Kerberos 이벤트 로깅을 사용하도록 설정하는 방법

  • 아티클

이 문서에서는 Kerberos 이벤트 로깅을 사용하도록 설정하는 방법을 설명합니다.

적용 대상: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10, 버전 1809 이상 버전, Windows 7 서비스 팩 1
원본 KB 번호: 262177

요약

Windows 7 서비스 팩 1, Windows Server 2012 R2 이상 버전은 이벤트 로그를 통해 자세한 Kerberos 이벤트를 추적하는 기능을 제공합니다. Kerberos 문제 해결 시 이 정보를 사용할 수 있습니다.

중요

로깅 수준이 변경되면 모든 Kerberos 오류가 이벤트에 기록됩니다. Kerberos 프로토콜에서는 프로토콜 사양에 따라 일부 오류가 예상됩니다. 따라서 Kerberos 로깅을 사용하도록 설정하면 Kerberos 운영 오류가 없는 경우에도 예상되는 가양성 오류가 포함된 이벤트가 생성될 수 있습니다.

가양성 오류의 예는 다음과 같습니다.

  1. KDC_ERR_PREAUTH_REQUIRED 초기 Kerberos AS 요청에 반환됩니다. 기본적으로 Windows Kerberos 클라이언트는 이 첫 번째 요청에 사전 인증 정보를 포함하지 않습니다. 응답에는 KDC에서 지원되는 암호화 유형에 대한 정보가 포함되며, AES의 경우 암호 해시를 암호화하는 데 사용할 솔트가 포함됩니다.

    권장 사항: 항상 이 오류 코드를 무시합니다.

  2. KDC_ERR_S_BADOPTION Kerberos 클라이언트가 특정 옵션(예: 특정 위임 플래그)을 사용하여 티켓을 검색하는 데 사용됩니다. 요청된 위임 유형을 사용할 수 없는 경우 반환되는 오류입니다. 그런 다음 Kerberos 클라이언트는 성공할 수 있는 다른 플래그를 사용하여 요청된 티켓을 가져옵니다.

    권장 사항: 위임 문제를 해결하는 경우가 아니면 이 오류를 무시합니다.

  3. KDC_ERR_S_PRINCIPAL_UNKNOWN 애플리케이션 클라이언트 및 서버 연락과 관련된 다양한 문제에 대해 기록될 수 있습니다. 원인은 다음과 같습니다.

    • AD에 등록된 SPN이 없거나 중복되었습니다.
    • 클라이언트에서 사용하는 잘못된 서버 이름 또는 DNS 접미사입니다. 예를 들어 클라이언트는 DNS CNAME 레코드를 쫓고 있으며 SPN에서 결과 A 레코드를 사용합니다.
    • AD 포리스트 경계를 넘어 해결해야 하는 비 FQDN 서버 이름 사용.

    권장 사항: 애플리케이션에서 서버 이름의 사용을 조사합니다. 클라이언트 또는 서버 구성 문제일 가능성이 높습니다.

  4. KRB_AP_ERR_MODIFIED 서버가 실행 중인 계정과 일치하지 않는 잘못된 계정에 SPN이 설정되면 기록됩니다. 두 번째 일반적인 문제는 티켓을 발급하는 KDC와 서비스를 호스팅하는 서버 간의 암호가 동기화되지 않는다는 것입니다.

    권장 사항: KDC_ERR_S_PRINCIPAL_UNKNOWN 마찬가지로 SPN이 올바르게 설정되었는지 여부를 검사.

다른 시나리오 또는 오류에는 시스템 또는 도메인 관리자의 주의가 필요합니다.

중요

이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의하여 수행해야 합니다. 추가된 보호를 위해 레지스트리를 수정하기 전에 백업하세요. 그런 다음 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 자세한 내용은 Windows에서 레지스트리를 백업하고 복원하는 방법을 참조하세요.

특정 컴퓨터에서 Kerberos 이벤트 로깅 사용

  1. 레지스트리 편집기를 시작합니다.

  2. 다음과 같은 레지스트리 값을 추가합니다.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    레지스트리 값: LogLevel
    값 형식: REG_DWORD
    값 데이터: 0x1

    매개 변수 하위 키가 없는 경우 만듭니다.

    참고

    컴퓨터에서 성능이 저하되지 않도록 더 이상 필요하지 않은 경우 이 레지스트리 값을 제거합니다. 또한 이 레지스트리 값을 제거하여 특정 컴퓨터에서 Kerberos 이벤트 로깅을 사용하지 않도록 설정할 수 있습니다.

  3. 레지스트리 편집기를 종료합니다. 이 설정은 Windows Server 2012 R2, Windows 7 이상 버전에서 즉시 적용됩니다.

  4. 시스템 로그에서 Kerberos 관련 이벤트를 찾을 수 있습니다.

추가 정보

Kerberos 이벤트 로깅은 정의된 작업 시간 프레임에서 Kerberos 클라이언트 쪽에 대한 추가 정보가 필요한 경우에만 문제 해결을 위한 것입니다. 다시 말하면, 적극적으로 문제를 해결할 수 없는 경우 kerberos 로깅을 사용하지 않도록 설정해야 합니다.

일반적인 관점에서 사용자 또는 관리자 개입 없이 수신 클라이언트에서 올바르게 처리되는 추가 오류가 발생할 수 있습니다. 다시 말하면 Kerberos 로깅에서 캡처한 일부 오류는 해결해야 하거나 해결할 수 있는 심각한 문제를 반영하지 않습니다.

예를 들어 서버 이름 cifs/<IP 주소에 대한 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN 오류 코드가 있는 Kerberos 오류에 대한 이벤트 로그 3은 서버 IP 주소 > 에 대해 공유 액세스가 이루어지고 서버 이름이 없을 때 기록됩니다. 이 오류가 기록되면 Windows 클라이언트는 자동으로 사용자 계정에 대한 NTLM 인증으로 장애 복구를 시도합니다. 이 작업이 작동하면 오류가 발생하지 않습니다.