그룹 정책 문제 해결 지침 적용

가상 에이전트 사용해 보기 - 일반적인 Active Directory 복제 문제를 신속하게 식별하고 해결하는 데 도움이 될 수 있습니다.

이 가이드에서는 그룹 정책 문제를 해결하는 데 사용되는 기본 개념을 제공합니다. 다음 내용을 배웁니다.

• 새 문제 해결 정보를 찾는 방법입니다.
• 이벤트 뷰어 사용하여 특정 그룹 정책 정보를 필터링하는 방법입니다.
• 이벤트 데이터를 읽고 해석하는 방법입니다.
• 오류 지점을 찾기 위한 올바른 메서드입니다.

문제 해결 검사 목록

1. 먼저 시스템 이벤트 로그에 기록된 그룹 정책 이벤트를 읽습니다.

   • 경고 이벤트는 그룹 정책 서비스가 정상적으로 유지되도록 하기 위해 따라야 할 추가 정보를 제공합니다.
   • 오류 이벤트는 오류 및 가능한 원인을 설명하는 정보를 제공합니다.
   • 이벤트 메시지에 포함된 추가 정보 링크를 사용합니다.
   • 세부 정보 탭을 사용하여 오류 코드 및 설명을 볼 수 있습니다.

2. 그룹 정책 운영 로그를 사용합니다.

   • 문제를 해결하는 그룹 정책 처리 인스턴스의 활동 ID를 식별합니다.
   • 작업 로그의 사용자 지정 보기를 만듭니다.
   • 로그를 사전 처리, 처리 및 후처리 단계로 나눕니다.
   • 각 시작 이벤트를 해당 종료 이벤트와 통합합니다. 모든 경고 및 오류 이벤트를 조사합니다.
   • 종속 구성 요소를 격리하고 문제를 해결합니다.
   • 그룹 정책 업데이트 명령(GPUPDATE)을 사용하여 그룹 정책을 새로 고칩니다. 이 단계를 반복하여 경고 또는 오류가 여전히 존재하는지 확인합니다.

Important

그룹 정책을 새로 고치는 경우 사용자 지정 보기에서 활동 ID가 변경됩니다. 문제 해결 시 최신 활동 ID로 사용자 지정 보기를 업데이트해야 합니다.

그룹 정책 처리 인스턴스 확인

그룹 정책 작업 로그를 보기 전에 먼저 실패한 그룹 정책 처리 인스턴스를 확인해야 합니다.

그룹 정책 처리의 인스턴스를 확인하려면 다음 단계를 수행합니다.

1. 이벤트 뷰어를 엽니다.
2. 이벤트 뷰어(로컬)에서 Windows 로그>시스템을 선택합니다.
3. 문제를 해결하려는 그룹 정책 경고 또는 오류 이벤트를 두 번 클릭합니다.
4. 세부 정보 탭을 선택한 다음 친숙한 보기를 확인합니다. 시스템을 선택하여 시스템 노드를 확장합니다.
5. 시스템 노드 세부 정보에서 ActivityID를 찾습니다. 쿼리에서 이 값(여는 중괄호 및 닫는 중괄호 제외)을 사용합니다. 나중에 사용할 수 있도록 이 값을 메모장에 복사하고 닫기를 선택합니다.

그룹 정책 인스턴스의 사용자 지정 보기 만들기

컴퓨터에 그룹 정책 처리 인스턴스가 두 개 이상 있는 경우가 많습니다. 터미널 서비스를 실행하는 전용 컴퓨터에는 일반적으로 둘 이상의 그룹 정책 처리 인스턴스가 있으며 동시에 작동합니다. 따라서 그룹 정책 작업 이벤트 로그를 필터링하여 문제 해결 중인 인스턴스에 대한 이벤트만 표시하는 것이 중요합니다.

