Kerberos 인증 문제 해결 지침

이 가이드에서는 Kerberos 인증 문제를 해결할 때 따라야 하는 기본 개념을 제공합니다.

중요합니다

이 문서에서는 일반적인 지침을 제공합니다. 특정 구성에 대해 작동하려면 여기에 제시된 절차와 예제를 조정해야 할 수 있습니다.

문제 해결 검사 목록

Kerberos 프로토콜은 여러 인프라 구성 요소 및 서비스를 사용합니다. 이러한 구성 요소 또는 서비스를 사용할 수 없거나 작동하지 않는 경우 인증 문제가 발생할 수 있습니다.

1. 이벤트 및 로그 확인

이벤트 로그에서 문제의 표시를 확인합니다. 이벤트 뷰어를 사용하여 인증 작업에 관련된 시스템의 보안 및 시스템 로그를 검토합니다.

• 인증 클라이언트
• 대상 서버 또는 서비스
• 도메인 컨트롤러

특히 Kerberos 인증이나 그에 의존하는 서비스와 관련된 이벤트를 다음 출처에서 찾아보세요:

• Kerberos
• KDC(키 배포 센터)
• LSA(LsaSrv)
• Netlogon

대상 서버에서 보안 로그에서 오류 감사를 확인합니다. 이러한 오류는 인증 오류가 발생할 때 Kerberos 프로토콜이 사용됨을 나타낼 수 있습니다.

일부 이벤트 또는 오류는 특정 문제를 나타냅니다. 영향을 받는 컴퓨터 중 하나라도 다음 이벤트 또는 오류를 기록한 경우 링크를 선택하여 자세한 문제 해결 정보를 확인합니다.

이벤트 또는 오류	문제 해결 정보
이벤트 ID 4, 오류 KERB_AP_ERR_MODIFIED	클라이언트에서 서비스 티켓의 암호를 해독할 수 없습니다. 두 개 이상의 문제로 인해 이 오류가 발생할 수 있으므로 관련 이벤트를 확인합니다. 예를 들어 이 문자열은 클라이언트와 대상 서버 클록이 동기화되지 않았거나 SPN이 고유하지 않음을 의미할 수 있습니다. 다중 도메인 환경에서 서비스 계정 이름은 포리스트(또는 다른 신뢰할 수 있는 포리스트)에서 고유하지 않을 수 있습니다. 자세한 내용은 Kerberos 클라이언트가 서버에서 KRB_AP_ERR_MODIFIED 오류를 수신한 경우 및 Kerberos에서 KDC_ERR_S_PRINCIPAL_UNKNOWN 또는 KDC_ERR_PRINCIPAL_NOT_UNIQUE 오류가 생성되는 경우를 참조하세요.
이벤트 ID 4, 오류 KERB_AP_ERR_SKEW	컴퓨터 시계가 동기화되었는지 확인합니다.
이벤트 ID 14	신뢰할 수 있는 도메인의 리소스에 액세스할 때 "지원되지 않는 etype" 오류
이벤트 ID 16 또는 이벤트 ID 27	Kerberos용 DES를 사용하지 않도록 설정하면 KDC 이벤트 ID 16 또는 27이 기록됩니다. Windows Server 2003 도메인 컨트롤러의 이벤트 ID 27KDC 오류
오류 1069	SPN 잘못 설정하여 서비스 로그온 실패
이벤트 ID 5719, 오류 1311 또는 오류 1355	이벤트 ID 5719, 오류 1311 또는 오류 1355 - 도메인 컨트롤러 또는 도메인을 찾을 수 없음

해결 방법을 알고 있는 문제를 확인하는 경우 먼저 해당 문제를 해결한 다음 계속하기 전에 다시 인증을 시도합니다.

2. 인프라 확인

a. 클라이언트 앱과 대상 서비스가 동일한 컴퓨터에 있지 않은지 확인합니다.

