다음을 통해 공유


Kerberos 인증 구성(Office SharePoint Server)

업데이트 날짜: 2009년 3월

적용 대상: Office SharePoint Server 2007

 

마지막으로 수정된 항목: 2015-03-09

이 문서의 내용

  • Kerberos 인증

  • 시작하기 전에

  • SQL 통신에 대한 Kerberos 인증 구성

  • 서비스 사용자 이름에 포트 번호를 포함하도록 Internet Explorer 구성

  • Kerberos 인증을 사용하는 웹 응용 프로그램의 서비스 사용자 이름 만들기

  • 서버 팜 배포

  • 팜의 서버에 대한 서비스 구성

  • Kerberos 인증을 사용하는 웹 응용 프로그램 만들기

  • 포털 사이트 웹 응용 프로그램에서 공동 작업 포털 서식 파일을 사용하여 사이트 모음 만들기

  • 팜의 공유 서비스 공급자 만들기

  • Kerberos 인증을 사용하는 웹 응용 프로그램에 대한 성공적인 액세스 확인

  • 올바른 검색 인덱싱 기능 확인

  • 올바른 검색 쿼리 기능 확인

  • Kerberos 인증을 사용하도록 SSP 인프라 구성

  • Active Directory의 SSP 서비스 계정에 대한 새로운 사용자 지정 형식 SPN 등록

  • Stsadm 명령줄 도구를 실행하여 Kerberos 인증을 사용하도록 SSP 인프라 설정

  • 새로운 사용자 지정 형식 SPN을 생성할 수 있도록 Office SharePoint Server를 실행하는 모든 서버에 새 레지스트리 키 추가

  • 루트 수준 공유 서비스 액세스에 대한 Kerberos 인증 확인

  • 가상 디렉터리 수준 공유 서비스 액세스에 대한 Kerberos 인증 확인

  • 구성 제한 사항

  • 추가 리소스 및 문제 해결 지침

Kerberos 인증

Kerberos는 티켓 인증을 지원하는 보안 프로토콜입니다. Kerberos 인증 서버는 유효한 사용자 자격 증명과 유효한 SPN(서비스 사용자 이름)이 포함된 클라이언트 컴퓨터 인증 요청에 대한 응답으로 티켓을 부여합니다. 그러면 클라이언트 컴퓨터에서는 해당 티켓을 사용하여 네트워크 리소스에 액세스합니다. Kerberos 인증을 사용할 수 있도록 설정하려면 클라이언트 컴퓨터와 서버 컴퓨터에 도메인 KDC(키 배포 센터)에 대한 트러스트된 연결이 있어야 합니다. KDC는 암호화를 사용할 수 있도록 공유 비밀 키를 배포합니다. 또한 클라이언트 컴퓨터와 서버 컴퓨터가 Active Directory 디렉터리 서비스에 액세스할 수 있어야 합니다. Active Directory의 경우 포리스트 루트 도메인이 Kerberos 인증 조회의 중심입니다.

Kerberos 인증을 사용하는 Microsoft Office SharePoint Server 2007을 실행하는 서버 팜을 배포하려면 컴퓨터에 다양한 응용 프로그램을 설치하고 구성해야 합니다. 이 문서에서는 Office SharePoint Server 2007을 실행하는 예제 서버 팜에 대해 설명하며 Kerberos 인증을 사용하여 다음 기능을 지원하도록 팜을 배포하고 구성하기 위한 지침을 제공합니다.

  • Office SharePoint Server 2007과 Microsoft SQL Server 데이터베이스 소프트웨어 간의 통신

  • SharePoint 중앙 관리 웹 응용 프로그램에 대한 액세스

  • 포털 사이트 웹 응용 프로그램, 내 사이트 웹 응용 프로그램 및 SSP 관리 사이트 웹 응용 프로그램을 비롯한 기타 웹 응용 프로그램에 대한 액세스

  • Office SharePoint Server 2007 SSP(공유 서비스 공급자) 인프라에 있는 Office SharePoint Server 2007 웹 응용 프로그램의 공유 서비스에 대한 액세스

시작하기 전에

이 문서는 다음 내용에 대한 지식이 있는 관리자급 인력을 대상으로 합니다.

  • Windows Server 2003

  • Active Directory

  • IIS(인터넷 정보 서비스) 6.0(또는 IIS 7.0)

  • Windows SharePoint Services 3.0

  • Office SharePoint Server 2007

  • Windows Internet Explorer

  • Windows Server 2003의 Active Directory에서 구현된 Kerberos 인증

  • Windows Server 2003의 NLB(네트워크 부하 분산)

  • Active Directory 도메인의 컴퓨터 계정

  • Active Directory 도메인의 사용자 계정

  • IIS 웹 사이트와 이러한 사이트의 바인딩 및 인증 설정

  • IIS 웹 사이트의 IIS 응용 프로그램 풀 ID

  • SharePoint 제품 및 기술 구성 마법사

  • Windows SharePoint Services 3.0 및 Office SharePoint Server 2007 웹 응용 프로그램

  • 중앙 관리 페이지

  • SPN(서비스 사용자 이름) 및 Active Directory 도메인에서 SPN을 구성하는 방법

중요

Active Directory 도메인에서 SPN을 만들려면 도메인 관리 수준 권한이 있어야 합니다.

