‘Active Directory 도메인 컨트롤러에 연락할 수 없음’ 오류 수정

튜토리얼

모든 IT 관리자는 Active Directory 환경에서 기기를 관리할 때 이러한 상황에 처해 있습니다. Active Directory (AD) 도메인에 컴퓨터를 추가하려고 할 때 “Active Directory 도메인 컨트롤러에 연결할 수 없음”이라는 공포의 오류가 발생합니다. 이 문제를 진단하고 해결하는 단계를 배워봅시다.

A FREE read only tool that scans your AD and generates multiple interactive reports for you to measure the effectiveness of your password policies against a brute-force attack. Download Specops Password Auditor now!

An Active Directory Domain Controller Could not be Contacted

이 오류는 DNS와 관련이 있습니다. 주요 문제는 컴퓨터가 AD 도메인에 가입하기 위해 필요한 적절한 SRV DNS 레코드를 찾지 못했다는 것입니다.

I’ve put together a few steps for you to follow to fix this error and get your computer joined to your domain.

먼저 처음부터 올바른 DNS 서버를 사용하고 있는지 확인하세요.

너무 멀리 떨어져 있지 않도록 하기 위해 먼저 올바른 DNS 서버를 사용하는지 확인하세요.

Active Directory와 DNS는 특별한 관계가 있습니다. 도메인 컨트롤러는 알고 있는 DNS 서버에 특정 레코드를 등록합니다. 이는 _ldap._tcp.dc.msdcs.<도메인명> 영역에 저장되며 도메인 컨트롤러와 같은 리소스를 AD에 가입된 장치가 찾을 수 있도록 도와줍니다. SRV 레코드는 AD 통합되지 않은 DNS 서버에는 없을 것입니다.

이 문제를 해결하려면 다음 중 하나를 사용해야 합니다:

  • AD 통합 DNS 서버
  • A DNS server that replicates records from an AD aware DNS server
  • A DNS server that has forwarding set up to query either an AD-integrated DNS server or a DNS server with replicated records

사용 중인 DNS 서버가 위의 두 가지 중 하나인지 확인하려면 PowerShell 세션에서 기존 도메인 가입 컴퓨터에서 다음 명령을 실행하세요:

PS C:\> Get-DnsClientServerAddress

InterfaceAlias               Interface Address ServerAddresses
                             Index     Family
--------------               --------- ------- ---------------
Ethernet                             9 IPv4    {10.0.0.101}
Ethernet                             9 IPv6    {}
Loopback Pseudo-Interface 1          1 IPv4    {}
Loopback Pseudo-Interface 1          1 IPv6    {fec0:0:0:ffff::1, fec0:0:0:ffff::2, fec0:0:0:ffff::3}

ServerAddesses 열 아래에서 얻은 응답은 해당 컴퓨터에서 사용되는 DNS 서버입니다. 확인할 다른 도메인 클라이언트가 없는 경우 이 정보를 얻기 위해 네트워크 팀에 문의해야 합니다.

컴퓨터의 DNS 클라이언트 설정을 변경하려면 PowerShell의 Set-DnsClientServerAddress cmdlet을 사용하거나 컴퓨터의 네트워크 카드의 IPv4 속성 대화 상자를 통해 변경할 수 있습니다. 이는 제어판 -> 네트워크 -> 인터넷 -> 네트워크 연결로 이동하여 얻을 수 있습니다.

네트워크 연결 창에 들어가면 네트워크 카드를 마우스 오른쪽 버튼으로 클릭하고 속성을 선택한 다음 인터넷 프로토콜 버전 4 (TCP/IPv4)를 선택하고 속성을 클릭합니다.

IPv4 properties dialog

네트워크가 동적 호스트 구성 프로토콜 (DHCP)을 사용하는 경우, 자동으로 IP 주소 받기DNS 서버 주소 자동으로 받기 옵션이 선택되어 있는지 확인합니다.

네트워크가 DHCP를 사용하지 않는 경우, 기본 DNS 서버대체 DNS 서버 값을 이전에 얻은 올바른 값으로 업데이트합니다.

진짜 오류 찾기

컴퓨터가 올바른 DNS 서버를 가지고 있는지 확인한 후에는 조금 더 심층적으로 파고들어야 합니다.

컴퓨터를 도메인에 가입하려고 할 때, “Active Directory 도메인 컨트롤러에 연결할 수 없음”이라는 오류가 발생하지만 이는 “진짜” 오류 메시지가 아닙니다. 조금 더 파고들어야 합니다.

오류 대화 상자에서 세부 정보 >> 버튼을 찾을 수 있습니다. 클릭하면 이 오류를 더 잘 해결할 수 있는 상세한 정보가 나타납니다.

