https://www.youtube.com/watch?v=tQ0BPxhjY7E
[문의사항]
Active Directory에 참여된 컴퓨터가 장기간 출장등의 이유로 도메인에 직접 적인 로그온이 되지 않는 환경에서 인증은 어떻게 되나요?
DC(Domain Controller)를 찾지 못해 인증이 안되는건 아닌가요?
[문의답변]
Active Directory에 한번이라도 로그온을 한 컴퓨터 계정은 로컬에 캐쉬로 해당 값을 가지고 있습니다.
즉 캐쉬 인증에 의해 DC를 찾지 못하더라도 캐쉬 인증을 한다고 보시면 됩니다.
캐쉬의 인증 횟수는 제한이 없습니다.
LSASRV 이벤트 45058에 캐시 된 자격 증명의 FIFO 삭제가 표시되면 캐시 된 사용자 로그온이 실패 함
https://support.microsoft.com/en-us/help/2555663/cached-user-logon-fails-when-lsasrv-event-45058-indicates-fifo-deletio
Cookies are disabled Please enable cookies and refresh the page
support.microsoft.com
Windows Server 2008에서 cachedlogonscount 레지스트리 항목의 기본값이 10에서 25로 변경되었습니다.
https://support.microsoft.com/en-us/help/911605
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ cachedlogonscount 0 ~ 50 Default 10
그룹 정책 설정 경로 : 컴퓨터 구성 \ 정책 \ Windows 설정 \ 보안 설정 \ 로컬 정책 \ 보안 옵션.
그룹 정책 설정 : 대화 형 로그온 : 캐시 할 이전 로그온 수 (도메인 컨트롤러를 사용할 수없는 경우)
캐시 된 로그온 할당량에 도달하면 운영 체제는 로컬 컴퓨터에서 가장 오래된 캐시 된 자격 증명을 제거하여 도메인 컨트롤러가 성공적으로 인증 한 다음 고유 도메인 사용자의 자격 증명을 캐시 할 수 있습니다. LsaSrv 45058 이벤트 로깅은 캐시 된 로그온 할당량에 도달했음을 나타내며 로컬 컴퓨터에 캐시 된 가장 오래된 사용자 자격 증명의 삭제를 트리거합니다.
즉 위의 Default 10의 의미는 10개의 계정을 기억하고 값을 초과하면 가장 오래된 캐쉬 값을 지운다고 보시면 됩니다.
댓글