다음을 통해 공유

Windows NT 도메인과 Active Directory 도메인 간의 트러스트를 설정할 수 없거나 예상대로 작동하지 않음

  • 아티클

이 문서에서는 Windows NT 4.0 기반 도메인과 Active Directory 기반 도메인 간의 신뢰 구성 문제에 대해 설명합니다.

원래 KB 번호: 889030

증상

Microsoft Windows NT 4.0 기반 도메인과 Active Directory 기반 도메인 간에 트러스트를 설정하려고 하면 다음 증상 중 하나가 발생할 수 있습니다.

  • 트러스트가 설정되지 않았습니다.
  • 트러스트가 설정되지만 트러스트가 예상대로 작동하지 않습니다.

또한 다음과 같은 오류 메시지가 표시될 수 있습니다.

"Domain_Name" 도메인에 가입하려고 시도하는 동안 다음 오류가 발생했습니다. 계정에 이 스테이션에서 로그인할 권한이 없습니다.

액세스가 거부되었습니다.

도메인 컨트롤러에 연결할 수 없습니다.

로그온 실패: 알 수 없는 사용자 이름 또는 잘못된 암호입니다.

Active Directory 사용자 및 컴퓨터 개체 선택기를 사용하여 NT 4.0 도메인의 사용자를 Active Directory 도메인에 추가하는 경우 다음 오류 메시지가 표시될 수 있습니다.

현재 검색과 일치하는 항목이 없습니다. 검색 매개 변수를 확인하고 다시 시도합니다.

원인

이 문제는 다음 영역 중 하나의 구성 문제로 인해 발생합니다.

  • 이름 확인
  • 보안 설정
  • 사용자 권한
  • Microsoft Windows 2000 또는 Microsoft Windows Server 2003의 그룹 멤버 자격

문제의 원인을 올바르게 식별하려면 신뢰 구성 문제를 해결해야 합니다.

해결

Active Directory 사용자 및 컴퓨터 개체 선택기를 사용할 때 "현재 검색과 일치하는 항목 없음" 오류 메시지가 표시되는 경우 NT 4.0 도메인의 도메인 컨트롤러에 네트워크 사용자 권한에서 Access 이 컴퓨터의 모든 사용자가 포함되어 있는지 확인합니다. 이 시나리오에서 개체 선택기는 트러스트 전체에서 익명으로 연결을 시도합니다. 이러한 설정을 확인하려면 "방법 3: 사용자 권한 확인" 섹션의 단계를 따릅니다.

Windows NT 4.0 기반 도메인과 Active Directory 간의 신뢰 구성 문제를 해결하려면 다음 영역의 올바른 구성을 확인해야 합니다.

  • 이름 확인
  • 보안 설정
  • 사용자 권한
  • Microsoft Windows 2000 또는 Microsoft Windows Server 2003의 그룹 멤버 자격

이렇게 하려면 다음 방법을 사용합니다.

방법 1: 이름 확인의 올바른 구성 확인

1단계: LMHOSTS 파일 만들기

도메인 간 이름 확인 기능을 제공하기 위해 기본 도메인 컨트롤러에 LMHOSTS 파일을 만듭니다. LMHOSTS 파일은 메모장과 같은 텍스트 편집기를 사용하여 편집할 수 있는 텍스트 파일입니다. 각 도메인 컨트롤러의 LMHOSTS 파일에는 TCP/IP 주소, 도메인 이름 및 다른 도메인 컨트롤러의 \0x1b 항목이 포함되어야 합니다.

LMHOSTS 파일을 만든 후 다음 단계를 수행합니다.

  1. 다음 텍스트와 유사한 텍스트가 포함되도록 파일을 수정합니다.

    1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name>#PRE
    1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
    2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
    2.2.2.2 "<2000_Domain> \0x1b"#PRE

    참고 항목

    \0x1b 항목의 따옴표(" ") 사이에는 총 20자 및 공백이 있어야 합니다. 15자를 사용할 수 있도록 도메인 이름 뒤에 공백을 추가합니다. 16번째 문자는 "0x1b" 값 뒤에 오는 백슬래시이며 총 20자를 만듭니다.

