다음을 통해 공유


Microsoft Entra ID에서 셀프 서비스 암호 재설정 쓰기 저장 문제 해결

Microsoft Entra SSPR(셀프 서비스 암호 재설정)을 통해 사용자는 클라우드에서 해당 암호를 재설정할 수 있습니다. 비밀번호 쓰기 저장은 Microsoft Entra Connect 또는 클라우드 동기화를 통해 활성화되며 클라우드의 암호 변경 내용을 실시간으로 기존 온-프레미스 디렉터리에 다시 쓸 수 있는 기능입니다.

SSPR 쓰기 저장에 문제가 있는 경우 다음과 같은 문제 해결 단계 및 일반적인 오류가 유용할 수 있습니다. 문제에 대한 답을 찾을 수 없는 경우 지원 팀에서 항상 추가 지원을 받을 수 있습니다.

연결 문제 해결

Microsoft Entra Connect에 대한 비밀번호 쓰기 저장에 문제가 있는 경우 문제를 해결하는 데 도움이 될 수 있는 다음 단계를 검토합니다. 서비스를 복구하려면 다음 단계를 순서대로 수행하는 것이 좋습니다.

네트워크 연결 확인

가장 일반적인 오류 지점은 방화벽이나 프록시 포트 또는 유휴 시간 제한이 올바르지 않게 구성된 것입니다.

Microsoft Entra Connect 버전 1.1.443.0 이상의 경우 다음 주소에 대한 아웃바운드 HTTPS 액세스가 필요합니다.

  • *.passwordreset.microsoftonline.com
  • *.servicebus.windows.net

미국 정부용 Azure 엔드포인트:

  • *.passwordreset.microsoftonline.us
  • *.servicebus.usgovcloudapi.net

Azure 중국 21Vianet 엔드포인트:

  • ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
  • ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn

세분성이 더 필요한 경우 퍼블릭 클라우드용 Microsoft Azure IP 범위 및 서비스 태그 목록을 참조하세요.

미국 정부용 Azure의 경우 미국 정부용 Azure 클라우드에 대한 Microsoft Azure IP 범위 및 서비스 태그 목록을 참조하세요.

이 파일은 매주 업데이트됩니다.

공용 Azure 클라우드와 같은 환경에서 URL 및 포트에 대한 액세스가 제한되는지 확인하려면 다음 단계를 따릅니다.

  1. Entra Connect 서버에서 이벤트 뷰어 로그(Windows 로그, 애플리케이션)를 열고 다음 이벤트 ID 중 하나를 찾습니다. 31034 또는 31019.

  2. 이러한 이벤트 ID에서 서비스 버스 수신기의 이름을 식별합니다.

    이벤트 뷰어의 애플리케이션 로그에 있는 이벤트 ID 31019의 스크린샷.

  3. 다음 cmdlet을 실행합니다.

    Test-NetConnection -ComputerName <namespace>.servicebus.windows.net -Port 443
    

    또는 다음을 실행합니다.

    Invoke-WebRequest -Uri https://<namespace>.servicebus.windows.net -Verbose
    

    <네임스페이스>를 위의 이벤트 ID에서 추출한 것으로 바꿉니다. 예를 들어, 앞의 경우 명령은 다음과 같습니다.

    Test-NetConnection -ComputerName ssprdedicatedsbprodfra-1.servicebus.windows.net -Port 443
    

자세한 내용은 Microsoft Entra Connect에 대한 연결 사전 요구 사항을 참조하세요.

TLS 1.2가 사용하도록 설정되어 있는지 확인합니다.

추가적인 문제 해결 단계는 동기화 서버에서 TLS 1.2가 올바르게 사용하도록 설정되어 있는지 확인하는 것입니다. Entra Connect 서버에서 TLS 1.2를 확인하기 위한 PowerShell 스크립트를 실행합니다. 스크립트를 관리자 모드에서 실행합니다.

올바르게 사용하도록 설정되려면 검사 스크립트의 출력이 다음 이미지(경로, 이름 및 값 열)와 유사해야 합니다. 그렇지 않은 경우 Entra Connect 서버에서 TLS 1.2를 사용하도록 설정하기 위한 PowerShell 스크립트를 실행한 다음, 서버를 다시 부팅하고 스크립트를 실행하여 TLS 1.2를 다시 확인합니다.

Microsoft .NET Framework 4.8 이상이 사용하도록 설정되어 있는지 확인합니다(동기화 서버)

동기화 서버에서 Microsoft .NET Framework 4.8 이상이 사용하도록 설정되어 있는지 확인합니다.

Microsoft Entra Connect Sync 서비스 다시 시작

연결 문제 또는 기타 서비스의 일시적 문제를 해결하려면 Microsoft Entra Connect 동기화 서비스를 다시 시작합니다.

  1. 관리자 권한으로 Microsoft Entra Connect를 실행하는 서버에서 시작을 선택합니다.

  2. 검색 필드에서 services.msc를 입력하고 Enter 키를 누릅니다.

  3. Azure AD Sync 항목을 찾습니다.

  4. 서비스 항목을 마우스 오른쪽 단추로 클릭하고 다시 시작을 선택한 후 작업이 완료되기를 기다립니다.

    GUI를 사용하여 Azure AD Sync 서비스 다시 시작

이러한 단계는 Microsoft Entra ID와의 연결을 다시 설정하고 연결 문제를 해결해야 합니다.

Microsoft Entra Connect Sync 서비스를 다시 시작해도 문제가 해결되지 않으면 다음 섹션에서 비밀번호 쓰기 저장 기능을 사용하지 않도록 설정했다가 다시 사용하도록 설정하세요.

비밀번호 쓰기 저장 기능 사용 안 함 및 다시 사용

계속해서 문제를 해결하려면 다음 단계를 완료하여 비밀번호 쓰기 저장 기능을 사용하지 않도록 설정했다가 다시 사용하도록 설정합니다.

