비 Windows NTLM 또는 Kerberos 서버의 인증 실패

  • 아티클

이 문서에서는 NTLM 및 Kerberos 서버가 Windows 7 및 Windows Server 2008 R2 기반 컴퓨터를 인증할 수 없는 몇 가지 인증 실패 문제에 대한 솔루션을 제공합니다. 이는 채널 바인딩 토큰이 처리되는 방식의 차이로 인해 발생합니다.

적용 대상: Windows 7 Service Pack 1, Windows Server 2012 R2
원래 KB 번호: 976918

증상

Windows 7 및 Windows Server 2008 R2는 기본적으로 CBT(채널 바인딩 토큰)에 대한 지원을 포함하는 통합 인증에 대한 확장된 보호를 지원합니다.

다음 증상 중 하나 이상이 발생할 수 있습니다.

  • 채널 바인딩을 지원하는 Windows 클라이언트는 비 Windows Kerberos 서버에서 인증하지 못합니다.
  • 프록시 서버에서 NTLM 인증 실패
  • 비 Windows NTLM 서버에서 NTLM 인증 실패
  • 클라이언트와 DC 또는 작업 그룹 서버 간에 시간 차이가 있는 경우 NTLM 인증이 실패합니다.

원인

Windows 7 및 Windows Server 2008 R2는 통합 인증에 대한 확장된 보호를 지원합니다. 이 기능은 IWA(Windows 통합 인증)를 사용하여 네트워크 연결을 인증할 때 자격 증명의 보호 및 처리를 향상시킵니다.

기본적으로 ON입니다. 클라이언트가 서버에 연결하려고 하면 인증 요청이 사용되는 SPN(서비스 사용자 이름)에 바인딩됩니다. 또한 인증이 TLS(전송 계층 보안) 채널 내에서 발생하는 경우 해당 채널에 바인딩될 수 있습니다. NTLM 및 Kerberos는 이 기능을 지원하기 위해 메시지에 추가 정보를 제공합니다.

또한 Windows 7 및 Windows 2008 R2 컴퓨터는 LMv2를 사용하지 않도록 설정합니다.

해결 방법

비 Windows NTLM 또는 Kerberos 서버가 CBT를 받을 때 실패하는 오류의 경우 CBT를 올바르게 처리하는 버전에 대해 공급업체와 검사.

비 Windows NTLM 서버 또는 프록시 서버에 LMv2가 필요한 오류의 경우 NTLMv2를 지원하는 버전에 대해 공급업체와 검사.

해결 방법

중요

이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의하여 수행해야 합니다. 추가된 보호를 위해 레지스트리를 수정하기 전에 백업하세요. 그런 다음 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 레지스트리를 백업하고 복원하는 방법에 대한 자세한 내용은 Windows에서 레지스트리를 백업하고 복원하는 방법을 참조하세요 .

확장된 보호 동작을 제어하려면 다음 레지스트리 하위 키를 만듭니다.

  • 키 이름: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
  • 값 이름: SuppressExtendedProtection
  • 형식: DWORD

CBT를 올바르게 처리하지 않는 비 Windows Kerberos 서버에서 인증하지 못하는 채널 바인딩을 지원하는 Windows 클라이언트의 경우:

  1. 레지스트리 항목 값을 0x01 설정합니다. 이렇게 하면 패치되지 않은 애플리케이션에 대한 CBT 토큰을 내보내지 않도록 Kerberos가 구성됩니다.
  2. 문제가 resolve 않으면 레지스트리 항목 값을 0x03 설정합니다. 이렇게 하면 Kerberos가 CBT 토큰을 내보내지 않도록 구성됩니다.

참고

초기자가 RFC 4121에 따라 채널 바인딩을 전달한 경우에도 성공을 반환하면서 수락자가 초기자에서 제공하는 채널 바인딩을 무시할 수 있는 옵션을 수용하기 위해 해결된 Sun Java의 알려진 문제가 있습니다. 자세한 내용은 수신자에서 채널 바인딩을 설정하지 않은 경우 들어오는 채널 바인딩 무시를 참조하세요.

Sun Java 사이트에서 다음 업데이트를 설치하고 확장된 보호를 다시 사용하도록 설정하는 것이 좋습니다. 1.6.0_19의 변경 내용(6u19).

CBT를 올바르게 처리하지 않는 비 Windows NTLM 서버에서 인증하지 못하는 채널 바인딩을 지원하는 Windows 클라이언트의 경우 레지스트리 항목 값을 0x01 설정합니다. 이렇게 하면 패치되지 않은 애플리케이션에 대한 CBT 토큰을 내보내지 않도록 NTLM이 구성됩니다.

LMv2가 필요한 비 Windows NTLM 서버 또는 프록시 서버의 경우 0x01 레지스트리 항목 값으로 설정합니다. 그러면 LMv2 응답을 제공하도록 NTLM이 구성됩니다.

시간 차이가 너무 큰 시나리오의 경우:

  1. 도메인 컨트롤러 또는 작업 그룹 서버의 시간을 반영하도록 클라이언트의 시계를 수정합니다.
  2. 문제가 resolve 않으면 레지스트리 항목 값을 0x01 설정합니다. 이렇게 하면 시간 오차가 적용되지 않는 LMv2 응답을 제공하도록 NTLM이 구성됩니다.

CBT(채널 바인딩 토큰)란?

CBT(채널 바인딩 토큰)는 인증을 위한 확장된 보호의 일부입니다. CBT는 외부 TLS 보안 채널을 Kerberos 또는 NTLM과 같은 내부 채널 인증에 바인딩하는 메커니즘입니다.

CBT는 인증을 채널에 바인딩하는 데 사용되는 외부 보안 채널의 속성입니다.

확장된 보호는 클라이언트가 SPN 및 CBT를 변조 방지 방식으로 서버에 전달함으로써 수행됩니다. 서버는 해당 정책에 따라 확장된 보호 정보의 유효성을 검사하고 자신이 의도된 대상이라고 생각하지 않는 인증 시도를 거부합니다. 이렇게 하면 두 채널이 암호화 방식으로 함께 바인딩됩니다.

이제 Windows XP, Windows Vista, Windows Server 2003 및 Windows Server 2008에서 확장된 보호가 지원됩니다.

고지 사항

신속한 게시 문서는 Microsoft 지원 organization 내에서 직접 정보를 제공합니다. 여기에 포함된 정보는 새로운 또는 고유한 topics 대한 응답으로 생성되거나 다른 기술 자료 정보를 보완하기 위한 것입니다.

Microsoft 및/또는 해당 공급업체는 이 웹 사이트에 게시된 문서 및 관련 그래픽("자료")에 포함된 정보의 적합성, 안정성 또는 정확성에 대해 어떠한 표현이나 보증도 하지 않습니다. 자료에는 기술적 부정확성 또는 입력 체계 오류가 포함될 수 있으며 예고 없이 언제든지 수정될 수 있습니다.

관련 법률에서 허용하는 최대 범위까지 Microsoft 및/또는 해당 공급업체는 명시적, 묵시적 또는 법적 여부에 관계없이 타이틀, 비침해, 만족스러운 조건 또는 품질, 상품성 및 특정 목적에 대한 적합성을 포함하되 이에 국한되지 않는 명시적, 묵시적 또는 법적 조건에 관계없이 모든 표현, 보증 및 조건을 부인하고 제외합니다.