  2. LMHOSTS 파일의 변경 내용을 마치면 도메인 컨트롤러의 %SystemRoot% \System32\Drivers\Etc 폴더에 파일을 저장합니다. LMHOSTS 파일에 대한 자세한 내용은 %SystemRoot% \System32\Drivers\Etc 폴더에 있는 Lmhosts.sam 샘플 파일을 참조하세요.

2단계: 캐시에 LMHOSTS 파일 로드

  1. 시작, 실행을 차례로 클릭하고 cmd를 입력한 다음 확인을 클릭합니다.

  2. 명령 프롬프트에서 입력 NBTSTAT -R한 다음 Enter 키를 누릅니다. 이 명령은 LMHOSTS 파일을 캐시에 로드합니다.

  3. 명령 프롬프트에서 입력 NBTSTAT -c한 다음 Enter 키를 누릅니다. 이 명령은 캐시를 표시합니다. 파일이 올바르게 작성된 경우 캐시는 다음과 유사합니다.

    NT4PDCName <03> UNIQUE 1.1.1.1 -1
    NT4PDCName <00> UNIQUE 1.1.1.1 -1
    NT4PDCName <20> UNIQUE 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> UNIQUE 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1

    파일이 캐시를 올바르게 채웁히지 않으면 다음 단계를 계속 진행합니다.

3단계: Windows NT 4.0 기반 컴퓨터에서 LMHOSTS 조회를 사용하도록 설정해야 합니다.

파일이 캐시를 올바르게 채우지 않는 경우 Windows NT 4.0 기반 컴퓨터에서 LMHOSTS 조회를 사용하도록 설정해야 합니다. 이렇게 하려면 다음 단계를 수행하세요.

  1. 시작을 클릭하고 설정을 가리킨 다음 제어판 클릭합니다.
  2. 네트워크를 두 번 클릭하고 프로토콜 탭을 클릭한 다음 TCP/IP 프로토콜을 두 번 클릭합니다.
  3. WINS 주소 탭을 클릭한 다음 클릭하여 LMHOSTS 조회 사용 확인란을 선택합니다.
  4. 컴퓨터를 다시 시작합니다.
  5. "캐시에 LMHOSTS 파일 로드" 섹션의 단계를 반복합니다.
  6. 파일이 캐시를 올바르게 채우지 않는 경우 LMHOSTS 파일이 %SystemRoot%\System32\Drivers\Etc 폴더에 있고 파일 형식이 올바르게 지정되었는지 확인합니다.

예를 들어 파일의 형식은 다음 예제 서식과 유사하게 지정해야 합니다.

1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \0x1b"#PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \0x1b"#PRE

참고 항목

도메인 이름 및 \0x1b 항목의 따옴표(" ") 안에는 총 20자 및 공백이 있어야 합니다.

4단계: Ping 명령을 사용하여 연결 테스트

파일이 각 서버에서 캐시를 올바르게 채우는 경우 각 서버의 Ping 명령을 사용하여 서버 간의 연결을 테스트합니다. 이렇게 하려면 다음 단계를 수행하세요.

  1. 시작, 실행을 차례로 클릭하고 cmd를 입력한 다음 확인을 클릭합니다.

  2. 명령 프롬프트에서 입력 Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>한 다음 Enter 키를 누릅니다. 명령이 Ping 작동하지 않는 경우 올바른 IP 주소가 LMHOSTS 파일에 나열되어 있는지 확인합니다.

  3. 명령 프롬프트에서 입력 net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>한 다음 Enter 키를 누릅니다. 다음과 같은 오류 메시지가 표시됩니다.

    시스템 오류 5가 발생했습니다. 액세스 거부됨

    net view 명령이 다음 오류 메시지 또는 기타 관련 오류 메시지를 반환하는 경우 올바른 IP 주소가 LMHOSTS 파일에 나열되어 있는지 확인합니다.

    시스템 오류 53이 발생했습니다. 네트워크 경로를 찾을 수 없습니다.

또는 LMHOSTS 파일을 사용하지 않고 이름 확인 기능을 사용하도록 WINS(Windows Internet Name Service)를 구성할 수 있습니다.

방법 2: 보안 설정 보기

일반적으로 트러스트 구성의 Active Directory 쪽에는 연결 문제를 일으키는 보안 설정이 있습니다. 그러나 보안 설정은 트러스트의 양쪽에서 검사해야 합니다.

