Windows의 Kerberos 프로토콜 레지스트리 항목 및 KDC 구성 키
이 문서에서는 Kerberos 버전 5 인증 프로토콜 및 KDC(키 배포 센터) 구성에 대한 레지스트리 항목을 설명합니다.
적용 대상: Windows 11, Windows 10, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
원본 KB 번호: 837361
요약
Kerberos는 사용자 또는 호스트 ID를 확인하는 데 사용되는 인증 메커니즘입니다. Kerberos는 Windows 서비스의 기본 인증 방법입니다.
Windows를 실행하는 경우 Kerberos 인증 문제를 해결하거나 Kerberos 프로토콜을 테스트하도록 Kerberos 매개 변수를 수정할 수 있습니다. 이렇게 하려면 다음 섹션에 나열된 레지스트리 항목을 추가하거나 수정합니다.
중요
이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의하여 수행해야 합니다. 추가된 보호를 위해 레지스트리를 수정하기 전에 백업하세요. 그런 다음 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 레지스트리를 백업 및 복원하는 방법에 대한 자세한 내용은 Windows에서 레지스트리를 백업 및 복원하는 방법을 참조하세요.
참고
Kerberos 프로토콜 문제 해결 또는 테스트를 완료한 후 추가한 레지스트리 항목을 제거합니다. 그렇지 않으면 컴퓨터의 성능이 영향을 받을 수 있습니다.
매개 변수 키 아래의 레지스트리 항목 및 값
이 섹션에 나열된 레지스트리 항목은 다음 레지스트리 하위 키에 추가해야 합니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
참고
Kerberos 아래에 매개 변수 키가 나열되지 않은 경우 키를 만들어야 합니다.
항목: SkewTime
유형: REG_DWORD
기본값: 5(분)
이 값은 클라이언트 컴퓨터와 Kerberos 인증 또는 KDC를 허용하는 서버 간에 허용되는 최대 시간 차이입니다.
참고
SkewTime은 다시 사용할 Kerberos 티켓의 유효성을 결정할 때 고려됩니다. 만료 시간이 현재 시간 + SkewTime보다 작은 경우 티켓이 만료된 것으로 간주됩니다. 예를 들어 SkewTime이 20분으로 설정되고 현재 시간이 08:00인 경우 만료 시간이 08:20 이전인 티켓은 만료된 것으로 간주됩니다.
항목: LogLevel
유형: REG_DWORD
기본값: 0
이 값은 이벤트가 시스템 이벤트 로그에 기록되는지 여부를 나타냅니다. 이 값을 0이 아닌 값으로 설정하면 모든 Kerberos 관련 이벤트가 시스템 이벤트 로그에 기록됩니다.
참고
기록된 이벤트에는 Kerberos 클라이언트가 성공하는 다른 요청 플래그를 사용하여 다시 시도되는 가양성도 포함될 수 있습니다. 따라서 이 설정에 따라 기록된 이벤트가 표시되면 Kerberos 문제가 있다고 가정하지 마세요. 자세한 내용은 Kerberos 이벤트 로깅을 사용하도록 설정하는 방법을 참조하세요 .
항목: MaxPacketSize
유형: REG_DWORD
기본값: 1465(바이트)
이 값은 최대 UDP(사용자 데이터그램 프로토콜) 패킷 크기입니다. 패킷 크기가 이 값을 초과하면 TCP가 사용됩니다.
Windows Vista 이상 버전의 Windows에서 이 값의 기본값은 0이므로 UDP는 Windows Kerberos 클라이언트에서 사용되지 않습니다.
항목: StartupTime
유형: REG_DWORD
기본값: 120(초)
이 값은 Windows가 포기하기 전에 Windows가 KDC가 시작될 때까지 기다리는 시간입니다.
항목: KdcWaitTime
유형: REG_DWORD
기본값: 10(초)
이 값은 Windows가 KDC의 응답을 기다리는 시간입니다.
항목: KdcBackoffTime
유형: REG_DWORD
기본값: 10(초)
이 값은 이전 호출이 실패한 경우 KDC에 대한 연속 호출 사이의 시간입니다.
항목: KdcSendRetries
유형: REG_DWORD
기본값: 3
이 값은 클라이언트가 KDC에 연결하려고 시도하는 횟수입니다.
