일부 컴퓨터가 해당 GPO를 모두 선택하지 않는 것 같은 문제가 있습니다. 그룹 정책 관리 편집기를 보면 "빨간색 x", "파일을 찾을 수 없음" GPO(어떤 GPO인지 지정하지 않음)가 많이 표시됩니다.
우리 환경에 대해 조금 살펴보면 Server 2008 R2 기능 수준에 4개의 도메인 컨트롤러가 있습니다. 2개의 DC는 온프레미스 Server2k8R2이고, 나머지 2개는 Server 2016을 실행하는 오프사이트 AWS EC2 인스턴스입니다.
"net share"를 실행하면 2개의 2K8R2 DC와 2K16 DC의 서로 다른 경로에서 공유되는 NETLOGON과 SYSVOL이 모두 표시됩니다(이것이 문제인지는 모르겠습니다).
Server2016 DCs show these paths:
NETLOGON - C:\Windows\SYSVOL\sysvol\domain.local\SCRIPTS
SYSVOL - C:\Windows\SYSVOL\sysvol
Server 2008 R2 DCs show these paths:
NETLOGON - C:\Windows\SYSVOL_DFSR\sysvol\superior.local\SCRIPTS
SYSVOL - C:\Windows\SYSVOL_DFSR\sysvol
모든 경우에 domain.local 폴더를 제외하고 C:\Windows\SYSVOL\sysvol은 비어 있습니다.
"DCDIAG"를 실행하면 네 가지 모두에 대한 "SystemLog" 테스트가 실패하고 DFSREvent 테스트에 대한 경고가 표시됩니다.
AWSDC01 & AWSDC02:
SystemLog test-
"The Netlogon service encountered a client using RPC signing instead of RPC sealing".
"The Netlogon service denied a vulnerable Netlogon secure channel connection from a machine account.
DFSREvent test - "There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause problems with group policy"
"
OnSite-DC1:
DFRSEvent test - "There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause problems with group policy"
SystemLog test - "An error event occurred. Event ID 0xC2000001. Unexpected failure. Error code 490@01010004"
OnSite-DC2:
DFRSEvent test - "There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause problems with group policy"
and
"This computer could not authenticate with \\AWSDC01.domain.local, a Windows domain controller for domain DOMAINNAME, and therefore this computer might deny logon requests. This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized."
추가로 참고할 사항:
-Event viewer logs (on on-site DC1 and on-site DC2) under application and services > DFS replication show only information about replication between each other. No mention of replication between the AWS DC's.
- Every hour the on-prem DCs show a DFS error "the dfs replication service is stopping communication with partner {other on-prem DC} for replication group Domain System Volume due to an error. Error 9036.
AWS DC02 only shows error logs regarding DFS replication with on-prem DC02. Same error 9036 "replication service stopping due to an error".
AWS DC01, same thing - only shows logs regarding DFS replication with on-prem DC01. Error 9036 "replication service stopped due to an error".
여기서 무슨 일이 일어나고 있는지, 아니면 다음에는 어디를 봐야 할지 아시나요?
답변1
오류는 인증 문제를 암시하므로 Greg Askew가 참조한 최근 kerberos 업데이트가 원인일 수 있습니다. 특히 최근에 업데이트했고 해당 지점에서 문제가 시작된 경우라면 더욱 그렇습니다. 그렇게 생각한다면 해당 업데이트를 일시적으로 제거한 다음 모든 것이 다시 작동할 때 최대한 빨리 2008 서버를 dcpromo로 출시할 계획을 세우십시오.
다음 도구를 사용해 볼 수 있습니다. https://www.microsoft.com/en-us/download/details.aspx?id=30005
이전에도 MS의 다른 복제 모니터링 도구를 사용해 본 적이 있을 것입니다. 지금은 이름이 무엇인지 기억이 나지 않습니다. 내가 기억할 수 있는 전부는 MSI 설치였습니다! 어쩌면 dfrs가 아닌 FRS diag일 수도 있습니다.
AD 복제는 DNS와 동기화된 시간에 크게 의존하므로 해당 설정을 모두 세 번 확인하세요. 시간을 다음과 비교할 수 있습니다.
net time \\server
불일치가 있는지 확인하십시오. 전혀 작동하는지(즉, 명령을 실행할 때 서버 간에 연결 문제가 없는지) 확인하십시오. 그렇지 않으면 동일한 외부 시간 소스(예: pool.ntp.org)에서 모두 동기화하는 방법을 살펴보세요.
DNS를 테스트하려면 다른 모든 서버에서 모든 서버 fqdn을 핑하고 결과를 서로 비교하고 예상한 것과 비교하십시오. 온프레미스와 AWS 사이에 VPN 또는 이와 유사한 비-NAT L3 라우팅이 있다고 가정합니다. 예를 들어 192.168.1.10은 10.0.0.2 또는 온프레미스 및 AWS에 있는 '내부' IP에 대해 ping을 수행할 수 있습니다(저는 Azure에만 익숙하므로 동일하지 않을 수 있습니다. AWS가 어떻게든 다르게 작동하면 용서해 주십시오).
또한 AD 사이트 및 서비스에서 AWS와 온프레미스를 모두 확인하고 NTDS로 드릴다운하여 복제 관계를 살펴볼 수도 있습니다. 마우스 오른쪽 버튼을 클릭하고 복제하여 "확인" 또는 "할 수 없음"이라고 표시되는지 확인하면 문제를 좁히는 데 도움이 될 수 있습니다.