SQL Server의 일관된 인증 문제

이 섹션에서는 애플리케이션에서 데이터베이스에 연결하는 데 사용하는 구성 설정과 관련된 문제를 나열합니다.

• 명시적 SPN이 없습니다 . SPN이 올바르게 구성되거나 등록되지 않은 경우 이 문제가 발생합니다.

  해결 방법: 이 문제를 해결하려면 Windows 인증 사용하여 SQL Server를 연결할 때 "SSPI 컨텍스트를 생성할 수 없음" 오류를 참조하세요.

• 명시적 위치가 잘못된 SPN - 특정 서비스 또는 계정과 잘못 연결된 SPN을 나타냅니다.

  해결 방법: 이 문제를 해결하려면 명시적 잘못된 SPN을 참조하세요.

• 명시적 SPN이 중복됩니다 . SPN이 두 번 이상 등록되어 있기 때문에 중복되는 경우 이 문제가 발생합니다.

  해결 방법: 이 문제를 해결하려면 Windows 인증 사용하여 SQL Server를 연결할 때 "SSPI 컨텍스트를 생성할 수 없음" 오류를 참조하세요.

• 연결 문자열 잘못된 서버 이름 - 지정한 서버 이름이 올바르지 않거나 찾을 수 없는 경우 이 문제가 발생합니다.

  해결 방법: 이 문제를 해결하려면 MSSQLSERVER_18456 참조하세요.

• 연결 문자열 잘못된 데이터베이스 이름 - 인증에 제공된 데이터베이스 이름이 잘못된 경우 이 문제가 발생합니다.

  해결 방법: 이름의 철자가 올바른지 확인합니다. 자세한 내용은 MSSQLSERVER_4064 참조하세요.

• 명시적 SPN 계정이 잘못되었습니다. SPN이 AD DS의 잘못된 계정과 연결된 경우 이 문제가 발생할 수 있습니다.

  해결 방법: 이 문제를 해결하려면 SSPI 컨텍스트 오류를 생성할 수 없음을 참조 하세요.

이 섹션에서는 SQL Server의 다양한 측면과 관련된 문제를 나열합니다.

• 데이터베이스가 오프라인 상태입니다. SQL Server 데이터베이스가 Windows 인증 모드로 구성된 SQL Server 인스턴스에 다시 연결하려고 하는 시나리오를 나타냅니다.

  해결 방법: 자세한 내용은 MSSQLSERVER_18456 참조하세요.

• 데이터베이스 사용 권한 - SQL Server 데이터베이스에 대한 액세스를 사용하거나 제한하는 것을 의미합니다.

  해결 방법: 자세한 내용은 MSSQLSERVER_18456 참조하세요.

• SQL Server의 연결된 서버 연결 오류 - SQL Server 컨텍스트에서 연결된 서버에 영향을 주는 인증 프로세스 문제가 발생합니다.

  해결 방법: 이 문제를 해결하려면 SQL Server의 연결된 서버 연결 오류를 참조하세요.

• 연결된 서버의 메타데이터가 일치하지 않습니다 . 연결된 서버의 메타데이터가 일치하지 않거나 예상된 메타데이터와 일치하지 않는 문제를 나타냅니다.

  뷰 또는 저장 프로시저는 연결된 서버의 테이블 또는 뷰를 쿼리하지만 프로시저에서 복사된 SELECT 분산 문이 그렇지 않더라도 로그인 실패를 수신합니다.

  이 문제는 뷰를 만든 다음 연결된 서버를 다시 만들거나 뷰를 다시 빌드하지 않고 원격 테이블을 수정한 경우에 발생할 수 있습니다.

  해결 방법: 저장 프로시저를 실행하여 연결된 서버의 메타데이터를 sp_refreshview 새로 고칩니다.

• 프록시 계정에는 사용 권한이 없습니다. SQL 에이전트에서 실행하는 SSIS(SQL Server Integration Service) 작업에는 SQL 에이전트 서비스 계정이 제공할 수 있는 권한이 아닌 다른 권한이 필요할 수 있습니다.

