이 영역을 누르면 첫 페이지로 이동
개새닷컴 블로그의 첫 페이지로 이동

개새닷컴

페이지 맨 위로 올라가기

개새닷컴

IT 지식 창고, Windows, Linux, Software, Hardware, Development

Active Directory 보안 로그 이벤트 4771 Kerberos 사전 인증에 실패했습니다.

  • 2021.11.27 01:02
  • 운영체제/윈도우 서버
반응형

AD서버 윈도우 보안 취약점 패치 후 비밀번호 5회 틀릴 시 계정 잠금 기능을 활성화 했는데요.

특정 사용자들이 비밀번호 5회 틀리지 않아도 계정이 잠기는 현상이 발생하여

AD서버에 로그인 인증 실패 감사 로그를 활성화 시켰습니다.

활성화 시키자마자 뜬 이벤트 로그는 4771 Kerberos 사전 인증에 실패했습니다. 메세지이고

관련 정보를 인터넷에 찾아보니 스마트카드 관련 문제라고 나오긴 합니다만 실질적으로 스마트카드 시스템이 달려있는 PC에서 인증 시도를 한게 아니여서 관련 없을 것 같아 보입니다.

일단 특정 사용자들 컴퓨터를 확인해보니 컴퓨터 종료 시 컴퓨터가 제대로 종료가 안되는 문제가 있었습니다.

요건 사용자 PC 상태 문제가 있는거라서 그런것 같은데요

해당 컴퓨터 증상으로는 종료 중 표시만 뜨고 계속 빙글빙글 표시가 돌기만하고 실제로 컴퓨터가 안 꺼집니다.

근데 문제가 이 종료 중 상태에서 AD서버와 계속 Kerberos 인증을 위한 통신을 하고 있었고 종료 중인 상태여서 비밀번호값을 당연히 넘길 수 없어서 AD는 비밀번호가 틀렸다고 인식하여 계정을 잠궈버린겁니다.

 

이 문제를 해결하기 위해 사용자 컴퓨터를 점검하여 컴퓨터 종료 시 못 끄게 방해하는 프로세스를 죽이던지

아니면 AD서버에서 Kerberos로 미리 인증 받지 않도록 설정하는 방법 2가지가 있습니다.

저는 Kerberos를 미리 인증 받지 않도록 설정하는 방법으로 조치하였습니다.

왜냐면 사용자 컴퓨터 원인은 너무 복합적이라 쉽지 않기 때문이죠.

 

  AD 특정 사용자 Kerberos로 미리 인증 받지 않도록 설정하기

1. 특정 사용자가 계속 계정이 잠기는 현상이 발생하여 로그를 확인해보니 위와 같은 로그가 표시됩니다.

이벤트 4771, Kerberos 사전 인증에 실패했습니다.

 

사전 인증을 못 하도록 설정하기 위해 Active Directory가 설치된 서버로 들어가서

Active Directory 사용자 및 컴퓨터 관리도구(dsa.msc)로 들어가줍시다.

 

2. dsa.msc로 들어오면 위와 같이 뜨실텐데요

AD 도메인의 루트를 선택해줍니다.

 

3. 도메인의 루트를 선택하시고 동작 메뉴를 클릭해줍시다.

 

4. 동작 탭이 열리면 찾기 메뉴를 눌러서 검색창을 띄워줍시다.

 

5. 검색창이 뜨시면 아까 계정이 계속 잠기는 계정의 아이디를 검색하기 위해

찾기 항목에 사용자, 연락처, 그룹을 위치 항목에 AD 도메인의 루트 항목(최상단)을 선택하시고

이름에 계정 이름을 넣어줍시다.

성함을 넣어도 되고 아이디를 넣어도 됩니다.

로그에는 아이디가 표시되므로 아이디로 넣어줍시다.

 

6. 아이디 입력하고 지금 찾기 버튼을 눌러주세요.

 

7. 제대로 입력하셨다면 위와 같이 계정이 나옵니다.

아이디가 비슷하다면 여러개가 나올 수 있으니 잘 확인해서 해당 사용자를 선택해줍시다.

 

8. 해당 사용자를 선택 후 우 클릭을 눌러서 메뉴 탭을 띄우고 속성 버튼을 눌러주세요.

 

9. 해당 계정의 속성 창이 떳습니다.

계정 탭으로 들어가줍니다.

 

10. 계정 탭으로 들어가면 위와 같은 창이 표시되고

계정 옵션에서 최 하단으로 내려가줍니다.

