디렉토리 서비스 및 사용자 인식 오류 문제 해결

이 문서에서는 일반적인 디렉토리 서비스 및 사용자 인식 문제와 제안된 해결책을 설명합니다. 자세한 내용은 디렉토리 서비스를 위한 Windows 서버 구성을 참조하십시오.

오류: 도메인 컨트롤러에 연결할 수 없음

도전 과제

이 오류 메시지는 주로 잘못된 자격 증명으로 인해 도메인 컨트롤러(DC)에 연결 실패를 나타냅니다. 이 오류 메시지는 보통 "잘못된 자격 증명" 오류 메시지에 뒤따릅니다.

해결책

Cato 관리 애플리케이션(액세스 > 디렉토리 서비스)에서 LDAP 인증 연결 설정(로그인 DN, 기본 DN 및 비밀번호)을 올바르게 입력했는지 확인하십시오.

오류: NT_STATUS_ACCESS_DENIED

도전 과제

이 오류 메시지는 권한 문제를 나타냅니다. Cato 관리 애플리케이션은 DC에 액세스할 수 없는 경우 알림을 보냅니다. 이 오류 메시지는 보통 분석 섹션에서 이벤트: “DC_Connectivity_Failure”에 뒤따릅니다. Cato 관리 애플리케이션은 DC와의 연결이 실패할 때 (매시간) 이 이벤트를 생성합니다.

해결책

이 문제를 해결하려면 다음 단계를 따르십시오:

  1. 사용자 이름과 비밀번호를 확인하세요. 올바른 로그인 DN과 비밀번호를 입력했는지 확인하십시오. 소켓 또는 DC 자체의 LAN 인터페이스에서 패킷(PCAP)을 캡처하여 소켓이 연결 시도 중에 올바른 사용자 이름을 보내는지 확인하십시오.
  2. 도메인 컨트롤러 설정에서 이벤트 로그를 읽기 위한 사용자 권한을 확인하십시오. 온라인 도움말 가이드를 따르십시오 - Windows 구성.
  3. 일일 동기화 디렉토리 서비스 그룹 및 사용자(사용자 인식)를 활성화한 경우 도메인 컨트롤러를 실시간 동기화용으로 구성했는지 확인하십시오. "연결 테스트"를 클릭하고 "연결 성공" 결과가 나타나는지 확인하십시오.
  4. 모니터링 섹션의 이벤트에서 이벤트를 확인하세요. 이벤트 유형: 시스템 및 이벤트 하위 유형: 디렉토리 서비스를 기준으로 이벤트를 필터링하고 DC 연결 또는 동기화 오류를 찾을 수 있습니다.
  5. 온라인 도움말 가이드를 따라 도메인 컨트롤러 구성 설정을 확인하십시오.
  6. 인터넷 또는 WAN 방화벽에 의해 트래픽이 차단되지 않았는지 확인하십시오. 신원이 확인되지 않은 사용자를 차단하는 방화벽 규칙이 Cato 동기화 사용자를 차단하고 디렉토리 서비스를 차단할 수 있습니다.
  7. 온라인 도움말 가이드의 모든 구성 단계를 다시 검토하여 각 단계가 올바르게 수행되었는지 확인하십시오. 연결에 사용되는 서비스 계정의 권한이 올바르게 설정되지 않은 경우 액세스 거부 오류가 발생합니다.

오류: NT_STATUS_UNSUCCESSFUL

도전 과제

PoP이 실시간 동기화를 위해 DC에 접근할 수 없을 때 Cato 관리 애플리케이션이 이 오류를 생성합니다. 이 오류는 "상태 보기" 버튼을 클릭하거나 계정 관리자에게 이메일을 통해 표시됩니다.

해결책

이 오류는 보통 사용자 인식 기능 설정의 오구성을 나타냅니다. 방화벽 또는 라우팅 구성으로 인해 발생할 수 있습니다. 이 문제를 해결하려면 다음 단계를 따르십시오:

  1. 이벤트를 확인하고 식별되지 않은 사용자의 이벤트가 있는지 확인하십시오.
  2. 식별되지 않은 사용자로 인해 트래픽이 인터넷/WAN 방화벽에 의해 차단되지 않았는지 확인하십시오.
  3. 사용자 인식 기능을 처음 활성화하고 DC 동기화 오류가 발생하는 경우 각 단계가 올바르게 설정되었는지 확인하십시오. 
  4. DC가 정상 작동 중인지 확인하십시오.
  5. 소켓 UI에서 트래픽 캡처를 실행하고 소켓의 LAN 인터페이스에서 패킷(PCAP)을 캡처하십시오. 클릭하여 상태 보기 버튼을 클릭하십시오. 캡처를 중지하고 Cato PoP에서 WMI 쿼리와 캡처 파일에서 서버 대응을 찾으세요 (Wireshark 같은 네트워크 패킷 분석 도구를 사용하여). DC가 IPsec 사이트 뒤에 있는 경우,DC 자체에서 캡처를 실행하세요.