  해결 방법: 이 문제를 해결하려면 SQL Server 에이전트 작업 단계에서 호출될 때 SSIS 패키지가 실행되지 않음을 참조하세요.

• SQL Server 데이터베이스 에 로그인할 수 없음 - 로그인할 수 없으면 인증에 오류가 발생할 수 있습니다.

  해결 방법: 이 문제를 해결하려면 MSSQLSERVER_18456 참조하세요.

이 섹션에서는 디렉터리 서비스 및 서버와 관련된 문제를 나열합니다.

• 계정을 사용할 수 없습니다 . 관리자 또는 사용자가 사용자 계정을 사용하지 않도록 설정한 경우 이 시나리오가 발생할 수 있습니다. 이 경우 이 계정을 사용하여 로그인할 수 없거나 이 계정을 사용하여 서비스를 시작할 수 없습니다. 이로 인해 리소스에 액세스하거나 인증이 필요한 작업을 수행할 수 없으므로 일관된 인증 문제가 발생할 수 있습니다.

  해결 방법: 도메인 관리자는 계정을 다시 사용하도록 설정하여 이 문제를 해결할 수 있습니다. 계정을 사용하지 않도록 설정한 경우 일반적으로 사용자가 잘못된 암호로 로그인을 너무 많이 시도했거나 애플리케이션 또는 서비스가 이전 암호를 사용하려고 했기 때문입니다.

• 계정이 그룹에 없습니다. 사용자가 특정 그룹으로 제한된 리소스에 액세스하려고 하면 이 문제가 발생할 수 있습니다.

  해결 방법: SQL 로그인을 확인하여 허용된 그룹을 열거하고 사용자가 그룹 중 하나에 속하는지 확인합니다.

• 계정 마이그레이션 실패 - 이전 사용자 계정이 서버에 연결할 수 없지만 새로 만든 계정이 있을 수 있는 경우 계정 마이그레이션이 올바르지 않을 수 있습니다. 이 문제는 AD DS와 관련이 있습니다.

  해결 방법: 자세한 내용은 SQL Server 인스턴스 간에 로그인 및 암호 전송을 참조하세요.

• 도메인 컨트롤러가 오프라인 상태입니다. 도메인 컨트롤러에 액세스할 수 없는 문제를 나타냅니다.

  해결 방법: 이 nltest 명령을 사용하여 컴퓨터가 다른 도메인 컨트롤러로 전환하도록 강제합니다. 자세한 내용은 Active Directory 복제 이벤트 ID 2087: DNS 조회 실패로 인해 복제가 실패했습니다.

• 방화벽은 도메인 컨트롤러 를 차단합니다. 리소스에 대한 사용자의 액세스를 관리할 때 문제가 발생할 수 있습니다.

  해결 방법: 클라이언트 또는 서버에서 도메인 컨트롤러에 액세스할 수 있는지 확인합니다. 이렇게 하려면 명령을 사용합니다 nltest /SC_QUERY:CONTOSO .

• 로그인은 신뢰할 수 없는 도메인에서 온 것입니다. 이 문제는 도메인 간의 신뢰 수준과 관련이 있습니다. 다음과 같은 오류 메시지가 표시될 수 있습니다. "로그인하지 못했습니다. 로그인은 신뢰할 수 없는 도메인에서 온 것이며 Windows 인증 사용할 수 없습니다. (18452)."

  오류 18452 는 로그인이 Windows 인증을 사용하지만 로그인이 인식할 수 없는 Windows 보안 주체임을 나타냅니다. 인식할 수 없는 Windows 보안 주체는 Windows에서 로그인을 확인할 수 없음을 나타냅니다. 이는 Windows 로그인이 신뢰할 수 없는 도메인에서 온 것이기 때문에 발생할 수 있습니다. 도메인 간의 신뢰 수준으로 인해 계정 인증에 오류가 발생하거나 SPN(서비스 공급자 이름)이 표시될 수 있습니다.

