AD (Active directory) 동기화 이슈

증상 : AD 2번 서버(2008) 에서 사용자 생성 시, 1번 서버로 동기화가 안 됨.

 

* AD02 서버 윈도우 이벤트 로그

event id 4771

AUDIT_FAILURE Kerberos 사전 인증에 실패했습니다. 계정 정보: 보안 ID: S-1-5-21-602162358-1343024091-1708537768-34445 계정 이름: AD02$ 서비스 정보: 서비스 이름: krbtgt/dns_name 네트워크 정보: 클라이언트 주소: ::1 클라이언트 포트: 0 추가 정보: 티켓 옵션: 0x40810010 오류 코드: 0x18 사전 인증 유형: 2 인증서 정보: 인증서 발급자 이름: 인증서 일련 번호: 인증서 지문: 인증서 정보는 인증서가 사전 인증에 사용된 경우에만 제공됩니다. 사전 인증 유형, 티켓 옵션 및 오류 코드는 RFC 4120에 정의되어 있습니다. 티켓의 형식이 잘못되었거나 전송하는 동안 티켓이 손상되고 티켓 암호를 해독할 수 없는 경우 이 이벤트의 대부분의 필드가 없을 수 있습니다.

# 오류 코드: 0x18

잘못 된 비밀 번호를 제공 했습니다.

 

* AD02 서버 DNS 로그

DNS 서버가 Active Directory를 열 수 없습니다. 이 DNS 서버는이 영역에 대 한 디렉터리에서 정보를 얻고 사용 하도록 구성 되어 있으며,이를 제외 하 고는 영역을 로드할 수 없습니다. Active Directory가 제대로 작동 하 고 있는지 확인 하 고 영역을 다시 로드 하십시오. 이벤트 데이터는 오류 코드입니다.

 

* cmd 창에서 dcdiag 입력 시

Kerberos 클라이언트 서버server_name$에서 KRB_AP_ERR_MODIFIED 오류를 받았습니다. 사용 되는 대상 이름server_name$ 이었습니다. 이 대상 서버가 클라이언트에서 제공 하는 티켓의 암호를 해독 하는 데 실패 했음을 나타냅니다. 대상 서버 사용자 이름 (SPN)이 대상 서비스가 사용 하는 계정이 아닌 다른 계정에 등록 될 때 발생할 수 있습니다. 하는 SPN을 등록 이며 서버에서 사용 하는 계정에만 등록할 대상을 확인 하십시오. 대상 서비스는 대상 서비스 계정에 대 한 Kerberos 키 배포 센터 (KDC)가 무엇 보다 대상 서비스 계정에 대해 다른 암호를 사용 하는 경우에이 오류가 발생할 수 있습니다. 서버와 KDC 서비스 모두 업데이트 되도록 현재 암호를 사용 하 여 확인 하십시오. 서버 이름이 정규화 된 경우 대상 도메인 (DNS_prefix.dns_suffix)는 클라이언트의 도메인 다릅니다 (DNS_prefix.dns_suffix), 이러한 두 도메인의 서버 계정 이라고 동일 하 게 하는 경우 또는 정식 이름 서버를 식별 하기 위해 사용 합니다.

 

* 조치 방법(AD02 서버에서)

 

netdom resetpwd /s:AD01 /ud:mydomain\administrator /pd:*

>> 패스워드 입력

 

이후 ad02 서버 reboot

 

 

참고사이트 :

docs.microsoft.com/ko-kr/windows/security/threat-protection/auditing/event-4771

docs.microsoft.com/ko-kr/troubleshoot/windows-server/windows-security/use-netdom-reset-domain-controller-password