페더레이션된 사용자가 반복적으로 자격 증명을 로그인 Office 365, Azure 또는 Intune 중

Windows XP에 대한 지원이 종료되었습니다.

Microsoft는 2014년 4월 8일 Windows XP에 대한 지원을 종료했습니다. 이러한 변경에 따라 해당 소프트웨어 업데이트 및 보안 옵션이 영향을 받습니다. 사용자에게 미치는 영향 및 계속 보호를 받는 방법에 대해 알아보십시오.

이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.

이 문서의 영문 버전 보기:2461628
중요: 이 문서에는 낮은 보안 설정에 도움이 되는 방법 또는 컴퓨터의 보안 기능을 해제하는 방법을 보여 주는 정보가 포함되어 있습니다. 특정 문제를 해결하려면 이렇게 변경할 수 있습니다. 이렇게 변경하기 전에, 특정 환경에서 이 해결 방법을 구현하면서 생길 수 있는 위험을 판단해보시기 바랍니다. 이 해결 방법을 구현할 경우 컴퓨터를 보호하기 위해 추가로 적절한 조치를 취하십시오.
문제
페더레이션된 사용자 자격 증명 확인 반복적으로 사용자가 Office 365, Microsoft Azure Intune Microsoft 등 Microsoft 클라우드 서비스에 로그인 하는 동안 Active Directory 페더레이션 서비스 (ADFS) 서비스 끝점에 인증 하려고 할 때. 사용자가 다음과 같은 오류 메시지가 받습니다.
액세스가 거부 되었습니다.
원인
ADFS 사용 하 여 Windows 통합 인증을 사용 하 여 문제 증상을 나타냅니다. 이 문제가 발생할 수 있습니다 또는 이상 다음 조건 중:
  • 잘못 된 사용자 이름이 나 암호가 사용 되었습니다.
  • 인터넷 정보 서비스 (IIS) 인증 설정은 잘못 설정 Adfs에서.
  • 서비스 사용자 이름 (SPN) AD FS 페더레이션 서버 팜에서 실행 하는 데 사용 되는 서비스 계정과 관련 된 손실 또는 손상.

    참고 Adfs는 페더레이션 서버 팜 구현 하는 경우에 발생 하 고 독립 실행형 구성에서 구현 되지 않습니다.
  • 하나 이상의 인증을 위한 확장 된 보호 하 여 중간자 개입 공격의 원본으로 식별 됩니다.
    • 일부 다른 공급 업체 인터넷 브라우저
    • 회사 네트워크 방화벽, 네트워크 부하 분산 장치 또는 기타 네트워크 장치는 IP 페이로드 데이터 잠재적으로 다시 작성 하는 방식으로 인터넷에 ADFS 페더레이션 서비스 게시 됩니다. 가능한 경우 다음과 같은 종류의 데이터 포함 됩니다.
      • Secure Sockets Layer (SSL) 브리지
      • SSL 오프 로딩
      • 상태 저장 패킷 필터링

        자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조 하십시오.
        2510193지원 되는 Office 365, Azure 또는 Intune에 단일 로그온을 설정 하는 데 사용 되는 ADFS 시나리오
    • 모니터링 또는 SSL 암호 해독 응용 프로그램 설치 또는 클라이언트 컴퓨터에서 사용 중인
  • ADFS 서비스 끝점의 도메인 이름 시스템 (DNS) 확인을 통해 A 레코드를 찾지 않고 CNAME 레코드 조회를 통해 수행 됩니다.
  • Windows Internet Explorer AD FS 서버에 Windows 통합 인증을 통과 하도록 구성 되지 않았습니다.

문제 해결을 시작 하기 전에

사용자 이름과 암호가 없는지 확인 문제의 원인이 있습니다.
  • 올바른 사용자 이름이 사용 되 고 사용자 원칙 이름 (UPN) 형식으로 되어 있는지 확인 하십시오. For example, johnsmith@contoso.com.
  • 올바른 암호를 사용 하는 있는지 확인 하십시오. 올바른 암호를 사용 하는 다시 확인 하려면 사용자 암호를 다시 설정 해야 합니다. 자세한 내용은 Microsoft TechNet 문서를 참조 하십시오.
  • 계정이 없는 잠긴, 만료 하거나 지정 된 로그온 시간이 사용 되는 확인 하십시오. 자세한 내용은 Microsoft TechNet 문서를 참조 하십시오.