다음 절차에 따라 그룹 정책 인스턴스의 사용자 지정 보기를 만듭니다. 이벤트 뷰어 쿼리를 사용하여 이 작업을 수행합니다. 이 쿼리는 그룹 정책 처리의 특정 인스턴스에 대한 그룹 정책 작업 로그의 필터링된 보기를 만듭니다.

그룹 정책 인스턴스의 사용자 지정 보기를 만들려면 다음 단계를 수행합니다.

1. 이벤트 뷰어를 엽니다.

2. 사용자 지정 보기를 마우스 오른쪽 단추로 클릭한 다음 사용자 지정 보기 만들기를 선택합니다.

3. XML 탭을 선택한 다음 쿼리 편집 확인란을 수동으로 선택합니다. 이벤트 뷰어 수동으로 쿼리를 편집하면 필터 탭을 사용하여 쿼리를 수정할 수 없다는 대화 상자를 표시합니다. 예를 선택합니다.

4. 이 단계의 끝에 제공된 이벤트 뷰어 쿼리를 클립보드에 복사합니다. 쿼리 상자에 쿼리를 붙여넣습니다.

   <QueryList><Query Id="0" Path="Application"><Select Path="Microsoft-Windows-GroupPolicy/Operational">*[System/Correlation/@ActivityID='{INSERT ACTIVITY ID HERE}']</Select></Query></QueryList>

5. 그룹 정책 처리의 인스턴스 확인 섹션에서 이전에 저장한 ActivityID를 클립보드에 복사합니다. 쿼리 상자에서 "INSERT ACTIVITY ID HERE"를 강조 표시한 다음 Ctrl+V를 눌러 텍스트 위에 ActivityID를 붙여넣습니다.

   참고 항목

   선행 및 후행 중괄호({ })에 붙여넣지 마세요. 쿼리가 제대로 작동하려면 이러한 중괄호를 포함해야 합니다.

6. 사용자 지정 보기에 필터 저장 대화 상자에서 만든 보기 에 의미 있는 이름과 설명을 입력합니다. 확인을 선택합니다.

7. 저장된 보기의 이름이 사용자 지정 보기 아래에 표시됩니다. 저장된 보기의 이름을 선택하여 해당 이벤트를 이벤트 뷰어 표시합니다.

Important

그룹 정책 서비스는 정책 처리의 각 인스턴스에 대해 고유한 ActivityID 를 할당합니다. 예를 들어 그룹 정책 서비스는 사용자 로그온 중에 사용자 정책 처리가 발생할 때 고유한 ActivityID 를 할당합니다. 그룹 정책이 새로 고쳐지면 그룹 정책 서비스는 사용자 정책 새로 고침을 담당하는 그룹 정책 인스턴스에 또 다른 고유한 ActivityID 를 할당합니다.

그룹 정책에 찾으려는 모든 설정이 있고 올바르게 연결되어 있는지 확인합니다. 다음은 통과해야 하는 탭입니다. 모두 잘 보이면 문제가 있는 클라이언트 컴퓨터로 이동합니다.

1. 관리자 권한 명령 프롬프트를 열고 다음 명령을 실행합니다.

   gpresult /h gp.html
   

2. 캡처한 출력을 gpresult 확인하고 문제가 있는 GPO를 찾습니다. GPO가 적용되지 않는 이유에 대한 오류가 표시됩니다.

3. 출력에 오류가 있는 gpresult 경우 이를 기반으로 문제를 해결할 수 있습니다. 그렇지 않은 경우 다음 단계로 이동합니다.

4. 이벤트 뷰어 열고 애플리케이션 및 시스템 이벤트 로그를 찾습니다. 애플리케이션 이벤트 로그는 그룹 정책 업데이트가 긍정적으로 실패하는 이유에 대한 세부 정보를 제공합니다.

5. 자세한 내용은 운영 이벤트 로그를 엽니다. 적용된 GPO 목록과 그 이유가 포함된 거부된 GPO 목록이 있는 이벤트가 있습니다.