Expanded details view of the error dialog

텍스트 상자의 내용을 선택하여 복사하여 텍스트 뷰어에 붙여넣거나 해당 컴퓨터의 C:\windows\debug\dcdiag.txt 파일에서 동일한 정보를 찾을 수도 있습니다. 이 파일은 오류가 발생할 때 Windows에서 생성됩니다.

오류 텍스트에는 몇 가지 주요 정보가 포함되어 있습니다. 아래 예시에서 각각의 정보를 번호와 굵은 글씨로 표시했습니다:

  • 컴퓨터가 가입하려고 시도한 도메인 이름 (1)
  • 오류 코드 (2)
  • 수행된 DNS 쿼리 (3)
  • 컴퓨터가 쿼리한 DNS 서버(있는 경우) (4)

참고: 이 정보는 네트워크 관리자를 대상으로 합니다. 네트워크 관리자가 아닌 경우 이 정보를 받았다는 것을 관리자에게 통보하세요. 이 정보는 C:\windows\debug\dcdiag.txt 파일에 기록되었습니다.

도메인 “carisbrookelabs.local”의 Active Directory 도메인 컨트롤러(AD DC)를 찾기 위해 서비스 위치(SRV) 리소스 레코드에 대한 DNS 쿼리를 수행하는 동안 다음 오류가 발생했습니다.(1):

오류: “DNS 이름이 존재하지 않습니다.”
(오류 코드 0x0000232B RCODE_NAME_ERROR) (2)

쿼리한 SRV 레코드는 _ldap._tcp.dc._msdcs.carisbrookelabs.local입니다. (3)

이 오류의 일반적인 원인은 다음과 같습니다:

도메인의 AD DC를 찾기 위해 필요한 DNS SRV 레코드가 DNS에 등록되어 있지 않습니다. 이러한 레코드는 AD DC가 도메인에 추가될 때 자동으로 DNS 서버에 등록됩니다. AD DC에서 일정 간격으로 업데이트됩니다. 이 컴퓨터는 다음 IP 주소를 사용하는 DNS 서버로 구성되어 있습니다:

8.8.4.4
8.8.8.8 (4)

다음 중 하나 이상의 영역이 자식 영역으로의 위임을 포함하지 않습니다: carisbrookelabs.local

local
. (루트 영역)

0x0000267C DNS_ERROR_NO_DNS_SERVER

이 오류는 DNS 서버를 찾을 수 없어 쿼리를 시도하지 못했음을 나타냅니다. 기회도 없었습니다. 이는 일반적으로 DNS 서버로의 네트워크 연결이 없는 경우입니다.

네트워크 연결 없이 컴퓨터를 가입할 수 있는 오프라인 도메인 가입도 가능하나, 이는 이 문서의 범위를 벗어납니다.

네트워크 연결 문제 해결

이 오류 메시지가 표시되면 네트워크 문제 해결을 시작해야 합니다.

  1. 네트워크 어댑터가 활성화되어 있고 다른 네트워크 리소스에 연결할 수 있는지 확인하세요.
  2. IP 주소와 DNS 서버가 구성되어 있는지 확인하세요.

ipconfig /all을 실행하여 IP 주소와 DNS 서버를 확인할 수 있습니다.

IP 주소가 있고 다른 네트워크 자원에 액세스 할 수 있는 경우 컴퓨터와 DNS 서버 간의 연결을 테스트해야합니다.

이를 위해 ping과 PowerShell의 Test-Connection cmdlet을 사용할 수 있습니다. 이 두 가지 유틸리티 중 하나를 사용하여 DNS 서버에 대한 연결을 테스트하십시오. 인터넷 제어 메시지 프로토콜 (ICMP) 트래픽이 네트워크에서 허용되면 응답을 받아야합니다. 오류 또는 타임 아웃이 발생하면 라우팅과 같은 네트워킹 문제가 발생할 수 있습니다. 문제를 해결하기 위해 네트워킹 팀에 문의 한 후 다시 시도하십시오.

DNS 연결 확인

네트워크 연결이 작동하는 것을 확인한 후 컴퓨터가 DNS 서버로 TCP/53을 통해 연결할 수 있는지 확인해야합니다.

도메인에 대한 FQDN과 함께 Resolve-DNSName PowerShell cmdlet을 사용해보십시오. 이렇게하면 하나 이상의 DNS 서버 레코드가 반환됩니다:

PS C:\> Resolve-DNSName carisbrookelabs.local


Name                                           Type   TTL   Section	IPAddress
----                                       	----   ---   -------	---------
carisbrookelabs.local                      	A  	600   Answer 	10.0.0.103
carisbrookelabs.local                      	A  	600   Answer 	10.0.0.102
carisbrookelabs.local                      	A  	600   Answer 	10.0.0.101

오류가 발생하면 기계와 DNS 서버 간에 IP 트래픽을 차단하는 것이 없는지 확인하는 것이 좋습니다. (DNS 트래픽에 사용되는 포트 53 번 포트)

포트 53의 연결성을 간단하게 확인할 수 있는 방법은 Test-NetConnection cmdlet을 사용하는 것입니다( Test-Connection cmdlet과 혼동하지 마십시오):

PS C:\> Test-NetConnection -Port 53 -ComputerName <DNSSERVERHERE>
True

연결이 성공하면 True라는 응답을 받고, 실패하면 False라는 응답을 받을 것입니다. 연결 실패는 DNS 서버의 네트워크 또는 호스트 기반 방화벽으로 인한 것일 수 있습니다.

