다음을 통해 공유

Kerberos 제한 위임 문제 해결

중요합니다

이 문서의 절차를 사용하기 전에 Kerberos 문제 해결 검사 목록의 단계를 따르세요. Kerberos 문제의 가장 일반적인 원인은 인프라 문제 및 SPN(서비스 사용자 이름) 문제입니다. 검사 목록은 이러한 문제를 식별하는 데 도움이 됩니다.

대상 서비스에 별도의 프런트 엔드 및 백 엔드 구성 요소가 있는 경우 Kerberos는 클라이언트 자격 증명(액세스 권한 포함)을 서비스 계정에 위임할 수 있습니다. 간단히 말하면 먼저 클라이언트가 프런트 엔드 서비스에 액세스한 다음 프런트 엔드 서비스가 클라이언트를 대신하여 백 엔드 서비스에 액세스합니다. 제한된 위임의 경우 프런트 엔드 서비스는 클라이언트를 대신하여 액세스할 수 있는 서비스 목록을 유지 관리합니다.

구성 세부 정보는 프런트 엔드 서비스에서 사용하는 계정 유형에 따라 다릅니다. 이 문서에서는 다양한 종류의 서비스 계정에 대한 별도의 절차를 제공합니다.

기본 제공 서비스 계정을 사용하는 경우 Kerberos 제한 위임 문제 해결

프런트 엔드 서비스가 로컬 컴퓨터의 컴퓨터 계정과 같은 기본 제공 계정의 보안 컨텍스트에서 실행되는 경우 다음 단계를 수행합니다. 프런트 엔드 서비스가 로컬 시스템 또는 네트워크 서비스와 같은 컴퓨터 계정과 관련된 보안 컨텍스트 중 하나에서 실행되는 경우에도 다음 단계를 수행합니다.

1단계: 토폴로지 유형 확인

제한된 위임을 사용하려면 프런트 엔드 및 백 엔드 서비스가 동일한 도메인에 속해야 합니다. 이러한 서비스가 다른 도메인 또는 다른 신뢰할 수 있는 포리스트에 있는 경우 리소스 기반 제한 위임(RBCD)을 대신 사용해야 합니다. 자세한 내용은 Kerberos 인증 문제 해결 지침: 지원되는 토폴로지 유형을 참조하세요.

2단계. 컴퓨터 계정의 위임 설정 확인

이러한 단계에는 Active Directory 사용자 및 컴퓨터(서버 관리자 도구 메뉴에서 사용 가능)를 사용합니다.

  1. Active Directory 사용자 및 컴퓨터에서 컴퓨터를 선택합니다. 프런트 엔드 컴퓨터의 계정을 마우스 오른쪽 단추로 클릭한 다음 속성>위임을 선택합니다.
  2. 지정된 서비스에 대한 위임에 대해서만 이 사용자를 신뢰해야 합니다.
  3. 선택한 인증 옵션이 웹 서비스에 액세스하는 사용자에게 적합한지 확인합니다.
  4. 서비스 목록에 백 엔드 서비스(또는 백 엔드 서버의 HOST와 같은 일반적인 서비스 클래스)가 포함되어 있는지 확인합니다. 필요한 경우 추가 를 선택하여 목록에 서비스를 추가합니다.
  5. 확인을 선택합니다.

3단계. IIS에서 애플리케이션 풀 구성을 확인합니다.

IIS(인터넷 정보 서비스) 도구(서버 관리자 도구 메뉴에서 사용 가능)를 사용하여 애플리케이션 풀 설정을 검토합니다.

  1. IIS 콘솔에서 IIS 서버를 확장하고 애플리케이션 풀을 선택합니다. 오른쪽 창에서 DefaultAppPool을 마우스 오른쪽 단추로 클릭한 다음 고급 설정을 선택합니다.
  2. 프로세스 모델>ID를 선택합니다. 기본 제공 계정이 선택되어 있고 적절한 기본 제공 계정(예: NetworkService)이 선택되어 있는지 확인합니다. [확인]을 선택하여 속성 목록으로 돌아갑니다.
  3. 사용자 프로필 로드가 True로 설정되어 있는지 확인합니다. 확인을 선택하여 속성 목록을 닫습니다.
  4. 설정을 변경한 경우 IIS 서비스를 다시 시작합니다.
  5. 다시 시도하여 인증합니다.