대부분의 GPO 문제는 이러한 기본 로그를 사용하여 해결할 수 있습니다.

그룹 정책 로그 파일

자세한 정보 로깅을 사용하도록 설정하고 결과 로그 파일을 검사할 수 있습니다. 자세한 정보 로깅은 성능을 줄이고 상당한 디스크 공간을 사용할 수 있으므로 모범 사례로 필요한 경우에만 자세한 정보 로깅을 사용하도록 설정합니다.

GPSvc(그룹 정책 서비스) 로깅 사용

GPO 문제가 발생하는 클라이언트에서 다음 단계에 따라 그룹 정책 서비스 디버그 로깅을 사용하도록 설정합니다.

1. 레지스트리 편집기를 엽니다.

2. 다음 레지스트리 하위 키를 찾아 선택합니다.

   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion

3. 편집 메뉴에서 새>키를 선택합니다.

4. 진단을 입력 한 다음 Enter 키를 누릅니다.

5. 진단 하위 키를 마우스 오른쪽 단추로 클릭하고 새>DWORD(32비트) 값을 선택합니다.

6. GPSvcDebugLevel을 입력한 다음 Enter 키를 누릅니다.

7. GPSvcDebugLevel을 마우스 오른쪽 단추로 클릭한 다음 수정을 선택합니다.

8. 값 데이터 상자에 30002(16진수)를 입력한 다음 확인을 선택합니다.

9. 레지스트리 편집기를 종료합니다.

10. 명령 프롬프트 창에서 명령을 실행한 gpupdate /force 다음 Enter 키를 누릅니다.

그런 다음, %windir%\debug\usermode 폴더에서 Gpsvc.log 파일을 봅니다.

참고 항목

usermode 폴더가 없으면 %windir%\debug 아래에 만듭니다. %WINDIR%\debug\에 usermode 폴더가 없으면 gpsvc.log 파일이 만들어지지 않습니다.

일반적인 문제 및 솔루션

이벤트 ID 1129

네트워크 연결 문제로 인해 그룹 정책이 적용되지 않으면 이벤트 ID 1129가 기록됩니다.

이 경우 DC에서 LDAP(Lightweight Directory Access Protocol) 포트 389에 대한 연결이 차단됩니다. gpupdate 다음 오류와 함께 명령이 실패합니다.

이벤트 로그를 확인할 때 다음 이벤트 설명을 찾을 수 있습니다.

The processing of Group Policy failed because of lack of network connectivity to a domain controller. This may be a transient condition. A success message would be generated once the machine gets connected to the domain controller and Group Policy has successfully processed. If you do not see a success Message for several hours, then contact your administrator.

이 경우 gpsvc 디버그 로그를 사용하도록 설정합니다. gpsvc 로그에서 "GetLdapHandle: DC>를 81에 연결<하지 못했습니다"라는 출력을 찾을 수 있습니다.

네트워크 추적을 사용하도록 설정하여 다음을 확인합니다.

• 사이트 수준에서 ldap 쿼리가 수행됩니다.
• 쿼리는 ldap 서비스 역할을 보유하는 해당 사이트에 대한 두 개의 항목을 반환합니다.
• 그 중 하나에 대해 이름 확인이 수행되는 것을 볼 수 있습니다.
• 이름 확인이 성공적이므로 ldap 바인딩을 수행하려고 하지만 포트 389가 차단되면 TCP 핸드셰이크에서 실패합니다.
• 포트 389에서 TCP 핸드셰이크에 대한 DC의 답변이 없는 경우 다음 단계는 고객 네트워크 팀을 참여시키고 이 정보를 제공하는 것입니다.
• 이러한 시나리오에서는 위에서 언급한 작업 계획에 지정된 모든 로그를 사용하고, 상관 관계를 지정하고, 근본 원인으로 연결하거나 적어도 문제를 좁힐 수 있는지 확인합니다.

