Kerberos용 DES를 사용하지 않도록 설정하면 KDC 이벤트 ID 16 또는 27이 기록됩니다.
이 문서에서는 Windows 7 및 Windows Server 2008 R2에서 Kerberos 인증에 DES 암호화를 사용하도록 설정하는 방법을 설명합니다.
적용 대상: Windows 7 서비스 팩 1, Windows Server 2008 R2 서비스 팩 1
원래 KB 번호: 977321
요약
Windows 7, Windows Server 2008 R2 및 이후의 모든 Windows 운영 체제부터 Kerberos 인증을 위한 DES(데이터 암호화 표준) 암호화를 사용할 수 없습니다. 이 문서에서는 DES 암호화를 사용할 수 없으므로 애플리케이션, 보안 및 시스템 로그에서 다음 이벤트를 수신할 수 있는 다양한 시나리오에 대해 설명합니다.
- KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
- KDCEVENT_NO_KEY_INTERSECTION_TGS
또한 이 문서에서는 Windows 7 및 Windows Server 2008 R2에서 Kerberos 인증에 DES 암호화를 사용하도록 설정하는 방법을 설명합니다. 자세한 내용은 이 문서의 "증상", "원인" 및 "해결 방법" 섹션을 참조하세요.
증상
다음 시나리오를 고려하세요.
- 서비스는 Windows 7 또는 Windows Server 2008 R2를 실행하는 컴퓨터에서 DES 암호화에 대해서만 구성된 사용자 계정 또는 컴퓨터 계정을 사용합니다.
- 서비스는 사용자 계정 또는 DES 암호화에 대해서만 구성되고 Windows Server 2008 R2 기반 도메인 컨트롤러와 함께 도메인에 있는 컴퓨터 계정을 사용합니다.
- Windows 7 또는 Windows Server 2008 R2를 실행하는 클라이언트는 DES 암호화 전용으로 구성된 사용자 계정 또는 컴퓨터 계정을 사용하여 서비스에 연결합니다.
- 트러스트 관계는 DES 암호화에 대해서만 구성되며 Windows Server 2008 R2를 실행하는 도메인 컨트롤러를 포함합니다.
- 애플리케이션 또는 서비스는 DES 암호화만 사용하도록 하드 코딩됩니다.
이러한 시나리오에서 Microsoft-Windows-Kerberos-Key-Distribution-Center 원본과 함께 애플리케이션, 보안 및 시스템 로그에서 다음 이벤트를 수신할 수 있습니다.
ID | 심볼 이름 | 메시지 |
---|---|---|
27 | KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS | 대상 서버 %1에 대한 TGS 요청을 처리하는 동안 계정 %2에 Kerberos 티켓을 생성하는 데 적합한 키가 없습니다(누락된 키의 ID는 %3). 요청된 etype은 %4입니다. 사용 가능한 etype 계정이 %5였습니다. 이벤트 ID 27 - KDC 암호화 유형 구성 |
16 | KDCEVENT_NO_KEY_INTERSECTION_TGS | 대상 서버 %1에 대한 TGS 요청을 처리하는 동안 계정 %2에 Kerberos 티켓을 생성하는 데 적합한 키가 없습니다(누락된 키의 ID는 %3). 요청된 etype은 %4입니다. 사용 가능한 etype 계정이 %5였습니다. %6의 암호를 변경하거나 재설정하면 적절한 키가 생성됩니다. 이벤트 ID 16 - Kerberos 키 무결성 |
원인
기본적으로 Kerberos에 대한 DES 암호화에 대한 보안 설정은 다음 컴퓨터에서 사용하지 않도록 설정됩니다.
- Windows 7을 실행하는 컴퓨터
- Windows Server 2008 R2를 실행하는 컴퓨터
- Windows Server 2008 R2를 실행하는 도메인 컨트롤러
참고 항목
Kerberos에 대한 암호화 지원은 Windows 7 및 Windows Server 2008 R2.By 기본값에 존재하며, Windows 7은 "암호화 유형" 및 "etypes"에 대해 다음과 같은 AES(고급 암호화 표준) 또는 RC4 암호 그룹을 사용합니다.
- AES256-CTS-HMAC-SHA1-96
- AES128-CTS-HMAC-SHA1-96
- RC4-HMAC
다음 조건이 충족되지 않는 한 DES 암호화에 대해서만 구성된 서비스는 실패합니다.
- 서비스는 RC4 암호화를 지원하거나 AES 암호화를 지원하도록 다시 구성됩니다.
- 서비스 계정의 도메인에 대한 모든 클라이언트 컴퓨터, 모든 서버 및 모든 도메인 컨트롤러는 DES 암호화를 지원하도록 구성됩니다.
기본적으로 Windows 7 및 Windows Server 2008 R2는 다음 암호 그룹을 지원합니다. 필요한 경우 DES-CBC-MD5 암호 그룹 및 DES-CBC-CRC 암호 그룹을 Windows 7에서 사용하도록 설정할 수 있습니다.
해결 방법
환경에서 DES 암호화가 여전히 필요한지 확인하거나 특정 서비스에 DES 암호화만 필요한지 확인하는 것이 좋습니다. 서비스에서 RC4 암호화 또는 AES 암호화를 사용할 수 있는지 확인하거나 공급업체에 더 강력한 암호화가 있는 인증 대안이 있는지 확인합니다.
Windows Server 2008 R2 기반 도메인 컨트롤러가 Windows Server 2003을 실행하는 도메인 컨트롤러에서 복제된 암호화 형식 정보를 올바르게 처리하려면 핫픽스 978055 필요합니다. 아래의 추가 정보 섹션을 참조하세요.
