none
active directory 도메인 유저 접속 불가 RRS feed

  • 질문

  • active directory windows 2003 서버 를 사용하다가 얼마전에 windows server 2016 으로 마이그레이션 하였습니다.

    현재 windows server 2003 서버는 제거한 상태입니다.

    그후 얼마 있다가 도메인 컴퓨터 구성원인 다른 서버들에서 event id 4 가 발생하면서 도메인 admin 유저 로그인이 안되는 현상이 발생 하였으며

    로컬로 로그인 후 재부팅 하면 증상은 해소가 됩니다.

    Kerberos 클라이언트 서버 server_name$에서 KRB_AP_ERR_MODIFIED 오류를 받았습니다. 사용 되는 대상 이름 server_name$ 이었습니다. 이 대상 서버가 클라이언트에서 제공 하는 티켓의 암호를 해독 하는 데 실패 했음을 나타냅니다. 대상 서버 사용자 이름 (SPN)이 대상 서비스가 사용 하는 계정이 아닌 다른 계정에 등록 될 때 발생할 수 있습니다. 하는 SPN을 등록 이며 서버에서 사용 하는 계정에만 등록할 대상을 확인 하십시오. 대상 서비스는 대상 서비스 계정에 대 한 Kerberos 키 배포 센터 (KDC)가 무엇 보다 대상 서비스 계정에 대해 다른 암호를 사용 하는 경우에이 오류가 발생할 수 있습니다. 서버와 KDC 서비스 모두 업데이트 되도록 현재 암호를 사용 하 여 확인 하십시오. 서버 이름이 정규화 된 경우 대상 도메인 (DNS_prefix. dns_suffix)는 클라이언트의 도메인 다릅니다 (DNS_prefix. dns_suffix), 이러한 두 도메인의 서버 계정 이라고 동일 하 게 하는 경우 또는 정식 이름 서버를 식별 하기 위해 사용 합니다.

    해당 증상의 원인이 무엇인지 해결은 어떻게 하는지 알고 싶습니다.

    2019년 9월 19일 목요일 오전 6:31

모든 응답

  • 안녕하세요,

    해당 오류의 경우 DC 서버가 Client가 보낸 인증 티켓을 정상적으로 해독하지 못했음을 의미하며, DC 서버가 인증 티켓을 해독할 수 있는 키 정보가 일치하지 않는 것이 원인일 수 있습니다. 이는 Client와 인증 서버 간에 커버로스 티켓 인증 정보 간의 불일치한 부분이 존재했음을 의미합니다.

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc733987(v=ws.10)?redirectedfrom=MSDN

    리서칭 시 사례들이 확인되는데 주로 마이그레이션이나 컴퓨팅 환경이 변하면서 중복된 DNS 레코드 등이 원인이 된 사례들이 있었습니다.

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/a819a0a5-ab47-4470-b354-d39d47d57251/kerberos-krbaperrmodified-error?forum=winserverDS

    다만 재부팅 시 해결이 된다면, 예를 들면 Client의 password 등이 변경되는 등의 이유로 인증 서버간의 티켓 인증 정보가 불일치하였을 가능성이 있습니다. 이런 경우, Client를 재부팅을 하게 되면 인증 서버와 클라이언트의 인증 티켓 정보가 재설정되어 이 문제가 해결될 수 있을 것으로 생각됩니다.

    조금 더 상세한 환경 파악 및 지원을 위해서 기술 지원부의 도움을 받아보시는 것도 고려해보시기 바랍니다.

    감사합니다.


    ※ 응답이 문제 해결에 도움이 되었다면 [답변으로 표시] 버튼을 눌러 주시기 바랍니다. 이는 유사한 증상을 겪는 다른 사용자들에게 도움이 될 수 있습니다. 만약 TechNet 구독자 지원에 대한 의견이 있다면, tnsf@microsoft.com 으로 문의할 수 있습니다.

    2019년 9월 19일 목요일 오전 8:38
    중재자
  • 중복된 DNS 레코드라고 하면 SRV 레코드를 말씀하시느 건가요??
    2019년 9월 20일 금요일 오전 4:29
  • 안녕하세요,

    상기 링크에 나와 있듯 사례를 보면 A 레코드를 포함하여 모든 DNS 레코드를 전반적으로 포함한 레코드로 생각됩니다. DNS aging and scavenging에 대해선 하기 링크를 참고해보실 수 있습니다.

    https://social.technet.microsoft.com/wiki/contents/articles/21724.how-dns-aging-and-scavenging-works.aspx

    감사합니다.


    ※ 응답이 문제 해결에 도움이 되었다면 [답변으로 표시] 버튼을 눌러 주시기 바랍니다. 이는 유사한 증상을 겪는 다른 사용자들에게 도움이 될 수 있습니다. 만약 TechNet 구독자 지원에 대한 의견이 있다면, tnsf@microsoft.com 으로 문의할 수 있습니다.

    2019년 9월 20일 금요일 오전 5:51
    중재자