  1. Microsoft Entra Connect를 실행하는 서버의 관리자 권한으로 Microsoft Entra Connect 구성 마법사를 엽니다.
  2. Microsoft Entra ID에 연결에서 Microsoft Entra 전역 관리자 자격 증명을 입력합니다.
  3. AD DS에 연결에서 Active Directory Domain Services 관리자 자격 증명을 입력합니다.
  4. 고유하게 식별하는 사용자에서 다음 단추를 클릭합니다.
  5. 선택적 기능에서 비밀번호 쓰기 저장 확인란을 선택 취소합니다.
  6. 구성 준비 완료 페이지에 도달할 때까지 아무것도 변경하지 않고 남은 대화 상자 페이지에서 계속 다음을 클릭합니다.
  7. 구성 준비 완료 페이지비밀번호 쓰기 저장 옵션이 사용 안 함으로 표시되는지 확인합니다. 녹색 구성 단추를 선택하여 변경 내용을 커밋합니다.
  8. 마침에서 지금 동기화 옵션을 선택 취소한 다음 마침을 선택하여 마법사를 닫습니다.
  9. Microsoft Entra Connect 구성 마법사를 다시 엽니다.
  10. 선택적 기능 페이지에서 비밀번호 쓰기 저장 옵션을 선택하여 서비스를 다시 사용하도록 설정하고 2-8단계를 반복합니다.

이러한 단계는 Microsoft Entra ID와의 연결을 다시 설정하고 연결 문제를 해결해야 합니다.

비밀번호 쓰기 저장 기능을 사용하지 않도록 설정했다가 다시 사용하도록 설정해도 문제가 해결되지 않으면 Microsoft Entra Connect를 다시 설치하세요.

최신 Microsoft Entra Connect 릴리스 설치

Microsoft Entra Connect를 다시 설치하면 Microsoft Entra ID와 로컬 Active Directory Domain Services 환경 간의 구성 및 연결 문제를 해결할 수 있습니다. 이전 단계를 시도하여 연결을 확인하고 문제를 해결한 후에만 이 단계를 수행하는 것이 좋습니다.

Warning

기본 동기화 규칙을 사용자 지정한 경우 업그레이드를 진행하기 전에 백업한 다음 작업을 마친 후 수동으로 다시 배포하세요.

  1. Microsoft 다운로드 센터에서 최신 버전의 Microsoft Entra Connect를 다운로드합니다.

  2. Microsoft Entra Connect를 이미 설치했기 때문에 Microsoft Entra Connect 설치를 최신 버전으로 업데이트하려면 현재 위치 업그레이드를 수행해야 합니다.

    다운로드한 패키지를 실행하고 화면에 나타나는 지침을 따라 Microsoft Entra Connect를 업데이트합니다.

이러한 단계는 Microsoft Entra ID와의 연결을 다시 설정하고 연결 문제를 해결해야 합니다.

최신 버전의 Microsoft Entra Connect 서버를 설치해도 문제가 해결되지 않으면 최신 릴리스를 설치한 후에 마지막 단계로 비밀번호 쓰기 저장 기능을 비활성화 및 재활성화하세요.

Microsoft Entra Connect에 필요한 권한이 있는지 확인

비밀번호 쓰기 저장을 수행하려면 Microsoft Entra Connect에 AD DS 비밀번호 재설정 권한이 있어야 합니다. Microsoft Entra Connect에 지정된 온-프레미스 AD DS 사용자 계정에 대한 권한이 있는지 확인하려면 Windows 유효 권한 기능을 사용합니다.

  1. Microsoft Entra Connect 서버에 로그인하고 시작>동기화 서비스를 선택하여 Synchronization Service Manager를 시작합니다.

  2. 커넥터 탭 아래에서 온-프레미스 Active Directory Domain Services 커넥터를 선택한 후 속성을 선택합니다.

    속성을 편집하는 방법을 보여 주는 Synchronization Service Manager

  3. 팝업 창에서 Active Directory 포리스트에 연결을 선택하고 사용자 이름 속성을 기록해 둡니다. 이 속성은 Microsoft Entra Connect에서 디렉터리 동기화를 수행하는 데 사용하는 AD DS 계정입니다.

    Microsoft Entra Connect에서 비밀번호 쓰기 저장을 수행하려면 AD DS 계정에 암호 재설정 권한이 있어야 합니다. 다음 단계에 이 사용자 계정에 대한 권한을 확인합니다.

    동기화 서비스 Active Directory 사용자 계정 찾기

  4. 온-프레미스 도메인 컨트롤러에 로그인하고 Active Directory 사용자 및 컴퓨터 애플리케이션을 시작합니다.

  5. 보기를 선택하고 고급 기능 옵션이 사용하도록 설정되어 있는지 확인합니다.

    Active Directory 사용자 및 컴퓨터에 고급 기능 표시

  6. 확인할 AD DS 사용자 계정을 찾습니다. 계정 이름을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

  7. 팝업 창에서 보안 탭으로 이동하고 고급을 선택합니다.

  8. 관리자에 대한 고급 보안 설정 팝업 창에서 유효한 액세스 탭으로 이동합니다.

  9. 사용자 선택을 선택하고 Microsoft Entra Connect에서 사용되는 AD DS 계정을 선택한 다음 유효한 액세스 보기를 선택합니다.

    동기화 계정을 표시하는 유효한 액세스 탭

  10. 아래로 스크롤하여 암호 재설정을 검색합니다. 해당 항목에 선택 표시가 있는 경우 AD DS 계정에 선택한 Active Directory 사용자 계정의 암호를 재설정할 권한이 있는 것입니다.

    동기화 계정에 암호 초기화 권한이 있는지 확인

일반적인 비밀번호 쓰기 저장 오류

비밀번호 쓰기 저장에 다음과 같이 더 구체적인 문제가 발생할 수 있습니다. 이러한 오류 중 하나를 경험하는 경우 제안된 솔루션을 검토하고 비밀번호 쓰기 저장이 제대로 작동하는지 확인합니다.

Error 솔루션
암호 재설정 서비스가 온-프레미스를 시작하지 않습니다. Microsoft Entra Connect 컴퓨터의 애플리케이션 이벤트 로그에서 오류 6800이 나타납니다.

온보딩 후에 페더레이션되거나 통과 인증 또는 암호 해시 동기화된 사용자는 자신의 암호를 재설정할 수 없습니다.
비밀번호 쓰기 저장을 사용하는 경우 동기화 엔진은 저장 라이브러리를 호출하여 클라우드 온보딩 서비스와 대화함으로써 구성(온보딩)을 수행합니다. 비밀번호 쓰기 저장에 대한 WCF(Windows Communication Foundation) 엔드포인트를 온보딩 또는 시작하는 동안 발생한 오류는 Microsoft Entra Connect 컴퓨터의 이벤트 로그에서 오류를 발생시킵니다.

