Domain Client GPO 정책을 정상적으로 받아오지 못할 때 (Secure Channel 문제 발생)

AD (Active Directory)의 GPO를 통해 정상적인 정책을 받아오지 못할 경우 대부분 네트워크 문제 이거나 Secure Channel 문제로 예상하면 됩니다. (물론 다른 부분도 문제 가능성이 있지만 제가 접해본 장애들의 대부분은 이에 해당 되었습니다.)

  • AD (Active Directory) 서버의 그룹 정책에 문제가 생기면 아래와 같은 상태로 변경 됩니다.

img-alternative-text

 

클라이언트 쪽에서는 아래와 같은 메세지가 나타납니다.

img-alternative-text

 

img-alternative-text

 

위와 같이 상태가 변경되더라도 무조건 Secure Channel 문제로 확신 하시면 안되며, 우선적으로 몇가지 설정을 확인 하셔야 합니다.

  • 확인이 필요한 설정
    • 방화벽 설정
    • 보안 툴 설정 (3rd part)
    • Nslookup 명령어를 통한 Domain Controller와 통신 상태 점검

만약 위 3가지를 모두 확인 했는데도 원인이 나타나지 않는다면, 아래와 같이 Secure Channel을 확인 하시면 됩니다.

nltest /sc_query:점검하고자 하는 도메인명
nltest /sc_verify:점검하고자 하는 도메인명

img-alternative-text

 

만약 위와 같은 메세지가 아닌 Secure Channel을 찾을 수 없다거나, 문제가 있다고 나온다면 아래 명령어를 통해 Secure Channel 복구를 시도해보시고, 만약 복구가 안된다면 안타깝게도 Domain re-join 작업을 진행 하셔야 합니다.

  • nltest /sc_reset:리셋하고자 하는 도메인명
  • dsmod computer “computerDN” -reset
  • netdom reset MachineName /domain domain name /UserO User Name /PasswordO *
  • Test-ComputerSecureChannel -Repair invoke-command -computername worstations1 -scriptBlock

만약 정상적으로 Secure Channel이 reset 되었다면 아래와 같이 성공 메시지를 확인 할 수 있습니다.

img-alternative-text

 

img-alternative-text

Leave a Comment