1단계: Windows 2000 Server 및 Windows Server 2003에서 보안 설정 보기

Windows 2000 Server 및 Windows Server 2003에서는 그룹 정책, 로컬 정책 또는 적용된 보안 템플릿을 통해 보안 설정을 적용하거나 구성할 수 있습니다.

정확하지 않은 판독값을 방지하려면 올바른 도구를 사용하여 보안 설정의 현재 값을 결정해야 합니다.

현재 보안 설정을 정확하게 읽으려면 다음 방법을 사용합니다.

  • Windows 2000 Server에서 보안 구성 및 분석 스냅인을 사용합니다.

  • Windows Server 2003에서 보안 구성 및 분석 스냅인 또는 RSoP(결과 정책 집합) 스냅인을 사용합니다.

현재 설정을 확인한 후에는 설정을 적용하는 정책을 식별해야 합니다. 예를 들어 Active Directory에서 그룹 정책 또는 보안 정책을 설정하는 로컬 설정을 결정해야 합니다.

Windows Server 2003에서 보안 값을 설정하는 정책은 RSoP 도구로 식별됩니다. 그러나 Windows 2000에서는 그룹 정책 및 로컬 정책을 확인하여 보안 설정이 포함된 정책을 확인해야 합니다.

  • 그룹 정책 설정을 보려면 그룹 정책 처리 중에 Microsoft Windows 2000 보안 구성 클라이언트에 대한 로깅 출력을 사용하도록 설정해야 합니다.

  • 애플리케이션 로그인 이벤트 뷰어 보고 이벤트 ID 1000 및 이벤트 ID 1202를 찾습니다.

다음 세 섹션에서는 운영 체제를 식별하고 수집한 정보에서 운영 체제에 대해 확인해야 하는 보안 설정을 나열합니다.

Windows 2000

다음 설정이 표시된 대로 구성되었는지 확인합니다.

RestrictAnonymous:

익명 연결에 대한 추가 제한 사항
 "없음. 기본 사용 권한 사용"

LM 호환성:

LAN 관리자 인증 수준 "NTLM 응답만 보내기"

SMB 서명, SMB 암호화 또는 둘 다:

클라이언트 통신 디지털 서명(항상) DISABLED
클라이언트 통신에 디지털 서명(가능한 경우) ENABLED
서버 통신 디지털 서명(항상) DISABLED
서버 통신에 디지털 서명(가능한 경우) ENABLED
보안 채널: 보안 채널 데이터 디지털 암호화 또는 서명(항상) DISABLED
보안 채널: 보안 채널 데이터를 디지털 암호화(가능한 경우) DISABLED
보안 채널: 보안 채널 데이터에 디지털 서명(가능한 경우) DISABLED
보안 채널: 강력한(Windows 2000 이상) 세션 키 필요 DISABLED
Windows Server 2003

다음 설정이 표시된 대로 구성되었는지 확인합니다.

RestrictAnonymous 및 RestrictAnonymousSam:

네트워크 액세스: 익명 SID/이름 변환 허용 ENABLED
네트워크 액세스: SAM 계정의 익명 열거 허용 안 함 DISABLED
네트워크 액세스: SAM 계정과 공유의 익명 열거 허용 안 함 DISABLED
네트워크 액세스: Everyone 사용 권한을 익명 사용자에게 적용 ENABLED
네트워크 액세스: 명명된 파이프에 익명으로 액세스할 수 있습니다. ENABLED
네트워크 액세스: 명명된 파이프 및 공유에 대한 익명 액세스 제한 DISABLED

참고 항목

기본적으로 네트워크 액세스의 값: 익명 SID/이름 변환 허용 설정은 Windows Server 2008에서 사용 안 함입니다.

LM 호환성:

네트워크 보안: LAN Manager 인증 수준 "NTLM 응답만 보내기"

SMB 서명, SMB 암호화 또는 둘 다:

Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상) DISABLED
Microsoft 네트워크 클라이언트: 디지털 서명 통신(서버에서 동의한 경우) ENABLED
Microsoft 네트워크 서버: 디지털 서명 통신(항상) DISABLED
Microsoft 네트워크 서버: 통신 디지털 서명(클라이언트에서 동의한 경우) ENABLED
도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명 DISABLED
도메인 구성원: 보안 채널 데이터를 디지털 암호화(가능한 경우) ENABLED
도메인 구성원: 보안 채널 데이터에 디지털 서명(가능한 경우) ENABLED
도메인 구성원: 고급 세션 키 요청(Windows 2000 이상) DISABLED

설정이 올바르게 구성되면 컴퓨터를 다시 시작해야 합니다. 보안 설정은 컴퓨터를 다시 시작할 때까지 적용되지 않습니다.

