Windows Server: Active Directory 도메인 컨트롤러에서 손상된 보안 채널 식별 및 복구

Summary: 이 문서에서는 Active Directory DC(도메인 컨트롤러)에서 손상된 보안 채널을 식별하고 복구하는 방법을 보여 줍니다.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • 영향을 받는 DC와 도메인의 다른 DC 간에 복제가 실패합니다. 실패 이유는 다양할 수 있지만 "대상 보안 주체 이름이 잘못되었습니다"는 손상된 보안 채널을 나타내는 강력한 지표입니다.
    • 이 오류와 관련된 결과 코드에는 -21468930220x80090322가 포함됩니다. 이러한 코드는 다음에 나타날 수 있습니다. repadmin 디렉토리 서비스 이벤트 로그의 출력 또는 이벤트.
  • "워크스테이션과 주 도메인 사이의 트러스트 관계에 이상이 있습니다."는 손상된 보안 채널과 관련된 또 다른 오류입니다.
  • 영향을 받는 DC가 DNS 서버인 경우 해당 DC에 연결할 때 DNS 관리자 콘솔에서 "액세스 거부" 오류가 발생할 수 있습니다.

Cause

DC의 컴퓨터 계정 암호 복사본이 AD(Active Directory) 데이터베이스에 저장된 해당 암호와 일치하지 않습니다. 이러한 암호가 다르면 보안 채널을 설정할 수 없습니다. AD의 컴퓨터 계정 암호에 대한 자세한 내용은 아래의 추가 정보 에서 확인할 수 있습니다.

Resolution

Test-ComputerSecureChannel PowerShell 명령을 -Repair 스위치는 DC에서 손상된 보안 채널을 복구할 수 있습니다. (다른 방법도 있지만 이 명령은 간단하고 간단합니다.) 영향을 받는 DC에서 다음 단계를 수행하여 보안 채널을 복구합니다.

  1. 도메인에 DC가 하나만 있는 경우 이 단계를 건너뜁니다. Kerberos KDC(Key Distribution Center ) 서비스를 중지하고 시작 유형을 사용 안 함으로 설정합니다.
    도메인의 다른 DC에서 이 작업을 수행해야 할 수도 있지만 서비스는 하나 이상의 DC에서 계속 실행되어야 합니다. 아래의 추가 정보를 참조하십시오.
  2. 관리자 권한 PowerShell 프롬프트를 시작합니다.
  3. Windows 업그레이드를 실행하라는 프롬프트에 아래 내용이 표시될 때까지 klist purge 을 클릭하여 기존 Kerberos 티켓을 삭제합니다.
  4. Windows 업그레이드를 실행하라는 프롬프트에 아래 내용이 표시될 때까지 Test-ComputerSecureChannel -server <good_dc> -repair -verbose.
    good_dc KDC 서비스가 실행 중인 DC의 이름 또는 IP 주소로 바꿉<니다.>
  5. 명령의 출력은 보안 채널이 성공적으로 복구되었음을 나타내야 합니다.
    보안 채널의 성공적인 복구를 보여 주는 Test-ComputerSecureChannel 명령의 출력입니다. 그림 1: 보안 채널이 성공적으로 복구되었습니다.
  6. 영향을 받는 DC에서 AD 복제를 강제로 수행하고 성공 여부를 확인합니다.
  7. 모든 DC에서 KDC 서비스의 시작 유형을 자동으로 다시 설정하고 서비스를 시작합니다. (즉, 1단계에서 수행한 작업을 실행 취소합니다.)

Additional Information

Active Directory의 컴퓨터 계정 암호

도메인에 가입된 모든 컴퓨터에는 AD 데이터베이스에 컴퓨터 계정이 있습니다. 사용자 계정과 마찬가지로 이러한 컴퓨터 계정에는 연결된 암호가 있습니다. 이러한 암호는 도메인의 디바이스 간에 보안 통신 경로( 보안 채널)를 설정하는 데 사용됩니다. 각 컴퓨터는 암호의 복사본을 로컬로 저장하고 다른 복사본은 AD 데이터베이스에 저장합니다. 컴퓨터 계정 암호는 만료되지 않으며 사용자가 수동으로 유지 관리할 필요가 없습니다. 사용자 계정 암호에 대해 설정된 암호 정책에서 제외됩니다.

기본적으로 도메인에 가입된 컴퓨터는 30일마다 암호를 변경하려고 시도하지만 이 간격은 변경할 수 있습니다. 암호 변경은 AD 내의 메커니즘이 아닌 도메인에 가입된 컴퓨터에 의해 시작됩니다. DC에 연결할 수 있는 경우 컴퓨터의 로컬 암호 복사본과 AD에 저장된 복사본이 모두 변경됩니다. 컴퓨터가 DC에 연결할 수 없는 경우 암호의 로컬 복사본을 변경하지 않습니다.

이러한 원칙은 도메인에 가입된 다른 컴퓨터에 적용되는 것처럼 DC에 적용됩니다. DC의 컴퓨터 계정 암호 로컬 복사본이 AD에 저장된 복사본과 동기화되지 않을 수 있습니다. 이는 드물지만 단일 DC 도메인에서도 가능합니다.

 

Kerberos KDC(Key Distribution Center) 서비스 중지

도메인에 여러 DC가 있는 경우 영향을 받는 DC에서 KDC 서비스를 중지해야 합니다. 서비스가 시작되지 않도록 서비스의 시작 유형을 사용 안 함으로 설정하는 것이 좋습니다. 문제의 범위와 도메인의 DC 수에 따라 다른 DC에서도 서비스를 중지해야 할 수 있습니다. 도메인의 다른 모든 DC가 서로 동기화되는 경우(오류 없이 복제됨) 영향을 받는 DC에서만 서비스를 중지하고 사용하지 않도록 설정합니다. 그렇지 않으면 복제에 실패한 DC에서 중지하고 사용하지 않도록 설정합니다. 하나 이상의 DC에서 실행 중인 상태로 두어야 합니다. 가능한 경우 하나를 제외한 모든 DC에서 서비스를 중지하고 해당 DC를 -server 4단계의 스위치를 사용하면 좋은 결과를 얻을 수 있습니다.

Affected Products

Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows Server 2025
Article Properties
Article Number: 000312106
Article Type: Solution
Last Modified: 27 May 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.