항목: DefaultEncryptionType
유형: REG_DWORD
이 값은 사전 인증에 대한 기본 암호화 유형을 나타냅니다. RC4의 기본값은 23(10진수) 또는 0x17(16진수)입니다.
AES를 사용하려는 경우 값을 다음 값 중 하나로 설정합니다.
- aes256-cts-hmac-sha1-96: 18 또는 0x12
- aes128-cts-hmac-sha1-96: 17 또는 0x11
이 값은 사전 인증에 대한 기본 암호화 유형을 나타냅니다.
항목: FarKdcTimeout
유형: REG_DWORD
기본값: 10(분)
도메인 컨트롤러 캐시의 다른 사이트에서 도메인 컨트롤러를 무효화하는 데 사용되는 제한 시간 값입니다.
항목: NearKdcTimeout
유형: REG_DWORD
기본값: 30(분)
도메인 컨트롤러 캐시의 동일한 사이트에서 도메인 컨트롤러를 무효화하는 데 사용되는 시간 제한 값입니다.
항목: StronglyEncryptDatagram
형식: REG_BOOL
기본값: FALSE
이 값에는 데이터그램 패킷에 128비트 암호화를 사용할지 여부를 나타내는 플래그가 포함되어 있습니다.
항목: MaxReferralCount
유형: REG_DWORD
기본값: 6
이 값은 클라이언트가 포기하기 전에 클라이언트가 추구하는 KDC 조회 수입니다.
항목: MaxTokenSize
유형: REG_DWORD
기본값: 12000(10진수). Windows Server 2012 Windows 8 기본값은 48000입니다.
이 값은 Kerberos 토큰의 최대값입니다. 이 값을 65535 미만으로 설정하는 것이 좋습니다. 자세한 내용은 사용자가 여러 그룹에 속하는 경우 Kerberos 인증 문제를 참조하세요.
항목: SpnCacheTimeout
유형: REG_DWORD
기본값: 15분
이 값은 SPN(서비스 사용자 이름) 캐시 항목을 삭제할 때 시스템에서 사용됩니다. 도메인 컨트롤러에서 SPN 캐시를 사용할 수 없습니다. 클라이언트 및 멤버 서버는 이 값을 사용하여 사용 기간을 초과하고 음수 캐시 항목(SPN을 찾을 수 없음)을 제거합니다. 유효한 SPN 캐시 항목(예: 음수 캐시 아님)은 만든 후 15분 후에 삭제되지 않습니다. 그러나 SPNCacheTimeout 값은 SPN 캐시를 관리 가능한 크기로 줄이는 데도 사용됩니다. SPN 캐시가 350개 항목에 도달하면 시스템에서 이 값을 이전 및 사용되지 않은 항목에
scavenge / cleanup사용합니다.
항목: S4UCacheTimeout
유형: REG_DWORD
기본값: 15분
이 값은 특정 컴퓨터의 S4U 프록시 요청 수를 제한하는 데 사용되는 S4U 부정 캐시 항목의 수명입니다.
항목: S4UTicketLifetime
유형: REG_DWORD
기본값: 15분
이 값은 S4U 프록시 요청에서 가져온 티켓의 수명입니다.
항목: RetryPdc
유형: REG_DWORD
기본값: 0(false)
가능한 값: 0(false) 또는 0이 아닌 값(true)
이 값은 클라이언트가 암호 만료 오류를 수신하는 경우 클라이언트가 인증 서비스 요청(AS_REQ)에 대한 기본 도메인 컨트롤러에 연결할지 여부를 나타냅니다.
항목: RequestOptions
유형: REG_DWORD
기본값: RFC 1510 값
이 값은 TGS_REQ(Ticket Granting Service 요청)에서 KDC 옵션으로 전송해야 하는 더 많은 옵션이 있는지 여부를 나타냅니다.
항목: ClientIpAddresses
유형: REG_DWORD
기본값: 0(동적 호스트 구성 프로토콜 및 네트워크 주소 변환 문제로 인해 이 설정은 0입니다.)
가능한 값: 0(false) 또는 0이 아닌 값(true)
이 값은 필드가 모든 티켓에 IP 주소를 포함하도록 강제
Caddr하기 위해 AS_REQ 클라이언트 IP 주소를 추가할지 여부를 나타냅니다.