기본적으로 클라이언트 앱과 대상 서비스가 단일 컴퓨터에 설치되어 있으면 Kerberos를 사용할 수 없습니다. 클라이언트 애플리케이션과 대상 서비스를 별도의 컴퓨터에 설치할 수 없는 경우 Windows에서 특정 보안 관련 설정을 변경해야 합니다. 또한 레지스트리 키를 변경해야 할 수도 있습니다. 이 시나리오와 관련된 문제 및 이 시나리오에 영향을 주는 특정 설정에 대한 자세한 내용은 로컬로 서버에 액세스하려고 할 때 오류 메시지를 참조하세요.

변경한 경우 계속하기 전에 다시 인증해 보세요.

b. 클라이언트 컴퓨터, 대상 서버 및 리소스 서버가 적절한 도메인에 가입되어 있는지 확인합니다.

필요한 경우 클라이언트 컴퓨터 또는 대상 서버를 적절한 도메인에 조인합니다. 그런 다음 인증을 다시 시도합니다.

참고 항목

이 컨텍스트에서 "적절한 도메인"은 단일 포리스트 내 또는 트러스트 관계가 있는 포리스트 집합 내의 도메인입니다.

다. 대상 서버 및 해당 지원 서비스의 상태 확인

애플리케이션 또는 프런트 엔드 서비스(예: 웹 서비스) 및 백 엔드 서비스(예: SQL Server 서비스)가 실행되고 있는지 확인합니다.

참고 항목

"서비스에서 오류 1069를 생성했습니다. 로그온 실패로 인해 서비스가 시작되지 않았습니다."라는 메시지가 표시될 수 있습니다. 이 메시지가 표시되면 잘못된 SPN 설정으로 인해 서비스 로그온 실패를 참조하세요.

다. 올바른 포트를 사용할 수 있는지 확인합니다.

클라이언트 컴퓨터, 도메인 컨트롤러 및 대상 서버 간의 모든 방화벽(각 컴퓨터의 Windows 방화벽 포함)을 확인합니다. 다음 포트에서 트래픽이 허용되는지 확인합니다.

참고 항목

이 목록은 server:client 포트,서버 포트 형식을 사용합니다.

• DHCP: 67(UDP), 67(UDP)
• DNS: 49152 -65535(TCP, UDP), 53(TCP, UDP)
• 인증서 기반 인증을 포함한 HTTPS: 443(TCP), 443(TCP)
• Kerberos: 49152 -65535(TCP, UDP), 88(TCP, UDP)
• Kerberos 암호 변경: 49152 -65535(TCP), 464(TCP, UDP)
• DC 로케이터를 포함한 LDAP: 49152 -65535(TCP, UDP), 389(TCP, UDP)
• LDAP SSL: 49152 -65535(TCP), 636(TCP)
• SMB: 49152 -65535(TCP, UDP), 445(TCP)
• RPC 엔드포인트 매퍼: 49152 -65535(TCP), 135(TCP)
• LSA용 RPC, SAM, NetLogon: 49152 -65535(TCP), 49152-65535(TCP)
• W32Time: 49152 -65535(UDP), 123(UDP)

방화벽 설정을 변경하는 경우 다시 인증을 시도합니다.

이. 도메인 컨트롤러를 사용할 수 있는지 확인

클라이언트가 서비스 또는 애플리케이션("대상 서버"라고 함)에 연결하려고 하면 클라이언트와 대상 서버 모두 인증, 권한 부여 및 위임을 용이하게 하기 위해 도메인 컨트롤러가 필요합니다.

클라이언트 컴퓨터에서 관리자 권한 명령 프롬프트 창을 열고 다음 명령을 실행합니다.

nltest /dsgetdc:<DomainName> /force /kdc

참고 항목

이 명령 <에서 DomainName> 은 쿼리할 컴퓨터의 도메인 이름을 나타냅니다.

이 nltest 명령은 사용 가능한 도메인 컨트롤러 목록을 검색합니다(목록에 사용 가능한 도메인 컨트롤러가 모두 포함되지는 않을 수도 있음). 이후 절차에서 사용하기 위해 이러한 도메인 컨트롤러의 정규화된 도메인 이름 및 IP 주소를 기록합니다.

클라이언트 또는 대상 서버가 도메인 컨트롤러에 연결할 수 없는 경우 다음과 유사한 메시지가 표시됩니다(때로는 "오류 1355"라는 레이블이 지정됨).

