안녕하세요.
현재 AD 운영을 하고 있는데... 사용자 분께서 계정이 잠겼다고, 연락이 오셨습니다.
그래서 제가 ACCount Lockout Status 에서 확인 결과 오전 10시 6분 17분 경에 패스워드 5회
틀려서 잠긴걸로 확인이 되는데요.
그런데 사용자에게 잠겨 있다고 연락이 온 시간은 오후 12시 33분경 입니다.
사용자 말로는 그 시간때에는 정상 적으로 사용을 했고, 전화 거신 시간때에 자리를 잠시 비웠다가 화면보호기 상태에서 로그인 하려고 했더니 잠겨 있었다고 했습니다.
그래서 사용자가 접속 했던 해당 서버에서 이벤트 뷰어 확인 결과 내역이 확인 되지를 않아서
사용자 피씨에 집적 원격으로 접속 해서 이벤트 로그를 확인 했습니다.
확인 결과 아래와 같이 나오는데요.
계정 잠김 정책이 5회이상 틀리면 잠기게 설정이 되어 있는데
3번 잘못 입력 된 후 에 로그인 성공 했다가 로그오프 후에
워크스테이션 잠금해제 후에 갑자기 계정이 잠겼다고 나오는데요.
저는 당연히 해당 시간때에 잠금해제를 해드린 적도 없고, 5번틀려야 잠기는데
그것도 아니고, 3번 틀리고 로그인 성공했다가
로그오프 후 워크스테이션 잠금해제 후에 갑자기 계정이 잠겼다고 나오는데
로그오프는 사용자가 자리를 비워서 화면보호기 상태에 들어간걸 말하는 거일까요?
그리고, 워크스테이션 잠금해제는 사용자가 화면보호기 상태에서 잠금을 해제 했다는 말일까요?
3번 틀리고 로그인 성공 했다가 갑자기 왜 잠기게 된건지 도무지 알 수가 없는데...
혹시 이벤트로그에서 따로 확인 할 수 있는게 있을까요?
답변 부탁 드립니다.
10시 6분 4초 : 이벤트 ID:4625 , 로그인 실패, 로고온 유형: 7
10시 6분 10초 : 이벤트 ID:4625, 로그인 실패, 로고온 유형:7
10시 6분 17초: 이벤트 ID:4625, 로그인 실패, 로고온 유형:7
10시 6분 21초: 이벤트ID:4624, 로그인 성공, 로고온 유형:7
10시 6분 21초: 이벤트ID:4634 , 로그 오프, 로고온 유형:7
10시 6분 21초: 이벤트ID:4801, 워크스테이션 잠금 해제
10시 6분 21초 이벤트ID:4625, 계정이 잠겨 있습니다, 로그온 유형:7
5개의 답변이 있습니다.
비슷한 경험을 했는데요.
계정 잠김은 일반적인 로그인 실패 횟수에 의한 잠김도 있지만
계정을 활용한 네트워크 드라이브, 서비스연동, 모바일기기 연동 등 다양하게 있습니다.
잘못된 자격 증명 항목은 모든 도메인 컨트롤러에서 이벤트 4740을 생성됩니다.
이벤트ID : 4740 으로 조회 한번 해보시고 분석해보세요. 아래 코드값 참고하세요.
Kerberos 오류 코드:
- 6 - 사용자 이름이 존재하지 않습니다.
- 12 - 로그인 시간 제한
- 18 - 계정 비활성화, 비활성화 또는 만료
- 23 - 만료된 사용자 비밀번호
- 24 - 사전 인증 실패(잘못된 비밀번호)
- 32 - 티켓 만료
- 37 - 컴퓨터 시간이 도메인 시간과 동기화되지 않았습니다.
NTLM 오류 코드:
- 3221225572 - C0000064 - 이 사용자 이름이 존재하지 않습니다.
- 3221225578 - C000006A - 사용자 이름은 정확하지만 암호가 올바르지 않음
- 3221226036 - С0000234 - 이 사용자 계정은 차단되었습니다.
