Active Directory 복제 문제 해결

• 적용 대상:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

가상 에이전트 사용해 보기 - 일반적인 Active Directory 복제 문제를 신속하게 식별하고 해결하는 데 도움이 될 수 있습니다.

Active Directory 복제 문제에는 여러 가지 원본이 있을 수 있습니다. 예를 들어 DNS(도메인 이름 시스템) 문제, 네트워킹 문제 또는 보안 문제로 인해 모두 Active Directory 복제가 실패할 수 있습니다.

이 문서의 나머지 부분에는 Active Directory 복제 오류를 해결하기 위한 도구 및 일반적인 방법론이 설명되어 있습니다. 다음 하위 항목은 증상, 원인 및 특정 복제 오류를 해결하는 방법을 다룹니다.

Active Directory 복제 문제 해결을 위한 소개 및 리소스

인바운드 또는 아웃바운드 복제에 실패하면 복제 토폴로지, 복제 일정, 도메인 컨트롤러, 사용자, 컴퓨터, 암호, 보안 그룹, 그룹 구성원 자격 및 그룹 정책을 나타내는 Active Directory 개체가 도메인 컨트롤러 간에 일치하지 않게 됩니다. 디렉터리 불일치 및 복제 실패는 작업에 대해 연락한 도메인 컨트롤러에 따라 운영 실패 또는 일관되지 않은 결과를 발생시키며 그룹 정책 및 액세스 제어 권한의 적용을 방지할 수 있습니다. AD DS(Active Directory 도메인 Services)는 네트워크 연결, 이름 확인, 인증 및 권한 부여, 디렉터리 데이터베이스, 복제 토폴로지 및 복제 엔진에 따라 달라집니다. 복제 문제의 근본 원인이 즉시 명확하지 않은 경우 가능한 여러 원인 중 원인을 결정하려면 가능한 원인을 체계적으로 제거해야 합니다.

복제를 모니터링하고 오류를 진단하는 데 도움이 되는 UI 기반 도구의 경우 Microsoft Support and Recovery Assistant 도구를 다운로드하여 실행합니다.

Repadmin 도구를 사용하여 Active Directory 복제 문제를 해결하는 방법을 설명하는 포괄적인 문서를 사용할 수 있습니다. Monitoring and Troubleshooting Active Directory Replication Using Repadmin을 참조하세요.

Active Directory 복제의 작동 방식에 대한 자세한 내용은 다음 기술 참조를 참조하세요.

• Active Directory Replication Model Technical Reference
• Active Director Replication Topology Technical Reference

이벤트 및 도구 솔루션 권장 사항

이상적으로 디렉터리 서비스 이벤트 로그의 빨간색(오류) 및 노란색(경고) 이벤트는 원본 또는 대상 도메인 컨트롤러에서 복제 실패를 일으키는 특정 제약 조건을 제안합니다. 이벤트 메시지가 솔루션에 대한 단계를 제안하는 경우 이벤트에 설명된 단계를 시도합니다. Repadmin 도구 및 기타 진단 도구는 복제 실패를 해결하는 데 도움이 되는 정보도 제공합니다.

복제 문제 해결을 위해 Repadmin을 사용하는 방법에 대한 자세한 내용은 Monitoring and Troubleshooting Active Directory Replication Using Repadmin을 참조하세요.

고의적인 중단이나 하드웨어 장애를 배제합니다.

의도적인 중단으로 인해 복제 오류가 발생하는 경우가 있습니다. 예를 들어 Active Directory 복제 문제를 해결할 때 먼저 의도적인 연결 끊김 및 하드웨어 오류 또는 업그레이드를 배제합니다.

의도적인 연결 끊김

스테이징 사이트에 빌드되어 현재 오프라인 상태인 도메인 컨트롤러를 사용하여 복제를 시도하는 도메인 컨트롤러에서 복제 오류가 보고되고 최종 프로덕션 사이트(지점과 같은 원격 사이트)에서 배포를 기다리고 있는 경우 해당 복제 오류를 고려할 수 있습니다. 도메인 컨트롤러가 다시 연결될 때까지 연속 오류가 발생하는 오랜 기간 동안 복제 토폴로지에서 도메인 컨트롤러를 분리하지 않도록 하려면 이러한 컴퓨터를 처음에 구성원 서버로 추가하고 미디어(IFM) 메서드에서 설치를 사용하여 AD DS(Active Directory 도메인 Services)를 설치하는 것이 좋습니다. Ntdsutil 명령줄 도구를 사용하여 이동식 미디어(CD, DVD 또는 기타 미디어)에 저장하고 대상 사이트로 배송할 수 있는 설치 미디어를 만들 수 있습니다. 그런 다음 설치 미디어를 사용하여 복제를 사용하지 않고 사이트의 도메인 컨트롤러에 AD DS를 설치할 수 있습니다.