 

11. 계정 옵션에서 최하단으로 내려오면

Kerberos로 미리 인증될 필요 없음 이라는 선택 항목이 나옵니다.

해당 항목을 체크 해주시고

위 사진 처럼 이 계정은 현재 Active Directory 도메인 컨트롤러에서 잠겨있습니다. 라는 메시지가 써져있으면

계정 잠금 해제 체크박스도 체크해줍시다.

 

12. 두 항목을 모두 선택하셨다면 적용 버튼을 눌러줍시다.

 

13. 적용 버튼을 누르면 계정 잠금 해제 체크박스가 체크가 해제됩니다. ( 실제로는 계정 잠금 해제가 이루어진 것으로 체크 해제 된거 신경 안 쓰셔도 됩니다. )

 

확인 버튼을 눌러서 속성 창을 닫아줍니다.

 

 

이제 계속 잠기던 계정이 안 잠기게 될겁니다.

반응형
저작자표시 비영리 동일조건 (새창열림)

'운영체제 > 윈도우 서버' 카테고리의 다른 글

Windows Server 2022 작업관리자 성능탭에서 디스크 성능 카운터 표시  (0) 2022.05.03
윈도우 서버 2022 설치하기, Windows Server 2022 설치하기  (2) 2021.12.14
윈도우 서버 최신 그룹 정책 관리 템플릿(ADMX) 적용하기  (2) 2021.11.29
윈도우 서버 최신 그룹 정책 관리 템플릿(ADMX) 다운로드  (0) 2021.04.30

댓글

이 글 공유하기

  • 구독하기

    구독하기

  • 카카오톡

    카카오톡

  • 라인

    라인

  • 트위터

    트위터

  • Facebook

    Facebook

  • 카카오스토리

    카카오스토리

  • 밴드

    밴드

  • 네이버 블로그

    네이버 블로그

  • Pocket

    Pocket

  • Evernote

    Evernote

다른 글

  • Windows Server 2022 작업관리자 성능탭에서 디스크 성능 카운터 표시

    Windows Server 2022 작업관리자 성능탭에서 디스크 성능 카운터 표시

    2022.05.03
  • 윈도우 서버 2022 설치하기, Windows Server 2022 설치하기

    윈도우 서버 2022 설치하기, Windows Server 2022 설치하기

    2021.12.14
  • 윈도우 서버 최신 그룹 정책 관리 템플릿(ADMX) 적용하기

    윈도우 서버 최신 그룹 정책 관리 템플릿(ADMX) 적용하기

    2021.11.29
  • 윈도우 서버 최신 그룹 정책 관리 템플릿(ADMX) 다운로드

    윈도우 서버 최신 그룹 정책 관리 템플릿(ADMX) 다운로드

    2021.04.30
다른 글 더 둘러보기

정보

개새닷컴 블로그의 첫 페이지로 이동

개새닷컴

  • 개새닷컴의 첫 페이지로 이동

검색

메뉴

  • 홈
  • 공지사항
  • 모든 글 보기

카테고리

  • 모든 글 보기 (235)
    • 운영체제 (75)
      • 윈도우11 (7)
      • 윈도우 (51)
      • 윈도우 서버 (5)
      • 리눅스 (12)
    • 가상화 (17)
      • VMWARE (9)
      • HYPER-V (6)
      • VirtualBox (2)
    • 네트워크 (16)
    • 소프트웨어 (69)
      • 사용법 (19)
      • 다운로드 (50)
    • 하드웨어 (1)
      • 리뷰 (1)
      • 조립기 (0)
    • 게임 (14)
      • 마인크래프트 (3)
    • 오피스 (1)
      • 엑셀 (1)
    • 보안 (4)
    • 개발 (4)
    • 사이트 (5)
    • 직박구리 (20)
    • 광고 (9)
      • 무료광고 (9)
      • 유료광고 (0)

최근 글

인기 글

댓글

공지사항

아카이브

태그

  • windows10
  • NFT거래
  • Coinghost
  • 윈도우10
  • 코인고스트
  • 하이퍼바이저
  • COGOSCHOOL
  • 코고스쿨

나의 외부 링크

  • 인터넷, 세상과 소통하다.

정보

김루노의 개새닷컴

개새닷컴

김루노

블로그 구독하기

  • 구독하기
  • 네이버 이웃 맺기
  • RSS 피드

방문자

  • 전체 방문자
  • 오늘
  • 어제

티스토리

  • 티스토리 홈
  • 이 블로그 관리하기
  • 글쓰기
Powered by Tistory / Kakao. © 김루노. Designed by Fraccino.

티스토리툴바