0x0000232B RCODE_NAME_ERROR

이 오류는 DNS 서버를 찾을 수 있었지만 SRV 레코드를 찾을 수 없는 것을 의미합니다. 이 오류는 조금 더 문제 해결이 필요합니다.

도메인 FQDN을 사용하는지 확인하십시오

간단한 것처럼 보이지만, 입력한 이름이 가입하려는 도메인의 완전히 정규화된 도메인 이름(FQDN)과 일치하는지 확인하십시오. 이는 서버 이름이 아닌 도메인 이름이어야 합니다. 예를 들어, carisbrookelabs.local을 사용하고 WIN-3467RQTHJH5.carisbrookelabs.local을 사용하지 않습니다.

의심스러울 경우, 기존 도메인 클라이언트의 도메인 이름을 확인하십시오. 기존 도메인 클라이언트에서 이 PowerShell 명령을 실행하여 적절한 도메인 이름을 찾을 수 있습니다.

PS51> (Get-CimInstance Win32_ComputerSystem).Domain
carisbrookelabs.local

NETBIOS 이름(예: contoso) 대신 FQDN(예: contoso.local)을 사용하려고 할 경우, 컴퓨터 가능성 있음 도메인을 찾을 수 있지만 Windows는 이름을 여전히 FQDN으로 처리합니다.

NETBIOS 이름을 입력하고 WINS 인프라가 없으면 수정하려는 오류가 발생합니다. NETBIOS 이름 대신에 항상 FQDN을 사용하십시오.

Typing an FQDN in the Computer/Domain Changes dialog

DNS 레코드 확인

이 단계에서는 Resolve-DNSName을 다시 사용합니다. 이번에는 도메인에 가입을 시도할 때 검색되지 않은 DNS 레코드를 사용합니다. 시작 부분에서 언급한 dcdiag.txt 파일이나 이전에 가져온 오류 텍스트의 복사본에서 복사하여 붙여넣으십시오. 이렇게 하면 밑줄과 대시로 인한 오타를 방지할 수 있습니다.

명령은 다음과 같아야 합니다:

PS C:\> Resolve-DNSName _ldap._tcp.dc._msdcs.carisbrookelabs.local


Name                    	Type TTL   Section	PrimaryServer           	NameAdministrator       	SerialNumber
----                    	---- ---   -------	-------------           	-----------------       	------------
_msdcs.carisbrookelabs.loca SOA  3600  Authority  WIN-3467RQTHJH5.carisbrooke hostmaster.carisbrookelabs. 419
l                                             	labs.local              	local

Specops Password Auditor 도구를 사용하여 Active Directory를 스캔하고 9억 3천만 개의 알려진 비밀번호 유출 취약점을 식별하세요. 지금 다운로드하세요!

이 명령에 대한 응답으로 DNS 이름이 존재하지 않음이라는 메시지가 표시되면 DNS에 문제가 있습니다.

  • 올바른 DNS 서버를 사용하는지 확인하십시오.
  • 관련 레코드가 삭제되지 않았는지 확인하십시오.

Resolve-DNSName _msdcs.<도메인이름>에 대한 긍정적인 응답을 받았지만 Resolve-DNSName _ldap._tcp.dc._msdcs.<도메인이름>에서 DNS 이름이 존재하지 않음을 받은 경우 레코드가 누락되었을 수 있습니다.

각 DC에서 ipconfig /registerdns 명령을 사용하여 도메인 컨트롤러의 DNS 레코드를 다시 등록하세요. 레코드가 표시되는 데 몇 분 정도 소요될 수 있습니다.

Resolve-DNSName을 사용하여 필요한 DNS 레코드의 존재 여부를 확인할 수 있는 경우 작업을 진행할 수 있습니다.

요약

이 문서에서는 “Active Directory 도메인 컨트롤러에 연결할 수 없음” 오류를 해결하는 데 도움이 되는 몇 가지 단계를 알아보았습니다. 이러한 문서에서는 모든 시나리오를 다루는 것은 불가능하지만, 이 과정이 도움이 되어 올바른 경로로 안내되기를 바랍니다!

추가 자료

Source:
https://adamtheautomator.com/an-active-directory-domain-controller-could-not-be-contacted/