컴퓨터를 다시 시작한 후 10분 동안 기다렸다가 모든 보안 정책이 적용되고 유효 설정이 구성되었는지 확인합니다. Active Directory 정책 업데이트가 도메인 컨트롤러에서 5분마다 발생하고 업데이트가 보안 설정 값을 변경할 수 있으므로 10분을 기다리는 것이 좋습니다. 10분 후 보안 구성 및 분석 또는 다른 도구를 사용하여 Windows 2000 및 Windows Server 2003의 보안 설정을 검사합니다.

Windows NT 4.0

Important

이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 신중하게 수행해야 합니다. 추가 보호를 위해 레지스트리를 수정하기 전에 백업합니다. 그러면 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 레지스트리를 백업하고 복원하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다. 322756 Windows에서 레지스트리를 백업하고 복원하는 방법

Windows NT 4.0에서는 Regedt32 도구를 사용하여 레지스트리를 확인하여 현재 보안 설정을 확인해야 합니다. 이렇게 하려면 다음 단계를 수행하세요.

  1. 시작을 클릭하고 실행을 클릭하고 regedt32를 입력한 다음 확인을 클릭합니다.

  2. 다음 레지스트리 하위 키를 확장한 다음 RestrictAnonymous 항목에 할당된 값을 봅니다.

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. 다음 레지스트리 하위 키를 확장한 다음 LM 호환성 항목에 할당된 값을 봅니다.

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

  4. 다음 레지스트리 하위 키를 확장한 다음 EnableSecuritySignature(서버) 항목에 할당된 값을 봅니다.

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature

  5. 다음 레지스트리 하위 키를 확장한 다음 RequireSecuritySignature(서버) 항목에 할당된 값을 봅니다.

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature

  6. 다음 레지스트리 하위 키를 확장한 다음 RequireSignOrSeal 항목에 할당된 값을 봅니다.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  7. 다음 레지스트리 하위 키를 확장한 다음 SealSecureChannel 항목에 할당된 값을 봅니다.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  8. 다음 레지스트리 하위 키를 확장한 다음 SignSecureChannel 항목에 할당된 값을 봅니다.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. 다음 레지스트리 하위 키를 확장한 다음 RequireStrongKey 항목에 할당된 값을 봅니다.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

방법 3: 사용자 권한 확인

Windows 2000 기반 컴퓨터에서 필요한 사용자 권한을 확인하려면 다음 단계를 수행합니다.

  1. 시작을 클릭하고 프로그램을 가리키고 관리 도구를 가리킨 다음 로컬 보안 정책을 클릭합니다.
  2. 로컬 정책을 확장한 다음 사용자 권한 할당을 클릭합니다.
  3. 오른쪽 창에서 네트워크에서 이 컴퓨터 액세스를 두 번 클릭합니다.
  4. [할당 대상] 목록에서 [모든 사용자] 그룹 옆에 있는 [로컬 정책 설정] 확인란을 클릭하여 선택한 다음 [확인]을 클릭합니다.
  5. 네트워크에서 이 컴퓨터에 대한 액세스 거부를 두 번 클릭합니다.
  6. 목록에 할당된 주체 그룹이 없는지 확인한 다음 확인을 클릭합니다. 예를 들어 모든 사용자, 인증된 사용자 및 기타 그룹이 나열되지 않았는지 확인합니다.
  7. 확인을 클릭한 다음 로컬 보안 정책을 종료합니다.

Windows Server 2003 기반 컴퓨터에서 필요한 사용자 권한을 확인하려면 다음 단계를 수행합니다.

  1. 시작을 클릭하고 관리 도구를 가리킨 다음 도메인 컨트롤러 보안 정책을 클릭합니다.

  2. 로컬 정책을 확장한 다음 사용자 권한 할당을 클릭합니다.

  3. 오른쪽 창에서 네트워크에서 이 컴퓨터 액세스를 두 번 클릭합니다.

