SQL Server 대한 Kerberos Configuration Manager 개요

적용 대상:  SQL Server

원래 KB 번호: 2985455

네트워크에서 Kerberos 구성이 잘못되면 Microsoft SQL Server 다양한 연결 오류가 발생할 수 있습니다. SQL Server 대한 Kerberos Configuration Manager SSRS(SQL Server, SQL Server Reporting Services) 및 에 영향을 주는 Kerberos 관련 연결 문제를 해결하는 데 도움이 되는 진단 도구입니다. SQL Server Analysis Services(SSAS). 이 문서에서는 Kerberos Configuration Manager 도구를 사용하는 방법과 도구의 출력을 해석하여 SQL Server 영향을 주는 Kerberos 문제를 해결하는 방법에 대한 정보를 제공합니다.

Kerberos Configuration Manager 함수

Kerberos Configuration Manager 다음 작업을 수행할 수 있습니다.

  • 서버에 설치된 OS, Microsoft SQL Server 인스턴스 및 Always On 가용성 그룹 수신기에 대한 정보를 수집합니다.
  • 서버의 모든 SPN(서비스 사용자 이름) 및 위임 구성을 보고합니다.
  • SPN 및 위임에서 잠재적인 문제를 식별합니다.
  • 잠재적인 SPN 문제를 해결합니다.

사용 시나리오

이 도구를 사용하면 다음과 같은 예외 문제를 해결할 수 있습니다.

  • 401

    참고: 이 오류 메시지는 HTTP 오류, SSRS 오류 및 기타 유사한 오류에 대한 것입니다.

  • SSPI 컨텍스트를 생성할 수 없음
  • 사용자 'NTAUTHORITY\ANONYMOUS LOGON'에 로그인하지 못했습니다.
  • 사용자 '(null)'이(가) 로그인하지 못했습니다.
  • 사용자에 대한 로그인 실패(비어 있음)

참고

문제 해결을 시작하기 전에 필수 구성 요소를 검토한 다음 일반 검사 목록을 통해 연결 관련 오류를 해결하는 것이 좋습니다.

참고

SQL Server 기반 컴퓨터에 대한 관리자 액세스 권한이 있는 경우 해당 컴퓨터에서 SQL 연결 설정 확인 도구를 실행한 다음 출력을 검토하여 SQL Server 인스턴스의 SPN 구성을 확인할 수도 있습니다.

도구 다운로드

이 도구는 Microsoft 다운로드 센터에서 다운로드할 수 있습니다.

microsoft Kerberos for SQL Server Configuration Manager

참고

SQL Server 기반 컴퓨터에 연결할 수 있는 도메인의 모든 컴퓨터에 도구를 다운로드하고 설치할 수 있습니다.

사용 권한

SQL, SSRS 및 SSAS에 영향을 주는 연결 문제를 해결하려면 해당 컴퓨터에 대한 관리 권한이 있는 도메인 사용자 계정을 사용하여 대상 컴퓨터(서비스를 호스팅하는 컴퓨터)에 연결합니다.

선택 사항: 도구를 사용하여 도구로 식별되는 SPN 문제를 해결하려면 도메인 계정에 유효성이 검사된 서비스 주체 이름 사용 권한이 있어야 합니다.

도구 사용

설치가 완료되면 설치 폴더로 이동하여 KerberosConfigMgr.exe 이진 파일을 시작합니다. 기본적으로 위치는 C:\Program Files\Microsoft\Kerberos Configuration Manager SQL Server.

관리자 또는 다른 사용자로 앱을 시작하는 방법에 대한 자세한 내용은 실행을 사용하여 관리자 권한으로 앱을 시작하는 방법을 참조하세요.

다음 옵션 중 하나를 사용하여 문제 해결을 시작합니다.

  • 원격 SQL Server 기반 컴퓨터에 연결하려면 서버 이름, 도메인 사용자 이름 및 암호에 적절한 값을 입력 합니다.

    참고

    Kerberos Configuration Manager 도구는 Windows API를 사용하여 SQL Server 컴퓨터의 Kerberos 구성에 대한 정보를 쿼리하고 표시합니다. 따라서 명명된 인스턴스에 대한 Kerberos 관련 문제를 해결하는 경우에도 항상 SQL Server 인스턴스를 호스트하는 컴퓨터의 이름을 입력합니다.