이벤트 ID 1002

이벤트 ID 1002에 대한 설명은 다음과 같습니다.

The processing of Group Policy failed because of a system allocation failure. Please ensure the computer is not running low on resources (memory, available disk space). Group Policy processing will be attempted at the next refresh cycle.

이 오류 이벤트는 일반적으로 컴퓨터가 리소스 부족 상태에서 반환될 때 해결됩니다. 가능한 해결 방법은 다음과 같습니다.

1. 컴퓨터의 메모리 또는 사용 가능한 디스크 공간이 부족하지 않은지 확인합니다.
2. 컴퓨터가 장기간 작동한 경우 컴퓨터를 다시 시작합니다.

이벤트 ID 1006

이벤트 ID 1006에 대한 설명은 다음과 같습니다.

The processing of Group Policy failed. Windows could not authenticate to the Active Directory service on a domain controller. (LDAP Bind function call failed). Look in the Details tab for error code and description.

이 오류 이벤트는 일반적으로 디렉터리에 대한 바인딩을 수정한 후에 해결됩니다. 그룹 정책 서비스는 이벤트 뷰어 오류 메시지의 세부 정보 탭에 표시되는 오류 코드를 기록합니다. 오류 코드(10진수로 표시됨) 및 오류 설명 필드는 오류 원인을 추가로 식별합니다. 아래 목록을 사용하여 오류 코드를 평가합니다.

• 오류 코드 5(액세스가 거부됨)

  이 오류 코드는 사용자에게 Active Directory에 액세스할 수 있는 권한이 없음을 나타낼 수 있습니다.

• 오류 코드 49(잘못된 자격 증명)

  이 오류 코드는 사용자가 컴퓨터에 로그온하는 동안 사용자의 암호가 만료되었음을 나타낼 수 있습니다. 유효하지 않은 자격 증명을 수정하려면 다음을 수행합니다.

  1. 사용자의 암호를 변경합니다.
  2. 워크스테이션을 잠금/잠금 해제합니다.
  3. 사용자 계정으로 실행되는 시스템 서비스가 있는지 확인합니다.
  4. 서비스 구성의 암호가 사용자 계정에 대해 올바른지 확인합니다.

• 오류 코드가 258(시간 제한)입니다.

  이 오류 코드는 DNS 구성이 잘못되었음을 나타낼 수 있습니다. 시간 제한 문제를 해결하려면 도구를 사용하여 nslookup _ldap._tcp를 확인합니다.<domain-dns-name> 레코드가 등록되고 올바른 서버를 가리킵니다(여기서 <domain-dns-name> 은 Active Directory 도메인의 정규화된 도메인 이름임).

  참고 항목

  네트워크가 ICMP(인터넷 제어 메시지 프로토콜) 패킷을 제한하거나 차단하는 경우 이러한 단계는 다양한 결과를 가져올 수 있습니다.

이벤트 ID 1030

이벤트 ID 1030에 대한 설명은 다음과 같습니다.

The processing of Group Policy failed. Windows attempted to retrieve new Group Policy settings for this user or computer. Look in the Details tab for error code and description. Windows will automatically retry this operation at the next refresh cycle. Computers joined to the domain must have proper name resolution and network connectivity to a domain controller for discovery of new Group Policy objects and settings. An event will be logged when Group Policy is successful.

LDAP 포트가 열려 있는지 확인합니다. 그렇지 않은 경우 포트가 방화벽에서 열려 있고 클라이언트 및 도메인 컨트롤러에서 로컬로 열려 있는지 확인합니다.

포트 블록을 확인하는 방법

• portqueryUI 도구를 사용하여 차단되는 포트를 결정합니다. 자세한 내용은 PortQry를 사용하여 Active Directory 연결 문제를 해결하는 방법을 참조하세요.
• 포트 389에 텔넷을 사용하여 ldap 포트의 연결을 확인합니다.
• 도메인 및 트러스트 포트를 구성하는 방법입니다.
• 기본 아웃바운드 방화벽 동작 구성
• 그룹 정책에 대한 방화벽 포트 요구 사항을 구성합니다.