  4. 모든 사용자 그룹이 네트워크 목록에서 이 컴퓨터 액세스에 있는지 확인합니다.

    Everyone 그룹이 나열되지 않은 경우 다음 단계를 수행합니다.

    1. 사용자 또는 그룹 추가를 클릭합니다.
    2. 사용자 및 그룹 이름 상자에 모두 입력하고 확인을 클릭합니다.

  5. 네트워크에서 이 컴퓨터에 대한 액세스 거부를 두 번 클릭합니다.

  6. 네트워크 목록에서 이 컴퓨터에 대한 액세스 거부에 원칙 그룹이 없는지 확인한 다음 확인을 클릭합니다. 예를 들어 모든 사용자, 인증된 사용자 및 기타 그룹이 나열되지 않았는지 확인합니다.

  7. 확인을 클릭한 다음 도메인 컨트롤러 보안 정책을 닫습니다.

Windows NT Server 4.0 기반 컴퓨터에서 필요한 사용자 권한을 확인하려면 다음 단계를 수행합니다.

  1. 시작을 클릭하고 프로그램을 가리키고 관리 도구를 가리킨 다음 도메인용 사용자 관리자를 클릭합니다.

  2. 정책 메뉴에서 사용자 권한을 클릭합니다.

  3. 오른쪽 목록에서 네트워크에서 이 컴퓨터 액세스를 클릭합니다.

  4. 부여 상자에서 모든 사용자 그룹이 추가되었는지 확인합니다.

    Everyone 그룹이 추가되지 않은 경우 다음 단계를 수행합니다.

    1. 추가를 클릭합니다.
    2. 이름 목록에서 [모두]를 클릭하고 [추가]를 클릭한 다음 [확인]을 클릭합니다.

  5. 확인을 클릭한 다음 사용자 관리자를 종료합니다.

방법 4: 그룹 멤버 자격 확인

도메인 간에 트러스트가 설정되어 있지만 대화 상자에서 다른 도메인 개체를 찾을 수 없기 때문에 한 도메인에서 다른 도메인으로 기본 사용자 그룹을 추가할 수 없는 경우 "사전 Windows 2000 호환 액세스" 그룹에 올바른 멤버 자격이 없을 수 있습니다.

Windows 2000 기반 도메인 컨트롤러 및 Windows Server 2003 기반 도메인 컨트롤러에서 필요한 그룹 멤버 자격이 구성되었는지 확인합니다.

Windows 2000 기반 도메인 컨트롤러에서 이 작업을 수행하려면 다음 단계를 수행합니다.

  1. 시작을 클릭하고 프로그램, 관리 도구를 차례로 가리킨 다음 Active Directory 사용자 및 컴퓨터를 클릭합니다.

  2. 기본 제공을 클릭한 다음 Windows 2000 이전 호환 액세스 그룹을 두 번 클릭합니다.

  3. 구성원 탭을 클릭한 다음 모든 사용자 그룹이 구성원 목록에 있는지 확인합니다.

  4. 모든 사용자 그룹이 구성원 목록에 없는 경우 다음 단계를 수행합니다.

    1. 시작, 실행을 차례로 클릭하고 cmd를 입력한 다음 확인을 클릭합니다.
    2. 명령 프롬프트에서 입력 net localgroup "Pre-Windows 2000 Compatible Access" everyone /add한 다음 Enter 키를 누릅니다.

Windows Server 2003 기반 도메인 컨트롤러에서 필요한 그룹 멤버 자격이 구성되었는지 확인하려면 "네트워크 액세스: 모든 사용자 권한이 익명 사용자에게 적용되도록 허용" 정책 설정이 비활성화되었는지 알고 있어야 합니다. 모르는 경우 그룹 정책 개체 편집기를 사용하여 "네트워크 액세스: 모든 사용자 권한이 익명 사용자에게 적용되도록 허용" 정책 설정의 상태를 확인합니다. 이렇게 하려면 다음 단계를 수행하세요.

  1. 시작, 실행을 차례로 클릭하고 gpedit.msc를 입력한 다음 확인을 클릭합니다.

  2. 다음 폴더를 확장합니다.

    로컬 컴퓨터 정책
    컴퓨터 구성
    Windows 설정
    보안 설정
    로컬 정책

  3. 보안 옵션을 클릭한 다음 네트워크 액세스를 클릭합니다. 오른쪽 창에서 익명 사용자에게 모든 사용자 권한이 적용되도록 허용합니다.

