내보내기(0) 인쇄
모두 확장

도메인 컨트롤러 진단 도구(dcdiag.exe)

업데이트 날짜: 2010년 2월

적용 대상: Windows Server 2003 with SP1

DCDiag.exe의 기능은 무엇입니까?

이 명령줄 도구는 포리스트에 있는 하나 또는 전체 도메인 컨트롤러의 상태를 분석하고 문제 해결에 도움이 되는 모든 문제를 보고합니다. DCDiag.exe는 개별적으로 또는 제품군의 일부로 실행되어 도메인 컨트롤러 상태를 확인할 수 있는 다양한 테스트로 구성되어 있습니다.

도구 요구 사항

  • 아래에 특별히 언급된 경우를 제외하고 DCDiag의 모든 명령은 Windows XP Professional과 Windows Server 2003 제품군(구성원 서버와 도메인 컨트롤러)에서 실행할 수 있습니다.

  • 새로운 DCDIAG /TEST:DNS 명령이 Windows XP나 Windows Server 2003 구성원 컴퓨터 또는 Windows Server 2003 도메인 컨트롤러의 콘솔에서 실행될 때 Windows 2000 Server(SP3 이상) 또는 Windows Server 2003 제품군 도메인 컨트롤러의 DNS 상태를 확인할 수 있습니다.

이 기능의 적용 대상은 누구입니까?

이 기능의 적용 대상은 다음과 같습니다.

  • DNS 관리자

  • 도메인 컨트롤러 관리자

  • DCDiag.exe 사용자

Windows Server 2003 서비스 팩 1에서 이 기능에 추가된 새로운 기능은 무엇입니까?

Windows Server 2003 서비스 팩1에서는 다음과 같은 두 가지 DCDiag의 기능이 크게 향상되었습니다.

  • DCDIAG /TEST:DNS: DNS 상태 확인

  • DCDIAG /CheckSecurityError : Active Directory 복제 실패의 원인이 될 수 있는 보안 구성 검색.

이와 같이 새롭게 향상된 기능에 대한 자세한 내용은 아래 설명되어 있습니다.

새 DNS 진단 테스트

자세한 설명

DCDiag.exe는 도메인 컨트롤러의 전반적인 DNS 상태를 보고하는 새로운 DNS 기능을 포함하도록 Windows Server 2003 서비스 팩 1에 적합하게 향상되었습니다. 개별적으로 또는 동시에 실행할 수 있는 새로운 DNS 관련 테스트가 일곱 가지 있습니다. 이러한 테스트는 Active Directory 포리스트에 있는 하나 또는 전체 도메인 컨트롤러에서 수행할 수 있습니다. 테스트가 완료되면 DCDiag.exe는 테스트된 각 도메인 컨트롤러의 자세한 정보와 함께 결과를 요약하여 표시합니다.

note참고
새 DNS 테스트는 Enterprise Admin 자격 증명을 필요로 합니다.

새 DNS 테스트는 Windows 2000 Server SP3 이상 또는 Windows Server 2003 제품군 도메인 컨트롤러에 대해서만 실행할 수 있습니다.

명령줄 구문

Windows Server 2003 SP1 dcdiag는 이전 버전의 dcdiag와 동일한 기본 구문을 사용합니다. 새 DNS 테스트를 실행하기 위한 구문은 다음과 같습니다.

Dcdiag /test:DNS [/DnsBasic | /DnsForwarders | /DnsDelegation | /DnsDynamicUpdate | /DnsRecordRegistration | /DnsResolveExtName [/DnsInternetName: InternetName ] | /DnsAll] [/f: Logfile ] [/ferr: Logerr ] /S: DCName [/e] [/v]

 

매개 변수 설명

/test:DNS

범위가 지정된 도메인 컨트롤러 집합에 대해 /DnsInternetName 테스트를 제외한 7가지 모든 하위 테스트를 수행합니다. 가장 일반적인 DCDIAG 명령줄 인수는 단일 도메인 컨트롤러(DC)에 대해 6가지 기본 DNS 하위 테스트를 실행하는 DCDIAG /TEST:DNS /V /S:DCNAME 또는 콘솔 컴퓨터의 테스트 포리스트에 있는 모든 DC에 대해 6가지 기본 DNS 하위 테스트를 실행하는 DCDIAG /TEST:DNS /V /E입니다. DCDIAG /TEST:DNS는 개별 하위 테스트가 정의되지 않은 경우 /DnsAll 명령과 동일합니다.