원인을 확인 하십시오.

Kerberos 문제 문제의 원인 이라고 확인 하려면 일시적으로 AD FS 페더레이션 서버 팜에서 폼 기반 인증을 사용 하 여 Kerberos 인증을 무시 합니다. 이렇게 하려면, 다음 단계를 수행하십시오.

1 단계: AD FS 페더레이션 서버 팜의 각 서버에서 web.config 파일을 편집
  1. Windows 탐색기에서 C:\inetpub\adfs\ls\ 폴더를 찾아 다음 web.config 파일의 백업 복사본을 확인 합니다.
  2. 시작, 모든프로그램, 보조 프로그램, 메모장을 마우스 오른쪽 단추로 클릭 및 관리자 권한으로 실행을 클릭 합니다.
  3. 파일 메뉴에서 열기를 클릭 합니다. 에 파일 이름 상자에 입력 합니다C:\inetpub\adfs\ls\web.config를 선택한 다음 열기를 클릭 합니다.
  4. Web.config 파일에서 다음과이 같이 하십시오.
    1. 포함 된 줄을 찾아 <authentication mode=""> </authentication>를 바꾼 다음에 <authentication mode="Forms"> </authentication>.
    2. 로 시작 하는 항목을 찾습니다 <localAuthenticationTypes> </localAuthenticationTypes>, 다음 섹션을 변경 하는 <add name="Forms"></add> 먼저, 다음과 같은 항목이 나타납니다.
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. 파일 메뉴에서 저장을 클릭 합니다.
  6. 상승된 된 명령 프롬프트에서 iisreset 명령을 사용 하 여 IIS를 다시 시작 합니다.
2 단계: 테스트 AD FS 기능
  1. 연결 하 고 온-프레미스에 인증 하는 클라이언트 컴퓨터에서 AD DS 환경에서는 클라우드 서비스 포털에 로그인 합니다.

    원활한 인증 경험을 하는 대신 한 폼 기반 로그인 해야 발생할 수 있습니다. 로그인에 성공할 경우 폼 기반 인증을 사용 하 여 ADFS 페더레이션 서비스에서 Kerberos 사용 하 여 문제가 있는지 확인 합니다.
  2. "해결 방법" 절의 단계를 수행 하기 전에 이전 인증 설정을 AD FS 페더레이션 서버 팜에 있는 각 서버의 구성으로 되돌립니다. AD FS 페더레이션 서버 팜에 있는 각 서버의 구성으로 되돌리려면 다음이 단계를 수행 합니다.
    1. Windows 탐색기에서 C:\inetpub\adfs\ls\ 폴더를 찾은 다음 web.config 파일을 삭제 합니다.
    2. 만든 web.config 파일의 백업을 이동은 "1 단계: AD FS 페더레이션 서버 팜에 있는 각 서버의 web.config 파일도 편집" C:\inetpub\adfs\ls\ 폴더에 섹션.
  3. 상승된 된 명령 프롬프트에서 iisreset 명령을 사용 하 여 IIS를 다시 시작 합니다.
  4. 원래 문제는 돌아갑니다 AD FS 인증 동작을 확인 합니다.
솔루션
AD FS 인증을 제한 하는 Kerberos 문제를 해결 하려면 상황에 맞게 다음 방법 중 하나 이상을 사용 합니다.

해결 방법 1: 원래 대로 AD FS 인증 설정을 기본값으로

AD FS IIS 인증 설정이 올바른지 또는 AD FS 페더레이션 서비스와 프록시 서비스에 대 한 IIS 인증 설정에서 일치 하지 않는 경우 한 가지 방법은 모든 IIS 인증 설정을 AD FS 기본 설정으로 재설정 합니다.

