Active Directory 복제 오류 8614 문제 해결

이 문서에서는 Active Directory 복제 오류 8614 문제를 해결하는 단계를 제공합니다.

원래 KB 번호: 2020053

참고 항목

홈 사용자: 이 문서는 기술 지원 에이전트 및 IT 전문가만을 위한 것입니다. 문제에 대한 도움을 찾고 있는 경우 Microsoft 커뮤니티에 문의하세요.

증상

1. DCDIAG는 오류 상태 코드 8614로 Active Directory 복제 테스트가 실패했다고 보고합니다. 이 서버와의 마지막 복제 시간이 삭제 표시 수명을 초과했기 때문에 Active Directory가 이 서버와 함께 복제할 수 없습니다.

   Testing server: <site name><destination dc name>  
   Starting test: Replications  
   * Replications Check  
   [Replications Check,<destination DC name] A recent replication attempt failed:  
   From <source DC> to <destination DC>  
   Naming Context: <directory partition DN path>  
    The replication generated an error (8614):
    Active Directory cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime.  
   The failure occurred at <date> <time>.  
   The last success occurred at <date> <time>.  
   3 failures have occurred since the last success.  
   

2. REPADMIN.EXE 마지막 복제 시도가 8614 상태로 실패했다고 보고합니다. 일반적으로 8614 상태를 인용하는 REPADMIN 명령은 다음을 포함하지만 제한되지는 않습니다.

   • REPADMIN /REPLSUM
   • REPADMIN /SHOWREPL
   • REPADMIN /SHOWREPS
   • REPADMIN /SYNCALL

   복제 액세스가 거부된 상태에서 CONTOSO-DC2에서 CONTOSO-DC1로의 인바운드 복제를 보여 주는 샘플 출력 REPADMIN /SHOWREPS 은 다음과 같습니다.

    efault-First-Site-Name\CONTOSO-DC1  
    DSA Options: IS_GC  
    Site Options: (none)  
    DSA object GUID:  
    DSA invocationID:  
   
   ==== INBOUND NEIGHBORS ======================================  
   
   DC=contoso,DC=com  
   Default-First-Site-Name\CONTOSO-DC2 via RPC  
   DSA object GUID:  
   Last attempt @ <date> <time> failed, result 8614(0x21a6):
   The Active Directory cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime.  
   <#> consecutive failure(s).  
   Last success @ <date> <time>.  
   

3. 5개의 상태가 있는 NTDS KCC, NTDS 일반 또는 Microsoft-Windows-ActiveDirectory_DomainService 이벤트는 디렉터리 서비스 이벤트 로그에 기록됩니다.

   일반적으로 8524 상태를 인용하는 Active Directory 이벤트는 다음을 포함하지만 제한되지는 않습니다.

   이벤트 원본	ID	이벤트 문자열
   NTDS KCC	1925	다음 쓰기 가능한 디렉터리 파티션의 복제 링크를 설정 하려고 했으나 실패 했습니다.

4. NTDS 복제 이벤트 2042는 디렉터리 서비스 이벤트 로그에 기록될 수 있습니다.

   Event Type: Error
   Event Source: NTDS Replication
   Event Category: Replication
   Event ID: 2042
   User: NT AUTHORITY\ANONYMOUS LOGON
   Computer: <name of DC that logged event>
   
   Description:  
   It has been too long since this machine last replicated with the named source
   machine. The time between replications with this source has exceeded the tombstone
   lifetime. Replication has been stopped with this source.
   
   The reason that replication is not allowed to continue is that the two machine's views of deleted objects may now be different. The source machine may still have copies of objects that have been deleted (and garbage collected) on this machine. If they were allowed to replicate, the source machine might return objects which have already been deleted.
   
   Time of last successful replication: YYYY-MM-DD HH:MM:SS
   Invocation ID of source: <32 character GUID for source DC>
   Name of source: <fully qualified cname record of source DC>
   Tombstone lifetime (days): <current TSL value. Default = 60 or 180 days>
   
   The replication operation has failed.
   