Office SharePoint Server 2007에서 SSP 인프라에 Kerberos 인증을 사용하려면 Microsoft Office Servers 인프라 업데이트를 설치해야 합니다.

참고

SSP는 웹 응용 프로그램과 관련 웹 사이트에 제공될 수 있는 공통 서비스 및 서비스 데이터 집합의 논리 그룹입니다. SSP 인프라를 통해 서버 팜, 웹 응용 프로그램 및 사이트 모음에서 서비스를 공유할 수 있습니다. Office Server 웹 서비스 웹 사이트는 SSP 인프라입니다. SSP 인프라는 전체 설치 옵션을 사용하여 배포되는 Office SharePoint Server 2007을 실행하는 모든 서버에 있습니다. Microsoft Office Servers 인프라 업데이트가 설치되어 있지 않으면 Office Server 웹 서비스 웹 사이트에서 Kerberos 인증이 작동하지 않습니다.

이 문서에서는 Kerberos 인증을 자세히 살펴보지 않습니다. Kerberos는 Active Directory에서 구현되는 산업 표준 인증 방법입니다.

이 문서에서는 Office SharePoint Server 2007을 설치하거나 SharePoint 제품 및 기술 구성 마법사를 사용하는 지침을 단계별로 자세히 설명하지 않습니다.

이 문서에서는 중앙 관리를 사용하여 Office SharePoint Server 2007 웹 응용 프로그램을 만드는 지침을 단계별로 자세히 설명하지 않습니다.

소프트웨어 버전 요구 사항

이 문서에서 제공되는 지침과 이 지침을 확인하기 위해 수행된 테스트는 Windows Update 사이트(https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x412)에서 최신 업데이트를 적용한 Windows Server 2003 및 Internet Explorer를 실행하는 시스템을 사용한 결과를 바탕으로 합니다. 다음 소프트웨어 버전이 설치되었습니다.

또한 Windows Update 사이트(https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x412)에서 최신 업데이트를 적용한 Windows Server 2003 SP2를 Active Directory 도메인 컨트롤러에서 실행해야 합니다.

알려진 문제

Microsoft Office Servers 인프라 업데이트가 설치되어 있지 않으면 Office SharePoint Server 2007에서 SSP 인프라와 작동하도록 Kerberos 인증을 구성할 수 없습니다. 따라서 Microsoft Office Servers 인프라 업데이트가 설치되어 있지 않으면 SSP 인프라에 대한 Kerberos 인증을 구성하는 이 문서의 지침을 무시하십시오.

Office SharePoint Server 2007은 기본 포트(TCP 포트 80 및 SSL(Secure Sockets Layer) 포트 443)에 바인딩된 IIS 가상 서버에 호스팅되고 Kerberos 인증을 사용하도록 구성된 웹 응용 프로그램을 크롤링할 수 있습니다. 그러나 Office SharePoint Server 2007 검색 기능은 비기본 포트(TCP 포트 80 및 SSL 포트 443 이외의 포트)에 바인딩된 IIS 가상 서버에 호스팅되고 Kerberos 인증을 사용하도록 구성된 Office SharePoint Server 2007 웹 응용 프로그램을 크롤링할 수 없습니다. 현재 Office SharePoint Server 2007 검색 기능은 비기본 포트에 바인딩된 IIS 가상 서버에 호스팅되고 NTLM 인증이나 기본 인증을 사용하도록 구성된 Office SharePoint Server 2007 웹 응용 프로그램만 크롤링할 수 있습니다.

Kerberos 인증을 사용한 최종 사용자 액세스의 경우, 비기본 포트에 바인딩된 IIS 가상 서버에만 호스팅될 수 있는 웹 응용 프로그램을 배포해야 할 때 최종 사용자가 검색 쿼리 결과를 얻게 하려면 다음 조건을 충족해야 합니다.

  • 동일한 웹 응용 프로그램이 비기본 포트에 바인딩된 다른 IIS 가상 서버에서 호스팅되어야 합니다.

  • 웹 응용 프로그램이 NTLM 또는 기본 인증을 사용하도록 구성되어야 합니다.

  • 검색 인덱싱에서 NTLM 또는 기본 인증을 사용하는 웹 응용 프로그램을 크롤링해야 합니다.

이 문서에서는 다음에 대한 지침을 제공합니다.

  • 비기본 포트에 바인딩된 IIS 가상 서버에 호스팅된 Kerberos 인증을 사용하는 중앙 관리 웹 응용 프로그램 구성

  • IIS 호스트 헤더 바인딩을 사용하고 기본 포트에 바인딩된 IIS 가상 서버에 호스팅된 Kerberos 인증을 사용하는 포털 및 내 사이트 응용 프로그램과 공유 서비스 구성

  • 검색 인덱싱에서 Kerberos 인증을 사용하는 Office SharePoint Server 2007 웹 응용 프로그램을 성공적으로 크롤링하는지 확인

  • Kerberos 인증된 웹 응용 프로그램에 액세스하는 사용자가 해당 웹 응용 프로그램에 대한 검색 쿼리 결과를 성공적으로 얻을 수 있는지 확인

  • SSP 인프라에 대한 Kerberos 인증 구성(Microsoft Office Servers 인프라 업데이트가 설치된 경우)

추가 배경 설명

Kerberos 인증을 사용할 때 정확한 인증 기능은 Kerberos를 사용하여 인증하려는 클라이언트의 동작에 따라 부분적으로 결정된다는 것을 알고 있어야 합니다. Kerberos 인증을 사용하는 Office SharePoint Server 2007 팜 배포에서 Office SharePoint Server 2007은 클라이언트가 아닙니다. Kerberos 인증을 사용하는 Office SharePoint Server 2007을 실행하는 서버 팜을 배포하기 전에 다음 클라이언트의 동작을 이해해야 합니다.

