본문 바로가기

Trouble Shooting

Windows Server 2003 도메인에서 사용자 및 컴퓨터 컨테이너 리디렉션

Windows 2000 및 Windows Server 2003 도메인 컨트롤러에서 이전 버전의 응용 프로그래밍 인터페이스(API)를 사용하여 만든 사용자, 컴퓨터 및 그룹에 대한 기본 컨테이너는 보다 적합한 조직 구성 단위 클래스 컨테이너 대신 개체 클래스 CN으로 되어 있습니다.
관리자가 모든 Active Directory 도메인에서 최적의 조직 구성 단위 구조를 적극적으로 배포하는 것이 좋습니다(자세한 내용은 "추가 정보" 절 참조). Windows Server 2003 도메인 모드에서 Windows Server 2003 도메인 컨트롤러를 업그레이드하거나 배포한 후에는 이전 버전의 API가 사용자, 컴퓨터 및 그룹을 만드는 데 사용한 기본 컨테이너를 관리자가 지정한 조직 구성 단위 컨테이너로 리디렉션하십시오.

추가 정보

기본적으로 Windows 2000과 Windows Server 2003의 새로운 설치와 업그레이드된 설치의 보안 그룹, 사용자 계정 및 컴퓨터 계정에 대한 컨테이너는 CN=Users와 CN=Computers입니다. CN 클래스 컨테이너에서는 그룹 정책 설정을 적용할 수 없습니다. 따라서, 사용자와 컴퓨터가 자신의 기본 컨테이너에 저장되도록 정책 설정을 정의하려는 관리자는 이러한 작업을 도메인의 루트에서 수행해야 합니다. 상위 컨테이너(도메인의 루트)에 정의되어 있는 정책 설정이 하위 CN 및 조직 구성 단위 컨테이너의 사용자, 컴퓨터 및 그룹에 적용되지 않게 하려면 관리자는 도메인의 루트에 있는 정책 설정에서 복잡한 액세스 제어 목록(ACL)을 정의해야 합니다.
Windows 2000 도메인과 Windows Server 2003 도메인의 경우 해결 방법은 사용자, 컴퓨터, 그룹, 서비스 계정 및 관리자 계정이 자신의 고유 조직 구성 단위에 각각 있는 최적의 조직 구성 단위 구조를 배포하는 것입니다. 최적의 조직 구성 단위 구조는 Best Practice Active Directory Design for Managing Windows Networks 백서의 "Creating an Organizational Unit Design" 절에 설명되어 있습니다. 이 백서를 보려면 아래의 Microsoft 웹 사이트를 방문하십시오.

http://www.microsoft.com/technet/prodtechnol/ad/windows2000/plan/bpaddsgn.asp

아래의 목록은 최적의 조직 구성 단위 구조를 사용했을 때의 장점을 설명한 것입니다.

  • 관리자가 사용자와 컴퓨터를 호스팅하는 컨테이너에 직접 그룹 정책을 적용할 수 있습니다.
  • 관리자가 공통 개체 클래스의 개체에 그룹 정책을 맞출 수 있습니다. 예를 들어, 사용자 또는 컴퓨터 정책 설정을 사용자 또는 컴퓨터 계정을 호스팅하는 조직 구성 단위로 직접 연결할 수 있습니다.
  • 관리자가 아닌 사용자가 도메인 관리자, 스키마 관리자 또는 엔터프라이즈 관리자와 같은 보안 관련 사용자와 그룹을 호스팅하지 않는 컨테이너에서 정책을 적용할 수 있습니다.
  • 조직 구성 단위를 실수로 삭제한 경우에 그 영향을 최소화할 수 있습니다(부모 컨테이너가 올바르게 보호되고 있다고 가정할 경우).
  • 복구 시나리오에서 사용자와 그룹을 서로 독립적으로 복원할 수 있습니다. 그룹 복원 전에 사용자 계정이 존재해야 합니다. 사용자와 그룹을 다른 컨테이너에 상주시키면 이들을 복원하고 서로에 독립적으로 권한을 보유한 사용자와 그룹으로 표시할 수 있습니다.