오류: NT_RPC_NT_CALL_FAILED

도전 과제

NT_RPC_NT_CALL_FAILED 오류는 DC의 RPC 서비스가 응답하지 않는다는 것을 나타냅니다. 도메인 컨트롤러에서 "상태 표시" 버튼을 클릭할 때 이 오류가 발생합니다. 

해결책

  1. 도메인 컨트롤러가 작동 중인지 확인하고 CPU 사용량과 메모리를 점검하세요. 가끔 CPU 사용량 또는 메모리의 높은 사용량이 서버 과부하를 유발합니다.
  2. DC의 Windows 서비스가 시작되고 자동 시작으로 설정되어 있는지 확인하세요:
    • 서버
    • 원격 레지스트리
    • WMI

오류: NT 코드 0x80010111

도전 과제

이 오류는 PoP와 DC 간의 RPC 헤더 불일치로 인해 PoP가 DC와 통신할 수 없음을 의미합니다.

해결책

이 오류는 Windows Server 2022에서 확인된 DC의 RPC 버전이 검증되어 일반적으로 발생하는 오류입니다. 이는 고객이 직면할 수 있는 알려진 문제입니다. 이 오류가 발생하면 Cato 지원에 티켓을 열어 문제를 해결하세요.

UA 동기화 오류 NT 코드 0xc002001b

문제

오류 0xc002001b NT 코드 0xc002001b는 도메인 컨트롤러의 RPC 서비스가 응답하지 않아 발생합니다.

이 오류는 액세스 > 사용자 인식 > LDAP에서 "연결 테스트"를 클릭할 때나 계정 관리자에게 이메일을 보낼 때 나타날 수 있습니다. 

이 문제는 다음을 유발할 수 있습니다:

  • 사용자가 이벤트 및 분석에서 식별되지 않습니다.
  • 사용자가 식별되지 않아 인터넷/WAN 방화벽에 의해 트래픽 차단이 됩니다.
  • 고객의 사용자 인식 새로운 설정 및 DC 동기화 오류 발생. 

가능한 원인

이 문제는 도메인 컨트롤러에서 자원이 고갈되어 발생할 수 있습니다.

문제 해결

다음 단계는 수행할 수 있는 문제 해결 단계입니다: 

  • 도메인 컨트롤러가 켜져 있고 자원이 고갈되지 않았는지(특정 CPU 사용량 또는 RAM 피크 없음) 확인하세요.

    • 가능하면 서버의 RAM과 CPU 수량을 늘리세요.
    • 서버에 더 많은 물리적 리소스를 추가할 수 없는 경우, WMI 공급자 서비스 메모리를 늘리고, 처리할 수 있는 할당량을 관리하며, 보안 이벤트 로그 크기를 줄이기 위해 아래 단계를 따르세요:
      보안 로그 크기 제한을 1MB로 줄이려면 아래 단계를 따르세요:
      1. 이벤트 뷰어를 열기
      2. 이벤트 뷰어 > Windows 로그 > 보안으로 이동
      3. 보안을 오른쪽 클릭하고 속성을 클릭
      4. 최대 로그 크기 (KB)1024로 설정
      5. 최대 이벤트 로그 크기에 도달했을 때 필요한 경우 이벤트 덮어쓰기 (가장 오래된 이벤트 우선)을 선택하거나 로그가 가득 차면 아카이브하고, 이벤트를 덮어쓰지 않기.
      6. 확인을 클릭

  • 필요한 도메인 컨트롤러 서비스가 실행 중인지 확인하세요 (services.msc를 열고 서버, 원격 레지스트리,Windows 관리 도구가 시작되고 자동 시작으로 설정되어 있는지 확인).

  • 도메인 컨트롤러가 스트레스 징후를 보일 경우, 서버를 재시작해야 할 수도 있습니다.

