오류 SSPR_0029 문제 해결: 조직에서 암호 재설정을 위한 온-프레미스 구성을 제대로 설정하지 않음
이 문서에서는 사용자 또는 관리자가 SSPR 페이지에서 새 암호를 입력하고 확인한 후 발생하는 "SSPR_0029: 조직에서 암호 재설정을 위한 온-프레미스 구성을 제대로 설정하지 않았습니다."라는 SSPR(셀프 서비스 암호 재설정) 오류 문제를 해결하는 데 도움이 됩니다.
증상
사용자 또는 관리자는 다음 단계를 수행한 다음 오류를 SSPR_0029 수신합니다.
Microsoft 계정 로그인 페이지 또는 도메인의 Microsoft Azure 로그인 페이지에서 https://login.microsoftonline.com 사용자 또는 관리자가 계정에 액세스할 수 없습니까 ?, 암호를 잊어버리거나 지금 다시 설정합니다.
사용자 또는 관리자가 회사 또는 학교 계정 유형을 선택합니다. 그런 다음 계정 흐름으로 다시 가져오기를 시작하기 위해 SSPR 페이지 https://passwordreset.microsoftonline.com 로 리디렉션됩니다.
사용자란? 화면에서 사용자 또는 관리자가 사용자 ID를 입력하고, 대/소문자를 구분하지 않는 captcha 보안 챌린지를 완료한 다음, 다음을 선택합니다.
로그인하는 데 문제가 있는 이유는 무엇인가요? 화면에서 사용자 또는 관리자가 내 암호를 잊은 다음을>선택합니다.
새 암호 선택 화면에서 사용자 또는 관리자가 새 암호 문자열을 입력하고 확인한 다음 마침을 선택합니다. 그런 다음 죄송합니다. 화면이 나타나고 다음 메시지가 표시됩니다.
SSPR_0029: 조직에서 암호 재설정을 위한 온-프레미스 구성을 제대로 설정하지 않았습니다.
관리자인 경우 비밀번호 쓰기 저장 문제 해결 문서에서 자세한 정보를 얻을 수 있습니다. 관리자가 아닌 경우 관리자에게 문의할 때 이 정보를 제공할 수 있습니다.
원인 1: 암호 쓰기 저장을 사용하여 동기화된 Windows Active Directory 관리자의 암호를 재설정할 수 없습니다.
온-프레미스 Active Directory 보호된 그룹에 속하거나 속한 동기화된 Windows Active Directory 관리자이며 SSPR 및 비밀번호 쓰기 저장을 사용하여 온-프레미스 암호를 재설정할 수 없습니다.
해결 방법: 없음(동작은 의도적으로 수행됨)
보안을 위해 로컬 Active Directory 보호된 그룹 내에 있는 관리자 계정은 비밀번호 쓰기 저장과 함께 사용할 수 없습니다. 관리자는 클라우드에서 암호를 변경할 수 있지만 잊어버린 암호를 재설정할 수는 없습니다. 자세한 내용은 Microsoft Entra ID에서 셀프 서비스 암호 재설정 쓰기 저장이 작동하는 방법을 참조하세요.
원인 2: AD DS 커넥터 계정에 올바른 Active Directory 권한이 없습니다.
동기화된 사용자에게 Active Directory의 올바른 권한이 없습니다.
해결 방법: Active Directory 권한 문제 해결
Active Directory 권한에 영향을 주는 문제를 해결하려면 비밀번호 쓰기 저장 액세스 권한 및 사용 권한을 참조 하세요.
해결 방법: 다른 Active Directory 도메인 컨트롤러를 대상으로 지정
참고 항목
비밀번호 쓰기 저장은 레거시 API NetUserGetInfo에 종속됩니다. API에는 NetUserGetInfo 특히 Microsoft Entra Connect 서버가 도메인 컨트롤러에서 실행 중인 경우 식별하기 어려울 수 있는 Active Directory에서 허용되는 복잡한 사용 권한 집합이 필요합니다. 자세한 내용은 NetUserGetInfo 및 유사한 API를 사용하는 애플리케이션은 특정 Active Directory 개체에 대한 읽기 액세스를 참조하세요.