  해결 방법: 이 문제를 해결하려면 MSSQLSERVER_18452 참조하세요.

• 도메인 간 그룹에 대한 사용 권한 없음 - 원격 도메인의 사용자가 SQL Server 도메인의 그룹에 속해야 합니다. 도메인 로컬 그룹을 사용하여 다른 도메인에서 SQL Server 인스턴스에 연결하려고 하면 문제가 발생할 수 있습니다.

  해결 방법: 도메인에 적절한 신뢰가 부족한 경우 원격 도메인의 그룹에 사용자를 추가하면 서버가 그룹의 멤버 자격을 열거하지 못할 수 있습니다.

• 선택적 인증을 사용할 수 없음 - 도메인 관리자가 원격 도메인의 리소스에 액세스할 수 있는 사용자를 제한할 수 있는 도메인 트러스트의 기능을 나타냅니다. 선택적 인증을 사용하도록 설정하지 않으면 신뢰할 수 있는 도메인의 모든 사용자가 원격 도메인에 액세스할 수 있습니다.

  해결 방법: 이 문제를 해결하려면 선택적 인증을 사용하도록 설정하여 사용자가 원격 도메인에서 인증할 수 없도록 합니다.

이 섹션에서는 Kerberos 인증과 관련된 문제를 나열합니다.

• 잘못된 DNS 접미사가 NetBIOS 이름 에 추가됩니다. FQDN(정규화된 도메인 이름) 대신 NetBIOS 이름(예: SQLPROD01)만 사용하는 경우(예: SQLPROD01.CONTOSO.COM) 이 문제가 발생할 수 있습니다. 이 경우 잘못된 DNS 접미사가 추가될 수 있습니다.

  해결 방법: 기본 접미사의 네트워크 설정을 확인하여 올바른지 확인하거나 FQDN을 사용하여 문제를 방지합니다.

• 클록 기울이기가 너무 높습니다 . 네트워크의 여러 디바이스가 동기화되지 않은 경우 이 문제가 발생할 수 있습니다. Kerberos 인증이 작동하려면 디바이스 간 클록을 5분 이상 끌 수 없거나 일관된 인증 오류가 발생할 수 있습니다.

  해결 방법: 컴퓨터를 설정하여 시계와 중앙 시간 서비스를 정기적으로 동기화합니다.

• 중요한 계정을 다른 서비스에 위임 - 일부 계정은 AD DS에서와 같이 Sensitive 표시될 수 있습니다. 이러한 계정은 더블 홉 시나리오에서 다른 서비스에 위임할 수 없습니다. 중요한 계정은 보안을 제공하는 데 중요하지만 인증에 영향을 줄 수 있습니다.

  해결 방법: 이 문제를 해결하려면 사용자 NT AUTHORITY\ANONYMOUS LOGON에 대한 로그인 실패를 참조하세요.

• 파일 공유 위임 - 사용자 또는 애플리케이션이 파일 공유 에 액세스하기 위해 자격 증명을 위임하는 상황을 나타냅니다. 적절한 제약 조건이 없으면 자격 증명을 파일 공유로 위임하면 보안 위험이 발생할 수 있습니다.

  해결 방법: 이러한 종류의 문제를 해결하려면 제한된 위임을 사용해야 합니다.

• 연결되지 않은 DNS 네임스페이스 - DNS 접미사가 도메인 멤버와 DNS 간에 일치하지 않는 경우 발생할 수 있는 일관된 인증 문제를 나타냅니다. 연결이 해제된 네임스페이스를 사용하는 경우 인증 문제가 발생할 수 있습니다. AD DS 및 DNS의 조직 계층이 일치하지 않으면 데이터베이스 애플리케이션 연결 문자열 NETBIOS 이름을 사용하는 경우 잘못된 SPN이 생성될 수 있습니다. 이 경우 SPN을 찾을 수 없으며 Kerberos 자격 증명 대신 NTLM(New Technology LAN Manager) 자격 증명이 사용됩니다.