/test:DNS [DNS test]

지정한 DNS 테스트를 수행합니다. 테스트를 지정하지 않으면 기본 명령은 /DnsAll입니다.

/DnsBasic

네트워크 연결 테스트, DNS 클라이언트 구성 테스트, 서비스 가용성 테스트 및 영역 존재 테스트를 포함하는 기본 DNS 테스트를 수행합니다.

/DnsForwarders

/DnsBasic 테스트를 수행하고 전달자의 구성도 검사합니다.

/DnsDelegation

/DnsBasic 테스트를 수행하고 올바른 위임에 대해 검사합니다.

/DnsDynamicUpdate

/DnsBasic 테스트를 수행하고 Active Directory 영역에 동적 업데이트가 설정되어 있는지 확인합니다.

/DnsRecordRegistration

/DnsBasic 테스트를 수행하고 A, CNAME 및 잘 알려진 SRV 레코드가 등록되어 있는지 검사합니다. 또한 결과를 기반으로 인벤터리 보고서를 작성합니다.

/DnsResolveExtName [/DnsInternetName: InternetName ]

/DnsBasic 테스트를 수행하고 예제 인트라넷 또는 인터넷 이름을 확인합니다. /DnsInternetName이 지정되어 있지 않으면 명령은 해당 이름인 name www.microsoft.com을 확인하려고 시도합니다. /DnsInternetName이 지정되어 있으면 명령은 사용자가 제공한 인터넷 이름을 확인하려고 시도합니다.

/DnsAll

DnsResolveExtName 테스트를 제외한 모든 테스트를 수행하고 보고서를 생성합니다.

/f: Logfile

출력을 사용자가 지정한 로그 파일로 리디렉션합니다.

/ferr: Logerr

오류 출력을 별도의 로그 파일로 리디렉션합니다.

/s: DCName

테스트를 실행할 도메인 컨트롤러를 지정합니다.

/e

/test:DNS로 지정된 모든 테스트는 Active Directory 포리스트의 모든 도메인 컨트롤러에 대해 실행됩니다.

/v

자세한 정보 표시. 오류와 경고에 대한 정보와 함께 성공적인 테스트 결과에 대한 정보를 표시합니다. /v 매개 변수를 사용하지 않으면 오류와 경고 정보만 표시됩니다. 요약 표에 오류나 경고가 보고되면 /v 스위치를 사용하는 것이 좋습니다.

엔터프라이즈 DNS 인프라 테스트(/e)

  • /test:DNS/e 매개 변수와 함께 실행될 때 test:/DNS에 의해 지정된 모든 테스트는 Active Directory 포리스트의 모든 도메인 컨트롤러에 대해 실행됩니다.

note참고
/e 매개 변수를 사용할 때 대규모 기업에서는 DNS 테스트의 실행 시간이 중요할 수 있습니다. 오프라인 상태인 도메인 컨트롤러와 DNS 서버는 RPC와 기타 프로토콜의 시간 초과 기간이 길기 때문에 실행 시간을 증가시킵니다.

연결 테스트

  • 연결 테스트는 필수 테스트이고 dcdiag의 다른 테스트를 실행하기 전에 자동으로 실행됩니다.

  • 연결 테스트는 도메인 컨트롤러가 DNS에 등록되어 있으며 ping 명령이 작동하는지 LDAP/RPC 연결을 갖고 있는지 등을 결정합니다.

  • 컨트롤러에 대해 연결 테스트가 실패하면 해당 도메인 컨트롤러에 대해 다른 테스트는 실행되지 않습니다.

note참고
연결 테스트는 SP1에서 변경되지 않았지만 참조용으로 이 문서에 포함되어 있습니다.