Microsoft Entra Connect 서버가 도메인 컨트롤러에서 실행되고 있고 Active Directory 권한을 확인할 수 없는 시나리오가 있나요? 이 경우 도메인 컨트롤러 대신 멤버 서버에 Microsoft Entra Connect 서버를 배포하는 것이 좋습니다. 또는 다음 단계를 사용하여 기본 설정 도메인 컨트롤러만 사용하도록 Active Directory 커넥터 를 구성합니다 .
시작 메뉴에서 동기화 서비스 관리자를 검색하여 선택합니다.
동기화 서비스 관리자 창에서 커넥터 탭을 선택합니다.
커넥터 목록에서 Active Directory 커넥터를 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.
속성 대화 상자의 커넥터 디자이너 창에서 디렉터리 파티션 구성을 선택합니다.
디렉터리 파티션 구성 창에서 기본 설정 도메인 컨트롤러만 사용 옵션을 선택한 다음 구성을 선택합니다.
기본 DC 구성 대화 상자에서 로컬 호스트와 다른 도메인 컨트롤러(또는 도메인 컨트롤러)를 가리키는 하나 이상의 서버 이름을 추가합니다.
변경 내용을 저장하고 주 창으로 돌아가려면 고급 구성 고지 사항을 표시하는 경고 대화 상자를 포함하여 확인을 세 번 선택합니다.
원인 3: 서버가 SAM(Security Accounts Manager)에 대한 원격 호출을 수행할 수 없습니다.
이 경우 이벤트 ID 33004 및 6329라는 두 개의 유사한 애플리케이션 오류 이벤트가 기록됩니다. 이벤트 ID 6329는 서버가 SAM에 대한 원격 호출을 시도할 때 스택 추적에 오류 코드가 포함되어 ERROR_ACCESS_DENIED 있으므로 33004와 다릅니다.
ERR_: MMS(###): admaexport.cpp(2944): 사용자 정보를 획득하지 못했습니다. Contoso\MSOL_############. 오류 코드: ERROR_ACCESS_DENIED
이 상황은 Microsoft Entra Connect 서버 또는 도메인 컨트롤러가 GPO(도메인 그룹 정책 개체) 또는 서버의 로컬 보안 정책에 강화 보안 설정을 적용했거나 적용한 경우에 발생할 수 있습니다. 이 경우인지 확인하려면 다음 단계를 수행합니다.
관리 명령 프롬프트 창을 열고 다음 명령을 실행합니다.
md C:\Temp gpresult /h C:\Temp\GPreport.htm start C:\Temp\GPreport.htm웹 브라우저에서 C:\Temp\gpresult.htm 파일을 열고 컴퓨터 세부 정보>설정>정책>Windows 설정 보안 설정>>로컬 정책/보안 옵션>네트워크 액세스를 확장합니다. 그런 다음 네트워크 액세스라는 설정이 있는지 확인합니다. 클라이언트가 SAM에 대한 원격 호출을 수행할 수 있도록 제한합니다.
로컬 보안 정책 스냅인을 열려면 시작을 선택하고 secpol.msc를 입력한 다음 Enter 키를 누른 다음 로컬 정책>확장 보안 옵션을 확장합니다.
정책 목록에서 네트워크 액세스를 선택합니다 . SAM에 대한 원격 호출을 수행할 수 있는 클라이언트 제한. 설정이 활성화되지 않은 경우 보안 설정 열에 정의되지 않음이 표시되거나 설정이 활성화된 경우 보안 설명자 값이 표시됩니다
O:BAG:.... 설정을 사용하는 경우 속성 아이콘을 선택하여 현재 적용된 ACL(액세스 제어 목록)을 볼 수도 있습니다.참고 항목
기본적으로 이 정책 설정은 꺼져 있습니다. GPO 또는 로컬 정책 설정을 통해 디바이스에 이 설정을 적용하면 restrictRemoteSam이라는 레지스트리 값이 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ 레지스트리 경로에 만들어집니다. 그러나 이 레지스트리 설정은 정의되고 서버에 적용된 후에는 지우기가 어려울 수 있습니다. 그룹 정책 설정을 사용하지 않도록 설정하거나 GPMC(그룹 정책 관리 콘솔)에서 이 정책 설정 정의 옵션을 선택 취소해도 레지스트리 항목이 제거되지는 않습니다. 따라서 서버는 여전히 SAM에 대한 원격 호출을 할 수 있는 클라이언트를 제한합니다.