클라이언트가 호스트 이름을 확인할 수 없는 DNS 이름 확인 확인

• 클라이언트가 호스트 이름을 확인할 수 없는 경우 클라이언트가 사용해야 하는 위에 나열된 호스트 이름 확인 시퀀스를 확인하는 것이 가장 좋습니다. 클라이언트에서 사용하는 리소스에 이름이 없는 경우 추가할 리소스를 결정해야 합니다. 이름이 DNS 서버 또는 WINS(Windows Internet Name Service) 서버와 같은 리소스 중 하나에 있고 클라이언트가 이름을 올바르게 확인하지 않는 경우 해당 특정 리소스 문제 해결에 집중합니다.
• 또한 클라이언트가 NetBIOS 이름이 아닌 호스트 이름을 확인하려고 하는지 확인합니다. 많은 애플리케이션에는 이름을 확인하는 데 사용할 수 있는 여러 메서드가 있습니다. 메일 및 데이터베이스 애플리케이션의 경우 특히 그렇습니다. NetBIOS를 사용하여 리소스에 연결하도록 애플리케이션을 구성할 수 있습니다. 클라이언트 구성에 따라 클라이언트는 호스트 이름 확인을 무시할 수 있습니다. 여기에서 연결 유형을 TCP/IP 소켓으로 변경하거나 NetBIOS 문제로 문제를 해결해야 합니다.

그룹 정책 컨테이너 권한

다음 Get-GPPermission PowerShell cmdlet 을 사용하여 지정된 GPO의 모든 보안 주체에 대한 권한 수준을 가져옵니다.

Get-GPPermission -Name "TestGPO" -All

이벤트 ID 1058

이벤트 ID 1058에 대한 설명은 다음과 같습니다.

The processing of Group Policy failed. Windows attempted to read the file %9 from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
1. Name Resolution/Network Connectivity to the current domain controller.
2. File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller).
3. The Distributed File System (DFS) client has been disabled.

그룹 정책 템플릿에 대한 올바른 연결입니다. 그룹 정책 서비스는 도메인 컨트롤러의 이름과 오류 코드를 기록합니다. 이 코드는 이벤트 뷰어 오류 메시지의 세부 정보 탭에 표시됩니다. 오류 코드(10진수로 표시됨) 및 오류 설명 필드는 오류 원인을 추가로 식별합니다. 아래 목록을 사용하여 오류 코드를 평가합니다.

• 오류 코드 3(시스템에서 지정된 경로를 찾을 수 없음)

  이 오류 코드는 일반적으로 클라이언트 컴퓨터가 이벤트에 지정된 경로를 찾을 수 없음을 나타냅니다. 도메인 컨트롤러의 sysvol에 대한 클라이언트 연결을 테스트하려면 다음을 수행합니다.

  1. 컴퓨터에서 사용하는 도메인 컨트롤러를 식별합니다. 도메인 컨트롤러 이름은 오류 이벤트의 세부 정보에 기록됩니다.

  2. 사용자 또는 컴퓨터 처리 중에 오류가 발생하는지 확인합니다. 사용자 정책 처리 의 경우 이벤트의 사용자 필드에 유효한 사용자 이름이 표시됩니다. 컴퓨터 정책 처리의 경우 사용자 필드에 "SYSTEM"이 표시됩니다.

  3. gpt.ini 대한 전체 네트워크 경로를 \\<dcName>\SYSVOL\<domain>\Policies\guid>\<gpt.ini 작성합니다. 여기서 <dcName>은 도메인 컨트롤러의 이름이고 도메인 <> 은 도메인 이름이며 <guid>는 정책 폴더의 GUID입니다. 모든 정보가 이벤트에 표시됩니다.