  해결 방법: 문제를 완화하려면 서버의 FQDN을 사용하거나 연결 문자열 SPN 이름을 지정합니다. FQDN에 대한 자세한 내용은 컴퓨터 이름을 참조 하세요.

• 중복 SPN - 도메인 내에서 둘 이상의 SPN이 동일한 상황을 나타냅니다. SPN은 Windows 도메인의 서버에서 실행되는 서비스를 고유하게 식별하는 데 사용됩니다. 중복된 SPN은 인증 문제를 일으킬 수 있습니다.

  해결 방법: 이 문제를 해결하려면 Kerberos 구성 관리자를 사용하여 오류 수정(권장)을 참조하세요.

• SPN에서 HTTP 포트 사용 - 일반적으로 HTTP SPN은 포트 번호(예 http/web01.contoso.com: )를 사용하지 않습니다.

  해결 방법: 이 문제를 해결하려면 클라이언트에서 정책을 사용하여 이를 사용하도록 설정할 수 있습니다. 그런 다음 http/web01.contoso.com:88 Kerberos가 올바르게 작동하도록 하려면 SPN이 형식이어야 합니다. 그렇지 않으면 NTLM 자격 증명이 사용됩니다.

  NTLM 자격 증명은 문제를 진단하기 어렵게 만들 수 있으므로 권장되지 않습니다. 또한 이 경우 과도한 관리 오버헤드가 발생할 수 있습니다.

• 만료된 티켓 - Kerberos 티켓을 참조합니다. 만료된 Kerberos 티켓을 사용하면 인증 문제가 발생할 수 있습니다.

  해결 방법: 이 문제를 해결하려면 만료된 티켓을 참조 하세요.

• HOSTS 파일이 잘못 되었습니다. HOSTS 파일은 DNS 조회를 방해할 수 있으며 예기치 않은 SPN 이름을 생성할 수 있습니다. 이 경우 NTLM 자격 증명이 사용됩니다. 예기치 않은 IP 주소가 HOSTS 파일에 있는 경우 생성된 SPN이 가리키는 백 엔드 서버와 일치하지 않을 수 있습니다.

  해결 방법: HOSTS 파일을 검토하고 서버에 대한 항목을 제거합니다. HOSTS 파일 항목은 SQLCHECK 보고서에 표시됩니다.

• 서비스별 SID(보안 식별자) 권한 문제 - 서비스별 SID는 인증 방법으로 Kerberos가 아닌 NTLM을 사용하도록 로컬 연결을 제한하는 SQL Server의 보안 기능입니다. 서비스는 NTLM 자격 증명을 사용하여 다른 서버에 단일 홉을 만들 수 있지만 제한된 위임을 사용하지 않고는 더 이상 위임할 수 없습니다. 자세한 내용은 사용자 NT AUTHORITY\ANONYMOUS LOGON에 대한 로그인 실패를 참조하세요.

  해결 방법: 이 문제를 해결하려면 도메인 관리자가 제한된 위임을 설정해야 합니다.

• 커널 모드 인증 - 앱 풀 계정의 SPN은 일반적으로 웹 서버에 필요합니다. 그러나 커널 모드 인증을 사용하는 경우 컴퓨터의 HOST SPN이 인증에 사용됩니다. 이 작업은 커널에서 수행됩니다. 이 설정은 서버가 동일한 호스트 헤더 URL, 다른 앱 풀 계정 및 Windows 인증을 사용하는 여러 웹 사이트를 호스트하는 경우에 사용될 수 있습니다.

  해결 방법: 커널 모드 인증을 사용하는 경우 HTTP SPN을 제거합니다.

• Access 또는 Excel 에 대한 위임 권한 제한 - JET(조인트 엔진 기술) 및 ACE(Access Connectivity Engine) 공급자는 파일 시스템과 유사합니다. SQL Server가 다른 컴퓨터에 있는 파일을 읽을 수 있도록 제한 위임을 사용해야 합니다. 일반적으로 ACE 공급자는 명시적으로 지원되지 않으므로 연결된 서버에서 사용하면 안 됩니다. JET 공급자는 더 이상 사용되지 않으며 32비트 컴퓨터에서만 사용할 수 있습니다.

