다음을 통해 공유


로그인 및 검색 관련 일반 문제

마지막으로 수정된 항목: 2009-07-20

로그인 관련 문제를 해결할 때 우선 결정해야 할 사항 중 하나는 사용자가 올바른 정보를 입력하고 있는지 여부입니다. 그런 다음 사용자 계정이 Office Communications Server에서 사용되도록 설정된 활성 계정인지 확인합니다. 사용자 정보에 문제가 없는 경우 서버 쪽 구성을 조사합니다. 서버 쪽에서 로그인 문제를 조사할 때는 우선 클라이언트 연결 설정이 자동 구성 또는 수동 구성 중 무엇으로 지정되어 있는지를 확인합니다. 이 섹션에서는 로그인 중 발생하는 몇 가지 일반적인 문제를 사용자 및 서버 관점에서 설명합니다.

잘못된 사용자 정보

다음 시나리오에서는 사용자가 로그인 시 사용하려고 하는 사용자의 계정 또는 정보와 관련된 일반적인 로그인 문제를 보여 줍니다.

잘못된 로그인 주소

Communicator에 로그인하려고 할 때 "입력한 로그인 주소, 사용자 이름 또는 암호가 올바르지 않거나 인증 서비스가 이 버전의 프로그램과 호환되지 않아 Communicator에 로그인할 수 없습니다."라는 메시지가 표시될 수 있습니다.

사용자가 Active Directory 속성에 지정한 SIP URI와 일치하지 않는 로그인 주소를 사용하여 로그인하려고 하는 경우가 종종 있습니다. SIP URI의 형식은 관리자 측에서 사용자가 Office Communications Server를 사용할 수 있도록 설정할 때 결정됩니다. SIP URL은 사용자의 전자 메일 주소, 사용자 이름, 전체 이름 또는 SAM(보안 계정 관리자) 계정(이전 버전의 Windows 운영 체제에서 사용되던 로그온 이름)을 이용하여 생성될 수 있습니다. 사용자는 올바른 SIP URI 형식을 사용하여 다시 로그인해야 합니다.

Office Communications Server에 대해 사용자 계정을 사용하도록 설정되지 않음

사용자가 올바른 SIP URI 형식을 입력하는데도 계속 로그인에 실패하는 경우 네트워크 관리자는 Office Communications Server에 대해 사용자 계정 및 사용자를 사용하도록 설정되어 있고 계정의 암호가 만료되거나 다시 설정되지 않았는지 확인해야 합니다.

사용자 계정을 사용하도록 설정하는 방법에 대한 자세한 내용은 Microsoft Office Communications Server 2007 R2 기술 라이브러리(https://go.microsoft.com/fwlink/?Linkid=144479)에서 작업 > Office Communications Server 2007 R2 관리 > 사용자 계정 관리 아래의 내용을 참조하십시오.

사용자가 프로필 폴더에 대한 권한이 없음

개별 사용자에게 서버를 사용할 수 없다는 오류가 표시되는 경우에는 Communicator에서 Windows 이벤트 로깅 기능을 설정하고 Windows 이벤트 추적 로그를 확인합니다. C:\Documents and Settings\<사용자 이름>\Local Settings\Application Data\Microsoft 아래에 Communicator 폴더를 만들 때 로그에 "액세스 거부" 오류가 표시될 수 있습니다. 이 문제를 해결하려면 사용자에게 Communicator 폴더에 대한 적절한 권한을 부여합니다.

수동 구성으로 로그인할 수 없음

수동 구성을 사용할 경우 일반적으로 로그인 문제는 클라이언트의 고급 연결 설정에서 서버 이름을 잘못 입력하여 발생합니다. 클라이언트의 이벤트 뷰어에 클라이언트가 연결할 수 없는 서버의 IP 주소임을 나타내는 "오류 10061로 인해 Communicator가 포트 5060에서 서버 192.168.0.2(192.168.0.2)에 연결하지 못했습니다."라는 메시지가 표시될 수 있습니다. 또는 서버에서 제공한 서버가 예상되는 호스트 이름과 일치하지 않는다는 참조가 표시됩니다. 이러한 오류는 대부분 클라이언트의 고급 연결 설정 대화 상자에서 서버 IP 주소를 입력하기 때문에 발생합니다.

고급 연결 설정에서 서버 IP 주소 또는 NetBIOS 이름을 입력하는 대신 서버의 FQDN을 입력합니다.