   User Action:
   
   Determine which of the two machines was disconnected from the forest and is now out of date. You have three options:
   
   1. Demote or reinstall the machine(s) that were disconnected.
   2. Use the repadmin /removelingeringobjects tool to remove inconsistent deleted objects and then resume replication.
   3. Resume replication. Inconsistent deleted objects may be introduced. You can continue replication by using the following registry key. Once the systems replicate once, it's recommended that you remove the key to reinstate the protection.  
   

5. Active Directory 사이트 및 서비스의 이제 복제 명령은 다음 메시지를 반환합니다.

   이 서버에 대한 마지막 복제 이후의 시간이 삭제 표시 수명을 초과했기 때문에 Active Directory는 이 서버와 함께 복제할 수 없습니다.

   원본 DC에서 연결 개체를 마우스 오른쪽 단추로 클릭하고 이제 DSSITE(Active Directory 사이트 및 서비스)에서 복제를 선택합니다. MSC)가 실패했습니다. 다음과 같은 메시지가 표시됩니다.

   이 서버에 대한 마지막 복제 이후의 시간이 삭제 표시 수명을 초과했기 때문에 Active Directory는 이 서버와 함께 복제할 수 없습니다.

   화면 오류 메시지 텍스트는 다음과 같습니다.

   대화 상자 제목 텍스트: 지금 복제
   대화 상자 메시지 텍스트: 이름 지정 컨텍스트 <%directory 파티션 이름%>을(를) 도메인 컨트롤러 원본 DC에서 도메인 컨트롤러 <<대상 DC>>로 동기화하는 동안 다음 오류가 발생했습니다.

   이 서버를 사용한 마지막 복제 이후의 시간이 삭제 표시 수명을 초과했기 때문에 Active Directory는 이 서버와 함께 복제할 수 없습니다.
   작업이 계속되지 않습니다.

   대화 상자의 단추: 확인

원인

Active Directory 도메인 컨트롤러는 다중 마스터 복제를 지원합니다. 쓰기 가능한 파티션을 보유하는 모든 도메인 컨트롤러는 개체 또는 특성(값)의 만들기, 수정 또는 삭제를 발생시킬 수 있습니다. 개체/특성 삭제에 대한 지식은 삭제 표시 수명(일)에 대해 유지됩니다. (참조) Windows Server Active Directory 포리스트의 느린 개체에 대한 정보입니다.

Active Directory를 사용하려면 디렉터리 파티션에 대한 모든 원래 삭제를 모든 파티션 소유자에게 전이적으로 복제하려면 모든 파티션 소유자에서 종단 간 복제가 필요합니다. 롤링 TSL 일 수에서 디렉터리 파티션을 인바운드 복제하지 못하면 개체가 남아 있습니다. 느린 개체는 하나 이상의 DC에서 의도적으로 삭제되었지만 모든 고유한 삭제에 대한 일시적인 지식을 인바운드 복제하지 못한 대상 DC에 잘못 존재하는 개체입니다.

오류 8614는 Windows Server 2003 이상 버전을 실행하는 도메인 컨트롤러에 추가된 논리의 예입니다. 느린 개체의 확산을 격리하고 일관성 없는 디렉터리 파티션을 발생시키는 장기 복제 실패를 식별합니다.

오류 8614 및 NTDS 복제 이벤트 2042의 근본 원인은 다음과 같습니다.

1. 8614 오류를 기록하는 대상 DC가 삭제 표시 수명 일 수에 대해 하나 이상의 원본 DC에서 디렉터리 파티션을 인바운드 복제하지 못했습니다.

2. 대상 DC의 시스템 시간이 마지막으로 성공적으로 복제된 후 나중에 하나 이상의 삭제 표시 수명을 이동하거나 삭제 표시합니다. 대상 DC가 삭제 표시 수명 경과 일 수에 대한 디렉터리 파티션을 인바운드 복제하지 못한 복제 엔진에 모양을 제공합니다.

   다음 조건이 충족되면 시간 점프가 발생할 수 있습니다.

