현재 오프라인 상태입니다. 인터넷에 다시 연결하기를 기다리고 있습니다.

Windows Server 기반 컴퓨터에서 실패할 수 있다 1010 개 이상 그룹의 구성원 인 사용자 계정으로 로그온

2015년 7월 14일 Windows Server 2003 지원 종료

Microsoft는 2015년 7월 14일 Windows Server 2003에 대한 지원을 종료했습니다. 이러한 변경에 따라 해당 소프트웨어 업데이트 및 보안 옵션이 영향을 받습니다. 사용자에게 미치는 영향 및 계속 보호를 받는 방법에 대해 알아보십시오.

이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.

이 문서의 영문 버전 보기:328889
현상
사용자가 로그온 할 때 로컬 컴퓨터 계정이 나 도메인 사용자 계정에 로그온 요청을 사용 하 여 컴퓨터를 실패할 수 있으며 다음과 같은 오류 메시지가 나타납니다.
로그온 메시지: 해당 시스템 로그온 할 수 없습니다 다음 오류로 인해: 로그온 시도 도중, 사용자의 보안 컨텍스트 너무 많은 보안 Id가 쌓 였습니다. 다시 시도 하거나 시스템 관리자에 게 문의 하십시오.
로그온 사용자는 명시적 또는 전이 소속 약 1010 인지 더 많은 보안 그룹에서이 문제가 발생 합니다.

이벤트 종류: 경고
이벤트 원본: LsaSrv
이벤트 범주: 없음
이벤트 ID: 6035
날짜:날짜
시간:시간
사용자: n/A
컴퓨터: 호스트 이름

설명:

로그온 하려는 동안 사용자의 보안 컨텍스트에 너무 많은 보안 Id를 누적. 매우 이례적인 상황입니다. 보안 보안 문맥으로 병합 하려면 Id의 수를 줄이는 일부 글로벌 또는 로컬 그룹에서 사용자를 제거 합니다.

사용자의 SID는 SID

관리자 계정의 경우 안전 모드에서 로그온 하면 관리자 그룹 구성원 자격을 자동으로 제한 하 여 로그온 할 수 있습니다.

원인
사용자가 컴퓨터에 로그온 할 때 로컬 보안 기관 (LSA, 로컬 보안 기관 하위 시스템 부분) 사용자의 보안 컨텍스트를 나타내는 액세스 토큰을 생성 합니다. 액세스 토큰에 있는 모든 그룹의 구성원 인 사용자에 대 한 고유한 보안 식별자 (SID)로 이루어져 있습니다. 이러한 Sid는 전이적 그룹 및 사용자 및 그룹 계정의 SIDHistory의 SID 값을 포함 합니다.

액세스 토큰에는 사용자의 그룹 구성원 Sid를 들어 있는 배열입니다 1024 개 까지만 포함할 수 Sid. LSA는 SID는 토큰에서 삭제할 수 없습니다. 따라서 더 Sid 인에 LSA 액세스 토큰을 만들 실패 하 고 사용자 로그온 할 수 없습니다.

Sid 목록이 빌드될 때 LSA의 (전이적으로 평가)는 사용자의 그룹 구성원 Sid 이외에 몇 가지 일반, 잘 알려진 Sid도 삽입 됩니다. 따라서 사용자 이상 약 1,010 사용자 지정 보안 그룹의 구성원 인 경우 Sid의 총 수 제한을 초과 하 여 1, 024 SID입니다.

