이 글의 목적은 로밍 프로필 환경에서 로그온·로그오프가 느려지고 이벤트 뷰어에 이벤트 1534가 반복 기록되는 상황을 재현 가능한 절차로 진단하고, 운영 환경에서 안전하게 적용할 수 있는 해결책을 단계별로 정리하는 것이다.
1. 로밍 프로필 동기화 지연과 이벤트 1534가 같이 나타나는 전형적 증상
로밍 프로필 동기화 지연은 사용자 로그온 또는 로그오프 시점에 프로필 파일을 서버 공유 경로로 복사하거나 내려받는 시간이 비정상적으로 길어지는 현상이다.
현장에서는 다음 증상이 동시에 관찰되는 경우가 많다.
- 로그온 화면 이후 바탕화면 진입까지 장시간 대기하다가 정상 진입하다.
- 로그오프 또는 재부팅이 오래 걸리거나 “로그오프 중” 화면이 지속되다.
- 프로필 경로의 AppData 하위에서 특정 파일 복사가 실패하거나 접근 거부가 발생하다.
- 이벤트 뷰어 Application 로그에 User Profile Service 이벤트 1534가 누적되다.
- 같은 시점에 User Profile General 이벤트 1509, 1504, 1511, 1515, 1530 등이 함께 기록되다.
2. 이벤트 1534의 의미를 운영 관점에서 해석하다
이벤트 1534는 “User Profile Service” 공급자에서 기록되는 경고 이벤트로, 프로필 처리 과정에서 특정 구성 요소에 전달해야 하는 프로필 알림(Profile notification)이 실패했음을 의미하다.
이벤트 메시지에는 보통 “Profile notification of event Load/Delete … failed”와 같이 알림 종류가 표시되고, 구성 요소를 GUID로 식별하다.
이벤트 1534 자체는 “프로필이 완전히 손상되었다”라는 단정이 아니라, 프로필 처리 흐름의 일부가 실패했음을 나타내는 경고이다.
다만 로밍 프로필 환경에서는 이 경고가 파일 잠금, 제외 폴더 정책 오류, 앱 구성 요소 잔재, 접근 권한 문제와 같은 근본 원인과 결합하면서 로그온·로그오프 지연을 체감 문제로 확대시키는 경우가 많다.
3. 원인 분류를 먼저 정리하다
로밍 프로필 동기화 지연과 이벤트 1534를 함께 유발하는 원인을 운영 실무 기준으로 분류하면 다음과 같다.
| 분류 | 대표 징후 | 동반 로그 | 우선 조치 |
|---|---|---|---|
| 로밍 제외 폴더 정책 오류 | 특정 Windows 버전에서 불필요 폴더까지 동기화되어 지연되다 | 1509, 1504, “로밍 프로필이 완전히 동기화되지 않음” 문구가 나타나다 | 업데이트 적용 또는 ExcludeProfileDirs 복구를 수행하다 |
| 파일 잠금 및 접근 거부 | AppData, WindowsApps, Edge/UWP 관련 파일에서 Access is denied가 발생하다 | 1509(DETAIL - Access is denied), 1504가 반복되다 | 잠금 주체(보안 제품/인덱서/앱) 완화 및 제외 설정을 적용하다 |
| 프로필 알림 구성 요소 잔재 | 프로필 알림 구성 요소 GUID 관련 1534가 대량 발생하다 | 1534에 “See Tracelogging” 문구가 포함되다 | ProfileNotification 하위 잔재 키(TDL 등)를 정리하다 |
| 공유 경로 및 권한 문제 | 특정 사용자만 지연되거나 새 사용자 생성 시 더 심해지다 | 1509(UNC 경로 복사 실패), 5719/NETLOGON 관련 이벤트가 동반되다 | 공유/NTFS 권한, SMB 상태, DFS 구성, 경로 길이를 점검하다 |
| 프로필 비대화 및 불필요 캐시 누적 | 프로필 크기가 커질수록 로그오프 시간이 증가하다 | 동반 이벤트가 없거나 간헐적으로만 발생하다 | 리디렉션/제외 폴더/정리 정책으로 크기를 관리하다 |
4. 해결 절차를 “재현 가능”하게 진행하다
이 절차는 “원인 가설을 세우고 로그로 검증한 뒤 변경을 최소화하여 적용”하는 방식으로 구성하다.