CN=USERS 컨테이너와 CN=COMPUTERS 컨테이너는 컴퓨터 보호 개체입니다. 이들의 이름은 바꿀 수 있지만 이전 버전과의 호환성을 위해 이들을 제거할 수 없으며 제거해서도 안 됩니다.
최적의 조직 구성 단위 구조는 기존의 사용자, 컴퓨터, 그룹을 Active Directory에 저장하는 데 적합합니다. 이러한 개체가 해당 도메인 또는 포리스트 기능 수준에 관계 없이 Windows 2000 및 Windows Server 2003 도메인의 적절한 조직 구성 단위 컨테이너로 이동될 수 있기 때문입니다. GUI와 명령줄 관리 도구에서 사용하는 이전 버전의 API로 만든 새로운 사용자 계정, 컴퓨터 계정 및 보안 그룹은 관리자가 대상 조직 구성 단위를 지정하도록 허용하지 않습니다. 즉, 이러한 개체는 관리자나 관리자 정의 스크립트에 의해 이동될 때까지 초기에는 CN=Users 컨테이너와 CN=Computers 컨테이너에서 만들어집니다. 아래의 목록에 이러한 도구의 예가 나와 있습니다.
  • Windows NT 4.0, Windows 2000, Microsoft Windows XP Professional 및 Windows Server 2003에서 도메인 참가 UI. 이 작업은 Active Directory 도메인을 구성원 컴퓨터로서 참가시킵니다.
  • net user 명령
  • net computer 명령
  • net group 명령
  • /ou 명령이 지정되거나 지원되지 않는 netdom add 명령
  • Windows NT 4.0 기반 구성원 컴퓨터의 사용자 관리자
또한, 관리자가 아닌 사용자는 대상 조직 구성 단위를 지정할 수 있는 경우에도 어떤 컨테이너에서 개체를 만드는지 알지 못합니다.
관리자는 Windows NT 4.0 및 Windows 2000 도메인 컨트롤러를 Windows Server 2003 도메인 컨트롤러로 업그레이드하고 CN=Users 및 CN=Computers의 잘 알려진 경로를 관리자가 지정한 조직 구성 단위로 리디렉션하는 것이 좋습니다. 이렇게 하면 그룹 정책 설정이 새로 만들거나 영구적인 사용자 및 컴퓨터 계정을 호스팅하는 컨테이너에 적용될 수 있습니다.
CN=Users 및 CN=Computers 폴더를 리디렉션할 때는 다음과 같은 문제에 주의하십시오.
  • Windows Server 2003 도메인 또는 포리스트 기능 수준에서 실행되도록 대상 도메인을 구성해야 합니다. 도메인 기능 수준의 경우 이 사실은 해당 도메인 내의 모든 도메인 컨트롤러가 WIndows Server 2003 운영 체제에서 실행되고 있어야 함을 의미합니다.
  • Exchange 2000 setup /domainprep 명령을 실행하면 이 문서의 "CN=Users가 리디렉션될 때 Exchange 2000 SETUP /DOMAINPREP에서 발생하는 오류 메시지" 절에 나와 있는 오류 메시지가 나타납니다. Exchange 2000 setup /domainprep를 통해 추가한 Exchange Enterprise Servers 그룹과 Exchange Domain Servers 그룹이 CN=USERS 컨테이너에 있지 않은 경우 이러한 문제가 발생합니다. 이 문제를 해결하려면 다음 방법 중 하나를 사용하십시오.
    • Exchange 2000 setup /domainprep를 통해 만든 Exchange Enterprise Servers 그룹과 Exchange Domain Servers 그룹을 리디렉션된 조직 구성 단위에서 CN=Users 컨테이너로 이동합니다.
      또는
    • Exchange 2000 setup /domainprep를 실행하기 전에 기본 위치를 다시 CN=Users로 리디렉션합니다.
    Exchange 해석 가능성에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