기본 DNS 테스트(/DnsBasic)

  • 기본 DNS 테스트는 dcdiag로 테스트되는 도메인 컨트롤러에 다음과 같은 필수 서비스가 실행 중이며 사용 가능한지 확인합니다.

    • DNS 클라이언트 서비스

    • Netlogon 서비스

    • KDC 서비스

    • DNS Server 서비스(도메인 컨트롤러에 DNS가 설치되어 있는 경우)

  • 기본 DNS 테스트는 모든 어댑터에서 DNS 서버에 도달할 수 있는지 확인하여 각 도메인 컨트롤러에 대해 네트워크 연결을 확인합니다.

  • 기본 DNS 테스트는 각 도메인 컨트롤러의 A 레코드가 클라이언트에 구성된 DNS 서버 중 적어도 하나에 등록되어 있는지 확인합니다.

  • 도메인 컨트롤러에 DNS Server 서비스가 실행 중일 경우 기본 DNS 테스트는 Active Directory 도메인 영역이 존재하고 해당 Active Directory 도메인 영역에 대한 SOA 레코드가 존재하는지 확인합니다.

  • 기본 DNS 테스트는 루트(.) 영역이 있는지 확인합니다.

전달자 테스트(/DnsForwarders)

note참고
도메인 컨트롤러가 Microsoft DNS Server 서비스를 실행 중일 때만 이 테스트가 실행됩니다.

  • 전달자 테스트는 재귀의 사용 여부를 결정합니다.

  • 전달자 또는 루트 힌트가 구성되어 있는 경우 전달자 테스트는 DNS 서버의 모든 전달자나 루트 힌트가 작동하는지 확인하고 _ldap._tcp.<포리스트 루트 도메인> DC Locator 레코드가 해결되는지 확인합니다. _ldap_tcp.<포리스트 루트 도메인> DC Locator 레코드의 확인은 포리스트 루트 도메인 컨트롤러에 구성된 전달자와 루트 힌트에 대해 시도되지 않습니다.

위임 테스트(/DnsDelegation)

note참고
도메인 컨트롤러가 Microsoft DNS Server 서비스를 실행 중일 때만 이 테스트가 실행됩니다.

  • 위임 테스트는 위임된 이름 서버가 작동 중인 DNS Server인지 확인합니다.

  • 위임 테스트는 끊어진 위임에 대해 검사합니다. 대상 도메인 컨트롤러가 있는 Active Directory 도메인 영역의 모든 NS 레코드에 대해 해당 연결 A 레코드가 있는지 확인합니다.

동적 업데이트 테스트(/DnsDynamicUpdate)

  • 동적 업데이트 테스트는 Active Directory 도메인 영역이 보안된 동적 업데이트로 구성되어 있으며 테스트 레코드(_dcdiag_test_record)를 제대로 등록하는지 확인합니다. 이 테스트 레코드는 삭제됩니다.

레코드 등록 테스트(/DnsRecordRegistration)

  • 레코드 등록 테스트는 도메인 컨트롤러의 각 어댑터에 구성된 모든 DNS Server에 모든 필수 DC Locator 레코드가 등록되었는지 확인합니다. 이 테스트는 다음과 같은 레코드를 반환합니다.

     

    레코드 설명

    CNAME GUID

    DNS 서버의 CNAME(정식 이름)으로 등록된 GUID.

    A

    호스트 주소(A) 리소스 레코드. DNS 도메인 이름을 IP(인터넷 프로토콜) 버전 4, 32비트 주소로 매핑합니다.

    LDAP SRV

    LDAP 서비스에 대한 SRV(서비스 로케이터) 리소스 레코드.

    GC SRV

    GC(글로벌 카탈로그) 서버에 대한 SRV(서비스 로케이터) 리소스 레코드.

    PDC SRV

    PDC(주 도메인 컨트롤러)에 대한 SRV(서비스 로케이터) 리소스 레코드.

외부 이름 확인 테스트(/DnsResolveExtName)

note참고
외부 이름 확인 테스트는 /DnsResolveExtName을 사용하여 명시적으로 지정했을 때만 실행됩니다. /DnsAll의 일부로 실행되지는 않습니다.