연결 설정에서 수동 구성을 사용할 경우에는 클라이언트와 Office Communications Server 간 연결에 TLS가 필요한지 여부도 알고 있어야 합니다. TLS가 필요한 경우 고급 연결 설정에서 TLS 옵션을 선택해야 하며 서버 이름이 배치된 인증서와 일치하도록 서버 IP 주소나 NetBIOS 이름 대신 서버의 FQDN을 지정해야 합니다.

서버와의 연결에 TCP를 사용하는 경우에는 Office Communications Server 풀 속성이 TCP 수신 대기 포트 5060으로 설정되어 있는지 확인합니다.

자동 구성으로 로그인할 수 없음

자동 구성을 사용할 경우 DNS 구성, 인증서 또는 서버 명명 문제가 발생할 수 있습니다.

DNS 구성

자동 구성을 사용할 경우 DNS의 게시된 서버 이름이 서버 인증서에서 지원되는지 확인합니다. 자동 클라이언트 로그인 지원(조직에서 지원하려고 할 경우)뿐만 아니라 클라이언트 및 서버 검색을 사용하도록 설정하는 DNS 레코드를 필수적으로 만들어야 하는 이유에 대한 자세한 내용은 Microsoft Office Communications Server 2007 R2 문서, "DNS(Domain Name System) 요구 사항"(https://go.microsoft.com/fwlink/?linkid=146936)을 참조하십시오.

클라이언트가 자동으로 로그인하도록 구성된 경우 적절한 DNS SRV 레코드가 있는지 확인합니다. TLS 연결을 사용할 경우에는

_sipinternaltls._tcp.<도메인>(5061 포트)과 같은 SRV 레코드를 추가하고 서버의 호스트 레코드에 매핑합니다.

[!참고] SIP 도메인이 Office Communications Server 도메인과 다른 경우에는 Office Communications Server 호스트 레코드 대신 호스트 레코드 sip.<도메인>을 만드는 것이 좋습니다.

TCP 연결을 사용할 경우에는

_sipinternal._tcp.<도메인>(5060 포트)과 같은 SRV 레코드를 추가하고 서버의 호스트 레코드에 매핑합니다.

엄격한 이름 확인

클라이언트에서 자동 구성을 사용하여 로그인하고 TLS가 필요한 경우 EnableStrictDNSNaming 정책 설정 때문에 연결 실패가 발생하는 경우가 종종 있습니다. Communicator가 자동 연결로 구성되어 있고 TLS가 적용된 경우 이 정책을 사용하면 SIP 통신 서비스를 사용할 때 Office Communicator가 인스턴트 메시지를 안전하게 보내고 받을 수 있습니다. 이 정책은 Windows .NET 또는 Microsoft Exchange Server 서비스에는 영향을 주지 않습니다. EnableStrictDNSNaming 정책과 관련된 혼동의 대부분은 분명하지 않은 정책 설명 때문에 발생합니다. 이 정책을 잘못 설정하면 TLS 협상 및 클라이언트 로그인과 관련된 예상치 않은 문제가 발생할 수 있습니다. 이 정책에 대한 올바른 설명은 다음과 같습니다.

EnableStrictDNSNaming 정책을 사용으로 설정한 경우 서버의 이름이 사용자의 SIP URI 도메인과 일치하거나 FQDN이 **sip.<URI 도메인>**인 경우에만 Communicator 클라이언트가 서버에 연결할 수 있습니다. 예를 들어 사용자의 SIP URI가 someone@contoso.com인 경우 Communicator는 다음과 같은 서버에만 연결할 수 있습니다.

  • contoso.com
  • sip.contoso.com

이 정책을 구성하지 않거나 사용 안 함으로 설정하는 경우 Communicator 클라이언트는 FQDN이 사용자 SIP URI의 도메인 부분으로 끝나는 모든 SIP 서버와 통신할 수 있습니다. 예를 들어 Communicator는 sip.division.contoso.com 또는 lc.contoso.com이라는 서버와 통신할 수 있습니다. 이 경우 공격자가 attacker.contoso.com과 같은 서버 이름을 사용하여 초기 DNS 쿼리에 응답할 수 있다는 단점이 있습니다. 이 정책을 구성하지 않거나 사용하지 않도록 설정하면 메시지 가로채기(man-in-the-middle) 공격을 받을 수 있습니다.

