RODC 암호를 복제 되었을 때 Windows 서버에 대 한 잘못 된 권한 부여

증상

일반적으로 읽기 전용 도메인 컨트롤러 (Rodc)만 허용 된 RODC 암호 복제 그룹 의 구성원 또는 RODC 계정의 RevealOnDemandGroup를 특성에 나열 된 사용자 계정에 대해 사용자 암호를 복제 합니다.

그러나 허용 된 RODC 암호 복제 그룹 의 구성원 또는 RODC 계정의 RevealOnDemandGroup를 특성에 나열 되지 않은 일부 사용자 계정에 대해 사용할 수 있습니다 하는 계정을 위한 암호는 RODC에 의해 인증 됩니다 RODC에서 캐시할 수 있습니다.

예를 들어, Active Directory 사용자 및 컴퓨터 스냅인과 "repadmin /prp 뷰 RODC_name 표시"의 출력을 사용 하 여 고급 암호 복제 정책 속성의 출력을 비교 하는 경우 둘 사이 나열 된 항목 다.

원인

이 문제는 잘못 된 사용 권한 구성에 의해 발생 합니다.

기본적으로 쓰기 가능한 Dc만을 포함 하는 엔터프라이즈 도메인 컨트롤러 그룹 권한이 디렉터리 변경 모두 복제 도메인 파티션에 있습니다. 예를 들어, "DC = contoso, DC = com" Active Directory에 있습니다.

그러나 문제가 발생 하는 경우 문제가 RODC에 디렉터리 변경 모두 복제 권한이 도메인에서 엔터프라이즈 읽기 전용 도메인 컨트롤러 그룹 또는 RODC 개체 관리자에 의해 부여 된 직접 또는 간접적으로 다른 그룹 구성원 자격을 통해.

일반적으로 Rodc는 사용자 계정이 허용 된 RODC 암호 복제 그룹 의 구성원 또는 RODC 계정의 RevealOnDemandGroup를 특성에 나열 된 경우 사용자 암호를 복제만.

디렉터리 변경 모두 복제 권한이 있는 암호를 포함 한 모든 사용자 특성을 하면 RODC는 일반적인 읽기 쓰기 DC (RWDC) 것 처럼 RODC로 원본 DC에서에서 복제 됩니다.

해결 방법

이 문제를 해결 하려면 엔터프라이즈 도메인 컨트롤러를 읽기 전용디렉터리 변경 복제개체에 부여 된 권한을 디렉터리 변경 모두 복제 변경 합니다.

추가 정보

권한을 확인 하 고 발생 어디에서 잘못 된 사용 권한을 확인 하려면 다음이 단계를 수행 합니다.

1 단계

LDP를 사용 하 여 도메인에서 "액세스 제어" 권한을 볼 수 있습니다.  이렇게 하려면 다음 단계를 수행:

  1. 도메인 컨트롤러에서 LDP.exe 명령을 실행 합니다.

  2. 트리에 연결 (예를 들어, "DC = contoso, DC = com").

  3. 마우스 오른쪽 단추로 클릭 하면 DC = contoso, DC = com 노드를 고급선택 하 고 보안 설명자를 선택 합니다.

  4. 사용 권한을 텍스트 뷰의 텍스트 덤프 옵션 선택 하거나, GUI 보안 편집기를 선택 합니다.

  5. 을 확인 사용 권한을 확인 하면 엔터프라이즈 읽기 전용 도메인 컨트롤러 그룹 만 권한이 디렉터리의 변경 내용을 복제 합니다.

2 단계

디렉터리 변경 모두 복제 부여 되었는지 여부를 하 고 다른 그룹을 통해 확인 하는 RODC의 그룹 구성원 자격을 확인 합니다.

RODC의 true 구성원 자격을 얻으려면 LDP 도구를 사용 하 여 사용자의 유효한 그룹 목록을 가져오는 토큰 그룹 특성에 대 한 쿼리를 사용할 수 있습니다.

검색

"자료" 범위를 선택 하 고 필요한 특성을 추가 해야 합니다. 개별 사용자에 대 한 검색 범위를 지정 하는 해당 사용자에 대 한 목록을 얻게 됩니다. 사용자 그룹에 있으면 LDP 창 오른쪽에 인쇄 되는 데이터의 양을 확장, Options\General 메뉴에서 선택한 해야 줄당 문자 수 필드를 더 높은 값을 조정:

특성

3 단계

Windows Server 2008 R2, Windows 7, Windows Server 2008 또는 Windows Vista의 다음 문서에 설명 되어 있는 문제가 발생 하는지 확인 합니다.

"Active Directory 사용자 및 컴퓨터" MMC 스냅인에 나타나지 않으면 Windows에서 RODC에 캐시 된 암호가 모든 계정

4 단계

Confirm 도메인의 모든 도메인 컨트롤러에는 RODC 컴퓨터 계정 속성의 일관성.

한 가지 방법은 모든 도메인 컨트롤러에서 RODC의 컴퓨터 계정 복제 메타 데이터를 내보내려면 repadmin 을 사용 하는 것입니다. 이렇게 하려면 다음 명령을 사용 합니다.

repadmin /showobjmeta * <dn of RODC account>’ > rodc_meta.txt

5 단계

이와 유사 하 게 4 단계를 일관성 확인은 "RODC 암호 복제를 허용" 그룹RevealOnDemandGroup를 특성에 구성 된 기타 그룹 경우 잘못 캐시 된 사용자 암호에 대 한 설명 확인 다른 Dc에 일치 하지 않는 그룹 구성원에는 복제 문제가 발생할 수 있습니다.

6 단계

사용자 암호는 RODC에서 캐시 되지 실수로 암호를 캐시 하도록 구성 된 그룹의 구성원을 확인 합니다.

참고 MMC 항상 암호 복제 정책 정보 repadmin /prp 명령은 하는 동안 (심지어는 RODC 자체)를 도메인 컨트롤러에서 수집가 읽기 / 쓰기 도메인 컨트롤러를 검색.

RW DC와 RODC 간의 복제 일관성 오류를 모두 있는 경우이 출력 두 가지 유틸리티/방법의 차이 설명이 될 수 있습니다.

추가 도움이 필요하신가요?

기술 향상
교육 살펴보기
새로운 기능 우선 가져오기
Microsoft Insider 참가

이 정보가 유용한가요?

소중한 의견에 감사드립니다.

피드백을 주셔서 감사합니다. Office 지원 에이전트와 연락하는 것이 도움이 될 것 같습니다.

×