ADSync(Azure AD Sync) 서비스를 다시 시작하는 동안 쓰기 저장을 구성한 경우 WCF 엔드포인트가 시작됩니다. 하지만 엔드포인트 시작에 실패하는 경우 이벤트 6800이 로그되며 동기화 서비스를 시작할 수 있습니다. 이 이벤트의 현재 상태는 비밀번호 쓰기 저장 엔드포인트가 시작되지 않았음을 의미합니다. 이 이벤트 6800에 대한 이벤트 로그 세부 정보는 PasswordResetService 요소가 생성한 이벤트 로그 항목과 함께 엔드포인트를 시작할 수 없는 이유를 나타냅니다. 비밀번호 쓰기 저장이 여전히 작동하지 않는 경우 이러한 이벤트 로그 오류를 검토하고 Microsoft Entra Connect를 다시 시작합니다. 문제가 지속되면 비밀번호 쓰기 저장을 비활성화하고 다시 활성화시킵니다.
사용자가 암호 재설정 또는 비밀번호 쓰기 저장을 사용하도록 설정된 계정을 잠금 해제하려는 경우 작업이 실패합니다.

또한 잠금 해제 작업이 발생한 후 “동기화 엔진이 오류 hr=800700CE 반환, 메시지=파일 이름 또는 확장명이 너무 깁니다”를 포함하는 Microsoft Entra Connect 이벤트 로그에서 이벤트가 표시됩니다.
Microsoft Entra Connect에 대한 Active Directory 계정을 찾고 최대 256자를 포함하도록 비밀번호를 재설정합니다. 그런 다음 시작 메뉴에서 동기화 서비스를 엽니다. 커넥터로 이동하고 Active Directory Connector를 찾습니다. 이를 선택한 후 속성을 선택합니다. 자격 증명 페이지로 이동하고 새 암호를 입력합니다. 확인을 선택하여 페이지를 닫습니다.
Microsoft Entra Connect 설치 프로세스의 마지막 단계에서 비밀번호 쓰기 저장을 구성할 수 없다는 오류가 표시됩니다.

Microsoft Entra Connect 애플리케이션 이벤트 로그는 “인증 토큰 가져오기 오류"라는 텍스트를 표시하는 오류 32009를 포함합니다.
이 오류는 다음과 같은 두 경우에 발생합니다.
  • Microsoft Entra Connect 설치 프로세스를 시작할 때 지정된 전역 관리자 계정에 잘못된 암호를 지정했습니다.
  • Microsoft Entra Connect 설치 프로세스를 시작할 때 지정한 전역 관리자 계정에 페더레이션된 사용자를 사용하려고 했습니다.
이 문제를 해결하려면 설치 프로세스를 시작할 때 지정한 전역 관리자로 페더레이션된 계정을 사용하지 않고 지정된 암호가 올바른지 확인하세요.
Microsoft Entra Connect 컴퓨터 이벤트 로그는 PasswordResetService를 실행할 때 발생된 오류 32002를 포함합니다.

오류 메시지: “ServiceBus에 연결하는 동안 오류가 발생했습니다. 토큰 공급자가 보안 토큰을 제공할 수 없습니다.”
온-프레미스 환경을 클라우드의 Azure Service Bus 엔드포인트에 연결할 수 없습니다. 이 오류는 특정 포트 또는 웹 주소에 대한 아웃바운드 연결을 차단하는 방화벽 규칙에 의해 발생됩니다. 자세한 내용은 연결 필수 조건을 참조하세요. 이러한 규칙을 업데이트한 후 Microsoft Entra Connect 서버 및 비밀번호 쓰기 저장 작업을 다시 시작해야 합니다.
시간이 지난 후에 페더레이션되거나 통과 인증 또는 암호 해시 동기화된 사용자는 자신의 암호를 재설정할 수 없습니다. 일부 드문 경우에서 Microsoft Entra Connect를 다시 시작할 때 비밀번호 쓰기 저장 서비스를 다시 시작하지 못할 수 있습니다. 이러한 경우 먼저 온-프레미스에서 비밀번호 쓰기 저장을 사용하도록 설정했는지 확인합니다. Microsoft Entra Connect 마법사나 PowerShell 중 하나를 사용하여 확인할 수 있습니다. 해당 기능이 사용 가능으로 설정된 것으로 나타날 경우 기능을 사용하도록 설정하거나 사용하지 않도록 설정합니다. 이 문제 해결 단계로도 해결되지 않으면 Microsoft Entra Connect를 완전히 제거했다가 다시 설치해보세요.
페더레이션되었거나 통과 인증 또는 암호 해시 동기화된 사용자가 자신의 암호를 재설정하려고 하면 암호 제출을 시도한 후에 오류가 나타납니다. 이 오류는 서비스 문제가 있음을 나타냅니다.

이 문제 외에도 암호 재설정 작업 중 관리 에이전트와 관련한 오류가 온-프레미스 이벤트 로그에서 거부된 액세스를 표시할 수 있습니다
이러한 오류를 이벤트 로그에 표시한 경우 구성 시 마법사에서 지정된 ADMA(Active Directory Management Agent) 계정이 비밀번호 쓰기 저장에 필요한 권한이 있는지 확인합니다.

이 권한이 부여되면 DC(도메인 컨트롤러)에서 sdprop 백그라운드 작업을 통해 권한을 주는 데 최대 1시간이 걸릴 수 있습니다.

암호 재설정을 작동하기 위해 해당 암호를 재설정하는 사용자 개체의 보안 설명자에 사용 권한을 스탬프해야 합니다. 사용자 개체에 이 사용 권한이 표시될 때까지 암호 재설정은 액세스 거부 메시지를 표시하며 실패하게 됩니다.
페더레이션되었거나 통과 인증 또는 암호 해시 동기화된 사용자가 자신의 암호를 재설정하려고 하면 암호를 제출한 후에 오류가 나타납니다. 이 오류는 서비스 문제가 있음을 나타냅니다.

이 문제 외에도 암호 재설정 작업 중에 “개체를 찾을 수 없습니다”라는 Microsoft Entra Connect 서비스에서 이벤트 로그에 오류가 보일 수 있습니다.
이 오류는 일반적으로 동기화 엔진이 Microsoft Entra 커넥터 공간 또는 연결된 MV(메타버스)에서 사용자 개체 또는 Microsoft Entra 커넥터 공간 개체를 찾을 수 없음을 나타냅니다.