하드웨어 오류 또는 업그레이드

하드웨어 오류(예: 마더보드, 디스크 하위 시스템 또는 하드 드라이브 오류)로 인해 복제 문제가 발생하는 경우 하드웨어 문제를 해결할 수 있도록 서버 소유자에게 알립니다.

정기적인 하드웨어 업그레이드로 인해 도메인 컨트롤러가 서비스 중단될 수도 있습니다. 서버 소유자가 이러한 중단을 사전에 전달하는 좋은 시스템을 갖추고 있는지 확인합니다.

방화벽 구성

기본적으로 Active Directory RPC(복제 원격 프로시저 호출)는 포트 135의 RPCSS(RPC 엔드포인트 매퍼)를 통해 사용 가능한 포트를 통해 동적으로 발생합니다. 고급 보안이 포함된 Windows 방화벽 및 기타 방화벽이 복제를 허용하도록 올바르게 구성되어 있는지 확인하세요. Active Directory 복제 및 포트 설정에 대한 포트를 지정하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 문서 224196를 참조하세요.

Active Directory 복제에서 사용하는 포트에 대한 자세한 내용은 Active Directory Replication Tools and Settings를 참조하세요.

방화벽을 통해 Active Directory 복제를 관리하는 방법에 대한 자세한 내용은 Active Directory Replication over Firewalls를 참조하세요.

Windows 2000 Server를 실행하는 오래된 서버의 오류에 대응

Windows 2000 Server를 실행하는 도메인 컨트롤러가 삭제 표시 수명 기간의 일 수보다 오래 실패하면 솔루션은 항상 동일합니다.

1. 회사 네트워크에서 프라이빗 네트워크로 서버를 이동합니다.
2. Active Directory를 강제로 제거하거나 운영 체제를 다시 설치합니다.
3. 서버 개체를 다시 만들 수 없도록 Active Directory에서 서버 메타데이터를 제거합니다.

스크립트를 사용하여 대부분의 Windows 운영 체제에서 서버 메타데이터를 정리할 수 있습니다. 이 스크립트를 사용하는 방법에 대한 자세한 내용은 Remove Active Directory Domain Controller Metadata를 참조하세요.

기본적으로 삭제된 NTDS 설정 개체는 14일 동안 자동으로 부활됩니다. 따라서 서버 메타데이터를 제거하지 않으면(Ntdsutil 또는 이전에 언급한 스크립트를 사용하여 메타데이터 정리를 수행) 서버 메타데이터가 디렉터리에서 복원되어 복제 시도가 발생하도록 요청합니다. 이 경우 누락된 도메인 컨트롤러를 사용하여 복제할 수 없기 때문에 오류가 영구적으로 기록됩니다.

근본 원인

의도적인 연결 끊김, 하드웨어 오류 및 오래된 Windows 2,000 도메인 컨트롤러를 제외하는 경우 복제 문제의 나머지 부분에는 거의 항상 다음 근본 원인 중 하나가 있습니다.

• 네트워크 연결: 네트워크 연결을 사용할 수 없거나 네트워크 설정이 제대로 구성되지 않았습니다.
• 이름 확인: DNS 잘못된 구성은 복제 실패의 일반적인 원인입니다.
• 인증 및 권한 부여: 도메인 컨트롤러가 복제 파트너에 연결하려고 할 때 인증 및 권한 부여 문제로 인해 "액세스 거부" 오류가 발생합니다.
• 디렉터리 데이터베이스 (저장소): 디렉터리 데이터베이스는 복제 시간 제한을 준수할 만큼 빠르게 트랜잭션을 처리하지 못할 수 있습니다.
• 복제 엔진: 사이트 간 복제 일정이 너무 짧으면 복제 큐가 너무 커서 아웃바운드 복제 일정에 필요한 시간에 처리할 수 없습니다. 이 경우 일부 변경 내용의 복제는 삭제 표시 수명을 초과할 수 있을 만큼 오랫동안 무기한 중단될 수 있습니다.
• 복제 토폴로지: 도메인 컨트롤러에는 실제 WAN(광역 네트워크) 또는 VPN(가상 사설망) 연결에 매핑되는 AD DS의 사이트 간 링크가 있어야 합니다. 네트워크의 실제 사이트 토폴로지에서 지원되지 않는 복제 토폴로지에 대한 개체를 AD DS에 만들면 잘못 구성된 토폴로지가 필요한 복제가 실패합니다.