  • 외부 이름 확인 테스트는 예제 인터넷 이름(www.microsoft.com)이나 사용자 제공 인터넷 이름을 사용하여 지정된 클라이언트에서 외부 DNS의 기본 이름 확인을 검사합니다.

  • 외부 이름 확인 테스트는 프록시 서버가 사용 중인 환경에서 외부 인터넷 이름을 확인할 수 없습니다.

  • 인트라넷 또는 인터넷 이름을 사용하여 이름 확인을 테스트할 수 있습니다.

  • 기본 이름인 www.microsoft.com 대신에 사용자 제공 인터넷 이름이나 인트라넷 이름을 확인하려면 /DnsInternetName 매개 변수를 사용해야 합니다.

DNS 기능 향상된 dcdiag의 출력을 읽는 방법

다음 절차는 DNS 기능 향상된 dcdiag의 실행 결과를 해석하는 방법을 요약하여 단계별로 제공합니다.

  1. dcdiag test:DNS /e /f:dns.txt를 실행합니다. 자세한 정보를 보려면 항상 /v 스위치를 사용하는 것이 좋습니다.

  2. 메모장이나 호환 편집기로 보고서를 엽니다.

  3. 보고서 끝으로 이동하여 요약 표를 읽습니다.

  4. 요약 표에서 하위 테스트에 대해 "경고" 또는 "실패" 상태를 반환한 서버를 확인합니다.

  5. 해당 서버의 출력 부분을 검토하여 발견된 문제가 무엇인지 확인합니다. 편집 메뉴의 찾기 명령을 사용하여 따옴표 없이 "DC: DC_computername"을 검색하여 해당 DC의 세부 정보 영역을 찾습니다.

  6. 필요에 따라 DNS 클라이언트나 DNS 서버의 문제를 해결합니다.

  7. dcdiag /test:DNS /v /e 또는 /s:DCName을 다시 실행하여 수정되었는지 확인합니다. 모든 실패를 확인하고 해결할 때까지 필요한 만큼 1단계부터 6단계까지 반복합니다.

경고와 오류

Dcdiag 명령은 문제의 가능성이 있거나 권장되는 구성을 준수하지 않거나 dcdiag가 유효성을 완전하게 검사할 수 없는 DNS 클라이언트나 DNS 서버 구성을 확인하는 방식으로 보수적인 접근법을 사용합니다. 그러므로 dcdiag의 요약 및 세부 정보 섹션에는 현재 작동 중인 DNS 구성에 대한 경고가 들어 있을 수도 있습니다. 관리자는 dcdiag에 의해 확인된 그러한 구성을 조사하고 유효성을 검사해야 합니다.

아래 표에는 각 DNS 하위 테스트의 dcdiag에서 경고나 오류의 원인으로 보고할 수 있는 구성이 들어 있습니다.

기본 사항

 

경고 추가 정보

경고: <어댑터 이름> 어댑터에 동적 IP 주소가 있습니다.

모든 DNS 서버에 고정 IP 주소를 사용하는 것이 좋습니다.

경고: <어댑터 이름> 어댑터에 잘못된 DNS 서버가 있습니다. <이름> <IP 주소>

DNS 서버에 도달할 수 없습니다.

경고: DNS RPC 연결 없음(오류 또는 Microsoft가 아닌 DNS 서버 실행 중)

DNS 서버가 BIND이거나 Microsoft DNS 서버가 아닌 서버일 경우 이 경고를 무시합니다.

경고: DC/DNS 서버의 Active Directory 영역을 찾을 수 없습니다.

N/A

경고: DC/DNS 서버의 루트 영역을 찾을 수 없습니다.

N/A

 

오류 추가 정보

오류: 지정한 자격 증명으로 인증할 수 없습니다.

모든 테스트를 실행하려면 DCDIAG는 엔터프라이즈 관리자 자격 증명이 필요합니다.

오류: LDAP 연결 없음

N/A

오류: DS RPC 연결 없음

N/A

오류: WMI 연결 없음

DNS 테스트를 원격 컴퓨터에서 실행하려면 WMI 연결이 필요합니다.

