Kerberos용 DES를 사용하지 않도록 설정하면 KDC 이벤트 ID 16 또는 27이 기록됩니다.
이 문서에서는 Windows 7 및 Windows Server 2008 R2에서 Kerberos 인증에 DES 암호화를 사용하도록 설정하는 방법을 설명합니다.
적용 대상: Windows 7 서비스 팩 1, Windows Server 2008 R2 서비스 팩 1
원본 KB 번호: 977321
요약
Windows 7, Windows Server 2008 R2 및 이후의 모든 Windows 운영 체제부터 Kerberos 인증을 위한 DES(데이터 암호화 표준) 암호화를 사용할 수 없습니다. 이 문서에서는 DES 암호화가 사용되지 않으므로 애플리케이션, 보안 및 시스템 로그에서 다음 이벤트를 수신할 수 있는 다양한 시나리오에 대해 설명합니다.
- KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
- KDCEVENT_NO_KEY_INTERSECTION_TGS
또한 이 문서에서는 Windows 7 및 Windows Server 2008 R2에서 Kerberos 인증에 DES 암호화를 사용하도록 설정하는 방법을 설명합니다. 자세한 내용은 이 문서의 "증상", "원인" 및 "해결 방법" 섹션을 참조하세요.
증상
다음 시나리오를 고려하세요.
- 서비스는 Windows 7 또는 Windows Server 2008 R2를 실행하는 컴퓨터에서 DES 암호화에 대해서만 구성된 사용자 계정 또는 컴퓨터 계정을 사용합니다.
- 서비스는 DES 암호화에 대해서만 구성되고 Windows Server 2008 R2 기반 도메인 컨트롤러와 함께 도메인에 있는 사용자 계정 또는 컴퓨터 계정을 사용합니다.
- Windows 7 또는 Windows Server 2008 R2를 실행하는 클라이언트는 DES 암호화에만 구성된 사용자 계정 또는 컴퓨터 계정을 사용하여 서비스에 연결합니다.
- 트러스트 관계는 DES 암호화에 대해서만 구성되며 Windows Server 2008 R2를 실행하는 도메인 컨트롤러를 포함합니다.
- 애플리케이션 또는 서비스는 DES 암호화만 사용하도록 하드 코딩됩니다.
이러한 시나리오 중에서 Microsoft-Windows-Kerberos-Key-Distribution-Center 원본과 함께 애플리케이션, 보안 및 시스템 로그에서 다음 이벤트를 받을 수 있습니다.
| ID | 기호 이름 | 메시지 |
|---|---|---|
| 27 | KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS | 대상 서버 %1에 대한 TGS 요청을 처리하는 동안 계정 %2에 Kerberos 티켓을 생성하는 데 적합한 키가 없습니다(누락된 키의 ID는 %3). 요청된 etype은 %4입니다. 사용 가능한 etype 계정은 %5입니다. 이벤트 ID 27 - KDC 암호화 유형 구성 |
| 16 | KDCEVENT_NO_KEY_INTERSECTION_TGS | 대상 서버 %1에 대한 TGS 요청을 처리하는 동안 계정 %2에 Kerberos 티켓을 생성하는 데 적합한 키가 없습니다(누락된 키의 ID는 %3). 요청된 etype은 %4입니다. 사용 가능한 etype 계정은 %5입니다. %6의 암호를 변경하거나 다시 설정하면 적절한 키가 생성됩니다. 이벤트 ID 16 - Kerberos 키 무결성 |
원인
기본적으로 Kerberos에 대한 DES 암호화에 대한 보안 설정은 다음 컴퓨터에서 사용하지 않도록 설정됩니다.
- Windows 7을 실행하는 컴퓨터
- Windows Server 2008 R2를 실행하는 컴퓨터
- Windows Server 2008 R2를 실행하는 도메인 컨트롤러
참고
Kerberos에 대한 암호화 지원은 Windows 7 및 Windows Server 2008 R2.By 기본값에 존재하며, Windows 7은 "암호화 유형"과 "etypes"에 대해 다음과 같은 AES(고급 암호화 표준) 또는 RC4 암호 그룹을 사용합니다.
- AES256-CTS-HMAC-SHA1-96
- AES128-CTS-HMAC-SHA1-96
- RC4-HMAC
다음 조건이 충족되지 않는 한 DES 암호화에 대해서만 구성된 서비스는 실패합니다.
- 서비스는 RC4 암호화를 지원하거나 AES 암호화를 지원하도록 다시 구성됩니다.
- 서비스 계정의 도메인에 대한 모든 클라이언트 컴퓨터, 모든 서버 및 모든 도메인 컨트롤러는 DES 암호화를 지원하도록 구성됩니다.
기본적으로 Windows 7 및 Windows Server 2008 R2는 다음 암호 그룹을 지원합니다. 필요한 경우 DES-CBC-MD5 암호 그룹 및 DES-CBC-CRC 암호 그룹을 Windows 7에서 사용하도록 설정할 수 있습니다.
해결 방법
환경에서 DES 암호화가 여전히 필요한지 또는 특정 서비스에 DES 암호화만 필요한지 여부를 검사 검사 것이 좋습니다. 서비스에서 RC4 암호화 또는 AES 암호화를 사용할 수 있는지 또는 공급업체에 더 강력한 암호화가 있는 인증 대안이 있는지 검사 확인합니다.
Windows Server 2003을 실행하는 도메인 컨트롤러에서 복제되는 암호화 유형 정보를 올바르게 처리하려면 Windows Server 2008 R2 기반 도메인 컨트롤러에 핫픽스 978055 필요합니다. 아래의 자세한 정보 섹션을 참조하세요.
