Active Directory 도메인의 그룹 정책 처리 오류 문제 해결 방법

AD(Active Directory) 도메인의 구성원은 여러 가지 이유로 그룹 정책을 적용하는 데 문제가 발생할 수 있습니다. 이 문서에서는 보다 일반적인 문제 중 일부에 대해 설명하고 근본적인 문제 해결을 위한 지침을 제공합니다.
 
일반 문제 해결
문제 해결의 첫 번째 단계는 범위를 정하는 것입니다. 하나의 시스템만 그룹 정책을 처리할 수 없는 경우 해당 시스템의 오작동 또는 구성 오류로 문제가 발생한 것일 수 있습니다. 문제가 더 광범위한 경우 DC(Domain Controller) 또는 AD 자체에 문제가 있는 것일 수 있습니다.

한 대의 시스템만 영향을 받은 경우 추가 문제 해결 전에 영향을 받는 시스템에서 gpupdate /force 명령을 실행합니다. 이렇게 하면 이후에 해결된 일시적인 네트워크 문제로 인해 장애가 발생한 것이 아님을 확인할 수 있습니다.

시스템에서 그룹 정책을 처리할 수 없는 경우 일반적으로 애플리케이션 로그에 Userenv 오류가 하나 이상 생성됩니다. 공통 이벤트 ID 번호는 1030, 1053, 1054 및 1058을 포함합니다. 영향을 받는 시스템의 특정 오류에 대한 설명은 근본적인 문제를 어느 정도 제시할 수 있어야 합니다.

DNS 문제
그룹 정책 장애와 기타 수많은 AD 문제의 가장 일반적인 원인은 이름 확인 문제일 수 있습니다. 영향을 받는 시스템의 Userenv 오류에 "Network path not found" 또는 "Cannot locate a domain controller"라는 문구가 포함된 경우 DNS가 원인일 수 있습니다. 다음은 이 유형의 문제를 해결하기 위한 몇 가지 팁입니다.

• 영향을 받는 시스템에서 명령 프롬프트를 열고 nslookup domain(예:nslookup mydomain.local) 명령을 실행합니다. 이 명령은 도메인에 있는 모든 DC의 IP 주소를 반환합니다. 다른 주소가 반환되면 DNS에 잘못된 레코드가 있을 수 있습니다. nslookup 명령은 개별 DC의 이름을 해당 IP 주소로 확인하는 데 사용할 수도 있습니다.
• 영향을 받는 시스템에서 ipconfig /all 명령을 실행하고 내부 DNS 서버만 사용하도록 구성되었는지 확인합니다. 도메인 내 DNS 문제의 주요 원인은 잘못된 DNS 서버 사용이며, 이것은 쉽게 수정할 수 있습니다. 도메인에 가입된 모든 시스템은 일반적으로 DC인 내부 DNS 서버만 사용해야 합니다.
• 영향을 받는 시스템이 올바른 DNS 서버를 사용 중인 것으로 나타나면 DC의 DNS 콘솔을 점검하여 적절한 레코드가 있는지 확인합니다. 각 DC에서 도메인 정방향 조회 영역에 두 개의 호스트(A) 레코드가 있는지 확인합니다. 하나는 DC의 호스트 이름이고 하나는 "(상위 폴더와 동일한)" 이름입니다. 두 레코드 모두 DC의 IP 주소를 포함해야 합니다.
• DNS 문제가 해결되면 영향을 받는 모든 시스템에서 ipconfig /flushdns 명령을 실행합니다. 이렇게 하면 해당 시스템의 확인자 캐시에서 잘못된 데이터가 모두 제거됩니다.

보안 채널 문제
이 유형의 문제는 도메인에 가입된 시스템의 로컬로 저장된 컴퓨터 계정 비밀번호가 AD의 비밀번호와 일치하지 않을 때 발생합니다. 보안 채널 문제로 인해 시스템이 DC로 인증되지 않습니다. 이 오류는 해당 시스템에서 그룹 정책 업데이트를 비롯한 도메인 리소스에 액세스하려고 할 때마다 "Access denied" 오류로 나타나는 경우가 많습니다. 물론 모든 "액세스 거부" 이벤트가 보안 채널 문제로 인한 것은 아니지만, 영향을 받는 시스템에서 "액세스 거부"가 포함된 애플리케이션 로그에 Userenv 오류가 있는 경우 보안 채널을 테스트해야 합니다.

• nltest 명령은 도메인 구성원의 보안 채널을 테스트(및 필요한 경우 재설정)하는 데 사용할 수 있습니다.
• 비디오 netdom 명령으로도 보안 채널을 테스트 및 재설정할 수 있습니다.
• Test-ComputerSecureChannel PowerShell cmdlet은 보안 채널을 테스트하거나 재설정하는 또 다른 방법을 제공합니다.
• 도메인에서 영향을 받는 시스템을 제거하고 AD 컴퓨터 계정을 재설정한 다음은 도메인에 다시 가입하면 보안 채널이 재설정됩니다. 그러나 항상 가능한 것은 아닙니다.

​​​​SYSVOL의 문제
그룹 정책 템플릿 파일은 도메인의 모든 DC에 있는 SYSVOL 공유에 저장됩니다. SYSVOL 데이터는 FRS(File Replication System) 또는 DFSR(Distributed File System Replication)을 사용하여 DC 간에 복제됩니다. SYSVOL 공유가 DC에 없으면 일반적으로 SYSVOL 복제에 문제가 있음을 나타냅니다.

클록 스큐
기본적으로 Kerberos 인증에서는 도메인에 가입된 시스템의 시계가 서로 5분 이내일 것을 요구합니다. 이 임계값을 초과하면 인증에 실패하여 그룹 정책이 처리되지 않습니다. 한 가지 예외를 제외하고 도메인의 모든 항목이 클록을 AD와 동기화하도록 구성되어야 합니다. PDC 에뮬레이터 FSMO 역할을 수행하는 DC는 도메인의 신뢰할 수 있는 시간 소스입니다. 따라서 공용 NTP 서버와 같은 외부 소스와 동기화해야 하는 유일한 도메인 내 시스템입니다.

Windows 시간 서비스 구성에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

누락된 그룹 정책 파일
하나 이상의 그룹 정책 파일이 SYSVOL의 스토리지 위치에서 삭제되었을 수 있습니다. 파일 탐색기에서 SYSVOL\DOMAIN\Policies로 이동해 Userenv 오류에 언급된 특정 파일을 찾아 이 문제를 확인합니다. 각 GPO에 대한 파일은 Policies 폴더의 하위 폴더에 있습니다. 각 하위 폴더의 이름은 해당 파일이 포함된 GPO의 16진수 GUID(Globally Unique Identifier)를 따서 지정됩니다.

정책 파일이 모든 DC에서 누락된 것으로 확인되면 백업에서 복원할 수 있습니다. 기본 도메인 정책 또는 기본 도메인 컨트롤러 정책 파일이 누락되고 사용 가능한 백업이 없는 경우 dcgpofix 명령으로 두 정책을 모두 기본 설정으로 복원할 수 있습니다.

 dcgpofix 명령에 대한 자세한 내용은 여기에서 확인할 수 있습니다.