이 문제를 해결하려면 Microsoft Entra Connect의 현재 인스턴스를 통해 사용자가 온-프레미스에서 Microsoft Entra ID에 실제로 동기화되었는지 확인하고 커넥터 공간 및 MV에서 개체의 상태를 검사합니다. AD CS(Active Directory 인증서 서비스) 개체가 "Microsoft.InfromADUserAccountEnabled.xxx" 규칙을 통한 MV 개체에 연결되어 있는지 확인합니다.
페더레이션되었거나 통과 인증 또는 암호 해시 동기화된 사용자가 자신의 암호를 재설정하려고 하면 암호를 제출한 후에 오류가 나타납니다. 이 오류는 서비스 문제가 있음을 나타냅니다.

이 문제 외에도 암호 재설정 작업 중에 Microsoft Entra Connect 서비스에서 이벤트 로그에 "여러 에러를 찾았습니다"라는 오류가 나타날 수 있습니다.
이는 MV 개체가 "Microsoft.InfromADUserAccountEnabled.xxx"를 통해 둘 이상의 연결된 AD CS 개체라는 점을 동기화 엔진이 감지했음을 나타냅니다. 이는 사용자에게 둘 이상의 포리스트에 활성화된 계정이 있음을 의미합니다. 이 시나리오는 비밀번호 쓰기 저장을 지원하지 않습니다.
구성 오류가 있으면 암호 작업은 실패합니다. 애플리케이션 이벤트 로그는 텍스트와 함께 Microsoft Entra Connect 오류 6329를 포함합니다. “0x8023061f (이 관리 에이전트에서 암호 동기화를 사용하지 않기 때문에 작업이 실패했습니다.)” 이 오류는 비밀번호 쓰기 저장 기능이 이미 설정된 후에 Microsoft Entra Connect 구성이 새 Active Directory 포리스트를 추가(또는 기존 포리스트를 제거하고 다시 추가)하여 변경된 경우 발생합니다. 이렇게 최근에 추가된 포리스트에서 사용자에 대한 암호 작업은 실패합니다. 이 문제를 해결하려면 포리스트 구성이 변경된 후에 비활성화 및 재활성화된 비밀번호 쓰기 저장 기능을 완료합니다.
SSPR_0029: 온-프레미스 구성의 오류로 인해 암호를 다시 설정할 수 없습니다. 관리자에게 문의하고 조사하도록 요청하세요. 문제: 필요한 모든 단계에 따라 비밀번호 쓰기 저장이 활성화되었지만 암호를 변경하려고 할 때 "SSPR_0029: 조직에서 암호 재설정에 대한 온-프레미스 구성을 제대로 설정하지 않았습니다."라는 메시지가 표시됩니다. Microsoft Entra Connect 시스템의 이벤트 로그를 확인한 결과, 관리 에이전트 자격 증명에 대한 액세스가 거부된 것으로 나타났습니다. 가능한 솔루션: Microsoft Entra Connect 시스템과 도메인 컨트롤러에서 RSOP를 사용하여 컴퓨터 구성 > Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션에서 찾은 "네트워크 액세스: SAM에 대한 원격 호출이 허용된 클라이언트 제한" 정책이 사용하도록 설정되어 있는지 확인합니다. MSOL_XXXXXXX 관리 계정을 허용된 사용자로 포함하도록 정책을 편집합니다. 자세한 내용은 오류 SSPR_0029 문제 해결: 조직에서 암호 재설정을 위한 온-프레미스 구성을 제대로 설정하지 않음을 참조하세요.

비밀번호 쓰기 저장 이벤트 로그 오류 코드

비밀번호 쓰기 저장과 관련된 문제를 해결할 때 모범 사례는 Microsoft Entra Connect 컴퓨터에서 해당 애플리케이션 이벤트 로그를 검사하는 것입니다. 이 이벤트 로그는 비밀번호 쓰기 저장을 위해 두 원본에서 비롯된 이벤트를 포함합니다. PasswordResetService 원본은 비밀번호 쓰기 저장의 작업에 관련된 작업 및 문제를 설명합니다. ADSync 원본은 Active Directory Domain Services 환경에서 암호 설정과 관련된 작업 및 문제를 설명합니다.

이벤트의 원본이 ADSync인 경우

코드 이름 또는 메시지 설명
6329 재귀 한도 초과: MMS(4924) 0x80230619: "제한은 암호가 지정된 현재 암호로 변경되는 것을 방지합니다." 이 이벤트는 비밀번호 쓰기 저장 서비스가 암호 사용 기간, 기록, 복잡성 또는 도메인의 필터링 요구 사항에 맞지 않는 로컬 디렉터리에 암호를 설정하려고 할 때 발생합니다. 이 이벤트는 사용자의 암호를 변경할 수 없는 경우에도 발생할 수 있습니다.

최소 암호 사용 기간을 사용하고 최근 시간의 해당 창 내에서 암호를 변경하는 경우 사용자 도메인에 지정된 보존 기간에 도달할 때까지 다시 암호를 변경할 수 없습니다. 테스트를 위해 최소 보존 기간을 0으로 설정해야 합니다.

암호 기록 요구 사항을 사용하도록 설정하는 경우 마지막 N번에 사용되지 않은 암호를 선택해야 합니다. 여기서 N은 암호 기록 설정입니다. 마지막 N번에서 사용된 암호를 선택하는 경우 오류가 나타납니다. 테스트를 위해서는 암호 기록을 0으로 설정해야 합니다.

암호 복잡성 요구 사항이 있는 경우 사용자가 암호를 변경하거나 재설정하려고 할 때 이들 모두를 강제제합니다.

암호 필터를 사용하고 사용자가 필터링 조건을 충족하지 않는 암호를 선택하는 경우 재설정 또는 변경 작업이 실패합니다.