   • 대상 DC가 성공적으로 인바운드 복제되고, 잘못된 시스템 시간 TSL을 채택하거나 나중에 더 많은 일 수를 채택합니다.
   • 그런 다음 대상 DC는 TSL에서 마지막으로 복제된 원본에서 인바운드 복제를 시도하거나 과거 일 수를 초과합니다.

   또는

   시간이 현재 시간에서 날짜/시간 삭제 표시 수명 또는 과거에 더 많은 일로 이동하여 인바운드 복제에 성공합니다. 그런 다음, 나중에 시간 TSL 또는 더 많은 일 수를 채택한 후 인바운드 복제를 시도합니다.

기본적으로 복제 오류 8614의 원인과 해결 방법은 NTDS 복제 이벤트 2042의 원인 및 해결에 동일하게 적용됩니다.

해결 방법

참고 항목

오류 상태 8614 또는 NTDS 복제 이벤트 2042를 기록하는 Active Directory 도메인 컨트롤러를 복구하는 두 가지 작업 계획이 있습니다. 도메인 컨트롤러를 강제로 강등하거나 아래 작업 계획을 사용하여 필요한 수정 사항을 확인하고, 시간 점프를 찾고, 느린 개체를 확인하고, 있는 경우 제거하고, 복제 격리를 제거하고, 복제 오류를 해결한 다음 DC를 다시 서비스로 전환할 수 있습니다. 이러한 DC의 강제 강등은 더 쉽고 빠를 수 있지만 강제 강등되는 도메인 컨트롤러에서 원래 업데이트(즉, 데이터 손실)가 손실될 수 있습니다. Active Directory는 아래 단계에 따라 이 조건에서 정상적으로 복구됩니다. 시나리오에 가장 적합한 솔루션을 선택합니다. 특히 복제 실패를 쉽게 해결할 수 있거나 Active Directory 외부에 있는 경우 강제 강등이 유일한 실행 가능한 솔루션이라고 가정하지 마세요.

1. 삭제 표시 수명에 대한 기본값이 아닌 값을 확인합니다.

   기본적으로 삭제 표시 수명은 포리스트에 배포된 Windows 버전에 따라 60일 또는 180일을 사용합니다. Microsoft 지원 해당 기간 동안 인바운드 복제에 실패한 DC를 정기적으로 확인합니다. 삭제 표시 수명이 2일과 같은 짧은 기간으로 구성되었을 수도 있습니다. 그렇다면 5일 동안 인바운드 복제되지 않은 DC는 다음 테스트에 실패합니다.

   모든 DC는 롤링 TSL 일 수로 복제해야 합니다.

   TombstoneLifetime 특성에 대한 기본값이 아닌 값이 구성되었는지 여부를 확인하는 데 사용합니다repadmin /showattr.

   repadmin /showattr <DC_name> "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest root domain>,DC=<top level domain>"
   

   출력에 특성이 showattr 없으면 내부 기본값이 사용됩니다.

2. TSL 일 수에 대한 인바운드 복제에 실패한 DC를 확인합니다.

   도메인 컨트롤러로의 복제 성공 확인 섹션에 지정된 대로 Excel을 사용하여 구문 분석하여 실행 repadmin /showrepl * /csv 합니다. 마지막 복제 성공 열의 Excel에서 최소 현재 날짜 및 시간 순서로 다시 시작 출력을 정렬합니다.

3. 시간 점프를 확인합니다.

   시간 점프 가 발생했는지 확인하려면 다음 타임스탬프에 대해 8614 오류를 로깅하는 대상 DC에서 이벤트 및 진단 로그(repadmin /showrepsdcdiag 로그)를 확인합니다.

   • 운영 체제 릴리스 이전의 날짜 스탬프입니다. 예를 들어 Windows Server 2008에서 릴리스된 OS에 대한 Windows Server 2003의 날짜 스탬프입니다.
     • 포리스트에 운영 체제를 설치하기 이전의 날짜 스탬프입니다.
     • 향후 날짜 스탬프입니다.
     • 지정된 날짜 범위에 기록되는 이벤트가 없습니다.

