Microsoft로 로그인
로그인하거나 계정을 만듭니다.
안녕하세요.
다른 계정을 선택합니다.
계정이 여러 개 있음
로그인할 계정을 선택합니다.

요약

2021년 11월 9일 릴리스된 CVE-2021-42282에 대한 Windows 업데이트는 AD(Active Directory)의 특성에 대한 다음 확인을 추가합니다.

  • UPN(사용자 주체 이름) 및 SPN (서비스 주체 이름) 고유성 (Windows 8, Windows Server 2012 및 이전 릴리스의 새 버전) 

  • SPN 별칭 고유성 (모든 버전에 Windows) 

사용자 주체 이름 및 서비스 주체 이름 고유성

이 기능은 SPNS가 포리스트에서 고유하다는 것을 보장하여 컴퓨터 및 도메인 컨트롤러가 중복 SPNS를 추가하지 못하게 합니다. 이 기능은 이미 Windows 8.1 에 SPN 및 UPN 고유성에 설명되어 있습니다.

SPN 별칭 고유성

기존 AD 특성은 CIFS, HTTP 및 RPC와 같은 서비스에 대해 동일한 HOST SPN에 대한 많은 일반적인 서비스 클래스에 대한 별칭을 정의합니다. AD 특성은 Active Directory 포리스트의 구성 명명 컨텍스트의 목록으로 정의됩니다. 관리자 권한이 없는 사용자는 이 별칭을 사용하여 암시적으로 다른 계정에 할당된 SPN을 다시 할당하지 않을 수 있습니다.

참고 이 확인은 UPN 및 SPN 고유성에 대한 확인 외에도 구현됩니다.

SPN 별칭 고유성 확인은 기본적으로 설정되어 있습니다. 일련의 문자로 해석되는 dSHeuristics 특성의 21st 문자를 수정하여 이러한 확인을 해제할 수 있습니다. dSHeuristics 특성은 기본적으로 존재하지 않지만 "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local"으로 추가할 수 있습니다. 가능한 설정 및 해당 비트 값은 다음과 같습니다:

  • 값 0 – 모두 적용(비트가 000으로 설정되지 않음) 기본값을 의미합니다.

  • 값 1 – UPN 고유성 확인 사용 안 함(비트 0 집합 - 001)을 의미합니다.

  • 값 2 - SPN 고유성 확인 사용 안 함(비트 1 집합 - 010)을 의미합니다.

  • 값 3 - UPN 고유성 및 SPN 고유성 확인 사용 안 함을 의미합니다. (비트 0 및 1 집합 - 011)

  • 값 4 - SPN 별칭 고유성 확인 사용 안 함(비트 2 집합 - 100)을 의미합니다.

  • 값 5 - SPN 별칭 및 UPN 고유성 확인 사용 안 함(비트 2 및 비트 0 집합 - 101)을 의미합니다.

  • 값 6 - SPN 별칭 및 SPN 고유성 사용 안 함(비트 2 및 비트 1 집합 - 110)을 의미합니다.

  • 값 7 - 모두 사용 안 함(모든 비트가 111로 설정됨)을 의미합니다.

예: 포리스트에서 다른 dSHeuristics 설정을 사용하도록 설정하지 않고 SPN 별칭 고유성 확인만 사용하지 않도록 설정하려는 경우 dSHeuristics 특성을 "000000000100000000024"

로 설정해야 합니다. 이 경우에 설정된 문자는 다음과
같습니다. 10번째 문자: dSHeuristics 특성이 10자
이상인 경우 1로 설정해야 합니다. 20번째 문자: dSHeuristics 특성이 20자
이상인 경우 2로 설정해야 합니다. 21st char: 위의 목록에서 값으로 설정해야 합니다. 값 4는 SPN 별칭 고유성 사용 안 함을 의미합니다.

