Windows 2000 로컬 로그 온 단계

이 문서는 이전에 다음 ID로 출판되었음: KR231789

요약

본 문서는 Windows 2000 가 여러분의 로컬 컴퓨터상의 사용자를 인증하는 방법에 대해서 설명하고 있습니다.

Windows 2000 Professional 또는 Server가 운영중인 컴퓨터로 로그 온 할 때 Windows 2000 은 여러분을 로컬에 로그 온 시키기 위해서 두 가지 인증 절차를 사용합니다. Windows 는 첫번째 사용자 인증 소스로 Kerberos를 사용합니다. 만일 키 배포 센터 (KDC) 서비스가 Kerberos 인증에서 발견되지 않는다면 Windows는 로컬 보안 계정 관리자 (SAM) 데이터 베이스 내에서 사용자를 인증하기 위해서 Windows NT Lan Manager(NTLM) 보안을 사용합니다.

KDC 는 모든 도메인 컨트롤러에서 실행되며 액티브 디렉터리와 Kerberos 보안 인증 서비스와 연동되는 서비스입니다. 여러분이 여러분의 컴퓨터에 로그 온 할 때 KDC 서비스가 사용 가능하지 않다면 Kerberos 는 해당 사용자를 인증할 수 없습니다. Windows 2000 은 초기 버전의 Windows NT와의 호환성을 위해서 NTLM 보안 시스템을 사용합니다.

로컬 로그 온 인증은 다음의 단계를 사용합니다.

사용자 계정과 암호를 입력합니다. Graphical Identification and Authentication (GINA) 구성 요소는 여러분의 사용자 이름과 암호를 수집합니다.
GINA 는 보안 정보를 인증을 위해서 로컬 보안 권한(LSA)으로 넘겨 줍니다.
LSA 는 해당 정보를 보안 지원 제공자 인터페이스(Security Support Provider Interface:SSPI)로 넘겨 줍니다. SSPI 는 Kerberos 와 NTLM 서비스 모두와 통신하는 인터페이스이며 개발자로 하여금 Kerberos 또는 NTLM의 상세한 특성을 모르고서도 보안에 정통한 응용 프로그램을 개발하도록 합니다.
SSPI 는 사용자 이름과 암호를 Kerberos SSP로 넘겨 줍니다. Kerberos SSP 는 TARGET 컴퓨터 이름이 로컬 컴퓨터인지 또는 도메인 이름인지 알아보기 위해서 확인합니다. 그것이 로컬 컴퓨터 이름이라면 Kerberos는 오류 메시지를 SSPI 로 넘겨 줍니다. 해당 컴퓨터는 사용자에게는 보이지 않는 내부 오류를 생성합니다. 네트워크가 확인되었고 아무런 KDC가 발견될 수 없다면 다음의 오류 메시지는 되돌아 오게 됩니다:
No logon server available.
해당 내부 오류 메시지는 GINA을 가지고 해당 프로세스를 다시 시작하기 위해서 SSPI 트리거합니다. GINA 는 해당 정보를 LSA로 다시 보내고 그리고 나서 LSA 는 그 정보를 SSPI로 다시 보냅니다.
이때 SSPI는 사용자 이름과 암호를 NTLM 드라이버 MSV1-0 SSP로 보냅니다. NTLM 드라이버는 로컬 SAM 데이터베이스에 대해서 사용자를 유효한 것으로 처리하기 위해서 Netlogon 서비스를 사용합니다.
Kerberos 와 NTLM 이 사용자 계정을 인증하는데 실패하였을 경우에만 다음의 오류 메시지를 받을 것입니다.
로그 온 메시지.

서버에서 사용자 이름 또는 암호를 인식할 수 없습니다. 사용자 이름이 정확한지 확인하고, 사용자 이름 및 암호를 다시 입력하십시오.
주의 : 이러한 오류 메시지는 잘못 입력된 암호일 경우 또는 사용자 이름이 로컬 SAM 데이터 베이스 내에 존재하지 않을 경우에 동일합니다. 이것은 보안성을 증가하기 위한 것입니다.