지정한 도메인이 존재하지 않거나 연결할 수 없습니다.

이 메시지를 받으면, 이벤트 ID 5719, 오류 1311, 또는 오류 1355 - 도메인 컨트롤러 또는 도메인을 찾을 수 없음 항목을 참고하여 자세한 문제 해결 정보를 확인하세요. 그렇지 않으면 이 검사 목록을 계속 진행합니다.

에프. DNS가 클라이언트와 대상 서버 간에 작동하는지 확인합니다.

클라이언트 컴퓨터에서 관리 명령 프롬프트 창을 열고 다음 명령을 실행합니다.

nslookup <TargetName>

참고 항목

이 명령 <에서 TargetName> 은 대상 서버의 NetBIOS 이름을 나타냅니다.

명령이 nslookup 대상 서버 이름을 올바르게 확인하면 DNS 구성이 올바릅니다. 명령이 대상 서버 이름을 확인하지 않는 경우 다음 단계에 따라 클라이언트 컴퓨터의 네트워크 어댑터 구성을 확인합니다.

1. 클라이언트 컴퓨터에서 다음 명령을 실행합니다.

   ipconfig /all
   

2. 명령 출력에서 사용 중인 네트워크 어댑터를 결정합니다. 다음 어댑터 설정을 확인합니다.

   • 클라이언트 IP 주소

   • 서브넷 마스크

   • 기본 게이트웨이

   • 연결별 DNS 접미사

   • DNS 서버 IP 주소

     IP 주소를 기록하고 기본 설정되는 DNS 서버와 보조 서버를 기록해 둡니다. 이 정보는 나중에 문제를 해결하는 데 유용합니다.

   이러한 설정 중 하나라도 올바르지 않으면 수정하거나 DNS 관리자에게 문의하여 도움을 요청하세요. 변경한 경우 다시 실행 nslookup <TargetName> 합니다.

DNS가 여전히 제대로 작동하지 않는 경우 다음 단계를 수행합니다.

1. 클라이언트 컴퓨터에서 다음 명령을 실행합니다.

   nslookup <ClientName> <DNSIPAddress>
   

   참고 항목

   이 명령 <에서 ClientName> 은 클라이언트 컴퓨터의 NetBIOS 이름을 나타내고 <DNSIPAddress> 는 클라이언트가 사용하도록 구성된 DNS 서버의 IP 주소를 나타냅니다. 먼저 이전 절차에서 기록한 기본 DNS 서버의 IP 주소를 사용합니다. 명령이 작동하지 않는 경우 클라이언트의 보조 DNS 서버의 IP 주소를 사용하여 다시 시도합니다.

   예를 들어 클라이언트 컴퓨터의 이름이 "client1"이고 클라이언트가 선호하는 DNS 서버의 IP 주소가 10.0.0.1인 경우 다음 명령을 실행합니다.

   nslookup client1 10.0.0.1
   

2. 대상 서버에서 동일한 명령을 실행합니다. 이제 다음 명령과 유사합니다.

   nslookup <TargetName> <DNSIPAddress>
   

   참고 항목

   이 명령 <에서 TargetName> 은 대상 서버의 NetBIOS 이름을 나타내고 <DNSIPAddress> 는 대상 서버가 사용하도록 구성된 DNS 서버의 IP 주소를 나타냅니다. 먼저 이전 절차에서 기록한 기본 DNS 서버의 IP 주소를 사용합니다. 명령을 처음 실행할 때 명령이 작동하지 않는 경우 대상 서버의 보조 DNS 서버의 IP 주소를 사용하여 다시 시도합니다.

   예를 들어 대상 서버의 이름이 "WebServer1"이고 대상 서버의 기본 DNS 서버 IP 주소가 10.0.0.1인 경우 다음 명령을 실행합니다.

   nslookup WebServer1 10.0.0.1
   

   다음 표에는 쿼리의 nslookup 가능한 결과 및 해당 의미가 요약되어 있습니다.