사용자에게 PASSWD_CANT_CHANGE 속성 플래그가 설정된 경우 해당 암호를 동기화할 수 없습니다. 테스트를 위해 PASSWD_CANT_CHANGE 속성 플래그를 제거합니다. 자세한 내용은 속성 플래그 설명을 참조하세요.
6329 MMS(3040): admaexport.cpp(2837): 서버가 LDAP 암호 정책 제어를 포함하지 않습니다. 이 문제는 DC에서 LDAP_SERVER_POLICY_HINTS_OID 제어(1.2.840.113556.1.4.2066)를 사용하도록 설정하지 않는 경우에 발생합니다. 비밀번호 쓰기 저장 기능을 사용하려면 제어 기능을 사용하도록 설정해야 합니다. 이렇게 하려면 DC가 Windows Server 2016 이상이어야 합니다.
HR 8023042 동기화 엔진이 오류 hr=80230402를 반환했습니다. 메시지= 동일한 앵커를 가진 중복된 항목이 있기 때문에 개체를 가져오려는 시도가 실패했습니다. 이 오류는 여러 도메인에 동일한 사용자 ID가 설정된 경우에 발생합니다. 계정 및 리소스 포리스트를 동기화하고 각 포리스트에서 동일한 사용자 ID가 존재하고 사용되도록 설정된 경우를 예로 들 수 있습니다.

사용자가 고유하지 않은 앵커 특성(예: 별칭 또는 UPN)을 사용하고 두 명의 사용자가 해당하는 동일한 앵커 특성을 공유하는 경우 이 오류가 발생할 수 있습니다.

이 문제를 해결하려면 도메인 내에서 중복된 사용자가 없도록 하고 각 사용자에 고유한 앵커 특성을 사용하고 있는지를 확인합니다.

