Windows Server 2003 서비스 팩 1을 설치한 후 DCOM 보안 설정의 변경 내용에 대한 설명

Microsoft Windows Server 2003 서비스 팩 1(SP1)에는 DCOM 프로토콜에 대한 몇 가지 향상된 기본 보안 설정이 도입되었습니다. 특히 Windows Server 2003 SP1에서는 COM 서버를 시작하고, COM 서버 설정을 활성화하고, COM 서버에 액세스할 수 있는 로컬 및 원격 사용 권한을 관리자의 도움 없이 제어할 수 있습니다. 이 문서에서는 DCOM 보안 설정의 변경 내용에 대해 설명합니다.

위로 가기 | 피드백 보내기

추가 정보

Windows Server 2003 인증서 서비스는 DCOM 프로토콜을 사용하여 등록 및 관리 서비스를 제공합니다. 인증서 서비스는 등록 및 관리 서비스를 사용할 수 있도록 여러 개의 DCOM 인터페이스를 제공합니다. 이러한 서비스를 올바로 액세스하고 사용할 수 있도록 하기 위해 인증서 서비스는 DCOM 인터페이스가 원격 활성화 및 액세스 권한을 사용하도록 설정된 것으로 간주합니다. 그러나 Windows Server 2003 SP1으로 업그레이드하면 DCOM의 기본 보안 설정이 적용되기 때문에 등록 및 관리 서비스를 사용할 수 있도록 하려면 이러한 보안 설정을 업데이트해야 할 수 있습니다.

기본적으로 Windows Server 2003 SP1의 모든 DCOM 인터페이스는 관리자에게 원격 액세스 권한, 원격 시작 권한 및 원격 활성화 권한을 부여하도록 구성되어 있습니다. 그러나 Windows Server 2003 SP1로 업그레이드하면 글로벌 DCOM 인터페이스 및 CertSrv Request DCOM 인터페이스의 보안 구성이 변경됩니다. 이러한 변경 내용은 인증서 서비스가 올바로 작동하도록 하기 위한 것입니다.

참고 Windows Server 2003 SP1을 설치하기 전에 변경한 CertSrv Request DCOM 인터페이스 보안 설정은 손실됩니다. Windows Server 2003 SP1 설치 프로그램은 이전에 적용된 CertSrv Request DCOM 인터페이스의 모든 보안 설정을 기본 설정으로 되돌립니다.

Windows Server 2003 SP1이 설치되는 동안 인증서 서비스는 자동으로 DCOM 보안 설정을 다음과 같이 업데이트합니다.

CertSrv Request DCOM 인터페이스

Everyone 보안 그룹에 로컬 및 원격 액세스 권한이 부여됩니다.
Everyone 보안 그룹에 로컬 및 원격 활성화 권한이 부여됩니다.
Everyone 보안 그룹에 로컬 또는 원격 시작 권한이 부여되지 않습니다.

DCOM 컴퓨터 제한 설정
- 새 보안 그룹인 CERTSVC_DCOM_ACCESS가 자동으로 만들어집니다.
  
  구성원 서버에 인증 기관이 설치되어 있으면 CERTSVC_DCOM_ACCESS가 컴퓨터 로컬 그룹으로 만들어지고, 여기에 Everyone 보안 그룹이 추가됩니다.
  
  도메인 컨트롤러에 인증 기관이 설치되어 있으면 CERTSVC_DCOM_ACCESS가 도메인 로컬 그룹으로 만들어지고, 여기에 인증 기관의 도메인에 있는 Domain Users 보안 그룹과 Domain Computers 보안 그룹이 추가됩니다. 도메인 컨트롤러가 인증 기관으로부터 인증서를 요청하기 위해 이 인터페이스에 액세스해야 하는 경우 Domain Controllers 보안 그룹을 추가해야 합니다. 이렇게 하는 이유는 도메인 컨트롤러가 Domain Computers 보안 그룹의 구성원이 아니기 때문입니다.
- CERTSVC_DCOM_ACCESS 보안 그룹에 로컬 및 원격 액세스 권한이 부여됩니다.
- CERTSVC_DCOM_ACCESS 보안 그룹에 로컬 및 원격 활성화 권한이 부여됩니다.
- CERTSVC_DCOM_ACCESS 보안 그룹에 로컬 또는 원격 시작 권한이 부여되지 않습니다.
참고 도메인 컨트롤러에 인증 기관이 설치되어 있고 엔터프라이즈가 둘 이상의 도메인으로 구성된 경우 인증서 서비스가 인증 기관의 도메인 외부에 있는 등록된 자의 DCOM 보안 설정을 자동으로 업데이트할 수 없습니다. 따라서 이러한 등록된 자는 인증 기관에 대한 등록 액세스가 거부됩니다.

이 문제를 해결하려면 CERTSVC_DCOM_ACCESS 보안 그룹에 사용자를 수동으로 추가해야 합니다. CERTSVC_DCOM_ACCESS 보안 그룹이 도메인 로컬 그룹이기 때문에 이 그룹에는 도메인 그룹만 추가할 수 있습니다. 예를 들어, 다른 도메인인 Contoso 도메인의 사용자와 컴퓨터를 인증 기관에 등록해야 하는 경우 CERTSVC_DCOM_ACCESS 보안 그룹에 Contoso\Domain 사용자 그룹과 Contoso\Domain 컴퓨터 그룹을 수동으로 추가해야 합니다.

