DetailPage-MSS-KB

기술 자료

기술 자료: 887993 - 마지막 검토: 2009년 2월 10일 화요일 - 수정: 4.1

 


이 페이지에서

현상

Windows Server 2003 서비스 팩 1 (SP1) Microsoft 인터넷 정보 서비스 (IIS) 6.0 또는 Microsoft SQL Server 2000을 실행 중인 Microsoft Windows Server 2003 기반 컴퓨터를 업그레이드합니다. 이렇게 후에 사용자가 웹 응용 프로그램을 사용하는 경우 또는 데이터베이스를 쿼리하는 프로그램을 사용할 때 인증 문제가 발생할. 예를 들어, 사용자가 다음 중 하나를 유사한 현상이 나타날 수 있습니다.
  • 사용자가 백 엔드 데이터베이스에서 데이터를 검색하고 웹 페이지에 액세스하려고 하면 "액세스가 거부되었습니다" 오류 메시지를 받습니다.
  • 사용자가 네트워크 로드 균형 조정 (NLB) 클러스터에 있는 다른 데이터베이스 서버로 연결할 수 없습니다. 데이터베이스 서버로의 쿼리가 실패합니다.
특정 환경에 따라 다른 사용자가 현상이 발생할 수 있습니다.

원인

서비스의 서비스 사용자 이름 (SPN) 인증된 경우 이 문제가 발생합니다. 서비스 계정으로 SPN이 등록되어 있지 않으면 SPN이 인증되지 않습니다. Windows Server 2003 SP1에서 다음 레지스트리 항목에 저장되어 루프백 확인 기능은 다음과 같습니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck
기본적으로 Windows Server 2003 SP1에서 루프백 확인 기능이 켜져 있고 DisableLoopbackCheck 레지스트리 항목을 0으로 설정되어 있습니다 (0). 루프백 확인 기능의 프로그램의 SPN을 등록하는 것을 방지할 수 있습니다.

해결 방법

중요 이 섹션에서는, 메서드 또는 작업이 레지스트리 수정 방법을 알려 주는 단계가 포함되어 있습니다. 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 다음 단계를 주의하여 수행해야 합니다. 추가 보호 조치로 레지스트리를 수정하기 전에 해당 레지스트리를 백업하십시오. 문제가 발생하면 백업 파일을 사용하여 레지스트리를 복원할 수 있습니다. 레지스트리 백업 및 복원 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오:
322756  (http://support.microsoft.com/kb/322756/ ) Windows XP 및 Windows Server 2003에서 레지스트리를 백업, 편집 및 복원하는 방법

중요 기본적으로 Windows Server 2003 SP1에서 루프백 확인 기능이 켜져 있고 DisableLoopbackCheck 레지스트리 항목이 0 (영 으로) 설정됩니다. 보안 인증 루프백 검사를 해제하고 NTLM (MITM) man-in-the-middle 공격 Windows Server 2003 서버의 열 때 줄어듭니다. SPN을 변경 후에 MITM 공격을 방지하려면 레지스트리 항목의 값은 영 (0) 반환되어야 합니다. 또한 방법 1의 기본 솔루션입니다.

방법 1: NTLM 인증 요청을 (기본 설정) 에서 참조할 수 있는 로컬 보안 기관 호스트 이름 만들기

  1. 시작 을 누르고 실행regedit 를 입력한 다음 확인 을 클릭하십시오.
  2. 레지스트리 편집기에서 다음 레지스트리 키를 찾아 누릅니다:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  3. MSV1_0 마우스 오른쪽 단추로 클릭하고 새로 만들기를 가리킨 다음 다중 문자열 값 을 클릭하십시오.
  4. BackConnectionHostNames 를 입력한 다음 Enter 키를 누릅니다.
  5. <a0>BackConnectionHostNames</a0> 를 마우스 오른쪽 단추로 클릭한 다음 수정 을 클릭하십시오.
  6. 값 데이터 상자에 호스트 이름 또는 로컬 컴퓨터에 있고 확인 을 클릭하여 사이트의 호스트 이름을 입력하십시오.
  7. 레지스트리 편집기를 종료한 다음 이 변경 내용을 적용하려면 서버를 다시 시작하십시오.

인증 루프백 확인 안 함 및 서비스가 실행되는 계정이 SPN을 등록하는 방법 2:

이 문제를 해결하려면 인증을 루프백 검사를 해제하고 서비스가 실행되는 계정이 SPN을 등록하십시오. 이렇게 하려면 DisableLoopbackCheck 항목을 설정할 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 레지스트리 1, 하위 키 및 SPN의 이름을 확인합니다.