오류: WMI를 통해 운영 체제의 버전을 읽을 수 없습니다.

원격 컴퓨터에 WMI 연결이 없는 것이 원인일 수도 있습니다.

오류: <Operating system name>은 지원되지 않습니다. 이 도구는 Windows 2000, Windows XP 및 Windows Server 2003에서만 지원됩니다.

N/A

오류: 서비스 제어 관리자를 열 수 없습니다.

서비스의 실행 여부를 판단할 수 없습니다.

오류: Kdc/netlogon/DNS/dnscache가 실행되고 있지 않습니다.

일부 핵심 서비스가 실행되고 있지 않습니다.

오류: WMI를 통해 네트워크 어댑터 정보를 읽을 수 없습니다.

N/A

오류: 모든 DNS 서버가 유효하지 않습니다.

클라이언트가 가리키는 DNS 서버가 도달 가능한 상태가 아니거나 DNS 서버가 아니거나 잘못된 IP 주소를 갖고 있습니다.

오류: DC의 A 레코드를 찾을 수 없습니다.

모든 DC는 A 레코드를 등록해야 합니다. 클라이언트가 가리키는 모든 DNS 서버에 A 레코드가 등록되어 있는지 확인하십시오.

오류: 영역 열거에서 루트와 AD 영역을 찾을 수 없습니다.

N/A

오류: DC에서 DNS 영역을 쿼리할 수 없습니다.

DC가 등록해야 하는 영역이 존재하는지 확인합니다.

전달자

 

오류 추가 정보

오류: 전달자 목록에 잘못된 전달자가 들어 있습니다. <IP address of the forwarder>

DNS 서버에 구성된 전달자가 잘못된 IP 주소를 사용하고 있거나 DNS 서버가 아니거나 또는 이름 확인이 작동하고 있지 않습니다. 즉, 루트 도메인 DC가 아닐 경우 포리스트 루트 도메인 SRV 레코드를 확인할 수 없습니다.

오류: 루트 힌트와 전달자 모두가 구성되어 있지 않습니다. 전달자나 루트 힌트를 구성하십시오.

DNS 서버가 루트 영역을 호스팅하지 않는 한 DNS 서버에 전달자나 루트 힌트를 구성해야 합니다.

오류: 루트 힌트 목록에 잘못된 루트 힌트 서버가 들어 있습니다. <IP address of Root hint server>

DNS 서버에 구성된 루트 힌트 서버에 잘못된 IP 주소가 있거나 DNS 서버가 아니거나 이름 확인이 작동하고 있지 않습니다. 즉, 루트 도메인 DC가 아닐 경우 포리스트 루트 도메인 SRV 레코드를 확인할 수 없습니다.

오류:<Root hint server Name> IP: <사용할 수 없음> 상태:<status of the server>

구성된 루트 힌트 서버에 해당 IP 주소가 없습니다. 상태 필드는 서버의 상태를 알려 줍니다.

오류:<Root hint server Name> IP: <사용할 수 없음> 상태: A 레코드를 찾을 수 없습니다.

구성된 루트 힌트 서버에 A 레코드가 없습니다.

오류: <DNS server name>에서 루트 힌트 서버의 열거에 실패했습니다.

대상 DNS 서버에서 루트 힌트 서버를 나열할 수 없습니다.

위임

 

경고 추가 정보

경고: DNS 서버: <DnsServer name> IP: <Ipaddress> 실패: 연결 A 레코드 누락

구성된 위임에 연결 A 레코드가 없습니다.

 

오류 추가 정보

DNS 서버: <Server name> IP:<IP 주소> 오류: 끊어진 위임 -verbose

위임이 구성되어 있으나 이름 서버가 응답하지 않습니다.

DNS 서버: <Server name> IP:<IP 주소> 오류: 끊어진 위임 도메인 <Delegated domain name> -non-verbose

N/A

오류: 서버의 영역 루트에서 레코드를 열거하지 못했습니다.

N/A

DynamicUpdate

 

경고 추가 정보

경고: 영역에는 동적 업데이트가 설정되어 있지만 보안된 <zone name>에는 설정되어 있지 않습니다.