  • 로컬 서버에 연결하려면 연결을 선택하여 Kerberos 구성을 분석합니다. 이 경우 서버 이름, 도메인 사용자 이름 또는 암호를 지정할 필요가 없습니다.

    참고

    도구를 시작하는 계정은 로컬 관리자 계정이어야 합니다. 관리자 또는 다른 사용자로 앱을 시작하는 방법에 대한 자세한 내용은 실행을 사용하여 관리자 권한으로 앱을 시작하는 방법을 참조하세요.

연결이 성공하면 모든 관련 SPN이 다음 스크린샷에 표시됩니다.

Kerberos Configuration Manager 있는 세 탭 모두 보기의 스크린샷

이 스크린샷에서 UI에는 다음 탭이 있습니다.

  • 시스템: 사용자 정보 및 컴퓨터 정보를 표시합니다.

  • SPN: 대상 서버에서 발견되는 각 SQL Server 인스턴스에 대한 SPN(서비스 사용자 이름) 정보를 표시하고 필요한 SPN 및 해당 상태와 같은 세부 정보를 제공합니다.

  • 생성: 누락되고 구성된 SPN을 찾는 데 도움이 됩니다. SPN 생성 스크립트를 생성하는 데도 도움이 됩니다.

    1. 생성 을 선택합니다.
    2. 열리는 대화 상자에서 이름을 입력하고(이 경우 "generateSPNss"), 다른 이름으로 저장 형식Kerberos Config Mgr(.cmd) 파일로 설정한 다음 저장 을 선택합니다.

    CMD 파일의 이름을 제공하는 대화 상자입니다.

generateSPNss.cmd 파일이 만들어지고 명령 프롬프트에서 이 파일을 실행할 수 있습니다. generateSPNss.cmd 파일의 콘텐츠는 다음 예제와 유사합니다.

:: This script is generated by the Microsoft® SQL Server® Kerberos Configuration Manager tool.

:: The script may update the system information, SPN settings and Delegation configurations of a given server.

:: SPN and Delegation configuration updates require Windows Domain Administrator permission to execute.

:: A Domain Admin should review the configurations recommended by this tool and take appropriate actions to enable Kerberos authentication.

:: Please contact Microsoft Support if Kerberos connection problem persists.

:: The file is intended to be run in domain `<DomainName>.com`"

:: Corrections for MSSQLSvc/`<HostName>.<DomainName>.com` **SetSPN -s MSSQLSvc/`<HostName>`. `<DomainName>`.com UserName** 
  • SetSPN 을 사용하여 SQL Server 대한 서비스 계정 아래에 SPN을 만듭니다.

  • 수정 을 사용하여 문제를 해결하고 SPN을 추가합니다. 필요한 권한이 있는 경우에만 SPN을 추가할 수 있습니다. 수정 을 선택하면 다음 도구 설명이 표시됩니다.

    SPN을 추가하는 수정 옵션의 스크린샷.

    참고

    이 도구는 고정 포트가 있는 기본 인스턴스 및 명명된 인스턴스에 대해서만 수정생성 명령을 제공합니다. 동적 포트를 사용하는 명명된 인스턴스의 경우 동적 포트에서 정적 포트로 전환하거나 SQL 서비스가 시작될 때마다 SPN을 등록 및 등록 취소하는 데 필요한 권한을 서비스 계정에 제공하는 것이 좋습니다. 그렇지 않으면 서비스가 시작될 때마다 해당 SPN을 수동으로 등록 취소하고 다시 등록해야 합니다. 자세한 내용은 Kerberos 연결에 대한 서비스 주체 이름 등록을 참조하세요.

  • 위임: 위임 을 사용하여 위임에 대한 서비스 계정의 구성에 영향을 주는 문제를 식별합니다. 이는 연결된 서버 문제를 해결하는 데 특히 유용합니다. 예를 들어 SPN 체크 아웃이 괜찮지만 연결된 서버 쿼리에 영향을 주는 문제가 계속 발생하는 경우 서비스 계정이 자격 증명을 위임하도록 구성되지 않았음을 나타낼 수 있습니다. 자세한 내용은 위임을 위해 연결된 서버 구성의 온라인 설명서 항목을 참조하세요.

    위임 탭의 스크린샷.

Kerberos Configuration Manager 진단 해석 및 행동

상태 열을 참조하여 도구에서 진단을 검토합니다. 상태에 따라 적절한 단계에 따라 문제를 해결합니다.