  • 브라우저(이 문서의 맥락에서 브라우저는 항상 Windows Internet Explorer임)

  • Microsoft .NET Framework

브라우저는 Office SharePoint Server 2007 웹 응용 프로그램에서 웹 페이지로 이동할 때 사용되는 클라이언트입니다. Office SharePoint Server 2007에서 로컬 Office SharePoint Server 2007 콘텐츠 원본을 크롤링하거나 SSP 인프라를 호출하는 등의 작업을 수행할 때는 .NET Framework가 클라이언트 역할을 합니다.

Kerberos 인증이 제대로 작동하려면 Active Directory에서 SPN을 만들어야 합니다. 이러한 SPN에 해당하는 서비스가 비기본 포트에서 수신 대기하는 경우 SPN에 포트 번호가 포함되어야 합니다. 이는 SPN이 의미를 갖도록 하기 위한 것이며 중복 SPN 생성을 방지하는 데도 필요합니다.

클라이언트(Internet Explorer 또는 .NET Framework)에서 Kerberos 인증을 사용하는 리소스에 액세스하려는 경우 Kerberos 인증 프로세스의 일부로 사용할 SPN을 만들어야 합니다. 클라이언트에서 Active Directory에 구성된 SPN과 일치하는 SPN을 만들지 않으면 대개 "액세스 거부" 오류가 발생하면서 Kerberos 인증이 실패합니다.

포트 번호가 포함된 SPN을 만들지 않는 Internet Explorer 버전이 있습니다. IIS에서 비기본 포트 번호에 바인딩된 Office SharePoint Server 2007 웹 응용 프로그램을 사용하는 경우 Internet Explorer에서 만드는 SPN에 포트 번호를 포함하도록 설정해야 할 수 있습니다. Office SharePoint Server 2007을 실행하는 팜에서 중앙 관리 웹 응용 프로그램은 비기본 포트에 바인딩된 IIS 가상 서버에서 기본적으로 호스팅됩니다. 따라서 이 문서에서는 IIS 포트 바인딩 및 IIS 호스트 헤더 바인딩 웹 사이트를 모두 살펴보고 SPN에 포트 번호를 포함하도록 Internet Explorer를 설정하는 지침에 대한 링크를 제공합니다.

Office SharePoint Server 2007을 실행하는 팜에서 .NET Framework는 기본적으로 포트 번호가 포함된 SPN을 만들지 않습니다. 이 때문에 검색에서 비기본 포트에 바인딩된 IIS 가상 서버에 호스팅되고 Kerberos 인증을 사용하는 웹 응용 프로그램을 크롤링할 수 없으며, Microsoft Office Servers 인프라 업데이트가 설치되지 않은 경우 SSP 인프라에 대해 작동하도록 Kerberos 인증을 제대로 구성할 수 없습니다.

서버 팜 토폴로지

이 문서는 다음 Office SharePoint Server 2007 서버 팜 토폴로지를 대상으로 합니다.

  • Windows NLB가 구성된 프런트 엔드 웹 서버 역할을 하며 Windows Server 2003을 실행하는 두 컴퓨터

  • 응용 프로그램 서버 역할을 하며 Windows Server 2003을 실행하는 세 컴퓨터. 응용 프로그램 서버 중 하나는 중앙 관리 웹 응용 프로그램을 호스팅하고, 두 번째 응용 프로그램 서버는 검색 쿼리를 실행하며, 세 번째 응용 프로그램 서버는 검색 인덱싱을 실행합니다.

  • Office SharePoint Server 2007을 실행하는 팜의 SQL 호스트로 사용되며 Windows Server 2003을 실행하는 한 컴퓨터. 이 문서에서 설명하는 시나리오의 경우 Microsoft SQL Server 2000 SP4 또는 Microsoft SQL Server 2005 SP2를 사용할 수 있습니다.

이 문서에서는 팜에서 한 SSP를 구성하는 지침을 제공합니다.

Active Directory, 컴퓨터 이름 및 NLB 규칙

이 문서에서 설명하는 시나리오에서는 다음과 같은 Active Directory, 컴퓨터 이름 및 NLB 규칙을 사용합니다.

서버 역할 도메인 이름

Active Directory

mydomain.net

Office SharePoint Server 2007을 실행하는 프런트 엔드 웹 서버

mossfe1.mydomain.net

Office SharePoint Server 2007을 실행하는 프런트 엔드 웹 서버

mossfe2.mydomain.net

Office SharePoint Server 2007 중앙 관리

mossadmin.mydomain.net

Office SharePoint Server 2007을 실행하는 검색 인덱싱

mosscrawl.mydomain.net

Office SharePoint Server 2007을 실행하는 검색 쿼리

mossquery.mydomain.net

Office SharePoint Server 2007을 실행하는 SQL Server 호스트

mosssql.mydomain.net

mossfe1.mydomain.net 및 mossfe2.mydomain.net에서 NLB를 구성한 결과로 이러한 시스템에 NLB VIP가 할당됩니다. 이 주소를 가리키는 DNS 호스트 이름의 집합은 DNS 시스템에서 등록됩니다. 예를 들어 NLB VIP가 192.168.100.200이면 다음 DNS 이름을 이 IP 주소(192.168.100.200)로 확인하는 DNS 레코드의 집합이 있습니다.