4.1 먼저 이벤트 메시지를 분해하여 범주를 확정하다
이벤트 1534는 메시지 한 줄로 결론을 내리기 어렵다. 최소한 다음 정보를 수집하다.
- 이벤트 1534 메시지의 알림 종류가 Load인지 Delete인지 확인하다.
- 메시지에 포함된 구성 요소 GUID를 기록하다.
- 같은 시간대에 User Profile General 1509, 1504가 있는지 확인하다.
- 발생 시점이 로그온 직후인지 로그오프 직전인지 분리하다.
최근 7일 기준으로 이벤트 1534와 동반 이벤트를 추출하는 기본 명령 예시는 다음과 같다.
powershell # 최근 7일 Application 로그에서 User Profile Service 1534 추출을 수행하다 $start = (Get-Date).AddDays(-7) Get-WinEvent -FilterHashtable @{ LogName = 'Application' Id = 1534 ProviderName = 'Microsoft-Windows-User Profiles Service' StartTime = $start } | Select-Object TimeCreated, Id, LevelDisplayName, Message | Sort-Object TimeCreated | Out-File -Encoding UTF8 "C:\Temp\Event1534_Last7Days.txt"
같은 기간 User Profile General(1509,1504)도 함께 확인하다
Get-WinEvent -FilterHashtable @{
LogName = 'Application'
Id = 1509,1504
ProviderName = 'Microsoft-Windows-User Profiles General'
StartTime = $start
} | Select-Object TimeCreated, Id, LevelDisplayName, Message |
Sort-Object TimeCreated |
Out-File -Encoding UTF8 "C:\Temp\UserProfileGeneral_Last7Days.txt"4.2 Windows 10 1803 계열에서 “불필요 폴더 동기화” 문제를 먼저 배제하다
Windows 10 버전 1803에서는 로밍에서 일반적으로 제외되던 일부 폴더가 동기화 대상에 포함되면서 로그온·로그오프 지연과 접근 거부가 발생하는 사례가 알려져 있다.
이 경우 이벤트 1509에서 AppData 하위, WindowsApps, Edge 관련 파일 복사 실패와 Access is denied가 반복되다.
가장 우선 조치는 해당 버전에 대한 누적 업데이트 적용이다.
업데이트 적용이 즉시 어렵거나, 정책으로 특정 제외 목록을 강제해야 하는 환경이라면 ExcludeProfileDirs 설정을 복구하는 방식으로 우회하다.
ExcludeProfileDirs는 사용자별 레지스트리(HKCU)에 존재하다. 참조 원본(정상 동작하는 기준 PC)에서 키를 내보내고, 문제 PC에 가져오는 방식으로 표준화하다.
cmd :: 기준 PC(정상 PC)에서 ExcludeProfileDirs를 내보내다 reg export "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ExcludeProfileDirs" "C:\Temp\ExcludeProfileDirs.reg" /y
:: 문제 PC(동일 사용자 컨텍스트)에서 ExcludeProfileDirs를 가져오다
reg import "C:\Temp\ExcludeProfileDirs.reg"도메인 환경에서는 사용자별 레지스트리 배포 방식이 필요하다. 일반적으로는 GPP(그룹 정책 기본 설정) 레지스트리 항목 또는 로그온 스크립트로 배포하다.
ExcludeProfileDirs의 값은 환경별로 달라지므로 “기준 PC의 값”을 표준으로 삼는 방식이 안전하다.
4.3 1509 “Access is denied”가 보이면 잠금 주체부터 제거하다
로밍 프로필 동기화 지연의 실질적 원인은 “복사 대상 파일이 잠겨서 재시도 루프가 길어지는 상황”인 경우가 많다.
특히 다음 유형의 프로세스가 사용자 프로필 하위 파일을 점유하면서 로그오프를 지연시키기 쉽다.
- 백신 및 EDR 실시간 감시가 프로필 캐시 파일을 스캔하다.
- 데스크톱 검색 인덱서가 AppData 하위를 인덱싱하다.
- UWP/스토어 앱이 WindowsApps 또는 패키지 캐시를 점유하다.
- 브라우저가 종료되지 않거나 확장 기능이 백그라운드에서 남아있다.