  • 상태 - 양수

    추가 정보: 확인된 항목이 올바르게 구성되었습니다. 출력의 다음 항목으로 이동합니다.

    작업: 아무 작업도 필요하지 않습니다.

  • 상태 - 필수 SPN이 없습니다.

    추가 정보: Active Directory의 SQL Server 시작 계정에 대해 필수 SPN 열에 언급된 SPN(서비스 사용자 이름)이 없는 경우 이 상태가 보고됩니다.

    작업: 다음 단계에 따라 SPN 문제가 해결되었는지 확인합니다.

    1. [수정]을 선택하여 [경고] 대화 상자의 정보를 검토합니다.
    2. [예]를 선택하여 Active Directory에 누락된 SPN을 추가합니다.
    3. 도메인 계정에 Active Directory를 업데이트하는 데 필요한 권한이 있는 경우 필요한 SPN이 Active Directory에 추가됩니다.
    4. 도메인 계정에 Active Directory를 업데이트하는 데 필요한 권한이 없는 경우 생성 또는 모두 생성 을 사용하여 Active Directory 관리자가 누락된 SPN을 추가하는 데 도움이 되는 스크립트를 생성합니다.
    5. SPN이 추가된 후 Kerberos Configuration Manager 다시 실행하여 SPN 문제가 해결되었는지 확인합니다.
  • 상태 - Kerberos 구성을 사용하려면 TCP를 사용하도록 설정해야 합니다.

    추가 정보: 클라이언트 컴퓨터에서 TCP를 사용하도록 설정하지 않은 경우 이 상태가 표시됩니다.

    작업: 다음 단계에 따라 SQL Server 인스턴스에 대해 TCP/IP 프로토콜을 사용하도록 설정합니다.

    1. SQL Server 구성 관리자 - 콘솔 에서 SQL Server 네트워크 구성을 확장합니다.

    2. 콘솔 에서 프로토콜을 <instance name>선택합니다.

    3. 세부 정보 에서 TCP/IP****를 선택한 다음 사용을 선택합니다.

    4. 콘솔 에서 SQL Server 서비스를 선택합니다.

    5. 세부 정보 에서 SQL Server <instance name>선택합니다.

    6. 다시 시작을 선택하여 SQL Server 서비스를 중지하고 다시 시작합니다. 자세한 내용은 서버 네트워크 프로토콜 사용 또는 사용 안 함 섹션을 참조하세요.

  • 상태 - 동적 포트

    추가 정보: 이 상태는 동적 포트(기본 구성)를 사용하는 명명된 인스턴스에 대해 표시됩니다. Kerberos를 사용하여 SQL Server 연결해야 하는 환경에서는 정적 포트를 사용하도록 명명된 인스턴스를 설정하고 SPN을 등록할 때 해당 포트를 사용해야 합니다. 그렇지 않으면 다음에 명명된 인스턴스가 SPN이 등록된 포트가 아닌 새 포트에서 수신 대기를 시작할 때 Active Directory에 등록된 SPN이 무효화됩니다.

    참고

    이 권장 사항은 수동 SPN 등록에 의존하는 환경에만 적용됩니다.

    작업: 다음 단계에 따라 정적 포트를 사용하도록 SQL Server 인스턴스를 구성합니다.

    1. SQL Server 구성 관리자 - 콘솔 에서 SQL Server 네트워크 구성****을 확장하고 프로토콜<instance name>확장한 다음 TCP/IP 를 두 번 클릭합니다.
    2. TCP/IP 속성 에서 프로토콜 에서 모두 수신 대기 를 선택합니다.
    3. 모두 수신 대기 로 설정된 경우 IP 주소 로 전환하고 창 아래쪽으로 스크롤하여 IPAll 설정을 찾습니다.
    4. TCP 동적 포트 에서 현재 값을 삭제하고 TCP 포트 에 포트 번호를 입력합니다.
    5. 확인을 선택한 다음 SQL Server 인스턴스를 다시 시작합니다. 자세한 내용은 특정 TCP 포트에서 수신 대기하도록 서버 구성을 참조하세요.
    6. 모두 수신 대기아니요 로 설정된 경우 IP 주소로 전환하고 IP1 및 IP2 노드에 표시되는 모든 IP 주소를 확인합니다. 사용 으로 설정된 주소의 경우 TCP 동적 포트 에서 현재 값을 제거한 다음 TCP 포트 에서 값을 설정합니다.
    7. 확인을 선택한 다음 설정이 적용되도록 SQL Server 인스턴스를 다시 시작합니다. 자세한 내용은 특정 TCP 포트에서 수신 대기하도록 서버 구성을 참조하세요.
  • 상태 - 중복 SPN

    추가 정보: 동일한 SPN이 Active Directory의 다른 계정에 등록된 경우 이 시나리오가 발생할 수 있습니다.