  참고 항목

  32비트 설치를 지원하는 마지막 버전인 SQL Server 2014가 지원되지 않으면 JET 시나리오가 더 이상 지원되지 않습니다.

• SPN 누락 - SQL Sever 인스턴스와 관련된 SPN이 없는 경우 이 문제가 발생할 수 있습니다.

  해결 방법: 자세한 내용은 Kerberos 구성 관리자를 사용하여 오류 수정(권장)을 참조하세요.

• 제한된 대상이 아님 - 특정 서비스 계정에 대해 제한된 위임을 사용하도록 설정하면 대상 서버의 SPN이 제한된 위임 대상 목록에 없으면 Kerberos가 실패합니다.

  해결 방법: 이 문제를 해결하려면 도메인 관리자가 중간 계층 서비스 계정의 대상 SPN에 대상 서버의 SPN을 추가해야 합니다.

• NTLM 및 제한된 위임 - 대상이 파일 공유인 경우 중간 계층 서비스 계정의 위임 유형은 제한-모든 계정이어야 하며 제한-Kerberos가 아닙니다. 위임 유형이 Constrained-Kerberos로 설정된 경우 중간 계층 계정은 특정 서비스에만 할당할 수 있지만 제한-모든 경우 서비스 계정은 모든 서비스에 위임할 수 있습니다.

  해결 방법: 이 문제를 해결하려면 사용자 NT AUTHORITY\ANONYMOUS LOGON에 대한 로그인 실패를 참조하세요.

• AD 에서 위임에 대해 서비스 계정을 신뢰할 수 없습니다. 이중 홉 시나리오에서는 중간 계층 서비스의 서비스 계정을 AD DS의 위임에 대해 신뢰할 수 있어야 합니다. 서비스 계정이 위임에 대해 신뢰할 수 없는 경우 Kerberos 인증이 실패할 수 있습니다.

  해결 방법: 관리자인 경우 위임에 대해 신뢰할 수 있는 옵션을 사용하도록 설정합니다.

• 일부 레거시 공급자는 명명된 파이프를 통한 Kerberos를 지원하지 않습니다. Windows와 함께 번들로 제공되는 레거시 OLE DB 공급자(SQLOLEDB) 및 ODBC 공급자(SQL Server)는 명명된 파이프를 통한 Kerberos 인증을 지원하지 않습니다. 대신 NTLM 인증만 지원합니다.

  해결 방법: TCP 연결을 사용하여 Kerberos 인증을 허용합니다. 최신 드라이버(예: MSOLEDBSQL 또는 ODBC Driver 17)를 사용할 수도 있습니다. 그러나 TCP는 드라이버 버전에 관계없이 명명된 파이프보다 여전히 선호됩니다.

• SPN이 잘못된 계정 과 연결되어 있습니다. SPN이 AD DS의 잘못된 계정과 연결된 경우 이 문제가 발생할 수 있습니다. 자세한 내용은 Kerberos 구성 관리자를 사용하여 오류 수정(권장)을 참조하세요.

  SPN이 AD DS의 잘못된 계정에 구성된 경우 오류 메시지가 표시될 수 있습니다.

  해결 방법: 오류를 해결하려면 다음 단계를 수행합니다.

  1. SPN 및 해당 현재 계정을 찾는 데 사용합니다 SETSPN -Q spnName .
  2. 기존 SPN을 삭제하는 데 사용합니다 SETSPN -D .
  3. SPN SETSPN -S 을 올바른 계정으로 마이그레이션하는 데 사용합니다.

• SQL 별칭이 제대로 작동하지 않을 수 있습니다. SQL Server 별칭으로 인해 예기치 않은 SPN이 생성될 수 있습니다. 이렇게 하면 SPN을 찾을 수 없는 경우 NTLM 자격 증명이 실패하거나 실수로 다른 서버의 SPN과 일치하는 경우 SSPI가 실패합니다.