기본 인증 설정은 다음과에서 같습니다.
가상 응용 프로그램인증 수준
기본 웹 사이트/adf익명 인증
기본 웹 사이트/adf/ls익명 인증
Windows 인증
각 AD FS 페더레이션 서버 및 AD FS 페더레이션 서버 프록시가 각는 기본 인증 설정을 AD FS IIS 가상 응용 프로그램을 다시 설정 하려면 Microsoft TechNet의 다음 문서에서 정보를 사용.이 오류를 해결 하는 방법에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조 하십시오.
907273 IIS에서 HTTP 401 오류 문제 해결

871179 표시는 "HTTP 오류 401.1-권한이 없음: 잘못 된 자격 증명 때문에 액세스가 거부 되었습니다" IIS 6.0 응용 프로그램 풀의 일부인 웹 사이트에 액세스 하려고 할 때 오류 메시지가 나타난다

해결 방법 2: ADFS 페더레이션 서버 팜에 SPN 수정

참고: Adfs는 페더레이션 서버 팜 구현 하는 경우에이 해결 해 보십시오. 이 해결 방법은 독립 실행형 AD FS 구성에서 하지 마십시오.

ADFS 서비스에 대 한 SPN를 잃어버리거나 손상 AD FS 서비스 계정에이 문제를 해결 하려면 AD FS 페더레이션 서버 팜의 한 서버에서 다음이 단계를 수행 합니다.
  1. 서비스 관리 스냅인을 엽니다. 이렇게 하려면 시작, 모든프로그램, 관리 도구클릭 및 다음 서비스를 누릅니다.
  2. AD FS (2.0) Windows 서비스를 두 번 클릭 합니다.
  3. 로그에 탭에서 계정에 표시 되는 서비스 계정을 확인 합니다.
  4. 시작, 모든프로그램, 보조 프로그램, 명령 프롬프트마우스 오른쪽 단추로 및 관리자 권한으로 실행을 클릭 합니다.
  5. 형식 SetSPN – f q 호스트 /<AD fs="" service="" name=""></AD>를 누른 다음 Enter 키를 누릅니다.

    참고: 이 명령에서 <AD fs="" service="" name=""></AD> ADFS 서비스 끝점의 정규화 된 도메인 이름 (FQDN) 서비스 이름을 나타냅니다. AD FS 서버 Windows 호스트 이름을 나타내지 않습니다.
    • 명령에 대 한 항목이 둘 이상 반환 하 고 결과 3 단계에서 설명한 것과 다른 사용자 계정과 연결 하는 경우 해당 연결을 제거 합니다. 이렇게 하려면 다음 명령을 실행 합니다.
      SetSPN – d 호스트 /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • 명령에 대 한 항목이 둘 이상 반환 됩니다 SPN ADFS 서버 창에 컴퓨터 이름과 동일한 이름을 사용 하는 경우 AD FS의 페더레이션 끝점 이름을 올바르지 않습니다. AD FS는 다시 구현 해야 합니다. FQDN을 AD FS 페더레이션 서버 팜의 기존 서버의 Windows 호스트 이름과 같을 수 없습니다.
    • SPN가 아직 없는 경우 다음 명령을 실행 합니다.
      SetSPN – 호스트 /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      참고: 이 명령에서 <username of="" service="" account=""></username> 3 단계에서 확인 된 사용자 이름을 나타냅니다.
  6. AD FS 페더레이션 서버 팜에 있는 모든 서버에서 다음이 단계는 수행 후 AD FS (2.0) Windows 서비스 는 서비스 관리 스냅인에서 마우스 오른쪽 단추로 및 다음 다시 시작을 클릭 합니다.

해결 방법 3: 인증 문제에 대 한 확장 된 보호를 해결

인증을 위한 확장 된 보호 하면 성공적으로 인증 하는 경우 문제를 해결 하려면 다음 중 하나를 사용 하 여 권장 방법:
  • 방법 1: 로그인을 사용 하 여 Windows Internet Explorer 8 (또는 프로그램의 이후 버전).
  • 방법 2: ADFS 서비스 SSL 브리징, SSL 오프 로딩을 또는 상태 저장 패킷 필터링 IP 페이로드 데이터 재작성 하지 않는 방식으로 인터넷에 게시 합니다. 이 여기에 권장 되는 모범 사례는 AD FS 프록시 서버를 사용 하는 것입니다.
  • 방법 3: 닫기 또는 사용 안 함 모니터링 또는 SSL 암호 해독 응용 프로그램입니다.
이 문제를 해결 하려면 다음이 방법 중 하나를 사용할 수 없으면, 수동 및 능동 클라이언트 인증을 위한 확장 된 보호를 해제할 수 있습니다.

해결 방법: 인증을 위한 확장 된 보호를 비활성화 합니다.