보안된 동적 업데이트를 권장합니다.

경고: <zone name> 영역에 <error code> 오류가 있는 테스트 레코드 _dcdiag_test_record를 추가하지 못했습니다.

테스트는 동적으로 더미 레코드를 추가합니다.

경고: <zone name> 영역에 <error code> 오류가 있는 테스트 레코드 _dcdiag_test_record를 삭제할 수 없습니다.

추가된 레코드도 삭제합니다.

 

오류 추가 정보

오류: <zone name> 영역에 동적 업데이트가 설정되어 있지 않습니다.

Active Directory 영역에 동적 업데이트가 설정되어 있지 않으므로 클라이언트가 레코드를 추가할 수 없습니다.

레코드 등록

 

경고 추가 정보

경고: DNS 서버의 <record name>에 DC SRV 레코드가 누락되었습니다.

이 레코드를 등록하지 못하도록 DNSAvoidRegisterRecord 레지스트리 키나 해당 그룹 정책을 구성한 경우 오류를 무시하십시오.

경고: DNS 서버의 <record name>에 GC SRV 레코드가 누락되었습니다.

이 레코드를 등록하지 못하도록 DNSAvoidRegisterRecord 레지스트리 키나 해당 그룹 정책을 구성한 경우 오류를 무시하십시오.

경고: DNS 서버의 <record name>에 PDC SRV 레코드가 누락되었습니다.

이 레코드를 등록하지 못하도록 DNSAvoidRegisterRecord 레지스트리 키나 해당 그룹 정책을 구성한 경우 오류를 무시하십시오.

경고: 일부 네트워크 어댑터에서 레코드 등록을 찾을 수 없습니다.

N/A

 

오류 추가 정보

오류: DNS 서버 <DNS Server IP address>에 A 레코드가 누락되었습니다. <A 레코드 이름>

DC가 지정된 DNS 서버에 자신의 A 레코드를 등록하지 않았습니다.

오류: DNS 서버 <DNS Server IP address>에 CNAME 레코드가 누락되었습니다. <CNAME 레코드 이름>

DC가 지정된 DNS 서버에 자신의 CNAME 레코드를 등록하지 않았습니다.

오류: DNS 서버 <DNS Server IP address>에 DC SRV 레코드가 누락되었습니다. <SRV 레코드 이름>

DC가 지정된 DNS 서버에 자신의 DC SRV 레코드를 등록하지 않았습니다.

오류: DNS 서버 <DNS Server IP address>에 GC SRV 레코드가 누락되었습니다. <SRV 레코드 이름>

DC가 지정된 DNS 서버에 자신의 GC SRV 레코드를 등록하지 않았습니다.

오류: DNS 서버 <DNS Server IP address>에 PDC SRV 레코드가 누락되었습니다. <SRV 레코드 이름>

DC가 지정된 DNS 서버에 자신의 PDC SRV 레코드를 등록하지 않았습니다. netlogon 서비스를 중지한 후에 다시 시작하여 이들 모든 레코드를 등록할 수 있습니다.

오류: 모든 네트워크 어댑터에 대해 레코드 등록을 찾을 수 없습니다.

네트워크 어댑터가 여러 개 있을 경우 테스트는 각 어댑터에 구성된 모든 DNS 서버에 모든 레코드가 있는지 검사합니다. DNS 서버에 레코드 등록이 누락되었을 경우 이 오류가 발생합니다.

외부 이름 확인

 

오류 추가 정보

오류: 인터넷 이름 <name>을(를) 확인할 수 없습니다.

지정한 인터넷 이름을 확인할 수 없습니다. 프록시 클라이언트, 서버, 루트 힌트 및 전달자가 올바르게 구성되어 있는지 확인하십시오.

엔터프라이즈 DNS 인프라 테스트

 

경고 추가 정보

경고: 전달자와 루트 힌트 모두가 하위 도메인에서 상위 도메인으로 구성되어 있지 않습니다.

