기본 도메인 정책에서 보안 설정이 기록되는 것이 실패
원문주소 : Fail to log Security Settings from Default Domain Policy
http://blogs.technet.com/askds/archive/2008/09/22/fail-to-log-security-settings-from-default-domain-policy.aspx
안녕하세요? 여러분. 스캇(Scott Goad)입니다. 오늘은 기본 도메인 정책에서 보안 설정을 기록하는 것을 실패한 최근 사례에 대해 이야기를 잠시 나눠볼까 합니다. 이 경우에, 2대의 도메인 컨트롤러를 가지고 있는 작은 환경이었고, 모두 FSMO 역할을 가지고 있었으며, 다른 하나는 복제대상 도메인 컨트롤러였습니다.
이슈는 내부 감사를 하는 동안 알려졌고, 고객은 특정 보안 설정이 GPRESULT /v를 실행할때 기록되지 않는 것을 알게되었습니다. 여기서 GPRESULT /v는 특정 사용자와 컴퓨터에 대한 세부적인 정책 결과를 표시합니다. 이슈를 해결하기 위하여 자료를 충분히 수집했는데, 일부 아이템은 기본 도메인 정책에서 생략되었고, 오류는 기록되지 않았습니다
도메인 컨트롤러를 멤버서버로 내리고나서, 정책이 적용되고 정확히 리포트되었습니다.
다음은 각 도메인 컨트롤러의 일부입니다.
...DC1의 GPRESULT 중 일부(FSMO 아님)...
Account Policies
----------------
GPO: Default Domain Policy
Policy: MaxServiceAge
Computer Setting: 600
GPO: Default Domain Policy
Policy: MaxTicketAge
Computer Setting: 10
GPO: Default Domain Policy
Policy: MaxClockSkew
Computer Setting: 5
GPO: Default Domain Policy
Policy: MaxRenewAge
Computer Setting: 7
...DC2의 GPRESULT 중 일부(FSMO임)...
Account Policies
----------------
GPO: Default Domain Policy
Policy: MaxServiceAge
Computer Setting: 600
GPO: Default Domain Policy
Policy: MaxTicketAge
Computer Setting: 10
GPO: Default Domain Policy
Policy: MinimumPasswordAge
Computer Setting: 1
GPO: Default Domain Policy
Policy: PasswordHistorySize
Computer Setting: 6
GPO: Default Domain Policy
Policy: LockoutDuration
Computer Setting: 4294967295
GPO: Default Domain Policy
Policy: ResetLockoutCount
Computer Setting: 30
GPO: Default Domain Policy
Policy: MaxClockSkew
Computer Setting: 5
GPO: Default Domain Policy
Policy: MinimumPasswordLength
Computer Setting: 8
GPO: Default Domain Policy
Policy: LockoutBadCount
Computer Setting: 3
GPO: Default Domain Policy
Policy: MaximumPasswordAge
Computer Setting: 90
GPO: Default Domain Policy
Policy: MaxRenewAge
Computer Setting: 7
또한, 두대의 도메인 컨트롤러에서, 이벤트 ID 1704가 기록되었습니다.
여기서, 기본 도메인 정책을 살펴봤는데, 설정은 다음과 같습니다.
이슈를 조사한 이후에, 로컬 보안 정책을 살펴보고, 실제로 무엇이 적용되었는지 보았습니다. 다음은 GPRESULT에서 나타난 실패한 부분입니다.
이 화면은 정책에 변경을 준 후에 다른 서버에서 찍은 것입니다. 여기에서, 설정이 적용된 것을 알았지만, 어디에도 기록되지 않았습니다. 그래서 GES(Global Escalation Services) 팀에 살펴보도록 요청했습니다. PDC 에뮬레이터를 다른 DC에 옮겼는지 확인을 요청했고, 변경을 발견했습니다. 그렇습니다! GPRESULT의 이 정책 설정은 PDC 에뮬레이터 역할을 따라갑니다.
GES는 코드를 리뷰하고 이것은 설계된 동작이라고 했습니다. PDC 에뮬레이터에서, 멤버 서버와 도메인에 조인된 워크스테이션은 그룹정책을 통해 이 정책을 적용합니다. 도메인의 복제대상 도메인 컨트롤러는 도메인 네임 컨텍스트 앞부분에 있는 것을 모니터링하여 이 설정을 적용합니다. 이 설정은 포레스트의 각 도메인의 도메인 컨트롤러간에 Active Directory 복제를 통해 복제됩니다. 이 설정은 도메인 컨트롤러가 살펴서 동작방식을 제어하는 것을 도와줍니다. 이 설정이 변경되면, DC는 즉시 알게되고 새로운 동작을 시작합니다.
다음은 속성의 전체 리스트입니다.
l minPwdAge
l pwdHistoryLength
l lockoutDuration
l lockOutObservationWindow
l minPwdLength
l lockoutThreshold
l maxPwdAge
l pwdProperties (this is complexity on/off)
이 설정은 아래와 같이 LDP로 볼 수 있습니다.
Expanding base 'DC=adatum,DC=com'...
Result <0>: (null)
Matched DNs:
Getting 1 entries:
>> Dn: DC=adatum,DC=com
3> objectClass: top; domain; domainDNS;
1> distinguishedName: DC=adatum,DC=com;
1> instanceType: 0x5 = ( DS_INSTANCETYPE_IS_NC_HEAD | IT_WRITE );
1> lockoutDuration: 1800;
1> lockOutObservationWindow: 1800;
1> lockoutThreshold: 0;
1> maxPwdAge: 3710851;
1> minPwdAge: 86400;
1> minPwdLength: 7;
1> modifiedCountAtLastProm: 0;
1> nextRid: 1006;
1> pwdProperties: 1;
1> pwdHistoryLength: 24;
다음에 뵙겠습니다.
- Scott “Scooter” Goad
