본문 바로가기

Trouble Shooting

전화 접속 로그인 스크립트가 적용되지 않을때..

그냥 이래 저래 재미 있는 기술지원건이 있어서 올려봅니다.

AD를 쓰다보면 사용자들에 대한 VPN관련 설정을 일괄 적으로 처리 해야 할때가 있습니다.

스크립트로 일괄 처리 하다보면 o.O 이런경우가 발생하더군요

OS는 Windows 2003 R2 SP2입니다.

확인 하시다 보면 아시겠지만, 홍길동에 대한 등록정보를 열어서 확인 할때

원격 엑세스 권한 설정 부분이 허용으로 되어 있습니다.

그런데 ADSIEDIT.msc로 확인을 해서 보면 MsNPAllowDialin이라는 항목의 값이 액세스 허용 또는 거부

또는 Not set으로 설정 할수 있는것을 볼수 있습니다.

True는 허용이고 False가 거부입니다. 물론 Not set은 원격 엑세스 정책을 통해 엑세스 제어라는

항목이 되겠지요.

자 그런데 뭐가 문제라는 이야기냐면..?

Adsiedit.msc로 위의 값을 변경하게 되면 사용자 등록 정보에도 반영이 되어야 되는데

그렇지가 않습니다. dsa.msc에 사용자 등록정보에서 변경을 하게 되면 adsiedit.msc에 반영이 되는데

왜 adsiedit.msc에서는 변경한 값이 왜 dsa.msc에서는 반영이 되지 않을까요?

쉽게 말해 이렇게 된다는 이야기죠..

Adsiedit.msc에서 사용자 전화접속 로그인 설정 하게 되면 Dsa.msc에서 값이 반영이 되지 않음

Dsa.msc에서 사용자 전화접속 로그인 설정을 하게 되면 Adsiedit.msc에 값이 반영이 됨.

이유가 뭘까 ? 고민을 하다가..(물론 rebooting, 이래 저래 많은삽질을 해보았습니다. 안됩니다.)

도메인 레벨 까지 고민 하게 되더군요.

그래서 Test는 각기 다른 Domain Function Level로 테스트를 해보앗습니다..

2000 mix, 2000 native, 2003 native모드로 테스트를 진행 해보았더니..

2000 native모드 이상일때 부터 되더군요

2000 mix(혼합) 모드 일때는 죽었다 깨어나도 반영이 안됩니다.

2000 native 이상일때는 너무나 자연스럽게 반영이 잘됩니다.

추측건데 2000 mix 모드 일때는adsiedit에 NT4.0에 해당하는 이 값이 없어서가 아닐까 라는 생각만

가지고 있습니다.NT 4.0을 써보지는 않아서 잘은 모르겠습니다. 이 부분은 더 공부를 해봐야 할

부분인것 같습니다. 왜 안되는지를...