새 설정은 NTLM 네트워크 인증 동작을 수정합니다.

이 문서에서는 NTLM 암호 변경에 영향을 주는 새로운 동작과 레지스트리를 사용하여 이 동작을 변경하는 방법을 설명합니다.

적용 대상: Windows Server 2012 R2
원래 KB 번호: 906305

소개

Microsoft Windows Server 2003 SP1(서비스 팩 1)부터 NTLM 네트워크 인증 동작이 변경되었습니다. 도메인 사용자는 이전 암호를 사용하여 암호가 변경된 후 1시간 동안 네트워크에 액세스할 수 있습니다. 인증에 Kerberos를 사용하도록 설계된 기존 구성 요소는 이 변경의 영향을 받지 않습니다.

이 변경의 목표는 관리자가 새 암호에 대한 자격 증명을 업데이트할 기회가 될 때까지 서비스와 같은 백그라운드 프로세스가 일정 시간 동안 계속 실행되도록 하는 것입니다.

NTLM 네트워크 인증 동작

분산 환경에서 NTLM 네트워크 인증에 대한 네트워크 액세스를 안정적으로 지원하기 위해 NTLM 네트워크 인증 동작은 다음과 같습니다.

• 도메인 사용자가 NTLM을 사용하여 암호를 성공적으로 변경한 후에도 사용자가 정의할 수 있는 기간 동안 네트워크 액세스에 이전 암호를 계속 사용할 수 있습니다. 이 동작을 사용하면 암호 변경이 전파되는 동안 여러 컴퓨터에 로그온된 서비스 계정과 같은 계정이 네트워크에 액세스할 수 있습니다.
• 암호 수명 기간의 확장은 NTLM을 사용하여 네트워크 액세스에만 적용됩니다. 대화형 로그온 동작은 변경되지 않습니다. 이 동작은 독립 실행형 서버 또는 멤버 서버에서 호스트되는 계정에는 적용되지 않습니다. 도메인 사용자만 이 동작의 영향을 받습니다.
• 도메인 컨트롤러에서 레지스트리를 편집하여 이전 암호의 수명 기간을 구성할 수 있습니다. 이 레지스트리 변경이 적용되려면 다시 시작이 필요하지 않습니다.

이전 암호의 수명 기간 변경

이전 암호의 수명 기간을 변경하려면 도메인 컨트롤러의 다음 레지스트리 하위 키에 OldPasswordAllowedPeriod 라는 DWORD 항목을 추가합니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

이렇게 하려면 다음과 같이 하십시오.

1. 시작, 실행을 차례로 클릭하고 regedit를 입력한 다음 확인을 클릭합니다.

2. 다음 레지스트리 하위 키를 찾아서 클릭합니다.

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

3. 편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 클릭합니다.

4. DWORD 이름으로 OldPasswordAllowedPeriod를 입력한 다음 Enter 키를 누릅니다.

5. OldPasswordAllowedPeriod를 마우스 오른쪽 단추로 클릭한 다음 수정을 클릭합니다.

6. 값 데이터 상자에 사용하려는 값을 분 단위로 입력한 다음 확인을 클릭합니다.

   참고

   수명 기간은 분 단위로 설정됩니다. 이 레지스트리 값이 설정되지 않은 경우 이전 암호의 기본 수명 기간은 60분입니다.

7. 레지스트리 편집기를 종료합니다.

사용자의 암호가 손상된 것으로 알려진 경우 관리자는 해당 사용자의 암호를 다시 설정해야 합니다. 관리자는 가능한 한 빨리 이전 암호를 무효화하기 위해 다음 로그온 시 암호를 변경하도록 사용자에게 요청해야 합니다.

사용자의 암호를 다시 설정하려면 다음 단계를 수행합니다.

1. Active Directory 사용자 및 컴퓨터를 시작합니다.
2. 암호를 재설정해야 하는 사용자 계정을 찾습니다.
3. 사용자 개체를 마우스 오른쪽 단추로 클릭한 다음 암호 재설정을 클릭합니다.
4. 새 암호 상자와 암호 확인 상자에 새 암호를 입력합니다.
5. 다음 로그온 검사 때 사용자가 암호를 변경해야 합니다 상자를 클릭하여 선택한 다음 확인을 클릭합니다.