오류: 도메인 컨트롤러에 연결할 수 없음 0xc0000001 NT_STATUS_UNSUCCESSFUL

Cato 관리 애플리케이션에서 다음과 같이 상태 오류 메시지를 본 경우:

도메인 컨트롤러에 연결할 수 없음 0xc0000001 NT_STATUS_UNSUCCESSFUL . 도메인 컨트롤러가 Cato 네트워크에 올바르게 통합되었는지 확인하십시오. 문제가 지속되면 Cato 지원팀에 문의하세요. 세부 사항은 여기를 클릭하세요.

이것은 도메인 컨트롤러의 잘못된 구성으로 인해 발생할 수 있는 일반적인 오류입니다. 구성 가이드를 따르도록 권장합니다.

오류 - 도메인 컨트롤러에 연결할 수 없음 (코드 6)

Cato 관리 애플리케이션에서 다음과 같이 코드 6 연결 오류를 본 경우:

문제를 해결하기 위한 몇 가지 단계가 있습니다.

소켓 재연결

소켓 웹UI를 사용하여 소켓을 Cato 클라우드에 연결하고 재연결하면 이 문제가 해결됩니다.

경고! 소켓 재연결 동작은 사이트의 모든 현재 세션을 연결 해제합니다. 소켓은 몇 초 안에 Cato 클라우드에 다시 연결되며, 그 후 곧바로 연결성이 복원됩니다. 그러나 연결에 민감한 일부 트래픽(예: 전화 통화)이 중단됩니다.

소켓에서 재연결 동작을 수행하려면:

  1. 웹 브라우저에서 소켓 웹UI에 연결하고, https://<Cato Socket IP 주소>를 입력합니다.
    예시: https://10.0.0.26
  2. 사용자 이름과 비밀번호를 입력합니다.
  3. Cato 연결 설정 탭을 선택합니다.
  4. 다시 연결을 클릭합니다.
  5. 소켓 웹UI에서 로그아웃합니다.

DC로의 연결 문제 해결

소켓 재연결 동작을 수행한 후에도 DC 오류가 지속되는 경우, DC로의 연결 문제 해결을 위한 추가 제안 사항은 다음과 같습니다:

  1. DC와 Cato 클라우드의 연결을 확인하십시오.
  2. DC와 Cato 클라우드 간에 양방향 통신이 있는지 확인하십시오.

DC가 Cato 클라우드에 연결되어 있는지 확인하려면:

  1. DC가 전원 공급 중인지 확인하십시오.
  2. Cato 관리 애플리케이션에서 홈페이지 > 계정 토폴로지로 이동하여 DC가 있는 사이트가 Cato 클라우드에 연결되어 있는지 확인하십시오.
  3. 다른 사이트의 호스트에서 DC를 핑하거나 Cato VPN에 연결된 상태에서 핑하십시오.
  4. DC를 핑할 수 없는 경우, 문제를 해결할 수 있는 몇 가지 방법은 다음과 같습니다:
    • Cato 관리 애플리케이션에서 홈페이지 > 이벤트에서 차단 이벤트를 확인하십시오. ICMP 트래픽이 DC로 허용되도록 WAN 방화벽 정책을 변경해야 합니까?
    • DC에서 라우팅 테이블을 확인하고 트래픽이 Cato 소켓 또는 IPsec 터널로 라우팅되고 있는지 확인하십시오.
    • DC에서 Windows 방화벽 정책을 확인하여 ICMP 트래픽이 차단되지 않도록 하십시오.

DC와 Cato 클라우드 간의 통신을 검증하려면:

  1. 소켓의 LAN 인터페이스에서 패킷 캡처를 실행합니다.
    • DC가 IPsec 사이트 뒤에 있는 경우, DC 자체에서 캡처를 실행하십시오.
  2. 양방향 통신이 있는 경우, Cato VPN 범위(기본값 10.41.0.0/16)에서 시작된 DC의 TCP/135 연결을 볼 수 있습니다.
    참고: Cato는 연결을 시작하기 위해 VPN 범위 내의 모든 IP 주소를 사용할 수 있습니다.
    참고: Windows Server 2008부터, 모든 방화벽을 통해 WMI 프로세스를 위한 TCP 49152-65535도 허용해야 합니다. WMI 서비스 전용으로 Windows 방화벽 규칙을 추가하는 것도 가능합니다.  참조: https://docs.microsoft.com/ko/windows/win32/wmisdk/connecting-to-wmi-remotely-starting-with-vista 
  3. 양방향 통신을 보여주는 연결을 찾을 수 없는 경우, 문제를 해결하기 위한 몇 가지 방법은 다음과 같습니다:
    • VPN 범위에서 도메인 컨트롤러로 오는 트래픽이 보이지 않는 경우, Cato 지원팀에 문의하세요.
    • Cato VPN 범위에서 도메인 컨트롤러로 TCP/135의 SYN 패킷만 보이는 경우, 도메인 컨트롤러의 연결성을 확인하세요:
      1. 도메인 컨트롤러에서 라우팅 테이블을 검사하고 트래픽이 Cato 소켓 또는 IPsec 터널로 라우팅되는지 확인하세요.
      2. 도메인 컨트롤러에서 Windows 방화벽 정책을 확인하고 트래픽이 차단되지 않았는지 보장하세요.