   Microsoft 지원 팀은 프로덕션 도메인 컨트롤러의 시스템 시간이 과거와 미래의 시간, 일, 주, 년, 심지어 수십 년을 잘못 점프하는 것을 보았습니다.

   시스템 시간이 정확하지 않은 것으로 확인되면 수정합니다. 그런 다음 시간이 급증한 이유와 부정확한 시간을 방지하기 위해 수행할 수 있는 작업과 잘못된 시간을 수정하는 작업을 확인합니다. 조사할 수 있는 영역은 다음과 같습니다.

   • 포리스트 루트 PDC가 외부 시간 원본을 사용하여 구성되었나요?
     • 참조 시간 원본이 온라인이고 네트워크에서 사용할 수 있으며 DNS에서 확인할 수 있나요?
     • Microsoft 또는 타사 시간 서비스가 실행 중이며 오류 없는 상태인가요?
     • DC 역할 컴퓨터가 NT5DS 계층 구조를 사용하여 원본 시간을 사용하도록 구성되었나요?
     • Windows 시간 서비스를 대규모 시간 오프셋에 대해 구성하는 방법에 설명된 시간 롤백 보호가 있나요?
     • 시스템 시계는 BIOS에서 좋은 배터리와 정확한 시간을 가지고 있습니까?
     • 호스팅 제조업체 권장 사항에 따라 가상 호스트 및 게스트 컴퓨터가 원본 시간으로 구성되었나요?

   이 문서에서 는 도메인 컨트롤러가 잘못된 시간 샘플을 수신하지 못하도록 보호하는 데 도움이 되는 대규모 시간 오프셋 문서 단계에 대해 Windows 시간 서비스를 구성하는 방법입니다. MaxPosPhaseCorrection 및 MaxNegPhaseCorrection에 대한 자세한 내용은 Windows 시간 서비스에서 확인할 수 있습니다.

4. 남아 있는 개체가 있는지 확인하고 제거합니다.

   8614 오류 복제 격리의 요점은 포리스트의 모든 대상 DC가 엄격한 복제 일관성에서 실행되고 있다고 생각되더라도 서로 다르고 손상된 파트너와의 복제 허용을 대상 DC의 레지스트리에서 1로 설정하기 전에 로컬에 보관된 각 파티션에서 느린 개체를 확인하고 제거하는 것입니다.

   느린 개체를 제거하는 것은 이 문서의 범위를 벗어납니다. 자세한 내용은 다음 문서를 참조하세요.

   • Windows Server Active Directory 포리스트의 느린 개체에 대한 정보입니다.
   • 느린 개체 청산기(LoL)
   • 느린 개체 청산기 v2 소개
   • 느린 개체 청산기 도구에 대한 설명
   • 이벤트 ID 1388 또는 1988: 느린 개체가 검색됨

   Repadmin 구문은 다음과 같습니다.

   구문	온라인 도움말(Windows Server 2008 이상)
   c:\>repadmin /removelingeringobjects <Dest_DSA_LIST> <Source DSA GUID> <NC> [/advisory_mode]	c:\>repadmin /help:removelingeringobject

5. 대상 DC에서 엄격한 복제 설정을 평가합니다.

   엄격한 모드 복제를 사용하면 가비지 수집을 사용하여 의도적으로 삭제된 개체를 만들고 삭제하고 회수한 대상 DC에서 느린 개체가 다시 애니메이션되지 않습니다.

   엄격한 복제를 위한 레지스트리 키:

   • 경로: HKEY_LOCAL_MACHINE\system\ccs\services\ntds\parameters
   • 설정: 엄격한 복제 일관성 <- 대/소문자 구분 안 함>
   • 형식: reg_dword
   • 값: 0 | 1

   Repadmin 단일 또는 여러 DC에서 엄격한 복제를 사용하도록 설정하고 사용하지 않도록 설정하는 구문은 다음과 같습니다.

