SharePoint OnPrem 감사 로그의 여러 이벤트 ID 4769 오류

• 적용 대상:

  SharePoint Server

증상

다음 조건에서 SharePoint OnPrem 이벤트 로그에 이벤트 ID 4769가 여러 번 반복됩니다.

• Microsoft SharePoint 2016 Server는 온-프레미스 Active Directory 도메인에서 활성화되어 있습니다.
• Search Service 애플리케이션을 구성합니다.
• 최소 권한 관리 모범 사례에 따라 별도의 계정을 갖도록 환경을 구성합니다.
• 환경은 SharePoint에 대한 Kerberos 모범 사례에 따라 구성됩니다.
• Kerberos 감사는 도메인 제어 서버에서 사용하도록 설정되고 "Kerberos 서비스 티켓 작업 감사"는 실패 및 성공을 감사하도록 설정됩니다.

이 시나리오에서는 다음 스크린샷과 같이 DC(도메인 컨트롤러)의 애플리케이션 이벤트 로그 컨테이너에 이벤트 ID를 초당 여러 번 나열하는 "감사 실패" 이벤트로 넘쳐나게 됩니다.

Search Service 계정은 "서비스 이름"으로 언급되고 팜 계정은 호출자 계정 이름으로 언급됩니다.

원인

이러한 이벤트는 SharePoint의 다음 타이머 작업에서 주로 생성되지만 단독으로는 생성되지 않습니다.

• 애플리케이션 서버 관리 서비스 타이머 작업
• 애플리케이션 서버 타이머 작업

이러한 작업은 검색 및 SSO 서비스와 관련된 팜 전체 설정을 팜의 각 서버에 동기화합니다.

이벤트는 SharePoint Search Service에 대한 팜 계정으로 실행되는 SharePoint Timer Service 프로세스(OWSTimer.exe)의 DC Kerberos TGS(Ticket Granting Service)에 대한 요청으로 인해 발생합니다.

그러나 SharePoint Search Service는 다른 용도로 SPN(서버 보안 주체 이름)을 사용하지 않습니다. SPN이 설정되지 않으므로 요청이 실패하고 DC에서 가양성 감사 실패 이벤트 ID 4769를 생성합니다.

따라서 이러한 여러 이벤트 목록은 다른 계정에 대한 관련 감사 실패를 의미 있게 모니터링하는 기능을 방해할 수 있습니다.

해결 방법

이 문제를 resolve 위해 존재하지 않는 SPN 또는 "가짜" SPN을 SharePoint Search Service 계정에 할당할 수 있습니다. 이렇게 하려면 SETSPN -S 명령을 사용합니다.

예: SETSPN -S FAKEPROTOCOL/FAKESERVICENAME CONTOSO\SPSVC

이 명령을 사용하면 Kerberos 감사 이벤트 로그가 가양성 감사 실패 메시지로 채워질 수 없습니다. 이 명령은 SharePoint 기능에 부정적인 영향을 미치거나 보안 위험을 초래하지 않습니다.

이 작업은 즉시 적용됩니다. 다른 관리 작업은 필요하지 않습니다.

추가 정보

존재하지 않는 SPN을 설정하는 것은 비기능 SPN이 필요한 시나리오에서 권장되는 일반적이고 안전한 방법입니다.

이에 대한 자세한 내용은 Office Online Server 및 Analysis Services를 사용하여 KCD 배포 예제를 참조하세요.

아직 해결되지 않았습니까? Microsoft 커뮤니티로 이동하세요.