  4. 이전 단계에서 가져온 전체 네트워크 경로를 사용하여 gpt.ini 읽을 수 있는지 확인합니다. 이렇게 하려면 명령 프롬프트 창을 열고 file_path> 입력<합니다. 여기서 <file_path> 이전 단계에서 생성된 경로이며 Enter 키를 누릅니다.

     참고 항목

     이전에 자격 증명이 실패한 사용자 또는 컴퓨터로 이 명령을 실행해야 합니다.

• 오류 코드 5(액세스가 거부됨)

  이 오류 코드는 일반적으로 사용자 또는 컴퓨터에 이벤트에 지정된 경로에 액세스할 수 있는 적절한 권한이 없다는 것을 나타냅니다. 도메인 컨트롤러에서 사용자와 컴퓨터가 이벤트에 지정된 경로를 읽을 수 있는 적절한 권한이 있는지 확인합니다. 컴퓨터 및 사용자 자격 증명을 테스트하려면 다음을 수행합니다.

  1. 로그오프하고 컴퓨터를 다시 시작합니다.
  2. 이전에 사용한 도메인 자격 증명을 사용하여 컴퓨터에 로그온합니다.

• 오류 코드 53(네트워크 경로를 찾을 수 없음)

  이 오류 코드는 일반적으로 컴퓨터가 제공된 네트워크 경로에서 이름을 확인할 수 없음을 나타냅니다. 네트워크 경로 이름 확인을 테스트하려면 다음을 수행합니다.

  1. 컴퓨터에서 사용하는 도메인 컨트롤러를 식별합니다. 도메인 컨트롤러의 이름은 오류 이벤트의 세부 정보에 기록됩니다.
  2. \\dcName\<netlogon 경로를 사용하여 도메인 컨트롤러의 netlogon 공유에 연결합니다. 여기서 <dcName>은 오류 이벤트에서 도메인 컨트롤러의 이름>입니다.

이벤트 ID 1053

이벤트 ID 1053에 대한 설명은 다음과 같습니다.

The processing of Group Policy failed. Windows could not resolve the user name. This could be caused by one or more of the following:
1. Name Resolution failure on the current domain controller.
2. Active Directory Replication Latency (an account created on another domain controller has not replicated to the current domain controller).

그룹 정책 서비스는 도메인 컨트롤러의 이름과 오류 코드를 기록합니다. 이 정보는 이벤트 뷰어 오류 메시지의 세부 정보 탭에 나타납니다. 오류 코드(10진수로 표시됨) 및 오류 설명 필드는 오류 원인을 추가로 식별합니다. 아래 목록을 사용하여 오류 코드를 평가합니다.

• 오류 코드 5(액세스 거부): 이 오류 코드는 사용자가 컴퓨터에 로그온하는 동안 사용자의 암호가 만료되었음을 나타낼 수 있습니다. 사용자가 최근에 암호를 변경한 경우 Active Directory 복제에 성공할 시간을 허용한 후 문제가 사라질 수 있습니다.

  1. 사용자 암호를 변경합니다.
  2. 워크스테이션을 잠금/잠금 해제합니다.
  3. 사용자 계정으로 실행되는 시스템 서비스가 있는지 확인합니다.
  4. 서비스 구성의 암호가 사용자 계정에 대해 올바른지 확인합니다.

• 오류 코드 14(이 작업을 완료하는 데 스토리지가 부족합니다.)

  이 오류 코드는 Windows에 작업을 완료하기에 충분한 메모리가 없음을 나타낼 수 있습니다. 시스템 이벤트 로그에서 다른 메모리 관련 문제를 조사합니다.

• 오류 코드 525(지정된 사용자가 없음)

  이 오류 코드는 조직 구성 단위에 대한 잘못된 권한을 나타낼 수 있습니다. 사용자는 사용자 개체가 포함된 조직 구성 단위에 대한 읽기 권한이 필요합니다. 마찬가지로 컴퓨터에는 컴퓨터 개체가 포함된 조직 구성 단위에 대한 읽기 권한이 필요합니다.