참고 dSHeuristics 특성이 이미 설정된 경우 기존 설정을 새 dSHeuristics 특성 문자열에 병합하고 10번째, 20번째 및 21번째 문자가 위와 같이 설정되어 있는지 확인합니다. 이미 설정된 다른 문자는 변경되지 않은 상태로 유지되어야 합니다.

dSHeuristics 문자를 구성하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.

추가 정보

서비스 주체 이름은 무엇입니까?

SPN(서비스 주체 이름)은 서비스 인스턴스에 대한 고유 식별자입니다. Kerberos 인증은 SPNS를 사용하여 서비스 인스턴스를 서비스 로그인 계정과 연결합니다. 이렇게 하면 클라이언트 애플리케이션이 클라이언트에 계정 이름이 없는 경우에도 서비스가 계정을 인증할 수 있습니다. 자세한 내용은 서비스 주체 이름 을 참조하시기 바랍니다.

사용자 주체 이름은 무엇입니까?

UPN(사용자 주체 이름)은 인터넷 표준 RFC 822를 기반으로 하는 사용자의 전자 메일 스타일 로그인 이름입니다. 자세한 내용은 User-Principal-Name 특성을 참조합니다.

질문과 대답

Q1 계정에 중복 호스트 별칭 SPN을 등록해야 하는 경우 어떻게 하나요?

대답1 필요한 SPN을 관리자로 등록합니다.

Q2 SPN 또는 UPN 고유성을 해제하면 어떻게 하나요?

대답2 이 경우 권장되지 않습니다. SPNS가 고유하지 않은 경우 중복된 SPNS가 모두 등록되지 않은 것 같습니다. 중복 SPN을 등록하면 원래 SPN 등록을 등록하지 않은 효과와 동일합니다. UPNS가 고유하지 않은 경우 중복 UPNS를 사용하는 사용자 검색이 실패합니다.

Q3 SPN 별칭 고유성을 해제하면 어떻게 하나요?

대답3 이 경우 권장되지 않습니다. 관리자가 아닌 경우 기존 별칭 SPN의 해상도를 현재 해상도에서 관리자 권한 없는 컴퓨터로 변경할 수 있습니다. Kerberos가 제공하는 서버 인증이 호스트 SPN을 사용하는 원래 계정이 아닌 서비스에 대한 올바른 호스트로 새 계정을 수락하기 때문에 해당 컴퓨터는 해당 서비스 역할을 할 수 있습니다.

Q4 도메인 관리자는 네트워크에 이미 있는 중복 SPNS 또는 UPNS를 어떻게 찾을 수 있나요?

대답4 이는 도메인의 모든 SPNS 및 UPNS를 열고 중복을 찾기 위해 상관 관계가 있는 광범위한 스크립팅을 작성하지 않고는 실용적이지 않습니다.

Q5 도메인 컨트롤러 간에 업데이트되거나 불일치된 설정이 업데이트되지 않은 도메인 컨트롤러가 혼합되어 있는 경우 어떻게 하나요?

대답5 중복 UPNS 또는 SPNS로 인해 복제가 차단되지 않습니다. 따라서 업데이트가 없는 도메인 컨트롤러에서 중복 UPNS 또는 SPNS을 만든 경우 중복이 다른 도메인 컨트롤러에 복제될 수 있습니다.

Facebook LinkedIn 전자 메일
RSS 피드 구독

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

검색 커뮤니티

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.

Microsoft 365 구독 혜택

Microsoft 365 교육

Microsoft 보안

접근성 센터

커뮤니티를 통해 질문하고 답변하고, 피드백을 제공하고, 풍부한 지식을 갖춘 전문가의 의견을 들을 수 있습니다.

Microsoft 커뮤니티에 질문하기

Microsoft Tech Community

Windows 참가자

Microsoft 365 참가자

이 정보가 유용한가요?

언어 품질에 얼마나 만족하시나요?
사용 경험에 어떠한 영향을 주었나요?
제출을 누르면 피드백이 Microsoft 제품과 서비스를 개선하는 데 사용됩니다. IT 관리자는 이 데이터를 수집할 수 있습니다. 개인정보처리방침

의견 주셔서 감사합니다!

×