애플리케이션이 DES 암호화만 사용하도록 하드 코딩되었는지 확인합니다. 그러나 Windows 7을 실행하는 클라이언트 또는 KDC(키 배포 센터)의 기본 설정에 따라 사용하지 않도록 설정됩니다.
이 문제의 영향을 받는지 검사 일부 네트워크 추적을 수집한 다음, 다음 샘플 추적과 유사한 추적에 대해 검사.
프레임 1 {TCP:48, IPv4:47} <SRC IP<>DEST IP> KerberosV5 KerberosV5:TGS 요청 영역: CONTOSO.COM 이름: HTTP/<호스트 이름.<>Fqdn>
프레임 2 {TCP:48, IPv4:47} <DEST IP><SRC IP> KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_ETYPE_NOSUPP(14)
0.0000000 {TCP:48, IPv4:47} <원본 IP<>대상 IP> KerberosV5 KerberosV5:TGS 요청 영역: fqdn> Sname: <HTTP/<hostname.<>Fqdn>
-Etype:
+SequenceOfHeader:
+EType: aes256-cts-hmac-sha1-96 (18)
+EType: aes128-cts-hmac-sha1-96 (17)
+EType: rc4-hmac(23)
+EType: rc4-hmac-exp(24)
+EType: rc4 hmac old exp(0xff79)
+TagA:
+EncAuthorizationData:사용자 계정 또는 컴퓨터 계정이 DES 암호화에 대해서만 구성되었는지 확인합니다.
"Active Directory 사용자 및 컴퓨터" 스냅인에서 사용자 계정 속성을 연 다음 계정 탭에서이 계정에 Kerberos DES 암호화 유형 사용 옵션이 설정되어 있는지 여부를 검사.
이 문제의 영향을 받고 Kerberos 인증을 위해 DES 암호화 유형을 설정해야 하는 경우 다음 그룹 정책을 사용하도록 설정하여 Windows 7 또는 Windows Server 2008 R2를 실행하는 모든 컴퓨터에 DES 암호화 유형을 적용합니다.
그룹 정책 관리 콘솔(GPMC)에서 다음 위치를 찾습니다.
컴퓨터 구성\ Windows 설정\ 보안 설정\ 로컬 정책\ 보안 옵션
네트워크 보안: Kerberos에 허용되는 암호화 유형 구성 옵션을 클릭하여 선택합니다.
이러한 정책 설정 정의 및 암호화 유형에 대한 6개의 검사 상자를 모두 클릭하여 선택합니다.
확인을 클릭합니다. GPMC를 닫습니다.
참고
정책은 레지스트리 항목을 0x7FFFFFFF 값으로 설정합니다SupportedEncryptionTypes. SupportedEncryptionTypes 레지스트리 항목은 다음 위치에 있습니다.
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
시나리오에 따라 도메인 수준에서 이 정책을 설정하여 WINDOWS 7 또는 Windows Server 2008 R2를 실행하는 모든 클라이언트에 DES 암호화 유형을 적용해야 할 수 있습니다. 또는 Windows Server 2008 R2를 실행하는 도메인 컨트롤러에 대한 도메인 컨트롤러의 OU(조직 구성 단위)에서 이 정책을 설정해야 할 수도 있습니다.
추가 정보
DES 전용 애플리케이션 호환성 문제는 다음 두 가지 구성에서 발생합니다.
- 호출 애플리케이션은 DES 암호화에 대해서만 하드 코딩됩니다.
- 서비스를 실행하는 계정은 DES 암호화만 사용하도록 구성됩니다.
Kerberos 인증이 작동하려면 다음 암호화 유형 조건을 충족해야 합니다.
- 클라이언트의 인증자에 대한 클라이언트와 도메인 컨트롤러 사이에 공통 형식이 있습니다.
- 티켓을 암호화하기 위해 도메인 컨트롤러와 리소스 서버 사이에 공통 형식이 있습니다.
- 클라이언트와 세션 키에 대한 리소스 서버 사이에 공통 형식이 있습니다.
다음 상황을 고려합니다.
| 역할 | OS | Kerberos에 대해 지원되는 암호화 수준 |
|---|---|---|
| Dc | Windows Server 2003 | RC4 및 DES |
| 클라이언트 | Windows 7 | AES 및 RC4 |
| 리소스 서버 | J2ee | Des |
이 경우 조건 1은 RC4 암호화에 의해 충족되고 조건 2는 DES 암호화에 의해 충족됩니다. 서버가 DES 전용이고 클라이언트가 DES를 지원하지 않기 때문에 세 번째 기준이 실패합니다.
다음 조건이 도메인에 해당하는 경우 각 Windows Server 2008 R2 기반 도메인 컨트롤러에 핫픽스 978055 설치해야 합니다.
- 일부 DES 사용 사용자 또는 컴퓨터 계정이 있습니다.
- 동일한 도메인에는 Windows 2000 Server, Windows Server 2003 또는 Windows Server 2003 R2를 실행하는 하나 이상의 도메인 컨트롤러가 있습니다.
참고
- Windows Server 2003을 실행하는 도메인 컨트롤러에서 복제되는 암호화 유형 정보를 올바르게 처리하려면 Windows Server 2008 R2 기반 도메인 컨트롤러에 핫픽스 978055 필요합니다.
- Windows Server 2008 기반 도메인 컨트롤러에는 이 핫픽스가 필요하지 않습니다.
- 도메인에 Windows Server 2008 기반 도메인 컨트롤러만 있는 경우 이 핫픽스는 필요하지 않습니다.
자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.
978055 수정: Windows Server 2008 R2 도메인 컨트롤러가 도메인에 가입한 후에는 Kerberos 인증 유형에 DES 암호화를 사용하는 사용자 계정을 Windows Server 2003 도메인에서 인증할 수 없습니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기