  4. 보안 설정 열의 값이 사용 안 함 또는 사용인지 확인합니다.

Windows Server 2003 기반 도메인 컨트롤러에서 필요한 그룹 멤버 자격이 구성되었는지 확인하려면 다음 단계를 수행합니다.

  1. 시작을 클릭하고 프로그램, 관리 도구를 차례로 가리킨 다음 Active Directory 사용자 및 컴퓨터를 클릭합니다.

  2. 기본 제공을 클릭한 다음 Windows 2000 이전 호환 액세스 그룹을 두 번 클릭합니다.

  3. 구성원 탭을 클릭합니다.

  4. 네트워크 액세스: 익명 사용자 정책 설정에 모든 사용자 권한을 적용할 수 없도록 설정하면 모든 사용자, 익명 로그온 그룹이 구성원 목록에 있는지 확인합니다. "네트워크 액세스: 모든 사용자가 익명 사용자에게 권한을 적용할 수 있도록 허용" 정책 설정이 설정된 경우 모든 사용자 그룹이 구성원 목록에 있는지 확인합니다.

  5. 모든 사용자 그룹이 구성원 목록에 없는 경우 다음 단계를 수행합니다.

    1. 시작, 실행을 차례로 클릭하고 cmd를 입력한 다음 확인을 클릭합니다.
    2. 명령 프롬프트에서 입력 net localgroup "Pre-Windows 2000 Compatible Access" everyone /add한 다음 Enter 키를 누릅니다.

방법 5: 방화벽, 스위치 또는 라우터와 같은 네트워크 디바이스를 통한 연결 확인

다음 오류 메시지와 유사한 오류 메시지를 받았고 LMHOST 파일이 올바른지 확인한 경우 도메인 컨트롤러 간에 포트가 차단된 방화벽, 라우터 또는 스위치로 인해 문제가 발생할 수 있습니다.

도메인 컨트롤러에 연결할 수 없음

네트워크 디바이스 문제를 해결하려면 PortQry 명령줄 포트 스캐너 버전 2.0을 사용하여 도메인 컨트롤러 간의 포트를 테스트합니다.

PortQry 버전 2에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.

832919 PortQry 버전 2.0의 새로운 기능 및 기능

포트를 구성하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.

179442 도메인 및 트러스트를 위한 방화벽을 구성하는 방법

방법 6: 문제 해결에 도움이 되는 추가 정보 수집

이전 메서드가 문제를 해결하는 데 도움이 되지 않는 경우 문제의 원인을 해결하는 데 도움이 되는 다음 추가 정보를 수집합니다.

  • 두 도메인 컨트롤러에서 Netlogon 로깅을 사용하도록 설정합니다. Netlogon 로깅을 완료하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다. 109626 Net Logon 서비스에 대한 디버그 로깅 사용

  • 문제가 발생하는 동시에 두 도메인 컨트롤러에서 추적을 캡처합니다.

자세한 정보

다음 GPO(그룹 정책 개체) 목록은 해당 레지스트리 항목의 위치와 해당 운영 체제의 그룹 정책을 제공합니다.

  • The RestrictAnonymous GPO:

    • Windows NT 레지스트리 위치: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Windows 2000 및 Windows Server 2003 레지스트리 위치: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows 2000 그룹 정책: 컴퓨터 구성\Windows 설정\보안 설정\ 보안 옵션 익명 연결에 대한 추가 제한 사항
    • Windows Server 2003 그룹 정책: 컴퓨터 구성\Windows 설정\보안 설정\보안 옵션 네트워크 액세스: SAM 계정 및 공유의 익명 열거 허용 안 함

  • The RestrictAnonymousSAM GPO:

    • Windows Server 2003 레지스트리 위치: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 그룹 정책: 컴퓨터 구성\Windows 설정\보안 설정 보안 옵션 네트워크 액세스: SAM 계정 및 공유의 익명 열거 허용 안 함

  • The EveryoneIncludesAnonymous GPO:

    • Windows Server 2003 레지스트리 위치: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 그룹 정책: 컴퓨터 구성\Windows 설정\보안 설정\보안 옵션 네트워크 액세스: 모든 사용자 권한이 익명 사용자에게 적용되도록 허용

