요약
보안 업데이트 2638420(보안 공지 MS11-100에 설명)에서는 ASP.NET이 폼 인증 티켓을 만드는 방법을 변경합니다. 이러한 새 동작은 이전 동작과 호환되지 않습니다. 새 동작을 사용하여 생성된 티켓은 이전 동작을 사용하는 서버에서 읽을 수 없으며 그 반대의 경우도 마찬가지입니다. 따라서 폼 인증을 사용하는 응용 프로그램을 사용할 경우 보안 업데이트 2638420을 배포할 때 특정 단계를 수행하여 모든 서버에서 동시에 이러한 새 동작을 사용하도록 해야 합니다.
배포 지침
티켓 동작 변경 때문에 폼 인증을 사용하는 응용 프로그램의 관리자는 보안 업데이트 2638420을 배포할 때 특정 단계를 수행하여 모든 서버가 동시에 새 동작으로 전환되도록 해야 합니다.
응용 프로그램이 폼 인증을 사용하는지 여부를 확인하려면 System.web 파일을 검사합니다. 폼 인증을 사용하는 응용 프로그램은 System.web 파일의 다음 항목을 사용합니다.
<authentication mode="Forms">참고
-
기본 인증 모드는 "Windows"입니다.
-
ASP.NET은 폼 인증을 사용하도록 명시적으로 구성된 경우에만 폼 인증을 사용합니다.
폼 인증을 사용하는 응용 프로그램을 사용하는 경우에는 웹 사이트가 계속 제대로 작동되도록 하기 위해 다음 방법 중 하나를 사용하여 보안 업데이트 2638420을 배포해야 합니다.
방법 1
ASP.NET 웹 팜의 모든 활성 서버에서 동시에 보안 업데이트 2638420을 배포합니다. 이렇게 하려면 다음과 같이 하십시오.
-
부하 균형 조정 순환 주기에서 웹 팜의 서버 절반을 제거합니다.
-
해당 서버에 업데이트를 설치합니다.
-
나머지 서버를 동시에 오프라인으로 전환하는 동안 서버를 다시 순환 주기에 추가하여 업데이트되도록 합니다.
방법 2
웹 팜의 모든 서버에 보안 업데이트 2638420을 동시에 배포할 수는 없는 경우 대신 이 방법을 사용하십시오.
참고 이 방법은 권장되지 않습니다. 이 스위치를 설정할 때는 웹 팜의 일부 서버에 보안 업데이트를 설치하고 이전 동작을 사용하여 계속 작동할 수 있습니다. 그러나 이러한 구성 스위치를 사용하는 서버는 비보안 상태가 되며 보안 업데이트의 모든 픽스가 적용되지 않습니다. 따라서 보안 업데이트 2638420을 웹 팜의 모든 서버에 배포하자마자 새로운 보안 동작을 사용하기 위해 구성 스위치를 제거해야 합니다.
보안 업데이트 2638420을 설치하기 전에 Web.config 또는 Machine.config 파일의 호환성 스위치가 업데이트 설치 시 이전 동작을 강제로 적용하도록 설정하십시오. 이렇게 하려면 다음과 같이 하십시오.
-
메모장과 같은 텍스트 편집기를 사용하여 Web.config 파일 또는 Machine.config 파일을 엽니다.
-
파일에 다음 텍스트를 추가한 다음 파일을 저장합니다.
<appSettings>
<add key="aspnet:UseLegacyFormsAuthenticationTicketCompatibility" value="true" />
</appSettings>Web.config 또는 Machine.config 파일을 업데이트하고 저장한 후에 컴퓨터나 서비스를 다시 시작할 필요가 없습니다. 구성 변경 알림은 응용 프로그램 풀을 자동으로 순환합니다.
다음 위치에서 Web.config 파일을 찾을 수 있습니다.
.NET Framework 버전 4.0 ~ 4.5
C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\Web.config
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\Web.config .NET Framework 버전 2.0 – 3.5 SP1
C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\Web.config
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\Web.config 32비트 컴퓨터에는 Framework 폴더만 있습니다. 64비트 컴퓨터에서 Framework 및 Framework64 폴더가 모두 존재합니다. 따라서 CLR 2와 CLR 4가 실행되는 32비트 및 64비트 응용 프로그램 풀이 모두 있는 경우에는 이러한 네 개의 파일 모두에 해당 항목을 추가해야 합니다.
이러한 구성 파일에 <appSettings> 항목을 추가하면 변경 내용이 시스템 전체에 적용됩니다.
알려진 문제
-
보안 업데이트 2638420이 설치된 후에 티켓 암호 해독 실패
새 티켓 동작이 사용된 후에 이전 동작을 사용하여 생성된 모든 폼 인증 티켓은 무효화됩니다. 이 문제가 발생하면 최종 사용자가 로그오프되고 서버 관리자는 티켓 암호 해독 실패를 경험할 수 있습니다.
또한 이벤트 로그에 다음 오류 메시지가 로깅됩니다.로그 이름: 응용 프로그램
이벤트 ID: 1315
이벤트 코드: 4005
이벤트 메시지: 요청에 대한 폼 인증이 실패했습니다. 원인: 제공된 티켓이 유효하지 않습니다.
이러한 실패는 예기치 않은 동작을 유발할 수 있습니다. 예를 들어 웹 페이지가 <authorization> 요소로 보호되는 경우 "HTTP 401" 또는 "HTTP 302" 오류가 발생할 수 있습니다.
보안 업데이트 2638420을 설치한 후에 이전에 생성된 티켓이 만료되므로 관리자는 이러한 티켓 암호 해독 실패를 예상할 수 있습니다. 실패 횟수 및 빈도는 새 티켓이 생성되면서 줄어듭니다. 보안 업데이트가 설치된 후에 상당 기간 암호 해독이 계속 실패하면 웹 팜의 일부 서버가 여전히 이전 티켓 동작을 사용하고 있는 것임을 나타낼 수 있습니다. 예를 들어 다음과 같은 경우 이러한 문제가 발생할 수 있습니다.-
하나 이상의 서버가 보안 업데이트 2638420으로 업데이트되지 않았습니다.
-
하나 이상의 서버에 언급된 호환성 스위치 세트가 있습니다. 호환성 스위치는 이 문서 앞에 설명되어 있습니다.
-
추가 정보
TicketCompatibilityMode 구성 스위치가 더 이상 지원되지 않습니다.
보안 업데이트 2638420은 폼 인증 티켓 형식을 변경하므로 보안 업데이트 2638420이 설치되고 사용될 경우 <forms/ticketCompatibilityMode> 구성 스위치가 더 이상 지원되지 않습니다.
<forms/ticketCompatibilityMode> 구성 스위치에 대한 자세한 내용은 다음 MSDN 웹 사이트를 참조하십시오.