운영 정책에 맞게 다음 순서로 조치하다.
- 보안 제품의 실시간 검사 제외 경로에 “로밍 프로필 캐시 경로”와 “리디렉션 경로”를 포함하다.
- 인덱싱 대상에서 로밍 프로필의 불필요 캐시 폴더를 제외하다.
- 로그오프 시 브라우저 백그라운드 실행을 제한하다.
- 문제 파일이 특정 앱에 종속된다면 해당 앱의 캐시 폴더를 로밍 제외 목록에 반영하다.
잠금 파일을 확인할 때는 “어떤 프로세스가 어떤 파일 핸들을 잡고 있는지”가 핵심이다. 운영 표준에 따라 Sysinternals 도구 또는 보안 제품 제공 도구를 사용해 점유 프로세스를 식별하다.
4.4 ProfileNotification 잔재로 이벤트 1534가 반복되면 TDL 키를 점검하다
이벤트 1534 메시지가 “Profile notification … failed” 형태로 반복되고, 동반 파일 복사 오류가 뚜렷하지 않다면 ProfileNotification 구성 요소 잔재를 의심하다.
일부 환경에서는 ProfileNotification 하위에 남은 특정 키가 반복 경고를 유발하다. 대표적으로 TDL 키가 지목되는 경우가 있다.
점검 경로는 다음과 같다.
regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileNotification해당 경로에 TDL 키가 존재하고, 권한 문제로 삭제가 막히거나 이벤트 발생 시점과 연관성이 높다면 다음 순서로 정리하다.
- 레지스트리 전체 백업을 수행하다.
- ProfileNotification 하위 키를 내보내 백업하다.
- TDL 키 권한에서 Administrators에 전체 제어 권한을 부여하다.
- TDL 키를 삭제하고 서버를 재부팅하다.
4.5 공유 경로 및 권한을 “정상 사용자 기준”으로 비교하다
로밍 프로필은 파일 복사 작업이므로 공유 권한과 NTFS 권한이 불완전하면 지연과 실패가 반복되다.
다음 표는 프로필 공유 경로에서 자주 누락되는 점검 항목을 운영 기준으로 정리한 것이다.
| 점검 항목 | 정상 기준 | 이상 징후 | 조치 방향 |
|---|---|---|---|
| 공유 권한 | 사용자 또는 도메인 그룹이 변경/읽기/쓰기 가능하다 | 특정 사용자만 Access is denied가 발생하다 | 공유 권한과 NTFS 권한의 교집합을 재정의하다 |
| NTFS 소유권/상속 | 사용자 폴더는 사용자 또는 관리 정책 계정이 소유하다 | 상속이 끊겨 신규 파일 생성이 실패하다 | 표준 ACL 템플릿으로 상속을 복구하다 |
| 경로 길이 | 프로필 경로 및 하위 경로가 과도하게 길지 않다 | 특정 앱 캐시에서만 복사가 실패하다 | 해당 캐시를 로밍 제외 또는 리디렉션 대상으로 전환하다 |
| 동시 접속 및 잠금 | 중복 로그온이 통제되거나 컨테이너 방식으로 분리하다 | 같은 계정이 여러 세션에서 동시에 쓰기 작업을 수행하다 | 동시 세션 정책을 조정하거나 프로필 기술을 전환하다 |
4.6 로밍 프로필 크기를 관리하여 “지연이 커지는 구조”를 제거하다
프로필 동기화 지연은 프로필 크기 증가에 비례하여 악화되다. 운영에서는 “무조건 빠르게”보다 “커지지 않게”가 핵심이다.
다음과 같은 관리 원칙을 적용하다.
- 문서, 바탕화면, 사진과 같은 대용량 폴더는 폴더 리디렉션을 사용하다.
- 브라우저 캐시, 앱 캐시, 임시 폴더는 로밍 제외 목록으로 관리하다.
- 프로필 내 WindowsApps 또는 대규모 패키지 데이터가 동기화 대상이 되지 않게 정책을 점검하다.
- 사용자 데이터는 별도 데이터 영역으로 분리하고 프로필은 “설정 중심”으로 유지하다.
4.7 증상이 고착화되면 “프로필 재생성”으로 정상화하다
이미 동기화 실패가 누적되어 프로필이 비정상 상태로 고착화되면, 원인 제거만으로 즉시 정상화되지 않을 수 있다.