문제 해결에 대한 일반적인 접근 방식

다음 일반적인 방법을 사용하여 복제 문제를 해결합니다.

1. 매일 복제 상태를 모니터링하거나 Repadmin.exe를 사용하여 매일 복제 상태를 검색하세요.

2. 이벤트 메시지 및 이 가이드에 설명된 메서드를 사용하여 보고된 오류를 적시에 해결하려고 시도합니다. 소프트웨어가 문제의 원인일 수 있는 경우 다른 해결 방법을 계속하기 전에 해당 소프트웨어를 제거하세요.

3. 복제 실패를 일으키는 문제를 알려진 방법으로 해결할 수 없는 경우 서버에서 AD DS를 제거한 다음 AD DS를 다시 설치합니다. AD DS를 다시 설치하는 방법에 대한 자세한 내용은 도메인 컨트롤러 서비스 해제를 참조 하세요.

4. 서버가 네트워크에 연결되어 있는 동안 일반적인 방법으로 AD DS를 제거할 수 없는 경우 다음 방법 중 하나를 사용하여 문제를 해결합니다.

   • DSRM(디렉터리 서비스 복원 모드)에서 AD DS를 강제로 제거하고 서버 메타데이터를 정리한 다음 AD DS를 다시 설치합니다.
   • 운영 체제를 다시 설치하고 도메인 컨트롤러를 다시 빌드합니다.

AD DS 강제 제거에 대한 자세한 내용은 Forcing the Removal of a Domain Controller를 참조하세요.

Repadmin을 사용하여 복제 상태 검색

복제 상태는 디렉터리 서비스의 상태를 평가하는 중요한 방법입니다. 복제가 오류 없이 작동하는 경우 온라인 도메인 컨트롤러를 알 수 있습니다. 또한 다음 시스템과 서비스가 작동한다는 것을 알고 있습니다.

• DNS 인프라
• Kerberos 인증 프로토콜
• Windows 시간 서비스(W32time)
• RPC(원격 프로시저 호출)(Remote procedure call (RPC))
• 네트워크 연결

Repadmin을 사용하여 포리스트에 있는 모든 도메인 컨트롤러의 복제 상태를 평가하는 명령을 실행하여 매일 복제 상태를 모니터링합니다. 이 프로시저는 Microsoft Excel에서 열고 복제 실패를 필터링할 수 있는 .csv 파일을 생성합니다.

다음 절차를 사용하여 포리스트에 있는 모든 도메인 컨트롤러의 복제 상태를 검색할 수 있습니다.

요구 사항

이 절차를 완료하려면 최소한 Enterprise Admins 또는 이와 동등한 자격이 필요합니다.

도구

• Repadmin.exe
• Excel (Microsoft Office)

도메인 컨트롤러에 대한 repadmin /showrepl 스프레드시트를 생성하려면

1. 관리자 권한으로 명령 프롬프트를 엽니다: 시작 메뉴에서 명령 프롬프트를 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 클릭합니다. 사용자 계정 제어 대화 상자가 나타나면 필요한 경우 Enterprise Admins 자격 증명을 입력한 다음 계속을 클릭합니다.

2. 명령 프롬프트에서 다음 명령을 입력한 다음 Enter: repadmin /showrepl * /csv > showrepl.csv키를 누릅니다.

3. Excel을 엽니다.

4. Office 단추를 클릭하고 열기를 클릭하고 showrepl.csv 이동한 다음 열기를 클릭합니다.

5. 다음과 같이 A 열과 전송 형식 열을 숨기거나 삭제합니다.

6. 숨기거나 삭제할 열을 선택합니다.