경고 장기적인 솔루션으로이 절차를 사용 하는 것은 좋지 않습니다. 인증을 위한 확장 된 보호를 사용 하지 않도록 설정 하지 Windows 통합 인증 끝점에서 특정 중간자 개입 공격을 감지 하 여 ADFS 서비스 보안 프로필을 시킵니다.

참고: 타사 응용 프로그램 기능에 대해이 해결 방법을 적용 인증을 위한 확장 된 보호에 대 한 클라이언트 운영 체제에 핫픽스 또한 제거 해야 합니다. 해당 핫픽스에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조 하십시오.
968389 인증을 위한 확장 된 보호
수동 클라이언트
수동 클라이언트 인증을 위한 확장 된 보호를 사용 하지 않으려면 다음 IIS 가상 응용 프로그램이 AD FS 페더레이션 서버 팜에 있는 모든 서버에 대해 다음 절차를 따르십시오.
  • 기본 웹 사이트/adf
  • 기본 웹 사이트/adf/ls
이렇게 하려면, 다음 단계를 수행하십시오.
  1. IIS 관리자를 열고 관리 하려는 수준으로 이동 합니다. IIS 관리자를 여는 방법에 대 한 정보를 참조 하십시오. IIS 관리자를 열고 (IIS 7).
  2. 기능 보기에서 인증을 두 번 클릭 합니다.
  3. 인증 페이지에서 Windows 인증을 선택 합니다.
  4. 작업 창에서 고급 설정을 클릭 합니다.
  5. 고급 설정 대화 상자가 나타나면 선택 오프에서확장 된 보호 드롭 다운 메뉴.
현재 클라이언트에 대 한
현재 클라이언트에 대 한 인증을 위한 확장 된 보호를 사용 하지 않으려면 기본 AD FS 서버에 다음 절차를 따르십시오.
  1. Windows PowerShell 엽니다.
  2. ADFS 스냅인에 대 한 Windows PowerShell 로드 하려면 다음 명령을 실행 합니다.
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. 인증을 위한 확장 된 보호를 사용 하지 않도록 설정 하려면 다음 명령을 실행 합니다.
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

인증을 위한 확장 된 보호를 다시 설정

수동 클라이언트
수동 클라이언트 인증을 위한 확장 된 보호를 다시 사용 하는 경우 다음 IIS 가상 응용 프로그램이 AD FS 페더레이션 서버 팜에 있는 모든 서버에 대 한 다음 절차를 따르십시오.
  • 기본 웹 사이트/adf
  • 기본 웹 사이트/adf/ls
이렇게 하려면, 다음 단계를 수행하십시오.
  1. IIS 관리자를 열고 관리 하려는 수준으로 이동 합니다. IIS 관리자를 여는 방법에 대 한 정보를 참조 하십시오. IIS 관리자를 열고 (IIS 7).
  2. 기능 보기에서 인증을 두 번 클릭 합니다.
  3. 인증 페이지에서 Windows 인증을 선택 합니다.
  4. 작업 창에서 고급 설정을 클릭 합니다.
  5. 고급 설정 대화 상자가 나타나면 확장 된 보호 드롭 다운 메뉴에서 수락을 선택 합니다.
현재 클라이언트에 대 한
활성 클라이언트 인증을 위한 확장 된 보호를 다시 사용 하는 경우 기본 AD FS 서버에 다음 절차를 따르십시오.
  1. Windows PowerShell 엽니다.
  2. ADFS 스냅인에 대 한 Windows PowerShell 로드 하려면 다음 명령을 실행 합니다.
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. 인증을 위한 확장 된 보호를 사용 하도록 설정 하려면 다음 명령을 실행 합니다.
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”

해결 방법 4: 대체 Adfs에 대 한 레코드와 CNAME 레코드

대체 DNS 사용 하 여 페더레이션 서비스에 사용 되는 각 DNS 별칭 (CNAME) 레코드를 DNS 관리 도구를 사용 하는 (A) 레코드를 해결 합니다. 또한 확인 하거나 회사 DNS 설정 split-brain DNS 구성 하는 구현 되는 것이 좋습니다. DNS 레코드를 관리 하는 방법에 대 한 자세한 내용은 다음 Microsoft TechNet 웹 사이트로 이동.

