC와 대상 DC에서 사용하는 DNS 서버 간의 관계 검토

    원본 및 대상 호스트 AD 통합 복사본에서 사용하는 DNS 서버가 _msdcs 경우<포리스트 루트> 및 <기본 DNS 접미사> 영역에서 다음을 확인합니다.

    • 레코드가 등록된 DNS와 레코드가 쿼리되는 DNS 간의 복제 대기 시간.
    • 레코드가 등록된 DNS와 쿼리 중인 DNS 간의 복제 실패입니다.
    • 관심 있는 레코드를 호스팅하는 DNS 영역은 서로 다른 복제 범위 및 따라서 다른 콘텐츠에 유지되거나 하나 이상의 DC에서 CNF/충돌이 발생합니다.

    원본 및 대상 DC에서 사용하는 DNS 영역이 DNS 영역의 기본 및 보조 복사본에 저장되는 경우 다음을 확인합니다.

    • 영역의 기본 복사본을 호스팅하는 DNS에서는 "영역 전송 허용" 확인란을 사용할 수 없습니다.
    • "다음 서버만" 확인란을 사용할 수 있지만 보조 DNS의 IP 주소가 주 DNS의 허용 목록에 추가되지 않았습니다.
    • 영역의 보조 복사본을 호스팅하는 Windows Server 2008 DNS의 DNS 영역은 KB953317 때문에 비어 있습니다.

    원본 및 대상 DC에서 사용하는 DNS 서버에 부모/자식 관계가 있는 경우 다음을 확인합니다.

    • 하위 영역에 위임하는 부모 영역을 소유하는 DNS의 위임이 잘못되었습니다.
    • 우수한 DNS 영역을 확인하려는 DNS 서버의 전달자 IP 주소가 잘못되었습니다(예: 루트 도메인의 DNS 서버에 있는 conto.com 영역에서 호스트 레코드를 확인하려는 child.contoso.com DC).

데이터 수집

Microsoft 지원의 지원이 필요한 경우 Active Directory 복제 문제에 대해 TSS를 사용하여 정보 수집에 설명된 단계에 따라 정보를 수집하는 것이 좋습니다.