   	대상 쿼리 성공	대상 쿼리 실패
   클라이언트 쿼리 성공	DNS 문제 없음	대상 또는 하나 이상의 DNS 서버에 영향을 주는 문제
   클라이언트 쿼리 실패	클라이언트 또는 하나 이상의 DNS 서버에 영향을 주는 문제	하나 이상의 DNS 서버에 영향을 주는 문제

쿼리 결과에 DNS 문제가 있음을 나타내는 경우 다음 문서를 참조하여 자세한 도움말을 확인하세요.

• DNS(도메인 이름 시스템) 문제 해결
• DNS 클라이언트 문제 해결
• DNS 서버 문제 해결

DNS 문제를 해결했지만 Kerberos 문제가 남아 있는 경우 다음 문제 해결 방법을 시도해 보세요.

그램 (g) 컴퓨터 시계가 동기화되었는지 확인합니다.

클라이언트 컴퓨터 또는 대상 서버는 나중에 사용할 티켓을 캐시할 수 있습니다. 그러나 각 티켓에는 수명을 결정하는 타임스탬프가 있습니다. 도메인 컨트롤러에서 실행되는 Kerberos 키 배포 센터 서비스는 타임스탬프를 설정합니다.

도메인 컨트롤러와 클라이언트 컴퓨터 또는 대상 서버 간의 시간 차이는 5분 미만이어야 합니다. 일반적으로 시계가 동기화되지 않으면 Windows에서 자동으로 다시 동기화할 수 있습니다. 다음 두 가지 경우 작업을 수행해야 할 수 있습니다.

• 시계가 48시간 이상 동기화되지 않습니다.
• 동기화되지 않은 클록은 도메인의 도메인 컨트롤러를 시간 서버로 사용하지 않거나 해당 도메인 컨트롤러와 동일한 시간 서버를 사용하지 않습니다.

이 문제를 해결하려면 영향을 받는 컴퓨터가 시간 서버에 대한 네트워크를 다시 검사한 다음 자체 클록을 다시 동기화해야 합니다. 이러한 작업을 사용하도록 설정하려면 관리 명령 프롬프트 창을 열고 다음 명령을 실행합니다.

w32tm /resync /computer:<Target> /rediscover

참고 항목

이 명령 <에서 대상> 은 구성 중인 컴퓨터를 나타냅니다. 이 /rediscover 옵션은 컴퓨터가 네트워크에서 새로운 또는 업데이트된 시간 소스를 확인하도록 지시합니다.

명령에 사용할 수 있는 옵션에 대한 w32tm 자세한 내용은 Windows 시간 서비스 도구 및 설정: W32Time에 대한 명령줄 매개 변수를 참조하세요.

클록을 다시 동기화하는 경우 다시 인증해 보세요.

ㅎ. Windows 업데이트 상태 확인

모든 도메인 컨트롤러, 클라이언트 컴퓨터 및 대상 서버에 모두 관련 Windows 업데이트가 있는지 확인합니다.

업데이트를 설치한 경우 영향을 받는 컴퓨터를 다시 시작한 다음 다시 인증을 시도합니다.

(i) 애플리케이션 업데이트 상태 확인

클라이언트 컴퓨터와 대상 서버에서 클라이언트 및 서버 애플리케이션이 최신 상태인지 확인합니다. 업데이트를 설치하는 경우 영향을 받는 컴퓨터를 다시 시작한 다음 다시 인증을 시도합니다.

j. 컴퓨터 다시 시작

클라이언트 컴퓨터, 대상 서버 또는 도메인 컨트롤러를 아직 다시 시작하지 않은 경우 지금 다시 시작합니다. 컴퓨터가 다시 시작되면 다시 인증을 시도합니다.

인프라가 정상이고 여전히 문제가 있는 경우 고급 문제 해결 절차를 계속 진행합니다.

3. 추적 및 티켓 데이터 수집

다음 절차에서는 무료 네트워크 모니터 도구를 사용합니다. 클라이언트 컴퓨터와 대상 서버 모두에서 도구를 다운로드하고 설치합니다. 네트워크 모니터를 사용하여 추적 데이터를 수집하고 Kerberos 메시지를 식별하는 방법의 예는 네트워크 캡처의 Kerberos 오류를 참조하세요.

a. 동시 네트워크 추적 수집

클라이언트 컴퓨터에서 다음 단계를 수행합니다.