   구문	온라인 도움말(Windows Server 2008 이상)	단일 DC에서 사용	포리스트의 모든 DC에서 사용	포리스트의 모든 GC에서 사용
   repadmin /regkey <DSA_LIST> <{+|-}key> [value [/reg_sz]]	Repadmin /help:regkey	repadmin /regkey <fully qualified computer name> +strict	repadmin /regkey * +strict	repadmin /regkey gc: +strict

6. 8614 DC에서 분기 및 손상된 파트너와의 복제 허용을 1로 설정합니다.

   느린 개체를 제거한 후 시간 기반 복제 격리를 사용하지 않도록 설정합니다.

   레지스트리 메서드:

   • 레지스트리 경로: HKEY_LOCAL_MACHINE\system\ccs\services\ntds\parameters
   • 레지스트리 설정: 분기 및 손상된 파트너와 <의 복제 허용 - 대/소문자를 구분하지 않음
   • 레지스트리 값: 0 = 허용 불가, 1 = 허용

   Repadmin 메서드:

   구문	온라인 도움말(Windows Server 2008 이상)	단일 DC에서 사용	포리스트의 모든 DC에서 사용	포리스트의 모든 GC에서 사용
   repadmin /regkey <DSA_LIST> <{+|-}key> [value [/reg_sz]]	Repadmin /help:regkey	repadmin /regkey dc01.contoso.com +allowDivergent	repadmin /regkey * +allowDivergent	repadmin /regkey GC: +allowDivergent

7. AD 복제 실패가 있는 경우 해결합니다.

   대상 DC에 8614 오류 상태가 기록되면 이전 TSL 일 수에 기록된 이전 복제 오류가 마스킹됩니다.

   대상 DC에서 8614 오류를 보고했다고 해서 복제 오류가 대상 DC에 있는 것은 아닙니다. 대신, 복제 실패의 원인은 네트워크 또는 DNS 이름 확인과 함께 있을 수 있습니다. 또는 다음 항목 중 하나에 문제가 있을 수 있습니다.

   • authentication
   • jet 데이터베이스
   • 토폴로지
   • 원본 DC 또는 대상 DC의 복제 엔진

   원본 DC, 대상 DC 및 이전의 대체 복제 파트너가 생성한 이전 디렉터리 서비스 이벤트 및 진단 출력(dcdiag, repadmin 로그)을 검토하여 대상 DC와 원본 DC 간의 복제를 방해하는 범위 및 실패 상태를 확인합니다.

8. 서로 다르고 손상된 파트너와 복제 허용을 삭제하거나 레지스트리에서 분기 및 손상된 파트너와의 복제 허용을 0으로 설정합니다.

9. 앞으로 매일 Active Directory 복제를 모니터링합니다.

   Active Directory 모니터링 애플리케이션을 사용하여 매일 Active Directory 포리스트에서 엔드 투 엔드 복제를 모니터링합니다. 저렴하지만 효과적인 옵션 중 하나는 Excel에서 결과를 실행 repadmin /showrepl * /csv 한 다음 구문 분석하는 것입니다. 자세한 내용은 메서드 2: 명령줄을 사용하여 복제 모니터링을 참조 하세요.

   50% 및 삭제 표시 수명의 90%에 대한 복제 실패에 근접하는 DC를 식별합니다. 감시 목록에 배치합니다. TSL의 50%에서 복제 오류를 해결하기 위해 강력한 푸시를 수행합니다. 90%에서 필요한 경우 복제 오류를 강제로 발생시키는 DC를 강등하는 것이 좋습니다. 이렇게 하려면 dcpromo /forceremoval 명령을 사용합니다.

   대상 DC에 기록된 복제 오류는 다음의 문제로 인해 발생할 수 있습니다.

   • 원본 DC
   • 대상 DC
   • 기본 네트워크

   따라서 예방 조치를 취하기 전에 원인과 오류 위치를 확인합니다.

데이터 수집

Microsoft 지원의 지원이 필요한 경우 Active Directory 복제 문제에 대해 TSS를 사용하여 정보 수집에 설명된 단계에 따라 정보를 수집하는 것이 좋습니다.

참조

복제 느린 개체 문제 해결(이벤트 ID 1388, 1988, 2042)