사용자 인식에 의해 매핑되지 않음

도전 과제

일부 경우에는 탐색 창에서 "매핑되지 않은 사용자"로 표시됩니다. 매핑되지 않은 사용자의 이유는 PoP가 실시간으로 사용자 이름을 발견했으나 사용자가 LDAP 동기화 중에 가져오지 않았고 식별되지 않았기 때문입니다. 따라서 이벤트 AD 이름 필드는 매핑되지 않은 사용자로 표시됩니다.

해결 방법

  1. 사용자가 그룹에 속해 있는지 확인하세요. Cato의 디렉토리 서비스를 도메인 컨트롤러에서 사용자 및 그룹을 가져오는 것으로 구성했으며, 사용자가 구성된 그룹에 속하지 않은 경우 매핑되지 않은 사용자로 나타납니다.
  2. 도메인 컨트롤러의 감사 정책 구성을 확인하세요. 자세한 내용은 도메인 컨트롤러의 감사 정책 구성을 참조하십시오.

로그온 이벤트가 탐색에 나타나지 않음

도전 과제

계정에 대해 사용자 인식을 활성화했지만 탐색에서 사용자의 로그인 이벤트를 볼 수 없는 경우, 다음 해결책에 설명된 단계에 따라 진행하세요.

해결 방법

도메인 컨트롤러의 감사 정책 구성을 확인하세요. 자세한 내용은 도메인 컨트롤러의 감사 정책 구성을 참조하십시오.

디렉토리 서비스 동기화가 사용자를 가져오지 않음

도전 과제

사용자 인식 기능을 통해 사이트 뒤에 있는 호스트의 사용자 이름을 실시간으로 보여줍니다. 이 기능은 분석 섹션에서 호스트의 IP 주소뿐만 아니라 사용자 이름도 확인할 수 있게 해줍니다. 사용자는 디렉토리 서비스 동기화를 통해 채워집니다. 동기화는 LDAP를 사용해 도메인 컨트롤러 서버를 쿼리합니다. 때때로 LDAP 동기화는 다양한 이유로 실패할 수 있습니다. 예를 들어, Microsoft LDAP는 단일 쿼리에서 1500개 미만의 속성을 가진 객체만 반환할 수 있는 제한을 가지고 있습니다. 대형 조직은 그룹에 쉽게 1500명 이상의 멤버를 할당할 수 있습니다. 따라서 PoP가 LDAP 쿼리를 실행할 때, 1500명 이상의 멤버가 있는 모든 그룹은 Cato 관리 애플리케이션으로 빈 멤버 리스트를 반환하여 CMA에서 비활성화/삭제된 사용자로 이어집니다.

해결 방법

LDAP 사용하여 사용자 동기화에서 언급했듯이, 이 제한으로 인해 사용자가 원하지 않게 비활성화/삭제되는 것을 방지하기 위해, CMA에서 "그룹 멤버십 업데이트 방지" 옵션을 구성하여 단일 동기화에서 사용자 그룹 멤버십을 변경할 수 있는 사용자의 최대 수를 사용자 정의할 수 있습니다.

도메인 컨트롤러에서 빈 쿼리 응답 문제를 해결하려면 다음 단계를 따르세요:

  1. 도메인 컨트롤러 내 다음의 Windows 서비스가 실행 중이며 자동으로 설정되어 있는지 확인하십시오:
  • 서버
  • WMI
  • 원격 레지스트리
  1. 도메인 컨트롤러의 Microsoft LDAP 정책 속성을 MaxValRange로 조정할 수 있습니다. 이 속성은 반환되는 값의 수를 제어합니다. 다음 두 기사를 사용하여 MaxValRange를 높이거나 제한을 완전히 제거하십시오. AD 속성을 수정하고 싶지 않다면 Cato에서 1500명 미만 사용자 그룹을 수집할 수 있습니다.