1. 다음 작업 중 하나를 수행합니다.

   • 고객 컴퓨터를 다시 시작합니다.
   • 문제를 해결하는 데 사용하는 계정에서 로그아웃한 다음 다시 로그인합니다.
   • 클라이언트 애플리케이션을 닫은 다음 다시 엽니다.

2. 추적을 시작합니다. 이를 수행하려면 다음 단계를 따르십시오:

   1. 시작을 선택한 다음, netmon을 입력합니다.
   2. 검색 결과에서 Microsoft 네트워크 모니터 3.4를 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 선택합니다(사용자 계정 컨트롤 창에서 예 선택).
   3. 네트워크 모니터에서 시작을 선택합니다.

3. 관리 명령 프롬프트 창을 열고 다음 명령을 순서대로 실행합니다.

   ipconfig /flushdns
   nbtstat -RR
   klist purge
   klist -li 0x3e7 purge
   

대상 서버에서 다음 단계를 수행합니다.

1. 관리자 권한으로 네트워크 모니터를 열고 시작을 선택합니다.

2. 관리 명령 프롬프트 창을 열고 다음 명령을 순서대로 실행합니다.

   ipconfig /flushdns
   nbtstat -RR
   klist purge
   klist -li 0x3e7 purge
   

문제를 재현한 다음 클라이언트 컴퓨터와 대상 서버 모두에서 추적을 중지하고 저장합니다. 이렇게 하려면 네트워크 모니터에서 중지를 선택한 다음 다른 이름으로 저장을 선택합니다.

b. 티켓 정보 기록

문제를 재현하고 추적을 중지한 후, 추적 데이터를 기록하는 중에 생성된 Kerberos 티켓을 확인하세요. 클라이언트 컴퓨터 및 대상 서버의 명령 프롬프트에서 다음 명령을 실행합니다.

klist tickets

이 명령은 티켓 목록을 생성합니다. 나중에 문제 해결 절차에서 사용할 수 있도록 이 정보를 다른 응용 프로그램(예: 메모장)에 복사할 수 있습니다.

4. Kerberos 메시지에 대한 추적 데이터 확인

네트워크 모니터를 사용하여 캡처 파일에서 데이터를 검토, 필터링 및 검색할 수 있습니다. 특히 "KerberosV5"를 사용하여 레이블이 지정된 이벤트를 찾습니다. 이러한 이벤트는 상태 정보를 제공합니다. 또한 연결한 도메인 컨트롤러의 이름 또는 IP 주소와 클라이언트가 도달하려고 시도한 서비스의 SPN(서비스 사용자 이름)을 나열할 수도 있습니다.

다음과 유사한 문자열을 포함하는 이벤트 설명은 일반적인 Kerberos 함수의 일부입니다.

• KerberosV5:KRB_Error -KDC_ERR_PREAUTH_REQUIRED
• KerberosV5:AS 요청
• KerberosV5:AS 응답
• KerberosV5:TGS 요청
• KerberosV5:TGS 응답
• KerberosV5:AP 요청
• KerberosV5:AP 응답

참고 항목

네트워크 모니터를 사용하여 HTTP GET 요청의 티켓 정보에 대한 추적 데이터를 확인할 수도 있습니다. GET 요청에 티켓 정보가 누락된 경우 Kerberos 인증을 사용하는 데 문제가 있습니다.

다음과 유사한 문자열이 포함된 이벤트 설명은 문제가 있음을 의미합니다. 다음 목록에는 가장 일반적인 오류 중 일부가 포함되어 있습니다. 이러한 문자열 중 하나가 표시되면 나중에 사용할 수 있는 서버 이름, IP 주소 및 SPN을 기록해 둡니다.

• KDC_ERR_PRINCIPAL_NOT_UNIQUE 또는 KDC_ERR_S_PRINCIPAL_UNKNOWN. 요청된 SPN이 둘 이상의 계정과 연결되었거나 계정과 연결되지 않았습니다. 이러한 문제 중 하나를 해결하는 데 도움이 필요하면 KDC_ERR_S_PRINCIPAL_UNKNOWN 또는 KDC_ERR_PRINCIPAL_NOT_UNIQUE 오류 생성에 대한 Kerberos 도움말을 보세요.