중요
  • 관리자와 관리자가 아닌 계정에 대 한 토큰 제한 적용 됩니다.
  • 로그온 유형 (예를 들어, 대화형, 서비스, 네트워크) 및 도메인 컨트롤러와 토큰을 생성 하는 컴퓨터의 운영 체제 버전을 사용 하 여 Sid 사용자 지정의 개수에 따라 다릅니다.
  • Kerberos 또는 NTLM을 인증 프로토콜로 사용 하는 액세스 토큰 제한에 관련이 없습니다.
  • 기술 자료에서 설명 하는 Kerberos 클라이언트 "MaxTokenSize" 설정이 327825. "토큰"의 Kerberos 컨텍스트 수신 호스트가 Windows Kerberos 티켓에 대 한 버퍼를 가리킵니다. Sid 및이 SID 압축이 사용 되는지 여부, 티켓의 크기에 따라 버퍼에 더 적은 저장할 수 또는 보다 많은 더 많은 Sid 액세스 토큰에 맞출 것.
사용자 정의 하는 Sid 목록 다음이 포함 됩니다.
  • 사용자/컴퓨터 및 보안 그룹의 Sid가 기본 계정이 소속입니다.
  • 로그온의 범위에 있는 그룹의 SIDHistory 특성에 Sid를 지정 합니다.
SIDHistory 특성은 다중값을 포함할 수 있으므로 1024 제한 Sid에 도달할 수 있습니다 신속 하 게 계정을 여러 번 마이그레이션됩니다. 액세스 토큰의 Sid 수 다음과 같은 경우의 구성원 인 사용자는 그룹의 총 개수 보다 beless 수행 합니다.
  • 아웃 SIDHistory 및 Sid 필터링은 트러스트 된 도메인의 사용자는.
  • 사용자는 트러스트 된 도메인의 트러스트 Sid 격리 된 곳입니다. 그런 다음 동일한 도메인 사용자의 Sid만 포함 되어 있습니다.
  • 도메인 로컬 그룹 Sid만 리소스 도메인에서 포함 되어 있습니다.
  • 서버 로컬 그룹 Sid만 리소스 서버에서 포함 되어 있습니다.
이러한 차이점으로 인해 사용자 컴퓨터를 하나의 도메인에 있지만 다른 도메인의 컴퓨터를 로그온 할 수 있는 수는. 사용자는 도메인의 한 서버 아니라 동일한 도메인에 있는 다른 서버에 로그온 할 수도 있습니다.
해결 방법
이 문제를 해결 하려면 상황에 맞게 다음 방법 중 하나를 사용 합니다.

방법 1

이 해상도는 사용자가 로그온 오류가 발생 하면 관리자가 아닌, 상황에 적용 하 고 관리자의 로그온 성공적으로 컴퓨터 또는 도메인에.

이 해결 방법은 영향을 받는 사용자가 소속 된 그룹 구성원 자격을 변경할 수 있는 권한이 있는 관리자에 의해 수행 되어야 합니다. 관리자는 사용자가 (전이적 그룹 구성원 및 로컬 그룹 구성원 자격을 고려) 약 1010 개 이상의 보안 그룹의 구성원이 더 이상 있는지 확인 하려면 사용자의 그룹 구성원 자격을 변경 해야 합니다.

사용자 토큰에 Sid의 수를 줄일 수 있는 옵션은 다음과 같습니다.
  • 충분 한 수의 보안 그룹에서 사용자를 제거 합니다.
  • 메일 그룹을 사용 하지 않는 보안 그룹을 변환 합니다. 메일 그룹은 액세스 토큰 제한에 대 한 의존 하지 말 것. 변환 된 그룹이 필요한 경우 메일 그룹 보안 그룹에 다시 변환할 수 있습니다.
  • 보안 사용자 리소스 액세스에 대 한 의존 SID 기록에 있는지 확인 합니다. 그렇지 않으면에서 이러한 계정을 SIDHistory 특성을 제거 합니다. 정식 복원을 통해 특성 값을 검색할 수 있습니다.
참고: 사용자의 구성원이 될 수 있는 보안 그룹 최대 1024 있지만 모범 사례로 수에 제한 미만의 1010. 이 숫자는 있는지 해당 토큰 생성 항상 성공 합니다 LSA에 의해 삽입 된 일반 Sid에 대 한 공간을 제공 하기 때문에.

방법 2

해상도 administrator에서 계정은 컴퓨터에 로그온 할 수 없습니다 상황에 적용 됩니다.