이벤트의 원본이 PasswordResetService인 경우

코드 이름 또는 메시지 설명
31001 PasswordResetStart 이 이벤트는 온-프레미스 서비스가 클라우드에서 시작한 페더레이션되거나 통과 인증 또는 암호 해시 동기화된 사용자를 위해 암호 재설정 요구를 검색하도록 합니다. 이 이벤트는 쓰기 저장 작업을 재설정한 모든 암호의 첫 번째 이벤트입니다.
31002 PasswordResetSuccess 이 이벤트는 사용자가 암호 재설정 작업 중 새 암호를 선택했음을 나타냅니다. 이 암호가 회사 암호 요구 사항을 충족하는지 확인했습니다. 암호는 로컬 Active Directory 환경에 다시 기록되었습니다.
31003 PasswordResetFail 이 이벤트는 사용자가 암호를 선택했으며 암호가 온-프레미스 환경에 성공적으로 도착했음을 나타냅니다. 하지만 로컬 Active Directory 환경에서 암호를 설정하려고 할 때 오류가 발생했습니다. 이 오류는 다음과 같은 이유로 발생할 수 있습니다.
  • 사용자 암호가 도메인에 대한 사용 기간, 기록, 복잡성 또는 필터 요구를 충족하지 않습니다. 이 문제를 해결하려면 새 암호를 만듭니다.
  • ADMA 서비스 계정은 우려되는 사용자 계정에 새 암호를 설정하는 적절한 권한이 없습니다.
  • 사용자의 계정은 암호 집합 작업을 허용하지 않는 도메인 또는 엔터프라이즈 관리자 그룹과 같은 보호되는 그룹에 있습니다.
31004 OnboardingEventStart 이 이벤트는 사용자가 Microsoft Entra Connect로 비밀번호 쓰기 저장을 사용하도록 설정하고 비밀번호 쓰기 저장 웹 서비스에 사용자의 조직이 온보딩되기 시작한 경우에 발생합니다.
31005 OnboardingEventSuccess 이 이벤트는 온보딩 프로세스가 완료되었으며 비밀번호 쓰기 저장 기능을 사용할 준비가 되었음을 나타냅니다.
31006 ChangePasswordStart 이 이벤트는 온-프레미스 서비스가 클라우드에서 시작한 페더레이션되거나 통과 인증 또는 암호 해시 동기화된 사용자를 위해 암호 변경 요구를 검색하도록 합니다. 이 이벤트는 쓰기 저장 작업을 변경한 모든 암호의 첫 번째 이벤트입니다.
31007 ChangePasswordSuccess 이 이벤트는 사용자가 암호 변경 작업 중 새 암호를 선택함을 나타냅니다. 이 암호는 기업의 암호 요구 사항을 만족하고 해당 암호가 다시 로컬 Active Directory 환경에 성공적으로 작성되었음을 확인합니다.
31008 ChangePasswordFail 이 이벤트는 사용자가 암호를 선택하고 암호가 온-프레미스 환경에 성공적으로 도달했지만 로컬 Active Directory 환경에서 암호를 설정하려고 할 때 오류가 발생했음을 나타냅니다. 이 오류는 다음과 같은 이유로 발생할 수 있습니다.
  • 사용자 암호가 도메인에 대한 사용 기간, 기록, 복잡성 또는 필터 요구를 충족하지 않습니다. 이 문제를 해결하려면 새 암호를 만듭니다.
  • ADMA 서비스 계정은 우려되는 사용자 계정에 새 암호를 설정하는 적절한 권한이 없습니다.
  • 사용자의 계정은 암호 집합 작업을 허용하지 않는 도메인 또는 엔터프라이즈 관리자와 같은 보호되는 그룹에 있습니다.
31009 ResetUserPasswordByAdminStart 온-프레미스 서비스는 사용자 대신 관리자에서 시작한 페더레이션되거나 통과 인증 또는 암호 해시 동기화된 사용자를 위해 암호 재설정 요구를 검색합니다. 이 이벤트는 관리자가 시작한 모든 암호 재설정 쓰기 저장 작업의 첫 번째 이벤트입니다.
31010 ResetUserPasswordByAdminSuccess 관리자는 관리자가 시작한 암호 재설정 작업 동안 새 암호를 선택했습니다. 이 암호가 회사 암호 요구 사항을 충족하는지 확인했습니다. 암호는 로컬 Active Directory 환경에 다시 기록되었습니다.
31011 ResetUserPasswordByAdminFail 관리자가 사용자 대신 암호를 선택했습니다. 암호가 온-프레미스 환경에 성공적으로 도착했습니다. 하지만 로컬 Active Directory 환경에서 암호를 설정하려고 할 때 오류가 발생했습니다. 이 오류는 다음과 같은 이유로 발생할 수 있습니다.
  • 사용자 암호가 도메인에 대한 사용 기간, 기록, 복잡성 또는 필터 요구를 충족하지 않습니다. 이 문제를 해결하려면 새 암호를 만듭니다.
  • ADMA 서비스 계정은 우려되는 사용자 계정에 새 암호를 설정하는 적절한 권한이 없습니다.
  • 사용자의 계정은 암호 집합 작업을 허용하지 않는 도메인 또는 엔터프라이즈 관리자와 같은 보호되는 그룹에 있습니다.
31012 OffboardingEventStart 이 이벤트는 Microsoft Entra Connect로 비밀번호 쓰기 저장을 사용하지 않는 경우에 발생하며 사용자 조직을 비밀번호 쓰기 저장 웹 서비스로 오프보딩하기 시작했음을 나타냅니다.
31013 OffboardingEventSuccess 이 이벤트는 오프보딩 프로세스가 완료되었으며 비밀번호 쓰기 저장 기능이 성공적으로 비활성화되었음을 나타냅니다.
31014 OffboardingEventFail 이 이벤트는 오프보딩 프로세스가 성공하지 못했음을 나타냅니다. 구성하는 동안 지정된 클라우드 또는 온-프레미스 관리자 계정에 대해 사용 권한 오류가 발생했기 때문일 수 있습니다. 암호 쓰기 저장을 사용하지 않도록 설정하는 경우 페더레이션된 클라우드 전역 관리자를 사용하려고 해도 이 오류가 발생할 수 있습니다. 이 문제를 해결하려면 비밀번호 쓰기 저장 기능을 구성하는 동안 관리 권한과 페더레이션된 계정을 사용하지 않는지를 확인합니다.
31015 WriteBackServiceStarted 이 이벤트는 비밀번호 쓰기 저장 서비스가 성공적으로 시작되었음을 나타냅니다. 클라우드의 암호 관리 요청을 수락할 준비가 된 것입니다.
31016 WriteBackServiceStopped 이 이벤트는 비밀번호 쓰기 저장 서비스가 중지되었음을 나타냅니다. 클라우드의 암호 관리 요청은 성공하지 않습니다.
31017 AuthTokenSuccess 이 이벤트는 오프보딩 또는 온보딩 프로세스를 시작하기 위해 Microsoft Entra Connect 설치 중에 지정된 전역 관리자에 대한 권한 부여 토큰을 성공적으로 검색했음을 나타냅니다.
31018 KeyPairCreationSuccess 이 이벤트는 암호 암호화 키가 생성되었음을 나타냅니다. 이 키는 클라우드의 암호를 온-프레미스 환경으로 전송하는 데 사용됩니다.
31019 ServiceBusHeartBeat 이 이벤트는 테넌트의 Service Bus 인스턴스 요청을 성공적으로 전송했음을 나타냅니다.
31034 ServiceBusListenerError 이 이벤트는 테넌트의 Service Bus 수신기에 연결하는 동안 오류가 발생했음을 나타냅니다. 오류 메시지에 “원격 인증서가 유효하지 않습니다"가 포함된 경우 Microsoft Entra Connect 서버에 Azure TLS 인증서 변경에 설명된 대로 필요한 모든 루트 CA가 있는지 확인합니다.
31044 PasswordResetService 이 이벤트는 비밀 번호 쓰기 저장이 작동하지 않음을 나타냅니다. Service Bus는 중복성을 위해 두 개의 개별 릴레이에서 요청을 수신 대기합니다. 각 릴레이 연결은 고유한 Service Host에 의해 관리됩니다. Service Host 중 하나가 실행되고 있지 않으면 쓰기 저장 클라이언트에서 오류를 반환합니다.
32000 UnknownError 이 이벤트는 암호 관리 작업을 하는 동안 알 수 없는 오류가 발생했음을 나타냅니다. 자세한 내용은 이벤트에서 예외 텍스트를 확인합니다. 문제가 발생하는 경우 비밀번호 쓰기 저장 기능을 사용하지 않도록 설정했다가 다시 사용하도록 설정합니다. 이렇게 해도 도움이 되지 않는 경우 지원 요청을 열 때 지정된 추적 ID와 함께 이벤트 로그 사본을 포함합니다.
32001 ServiceError 이 이벤트는 클라우드 암호 재설정 서비스에 연결하는 동안 오류가 발생했음을 나타냅니다. 이 오류는 일반적으로 온-프레미스 서비스가 암호 재설정 웹 서비스에 연결할 수 없는 경우에 발생합니다.