MS 기사: ntdsutil 도구를 사용하여 MaxValRange를 조정하는 방법: https://support.microsoft.com/en-gb/help/315071/how-to-view-and-set-ldap-policy-in-active-directory-by-using-ntdsutil

제한을 완전히 제거하는 방법에 대한 MS 기사/블로그:
https://docs.microsoft.com/ko/archive/blogs/qzaidi/override-the-hardcoded-ldap-query-limits-introduced-in-windows-server-2008-and-windows-server-2008-r2

GPO를 사용할 때 누락된 감사 이벤트

도전

고급 보안 감사 정책 설정이 적용된 GPO를 사용 중이며 모든 이벤트 ID가 로그에 기록되지 않는 경우 솔루션에 설명된 단계를 따르십시오.

해결책

도메인 컨트롤러에 대한 감사 정책 구성을 확인하십시오. 추가 정보는 도메인 컨트롤러에 대한 감사 정책 구성을 참조하십시오.

도메인 컨트롤러에 대한 감사 정책 구성

감사 정책은 도메인 컨트롤러에 로컬로 정의하거나 GPO를 통해 적용할 수 있습니다. GPO는 로컬 보안 정책을 덮어씁니다. 고급 감사 정책 설정은 기본 감사 정책 설정을 덮어씁니다.

감사 정책이 Windows 보안 로그에서 사용자 인식 및 사용자 매핑을 수행하는 이벤트 ID로 구성되어 있는지 확인하십시오.

다음 목록에는 Cato에서 감사 정책에 사용하는 이벤트 ID가 포함되어 있습니다:

  • 4768 - Kerberos 인증 티켓 (TGT)가 요청되었습니다
  • 4769 - Kerberos 서비스 티켓이 요청되었습니다
  • 4770 - Kerberos 서비스 티켓이 갱신되었습니다
  • 4776 - 도메인 컨트롤러가 계정 자격 증명을 검증하려고 했습니다\
  • 4624 - 계정이 성공적으로 로그인되었습니다
  • 4648 - 명시적인 자격 증명을 사용하여 로그인이 시도되었습니다
  • 5140 - 네트워크 공유 객체에 액세스했습니다
  • 5145 - 네트워크 공유 객체를 클라이언트가 원하는 액세스를 받을 수 있는지 여부를 확인하기 위해 점검했습니다

 

DC에서 로컬로 감사 정책 구성

  1. 로컬 보안 정책 열기.
  2. 기본 감사 정책을 구성하려면 보안 설정 > 로컬 정책 > 감사 정책으로 이동하거나 고급 감사 정책을 구성하려면 보안 설정 > 고급 감사 정책 구성 > 감사 정책으로 이동하여 더 세분화된 로그 제어를 제공합니다.

 

그룹 정책을 사용하여 감사 정책을 구성하려면:

  1. 그룹 정책 관리 편집기를 엽니다.
  2. 모든 도메인 컨트롤러에 적용되는 GPO에서 마우스 오른쪽 버튼을 클릭하고 "편집"을 선택합니다.
  3. 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 로컬 정책 > 기본 감사 정책을 위한 감사 정책 또는 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 고급 감사 정책 구성을 확장합니다.

 

다음 목록에는 Cato의 사용자 인식에 사용되는 이벤트 ID가 포함되어 있습니다:

기본 감사 정책

  • 로그인 이벤트 감사 - 4624, 4648
  • 계정 로그인 이벤트 감사 - 4768, 4769, 4770, 4776
  • 개체 액세스 감사 - 5140, 5145

 

고급 감사 정책

  • 계정 로그인
    • Kerberos 인증 서비스 감사 – 4768
    • Kerberos 서비스 티켓 작업 감사 - 4769, 4770
    • 감사 자격 증명 검증 – 4776
  • 로그온/로그오프
    • 감사 로그온 - 4624, 4648
  • 객체 접근 권한
    • 감사 파일 공유 – 5140
    • 감사 상세 파일 공유 - 5145

다음 명령어를 명령 프롬프트에서 실행하여 DC에서 효과적인 감사 정책을 확인할 수 있습니다: auditpol /get /category:*

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개