• 오류 코드 1355(지정된 도메인이 없거나 연결할 수 없음)

  이 오류 코드는 이름 확인(DNS)이 있는 오류 또는 부적절한 구성을 나타낼 수 있습니다. 사용자 도메인에서 도메인 컨트롤러의 주소를 확인할 수 있는지 확인하는 데 사용합니다 nslookup .

• 오류 코드 1727(원격 프로시저 호출이 실패하고 실행되지 않음)

  이 오류 코드는 방화벽 규칙이 도메인 컨트롤러와의 통신을 차단하고 있음을 나타낼 수 있습니다. 타사 방화벽 소프트웨어가 설치된 경우 방화벽의 구성을 확인하거나 일시적으로 사용하지 않도록 설정하여 그룹 정책이 성공적으로 처리되는지 확인합니다.

이벤트 ID 1097

이벤트 ID 1097에 대한 설명은 다음과 같습니다.

The processing of Group Policy failed. Windows could not determine the computer account to enforce Group Policy settings. This may be transient. Group Policy settings, including computer configuration, will not be enforced for this computer.

도메인 컴퓨터는 도메인 사용자와 마찬가지로 도메인에 인증합니다. Windows에서는 컴퓨터에 그룹 정책을 적용하기 전에 컴퓨터에서 로그온해야 합니다. 가능한 해결 방법은 다음과 같습니다.

• 컴퓨터의 시간이 도메인 컨트롤러의 시간과 동기화되는지 확인합니다.
• 컴퓨터가 도메인 컨트롤러와 다른 표준 시간대에 구성된 경우 표준 시간대가 잘못 구성되었는지를 고려합니다.
• 컴퓨터와 도메인 컨트롤러 간의 시간 차이가 5분보다 크면 컴퓨터가 도메인 인증에 실패할 수 있습니다. 명령을 사용하여 시간 서비스에 대해 시간 동기화를 강제 적용합니다 w32tm /resync .
• 컴퓨터를 다시 시작합니다.

이벤트 ID 4016 및 이벤트 ID 5016

정기적인 그룹 정책 새로 고침 중에 서비스는 사전 처리 단계에서 수집한 정보를 사용하여 각 정책 설정을 적용합니다. 이 서비스는 이전에 수집한 정보를 각 시스템 및 비시스템 클라이언트 쪽 확장에 전달하여 이 작업을 수행합니다. 이 단계는 CSE(클라이언트 쪽 확장) 처리 이벤트를 기록하는 것으로 시작합니다.

이벤트 ID	이벤트 유형	설명
4016	정보 제공	그룹 정책 서비스는 그룹 정책 클라이언트 쪽 확장이 처리를 시작할 때마다 이 이벤트를 기록합니다.
5016	Success	그룹 정책 서비스는 그룹 정책 클라이언트 쪽 확장이 처리를 성공적으로 완료할 때 이 이벤트를 기록합니다.

이벤트 ID 5016 아래의 세부 정보 탭으로 이동하면 다음 반환 상태를 찾을 수 있습니다.

ErrorCode 2147483658 <-> 0x8000000a       -2147483638               E_PENDING                    "The data necessary to complete this operation is not yet available"

참고 항목

반환 값 "-2147483638(E_PENDING)"은 감사 클라이언트 쪽 확장 처리 중에 디자인됩니다. 그룹 정책 엔진이 감사 확장 정보를 처리하기 위해 비동기 스레드를 성공적으로 시작했음을 나타냅니다. 또한 새 감사 설정이 유효하거나 클라이언트에 적용되더라도 반환 값이 기록됩니다.