이 경우 운영 절차에 따라 프로필을 재생성하는 방식이 효과적이다.
- 사용자 데이터 중 반드시 보존해야 하는 항목을 별도 경로로 백업하다.
- 해당 사용자를 로그오프시키고, 서버 및 클라이언트에서 프로필 잠금이 없음을 확인하다.
- 클라이언트의 로컬 프로필 캐시를 표준 도구로 제거하다.
- 서버의 로밍 프로필 폴더를 정책에 따라 초기화하거나 .old로 보관하다.
- 사용자가 재로그온하여 새 프로필을 생성하도록 유도하다.
5. 재발 방지 운영 체크리스트를 표준화하다
로밍 프로필 동기화 지연은 기술 문제이면서 운영 문제이다. 다음 체크리스트로 재발 가능성을 낮추다.
| 영역 | 표준 항목 | 권장 주기 | 기대 효과 |
|---|---|---|---|
| 버전 관리 | 클라이언트 OS 업데이트 수준을 표준 빌드로 고정하다 | 분기 | 특정 버전 결함으로 인한 동기화 지연을 줄이다 |
| 제외 목록 | ExcludeProfileDirs 또는 동등 정책을 기준 PC 값으로 유지하다 | 반기 | 불필요 동기화를 억제하다 |
| 보안 제품 | 프로필/리디렉션 경로 제외 정책을 검증하다 | 월간 | Access is denied와 재시도 지연을 줄이다 |
| 용량 관리 | 프로필 용량 상한과 대용량 폴더 리디렉션을 적용하다 | 월간 | 로그오프 지연의 구조적 증가를 막다 |
| 모니터링 | 1534,1509,1504 이벤트 발생량을 지표로 관리하다 | 주간 | 장애 전조를 조기에 탐지하다 |
FAQ
이벤트 1534만 쌓이고 체감 문제는 없으면 무시해도 되나?
체감 문제가 없더라도 이벤트 1534가 급증하면 환경 변화(업데이트, 앱 배포, 보안 정책 변경)가 있었음을 의미하다.
동반 이벤트 1509, 1504가 없고 로그온·로그오프 지연도 없다면 즉시 조치보다 원인 분류와 추세 관찰이 합리적이다.
반대로 로그온·로그오프 지연이 존재한다면 이벤트 1534는 원인 규명의 단서이므로 조치를 수행하는 편이 안전하다.
ExcludeProfileDirs는 어떤 값을 넣어야 정상인가?
ExcludeProfileDirs는 조직의 앱 구성과 운영 정책에 따라 달라지다.
가장 안전한 방법은 “동일 업무 앱이 설치된 정상 PC”를 기준으로 내보내어 동일 조직 내 표준값으로 배포하는 방식이다.
임의로 값을 생성하면 필요한 설정까지 로밍에서 제외되어 사용자 설정 손실이 발생할 수 있다.
1509에서 Access is denied가 반복되면 무엇부터 의심해야 하나?
파일이 잠겨 복사가 실패하는 상황을 우선 의심하다.
보안 제품 실시간 감시, 인덱서, 브라우저 백그라운드 프로세스가 대표적 원인이다.
잠금 주체를 식별하고 제외 정책 또는 캐시 제외 목록으로 동기화 대상에서 제거하는 방식이 가장 재현성이 높다.
ProfileNotification의 TDL 키 삭제는 언제 적용해야 하나?
이벤트 1534가 프로필 알림 구성 요소 실패 형태로 반복되고, 파일 복사 오류가 뚜렷하지 않으며, ProfileNotification 하위에 TDL 키가 존재할 때 적용하는 접근이다.
HKLM 변경이므로 백업과 변경관리 절차를 반드시 수행한 뒤 적용해야 하다.
로밍 프로필 대신 다른 기술로 전환하면 해결되나?
전환은 해결책이 될 수 있으나, 조직의 인증 구조, 저장소, 보안, 라이선스, 사용자 경험 요구사항에 따라 효과가 달라지다.
우선은 제외 목록 표준화, 잠금 원인 제거, 용량 관리로 로밍 프로필 자체의 지연 요인을 줄이는 편이 비용 대비 효과가 큰 경우가 많다.