다음을 통해 공유

작업 그룹 시나리오에서 만료된 암호에 대한 암호 변경 실패

이 문서는 암호가 만료되었거나 다음 로그온 시 변경되도록 설정된 사용자의 암호 변경을 처리할 때 발생하는 오류를 해결하는 데 도움이 됩니다.

원래 KB 번호: 2879424

증상

DMZ에 도메인의 구성원이 아닌 서버가 있습니다. 관리의 경우 관리자인 일련의 로컬 사용자가 있습니다.

관리를 위해 서버에 새 사용자를 추가하는 경우 초기 암호를 설정하고 "사용자가 다음 로그온 시 암호를 변경해야 합니다."를 설정합니다. 사용자는 원격 데스크톱 서비스를 통해 서버에 로그온합니다. 사용자에게 암호를 변경하라는 메시지가 표시되고 암호를 입력한 후 "이 명령을 처리하는 데 스토리지를 충분히 사용할 수 없습니다."라는 오류 메시지가 표시됩니다.

이 명령을 처리할 수 있는 스토리지가 충분하지 않은 오류 메시지의 스크린샷

RDS 서버에서 NLA를 사용하도록 설정한 경우 서버에 로그온하려는 시도가 실패하고 만료된 암호에 오류가 표시됩니다.

[창 제목]
원격 데스크톱 연결[콘텐츠]

인증 오류가 발생했습니다.
로컬 보안 기관에 연결할 수 없습니다.

원격 컴퓨터: <컴퓨터 이름>
이는 만료된 암호 때문일 수 있습니다.
암호가 만료된 경우 암호를 업데이트하세요.
도움이 필요한 경우 관리자 또는 기술 지원 팀에 문의하세요.

[확인]

오류 대화 상자는 다음과 같습니다.

NLA를 사용하도록 설정된 오류 메시지를 보여주는 원격 데스크톱 연결 창의 스크린샷.

원인

암호가 만료되거나 다음 로그온 시 변경하도록 설정된 사용자의 암호 변경을 처리하는 경우 Winlogon은 익명 토큰을 사용하여 암호 변경 요청을 처리합니다.

암호 변경 대화 상자를 사용하면 원격 컴퓨터에 대한 암호도 변경할 수 있으므로 API 호출은 SMB를 통해 명명된 파이프를 통해 RPC를 통해 원격 인터페이스를 사용합니다. 이 프로토콜 시퀀스의 경우 RPC 런타임은 키 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc에서 정책 설정 "Server2003NegotiateDisable"을 읽습니다.

기본 권한으로 인증된 사용자, 관리자 및 LocalSystem만 키를 읽을 수 있으므로 익명 토큰의 컨텍스트에서 실패합니다.

NLA를 사용하도록 설정하면 사용자 세션 요청이 유효성을 검사하지 않으므로 실패합니다.

해결

이 문제를 방지하는 방법은 다음과 같습니다.

  1. 원격으로 암호를 변경합니다. 현재 원격 암호 변경을 실행하는 컨텍스트의 사용자는 기본 자격 증명을 사용하여 대상 서버에 로그온할 수 있어야 합니다(또는 이미 암호 변경 시 SMB를 사용하여 서버에 이미 연결됨).
  2. 익명에서 키를 읽을 수 있도록 키 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc 의 사용 권한을 변경합니다. 키가 없는 경우 키를 만든 다음 익명 계정에 대한 읽기 권한을 추가할 수 있습니다.

참고 항목

접근 방식 2의 경우 오류에서 복구하려는 경우 그룹 정책 서비스에서 키를 삭제하고 기본 사용 권한을 사용하여 다시 만들 수 있습니다. 이 경우 권한을 다시 적용해야 합니다.

컴퓨터가 도메인의 구성원인 경우 레지스트리 보안 정책 사용에 대한 사용 권한 설정을 자동화할 수 있습니다. 작업 그룹 컴퓨터의 경우 이 텍스트를 rpc-pol.inf 파일로 가져올 수 있습니다.

---------------------------  
[Unicode]  
Unicode=yes  
[Version]  
signature="$CHICAGO$"  
Revision=1  
[Registry Keys]  
"MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\rpc",0,"D:PAR(A;CIIO;KA;;;CO)(A;CI;KA;;;SY)(A;CI;KA;;;BA)(A;CI;KR;;;S-1-5-7)(A;CI;KR;;;BU)"  
------------------------------

다음을 사용하여 적용할 수 있습니다.

secedit /configure /db C:\Windows\security\database\rpc-pol.sdb/cfg rpc-pol.inf /log rpc-pol.log 성공하려면 키가 있어야 합니다.

자세한 정보

작업 그룹 또는 원격 멤버 컴퓨터 암호를 변경하는 기능은 다양한 호환성 요구 사항을 고려해야 합니다. 이 시나리오는 오늘날까지 매우 경계선 항목입니다.

NLA로 보호되는 RDS 세션의 경우 만료된 암호로 원격 세션을 시작할 수 없습니다. NLA를 사용하려면 다른 사용자로 인증된 세션에서 원격으로 암호를 미리 변경해야 합니다.