AuditCSE(고급 감사 클라이언트 쪽 확장) 처리 확인

이벤트 ID 5016에서 2147483658 반환 값을 받은 후 Security-Audit-Configuration-Client>운영 이벤트 로그에서 AuditCSE 처리의 자세한 수준 이벤트를 검사할 수 있습니다. 이 정보는 고급 감사 그룹 정책 설정의 처리를 관찰하여 오류/오류를 감지하는 데 유용합니다.

1. 감사 클라이언트 쪽 확장(Auditcse.dll)은 감사 클라이언트 쪽 확장을 처리합니다.
2. Security-Audit-Configuration-Client>운영 로그 아래에 자체 로깅이 있습니다.

다음 단계에 따라 감사 그룹 정책 설정 문제를 해결하기 위해 Security-Audit-Configuration-Client>운영 이벤트 로그를 검토합니다.

1. 이벤트 뷰어를 엽니다.
2. 이벤트 뷰어(로컬)에서 애플리케이션 및 서비스 로그>Microsoft>Windows>Security-Audit-Configuration-Client>Operational을 선택합니다.
3. 경고 또는 오류 이벤트를 두 번 클릭하여 문제를 해결합니다. 또한 오류 값에 대한 이러한 이벤트에 대한 세부 정보 탭을 검토합니다.
4. 그렇지 않으면 정보 이벤트를 검토하여 감사 확장의 전체 처리를 캡처합니다.

Microsoft 지원 문의하기 전에 키 정보 수집

지원 요청을 완료하기 전에 Windows Live Dump 기능을 사용하여 영향을 받는 컴퓨터에 커널 메모리의 스냅샷을 저장하는 것이 좋습니다. 이렇게 하려면 다음 단계를 수행하세요.

1. 다음 명령을 실행하여 그룹 정책 서비스 자세한 정보 로깅을 캡처합니다.

   md %windir%\debug\usermode
   
   reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d "0x00030002"
   

2. 명령을 사용하여 gpupdate /force 로컬 및 AD 기반 그룹 정책 설정을 새로 고칩니다.

   팁

   특정 사용자 또는 컴퓨터 누락 설정 문제를 해결하는 경우 아래 명령 중 하나를 사용합니다.

   • Gpupdate /force /target:computer
   • Gpupdate /force /target:user

3. 다음 명령을 실행하여 RSoP(결과 정책 집합) 보고서를 HTML 파일에 저장합니다.

   gpresult /h %Temp%\GPResult.htm
   

4. 다음 명령을 실행하여 RSoP 요약 데이터를 txt 파일에 저장합니다.

   gpresult /r >%Temp%\GPResult.txt
   

5. 다음 명령을 실행하여 GPExtensions 레지스트리 키를 내보냅니다.

   reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions" %Temp%\GPExtensions.reg
   

6. 다음 명령을 실행하여 시스템, 애플리케이션 및 그룹 정책 운영 이벤트 뷰어 로그를 내보냅니다.

   wevtutil.exe export-log Application %Temp%\Application.evtx /overwrite:true
   
   wevtutil.exe export-log System %Temp%\System.evtx /overwrite:true
   
   wevtutil.exe export-log Microsoft-Windows-GroupPolicy/Operational %Temp%\GroupPolicy.evtx /overwrite:true
   

7. 다음 파일을 캡처합니다.

   • %Temp%\Application.evtx
   • %Temp%\System.evtx
   • %Temp%\GroupPolicy.evtx
   • %Temp%\GPExtensions.reg
   • %Temp%\GPResult.txt
   • %Temp%\GPResult.html
   • %windir%\debug\usermode\gpsvc.log

8. 완료되면 다음 명령을 실행하여 그룹 정책 서비스 로깅을 중지할 수 있습니다.

   reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d "0x00000000" /f
   

데이터 수집

Microsoft 지원의 도움이 필요한 경우 그룹 정책 문제에 대해 TSS를 사용하여 정보 수집에 언급된 단계에 따라 정보를 수집하는 것이 좋습니다.