이름 확인이 작동하도록 하려면 해당 도메인 각각에 대한 권한 영역을 호스팅하는 상위 도메인이나 하위 도메인의 DNS 서버에 전달자와 루트 힌트가 구성되어 있어야 합니다.

 

오류 추가 정보

오류: 상위 도메인에 위임이 구성되어 있지 않습니다.

위임은 상위 도메인에서 하위 도메인으로 구성되어야 합니다.

오류: 위임은 있으나 연결 레코드가 없습니다.

위임이 구성되어 있으나 이름 서버에 연결 레코드가 없습니다.

오류: 전달자가 상위 도메인에서 하위 도메인으로 잘못 구성되어 있습니다.

전달자는 하위 도메인에서 상위 도메인으로 구성되어야 합니다.

오류: 루트 힌트가 상위 도메인에서 하위 도메인으로 잘못 구성되어 있습니다.

루트 힌트는 하위 도메인에서 상위 도메인으로 구성되어야 합니다.

오류: 전달자가 하위 도메인에서 상위 도메인으로 구성되어 있으나 일부 전달자가 DNS 서버 테스트에 실패했습니다. 오류에 대한 자세한 내용은 DNS 서버 섹션을 참조하십시오.

구성된 전달자에 잘못된 IP 주소가 있거나 유효한 DNS 서버가 아니거나 이름 확인이 작동하지 않습니다. 즉, 루트 도메인이 아닌 곳에 들어 있을 경우 포리스트 루트 도메인 SRV 레코드를 확인할 수 없습니다.

오류: 루트 힌트가 하위 도메인에서 상위 도메인으로 구성되어 있으나 일부 루트 힌트가 DNS 서버 테스트에 실패했습니다. 오류에 대한 자세한 내용은 DNS 서버 섹션을 참조하십시오.

구성된 루트 힌트에 잘못된 IP 주소가 있거나 유효한 DNS 서버가 아니거나 이름 확인이 작동하지 않습니다.

예:

다음 예제는 Windows Server 2003 SP1 dcdiag의 사용법을 보여 줍니다. 기울임꼴로 된 매개 변수를 사용자의 환경에 알맞은 매개 변수로 교체해야 합니다.

  • 자세한 정보 표시 모드가 아닌 모드로 단일 도메인 컨트롤러에 대해 모든 DNS 테스트를 실행하려면

    Dcdiag /test:DNS /s:TargetDCName /f:LogFileName

  • 자세한 정보 표시 모드로 단일 도메인 컨트롤러에 대해 모든 DNS 테스트를 실행하려면

    Dcdiag /test:DNS /s:TargetDCName /v /f:LogFileName

  • 세부 정보 표시 모드가 아닌 모드로 전체 포리스트에 대해 모든 DNS 테스트를 실행하려면

    Dcdiag /test:DNS /e /f:LogFileName

  • 세부 정보 표시 모드로 전체 포리스트에 대해 모든 DNS 테스트를 실행하려면

    Dcdiag /test:DNS /v /e /f:LogFileName

  • 단일 도메인 컨트롤러에 대해 DNS 기본 테스트를 실행하려면

    Dcdiag /test:DNS /DnsBasic /s:TargetDCName /f:LogFileName

  • 단일 도메인 컨트롤러에 대해 DNS 전달자 테스트를 실행하려면

    Dcdiag /test:DNS /DnsForwarders /s:TargetDCName /f:LogFileName

  • 단일 도메인 컨트롤러에 대해 DNS 위임 테스트를 실행하려면

    Dcdiag /test:DNS /DnsDelegation /s:TargetDCName /f:LogFileName

  • 단일 도메인 컨트롤러에 대해 DNS 동적 업데이트 테스트를 실행하려면

    Dcdiag /test:DNS /DnsDynamicUpdate /s:TargetDCName /f:LogFileName

  • 단일 도메인 컨트롤러에 대해 레코드 등록 테스트를 실행하려면

    Dcdiag /test:DNS /DnsRecordRegistration /s:TargetDCName /f:LogFileName

  • 예제 인터넷 이름이나 인트라넷 이름을 확인하려면

    Dcdiag /test:DNS /DnsResolveExtName /DnsInternetName:InternetName /f: LogFileName

note참고
개별 테스트를 실행할 때 지정한 개별 테스트를 실행하기 전에 /DnsBasic 테스트가 기본적으로 실행됩니다.