• KRB_AP_ERR_MODIFIED. 클라이언트에서 서비스 티켓의 암호를 해독할 수 없습니다. 두 개 이상의 문제로 인해 이 오류가 발생할 수 있습니다. KRB_AP_ERR_MODIFIED 함께 제공되는 다른 오류에 대한 추적 데이터를 검토합니다. 1에 설명된 대로 이벤트 로그에서 이벤트 ID 4 및 기타 관련 이벤트를 확인합니다 . 이벤트 및 로그를 확인합니다.

• ERB_AP_ERR_SKEW. 클라이언트 및 대상 서버 클록이 동기화되지 않습니다. 자세한 내용은 컴퓨터 시계가 동기화되었는지 확인하세요.

• KDC_ERR_ETYPE_NOTSUPP. 인증에 관련된 하나 이상의 구성 요소는 다른 구성 요소에 대해 사용하지 않도록 설정된 암호화 유형을 사용합니다. 1에 설명된 대로 어떤 구성 요소와 어떤 암호화 유형이 관련되어 있는지에 대한 자세한 내용은 이벤트 로그를 확인합니다 . 이벤트 및 로그를 확인합니다.

일반적인 문제 및 솔루션

HTTP 400 - 잘못된 요청(요청 헤더가 너무 깁니다) 문제

사용자가 많은 수의 그룹(예: 1,000개 이상의 그룹)에 속하는 경우 Kerberos는 요청을 올바르게 처리하지 않으므로 사용자 액세스를 거부할 수 있습니다. 이 문제에 대한 자세한 내용은 다음 문서를 참조하세요.

• 사용자가 여러 그룹에 속하는 경우 Kerberos 인증 문제

• 1,010개 이상의 그룹의 구성원인 사용자 계정에 대한 로깅은 Windows Server 기반 컴퓨터에서 실패할 수 있습니다.

서비스 문제

서비스 문제는 일반적으로 SPN 및 서비스 계정을 포함합니다. 예를 들어 SPN이 올바르지 않거나, 누락되거나, 잘못된 계정에 구성되거나, 둘 이상의 계정에 구성될 수 있습니다. 이 문서의 문제 해결 검사 목록 a. 이 문서의 앞부 분에 있는 동시 네트워크 추적을 수집합니다 . 일반적인 SPN 문제를 이미 결정한 경우 다음 문서를 참조하세요.

• Kerberos는 KDC_ERR_S_PRINCIPAL_UNKNOWN 또는 KDC_ERR_PRINCIPAL_NOT_UNIQUE 오류를 생성합니다.

• SPN잘못 설정하여 서비스 로그온이 실패합니다.

• kerberos 클라이언트가 서버에서 KRB_AP_ERR_MODIFIED 오류를 수신했습니다.

SSO(Single Sign-On) 문제

Single Sign-On은 사용자가 하나의 자격 증명 집합을 사용하여 단일 인트라넷 내의 여러 시스템 또는 애플리케이션에 로그인할 수 있는 인증 방법입니다. 올바르게 작동하려면 대상 서비스(또는 대상 서비스의 프런트 엔드 구성 요소) 및 클라이언트 모두에 올바른 설정이 있어야 합니다. 이러한 설정을 해결하는 방법에 대한 자세한 내용은 Kerberos Single Sign-On 문제 해결을 참조하세요.

위임 문제

대상 서비스에 별도의 프런트 엔드 및 백 엔드 구성 요소가 있는 경우 Kerberos는 클라이언트 자격 증명(액세스 권한 포함)을 서비스 계정에 위임할 수 있습니다. 간단히 말하면 클라이언트는 프런트 엔드 서비스에 액세스한 다음 프런트 엔드 서비스가 클라이언트를 대신하여 백 엔드 서비스에 액세스합니다.

Kerberos는 다음 세 가지 유형의 위임을 지원합니다.