   • 열을 숨기려면 열을 마우스 오른쪽 단추로 클릭한 다음 숨기기를 클릭합니다.
   • 열을 삭제하려면 선택한 열을 마우스 오른쪽 버튼으로 클릭한 다음 삭제를 클릭합니다.

7. 열 머리글 행 아래의 행 1을 선택합니다. 보기 탭에서 틀 고정을 클릭한 다음 위쪽 행 고정을 클릭합니다.

8. 전체 스프레드시트를 선택합니다. 데이터 탭에서 필터를 클릭합니다.

9. 마지막 성공 시간 열에서 아래쪽 화살표를 클릭한 다음 오름차순 정렬을 클릭합니다.

10. 원본 DC 열에서 필터 아래쪽 화살표를 클릭하고 텍스트 필터를 가리킨 다음 사용자 지정 필터를 클릭합니다.

11. 사용자 지정 자동 필터 대화 상자의 행 표시 아래에서 클릭에 포함되지 않습니다. 인접한 텍스트 상자에 삭제된 도메인 컨트롤러에 대한 결과를 볼 수 없도록 입력 del 합니다.

12. 마지막 실패 시간 열에 대해 11단계를 반복하지만 값이 같지 않은 경우 값을 사용한 다음 값 0을 입력합니다.

13. 복제 오류를 해결합니다.

포리스트의 모든 도메인 컨트롤러에 대해 스프레드시트에는 원본 복제 파트너, 복제가 마지막으로 발생한 시간 및 각 명명 컨텍스트(디렉터리 파티션)에 대한 마지막 복제 실패가 발생한 시간이 표시됩니다. Excel에서 자동 필터를 사용하면 작업 중인 도메인 컨트롤러에 대해서만 복제 상태를 볼 수 있고, 도메인 컨트롤러만 실패하거나, 가장 최신이거나 가장 최신인 도메인 컨트롤러를 볼 수 있으며, 복제 파트너가 성공적으로 복제되는 것을 볼 수 있습니다.

복제 문제 및 해결 방법

복제 문제는 이벤트 메시지 및 애플리케이션 또는 서비스가 작업을 시도할 때 발생하는 다양한 오류 메시지에서 보고됩니다. 이상적으로 이러한 메시지는 모니터링 애플리케이션 또는 복제 상태를 검색할 때 수집됩니다.

대부분의 복제 문제는 디렉터리 서비스 이벤트 로그에 기록된 이벤트 메시지에서 식별됩니다. 복제 문제는 명령 출력 repadmin /showrepl 에서 오류 메시지의 형태로 식별될 수도 있습니다.

복제 문제를 나타내는 repadmin /showrepl 오류 메시지

Active Directory 복제 문제를 식별하려면 이전 섹션에 repadmin /showrepl 설명된 대로 명령을 사용합니다. 다음 표에서는 오류의 근본 원인 및 오류에 대한 해결 방법을 제공하는 항목에 대한 링크와 함께 이 명령이 생성하는 오류 메시지를 보여 줍니다.

Repadmin 오류	근본 원인	솔루션
이 서버를 사용한 마지막 복제 이후의 시간이 삭제 표시 수명을 초과했습니다.	도메인 컨트롤러는 삭제가 AD DS에서 삭제, 복제 및 가비지 수집될 만큼 충분히 오랫동안 명명된 원본 도메인 컨트롤러를 사용하여 인바운드 복제에 실패했습니다.	이벤트 ID 2042: 이 컴퓨터가 복제된 지 너무 오래되었습니다.
인바운드 인접 항목이 없습니다.	repadmin /showrepl에 의해 생성된 출력의 "인바운드 인접" 섹션에 항목이 표시되지 않으면 도메인 컨트롤러가 다른 도메인 컨트롤러와 복제 링크를 설정할 수 없습니다.	복제 연결 문제 해결(이벤트 ID 1925)
액세스가 거부되었습니다.	두 도메인 컨트롤러 사이에 복제 링크가 있지만 인증 실패로 인해 복제를 제대로 수행할 수 없습니다.	복제 보안 문제 해결
날짜의 <마지막 시도 - "대상 계정 이름이 잘못되었습니다."로 실패한 시간입니다> .	이 문제는 연결, DNS 또는 인증 문제와 관련이 있을 수 있습니다. DNS 오류인 경우 로컬 도메인 컨트롤러가 복제 파트너의 GUID(전역 고유 식별자) 기반 DNS 이름을 확인할 수 없습니다.	복제 DNS 조회 문제 해결(이벤트 ID 1925, 2087, 2088) 복제 연결 문제 해결 복제 보안 문제 해결(이벤트 ID 1925)
LDAP 오류 49 합니다.	도메인 컨트롤러 컴퓨터 계정이 KDC(키 배포 센터)와 동기화되지 않을 수 있습니다.	복제 보안 문제 해결
로컬 호스트에 대한 LDAP 연결을 열 수 없습니다.	관리 도구가 AD DS에 연결할 수 없습니다.	복제 DNS 조회 문제 해결(이벤트 ID 1925, 2087, 2088)
Active Directory 복제가 선점되었습니다.	repadmin /sync 명령을 사용하여 수동으로 생성된 요청과 같이 우선 순위가 높은 복제 요청에 의해 인바운드 복제 진행률이 중단되었습니다.	복제가 완료될 때까지 기다리세요. 이 정보 메시지는 정상 작업을 나타냅니다.
복제가 게시되고 대기 중입니다.	도메인 컨트롤러가 복제 요청을 게시하고 답변을 기다리고 있습니다. 이 원본에서 복제가 진행 중입니다.	복제가 완료될 때까지 기다리세요. 이 정보 메시지는 정상 작업을 나타냅니다.