너무 많은 그룹 구성원 인 로그온 실패 한 사용자 관리자 그룹의 구성원 인 경우 관리자 계정 (즉, 한 잘 알려진 RID 상대 식별자 [] 500 가진 계정)에 대 한 자격을 가진 관리자에 게 다시 시작 해야 도메인 컨트롤러가 안전 모드 시작 옵션을 선택 하 여 (또는 안전 모드 (네트워킹 사용) 시작 옵션을 선택 하 여). 안전 모드에서 그 다음 로그온 해야 도메인 컨트롤러에이 관리자 계정 자격 증명을 사용 하 여.

Microsoft는 관리자가 얼마나 많은 전이적 그룹 또는 관리자 계정의 멤버인 자동사 그룹에 관계 없이 로그온 할 수 있도록 LSA 관리자 계정의 액세스 토큰을 만들 수 있도록 토큰 생성 알고리즘을 변경 되었습니다. 이러한 안전 모드 시작 옵션 중 하나를 사용 하면 관리자 계정에 대해 만든 액세스-토큰의 모든 기본 제공 관리자 계정이 있는 모든 도메인의 글로벌 그룹 Sid를 포함 합니다.

일반적으로 이러한 그룹은 다음과 같습니다.
  • 모든 사람 (S-1-1-0)
  • 빌트인 (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • NT AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT AUTHORITY\Authenticated 사용자 (S-1-5-11)
  • 현지 (S-1-2-0)
  • 도메인\Domain Users(S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • 도메인\Domain Admins (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
  • BUILTIN\Pre Windows 2000 호환 되는 Access(S-1-5-32-554) 모든 사용자가이 그룹의 구성원
  • NT AUTHORITY\This 조직 (S-1-5-15) 도메인 컨트롤러가 Windows Server 2003을 실행 하는 경우
참고:안전 모드 시작 옵션을 사용 하는 Active Directory 사용자 및 컴퓨터 스냅인에서 사용자 인터페이스 (UI)을 사용할 수 없습니다. Windows Server 2003에서 관리자가 로그온 할 수 있습니다 또는안전 모드 (네트워킹 사용) 시작 옵션을 선택 하 여 이 모드에서는 Active Directory 사용자 및 컴퓨터 스냅인 UI를 사용할 수 있습니다.

안전 모드 시작 옵션 중 하나를 선택 하 고 관리자 계정의 자격 증명을 사용 하 여 관리자가 로그온 관리자 확인 및 로그온 서비스 거부가 발생할 보안 그룹의 구성원 수정 다음 해야 합니다.

이 변경 후 사용자와 같은 도메인의 복제 대기 시간 동안 경과한 후에 성공적으로 로그온 할 수 있어야 합니다.
추가 정보
종종 일반 계정의 Sid는 다음과 같습니다.
모든 사람 (S-1-1-0)
빌트인 (S-1-5-32-545)
BUILTIN\Administrators (S-1-5-32-544)
NT AUTHORITY\Authenticated 사용자 (S-1-5-11)
로그온 세션 Sid (S-1-5-5-X-Y)
중요: "Whoami" 공구 사용 액세스 토큰을 검사할 수 있습니다. 이 도구는 로그온 세션의 SID를 표시 하지 않습니다.

