얼마전..AD 재난 복구중에 복제 도메인 컨트롤러의 Active Directory 수준 올리기 중 "액세스가 거부되었습니다." 오류 메시지를 만난적이 있다. 이 경우 원인을 찾지 못해서 여러번 AD 참여를 시도했지만 시간만 허비한 경우 였다. 하지만..답은 KB 에 이미 올라와 있었다..
검색의 중요성을 다시 한번 실감..하였습니다.

기술 자료 ID : 250874
마지막 검토 : 2004년 3월 22일 월요일 수정 : 2.0
이 문서는 이전에 다음 ID로 출판되었음: KR250874

현상
복제 도메인 컨트롤러의 Active Directory 수준을 올리는 동안 다음과 같은 오류 메시지가 나타날 수 있습니다.

다음 이유 때문에 작동이 실패했습니다: 컴퓨터 계정 %computername%$의 필요한 속성을 수정하지 못했습니다 "액세스가 거부되었습니다".
%SystemRoot%DebugDcpromo.log 폴더에는 다음 예와 비슷한 항목이 들어 있습니다.

MM/DD HH:MM:SS [INFO] Configuring the server account
MM/DD HH:MM:SS [INFO] NtdsSetReplicaMachineAccount returned 5
MM/DD HH:MM:SS [INFO] DsRolepSetMachineAccountType returned 5
MM/DD HH:MM:SS [INFO] Error - Failed to modify the necessary properties for the machine account %computername%$(5)

네트워크 추적은 UserAccountControl 속성에 대한 LDAP ModifyRequest 프레임의 ModifyReponse 프레임이 "액세스 권한 부족" 오류 메시지와 함께 실패한 것을 보여줍니다.

원인
복제 도메인 컨트롤러의 수준을 올리는 동안 실행되는 작동 중 하나는 수준을 올리고 있는 컴퓨터의 UserAccountControl 특성의 수정입니다. UserAccountControl 특성은 컴퓨터의 역할을 구성원 서버나 도메인 컨트롤러로 정의하는 데 중요합니다. 특히 수준을 올리는 컴퓨터는 다음 작업을 수행합니다. 1. 도메인내에 있는 기존 도메인 컨트롤러에 대해서 컴퓨터 계정을 검색합니다.(ObjectClass=사용자,ObjectClass=컴퓨터,SamAccountName=%ComputerName%$).
2. 구성원 서버에서 도메인 컨트롤러로의 변경을 나타내기 위해서 UserAccountControl 특성을 업데이트합니다.
3. 현재 컨테이너나 조직 구성 단위에서 도메인 컨트롤러의 도메인 조직 구성 단위로 컴퓨터 계정 개체를 이동합니다.
4. 이미 존재하는 도메인 컨트롤러에서 복제를 위해 스키마, 구성 및 도메인 명명 컨텍스트를 가져옵니다.
2단계와 3단계를 성공하려면 새 복제에서 사용하는 원본 도메인 컨트롤러가 보안 정책을 성공적으로 복제하고 적용했어야 합니다. 정책의 적용은 Active Directory 수준 올리기(Dcpromo)가 실행된 후에 응용 프로그램 로그에서 이벤트 ID 1704로 식별됩니다(Dcpromo.log의 마지막 항목 다음에 기록되는 이벤트 1704 참고).

UserAccountControl 특성을 업데이트하는 데 필요한 특정 권한은 기본 도메인 컨트롤러 정책의 관리자 그룹에 지정된 "컴퓨터 및 사용자 계정을 대리인에게 트러스터하도록 허용" 사용자 권한입니다.

해결 방법
문제를 해결하려면 다음과 같은 방법을 사용합니다. • 도메인에 있는 현재 도메인 컨트롤러에 보안 정책을 적용했으며 관리자 그룹에 컴퓨터 및 사용자 계정을 대리인에게 트러스터하도록 허용 사용자 권한이 지정되었는지 확인합니다. 이 사용자 권한을 확인하려면 관리 도구, 로컬 보안 정책, 보안 설정, 로컬 정책, 사용자 권한 할당을 차례로 누르십시오.

이 권한이 없는 컴퓨터의 경우 디렉터리 서비스와 파일 시스템의 그룹 정책 개체가 복제되었는지 확인한 후에 다음 명령을 입력하여 정책을 수동으로 적용합니다.

secedit /refreshpolicy machine_policy
참고 : 정책 응용 프로그램을 확인하려면 응용 프로그램 로그에 다음과 같은 메시지가 있는지 찾아 보십시오.
이벤트 ID 1704: 그룹 정책 개체의 보안 정책이 올바르게 적용됩니다.

• : 정책 응용 프로그램을 확인하려면 응용 프로그램 로그에 다음과 같은 메시지가 있는지 찾아 보십시오. 이 권한이 적용되지 않은 원본 도메인 컨트롤러에서 Netlogon 서비스를 중지하여 이 권한이 적용된 도메인의 다른 도메인 컨트롤러를 찾습니다.

• : 정책 응용 프로그램을 확인하려면 응용 프로그램 로그에 다음과 같은 메시지가 있는지 찾아 보십시오. 원본 도메인 컨트롤러가 조직 구성 단위에 있는지 확인합니다. 수준을 올리려는 Windows 2000 서버의 %Systemroot%debug 폴더에 Dcpromo.log라는 숨김 파일에서 원본 도메인 컨트롤러의 이름을 찾을 수 있습니다.

• : 정책 응용 프로그램을 확인하려면 응용 프로그램 로그에 다음과 같은 메시지가 있는지 찾아 보십시오. 원본 도메인 컨트롤러에서 명령 프롬프트를 열고 Gpresult.exe Resource Kit 유틸리티를 실행하여 도메인 컨트롤러 정책이 원본 도메인 컨트롤러에 적용되는지 확인합니다.

현재 상태
Microsoft는 Microsoft Windows 2000에서 이 문제를 확인했습니다.

--------------------------------------------------------------------------------

본 문서의 정보는 다음의 제품에 적용됩니다.
• Microsoft Windows 2000 Server
• Microsoft Windows 2000 Advanced Server
• Microsoft Windows 2000 Datacenter Server

키워드: kberrmsg kbnetwork kbprb KB250874
Posted by 달룡이네집

댓글을 달아 주세요