Windows Server 2003 SP1을 설치한 후 인증 기관으로부터 권한을 부여 받아야 하는 등록된 자가 권한을 부여 받지 못할 경우 인증서 서비스를 사용하여 DCOM 보안 설정을 다시 업데이트할 수 있습니다. 이렇게 하려면 명령 프롬프트에서 다음 명령을 입력하고 각 명령 끝에서 Enter 키를 누르십시오.
certutil ?setreg SetupStatus ?SETUP_DCOM_SECURITY_UPDATED_FLAG
net stop certsvc
net start certsvc
DCOM_SECURITY_UPDATED_FLAG는 DCOM 보안 설정이 성공적으로 업데이트되었음을 나타내는 내부 인증서 서비스 레지스트리 플래그입니다. 인증서 서비스는 시작될 때마다 이 플래그를 검사합니다. 위의 명령들은 이 플래그를 다시 설정한 다음 인증서 서비스를 중지하고 시작합니다. 그러면 인증서 서비스가 DCOM 보안 설정을 다시 업데이트합니다.

Windows Server 2003 SP1을 설치한 후 다음과 유사한 이벤트가 기록될 수 있습니다.

이벤트 메시지 1

이벤트 종류: 오류
이벤트 원본: AutoEnrollment
이벤트 범주: 없음
이벤트 ID: 13
날짜: date
시간: time
사용자: N/A
컴퓨터: computer_name
설명: 로컬 시스템의 자동 인증서 등록이 디렉터리 전자 메일 복제 인증서의 등록에 실패했습니다(0x80070005). 액세스가 거부되었습니다. 자세한 정보는 http://support.microsoft.com에 있는 도움말 및 지원 센터를 참조하십시오.

이벤트 메시지 2

이벤트 종류: 오류
이벤트 원본: AutoEnrollment
이벤트 범주: 없음
이벤트 ID: 13
날짜: date
시간: time
사용자: N/A
컴퓨터: computer_name
설명: 로컬 시스템의 자동 인증서 등록이 워크스테이션 인증 인증서의 등록에 실패했습니다(0x80070005). 액세스가 거부되었습니다. 자세한 정보는 http://support.microsoft.com에 있는 도움말 및 지원 센터를 참조하십시오.

인증서 스냅인을 사용하여 인증서를 수동으로 요청하면 다음과 같은 오류 메시지가 나타날 수 있습니다.

다음 중 하나의 이유로 인증서 요청에 실패했습니다. - 시작되지 않은 CA(인증 기관)에 인증서 요청이 제출되었습니다. - 사용 가능한 CA에 인증서를 요청하는데 필요한 권한이 없습니다.

참고 도메인 컨트롤러에서 이러한 오류가 발생하면 CERTSVC_DCOM_ACCESS 그룹에 해당 도메인 컨트롤러 그룹을 추가하십시오. 도메인 컨트롤러는 도메인 컴퓨터 글로벌 그룹의 구성원이 아니므로 기본적으로 충분한 DCOM 권한을 가지고 있지 않습니다.

도메인 컨트롤러 그룹을 포함하도록 그룹 구성원 자격을 변경한 경우 변경 내용을 적용하려면 도메인 컨트롤러를 다시 시작해야 합니다.

Microsoft Windows의 x64 기반 버전에 대한 기술 지원

Microsoft Windows x64 Edition가 이미 설치되어 있는 하드웨어가 제공되는 경우 하드웨어 제조업체에서 Windows x64 Edition에 대한 기술 지원을 제공합니다. 이 경우 하드웨어 제조업체에서 기술 지원을 제공하는 것은 Windows x64 Edition이 하드웨어에 포함되어 있기 때문입니다. 하드웨어 제조업체에서 고유 구성 요소를 사용하여 Windows x64 Edition 설치를 사용자 지정했을 수 있습니다. 고유 구성 요소로는 하드웨어 성능을 최대화하기 위한 옵션 설정이나 특정 장치 드라이버 등이 있을 수 있습니다. Microsoft는 고객이 Windows x64 Edition에 대한 기술적 도움을 필요로 할 경우 합당한 노력을 기울여 지원할 것입니다. 그러나 하드웨어에 설치된 소프트웨어를 지원하는 데는 제조업체가 가장 적합하므로 제조업체에 직접 문의하는 것이 좋습니다. Microsoft Windows Server 2003 x64 Edition과 같은 Windows x64 Edition을 별도로 구입한 경우 Microsoft에 기술 지원을 요청하십시오.

Microsoft Windows XP Professional x64 Edition에 대한 제품 정보를 보려면 다음 Microsoft 웹 사이트를 방문하십시오.

http://www.microsoft.com/korea/windowsxp/64bit/default.mspx

(http://www.microsoft.com/korea/windowsxp/64bit/default.mspx)

Microsoft Windows Server 2003의 x64 기반 버전에 대한 제품 정보를 보려면 다음 Microsoft 웹 사이트를 방문하십시오.

http://www.microsoft.com/korea/windowsserver2003/64bit/x64/default.mspx

(http://www.microsoft.com/korea/windowsserver2003/64bit/x64/default.mspx)

Windows Server 2003 SP1에 도입된 DCOM 보안 향상 기능에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.

http://www.microsoft.com/downloads/details.aspx?displaylang=ko&FamilyID=C3C26254-8CE3-46E2-B1B6-3659B92B2CDE

(http://www.microsoft.com/downloads/details.aspx?displaylang=ko&FamilyID=C3C26254-8CE3-46E2-B1B6-3659B92B2CDE)

?Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹
(http://support.microsoft.com/newsgroups/default.aspx)
에 참여하시기 바랍니다.

위로 가기 | 피드백 보내기