사용자 지정 서비스 계정을 사용하는 경우 Kerberos 제한 위임 문제 해결

프런트 엔드 서비스가 사용자 지정 계정의 보안 컨텍스트에서 실행되는 경우 다음 단계를 수행합니다.

1단계: 토폴로지 유형 확인

제한된 위임을 사용하려면 프런트 엔드 및 백 엔드 서비스가 동일한 도메인에 속해야 합니다. 이러한 서비스가 다른 도메인 또는 다른 신뢰할 수 있는 포리스트에 있는 경우 리소스 기반 제한 위임(RBCD)을 대신 사용해야 합니다. 자세한 내용은 Kerberos 인증 문제 해결 지침: 지원되는 토폴로지 유형을 참조하세요.

2단계. 서비스 계정 권한 확인

서비스 계정이 웹 서버의 로컬 관리자 또는 IIS_Users 그룹의 일부인지 확인합니다.

3단계. 서비스 계정의 위임 설정 확인

Active Directory 사용자 및 컴퓨터를 사용하여 서버 관리자 도구 메뉴에서 이러한 단계를 수행하십시오.

  1. Active Directory 사용자 및 컴퓨터에서 서비스 계정(일반적으로 사용자 컨테이너)을 마우스 오른쪽 단추로 클릭한 다음 속성>위임을 선택합니다.
  2. 지정된 서비스에 대한 위임에 대해서만 이 사용자를 신뢰해야 합니다.
  3. 선택한 인증 옵션이 웹 서비스에 액세스하는 사용자에게 적합한지 확인합니다.
  4. 서비스 목록에 백 엔드 서비스(또는 백 엔드 서버의 HOST와 같은 일반적인 서비스 클래스)가 포함되어 있는지 확인합니다. 필요한 경우 추가 를 선택하여 목록에 서비스를 추가합니다.
  5. 계정을 선택한 다음 계정 옵션 설정을 검토합니다. 계정이 중요하고 위임할 수 없는 항목이 선택되지 않았는지 확인합니다.
  6. 확인을 선택합니다.

4단계. 프런트 엔드 서버의 컴퓨터 계정 위임 구성 확인

사용자 지정 서비스 계정 외에도 프런트 엔드 서버의 컴퓨터 계정도 위임하도록 구성해야 합니다.

  1. Active Directory 사용자 및 컴퓨터에서 컴퓨터를 선택하고 프런트 엔드 컴퓨터의 계정을 마우스 오른쪽 단추로 클릭한 다음 속성>위임을 선택합니다.
  2. 지정된 서비스에 대한 위임에 대해서만 이 사용자를 신뢰하고 하위 옵션인 인증 프로토콜 사용도 선택되어 있는지 확인합니다.
  3. 서비스 목록에 백 엔드 서비스(또는 백 엔드 서버의 HOST와 같은 일반적인 서비스 클래스)가 포함되어 있는지 확인합니다. 필요한 경우 추가 를 선택하여 목록에 서비스를 추가합니다.
  4. 확인을 선택합니다.

5단계 IIS에서 애플리케이션 풀 구성을 확인합니다.

IIS(인터넷 정보 서비스) 도구(서버 관리자 도구 메뉴에서 사용 가능)를 사용하여 애플리케이션 풀 설정을 검토합니다.

  1. IIS 콘솔에서 IIS 서버를 확장한 다음 애플리케이션 풀을 선택합니다. 오른쪽 창에서 DefaultAppPool을 마우스 오른쪽 단추로 클릭한 다음 고급 설정을 선택합니다.
  2. 프로세스 모델>ID를 선택합니다. 사용자 지정 계정이 선택되어 있고 서비스 계정이 선택되어 있는지 확인합니다. [확인]을 선택하여 속성 목록으로 돌아갑니다.
  3. 사용자 프로필 로드가 True로 설정되어 있는지 확인합니다. 확인을 선택하여 속성 목록을 닫습니다.
  4. IIS 서비스를 다시 시작합니다.
  5. 다시 시도하여 인증합니다.