Windows의 암호 변경 처리 및 충돌 해결 기능
이 문서에서는 관리자가 PDC(기본 도메인 컨트롤러)에 연락하는 시기를 제어하는 데 사용할 수 있는 레지스트리 값을 설명합니다. 이 값은 사이트 간 통신 비용을 줄이고 PDC의 부하를 줄이는 데 도움이 될 수 있습니다.
중요
이 문서에는 레지스트리 수정에 대한 정보가 포함되어 있습니다. 레지스트리를 수정하기 전에는 꼭 백업해야 하며 문제가 발생할 경우 레지스트리를 복원하는 방법을 알아 두어야 합니다. 레지스트리를 백업, 복원, 편집하는 방법에 대한 자세한 내용은 고급 사용자를 위한 Windows 레지스트리 설명을 참조하세요.
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
원래 KB 번호: 225511
요약
기본적으로 사용자 암호를 재설정하거나 변경하거나 도메인 컨트롤러가 잘못된 암호를 사용하여 클라이언트 인증 요청을 받으면 Windows 도메인에 대한 PDC FSMO(유연한 단일 마스터 작업) 역할 소유자 역할을 하는 Windows 도메인 컨트롤러에 연결됩니다. 이 문서에서는 관리자가 PDC에 연락하는 시기를 제어하는 데 사용할 수 있는 레지스트리 값을 설명합니다. 이 값은 사이트 간 통신 비용을 줄이고 PDC의 부하를 줄이는 데 도움이 될 수 있습니다.
PDC에 대한 이 통신은 컴퓨터 계정에 대해 수행되지 않습니다. 인증에 실패하면 컴퓨터는 가장 최근의 이전 암호로 인증을 다시 시도합니다. 동일한 줄을 따라 컴퓨터는 수신하는 Kerberos 서비스 티켓의 암호를 해독할 때 가장 최근의 이전 암호를 시도합니다.
추가 정보
경고
레지스트리 편집기를 잘못 사용하면 심각한 문제가 발생할 수 있으며 문제를 해결하기 위해 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 레지스트리 편집기를 잘못 사용함으로써 발생하는 문제에 대해 해결을 보증하지 않습니다. 레지스트리 편집기의 사용에 따른 모든 책임은 사용자에게 있습니다.
아래 설명된 대로 암호 변경 알림 및 암호 충돌 해결을 제어하도록 다음 레지스트리 값을 수정할 수 있습니다.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
- 레지스트리 값: AvoidPdcOnWan
- 레지스트리 유형: REG_DWORD
- 레지스트리 값 데이터: 0(또는 값이 없음) 또는 1
- 0 또는 값이 표시되지 않음 = FALSE(사용하지 않도록 설정)
- 1 = TRUE(사용 가능)
- 기본값: (값이 없음)
암호 변경 알림
Windows 쓰기 가능 도메인 컨트롤러는 사용자 암호 변경 또는 재설정 요청을 받습니다. 암호 변경은 로컬로 변경된 다음 Netlogon 서비스를 RPC(원격 프로시저 호출)로 사용하여 PDC FSMO 역할 소유자에게 즉시 전송됩니다. 그런 다음 암호 변경은 PDC와 DC(도메인 컨트롤러)에서 모두 Active Directory 복제 프로세스를 사용하여 파트너에게 복제됩니다. Windows Read-Only 도메인 컨트롤러(RODC)가 암호 변경 요청을 수신하는 경우 요청을 허브 DC로 전달하는 인증 프록시처럼 작동합니다. 이 프록시는 요청을 받은 최초의 DC인 것처럼 작동합니다.
AvoidPdcOnWan 값이 TRUE로 설정되어 있고 PDC FSMO가 다른 사이트에 있는 경우 암호 변경 내용이 PDC로 즉시 전송되지 않습니다. 그러나 일반 Active Directory 복제를 통해 변경 내용으로 업데이트됩니다. PDC FSMO가 동일한 사이트에 있는 경우 AvoidPdcOnWan 값이 사용되지 않으며 암호 변경 내용이 PDC에 즉시 전달됩니다.
PDC에 요청을 보내는 데 문제가 있는 경우(예: 네트워크 중단) AvoidPdcOnWan이 FALSE이거나 설정되지 않은 경우에도 업데이트된 암호를 PDC 에뮬레이터로 보내지 않을 수 있습니다. 이 경우에 기록된 오류는 없습니다. 그런 다음 일반 AD 복제를 사용하여 업데이트가 배포됩니다.
암호 충돌 해결
기본적으로 Windows 도메인 컨트롤러는 사용자가 로컬 데이터베이스에 따라 잘못된 암호를 사용하여 인증을 시도하는 경우 PDC FSMO 역할 소유자를 쿼리합니다. 사용자가 클라이언트에서 보낸 암호가 PDC에서 올바르면 클라이언트에 액세스할 수 있으며 도메인 컨트롤러는 암호 변경을 복제합니다.
