레지스트리 하이브 복구됨 이벤트 발생(Event ID 5, SYSTEM, Kernel-General)

/*작성일자*/

- 2016.05.17

[내용]

  - 아래와 같이 레지스트리 하이브가 손상되었다는 이벤트가 발생

  - 원인과 조치 방법에 대해 알아보자

 

[대상 시스템]

  - Windows Server 2008 R2

 

[내용 확인]

  - 해당 이벤트는 \SystemRoot\System32\Config\RegBack\SOFTWARE 레지스트리 파일이 어떤 이유로 인해

    손상된 상태이다.

    레지스트리하이브가 손상된 원인에 대해서는 다양한 원인이 있으며 정확한 원인 파악은 힘들다.

 

레지스트리 하이브가 손상될 수 있는 이유는 많습니다. 가장 흔한 경우는 컴퓨터가 종료될 때 손상되는 것입니다. 이 경우 컴퓨터가 종료되면서 프로세스와 드라이버를 언로드하고 있기 때문에 원인을 추적할 수 없습니다. 레지스트리 손상의 원인을 찾기 어려운 경우도 있습니다. 다음 절에서는 문제에 대한 세 가지 가능한 원인을 설명하고 문제를 해결하는 단계를 제공합니다.

정전

정전이나 예기치 못한 종료 이벤트로 레지스트리 하이브가 손상될 수 있습니다. 이것이 문제의 원인인지 확인하려면 이벤트 ID 6008 항목을 찾으십시오. 이벤트 ID 6008 항목은 예기치 못한 종료가 있었다는 것을 나타냅니다. 이 경우 일부 프로세스가 레지스트리 하이브의 일부분을 수정하는 중이었을 수 있으며 변경이 완료되기 전에 컴퓨터 전원이 끊어진 것일 수 있습니다. 이렇게 되면 레지스트리 하이브가 일관성이 없는 상태가 됩니다. 컴퓨터가 다시 시작되어 운영 체제가 레지스트리 하이브를 로드하려고 할 때 레지스트리 하이브에서 해석할 수 없는 데이터를 발견할 수 있으며 이 문서의 "요약" 절에 포함된 오류 메시지 중 하나가 나타날 수 있습니다.

파일 손상 및 하드웨어 결함

다른 파일도 손상될 수 있으므로 레지스트리 하이브만 손상되었는지, 아니면 다른 파일(시스템 및 데이터)도 손상되었는지를 확인해야 합니다. 레지스트리 하이브만 손상된 것이 아니면 손상의 원인은 하드웨어 결함 때문일 수 있습니다. 이러한 하드웨어에는 디스크에 쓰는 작업과 관련된 다음과 같은 모든 장치가 포함될 수 있습니다.

• RAM

• 캐시

• 프로세서

• 디스크 컨트롤러

하드웨어 결함이 의심되면 해당 하드웨어의 공급업체가 모든 컴퓨터 구성 요소의 상태를 철저하게 조사해야 합니다.

시스템 종료 시 레지스트리가 쓰여짐

한두 개의 레지스트리 하이브가 특별한 이유 없이 지속적으로 손상되면 시스템이 종료될 때 문제가 발생한 것일 수 있으며, 이런 문제는 다음에 컴퓨터가 다시 시작되어 레지스트리 하이브를 로드하려고 할 때까지 발견되지 않습니다. 이 시나리오에서는 시스템을 종료할 때 레지스트리 하이브가 디스크에 쓰여지고, 쓰기가 완료되기 전에 이 프로세스가 컴퓨터나 컴퓨터의 구성 요소를 중지시킬 수 있습니다.

 

[참고]

  - https://support.microsoft.com/ko-kr/help/822705/registry-troubleshooting-steps-for-advanced-users

    

Windows OS는 Last Known Goods (마지막으로 성공한 구성) 부팅을 위해서 Registry File을 

\SystemRoot\System32\Config\RegBack 에 복사하여 보관해놓고, 서로를 비교한다.(아래의 스크린샷 확인)

현재 이벤트가 발생하는 이유는 RegBack에 복사해 놓은 레지스트리가 손상되어 발생하는 이벤트이다.

 

  - 조치 방법으로는 레지스트리를 복구하는 방법이 있다.

    (System Status Backup 복구, 복구 콘솔을 이용한 Registry 수동 복사)

    가능하면 Backup/Restore를 권장하나, 만약 Backup이 없거나 System status backup을 Restore하는 방법이 어려운 경우, 2번째의 복구콘솔을 이용한 방법을 사용해야 한다.

 

  1. System Status Backup 복구

    - 시스템 상태 복구 (https://technet.microsoft.com/ko-kr/library/cc753789(v=ws.11).aspx )

 

  2. 복구 콘솔을 이용한 Registry 수동 복사

    - OS Image Mount

    - CD로 부팅 (ISO 이미지로 부팅)

    - 컴퓨터 복구 클릭

    - 시스템 이미지가 있으면 시스템 이미지로 복구, 없으면 다음 클릭

    - 명령 프롬프트 클릭

    - 복구할 운영체제 위치로 변경(아래의 예시는 D:\)

    - CD \Windows\System32\Config\regback -> Enter

    - Copy software software.old 엔터 (SOFTWARE 레지스트리 보관)

    - 상위 폴더로 이동 후, SOFTWARE 레지스트리를 .\RegBack\SOFTWARE로 복사

    - Yes -> Enter 후, 정상적으로 복사된 것을 확인하고 shutdown /r /t 0로 재부팅

    - 재부팅 후, Event Log 등에 문제가 없는지 확인