32002 ServiceBusError 이 이벤트는 테넌트의 Service Bus 인스턴스에 연결하는 동안 오류가 발생했음을 나타냅니다. 이는 온-프레미스 환경에서 아웃바운드 연결을 차단하기 때문에 발생할 수 있습니다. TCP 443을 통해 https://ssprdedicatedsbprodncu.servicebus.windows.net으로 연결을 허용하도록 방화벽을 확인하고 다시 시도하세요. 여전히 문제가 발생하는 경우 비밀번호 쓰기 저장 기능을 비활성화하고 재활성화하여 시도하세요.
32003 InPutValidationError 이 이벤트는 웹 서비스 API에 전달 된 입력이 잘못되었음을 나타냅니다. 작업을 다시 시도합니다.
32004 DecryptionError 이 이벤트는 클라우드에서 도착하는 암호를 해독하는 오류가 발생했음을 나타냅니다. 클라우드 서비스 및 온-프레미스 환경 간에 암호 해독 키가 불일치하기 때문일 수 있습니다. 이 문제를 해결하기 위해 온-프레미스 환경에서 비밀번호 쓰기 저장을 사용하지 않도록 설정했다가 다시 사용하도록 설정합니다.
32005 ConfigurationError 온보딩하는 동안 온-프레미스 환경의 구성 파일에서 테넌트 관련 정보를 저장합니다. 이 이벤트는 이 파일을 저장하는 오류가 발생했거나 서비스를 시작할 때 파일을 읽는 오류가 발생함을 나타냅니다. 이 문제를 해결하려면 이 구성 파일을 다시 작성하도록 강제하여 비밀번호 쓰기 저장을 사용하지 않도록 설정했다가 다시 사용하도록 설정합니다.
32007 OnBoardingConfigUpdateError 온보딩하는 동안 데이터를 클라우드에서 온-프레미스 암호 재설정 서비스로 보냅니다. 그런 다음 해당 데이터가 동기화 서비스에 전송되어 디스크에 안전하게 저장하기 전에 메모리 내 파일에 기록됩니다. 이 이벤트는 메모리에서 해당 데이터를 작성하거나 업데이트하는 데 문제가 있음을 나타냅니다. 이 문제를 해결하려면 이 구성 파일을 다시 작성하도록 강제하여 비밀번호 쓰기 저장을 사용하지 않도록 설정했다가 다시 사용하도록 설정합니다.
32008 ValidationError 이 이벤트는 암호 재설정 웹 서비스에서 잘못된 응답을 받았음을 나타냅니다. 이 문제를 해결하려면 비밀번호 쓰기 저장 기능을 사용하지 않도록 설정했다가 다시 사용하도록 설정합니다.
32009 AuthTokenError 이 이벤트는 Microsoft Entra Connect 설치 중에 지정된 전역 관리자 계정에 대한 권한 부여 토큰을 가져올 수 없음을 나타냅니다. 이 오류는 전역 관리자 계정에 지정된 잘못된 사용자 이름 또는 암호로 인해 발생할 수 있습니다. 이 오류는 지정된 전역 관리자 계정이 페더레이션된 경우에도 발생할 수 있습니다. 이 문제를 해결하려면 올바른 사용자 이름과 암호를 사용하여 구성을 다시 실행하고 관리자가 관리되는 (클라우드 전용 또는 암호 동기화된) 계정인지를 확인합니다.
32010 CryptoError 이 이벤트는 클라우드 서비스에서 도달한 암호 암호화 키를 생성하거나 암호를 해독할 때 오류가 발생했음을 나타냅니다. 이 오류가 환경에 문제가 있음을 나타낼 수 있습니다. 이 문제를 해결하는 방법에 대한 자세한 내용은 이벤트 로그에서 세부 정보를 확인하세요. 비밀번호 쓰기 저장 서비스를 사용하지 않도록 설정했다가 다시 사용하도록 설정할 수도 있습니다.
32011 OnBoardingServiceError 이 이벤트는 온보딩 프로세스를 시작하기 위해 온-프레미스 서비스가 암호 재설정 웹 서비스와 제대로 통신하지 못함을 나타냅니다. 이 문제는 방화벽 규칙의 결과로 또는 테넌트에 대한 인증 토큰을 가져오는 데 문제가 있는 경우에 발생할 수 있습니다. 이 문제를 해결하려면 TCP 443 및 TCP 9350-9354를 통해 https://ssprdedicatedsbprodncu.servicebus.windows.net으로 아웃바운드 연결을 차단하지 않았는지 확인합니다. 또한 온보드에 사용하는 Microsoft Entra 관리자 계정이 페더레이션되었는지를 확인합니다.
32013 OffBoardingError 이 이벤트는 오프보딩 프로세스를 시작하기 위해 온-프레미스 서비스가 암호 재설정 웹 서비스와 제대로 통신하지 못함을 나타냅니다. 이 문제는 방화벽 규칙의 결과 또는 테넌트에 대한 권한 부여 토큰을 가져오는 데 문제가 있는 경우에 발생할 수 있습니다. 이 문제를 해결하려면 443을 통해 또는 https://ssprdedicatedsbprodncu.servicebus.windows.net으로 아웃바운드 연결을 차단하지 않았는지 및 오프보드에 사용하는 Microsoft Entra 관리자 계정이 페더레이션되지 않았는지 확인합니다.
32014 ServiceBusWarning 이 이벤트는 테넌트의 Service Bus 인스턴스에 연결을 다시 시도했음을 나타냅니다. 정상 조건에서 우려해야 하지만 여러 번 이 이벤트가 나타나는 경우, 특히 긴 대기 시간 또는 낮은 대역폭 연결이면 Service Bus에 대한 네트워크 연결을 확인합니다.
32015 ReportServiceHealthError 비밀번호 쓰기 저장 서비스의 상태를 모니터링하려면 5분마다 하트비트 데이터를 암호 재설정 웹 서비스로 보냅니다. 이 이벤트는 클라우드 웹 서비스에 이 상태 정보를 보낼 때 오류가 발생했음을 나타냅니다. 이 상태 정보는 개인 데이터를 포함하지 않고 순수하게 하트비트 및 기본 서비스 통계이므로 클라우드에서 서비스 상태 정보를 제공할 수 있습니다.
33001 ADUnKnownError 이 이벤트는 Active Directory에서 알 수 없는 오류가 반환되었음을 나타냅니다. 자세한 내용은 Microsoft Entra Connect 서버 이벤트 로그에서 ADSync 원본의 이벤트를 확인하세요.
33002 ADUserNotFoundError 이 이벤트는 암호를 재설정 또는 변경하려는 사용자를 온-프레미스 디렉터리에서 찾지 못했음을 나타냅니다. 이 오류는 사용자가 온-프레미스에서 삭제되었으나 클라우드에서는 삭제되지 않았을 때 발생할 수 있습니다. 이 오류는 동기화에 문제가 있는 경우에도 발생할 수 있습니다. 자세한 내용은 마지막 동기화 실행 세부 정보 및 동기화 로그를 확인하세요.
33003 ADMutliMatchError 암호를 재설정하거나 클라우드에서 시작된 변경을 요청한 경우 Microsoft Entra Connect의 설치 프로세스 중에 지정된 클라우드 앵커를 사용하여 온-프레미스 환경에서 사용자에게 해당 요청을 다시 연결하는 방법을 결정합니다. 이 이벤트는 같은 클라우드 앵커 특성을 가진 온-프레미스 디렉터리에 두 사용자가 있음을 나타냅니다. 자세한 내용은 마지막 동기화 실행 세부 정보 및 동기화 로그를 확인하세요.
33004 ADPermissionsError 이 이벤트는 ADMA(Active Directory 관리 에이전트) 서비스 계정이 문제가 되는 해당 계정에 새 암호를 설정할 적절한 권한이 없음을 나타냅니다. 사용자의 포리스트에서 ADMA 계정이 포리스트의 모든 개체에 비밀번호 재설정 권한이 있는지 확인합니다. 사용 권한을 설정하는 방법에 대한 자세한 내용은 4단계: 적절한 Active Directory 사용 권한 설정을 참조하세요. 이 오류는 사용자 특성 AdminCount가 1로 설정된 경우에도 발생할 수 있습니다.
33005 ADUserAccountDisabled 이 이벤트는 온-프레미스에서 사용하지 않도록 설정된 계정의 암호를 변경 또는 재설정하려고 시도했음을 나타냅니다. 계정을 활성화하고 작업을 다시 시도합니다.
33006 ADUserAccountLockedOut 이 이벤트는 온-프레미스에서 잠긴 계정의 암호를 변경 또는 재설정하려고 시도했음을 나타냅니다. 사용자가 짧은 기간 동안 너무 여러 번 암호 작업을 변경 또는 재설정하려는 경우 잠겨질 수 있습니다. 계정의 잠금을 풀고 작업을 다시 시도합니다.
33007 ADUserIncorrectPassword 이 이벤트는 사용자가 변경 작업을 수행할 때 잘못된 현재 암호를 지정했음을 나타냅니다. 올바른 현재 암호를 지정하고 다시 시도하십시오.
33008 ADPasswordPolicyError 이 이벤트는 비밀번호 쓰기 저장 서비스가 암호 사용 기간, 기록, 복잡성 또는 도메인의 필터링 요구 사항에 맞지 않는 로컬 디렉터리에 암호를 설정하려고 할 때 발생합니다.