  해결 방법: SQL 별칭이 SQLCHECK 보고서에 표시됩니다. 이 문제를 해결하려면 올바르지 않거나 잘못 구성된 SQL 별칭을 식별하고 수정하여 올바른 SQL Server를 가리킵니다.

• 사용자는 여러 그룹에 속합니다. 사용자가 여러 그룹에 속하는 경우 Kerberos에서 인증 문제가 발생할 수 있습니다. UDP를 통해 Kerberos를 사용하는 경우 전체 보안 토큰이 단일 패킷 내에 있어야 합니다. 많은 그룹에 속한 사용자는 적은 수의 그룹에 속한 사용자보다 더 큰 보안 토큰을 가지고 있습니다.

  해결 방법: TCP를 통해 Kerberos를 사용하는 경우 [MaxTokenSize] 설정을 늘릴 수 있습니다. 자세한 내용은 MaxTokenSize 및 Kerberos 토큰 Bloat을 참조하세요.

• 웹 사이트 호스트 헤더 사용 - HTTP 호스트 헤더는 웹 페이지에 액세스하기 위한 HTTP 프로토콜에서 매우 중요한 역할을 합니다.

  해결 방법: 웹 사이트에 호스트 헤더 이름이 있는 경우 HOSTS SPN을 사용할 수 없습니다. 명시적 HTTP SPN을 사용해야 합니다. 웹 사이트에 호스트 헤더 이름이 없으면 NTLM이 사용됩니다. NTLM은 백 엔드 SQL Server 인스턴스 또는 기타 서비스에 위임할 수 없습니다.

이 섹션에서는 NTLM(NT LAN 관리자)과 관련된 문제를 나열합니다.

• NTLM 피어 로그인 에 대한 액세스가 거부됨 - NTLM 피어 로그인과 관련된 문제를 참조합니다.

  해결 방법: 서로 신뢰하지 않는 워크스테이션 또는 도메인에 있는 컴퓨터 간에 통신하는 경우 두 컴퓨터에서 동일한 계정을 설정하고 NTLM 피어 인증을 사용할 수 있습니다.

  로그인은 사용자 계정과 암호가 두 컴퓨터에서 모두 일치하는 경우에만 작동합니다. NTLM 인증은 클라이언트 또는 서버 쪽에서 사용하지 않도록 설정되거나 지원되지 않을 수 있습니다. 이 경우 인증 오류가 발생할 수 있습니다. 자세한 내용은 MSSQLSERVER_18456 참조하세요.

• 여러 컴퓨터 의 이중 홉 시나리오 - NTLM 자격 증명을 사용하는 경우 이중 홉 프로세스가 실패합니다. Kerberos 자격 증명이 필요합니다.

  해결 방법: 이 문제를 해결하려면 사용자 NT AUTHORITY\ANONYMOUS LOGON에 대한 로그인 실패를 참조하세요.

• 루프백 보호가 올바르게 설정되지 않음 - 루프백 보호는 애플리케이션이 동일한 컴퓨터에서 다른 서비스를 호출하지 못하도록 설계되었습니다. 루프백 보호가 올바르게 구성되지 않았거나 오작동이 있는 경우 이 상황은 간접적으로 인증 문제를 일으킬 수 있습니다.

  해결 방법: 이 문제를 해결하려면 MSSQLSERVER_18456 참조하세요.

• Always-On 수신기에 연결할 때 루프백 보호가 실패합니다 . 이 문제는 루프백 보호와 관련이 있습니다. 주 노드에서 Always-On 수신기에 연결하는 경우 연결은 NTLM 인증을 사용합니다.

  해결 방법: 자세한 내용은 MSSQLSERVER_18456 참조하세요.