관리자가 PDC FSMO 역할 소유자를 사용하여 암호 충돌을 resolve 때 관리자가 AvoidPdcOnWan 값을 사용하여 제어할 수 있습니다. PDC는 로그온을 완료하고 인증 사용자에 대해 인증에 성공합니다.
AvoidPdcOnWan 값이 TRUE로 설정되어 있고 PDC FSMO 역할 소유자가 다른 사이트에 있는 경우 도메인 컨트롤러는 PDC FSMO에 저장된 암호 정보에 대해 클라이언트를 인증하지 않습니다. 그러나 이로 인해 사용자에 대한 액세스가 거부됩니다. 이로 인해 많은 사용자가 이전 암호를 인증하려고 하지 않으므로 생산성에 영향을 줄 수 있습니다. 일부 시나리오에서는 이전 암호를 모를 수 있습니다.
PDC에 요청을 보내는 데 문제가 있는 경우(예: 네트워크 중단) AvoidPdcOnWan이 FALSE이거나 설정되지 않은 경우에도 PDC 에뮬레이터에서 잘못된 암호를 시도하지 않을 수 있습니다. 이 경우에 기록된 오류는 없습니다. 이 경우 로그온 시도가 거부됩니다.
RODC가 관련된 경우 시나리오는 다릅니다. RODC에 대한 인증 요청이 잘못된 암호로 실패하면 RODC는 허브 DC에 요청을 보내고 허브 DC는 이를 PDC로 보냅니다. PDC에서 성공하면 사용자 인증이 성공합니다. RODC에서 사용자 암호를 캐시할 수 있는 경우 허브 DC에서 사용자 암호를 복제하도록 요청합니다. 그러나 허브 DC에도 여전히 이전 암호만 있습니다. RODC는 정상적인 복제 주기를 통해서만 새 암호를 가져옵니다. 새 암호가 복제될 때까지 허브 또는 PDC가 계속 필요합니다.
암호 복제 처리
쓰기 가능한 DC가 PDC에 암호 변경을 전달하면 두 DC에서 사용자 암호가 설정됩니다. 두 DC 모두 아웃바운드 복제에 이 새 암호를 포함합니다.
이러한 두 변경 내용이 DC에 도착하면 정상적인 AD 충돌 해결이 수행됩니다. 특성의 AD 버전은 동일하지만 PDC의 타임스탬프는 약간 더 오래되었으며 초기 DC의 암호가 사용됩니다.
두 DC가 동일한 새 암호 값을 작성했기 때문에 데이터 페이로드가 동일하기 때문에 차이가 없습니다.
Directory Services 이벤트 로그에 로깅
Windows Server 2022에는 암호 업데이트 알림과 관련하여 PDC 에뮬레이터와의 상호 작용 활동을 추적하는 이벤트가 추가되었습니다.
이벤트 ID 3035
이벤트 ID 3035는 다음 레지스트리 항목에서 "27 PDC 암호 업데이트 알림" 범주의 로깅 수준 4에서 PDC에 기록됩니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 3035
Task Category: PDC Password Updates
Level: Informational
Description:
Active Directory Domain Services successfully processed a password update notification sent from a Backup Domain Controller (BDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
BDC: <Computer Name>
User: <User Name>
User RID: <RID>
이벤트 ID 3036
BDC(Backup 도메인 컨트롤러)의 호출에서 업데이트로 PDC를 업데이트할 때 오류가 발생하는 경우 이벤트 ID 3036이 기록됩니다.
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 3036
Task Category: PDC Password Updates
Level: Warning
Description:
Active Directory Domain Services failed to process a password update notification sent from a Backup Domain Controller (BDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
BDC: <Computer Name>
User: <User Name>
User RID: <RID>
Error: <Error Code>
이벤트 ID 3037
이벤트 ID 3037은 다음 레지스트리 항목에서 "27 PDC 암호 업데이트 알림" 범주의 로깅 수준 4에서 BDC에 기록됩니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 3037
Task Category: PDC Password Updates
Level: Informational
Description:
Active Directory Domain Services successfully sent a password update notification to the Primary Domain Controller (PDC).
User: <User Name>
User RID: <RID>
이벤트 ID 3038
BDC의 호출에서 업데이트로 PDC를 업데이트할 때 오류가 발생하면 이벤트 ID 3038이 기록됩니다.
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 3038
Task Category: PDC Password Updates
Level: Warning
Description:
Active Directory Domain Services failed to send a password update notification to the Primary Domain Controller (PDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
User: <User Name>
User RID: <RID>
Error: <Error Code>
예제의 경우 오류 코드 c0000225는 STATUS_NOT_FOUND 매핑됩니다. 이 오류는 사용자가 로컬 도메인 컨트롤러에서 새로 만들어지고 사용자의 암호가 PDC의 복제 대기 시간 내에 설정될 때 발생합니다.
이벤트 ID 3038에서 네트워크 또는 RPC 관련 오류가 표시 될 수도 있습니다. 예를 들어 방화벽이 BDC와 PDC 간의 통신을 차단하는 경우 이 이벤트를 수신할 수 있습니다.
참조
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기