해결 방법 5: 단일 사인온 (SSO)에 AD FS 클라이언트로 Internet Explorer 설정

AD FS 액세스용 Internet Explorer 설정 하는 방법에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조 하십시오.
2535227페더레이션 된 사용자는 작업을 입력하거나 학교 계정 자격 증명을 예기치 않게 요구받을 수 있습니다
자세한 내용
네트워크를 보호 하려면 AD FS 인증을 위한 확장 된 보호를 사용 합니다. 인증을 위한 확장 된 보호는 공격자가 클라이언트의 자격 증명을 가로채 고 서버로 전달 끼어 들기 공격을 방지할 수 있습니다. 채널 바인딩 동산 (CBT)를 사용 하 여 이러한 공격 으로부터 보호 수 있게 됩니다. CBT 필수 허용 하거나 때 통신은 클라이언트와 서버가 필요 하지 될 수 있습니다.

설정은 ExtendedProtectionTokenCheck AD FS 페더레이션 서버에 의해 지원 되는 인증을 위한 확장 된 보호 수준을 지정 합니다. 이 설정에 대해 사용 가능한 값은 다음과 같습니다.
  • 필요: 서버를 완전 하 게 강화 된. 확장 된 보호 적용 됩니다.
  • 허용: 이것이 기본 설정입니다. 서버를 부분적으로 강화 된. 이 기능을 지원 하기 위해 변경 되는 관련된 시스템에 대 한 확장 된 보호 적용 됩니다.
  • 없음: 서버는 취약 합니다. 확장 된 보호 적용 되지 않습니다.
다음 표에서 세 운영 체제 및 브라우저에서 IIS 사용 하 여 AD FS에서 사용할 수 있는 다양 한 보호 확장 옵션에 따라 인증이 작동 하는 방식을 설명 합니다.

참고 Windows 클라이언트 운영 체제에 특정 업데이트를 효율적으로 확장 된 보호 기능을 사용 하려면 설치 되어 있어야 합니다. 기본적으로 기능은 Adfs에서 활성화 됩니다. 이 업데이트는 다음 Microsoft 기술 자료 문서에서 사용할 수 있습니다.
968389 인증을 위한 확장 된 보호
기본적으로 Windows 7에는 확장 된 보호를 사용 하 여 적절 한 이진 파일이 포함 되어 있습니다.

Windows 7 (또는 적절 하 게 업데이트 된 버전의 Windows Vista 또는 Windows XP의)
설정필요허용 (기본값)없음
Windows 통신
Foundation (WCF) 클라이언트 (모든 끝점)
작동작동작동
Internet Explorer 8and 이상 버전작동작동작동
Firefox 3.6실패실패작동
Safari 4.0.4실패실패작동
적절 한 업데이트를 하지 않고 Windows Vista
설정필요허용 (기본값)없음
WCF 클라이언트 (모든 끝점)실패작동작동
Internet Explorer 8and 이상 버전작동작동작동
Firefox 3.6실패작동 작동
Safari 4.0.4실패작동 작동
적절 한 업데이트를 하지 않고 Windows XP
설정필요허용 (기본값)없음
Internet Explorer 8and 이상 버전작동작동작동
Firefox 3.6실패작동 작동
Safari 4.0.4실패작동 작동
인증을 위한 확장 된 보호에 대 한 자세한 내용은 다음 Microsoft 리소스를 참조 하십시오.
968389 인증을 위한 확장 된 보호
세트 ADFSProperties cmdlet에 대 한 자세한 내용은 다음 Microsoft 웹 사이트로 이동:

도움이 더 필요하십니까? 이동 하는 Office 365 커뮤니티 웹 사이트 또는 Azure Active Directory 포럼 !

이 문서에서 설명하는 제3사 제품군 중 일부는 Microsoft와 무관한 회사에서 제조한 것입니다. Microsoft는 성능 또는 안정성 이러한 제품에 대 한 명시적이 든 묵시적이 든 어떠한 보증도 하지 않습니다.

경고: 이 문서는 자동으로 번역되었습니다.

속성

문서 ID: 2461628 - 마지막 검토: 01/14/2016 15:52:00 - 수정: 24.0

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Office 365 Identity Management

  • o365 o365a o365e o365022013 o365m kbmt KB2461628 KbMtko
피드백