- 3221225586 - C0000072 - 계정 비활성화됨
- 3221225583 - C000006E - 사용자가 지정된 시간 외에 로그온을 시도함
- 3221225584 - С0000070 - 워크스테이션 제한
- 3221225875 - С0000193 - 계정 만료
- 3221225585 - 0000071 - 비밀번호 만료
- 3221226020 - C0000224 - 사용자는 다음에 로그인할 때 암호를 변경해야 합니다.
제 경험상 사용자의 접수 관점에 기준을 두고, 시스템 로그로 분석하면
생각보다 기록상 시간과 일치하지 않을 경우가 많습니다.
운영중이신 AD가 어떤 기능적 특성을 가지고 있는지 파악하는것도 필요할 것으로 보입니다.
AD라는 시스템도 여러가지 도메인 보안옵션을 줄 수 있어서
네트워크가 붙어 있을 경우에는 패스워드 보안정책으로 인해 잠김이 실행 될 수 있고
네트워크가 단절 되있다면 로컬계정으로 인해서 패스워드가 구패스워드로 열리는 경우도 있구요
제가 관리하는 회사의 경우, 하나의 유저가 복수의 AD계정으로 PC를 가입하여 사용할 경우
최종 접속 PC에서 접속할 경우, 기존에 사용중인 복수의 PC는 자동으로 계정이 잠깁니다.
위 사항은 AD보안 정책으로 인해서 생기는 변수이고
다른변수는 윈도우 OS 버전에 따른 로컬보안정책이나 윈도우 프로필 손상으로 인해
오류가 생겨서 열렸다가 잠겼다가 하는 경우 입니다.
나머지는 윈도우 보안업데이트로 인해 계정이 잠긴 이슈도 종종 있습니다.
그리고 현재 말씀하신 유저만 그러한 증상이 발생한 건지,
이전에 그러한 히스토리가 있었는지
동일한 유저가 증가하였는지도 파악이 필요 해 보입니다.
전산어려워요 | 11달 전
안녕하세요.
답변 감사 드립니다.
제가 AD를 운영한지 얼마 안되서 아직 정책 까지는 정확히 알지 못 하는 상태입니다.
말씀 하신대로 한번 확인해 보도록 하겠습니다.
감사합니다.
의도적이지 않게 잘 사용하고 있는 도중에 다른 곳에서 해당 계정으로
로그인하려다 잠긴 상태이고, 그 상태에서 해당 사용자는 잘 사용하는 중이니
인지를 못하고 있다가, 화면 보호기 이후에 로그인 하려고 하는 시점에서
잠긴것을 확인한거 아닐까 하는 생각이 드네요.
전산어려워요 | 11달 전
안녕하세요.
답변 감사 드립니다.
말씀 하신대로 그럴 수도 있을 것 같네요.
다음에 같은 증상 발생 하시면 한번 확인해 보도록 하겠습니다.
감사합니다.
그 사용자는 정상적으로 사용하고 있었는데...
다른 사용자가 잘못된 암호를 여러번 입력해 버려서 계정이 잠긴 것이라면... 가능성이 있지 않을까요?
그 사용자의 말도 진실이 되는 것이고...
그 사용자는 계속 로그인 된 상태에서 누군가가 잘못된 암호를 이용해서 로긴 시도를 하고 있는 상태에도 정상적으로 업무를 하고 있었다면..?
정상적으로 로긴된 상태에서 사용하고 있었기 때문에 계정 잠김을 알지 못했을 수도 있을 것이고...
그러다가 12시 30분 이후에 자리를 비웠다 다시 와서 로그인 하려고 하자 계정이 잠겨 있는 상태라면 상황 설명이 되지 않을까 하는 생각이 드네요...
전산어려워요 | 11달 전
안녕하세요.
답변 감사 드립니다.
말씀 하신대로 그럴 수도 있을 것 같네요.
다음에 같은 증상 발생 하시면 한번 확인해 보도록 하겠습니다.
감사합니다.
사용자는 오전 10시 6분경 에는 피씨를 잘 사용 했다고 하시는데
ACCount Lockout Status이나 이벤트 뷰어 에서는 왜 오전 10시 6분경에 잠겼다고
나오는 걸까요? 사용자가 잠겼다고 전화를 주신 시간은 오후 12시 33분경 입니다.