지정한 개별 테스트가 없으면 기본적으로 모든 DNS 테스트(/DnsResolveName 제외)가 실행됩니다.

새로운 Active Directory 복제 보안 테스트

자세한 설명

Windows Server 2003 서비스 팩 1에서는 DCDiag.exe가 Active Directory 복제 실패의 원인이 될 수 있는 보안 구성을 확인하는 새로운 기능을 포함하도록 향상되었습니다.

CheckSecurityError 테스트는 Active Directory 포리스트에 있는 하나 또는 전체 도메인 컨트롤러에 수행할 수 있습니다. 이 테스트는 다음과 같은 작업을 수행합니다.

  • 대상 및 원본 도메인 컨트롤러의 도메인에서 모두 KDC(키 배포 센터)를 사용할 수 있는지 확인합니다.

  • 대상 DC가 상당히 큰 용량의 UDP 형식 패킷(Kerberos에 의해 사용됨)을 전송하고 수신할 수 있는지 확인합니다.

  • 대상 DC의 시스템 시간이 대상과 원본 도메인의 KDC 및 원본 DC의 시스템 시간과 단지 5분만 차이가 있는지 확인합니다.

  • 원본 도메인 컨트롤러의 각 명명 컨텍스트에 대한 루트가 필요한 권한으로 구성되어 있는지 확인합니다.

  • 원본 및 대상 DC 컴퓨터 계정이 사용할 수 있게 설정되어 있는지, 위임용으로 트러스트되어 있는지, 필요한 모든 서비스 사용자 이름을 포함하고 있는지 확인합니다.

테스트가 완료되면 DCDiag.exe는 테스트된 각 도메인 컨트롤러와 발견된 보안 오류의 진단에 대한 결과를 요약하여 표시합니다.

다음 구문을 사용하여 명령줄에서 이 테스트를 실행할 수 있습니다.

Dcdiag /test:CheckSecurityError

선택적으로 /ReplSource:SourceDC 스위치를 명령에 추가하여 복제할 때 특정 도메인 컨트롤러를 원본으로 지정할 수 있습니다. /replsource: 매개 변수에 지정된 도메인 컨트롤러는 현재 테스트 중인 도메인 컨트롤러가 복제하는 현재 원본 도메인 컨트롤러, 즉 현재 대상 도메인 컨트롤러가 인바운드 연결 개체를 가져오는 도메인 컨트롤러가 아니어도 됩니다. 이 테스트를 통해 도메인 컨트롤러, KDC(키 배포 센터) 원본과 대상 서버 및 Active Directory로부터 정보를 수집합니다.

note참고
Dcdiag /test:CheckSecurityError는 도메인 컨트롤러 뿐만 아니라 /e 또는 /s:servername 명령을 사용하여 구성원 컴퓨터의 콘솔에서 실행할 수 있습니다. 최상의 결과를 얻으려면 보안 오류 가능성으로 인해 인바운드 Active Directory 복제가 실패하는 각 도메인 컨트롤러의 콘솔에서 Dcdiag /test:CheckSecurityError를 실행합니다.

이 변경 사항이 중요한 이유는 무엇입니까?

복제가 수행되지 않고 오류가 보안 오류인 경우(예: "액세스 거부", "대상 계정 이름이 틀립니다." 또는 "RPC 서버를 사용할 수 없습니다.") 문제의 원인이 될 만한 다양한 요소가 있습니다. 이 테스트는 이런 오류의 가장 일반적인 출처를 찾아 보고하여 사용자가 문제를 해결할 수 있도록 진단을 자동화합니다.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

Microsoft는 MSDN 웹 사이트에 대한 귀하의 의견을 이해하기 위해 온라인 설문 조사를 진행하고 있습니다. 참여하도록 선택하시면 MSDN 웹 사이트에서 나가실 때 온라인 설문 조사가 표시됩니다.

참여하시겠습니까?
표시:
© 2015 Microsoft