설치 중에 사용된 관리자 계정이 필수 구성 요소 확인 중에 잠겨서 소프트웨어 응용 프로그램을 설치할 수 없는 상황이 있습니다. 몇 가지 조사 끝에 원인을 찾았습니다. 전제 조건 검사에서는 FQDN이 아닌 서버의 IP 주소에 대한 RPC 호출을 통해 다른 서버의 원격 레지스트리 설정을 살펴보는데, 이로 인해 어떤 이유로 인증이 실패하고 계정이 잠기게 됩니다.
우리는 다음을 수행하여 이를 검증했습니다.
- regedit를 사용하고 서버의 FQDN을 사용하여 다른 AD 서버의 레지스트리에 연결을 시도하면 문제 없이 연결됩니다.
- 서버의 IP 주소를 사용하여 동일한 연결을 시도하면 새 자격 증명을 묻는 메시지가 나타납니다.
- 모든 AD 자격 증명이 실패하고 결국 사용 중인 계정이 잠기지만 로컬 관리자 계정을 사용하는 데는 문제가 없습니다.
환경 내 다른 서버에서도 이 테스트를 수행했지만 IP로 연결하고 인증하는 데 문제가 없었습니다. NIC/DNS/WINS 설정을 비교했지만 눈에 띄는 차이는 없었습니다. GPO 설정을 교차 확인하는 단계에 있지만 아무것도 찾을 수 없을 것으로 예상됩니다.
당연히 로컬 관리자 계정을 사용할 수도 있지만 이해하고 싶습니다.왜FQDN이 아닌 IP 주소를 사용하는 RPC 호출로 인해 AD 인증이 실패하고 AD 계정이 잠깁니다. 어떤 아이디어가 있나요?
답변1
계정이 잠기면 확실히 비밀번호 문제가 있는 것입니다. 그렇지 않으면 Kerberos가 사용되지 않고 NTLM이 비활성화되어 있기 때문일 수 있습니다. 원본 및 대상 서버의 보안 로그를 확인하고 인증 문제와 관련될 수 있는 로그 항목을 제공해야 합니다.
이것을 시도해 볼 수도 있습니다. 그러나 어떤 것이 작동하지 않는 이유조차 모르는 상태에서 변경하는 것은 그리 효율적이지 않으며 다른 것을 망칠 수도 있습니다.
Windows 10 버전 1507 및 Windows Server 2016부터 Kerberos 클라이언트는 SPN에서 IPv4 및 IPv6 호스트 이름을 지원하도록 구성할 수 있습니다.
기본적으로 Windows는 호스트 이름이 IP 주소인 경우 호스트에 대해 Kerberos 인증을 시도하지 않습니다. NTLM과 같은 다른 활성화된 인증 프로토콜로 대체됩니다. 그러나 응용 프로그램은 IP 주소를 사용하도록 하드코딩되는 경우가 있습니다. 이는 응용 프로그램이 Kerberos를 사용하지 않고 NTLM으로 대체된다는 의미입니다. 환경이 NTLM을 비활성화하도록 이동함에 따라 호환성 문제가 발생할 수 있습니다.
NTLM 비활성화로 인한 영향을 줄이기 위해 관리자가 IP 주소를 서비스 사용자 이름의 호스트 이름으로 사용할 수 있는 새로운 기능이 도입되었습니다.
자세한 내용은 다음에서 확인하세요.
https://docs.microsoft.com/en-us/windows-server/security/kerberos/configuring-kerberos-over-ip