• 제한되지 않은 위임입니다. 클라이언트가 프런트 엔드 서비스에 액세스한 후 프런트 엔드 서비스는 클라이언트를 대신하여 다른 서비스에 액세스할 수 있습니다. 이 구성은 구현하기 가장 쉽지만 가장 안전하지도 않습니다. 인증된 계정이 상호 작용할 수 있는 서비스를 제한하지 않으므로 제한되지 않은 위임을 권장하지 않는 것이 좋습니다.
• 제한된 위임입니다. 프런트 엔드 서비스는 클라이언트를 대신하여 액세스할 수 있는 서비스 목록을 유지 관리합니다.
• RBCD(리소스 기반 제한 위임). 백 엔드 서비스는 클라이언트를 대신하여 백 엔드 서비스에 대한 액세스를 요청할 수 있는 프런트 엔드 서비스의 허용 목록을 유지 관리합니다.

참고 항목

CIFS와 함께 제한된 위임을 사용할 때 문제가 발생하는 경우 ACCESS_DENIED 오류와 함께 CIFS에 대한 제한된 위임 실패를 참조하세요.

중요합니다

• 동일한 프런트 엔드 및 백 엔드 서버 집합에서 제한된 위임 및 RBCD를 구성하지 마세요.

  제한된 위임 및 RBCD는 서로 다른 구성이며 상호 배타적입니다. 프런트 엔드 서비스가 백 엔드 서비스에 대한 티켓을 요청하면 KDC는 먼저 프런트 엔드 서비스에서 제한된 위임을 확인합니다. 프런트 엔드 서비스에 대해 제한된 위임이 구성되지 않은 경우 KDC는 리소스 기반 제한 위임에 대해 백 엔드 서비스를 확인합니다. 이 시퀀스 때문에 제한된 위임이 리소스 기반 위임보다 우선합니다.

• 기본적으로 Microsoft Edge는 제약이 없는 위임을 지원하지 않습니다. 제한되지 않은 위임을 사용하는 경우 필요한 구성에 대한 자세한 내용은 Microsoft Edge(Chromium)를 사용한 Kerberos 제한 없는 이중 홉 인증 을 참조하세요.

• 인증된 계정이 상호 작용할 수 있는 서비스를 제한하지 않으므로 제한되지 않은 위임은 권장되지 않습니다.

지원되는 토폴로지 유형

다양한 위임 유형은 토폴로지에서 서로 다른 요구 사항을 배치합니다. 다음 표에서는 세 가지 일반적인 토폴로지 유형과 각 형식에 대해 지원되는 위임 유형(있는 경우)을 나열합니다.

토폴로지 유형	제한되지 않는 위임	제한된 위임	RBCD
모든 서비스는 단일 도메인에 상주합니다.	지원됨(권장되지 않음)	지원됨	지원됨
프런트 엔드 및 백 엔드 서비스는 서로 다른 도메인에 상주합니다.	지원됨(권장되지 않음)	지원되지 않음	지원됨
프런트 엔드 및 백 엔드 서비스는 서로 다른(신뢰할 수 있는) 포리스트에 상주합니다.	지원됨* (권장되지 않음)	지원되지 않음	지원*

^* 프런트 엔드 서비스의 서비스 계정이 신뢰할 수 있는 도메인 컨트롤러를 사용하여 트러스트 전체에서 인증할 수 있는지 확인합니다.

특정 위임 유형 문제 해결

위임에 대한 구성 세부 정보는 사용 중인 위임 유형 및 프런트 엔드 서비스에서 사용하는 계정 유형에 따라 다릅니다. 위임 문제를 추가로 해결하려면 다음 문서를 적절하게 참조하세요.

• 기본 제공 서비스 계정을 사용하는 경우 Kerberos 제한 위임 문제 해결
• 기본 제공 서비스 계정을 사용하는 경우 Kerberos RBCD 문제 해결
• 사용자 지정 서비스 계정을 사용하는 경우 Kerberos 제한 위임 문제 해결
• 사용자 지정 서비스 계정을 사용하는 경우 Kerberos RBCD 문제 해결

로그 분석 테스트 시나리오를 사용하여 Kerberos 인증 문제 해결

고급 Kerberos 테스트 및 문제 해결은 로그 분석 테스트 시나리오를 사용하여 Kerberos 인증 문제를 해결하세요.