• LANMAN 호환성 수준에 영향을 주는 문제 - LANMAN(LAN Manager) 인증 문제는 일반적으로 이전(Windows Server 2008 이전) 및 최신 컴퓨터에서 사용하는 인증 프로토콜에 불일치가 있는 경우에 발생합니다. 호환성 수준을 5로 설정하면 NTLMv2가 허용되지 않습니다.

  해결 방법: Kerberos로 전환하면 Kerberos가 더 안전하기 때문에 이 문제를 방지할 수 있습니다. 자세한 내용은 사용자 NT AUTHORITY\ANONYMOUS LOGON에 대한 로그인 실패를 참조하세요.

이 섹션에서는 인증 자격 증명과 관련된 문제를 나열합니다.

• 잘못된 암호 - 로그인 관련 문제를 참조합니다.

  해결 방법: 이 문제를 해결하려면 MSSQLSERVER_18456 참조하세요.

• 잘못된 사용자 이름 - 로그인 관련 문제를 참조합니다.

  해결 방법: 이 문제를 해결하려면 MSSQLSERVER_18456 참조하세요.

• SQL Server 로그인을 사용할 수 없습니다. SQL Server 인증을 사용하여 Microsoft SQL Server 인스턴스에 연결하려고 하지만 계정과 연결된 로그인을 사용할 수 없는 시나리오를 나타냅니다.

  해결 방법: 이 문제를 해결하려면 MSSQLSERVER_18456 참조하세요.

• 사용자에게 Windows 에 로그인할 수 있는 권한이 없기 때문에 명명된 파이프 연결이 실패합니다. Windows의 사용 권한 문제를 참조합니다.

  해결 방법: 이 문제를 해결하려면 SQL Server에서 명명된 파이프 연결 문제를 참조하세요.

이 섹션에서는 Windows 권한 또는 정책 설정과 관련된 문제를 나열합니다.

• 로컬 그룹을 통해 액세스 권한을 부여합니다. 사용자가 서버에 대한 액세스 권한을 부여하는 데 사용되는 로컬 그룹에 속하지 않는 경우 공급자는 "사용자 'contoso/user1'에 대한 로그인 실패" 오류 메시지를 표시합니다.

  해결 방법: 데이터베이스 관리자는 SSMS(SQL Server Management Studio)의 보안>로그인 폴더를 검사하여 이 상황을 확인할 수 있습니다. 데이터베이스가 포함된 데이터베이스인 경우 다음을 확인합니다 databasename. 자세한 내용은 사용자 'username'에 대한 로그인 실패 또는 사용자 '<domain\username>'에 대한 로그인 실패를 참조하세요>.<><

• Credential Guard를 사용하도록 설정 됨 - 이 시나리오는 Windows 시스템에서 Credential Guard 기능을 사용하도록 설정하고 중요한 정보를 저장하는 보안 환경을 만드는 데 사용됨을 나타냅니다. 그러나 특정 상황에서 이 기능은 인증 문제를 일으킬 수 있습니다.

  해결 방법: 이 문제를 해결하려면 도메인 관리자에게 제한된 위임을 설정하도록 요청합니다. 자세한 내용은 Credential Guard를 사용할 때 고려 사항 및 알려진 문제를 참조하세요.

• 로컬 보안 하위 시스템 오류 - 로컬 보안 하위 시스템 오류, 특히 LSASS에 연결된 오류가 응답하지 않는 경우 인증에 영향을 주는 기본 문제를 나타낼 수 있습니다.

  해결 방법: 이러한 오류를 해결하려면 SQL Server의 로컬 보안 하위 시스템 오류를 참조하세요.

• 네트워크 로그인 허용 안 함 - 이 시나리오는 네트워크에 로그인하려고 하지만 특정 이유로 로그인 요청이 거부될 때 발생합니다.

  해결 방법: 이 문제를 해결하려면 사용자에게 네트워크에 로그인할 수 있는 권한이 없다는 것을 참조하세요.