1단계: DisableLoopbackCheck 레지스트리 항목을 1로 설정

  1. 시작,실행regedit 를 입력한 다음 확인 을 클릭합니다.
  2. 다음 레지스트리 하위 키를 찾아 누릅니다:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. <a0>DisableLoopbackCheck</a0> 를 마우스 오른쪽 단추로 클릭한 다음 수정 을 클릭하십시오.
  4. 값 데이터 상자에 1 을 입력한 다음 확인 을 클릭하십시오.

단계 2: SPN의 이름을 확인하려면

  1. 다음 레지스트리 항목을 추가하고 각 레지스트리 항목에 적절한 값으로 다음과 같이 설정하십시오.
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\LogLevel
      값: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\LogToFile
      값: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\KerbDebugLevel
      값: c3
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\LogLevel
      값 1: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\LogToFile
      값: 1
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\KerbDebugLevel
      값: c3
    레지스트리 항목을 추가하려면 다음과 같이 하십시오.
    1. 찾은 다음 레지스트리 항목을 추가할 레지스트리 하위 키를 찾아 누릅니다.
    2. 편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값 을 클릭하십시오.
    3. 추가할 레지스트리 항목의 이름을 입력한 다음 Enter 키를 누릅니다.
    4. 레지스트리를 마우스 오른쪽 단추로 에 추가된 항목을 2 c 단계 및 다음 수정 을 클릭합니다.
    5. 해당 레지스트리 항목에 대해 적절한 값을 입력한 다음 확인 을 클릭하십시오.
    6. 추가할 각 레지스트리 항목에 대해 2e 통해 2a를 단계를 반복하십시오.
    7. 레지스트리 편집기를 끝냅니다.
  2. 해당 컴퓨터를 다시 시작한 다음 문제를 재현하십시오. 이렇게 하면 다음과 유사한 이벤트 ID 오류 메시지가 시스템 로그에 기록됩니다.
    종류: 오류
    원본: Kerberos
    범주: 없음
    이벤트 ID: 3
    설명: Kerberos 오류 메시지가 수신되었습니다.
    로그온 세션
    클라이언트 시간:
    서버 시간: DateTime
    오류 코드: 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN
    Extended error:
    클라이언트 영역:
    Client Name:
    서버 영역: DomainName .com
    서버 이름: MSSQLSvc/DomainName .com:1433
    대상 이름: MSSQLSvc/ServerName. DomainName: DomainName 1433 @ DomainName.com
    오류 텍스트:
    파일: 9
    줄: ab8
    오류는 데이터 레코드 데이터에 있습니다.
    이벤트 ID 오류 메시지의 SPN을 결정하십시오. 이 예제에서는 MSSQLSvc SPN이 있습니다/DomainName .com:1433.

3단계: Setspn.exe 명령줄 도구를 사용하여 적절한 서비스 계정에 SPN 등록

IIS 6 .0에서 서비스 계정은 일반적으로 WWW 서비스를 실행할 계정 또는 사용하는 응용 프로그램 풀 계정에 있습니다. Microsoft SQL Server 2000 서비스 계정이 SQL Server 2000에서 실행되는 계정입니다. 새 SPN을 추가하려면 다음 구문을 사용하십시오.
setspn - a SPN DomainName \ AccountName

Setspn.exe 명령줄 도구를 사용하여 SPN을 추가하는 방법의 예제는 다음과 같습니다.
setspn - a MSSQLSvc/NLBNAME.corp.domain.com:1433 DomainName \ AccountName

추가 정보

자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오:
970536  (http://support.microsoft.com/kb/970536/ ) Windows Server 2003 Setspn.exe 지원 도구 업데이트


자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오:
837361  (http://support.microsoft.com/kb/837361/ ) Kerberos 프로토콜 레지스트리 항목 및 Windows Server 2003에서 KDC 구성 키


957097 보안 업데이트를 설치한 후에 로컬 NTLM 인증 요청을 만들 때 SQL Server 또는 인터넷 정보 서비스 (IIS) 와 같은 응용 프로그램이 실패할 수 있습니다. 이 문제를 해결하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오:
957097  (http://support.microsoft.com/kb/957097/ ) MS08-068: SMB 인한 원격 코드 실행을 허용할 수 있습니다.
기술 자료 문서 957097에 대한 자세한 내용은 문제를 해결하는 방법에 대한 "이 보안 업데이트의 알려진 문제" 절을 참조하십시오.

본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
키워드: 
kbmt kbtshoot KB887993 KbMtko
기계 번역된 문서기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.
이 문서의 영문 버전 보기:887993  (http://support.microsoft.com/kb/887993/en-us/ )
공유
추가 지원 옵션
Microsoft Community 지원 포럼
직접 문의하기
Microsoft Certified Partner 찾기
Microsoft Store
소기업이 아닙니까?
다음에서 팔로우하십시오.