    260914 XADM: Exchange Enterprise Servers 그룹과 Exchange Domain Servers 그룹을 새 컨테이너로 이동하는 경우 Domainprep 유틸리티가 작동하지 않는다

관리자 지정 조직 구성 단위로 CN=Users 리디렉션
  1. 대상 도메인에서 도메인 관리자 자격 증명을 사용하여 로그온합니다.
  2. Active Directory 사용자 및 컴퓨터 스냅인(Dsa.msc)이나 도메인 및 트러스트(Domains.msc) 스냅인 중 하나에서 도메인을 Windows Server 2003 도메인 기능 수준으로 전환합니다.
  3. 이전 버전의 API를 사용하여 만든 사용자를 상주시킬 조직 구성 단위 컨테이너를 만듭니다.
  4. NT 명령 프롬프트에서 다음 구문을 사용하여 Redirusr.exe를 실행합니다. 여기서 container-dn은 새로 만든 사용자 개체의 기본 위치가 될 조직 구성 단위의 고유 이름입니다.

    redirusr container-dn

    Redirusr는 새 Windows Server 2003 기반 컴퓨터 및 업그레이드된 Windows Server 2003 기반 컴퓨터의 %SystemRoot%\System32 폴더에 설치됩니다. 예를 들어, Net User 같은 하위 수준 API를 사용하여 만든 사용자의 기본 위치를 CORP.COM 도메인의 OU=Users OU 컨테이너로 변경하려면 다음 구문을 사용하십시오.

    c:\windows\system32>redirusr ou=userou,DC=company,dc=com

관리자 지정 조직 구성 단위로 CN=Computers 리디렉션
  1. 대상 도메인에서 도메인 관리자 자격 증명을 사용하여 로그온합니다.
  2. Active Directory 사용자 및 컴퓨터 스냅인(Dsa.msc)이나 도메인 및 트러스트(Domains.msc) 스냅인에서 도메인을 Windows Server 2003 도메인으로 전환합니다.
  3. 이전 버전의 API를 사용하여 만든 컴퓨터를 상주시킬 조직 구성 단위 컨테이너를 만들거나 선택합니다.
  4. Windows Server 2003 Resource Kit의 Redircmp.exe 파일을 설치합니다.
  5. NT 명령 프롬프트에서 다음 구문을 사용하여 Redircmp.exe를 실행합니다. 여기서 container-dn은 새로 만든 컴퓨터 개체의 기본 위치가 될 조직 구성 단위의 고유 이름입니다.

    redircmp container-dncontainer-dn

    Redircmp.exe는 새 Windows Server 2003 기반 컴퓨터 및 업그레이드된 Windows Server 2003 기반 컴퓨터의 %Systemroot%\System32 폴더에 설치됩니다. 예를 들어, Net User 같은 이전 버전의 API를 사용하여 만든 컴퓨터의 기본 위치를 CORP.COM 도메인의 OU=COMPUTERSOU 컨테이너로 변경하려면 다음 구문을 사용하십시오.

    C:\windows\system32>redircomp ou=computersou,DC=company,dc=com

CN=Users 및 CN=Computers를 OU=Users 및 OU=Computers로 대체
CN=Users 및 CN=Computers를 OU=Users 및 OU=Computers로 완전히 대체할 수 있습니다. 다음과 같이 하십시오.
  1. 도메인 모드가 Windows Server 2003 도메인 기능 수준으로 전환된 도메인의 대상 도메인에서 도메인 관리자로 로그온합니다.
  2. CN=Users와 CN=Computers의 임시 자리 표시자로 두 개의 조직 구성 단위를 새로 만듭니다.
    1. "TempUsers"라는 이름의 조직 구성 단위를 만듭니다.
    2. "TempComputers"라는 이름의 조직 구성 단위를 만듭니다.
  3. CN=Users와 CN=Computers를 각 임시 조직 구성 단위로 리디렉션합니다. 이렇게 하려면 다음 명령을 실행합니다.
    • redirusr ou=tempusers,dc=domain,dc=com
    • redircmp ou=tempcomputers,dc=domain,dc=com
  4. CN=Users와 CN=Computers의 상대 고유 이름(RDN이라고도 함)을 수정합니다. 다음과 같이 합니다.
    1. Ldp.exe를 시작합니다.
    2. 수정할 대상 도메인의 도메인 명명 컨텍스트(NC라고도 함)에 연결하고 바인딩합니다.
    3. Ldp.exe의 왼쪽 창에서 CN=Users를 마우스 오른쪽 단추로 누르고 Modify DN을 누른 후 새 고유 이름 경로에 대해 다음 텍스트를 입력합니다.