  • kerbportal.mydomain.net

  • kerbmysite.mydomain.net

  • kerbsspadmin.mydomain.net

Active Directory 도메인 계정 규칙

이 문서의 예제에서는 다음 표에 나와 있는 Office SharePoint Server 2007을 실행하는 팜에서 사용되는 서비스 계정과 응용 프로그램 풀 ID에 대한 명명 규칙을 사용합니다.

도메인 계정 또는 응용 프로그램 풀 ID 이름

로컬 관리자 계정

  • Office SharePoint Server 2007을 실행하는 모든 서버에서(SQL Server를 실행하는 호스트 컴퓨터는 제외)

  • Office SharePoint Server 2007 설치 프로그램과 SharePoint 제품 및 기술 구성 마법사 실행 사용자

mydomain\pscexec

SQL Server 호스트 컴퓨터의 로컬 관리자 계정

mydomain\sqladmin

SQL 호스트에서 SQL Server 서비스를 실행하는 데 사용된 SQL Server 서비스 계정

mydomain\mosssqlsvc

Office SharePoint Server 2007 팜 관리자 계정

mydomain\mossfarmadmin

중앙 관리의 응용 프로그램 풀 ID와 SharePoint 타이머 서비스의 서비스 계정으로 사용됩니다.

포털 사이트 웹 응용 프로그램의 Office SharePoint Server 2007 응용 프로그램 풀 ID

mydomain\portalpool

내 사이트 웹 응용 프로그램의 Office SharePoint Server 2007 응용 프로그램 풀 ID

mydomain\mysitepool

공유 서비스 관리 웹 사이트의 Office SharePoint Server 2007 응용 프로그램 풀 ID

mydomain\sspadminpool

Office SharePoint Server 2007 SSP 서비스 계정

mydomain\sspsvc

Windows SharePoint Services 3.0 검색 서비스 계정

mydomain\wsssearch

Windows SharePoint Services 3.0 검색 콘텐츠 액세스 계정

mydomain\wsscrawl

Office SharePoint Server 2007 검색 서비스 계정

mydomain\mosssearch

Office SharePoint Server 2007 콘텐츠 액세스 계정

mydomain\mosscrawl

예비 구성 요구 사항

서버 팜의 컴퓨터에 Office SharePoint Server 2007을 설치하기 전에 다음 절차를 수행했는지 확인합니다.

  • SQL 호스트를 비롯하여 팜에 사용된 모든 서버가 Windows Update 사이트(https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x412)에서 최신 업데이트를 적용한 Windows Server 2003 SP2를 사용하여 설정되었습니다.

  • 팜의 모든 서버에 Windows Update 사이트(https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x412)에서 설치한 Internet Explorer 7과 해당하는 최신 업데이트가 있습니다.

  • SQL Server(SQL Server 2000 SP4 또는 SQL Server 2005 SP2)가 SQL 호스트 컴퓨터에 설치되어 실행되며, SQL Server 서비스가 mydomain\sqlsvc 계정으로 실행됩니다. 기본 SQL Server 인스턴스가 설치되어 TCP 포트 1433에서 수신 대기하고 있습니다.

  • SharePoint 제품 및 기술 구성 마법사 실행 사용자가 다음과 같이 추가되었습니다.

    • SQL 호스트에서 SQL 로그인으로 추가됨

    • SQL 호스트에서 SQL Server DBCreators 역할에 추가됨

    • SQL 호스트에서 SQL Server Security Administrators 역할에 추가됨

SQL 통신에 대한 Kerberos 인증 구성

Office SharePoint Server 2007을 실행하는 서버에 Office SharePoint Server 2007을 설치하고 구성하기 전에 SQL 통신에 대한 Kerberos 인증을 구성합니다. Office SharePoint Server 2007을 실행하는 컴퓨터가 SQL Server에 연결할 수 있으려면 SQL 통신에 대한 Kerberos 인증을 구성하고 작동하는지 확인해야 하기 때문에 이 작업이 필요합니다.

Windows Server 2003을 실행하는 호스트 컴퓨터에 설치된 서비스에 대한 Kerberos 인증을 구성하는 프로세스에는 호스트에서 서비스를 실행하는 데 사용되는 도메인 계정의 SPN을 만드는 작업이 포함됩니다. SPN은 다음 부분으로 구성됩니다.

  • 서비스 이름(예: MSSQLSvc 또는 HTTP)

  • 호스트 이름(실제 또는 가상)

  • 포트 번호

mosssql이라는 컴퓨터에서 실행되고 포트 1433에서 수신 대기하는 SQL Server의 기본 인스턴스에 대한 SPN의 예는 다음과 같습니다.