  • LM 호환성 GPO:

    • Windows NT, Windows 2000 및 Windows Server 2003 레지스트리 위치: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

    • Windows 2000 그룹 정책: 컴퓨터 구성\Windows 설정\보안 설정\보안 옵션: LAN 관리자 인증 수준

    • Windows Server 2003 그룹 정책: 컴퓨터 구성\Windows 설정\보안 설정\보안 옵션\네트워크 보안: LAN 관리자 인증 수준

  • EnableSecuritySignature(클라이언트) GPO:

    • Windows 2000 및 Windows Server 2003 레지스트리 위치: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Windows 2000 그룹 정책: 컴퓨터 구성\Windows 설정\보안 설정 \보안 옵션: 클라이언트 통신에 디지털 서명(가능한 경우)
    • Windows Server 2003 그룹 정책: 컴퓨터 구성\Windows 설정\보안 설정\보안 옵션\Microsoft 네트워크 클라이언트: 디지털 서명 통신(서버가 동의하는 경우)

  • RequireSecuritySignature(클라이언트) GPO:

    • Windows 2000 및 Windows Server 2003 레지스트리 위치: HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Windows 2000 그룹 정책: 컴퓨터 구성\Windows 설정\보안 설정\보안 옵션: 클라이언트 통신에 디지털 서명(항상)
    • Windows Server 2003: 컴퓨터 구성\Windows 설정\보안 설정\보안 옵션\Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상)

  • EnableSecuritySignature(서버) GPO:

    • Windows NT 레지스트리 위치: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Windows 2000 및 Windows Server 2003 레지스트리 위치: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Windows 2000 그룹 정책: 서버 통신에 디지털 서명(가능한 경우)
    • Windows Server 2003 그룹 정책: Microsoft 네트워크 서버: 디지털 서명 통신(클라이언트가 동의하는 경우)

  • RequireSecuritySignature(서버) GPO:

    • Windows NT 레지스트리 위치: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Windows 2000 및 Windows Server 2003 레지스트리 위치: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Windows 2000 그룹 정책: 디지털 서명 서버 통신(항상)
    • Windows Server 2003 그룹 정책: Microsoft 네트워크 서버: 디지털 서명 통신(항상)

  • The RequireSignOrSeal GPO:

    • Windows NT, Windows 2000 및 Windows Server2003 레지스트리 위치: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 그룹 정책: 보안 채널 데이터 디지털 암호화 또는 서명(항상)
    • Windows Server2003 그룹 정책: 도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명(항상)

  • The SealSecureChannel GPO:

    • Windows NT, Windows 2000 및 Windows Server2003 레지스트리 위치: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 그룹 정책: 보안 채널: 보안 채널 데이터를 디지털 암호화(가능한 경우)
    • Windows Server 2003 그룹 정책: 도메인 구성원: 보안 채널 데이터를 디지털 암호화(가능한 경우)

  • The SignSecureChannel GPO:

    • Windows NT, Windows 2000 및 Windows Server 2003 레지스트리 위치: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 그룹 정책: 보안 채널: 보안 채널 데이터에 디지털 서명(가능한 경우)
    • Windows Server 2003 그룹 정책: 도메인 구성원: 보안 채널 데이터에 디지털 서명(가능한 경우)

  • The RequireStrongKey GPO:

    • Windows NT, Windows 2000 및 Windows Server 2003 레지스트리 위치: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 그룹 정책: 보안 채널: 강력한(Windows 2000 이상) 세션 키 필요
    • Windows Server 2003 그룹 정책: 도메인 구성원: 강력한(Windows 2000 이상) 세션 키 필요

Windows Server 2008

Windows Server 2008을 실행하는 도메인 컨트롤러에서 Windows NT 4.0 정책 설정과 호환되는 암호화 허용 알고리즘의 기본 동작으로 인해 문제가 발생할 수 있습니다. 이 설정은 Windows 운영 체제와 타사 클라이언트가 약한 암호화 알고리즘을 사용하여 Windows Server 2008 기반 도메인 컨트롤러에 대한 NETLOGON 보안 채널을 설정하는 것을 방지합니다.

참조

자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.

823659 보안 설정 및 사용자 권한 할당을 수정할 때 발생할 수 있는 클라이언트, 서비스 및 프로그램 비호환성