      CN=UsersCN,DC=distinguished name path for domain

    4. Run을 누른 다음 상대 고유 이름이 수정되었는지 확인합니다.
    5. Ldp.exe의 왼쪽 창에서 CN=Computers를 마우스 오른쪽 단추로 누르고 Modify DN을 누른 후 새 고유 이름 경로에 대해 다음 텍스트를 입력합니다.

      CN=ComputersCN,DC=distinguished name path for domain

    6. Run을 누른 다음 상대 고유 이름이 수정되었는지 확인합니다.
  5. Ldp.exe, Adsiedit.msc 또는 Active Directory 사용자 및 컴퓨터에서 OU=Users와 OU=Computers라는 이름의 조직 구성 단위 두 개를 새로 만듭니다.
  6. 잘 알려진 개체를 OU=Users와 OU=Computers로 리디렉션합니다. 이렇게 하려면 다음 명령을 실행합니다.
    • redirusr ou=users,dc=distinguished path for domain
    • redircmp ou=computers,dc=distinguished path for domain
  7. 2단계에서 만든 임시 조직 구성 단위를 삭제합니다.
오류 메시지 설명
PDC가 오프라인인 경우에 발생하는 오류 메시지
Redircmp와 Redirusr은 주 도메인 컨트롤러(PDC)의 wellKnown 특성을 수정합니다. 수정할 도메인의 PDC가 오프라인이거나 액세스할 수 없는 경우에는 다음과 같은 오류 메시지가 나타납니다.

D:\>redirusr OU=userOU,DC=udc,dc=jkcert,dc=loc 오류, 현재 도메인에 대한 주 도메인 컨트롤러를 찾을 수 없음: 지정한 도메인이 없거나 연결할 수 없습니다. 리디렉션에 성공하지 못했습니다.

D:\>redircmp OU=computerOU,DC=udc,dc=jkcert,dc=loc 오류, 현재 도메인에 대한 주 도메인 컨트롤러를 찾을 수 없음: 지정한 도메인이 없거나 연결할 수 없습니다. 리디렉션에 성공하지 못했습니다.

도메인 기능 수준이 Windows Server 2003이 아닌 경우에 발생하는 오류 메시지
Windows Server 2003 도메인 기능 수준으로 전환하지 않은 도메인의 사용자 또는 컴퓨터 조직 구성 단위를 리디렉션하려고 하면 다음과 같은 오류 메시지가 나타납니다.

C:\>redirusr OU=usersou,DC=company,DC=com
오류, wellKnownObjects 속성을 수정할 수 없습니다. 도메인 기능 수준이 최소 Windows Server 2003인지 확인하십시오. 수행하지 않으려고 합니다. 리디렉션에 성공하지 못했습니다.

C:\>REDIRCMP ou=computersou,dc=company,dc=com
오류, wellKnownObjects 속성을 수정할 수 없습니다. 도메인 기능 수준이 최소 Windows Server 2003인지 확인하십시오. 수행하지 않으려고 합니다.

필요한 사용 권한 없이 로그온한 경우에 발생하는 오류 메시지
대상 도메인에서 올바르지 않은 자격 증명을 사용하여 사용자 또는 컴퓨터 조직 구성 단위를 리디렉션하려고 하면 다음과 같은 오류 메시지가 나타날 수 있습니다.

C:>REDIRCMP OU=computersou,DC=company,DC=com
오류, wellKnownObjects 속성을 수정할 수 없습니다. 도메인 기능 수준이 최소 Windows Server 2003인지 확인하십시오. 권한이 부족합니다. 리디렉션에 성공하지 못했습니다.

:\>redirusr OU=usersou,DC=company,DC=com
오류, wellKnownObjects 속성을 수정할 수 없습니다. 도메인 기능 수준이 최소 Windows Server 2003인지 확인하십시오. 권한이 부족합니다. 리디렉션에 성공하지 못했습니다.