  • MSSQLSvc/mosssql:1433

  • MSSQLSvc/mosssql.mydomain.com:1433

위의 예는 이 문서에서 설명하는 팜에서 사용될 SQL 호스트의 SQL Server 인스턴스에 대해 만드는 SPN입니다. 항상 네트워크의 호스트에 대한 NetBIOS 이름과 전체 DNS 이름을 모두 가진 SPN을 만들어야 합니다.

Active Directory 도메인의 계정에 대한 SPN을 설정하는 데 여러 가지 방법을 사용할 수 있습니다. 그 중 한 방법은 Windows Server 2003의 리소스 키트 도구에 포함된 SETSPN.EXE 유틸리티를 사용하는 것입니다. 다른 방법은 Active Directory 도메인 컨트롤러에서 ADSIEDIT.MSC 스냅인을 사용하는 것입니다. 이 문서에서는 ADSIEDIT.MSC 스냅인을 사용하는 방법을 살펴봅니다.

SQL Server에 대한 Kerberos 인증을 구성하기 위한 두 가지 핵심 단계가 있습니다.

  • SQL Server 서비스 계정의 SPN 만들기

  • Kerberos 인증이 Office SharePoint Server 2007을 실행하는 서버를 SQL Server를 실행하는 서버에 연결하는 데 사용되는지 확인

SQL Server 서비스 계정의 SPN 만들기

  1. 도메인 관리 권한이 있는 사용자의 자격 증명을 사용하여 Active Directory 도메인 컨트롤러에 로그온합니다.

  2. 실행 대화 상자에 ADSIEDIT.MSC를 입력합니다.

  3. 관리 콘솔 대화 상자에서 도메인 컨테이너 폴더를 확장합니다.

  4. 사용자 계정이 포함된 컨테이너 폴더를 확장합니다(예: CN=Users).

  5. SQL Server 서비스 계정의 컨테이너를 찾습니다(예: CN=mosssqlsvc).

  6. 이 계정을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  7. servicePrincipalName을 찾을 때까지 SQL Server 서비스 계정 대화 상자의 속성 목록을 아래로 스크롤합니다.

  8. servicePrincipalName 속성을 선택하고 편집을 클릭합니다.

  9. 다중값 문자열 편집기 대화 상자의 추가할 값 필드에 SPN MSSQLSvc/mosssql:1433을 입력하고 추가를 클릭합니다. 그런 다음 이 필드에 SPN MSSQLSvc/mosssql.mydomain.com:1433을 입력하고 추가를 클릭합니다.

  10. 다중값 문자열 편집기 대화 상자에서 확인을 클릭한 다음 SQL Server 서비스 계정의 속성 대화 상자에서 확인을 클릭합니다.

Kerberos 인증이 Office SharePoint Server 2007을 실행하는 서버를 SQL Server를 실행하는 서버에 연결하는 데 사용되는지 확인

Office SharePoint Server 2007을 실행하는 서버 중 하나에 SQL 클라이언트 도구를 설치하고 이 도구를 사용하여 Office SharePoint Server 2007을 실행하는 서버에서 SQL Server를 실행하는 서버에 연결합니다. 이 문서에서는 Office SharePoint Server 2007을 실행하는 서버 중 하나에 SQL 클라이언트 도구를 설치하는 단계를 다루지 않습니다. 확인 절차는 다음과 같은 가정을 바탕으로 합니다.

  • SQL 호스트에서 SQL Server 2005 SP2를 사용하고 있습니다.

  • mydomain\pscexec 계정을 사용하여 Office SharePoint Server 2007을 실행하는 서버 중 하나에 로그온했고 Office SharePoint Server 2007을 실행하는 서버에 SQL 2005 클라이언트 도구를 설치했습니다.

  1. SQL Server 2005 Management Studio를 실행합니다.

  2. 서버에 연결 대화 상자가 나타나면 SQL 호스트 컴퓨터의 이름(이 예에서 SQL 호스트 컴퓨터는 mosssql임)을 입력하고 연결을 클릭하여 SQL 호스트 컴퓨터에 연결합니다.

  3. Kerberos 인증이 이 연결에 사용되었는지 확인하려면 SQL 호스트 컴퓨터에서 이벤트 뷰어를 실행하고 보안 이벤트 로그를 검토합니다. 다음 표에 있는 데이터와 유사한 로그온/로그오프 범주 이벤트에 대한 성공 감사 레코드가 표시되어야 합니다.

    이벤트 유형

    성공 감사

    이벤트 원본

    보안

    이벤트 범주

    로그온/로그오프

    이벤트 ID

    540

    날짜

    2007-10-31

    시간

    오후 4:12:24

    사용자

    MYDOMAIN\pscexec

    컴퓨터

    MOSSSQL

    설명

    성공적인 네트워크 로그온의 예가 다음 표에 나와 있습니다.

    사용자 이름

    pscexec

    도메인

    MYDOMAIN

    로그온 ID

    (0x0,0x6F1AC9)

    로그온 유형

    3

    로그온 프로세스

    Kerberos

    워크스테이션 이름

    로그온 GUID

    {36d6fbe0-2cb8-916c-4fee-4b02b0d3f0fb}

    호출자 사용자 이름

    호출자 도메인

    호출자 로그온 ID

    호출자 프로세스 ID

    전송된 서비스

    원본 네트워크 주소

    192,168,100,100

    원본 포트

    2465

로그 항목을 검토하여 다음을 확인하십시오.