로그온 세션 유형에 따라 Sid에 대 한 예제:
현지 (S-1-2-0)
콘솔 로그온 (S-1-2-1)
NT AUTHORITY\NETWORK (S-1-5-2)
NT AUTHORITY\SERVICE (S-1-5-6)
NT AUTHORITY\INTERACTIVE (S-1-5-4)
NT AUTHORITY\TERMINAL 서버 사용자 (S-1-5-13)
NT AUTHORITY\BATCH (S-1-5-3)
자주 사용 하는 주 그룹 Sid:
도메인 \Domain 컴퓨터 (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-515)
도메인 \Domain 사용자 (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
도메인 \Domain 관리자 (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
Sid가 있어 로그온 세션을 확인 하는 방법을 설명 하는.
인증 기관 id를 (S-1-18-1) 설정 되었습니다.
서비스 중단 되었습니다 identity (S-1-18-2)
토큰의 일관성 수준을 나타내는 Sid:
(S-1-16-8192) 중간 필수 수준
높은 필수 수준 (S-1-16-12288)
액세스 토큰은 다음과 같은 Sid를 선택적으로 포함할 수 있습니다.
BUILTIN\Pre Windows 2000 호환 되는 Access(S-1-5-32-554) 모든 사용자가이 그룹의 구성원
NT AUTHORITY\This 조직 (S-1-5-15)는 컴퓨터와 동일한 포리스트의 계정이 있을 경우입니다.
참고
  • "로그온 세션 SID" SID 항목 마지막에 나오는 참고 보시 도구 출력 목록에서 Sid를 계산 하지 않으며 모든 대상 컴퓨터와 로그온 유형 완료 되었는지 가정 합니다. 계정 Sid 1000 보다 더 되었을 경우,이 한계에 도달 발생할 위험이 되는 것이 좋습니다. 반드시, 토큰을 만들 위치를 컴퓨터에 따라 서버 또는 워크스테이션의 로컬 그룹도 추가할 수 있습니다.
  • xxxxxxxx-yyyyyyyy-zzzzzzzzindicates는 SID의 도메인 또는 워크스테이션 구성 요소입니다.
다음 예제는 도메인 로컬 보안 그룹에에서 표시 되는 사용자의 토큰 사용자가 도메인에 있는 컴퓨터에 로그온 할 때입니다.

이 예제에서는 Joe 도메인 A에 속하고 도메인 A\Chicago 사용자는 도메인 로컬 그룹의 구성원을 가정 합니다. Joe는 도메인 B\Chicago 사용자는 도메인 로컬 그룹의 구성원 이기도합니다. Joe가 로그온 할 때 (예: 도메인 A\Workstation1) A 도메인에 속한 컴퓨터에 토큰 Joe에 대 한 컴퓨터에 만들어지고 토큰 SID가 포함 되어, 모든 유니버설 및 글로벌 그룹 구성원 외에도 도메인 A\Chicago 사용자. 김 기록 (도메인 A\Workstation1)에 컴퓨터 a에 속하기 때문에 B\Chicago 사용자 도메인의 SID를 포함 되지 않습니다.

Joe 도메인 B (예를 들어, 도메인 B\Workstation1)에 속해 있는 컴퓨터에 로그온 할 때 컴퓨터에서 Joe에 대 한 토큰을 생성 하 고 토큰 SID가 포함 되어, 모든 유니버설 및 글로벌 그룹 구성원 외에 B\Chicago 사용자 도메인에 대 한 마찬가지로, Joe (도메인 B\Workstation1)에 기록 하는 컴퓨터 도메인 b 속하므로 도메인 A\Chicago 사용자 SID를 포함 되지 않습니다.

그러나 Joe 도메인 C (예를 들어, 도메인 C\Workstation1)에 속해 있는 컴퓨터에 로그온 할 때 토큰에 Joe Joe's 사용자 계정에 대 한 모든 유니버설 및 글로벌 그룹 구성원 자격이 포함 된 로그온 컴퓨터에 생성 됩니다. 도 아니고 도메인 A\Chicago 사용자 SID SID 해당 Joe가의 구성원이 도메인 로컬 그룹 토큰에 표시 되는 도메인 B\Chicago 사용자 Joe 로그온 (도메인 C\Workstation1)는 컴퓨터가 아닌 다른 도메인에 있습니다. 반대로, Joe 도메인 C (예: 도메인 C\Chicago 사용자) 속한 일부 도메인 로컬 그룹의 구성원 인 경우 Joe에 대 한 컴퓨터에서 생성 되는 토큰이 포함 됩니다, 모든 유니버설 및 글로벌 그룹 구성원 외에도 도메인 C\Chicago 사용자에 대 한 SID.

경고: 이 문서는 자동으로 번역되었습니다.

속성

문서 ID: 328889 - 마지막 검토: 06/20/2016 10:44:00 - 수정: 4.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 Datacenter without Hyper-V, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB328889 KbMtko
피드백
s">