AD 이행 네트워크 이벤트 로그 문의드립니다.

안녕하세요.

AD 이행 Tool 로 AD 이행 진행 중에 

프로파일을 생성 하면서 멈춰 네트워크 연결이 끊기면서 이행  완료되지 않았습니다.


네트워크 연결 끊긴   PC에 이벤트 로그를 확인시


1. id 40970 LSA (시간07:09)

내용: 보안 시스템에서 세부분으로 구성된 SPN

연결할때 다운그레이드 시도를 감지했습니다.(오류코드 " 지정한 계정이 없습니다.)(0x0000064) 인증이 거부되었습니다.

 

2. id 5721 NETLOGON (시간07:09)

내용: 컴퓨터에서 세션을 설치하는데 필요한 ANBUGA-3F2A65F1$ 계정이 도메인 컨트롤러에 없기 때문에 FAD도베인에 대한 Windows 도메인 컨트롤러 ₩₩ 세션을 설치 하지 못했습니다.

추가 데이터

이컴퓨터가 지정한 도메인에 있는 컨트롤러의 구성원인 경우 앞에서 말한 계정은 지정한 도메인에 있는 이 컴퓨터의 컴퓨터 계정입니다. 그렇지않으면 해당 계정은 지정한 도메인의 도메인 간 신뢰 계정입니다.

 

3. id 40970 LSA (시간07:09)

내용: 보안 시스템에서 세부분으로 구성된 SPN

연결할때 다운그레이드 시도를 감지했습니다. (오류 코드"지정한 계정이 없습니다.) 0x0000064인증이 거부 되었습니다.

 

4. id 130 Time-Service (시간07:21)

내용: Ntpclient 는 시간을 안전하게 동기화하기 위해 이컴퓨터와 도메인간에 신뢰 관계를 설정하는 동안 오류로 인해 시간 원본으로 사용할 도메인 피어 를 설정하지 못했습니다. NtpClient는 15분 내에 다시 시도하고 그 후로는 재시도 간격을 두배로 합니다.

오류:워크스테이션 과 주 도메인 사이즈의 트러스트 관계에 이상있습니다.(0x800706FD) 


이렇게 로그가 찍혀있는데요...

이해당 로그 로  어느 부분때문에 네트워크 가 연결이 끊켯는지를 원인을 확인이 될수 있을까요?

태그가 없습니다.

3개의 답변이 있습니다.

0 추천 | 약 2달 전

ID 40970은 LSA(Local Security Authority)와 관련된 중요한 보안 이벤트라고 나오네요 

일반적으로 이 이벤트는 계정 잠금, 만료된 비밀번호, 로그온 시간 제한 등의 이유로 발생합니다.

이벤트 로그에는 거부된 계정 이름, 도메인, 로그온 유형 등의 정보가 포함됩니다.

주요 원인:

a) 계정 잠금 정책 위반

b) 만료된 비밀번호

c) 비활성화된 계정

d) 로그온 권한 부족

e) 네트워크 문제


 id 130 Time-Service (시간07:21)은 NTP 서버와 인터벌로 특이점이 없어 보이네요 

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 2달 전

에러의 원인은 다양해서 이거다 라고 말하긴 힘들어요.

우선 에러 내용으로만 보면 AD 조인 연결에 문제가 있는 것으로 보입니다.

id 40970은 kerboros 인증이 실패되어 NTLM인증으로 다운그레이드 시도 할때 나오는 에러입니다.

인증이 실패한것이죠. 이런 경우는 SPN 수정하거나 재등록해보시면 될듯해요.

command 창에서 setspn 하셔서 진행하시면 됩니다. setspn 명령어는 구글링하면 많이 나옵니다.


id 5721 오류는 AD에 조인된 컴퓨터(또는 서버)가 AD의 패스워드와 일치하지 않을때 발생하는 에러입니다.

조인을 해제하시고 새로 조인해보세요.


id 130 오류는 netlogon 서비스와 관련된 통신 문제가 있을 때 발생하는 에러입니다.


위 3가지 에러가 인증, 통신문제로 연관된 에러로 보입니다.

도메인 컨트롤러와 PC 통신 문제가 있는 것으로 보입니다. 

여기서 통신문제라면 네트워크 통신의 문제도 있고 조인간 트러스트 문제 일 수도 있구요.

PC가 많지 않으시다면 조인을 해제하고 다시 조인해서 시도해보세요. 


Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

1st 5stars

0 추천 | 약 2달 전

네가지 모두 인증에 문제가 있는 내용으로 보이네요.

인증이 되지 않으면 접속이 거부되는 것이고, 접속 거부가 통신의 단절로 가는 것이겠고요.

서버와 클라이언트의 시간이 서로 일치하는 지도 확인해 봐야 하지 않을까 싶기도하고요.

아래 링크 자료들도 참고해 보면 도움이 될 수 있을 것 같네요.


https://audministrator.wordpress.com/2023/01/18/windows-server-2019-lsa-lsasrv-error-event-id-40970/


https://mskb.pkisolutions.com/kb/160324


https://www.reddit.com/r/sysadmin/comments/sjop64/anyone_else_being_hit_with_lsasrv_event_id_40970/


https://kb.eventtracker.com/evtpass/evtpages/EventId_130_Microsoft-Windows-CertificationAuthority_61625.asp


Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

답변 달기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

IT 솔루션 또는 하드웨어 도입을 검토 중 이신가요?

쉐어드IT 솔루션 상담실에서 믿을 수 있는 제품과 업체를 추천 받으실 수 있습니다.

솔루션 상담실 IT 컨시어지 서비스

IT운영 카테고리의 다른 질문들...

  • 4일 전
  • 댓글 : 하루 전
  • 8일 전
  • 댓글 : 5일 전
  • 12일 전
  • 댓글 : 10일 전
  • 12일 전
  • 댓글 : 10일 전
  • 16일 전
  • 댓글 : 약 5시간 전
  • 17일 전
  • 댓글 : 10일 전