  1. 사용자 이름이 올바릅니다. mydomain\pscexec 계정이 네트워크를 통해 SQL 호스트에 로그온했습니다.

  2. 로그온 유형이 3입니다. 유형 3 로그온은 네트워크 로그온입니다.

  3. 로그온 프로세스와 인증 패키지에서 모두 Kerberos 인증을 사용합니다. 이로써 Office SharePoint Server 2007을 실행하는 서버에서 Kerberos 인증을 사용하여 SQL 호스트와 통신하고 있음을 확인할 수 있습니다.

  4. 원본 네트워크 주소가 연결을 설정한 컴퓨터의 IP 주소와 일치합니다.

SQL 호스트에 대한 연결이 실패하고 **SSPI 컨텍스트를 생성할 수 없습니다.**와 유사한 오류 메시지가 나타나면 SQL Server 인스턴스에 사용되는 SPN에 문제가 있을 수 있습니다. 이 문제를 해결하려면 Microsoft 기술 자료에서 "SSPI 컨텍스트를 생성할 수 없습니다." 오류 메시지 문제 해결 방법(https://go.microsoft.com/fwlink/?linkid=76621&clcid=0x412) 문서를 참조하십시오.

서비스 사용자 이름에 포트 번호를 포함하도록 Internet Explorer 구성

많은 Internet Explorer 버전에서 생성되는 SPN에는 포트 번호가 포함되지 않습니다. 이 문제가 있는 Internet Explorer 6 버전을 사용하고 있는지 확인하고 문제 해결에 필요한 단계를 보려면 Microsoft 기술 자료에서 Windows XP 및 Windows Server 2003의 Internet Explorer 6에서 Kerberos 인증 프로토콜을 사용하여 표준이 아닌 포트를 사용하는 웹 사이트에 연결할 수 없다(https://go.microsoft.com/fwlink/?linkid=99681&clcid=0x412) 문서를 참조하십시오. 이 기술 자료 문서에 나와 있는 DLL의 버전 번호를 매우 주의깊게 검토하여 사용 중인 Internet Explorer 버전에 이 기술 자료 문서에서 설명하는 수정 프로그램이 필요한지 확인해야 합니다. 사용 중인 Internet Explorer 버전에서 포트 번호가 포함된 SPN을 만들지 않는 경우 비기본 포트에 바인딩된 IIS 가상 서버에 호스팅된 Office SharePoint Server 2007 웹 응용 프로그램을 사용하고 있으면 해당 Internet Explorer 버전을 사용하는 웹 응용 프로그램으로 이동할 수 있도록 이 수정 프로그램을 적용해야 합니다. Active Directory에 추가하는 중앙 관리 웹 응용 프로그램의 SPN에 포트 번호가 포함되기 때문에 이 문서의 맥락에서는 사용 중인 Internet Explorer 버전에서 생성되는 SPN에 포트 번호가 포함되는지 확인해야 합니다.

Kerberos 인증을 사용하는 웹 응용 프로그램의 서비스 사용자 이름 만들기

Kerberos 인증과 관련하여 IIS 기반 Office SharePoint Server 2007 웹 응용 프로그램에 대한 특별한 사항은 없습니다. Kerberos 인증은 다른 IIS 웹 사이트와 마찬가지로 이러한 웹 응용 프로그램을 처리합니다.

이 프로세스를 수행하려면 다음 항목에 대해 알아야 합니다.

  • SPN의 서비스 클래스(이 문서의 맥락에서 Office SharePoint Server 2007 웹 응용 프로그램의 경우 항상 HTTP임)

  • Kerberos 인증을 사용하는 모든 Office SharePoint Server 2007 웹 응용 프로그램의 URL

  • SPN의 호스트 이름 부분(실제 또는 가상. 이 문서에서는 둘 다 다룸)

  • SPN의 포트 번호 부분(이 문서에서 설명하는 시나리오에서는 IIS 포트 기반 및 IIS 호스트 헤더 기반 Office SharePoint Server 2007 웹 응용 프로그램이 모두 사용됨)

  • SPN을 만들어야 하는 Windows Active Directory 계정

다음 표에 이 문서에서 설명하는 시나리오에 대한 정보가 나와 있습니다.

URL Active Directory 계정 SPN

http://mossadmin.mydomain.net:10000

mossfarmadmin

  • HTTP/mossadmin.mydomain.net:10000

  • HTTP/mossadmin.mydomain.net:10000

http://kerbportal.mydomain.net

portalpool

  • HTTP/kerbportal.mydomain.net

  • HTTP/kerbportal

http://kerbmysite.mydomain.net

mysitepool

  • HTTP/kerbmysite.mydomain.net

  • HTTP/kerbmysite

http://kerbsspadmin.mydomain.net/ssp/admin

sspadminpool

  • HTTP/kerbsspadmin.mydomain.net

  • HTTP/kerbsspadmin

이 표에 대한 참고 사항

  • 위에 있는 첫 번째 URL은 중앙 관리의 URL이며 포트 번호를 사용합니다. 포트 10000을 사용할 필요는 없습니다. 포트 10000은 이 문서 전반의 일관성을 위해 사용된 예일 뿐입니다.