이 정책을 사용하도록 설정하지 않는 이유 중 하나로 조직에 여러 하위 도메인이 있는 경우 인증서를 설정할 때 엄격하지 않은 서버 이름을 사용할 수 있는 융통성이 필요한 것을 들 수 있습니다.

이 정책을 사용하도록 설정하려면 SIP 서버의 FQDN이 엄격한 이름 형식 중 하나와 일치하는지 확인합니다.

[!참고] 컴퓨터 구성 및 사용자 구성 모두에서 이 정책 설정을 구성할 수 있지만 컴퓨터 구성의 정책 설정이 우선합니다.

외부 사용자가 로그인할 수 없음

내부 사용자는 로그인할 수 있지만 외부 사용자 로그인에 문제가 발생하는 경우는 인증 프로토콜이 구성된 방법, 로그인 시 지정한 포트 또는 서버 쪽 암호화 설정에 문제가 있을 수 있습니다.

인증 프로토콜을 NTLM 및 Kerberos 모두로 설정

Office Communications Server 2007 R2에서는 사용자 위치에 따라 Kerberos 또는 NTLM 인증 프로토콜을 사용합니다. Active Directory에 대한 클라이언트 연결이 필요한 Kerberos 프로토콜은 Active Directory 자격 증명을 가진 내부 사용자에 대해 사용됩니다. Active Directory 자격 증명은 있지만 회사 방화벽 외부에서 연결하는 외부 사용자는 NTLM을 사용합니다.

외부 사용자가 인증할 수 없는 경우에는 Office Communications Server 프런트 엔드 서버 속성의 인증 프로토콜이 NTLM 및 Kerberos 모두로 설정되어 있는지 확인합니다.

클라이언트 수동 로그인(5061), 액세스 에지 수신 대기(443)

회사 방화벽 외부에서 연결하는 클라이언트는 에지 서버와의 SIP 통신에 포트 443을 사용합니다. 클라이언트가 수동 구성을 사용하여 서버에 연결하도록 구성되어 있지만 외부 서버가 잘못된 포트로 구성되어 있는 경우가 종종 있습니다. 예를 들어 클라이언트가 포트 5061에서 서버에 연결하도록 수동으로 구성되어 있지만 액세스 에지 서버가 포트 443에서 수신 대기하는 경우 연결이 실패합니다. 외부 서버 이름 또는 IP 주소에서 클라이언트의 고급 연결 설정을 확인하고 항목에 포트 443이 지정되어 있는지 확인합니다(예: sip.domain.com:443).

그룹 정책을 사용하여 외부 서버 이름을 지정하는 경우에도 포트 443을 지정합니다.

NTLMMINCLIENTSEC 및 NTLMMINSERVERSEC 간 불일치

조직에서는 보안을 강화하기 위해 로컬 정책과 그룹 정책을 사용하여 Windows Server 도메인에서 특정 보안 설정을 구성할 수 있습니다. 이러한 설정 중 하나는 서버와 클라이언트 간의 통신에 암호화를 사용하도록 구성할 수 있는 NTLMv2 인증 설정입니다. 이 경우 클라이언트 쪽과 서버 쪽의 설정이 일치하지 않으면 통신을 설정할 수 없습니다.

NTLMv2 인증에 대한 설정은 다음과 같은 레지스트리에 있습니다.

HKey_Local_Machine\System\CurrentControlSet\Control\Lsa\MSV1_0ntlmminclientsec

HKey_Local_Machine\System\CurrentControlSet\Control\Lsa\MSV1_ ntlmminserversec

서버는 암호화를 사용하도록 구성되고 클라이언트는 그렇지 않은 경우가 종종 있습니다. 이 경우 클라이언트 NTLM 요청이 프런트 엔드 서버에 의해 전달되지 않습니다. NTLM은 외부 클라이언트가 로그인할 때 사용할 수 있는 유일한 인증 프로토콜이므로 이 문제는 주로 외부 사용자에게 영향을 줍니다. 예를 들어 서버 키가 128비트 암호화를 지정하는 0x20080030 값으로 구성되어 있고 클라이언트는 그렇지 않은 경우 클라이언트가 로그인할 수 없습니다. 이 경우 클라이언트에서 이 키를 서버 설정과 일치하도록 구성해야 합니다.

자세한 내용은 Microsoft 기술 자료 문서 823659, "보안 설정과 사용자 권한 할당을 수정할 때 발생할 수 있는 클라이언트, 서비스 및 프로그램 비호환성"(https://go.microsoft.com/fwlink/?linkid=147230)을 참조하십시오.