애플리케이션이 DES 암호화만 사용하도록 하드 코딩되었는지 여부를 확인합니다. 그러나 Windows 7을 실행하는 클라이언트 또는 KDC(키 배포 센터)의 기본 설정에 따라 사용하지 않도록 설정됩니다.
이 문제의 영향을 받는지 확인하려면 일부 네트워크 추적을 수집한 다음 다음 샘플 추적과 유사한 추적을 확인합니다.
프레임 1 {TCP:48, IPv4:47} <SRC IP><DEST IP> KerberosV5 KerberosV5:TGS 요청 영역: CONTOSO.COM 이름: HTTP/<호스트 이름>입니다.<FQDN>
프레임 2 {TCP:48, IPv4:47} <DEST IP><SRC IP> KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_ETYPE_NOSUPP (14)
0.0000000 {TCP:48, IPv4:47} <원본 IP<>대상 IP> KerberosV5 KerberosV5:TGS 요청 영역: <fqdn> Sname: HTTP/<hostname.<>fqdn>
-Etype:
+SequenceOfHeader:
+EType: aes256-cts-hmac-sha1-96 (18)
+EType: aes128-cts-hmac-sha1-96 (17)
+EType: rc4-hmac (23)
+EType: rc4-hmac-exp (24)
+EType: rc4 hmac old exp(0xff79)
+TagA:
+EncAuthorizationData:사용자 계정 또는 컴퓨터 계정이 DES 암호화에 대해서만 구성되었는지 여부를 확인합니다.
"Active Directory 사용자 및 컴퓨터" 스냅인에서 사용자 계정 속성을 연 다음 계정 탭에서 이 계정에 Kerberos DES 암호화 유형 사용 옵션이 설정되어 있는지 확인합니다.
이 문제의 영향을 받고 Kerberos 인증을 위해 DES 암호화 유형을 설정해야 하는 경우 다음 그룹 정책을 사용하도록 설정하여 Windows 7 또는 Windows Server 2008 R2를 실행하는 모든 컴퓨터에 DES 암호화 유형을 적용합니다.
GPMC(그룹 정책 관리 콘솔)에서 다음 위치를 찾습니다.
컴퓨터 구성\ Windows 설정\ 보안 설정\ 로컬 정책\ 보안 옵션
네트워크 보안을 선택하려면 클릭합니다. Kerberos 옵션에 허용되는 암호화 유형을 구성합니다.
이러한 정책 설정 정의와 암호화 유형에 대한 6개의 확인란을 모두 선택하려면 클릭합니다.
확인을 클릭합니다. GPMC를 닫습니다.
참고 항목
정책은 레지스트리 항목을 0x7FFFFFFF 값으로 설정합니다SupportedEncryptionTypes
. SupportedEncryptionTypes
레지스트리 항목은 다음 위치에 있습니다.
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
시나리오에 따라 도메인 수준에서 이 정책을 설정하여 Windows 7 또는 Windows Server 2008 R2를 실행하는 모든 클라이언트에 DES 암호화 유형을 적용해야 할 수 있습니다. 또는 Windows Server 2008 R2를 실행하는 도메인 컨트롤러에 대한 도메인 컨트롤러의 OU(조직 구성 단위)에서 이 정책을 설정해야 할 수도 있습니다.
자세한 정보
DES 전용 애플리케이션 호환성 문제는 다음 두 가지 구성에서 발생합니다.
- 호출 애플리케이션은 DES 암호화에 대해서만 하드 코딩됩니다.
- 서비스를 실행하는 계정은 DES 암호화만 사용하도록 구성됩니다.
Kerberos 인증이 작동하려면 다음 암호화 유형 조건을 충족해야 합니다.
- 클라이언트에서 인증자에 대한 도메인 컨트롤러와 클라이언트 사이에 공통 형식이 있습니다.
- 티켓을 암호화하기 위해 도메인 컨트롤러와 리소스 서버 사이에 공통 형식이 있습니다.
- 세션 키에 대한 클라이언트와 리소스 서버 사이에 공통 형식이 있습니다.
다음 상황을 고려하세요.
역할 | OS | Kerberos에 대해 지원되는 암호화 수준 |
---|---|---|
DC | Windows Server 2003 | RC4 및 DES |
클라이언트 | Windows 7 | AES 및 RC4 |
리소스 서버 | J2EE | DES |
이 경우 조건 1은 RC4 암호화에 의해 충족되고 조건 2는 DES 암호화에 의해 충족됩니다. 서버가 DES 전용이고 클라이언트가 DES를 지원하지 않기 때문에 세 번째 기준이 실패합니다.
도메인에서 다음 조건이 충족되는 경우 각 Windows Server 2008 R2 기반 도메인 컨트롤러에 핫픽스 978055 설치해야 합니다.
- 일부 DES 사용 사용자 또는 컴퓨터 계정이 있습니다.
- 동일한 도메인에는 Windows 2000 Server, Windows Server 2003 또는 Windows Server 2003 R2를 실행하는 하나 이상의 도메인 컨트롤러가 있습니다.
참고 항목
- Windows Server 2008 R2 기반 도메인 컨트롤러가 Windows Server 2003을 실행하는 도메인 컨트롤러에서 복제된 암호화 형식 정보를 올바르게 처리하려면 핫픽스 978055 필요합니다.
- Windows Server 2008 기반 도메인 컨트롤러에는 이 핫픽스가 필요하지 않습니다.
- 도메인에 Windows Server 2008 기반 도메인 컨트롤러만 있는 경우에는 이 핫픽스가 필요하지 않습니다.
추가 정보는 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 살펴봅니다.
978055 수정: Kerberos 인증 유형에 DES 암호화를 사용하는 사용자 계정은 Windows Server 2008 R2 도메인 컨트롤러가 도메인에 가입한 후 Windows Server 2003 도메인에서 인증할 수 없습니다.