  • 다음 세 URL은 각각 포털 사이트, 내 사이트 및 공유 서비스 관리 사이트의 URL입니다.

위에 제공된 지침을 사용하여 Active Directory에서 Office SharePoint Server 2007 웹 응용 프로그램에 대한 Kerberos 인증을 지원하는 데 필요한 SPN을 만듭니다. 도메인 관리 권한이 있는 계정을 사용하여 해당 환경의 도메인 컨트롤러에 로그온해야 합니다. SPN을 만들려면 앞에서 설명한 SETSPN.EXE 유틸리티나 ADSIEDIT.MSC 스냅인을 사용하면 됩니다. ADSIEDIT.MSC 스냅인을 사용하는 경우 이 문서 앞부분에 나와 있는 SPN을 만드는 지침을 참조하십시오. Active Directory에서 올바른 계정의 올바른 SPN을 만들어야 합니다.

서버 팜 배포

서버 팜 배포 작업에는 다음 단계가 포함됩니다.

  1. Office SharePoint Server 2007을 실행하는 모든 서버에서 Office SharePoint Server 2007을 설치합니다.

  2. SharePoint 제품 및 기술 구성 마법사를 실행하고 새 팜을 만듭니다. 이 단계에는 비기본 포트에 바인딩된 IIS 가상 서버에서 호스팅되고 Kerberos 인증을 사용할 Office SharePoint Server 2007 중앙 관리 웹 응용 프로그램을 만드는 작업이 포함됩니다.

  3. SharePoint 제품 및 기술 구성 마법사를 실행하고 다른 서버를 팜에 연결합니다.

  4. 팜의 서버에 대한 다음 서비스를 구성합니다.

    • Windows SharePoint Services 3.0 검색 서비스

    • Office SharePoint Server 2007 검색 인덱싱

    • Office SharePoint Server 2007 검색 쿼리

  5. Kerberos 인증을 사용하는 포털 사이트, 내 사이트 및 공유 서비스 관리 사이트에 사용되는 웹 응용 프로그램을 만듭니다.

  6. 포털 사이트 웹 응용 프로그램에서 공동 작업 포털 서식 파일을 사용하여 사이트 모음을 만듭니다.

  7. 팜의 공유 서비스 공급자를 만듭니다.

  8. Kerberos 인증을 사용하는 웹 응용 프로그램에 대한 성공적인 액세스를 확인합니다.

  9. 올바른 검색 인덱싱 기능을 확인합니다.

  10. 올바른 검색 쿼리 기능을 확인합니다.

  11. Kerberos 인증을 사용하도록 SSP 인프라를 구성합니다. 이 단계는 Microsoft Office Servers 인프라 업데이트를 설치해야 하는 선택적 단계입니다.

  12. Kerberos 인증을 사용하는 SSP 기능을 확인합니다. 이 단계는 Microsoft Office Servers 인프라 업데이트를 설치해야 하는 선택적 단계입니다.

모든 서버에 Office SharePoint Server 2007 설치

이 작업은 Office SharePoint Server 2007 설치 프로그램을 실행하여 Office SharePoint Server 2007을 실행하는 서버에 Office SharePoint Server 2007 바이너리를 설치하는 간단한 프로세스입니다. mydomain\pscexec 계정을 사용하여 Office SharePoint Server 2007을 실행하는 각 컴퓨터에 로그온합니다. 이에 대한 단계별 지침은 제공되지 않습니다. 이 문서에서 설명하는 시나리오의 경우 Office SharePoint Server 2007이 필요한 모든 서버에서 Office SharePoint Server 2007의 전체 설치를 수행합니다.

SharePoint 제품 및 기술 구성 마법사를 실행하고 새 팜 만들기

이 문서에서 설명하는 시나리오의 경우 먼저 MOSSADMIN 검색 인덱싱 서버에서 SharePoint 제품 및 기술 구성 마법사를 실행하여 MOSSADMIN에서 Office SharePoint Server 2007 중앙 관리 웹 응용 프로그램을 호스팅하도록 합니다.

MOSSCRAWL이라는 서버에서 설치가 완료되면 SharePoint 제품 및 기술 구성 마법사를 실행하는 확인란이 선택된 상태로 설치 완료 대화 상자가 나타납니다. 이 확인란을 그대로 두고 설치 대화 상자를 닫아 SharePoint 제품 및 기술 구성 마법사를 실행합니다.

이 컴퓨터에서 SharePoint 제품 및 기술 구성 마법사를 실행할 때 마법사에서 다음 설정을 사용하여 새 팜을 만들도록 설정합니다.

  • 데이터베이스 서버 이름을 제공합니다. 이 문서에서는 MOSSSQL이라는 서버입니다.

  • 구성 데이터베이스 이름을 제공합니다. 기본 이름을 사용하거나 선택한 이름을 지정할 수 있습니다.

  • 데이터베이스 액세스(팜 관리자) 계정 정보를 제공합니다. 이 문서의 시나리오를 사용하는 경우 이 계정은 mydomain\mossfarmadmin입니다.

  • Office SharePoint Server 2007 중앙 관리 웹 응용 프로그램에 필요한 정보를 제공합니다. 이 문서의 시나리오를 사용하는 경우 이 정보는 다음과 같습니다.