Microsoft Entra Connect 서버 또는 도메인 컨트롤러가 여전히 SAM에 대한 원격 호출을 제한하고 있는지 정확하게 확인하려면 어떻게 해야 할까요? PowerShell에서 Get-ItemProperty cmdlet을 실행하여 레지스트리 항목이 남아 있는지 확인합니다.
Get-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
PowerShell 출력에서 RestrictRemoteSam 레지스트리 항목이 여전히 있음을 보여 주나요? 그렇다면 두 가지 가능한 솔루션이 있습니다.
해결 방법 1: 허용된 사용자 목록에 AD DS 커넥터 계정 추가
네트워크 액세스 유지: Microsoft Entra Connect 서버에서 SAM 정책 설정에 대한 원격 호출을 사용하도록 설정하고 적용할 수 있는 클라이언트를 제한하지만 허용된 사용자 목록에 AD DS(Active Directory 도메인 Services) 커넥터 계정(MSOL_ 계정)을 추가합니다. 지침은 다음 단계를 참조하세요.
AD DS 커넥터 계정의 이름을 모르는 경우 AD DS 커넥터 계정 식별을 참조 하세요.
GPMC 또는 로컬 보안 정책 스냅인에서 해당 정책 설정에 대한 속성 대화 상자로 돌아갑니다.
보안 편집을 선택하여 SAM에 대한 원격 액세스에 대한 보안 설정을 표시합니다.
그룹 또는 사용자 이름 목록에서 추가를 선택하여 사용자 또는 그룹 선택 대화 상자를 표시합니다. 선택할 개체 이름 입력 상자에서 AD DS 커넥터 계정의 이름(MSOL_ 계정)을 입력한 다음 확인을 선택하여 대화 상자를 종료합니다.
목록에서 AD DS 커넥터 계정을 선택합니다. 계정 이름>에 대한 <사용 권한 아래의 원격 액세스 행에서 허용을 선택합니다.
확인을 두 번 선택하여 정책 설정 변경 내용을 적용하고 정책 설정 목록으로 돌아갑니다.
관리 명령 프롬프트 창을 열고 gpupdate 명령을 실행하여 그룹 정책 업데이트를 적용합니다.
gpupdate /force
해결 방법 2: 네트워크 액세스 제거 : 클라이언트가 SAM 정책 설정에 대한 원격 호출을 수행할 수 있도록 제한한 다음 RestrictRemoteSam 레지스트리 항목을 수동으로 삭제합니다.
로컬 보안 정책에서 보안 설정이 적용되는 경우 4단계로 이동합니다.
도메인 컨트롤러에서 GPMC 스냅인을 열고 해당 도메인 GPO를 편집합니다.
컴퓨터 구성>정책>Windows 설정 보안 설정>>컴퓨터 구성>로컬 정책>보안 옵션을 확장합니다.
보안 옵션 목록에서 네트워크 액세스를 선택합니다. SAM에 대한 원격 호출을 수행할 수 있는 클라이언트를 제한하고, 속성을 연 다음, 이 정책 설정 정의를 사용하지 않도록 설정합니다.
관리 명령 프롬프트 창을 열고 gpupdate 명령을 실행하여 그룹 정책 업데이트를 적용합니다.
gpupdate /force새 그룹 정책 결과 보고서(GPreport.htm)를 생성하려면 gpresult 명령을 실행한 다음 웹 브라우저에서 새 보고서를 엽니다.
md C:\Temp gpresult /h C:\Temp\GPreport.htm start C:\Temp\GPreport.htm보고서를 확인하여 네트워크 액세스에 대한 정책 설정: SAM에 대한 원격 호출을 수행할 수 있는 클라이언트 제한이 정의되지 않았는지 확인합니다.
관리 PowerShell 콘솔을 엽니다.
RestrictRemoteSam 레지스트리 항목을 제거하려면 Remove-ItemProperty cmdlet을 실행합니다.
Remove-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam참고 항목
도메인 GPO 설정을 제거하지 않고 RestrictRemoteSam 레지스트리 항목을 삭제하면 다음 그룹 정책 새로 고침 주기에 이 레지스트리 항목이 다시 만들어지고
SSPR_0029오류가 다시 발생합니다.
도움을 요청하십시오.
질문이 있거나 도움이 필요한 경우 지원 요청을 생성하거나Azure 커뮤니티 지원에 문의하세요. Azure 피드백 커뮤니티에 제품 피드백을 제출할 수도 있습니다.