최소 암호 사용 기간을 사용하고 최근 시간의 해당 창 내에서 암호를 변경하는 경우 사용자 도메인에 지정된 보존 기간에 도달할 때까지 다시 암호를 변경할 수 없습니다. 테스트를 위해 최소 보존 기간을 0으로 설정해야 합니다.

암호 기록 요구 사항을 활성화하는 경우 마지막 N번에서 사용되지 않은 암호를 선택해야 합니다. 여기서 N은 암호 기록 설정입니다. 마지막 N번에서 사용된 암호를 선택하는 경우 오류가 나타납니다. 테스트를 위해서는 암호 기록을 0으로 설정해야 합니다.

암호 복잡성 요구 사항이 있는 경우 사용자가 암호를 변경하거나 재설정하려고 할 때 이들 모두를 강제제합니다.

암호 필터를 사용하고 사용자가 필터링 조건을 충족하지 않는 암호를 선택하는 경우 재설정 또는 변경 작업이 실패합니다.
33009 ADConfigurationError 이 이벤트는 Active Directory 구성 문제로 인해 암호를 다시 온-프레미스 디렉터리로 작성하는 문제가 있음을 나타냅니다. 어떤 오류가 발생했는지에 대한 자세한 내용은 ADSync 서비스로부터 온 메시지에 대한 Microsoft Entra Connect 컴퓨터의 애플리케이션 이벤트 로그를 확인합니다.

암호 쓰기 저장에서 예약된 조직 구성 단위 문자

다음 표에는 암호 쓰기 저장을 방지하는 예약 문자가 나열되어 있습니다. 이러한 문자가 온-프레미스 OU(조직 구성 단위) 구조에 표시되면 이벤트 ID 33001을 나타내며 암호 쓰기 저장이 실패할 수 있습니다.

예약된 문자 설명 16진수 값
문자열의 시작에 있는 공백 또는 # 문자
문자열의 끝에 있는 공백 문자
= 쉼표 0x2C
+ 더하기 기호 0x2B
" 따옴표 0x22
\ 백슬래시 0x5C
< 왼쪽 꺾쇠 괄호 0x3C
> 오른쪽 꺾쇠 괄호 0x3E
; 세미콜론 0x3B
LF 줄 바꿈 0x0A
CR 캐리지 리턴 0x0D
= 등호 0x3D
/ 슬래시 0x2F

Microsoft Entra 포럼

Microsoft Entra ID 및 셀프 서비스 암호 재설정에 대한 일반적인 질문이 있는 경우 Microsoft Entra ID에 대한 Microsoft Q&A 질문 페이지에서 다른 사용자에게 도움을 요청할 수 있습니다. 커뮤니티는 엔지니어, 제품 관리자, MVP 및 동료 IT 전문가들로 구성되어 있습니다.

Microsoft 지원에 문의

문제에 대한 답을 찾을 수 없는 경우 지원 팀에서 항상 추가 지원을 받을 수 있습니다.

제대로 지원하기 위해 사례를 시작할 때 가능한 많은 세부 정보를 제공하도록 요청합니다. 이러한 세부 정보에는 다음이 포함됩니다.

  • 오류의 일반적인 설명: 어떤 오류인가요? 어떤 동작이 발견되었습니까? 오류를 재현하려면 어떻게 해야 합니까? 최대한 많은 세부 정보를 제공해주세요.
  • 페이지: 어떤 페이지에서 오류가 나타났나요? 가능하면 URL 및 페이지 스크린샷을 포함해주세요.
  • 지원 코드: 사용자가 오류를 확인했을 때 생성된 지원 코드는 무엇이었나요?
    • 이 코드를 찾으려면 오류를 재현한 후 화면 아래에서 지원 코드 링크를 선택하고 지원 엔지니어에게 결과로 표시된 GUID를 보내세요.

      지원 코드는 웹 브라우저 창의 오른쪽 하단에 있습니다.

    • 아래에서 지원 코드 없이 페이지에서 F12 키를 선택하고 SID 및 CID를 검색한 후 지원 엔지니어에게 이러한 두 개의 결과를 보냅니다.

  • 날짜, 시간 및 표준 시간대 - 오류가 발생한 표준 시간대와 정확한 날짜 및 시간을 포함해주세요.
  • 사용자 ID: 어떤 사용자에게서 오류가 나타났나요? 예제는 user@contoso.com입니다.
    • 페더레이션된 사용자입니까?
    • 통과 인증 사용자입니까?
    • 암호 해시 동기화 사용자인가요?
    • 클라우드 전용 사용자인가요?
  • 라이선스: 사용자에게 할당된 Microsoft Entra ID 라이선스가 있나요?
  • 애플리케이션 이벤트 로그: 비밀번호 쓰기 저장을 사용 중이고 온-프레미스 인프라에서 오류가 발생한 경우 Microsoft Entra Connect 서버에서 애플리케이션 이벤트 로그의 복사본을 압축하여 보내주세요.

다음 단계

SSPR에 대해 더 알아보려면 작동 방식: Microsoft Entra 셀프 서비스 암호 재설정 또는 Microsoft Entra ID에서 셀프 서비스 암호 재설정 쓰기 저장이 작동하는 방식을 참조하세요.