원래 KB 번호: 4501051
증상
네트워크 보안 설정을 수정한 후 오류가 발생합니다. 로컬 정책 또는 GPO를 통해 Kerberos 에 허용되는 암호화 유형을 기본값에서 다음 암호화 형식만 허용하는 값으로 구성합니다.
- AES128_HMAC_SHA1
- AES256_HMAC_SHA1
- 향후 암호화 유형
오류가 SharePoint ULS(유니버설 로깅 시스템) 로그에 기록되면 요청된 암호화 유형이 KDC에서 지원되지 않음을 나타냅니다. 이러한 오류를 트리거하는 작업에는 다음이 포함됩니다(이에 국한되지 않음).
- 중앙 관리의 서비스 계정 관리 페이지에 액세스
- 검색 관리 페이지에 액세스(검색 토폴로지 표시 안 됨)
- 검색 구성 변경
SharePoint ULS 로그에 기록된 기본 오류 메시지는 다음과 같습니다.
예외: System.ServiceModel.Security.SecurityNegotiationException: SSPI 호출에 실패했습니다. 내부 예외를 참조하세요.
---> System.Security.Authentication.AuthenticationException: SSPI에 대한 호출이 실패했습니다. 내부 예외를 참조하십시오.
>--- System.ComponentModel.Win32Exception: 요청된 암호화 유형은 KDC에서 지원되지 않습니다.
--- 내부 예외 스택 추적 끝 ---
Project Server 서비스 애플리케이션도 비슷한 메시지를 기록할 수 있습니다.
PWA:
https://<SharePoint>/<Site>, ServiceApp:PWA, User:i:0#.w|Domain\UserId,
PSI: Site <Guid>, 예외 System.ServiceModel에 대한 큐에 작업 알림을 보내지 못했습니다. Security.SecurityNegotiationException: SSPI 호출에 실패했습니다. 내부 예외를 참조하세요.
> system.Security.Authentication.AuthenticationException ---: SSPI 호출에 실패했습니다. 내부 예외를 참조하세요.
>--- System.ComponentModel.Win32Exception: 요청된 암호화 유형은 KDC에서 지원되지 않습니다.
사용자 프로필 서비스를 프로비전하는 동안 사용자 프로필 동기화 서비스를 시작할 수 없습니다.
중앙 관리에서 사용자 프로필 서비스를 시작할 때 서비스가 시작되고 즉시 중지됩니다. SharePoint ULS를 검사하면 시작 실패가 다음의 결과임을 나타냅니다.
"UserProfileApplication.SynchronizeMIIS: ILM을 구성하지 못했습니다. 다시 실행하려고 시도합니다.
예외: System.Security.SecurityException: 요청된 암호화 유형은 KDC에서 지원되지 않습니다."
다른 구성 요소는 요청된 암호화 유형이 KDC에서 지원되지 않음을 나타내는 오류 메시지를 작성할 수 있습니다.
원인
이 동작은 사용자 지정 로컬 정책 또는 그룹 정책과 Active Directory의 서비스 계정 속성 간의 충돌로 인해 발생합니다. 네트워크 보안 속성 설정을 구성할 때: 서버가 AES 암호화 유형 및 향후 암호화 유형만 지원하도록 Kerberos 에 허용되는 암호화 유형을 구성하면 서버는 Kerberos 티켓에서 이전 Kerberos 암호화 유형을 지원하지 않습니다. 또한 Active Directory에서 만든 사용자 계정 개체는 기본적으로 Kerberos AES 암호화를 지원하도록 구성되지 않습니다.
서버가 Kerberos에 AES 암호화 유형을 요구하도록 구성되었지만 Active Directory의 서비스 계정 속성이 AES 암호화를 지원하도록 업데이트되지 않은 경우 서버가 Kerberos 티켓에 대한 일반적인 암호화 유형을 협상할 수 없는 시나리오가 발생합니다.
해결
이 문제를 해결하려면 다음 단계를 따릅니다.
SharePoint 내에서 애플리케이션 풀 계정 및 서비스 계정으로 사용되는 모든 계정을 식별합니다.
Active Directory 사용자 및 컴퓨터 계정을 찾습니다.
속성을 선택합니다.
계정 탭을 선택합니다.
계정 옵션 섹션의 다음 옵션 중 하나 또는 둘 다 선택되어 있는지 확인합니다. 이렇게 하면 다음 사용자 개체에서 Kerberos AES 암호화를 지원할 수 있습니다.
- 이 계정은 Kerberos AES 128비트 암호화를 지원합니다.
- 이 계정은 Kerberos AES 256비트 암호화를 지원합니다.
서버에서
iisreset작업을 수행하고 수정된 서비스 계정의 컨텍스트에서 실행 중인 SharePoint 관련 서비스를 다시 시작합니다.
문제가 해결되지 않으면 SCCM에서 해결 방법을 시도해 보세요. "요청된 암호화 유형은 KDC에서 지원되지 않습니다." 보고서를 실행할 때 오류가 발생합니다.
자세한 정보
SharePoint 서버가 AES 암호화 유형 또는 최신 형식만 지원하도록 구성되어 있는지 확인하려면 다음을 수행합니다.
- 서버에서 로컬 보안 정책 편집기 (secpol.msc)를 시작합니다.
- 보안 설정>로컬 정책>보안 옵션을 확장합니다.
- 네트워크 보안 찾기 : Kerberos에 허용되는 암호화 유형을 구성합니다.
- 속성을 선택합니다.
다음 옵션만 선택한 경우:
- AES128_HMAC_SHA1
- AES256_HMAC_SHA1
- 향후 암호화 유형
그런 다음 SharePoint 서비스 및 애플리케이션 풀을 실행하는 데 사용되는 Active Directory 사용자 개체에서 Kerberos AES 암호화 지원을 사용하도록 설정해야 합니다.
다음 PowerShell 스크립트를 사용하여 SharePoint 서비스 계정을 식별하고 AES 암호화 유형을 지원하도록 구성되어 있는지 테스트할 수 있습니다.
Add-PSSnapin Microsoft.SharePoint.Powershell
$AES_128 = 0x8
$AES_256 = 0x10
$Separator="\"
$option = [System.StringSplitOptions]::RemoveEmptyEntries
Write-Host "Retrieving SharePoint Managed Accounts" -ForegroundColor White
$SharePointAccounts=""
$ManagedAccounts=Get-SPManagedAccount
foreach ($ManagedAccount in $ManagedAccounts)
{
Write-Host "Checking Account: "$ManagedAccount.Username
$temp=$ManagedAccount.Username
$samaccountName=$temp.Split($separator,2, $option)[1]
$userobj=([adsisearcher]"samAccountName=$samaccountName").FindOne()
$EncryptionTypes=$userobj.properties.Item('msds-supportedencryptiontypes')[0]
#$EncryptionTypes
$HexValue='{0:X}' -f $EncryptionTypes
if ($EncryptionTypes -band $AES_128)
{
Write-Host "Account Supports AES128 bit encryption " -ForegroundColor Green
}
Else
{
Write-Host "Account Does Not have AES128 bit encryption support enabled" -ForegroundColor Red
}
if ($EncryptionTypes -band $AES_256)
{
Write-Host "Account Supports AES256 bit encryption " -ForegroundColor Green
}
Else
{ Write-Host "Account Does Not have AES256 bit encryption support enabled" -ForegroundColor Red
}
}
====================== END SCRIPT ========================================================