• 관리자만 로그인 할 수 있습니다. 이 문제는 컴퓨터의 보안 로그가 가득 차서 이벤트를 채울 충분한 공간이 없는 경우에 발생합니다. 보안 기능인 CrashOnAuditFail은 시스템 관리자가 모든 보안 이벤트를 확인하는 데 사용됩니다. 유효한 값 CrashOnAuditFail 은 0, 1 및 2입니다. 키를 CrashOnAuditFail 2로 설정하면 보안 로그가 가득 찼고 "관리자만 로그인할 수 있습니다." 오류 메시지가 표시됩니다.

  솔루션: 이 문제를 해결하려면 다음 단계를 수행합니다.

  1. 레지스트리 편집기를 시작합니다.
  2. 하위 키를 찾아서 확인 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa!crashonauditfail 하여 값이 2로 설정되어 있는지 확인합니다. 이 값은 보안 로그에 수동 삭제가 필요했음을 나타냅니다.
  3. 값을 0으로 설정한 다음 서버를 다시 시작합니다. 이벤트를 롤오버할 수 있도록 보안 로그를 변경할 수도 있습니다. 설정이 SQL, IIS, 파일 공유 및 로그인과 같은 모든 서비스에 미치는 영향에 대한 자세한 내용은 보안 이벤트 로그가 가득 차면 사용자가 웹 사이트에 액세스할 수 없음을 참조하세요.

  참고 항목

  이 문제는 통합 로그인에만 영향을 줍니다. 명명된 파이프는 SQL Server에 연결하기 전에 먼저 Windows 관리자 파이프에 로그인하기 때문에 명명된 파이프 연결도 SQL Server 로그인에 영향을 받습니다.

• 서비스 계정은 위임 에 대해 신뢰할 수 없습니다. 이러한 종류의 문제는 일반적으로 서비스 계정이 다른 서버에 자격 증명을 할당할 수 없는 경우에 발생합니다. 이 문제는 위임이 필요한 서비스에 영향을 줄 수 있습니다.

  해결 방법: 위임 시나리오를 사용하도록 설정하지 않은 경우 SQL Server secpol.msc를 확인하여 인증 보안 정책 설정 후 클라이언트를 가장하는 로컬 정책 > 사용자 권한 할당 > 아래에 SQL Server 서비스 계정이 나열되는지 확인합니다. 자세한 내용은 컴퓨터 및 사용자 계정을 위임용으로 신뢰할 수 있도록 설정을 참조하세요.

• WINDOWS 사용자 프로필은 SQL Server 에 로드할 수 없습니다. Windows 사용자 프로필 문제를 참조하세요.

  해결 방법: 손상된 사용자 프로필 문제를 해결하는 방법에 대한 자세한 내용은 SQL Server에서 Windows 사용자 프로필을 로드할 수 없습니다.

이 섹션에서는 웹 환경 내의 인증 및 액세스 제어와 관련된 문제를 나열합니다.

• 통합 인증을 사용할 수 없습니다. IWA(Windows 통합 인증)가 올바르게 구성되지 않은 구성 문제를 나타냅니다.

  해결 방법: 이 문제를 해결하려면 인터넷 옵션 설정에서 Windows 통합 인증 옵션을 사용하도록 설정해야 합니다.

• IIS 인증은 허용되지 않습니다. 이 문제는 IIS의 잘못된 구성으로 인해 발생합니다. 웹 애플리케이션의 Web.config 파일에 정의된 인증 설정이 IIS에서 구성된 설정과 충돌할 수 있습니다. 이 경우 인증 문제가 발생할 수 있습니다.

  해결 방법: 이 문제를 해결하려면 Windows 인증을 사용하도록 웹 사이트를 구성하고 Web.config 파일에서 값을 설정합니다<identity impersonate="true"/>.

• 잘못된 인터넷 영역 - Internet Explorer에서 올바른 인터넷 영역에 없는 웹 사이트에 액세스하려고 하면 이 문제가 발생할 수 있습니다. 웹 사이트가 로컬 인트라넷 영역에 있는 경우 자격 증명이 작동하지 않습니다.

  해결 방법: IE의 로컬 인트라넷 영역에 웹 서버를 추가합니다.