항목: TgtRenewalTime
유형: REG_DWORD
기본값: 600초
이 값은 Kerberos가 티켓이 만료되기 전에 TGT(티켓 부여 티켓)를 갱신하기 전에 대기하는 시간입니다.
항목: AllowTgtSessionKey
유형: REG_DWORD
기본값: 0
가능한 값: 0(false) 또는 0이 아닌 값(true)
이 값은 세션 키를 초기 또는 교차 영역 TGT 인증으로 내보낼지 여부를 나타냅니다. 기본값은 보안상의 이유로 false입니다.
참고
Windows 10 이상 버전의 Windows에서 활성 Credential Guard를 사용하면 더 이상 애플리케이션과 TGT 세션 키를 공유할 수 없습니다.
Kdc 키 아래의 레지스트리 항목 및 값
이 섹션에 나열된 레지스트리 항목은 다음 레지스트리 하위 키에 추가해야 합니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
참고
Kdc 키가 서비스 아래에 나열되지 않은 경우 키를 만들어야 합니다.
항목: KdcUseClientAddresses
유형: REG_DWORD
기본값: 0
가능한 값: 0(false) 또는 0이 아닌 값(true)
이 값은 Ticket-Granting 서비스 회신(TGS_REP)에 IP 주소를 추가할지 여부를 나타냅니다.
항목: KdcDontCheckAddresses
유형: REG_DWORD
기본값: 1
가능한 값: 0(false) 또는 0이 아닌 값(true)
이 값은 TGS_REQ 및 TGT
Caddr필드의 IP 주소를 확인할지 여부를 나타냅니다.
항목: NewConnectionTimeout
유형: REG_DWORD
기본값: 10(초)
이 값은 연결을 끊기 전에 데이터를 수신하기 위해 초기 TCP 엔드포인트 연결이 열린 상태로 유지되는 시간입니다.
항목: MaxDatagramReplySize
유형: REG_DWORD
기본값: 1465(10진수, 바이트)
이 값은 TGS_REP 및 인증 서비스 회신(AS_REP) 메시지의 최대 UDP 패킷 크기입니다. 패킷 크기가 이 값을 초과하면 KDC는 클라이언트가 TCP로 전환하도록 요청하는 "KRB_ERR_RESPONSE_TOO_BIG" 메시지를 반환합니다.
참고
MaxDatagramReplySize를 늘리면 Kerberos UDP 패킷이 조각화될 가능성이 높아질 수 있습니다.
이 문제에 대한 자세한 내용은 Windows에서 UDP 대신 Kerberos가 TCP를 사용하도록 강제 적용하는 방법을 참조하세요.
항목: KdcExtraLogLevel
유형: REG_DWORD
기본값: 2
사용 가능한 값:
- 1(10진수) 또는 0x1(16진수): 보안 이벤트 로그에서 알 수 없는 SPN 오류를 감사합니다. 이벤트 ID 4769는 실패한 감사로 기록됩니다.
- 2(10진수) 또는 0x2(16진수): PKINIT 오류를 기록합니다. 그러면 KDC 경고 이벤트 ID 21(기본적으로 사용)이 시스템 이벤트 로그에 기록됩니다. PKINIT는 Kerberos의 초기 인증을 위한 공개 키 암호화를 위한 IETF(인터넷 엔지니어링 태스크 포스) 인터넷 초안입니다.
- 4(10진수) 또는 0x4(16진수): 모든 KDC 오류를 기록합니다. 그러면 KDC 이벤트 ID 24(U2U 필수 문제 예)가 시스템 이벤트 로그에 기록됩니다.
- 8(10진수) 또는 0x8(16진수): S4U2Self 티켓을 요청하는 사용자가 대상 사용자에 대한 충분한 액세스 권한이 없는 경우 시스템 로그에 KDC 경고 이벤트 ID 25를 기록합니다.
- 16(10진수) 또는 0x10(16진수): ETYPE(암호화 유형) 및 잘못된 옵션 오류에 대한 감사 이벤트를 기록합니다. 이 값은 KDC가 이벤트 로그 및 보안 이벤트 로그의 감사에 쓸 정보를 나타냅니다. 이벤트 ID 4769는 실패한 감사로 기록됩니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기