Active Directory 보안 로그 이벤트 4771 Kerberos 사전 인증에 실패했습니다.

AD서버 윈도우 보안 취약점 패치 후 비밀번호 5회 틀릴 시 계정 잠금 기능을 활성화 했는데요.

특정 사용자들이 비밀번호 5회 틀리지 않아도 계정이 잠기는 현상이 발생하여

AD서버에 로그인 인증 실패 감사 로그를 활성화 시켰습니다.

활성화 시키자마자 뜬 이벤트 로그는 4771 Kerberos 사전 인증에 실패했습니다. 메세지이고

관련 정보를 인터넷에 찾아보니 스마트카드 관련 문제라고 나오긴 합니다만 실질적으로 스마트카드 시스템이 달려있는 PC에서 인증 시도를 한게 아니여서 관련 없을 것 같아 보입니다.

일단 특정 사용자들 컴퓨터를 확인해보니 컴퓨터 종료 시 컴퓨터가 제대로 종료가 안되는 문제가 있었습니다.

요건 사용자 PC 상태 문제가 있는거라서 그런것 같은데요

해당 컴퓨터 증상으로는 종료 중 표시만 뜨고 계속 빙글빙글 표시가 돌기만하고 실제로 컴퓨터가 안 꺼집니다.

근데 문제가 이 종료 중 상태에서 AD서버와 계속 Kerberos 인증을 위한 통신을 하고 있었고 종료 중인 상태여서 비밀번호값을 당연히 넘길 수 없어서 AD는 비밀번호가 틀렸다고 인식하여 계정을 잠궈버린겁니다.

 

이 문제를 해결하기 위해 사용자 컴퓨터를 점검하여 컴퓨터 종료 시 못 끄게 방해하는 프로세스를 죽이던지

아니면 AD서버에서 Kerberos로 미리 인증 받지 않도록 설정하는 방법 2가지가 있습니다.

저는 Kerberos를 미리 인증 받지 않도록 설정하는 방법으로 조치하였습니다.

왜냐면 사용자 컴퓨터 원인은 너무 복합적이라 쉽지 않기 때문이죠.

 

  AD 특정 사용자 Kerberos로 미리 인증 받지 않도록 설정하기

1. 특정 사용자가 계속 계정이 잠기는 현상이 발생하여 로그를 확인해보니 위와 같은 로그가 표시됩니다.

이벤트 4771, Kerberos 사전 인증에 실패했습니다.

 

사전 인증을 못 하도록 설정하기 위해 Active Directory가 설치된 서버로 들어가서

Active Directory 사용자 및 컴퓨터 관리도구(dsa.msc)로 들어가줍시다.

 

2. dsa.msc로 들어오면 위와 같이 뜨실텐데요

AD 도메인의 루트를 선택해줍니다.

 

3. 도메인의 루트를 선택하시고 동작 메뉴를 클릭해줍시다.

 

4. 동작 탭이 열리면 찾기 메뉴를 눌러서 검색창을 띄워줍시다.

 

5. 검색창이 뜨시면 아까 계정이 계속 잠기는 계정의 아이디를 검색하기 위해

찾기 항목에 사용자, 연락처, 그룹을 위치 항목에 AD 도메인의 루트 항목(최상단)을 선택하시고

이름에 계정 이름을 넣어줍시다.

성함을 넣어도 되고 아이디를 넣어도 됩니다.

로그에는 아이디가 표시되므로 아이디로 넣어줍시다.

 

6. 아이디 입력하고 지금 찾기 버튼을 눌러주세요.

 

7. 제대로 입력하셨다면 위와 같이 계정이 나옵니다.

아이디가 비슷하다면 여러개가 나올 수 있으니 잘 확인해서 해당 사용자를 선택해줍시다.

 

8. 해당 사용자를 선택 후 우 클릭을 눌러서 메뉴 탭을 띄우고 속성 버튼을 눌러주세요.

 

9. 해당 계정의 속성 창이 떳습니다.

계정 탭으로 들어가줍니다.

 

10. 계정 탭으로 들어가면 위와 같은 창이 표시되고

계정 옵션에서 최 하단으로 내려가줍니다.

 

11. 계정 옵션에서 최하단으로 내려오면

Kerberos로 미리 인증될 필요 없음 이라는 선택 항목이 나옵니다.

해당 항목을 체크 해주시고

위 사진 처럼 이 계정은 현재 Active Directory 도메인 컨트롤러에서 잠겨있습니다. 라는 메시지가 써져있으면

계정 잠금 해제 체크박스도 체크해줍시다.

 

12. 두 항목을 모두 선택하셨다면 적용 버튼을 눌러줍시다.

 

13. 적용 버튼을 누르면 계정 잠금 해제 체크박스가 체크가 해제됩니다. ( 실제로는 계정 잠금 해제가 이루어진 것으로 체크 해제 된거 신경 안 쓰셔도 됩니다. )

 

확인 버튼을 눌러서 속성 창을 닫아줍니다.

 

 

이제 계속 잠기던 계정이 안 잠기게 될겁니다.