다음 표에서는 문제의 근본 원인 및 문제에 대한 해결 방법을 제공하는 항목에 대한 링크와 함께 Active Directory 복제 관련 문제를 나타낼 수 있는 일반적인 이벤트를 나열합니다.

이벤트 ID 및 원본	근본 원인	솔루션
1311 NTDS KCC	AD DS의 복제 구성 정보는 네트워크의 물리적 토폴로지와 정확하게 반영되지 않습니다.	복제 토폴로지 문제 해결(이벤트 ID 1311)
1388 NTDS 복제	엄격한 복제 일관성이 적용되지 않으며 느린 개체가 도메인 컨트롤러에 복제되었습니다.	복제 느린 개체 문제 해결(이벤트 ID 1388, 1988 년 2042)
1925 NTDS KCC	쓰기 가능한 디렉토리 파티션에 대한 복제 링크를 설정하려는 시도가 실패했습니다. 이 이벤트는 오류에 따라 다른 원인을 가질 수 있습니다.	복제 연결 문제 해결(이벤트 ID 1925) 복제 DNS 조회 문제 해결(이벤트 ID 1925, 2087, 2088)
1988 NTDS 복제	로컬 도메인 컨트롤러가 삭제되고 이미 가비지 수집되었을 수 있으므로 로컬 도메인 컨트롤러에 없는 원본 도메인 컨트롤러에서 개체를 복제하려고 했습니다. 상황이 해결될 때까지 이 파트너와 함께 이 디렉터리 파티션에 대한 복제가 진행되지 않습니다.	복제 느린 개체 문제 해결(이벤트 ID 1388, 1988 년 2042)
2042 NTDS 복제	삭제 표시 수명 동안 이 파트너와 함께 복제가 발생하지 않았으며 복제를 진행할 수 없습니다.	복제 느린 개체 문제 해결(이벤트 ID 1388, 1988 년 2042)
2087 NTDS 복제	AD DS에서 원본 도메인 컨트롤러의 DNS 호스트 이름을 IP 주소로 확인할 수 없었고 복제에 실패했습니다.	복제 DNS 조회 문제 해결(이벤트 ID 1925, 2087, 2088)
2088 NTDS 복제	AD DS가 원본 도메인 컨트롤러의 DNS 호스트 이름을 IP 주소로 확인하지 못했지만 복제는 성공했습니다.	복제 DNS 조회 문제 해결(이벤트 ID 1925, 2087, 2088)
5805 Net Logon	컴퓨터 계정을 인증하지 못했습니다. 이는 일반적으로 동일한 컴퓨터 이름의 여러 인스턴스 또는 컴퓨터 이름이 모든 도메인 컨트롤러에 복제되지 않아 발생합니다.	복제 보안 문제 해결

복제 개념에 대한 자세한 내용은 Active Directory Replication Technologies을 참조하세요.

다음 단계

오류 코드와 관련된 지원 문서를 포함한 자세한 내용은 지원 문서를 참조하세요: 일반적인 Active Directory 복제 오류를 해결하는 방법