    작업: Active Directory에 SPN을 추가하려면 다음 단계를 수행합니다.

    1. 수정을 선택합니다.

    2. 경고 대화 상자에서 정보를 선택합니다.

    3. [예]를 선택하여 Active Directory에 누락된 SPN을 추가합니다.

      • 도메인 계정에 Active Directory를 업데이트하는 데 필요한 권한이 있는 경우 잘못된 SPN이 삭제됩니다.

      • 도메인 계정에 Active Directory를 업데이트하는 데 필요한 권한이 없는 경우 생성 또는 모두 생성 을 사용하여 Active Directory 관리자에게 제공할 수 있는 필요한 스크립트를 생성하여 중복된 SPN을 제거합니다.

    4. SPN이 제거된 후 Kerberos Configuration Manager 다시 실행하여 SPN 문제가 해결되었는지 확인합니다.

    참고

    SQL Server 데이터베이스 엔진의 인스턴스가 시작되면 SQL Server SQL Server 서비스에 대한 SPN을 등록하려고 시도합니다. 인스턴스가 중지되면 SQL Server SPN 등록을 취소하려고 시도합니다. 이렇게 하려면 SQL Server 서비스 계정에 Active Directory의 적절한 권한이 필요합니다. 그러나 서비스 계정에 이러한 권한이 없는 경우 자동 SPN 등록이 발생하지 않으며, SQL 인스턴스에서 Kerberos 인증을 사용하도록 설정할 수 있도록 Active Directory 관리자와 협력하여 이러한 SPN을 등록해야 합니다. 자세한 내용은 Kerberos 연결에 대한 서비스 주체 이름 등록을 참조하세요.

    참고

    SQL이 클러스터된 환경에서는 SPN을 등록 취소하고 active Directory에 SPN을 다시 등록하는 데 SQL Server 온라인 상태가 되는 데 걸리는 시간보다 더 많은 시간이 걸릴 수 있으므로 SPN의 자동 등록은 권장되지 않습니다. SPN 등록이 정시에 발생하지 않으면 클러스터 관리자가 SQL Server 인스턴스에 연결할 수 없으므로 SQL Server 온라인 상태가 되지 않을 수 있습니다.

추가 옵션

명령줄에서 SPN 목록을 생성하려면 다음을 수행합니다.

  1. 명령줄로 이동합니다.

    참고

    SSRS에 영향을 주는 연결 문제를 해결하려면 관리 명령 프롬프트 창을 엽니다.

  2. KerberosConfigMgr.exe 들어 있는 폴더로 전환합니다.

  3. 를 입력합니다 KerberosConfigMgr.exe -q -l.

  4. 더 많은 명령줄 옵션을 보려면 .를 입력합니다 KerberosConfigMgr.exe -h.

서버의 Kerberos 구성 정보를 저장하려면 다음을 수행합니다.

  1. 대상 Windows 서버에 연결합니다.
  2. 저장 을 선택합니다.
  3. 파일을 저장할 위치를 지정합니다. 로컬 드라이브 또는 네트워크 공유에 있을 수 있습니다. 파일은 .xml 형식으로 저장됩니다.

저장된 파일에서 서버의 Kerberos 구성 정보를 보려면 다음을 수행합니다.

  1. 로드 를 선택합니다.
  2. Kerberos Configuration Manager 생성된 XML 파일을 엽니다.

이 도구의 로그 파일을 보려면 다음을 수행합니다.

기본적으로 애플리케이션 데이터 폴더에서 애플리케이션이 실행될 때마다 하나의 로그 파일( %APPDATA%\Microsoft\KerberosConfigMgr) 이 생성됩니다.

도움말을 보려면 다음 방법 중 일부를 사용합니다.

  • 마우스 포인터를 명령 위로 가져가 도구 설명을 생성합니다.
  • 명령 프롬프트에서 실행 KerberosConfigMgr.exe -h 합니다.
  • 도구 모음에서 도움말 단추를 선택합니다.

참고 항목