없는 조직 구성 단위로 리디렉션한 경우에 발생하는 오류 메시지
사용자 또는 컴퓨터 조직 구성 단위를 존재하지 않는 조직 구성 단위로 리디렉션하려고 하면 다음과 같은 오류 메시지가 나타날 수 있습니다.

C:\>REDIRCMP OU=nonexistantou,dc=rendom,dc=com
오류, wellKnownObjects 속성을 수정할 수 없습니다. 도메인 기능 수준이 최소 Windows Server 2003인지 확인하십시오. 그런 개체가 없습니다. 리디렉션에 성공하지 못했습니다.

C:\>redirusr OU=nonexistantou,DC=company,DC=com
오류, wellKnownObjects 속성을 수정할 수 없습니다. 도메인 기능 수준이 최소 Windows Server 2003인지 확인하십시오. 그런 개체가 없습니다. 리디렉션에 성공하지 못했습니다.

CN=Users가 리디렉션될 때 Exchange 2000 SETUP /DOMAINPREP에서 발생하는 오류 메시지
Exchange 2000 setup /domainprep가 실패하면 다음과 같은 오류 메시지가 나타납니다.

하위 구성 요소(도메인 수준 사용 권한)를 설치하는 중에 오류가 발생했습니다. 오류 코드는 0x80072030입니다. 자세한 정보를 보려면 설치 로그를 참조하십시오. 설치를 취소하거나 실패한 단계를 다시 시도하십시오. (다시 시도 / 취소)

로그 파서를 사용하여 구문이 분석되는 Exchange 2000 설치 로그에 다음과 같은 내용의 데이터가 나타납니다.

[HH:MM:SS] 21:43:31 02/19/2003의 Windows 2000 5.0.2195.서비스 팩 3에서 Exchange 4417 설치 시작
[HH:MM:SS] Microsoft Exchange 2000 구성 요소의 DomainPrep 완료
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) 오류 코드 0X80072030 (8240): 서버에 이런 개체는 없습니다.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) 오류 코드 0X80072030 (8240): 서버에 이런 개체는 없습니다.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) 오류 코드 0X80072030 (8240): 서버에 이런 개체는 없습니다.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) 오류 코드 0X80072030 (8240): 서버에 이런 개체는 없습니다.
[HH:MM:SS] Microsoft Exchange Domain Preparation/DomainPrep 구성 요소 작업 중 오류가 발생했습니다. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) 오류 코드 0X80072030 (8240): 서버에 이런 개체는 없습니다.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) 오류 코드 0X80072030 (8240): 서버에 이런 개체는 없습니다.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) 오류 코드 0X80072030 (8240): 서버에 이런 개체는 없습니다.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) 오류 코드 0X80072030 (8240): 서버에 이런 개체는 없습니다.
[HH:MM:SS] 설치가 완료되었습니다.

redirusr 명령과 redircmp 명령에서 수정하는 wellKnown 특성은 사용자, 컴퓨터, 그룹을 만든 기본 위치를 정의합니다. Ldp.exe나 Adsiedit.msc를 사용하면 도메인 NC 헤드의 루트에 있는 특성을 볼 수 있습니다. 이 예에서는 Users 및 Computers 조직 구성 단위가 OU=UsersOU와 OU=ComputersOU로 리디렉션됩니다.

-----------
Expanding base 'DC=company,DC=com'...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: DC=company,DC=com
	3> objectClass: top; domain; domainDNS; 
	1> distinguishedName: DC=company,DC=com; 
	...
	11> wellKnownObjects: B:32:A9D1CA15768811D1ADED00C04FD8D5CD:OU=usersou,DC=company,DC=com;
                               B:32:AA312825768811D1ADED00C04FD8D5CD:OU=computersou,DC=company,DC=com;
                               B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=company,DC=com; 
                               B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=company,DC=com; 
                               B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=company,DC=com; 
                               B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=company,DC=com;
                               B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=company,DC=com; <BR/>
                               B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=company,DC=com; 
                               B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=company,DC=com; 
                               B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=company,DC=com; 
                               B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=company,DC=com; 
	
-----------