이번에 발생한 이벤트는 "Event id
7016,/error code 1251" 입니다.
이 이벤트 경우 한 DC 서버에 여러번 로깅을 하지만 또 시간이 지나면 정상으로 통신합니다. 그래서 무시하기에도 애매하고 조치하기에도 애매한 이벤트입니다.
보다 자세히 알아보면 'Detail' 탭에 ErrorCode와 CSEExtentionId가 있습니다.
그리고 발생한 부분은 "GroupPolicy" 이군요.
상기 내용을 정리를 정책을 해당 시스템(DC서버)에서 처리하는데, 설정해놓은 임계치보다 지나서 적용이 되서 발생한 이벤트 입니다. 솔직히 milliseconds정도면 무시해도 좋을 법 하지만.. 그래도 성가신 이벤트인 만큼 제외하는 방법을 알아보겠습니다.
방법 하나. WMI Filtering 재설정(https://support.microsoft.com/en-us/kb/2003730)
해당 문제가 발생한 원인이 정책을 설정할 때 흔히 구분을 하는 WMI 필터링이 잘못 기입해서 발생한 경우가 있기 때문에 그 설정을 아래와 같이 하면 해결할 수 있다고 합니다.
To avoid the problem, create a new policy at the same level that receives the settings referencing the missing environment variable. Then use a WMI filter to allow the policy to only apply to machines that have the environment variable defined.
For example, the WMI filter for %PROGRAMFILES(X86)% would be:Select * from Win32_Envrionment where Name = 'PROGRAMFILES(X86)'
방법 두울, 정책 변경 체크하는 임계치값 변경( http://techgenix.com/Unique-Group-Policy-Security-Settings)
하기 Registry 경로에 가서 값을 그 임계치를 변경하면 됩니다. 여기서 짚고 넘어가야 할 부분은 바로 이벤트에서 발생한 'CSEExtentionId'의 경로로 가셔야 합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
가시면 기본 설정값이 960분(16시간)으로 되어 있는데요, 이벤트 오류가 milliseconds에서 발생하였기 때문에 1분만 늘리셔도 발생하지 않을 것입니다.
#Eventvwr #이벤트 #Windowevent #eventid7016 #Activedirectory
0 comments:
Post a Comment