    • 중앙 관리 웹 응용 프로그램 포트 번호: 10000

    • 인증 방법: 협상

필요한 정보를 모두 제공한 경우 SharePoint 제품 및 기술 구성 마법사가 성공적으로 완료됩니다. 마법사가 성공적으로 완료되면 Kerberos 인증을 사용하는 Office SharePoint Server 2007 중앙 관리 웹 응용 프로그램 홈 페이지에 액세스할 수 있는지 확인합니다. 이렇게 하려면 다음 단계를 수행하십시오.

  1. Office SharePoint Server 2007을 실행하는 다른 서버나 mydomain 도메인의 다른 컴퓨터에 mydomain\pscexec로 로그온합니다. Office SharePoint Server 2007 중앙 관리 웹 응용 프로그램을 호스팅하는 컴퓨터에서 올바른 Kerberos 인증 동작을 직접 확인하면 안 됩니다. 이러한 확인 작업은 도메인에 있는 별도의 컴퓨터에서 수행해야 합니다.

  2. 이 서버에서 Internet Explorer를 시작하고 http://mossadmin.mydomain.net:10000으로 이동합니다. 중앙 관리의 홈 페이지가 렌더링되어야 합니다.

  3. Kerberos 인증이 중앙 관리에 액세스하는 데 사용되었는지 확인하려면 MOSSADMIN이라는 컴퓨터로 다시 이동하고 이벤트 뷰어를 실행하여 보안 로그를 검토합니다. 다음 표와 유사한 성공 감사 레코드가 표시되어야 합니다.

    이벤트 유형

    성공 감사

    이벤트 원본

    보안

    이벤트 범주

    로그온/로그오프

    이벤트 ID

    540

    날짜

    2007-11-01

    시간

    오후 2:22:20

    사용자

    MYDOMAIN\pscexec

    컴퓨터

    MOSSADMIN

    설명

    성공적인 네트워크 로그온의 예가 다음 표에 나와 있습니다.

    사용자 이름

    pscexec

    도메인

    MYDOMAIN

    로그온 ID

    (0x0,0x1D339D3)

    로그온 유형

    3

    로그온 프로세스

    Kerberos

    인증 패키지

    Kerberos

    워크스테이션 이름

    로그온 GUID

    {fad7cb69-21f8-171b-851b-3e0dbf1bdc79}

    호출자 사용자 이름

    호출자 도메인

    호출자 로그온 ID

    호출자 프로세스 ID

    전송된 서비스

    원본 네트워크 주소

    192,168,100,100

    원본 포트

    2505

이 로그 레코드에는 이전 로그 항목의 경우와 동일한 유형의 정보가 표시됩니다.

  • 사용자 이름이 올바른지 확인합니다. 사용자 이름은 중앙 관리를 호스팅하는 Office SharePoint Server 2007을 실행하는 서버에 네트워크를 통해 로그온한 mydomain\pscexec 계정입니다.

  • 로그온 유형이 3인지 확인합니다. 로그온 유형 3은 네트워크 로그온입니다.

  • 로그온 프로세스와 인증 패키지에서 모두 Kerberos 인증을 사용하는지 확인합니다. 이로써 Kerberos 인증이 중앙 관리 웹 응용 프로그램에 액세스하는 데 사용됨을 확인할 수 있습니다.

  • 원본 네트워크 주소가 연결을 설정한 컴퓨터의 IP 주소와 일치하는지 확인합니다.

중앙 관리 홈 페이지가 렌더링되지 않고 권한이 없음 오류 메시지가 표시되면 Kerberos 인증이 제대로 작동하지 않는 것입니다. 이에 대한 원인은 대개 두 가지뿐입니다.

  • Active Directory의 SPN이 올바른 계정에 대해 등록되지 않았습니다. mydomain\mossfarmadmin에 대해 등록되어야 합니다.

  • Active Directory의 SPN이 Internet Explorer에서 생성되는 SPN과 일치하지 않거나 다른 이유로 유효하지 않습니다. 이 문제의 가장 일반적인 원인은 Internet Explorer에서 올바른 포트 번호가 포함된 SPN이 생성되지 않기 때문입니다. 이 문제를 해결하려면 서비스 사용자 이름에 포트 번호를 포함하도록 Internet Explorer 구성이라는 이전 섹션을 참조하십시오. 사용자가 Active Directory에서 등록한 SPN에서 포트 번호를 생략했을 수도 있습니다. 두 가지 중 어떤 경우든 계속하기 전에 Kerberos 인증을 사용하여 이 문제가 해결되었고 중앙 관리가 작동하는지 확인하십시오.

참고

네트워크를 통해 진행되는 상황을 확인하는 데 사용할 수 있는 진단 도구는 중앙 관리로 이동하는 동안 추적하는 Microsoft 네트워크 모니터와 같은 네트워크 스니퍼입니다. 실패 후에 추적을 검토하고 KerberosV5 프로토콜 패킷을 찾은 후 Internet Explorer에서 생성된 SPN이 포함된 패킷을 찾습니다. 이 SPN에 포트 번호가 포함되어 있지 않으면 서비스 사용자 이름에 포트 번호를 포함하도록 Internet Explorer 구성 섹션에서 설명하는 수정 프로그램을 적용해야 합니다. 추적의 SPN이 올바르면 Active Directory의 SPN이 유효하지 않거나 잘못된 계정에 대해 등록된 것입니다.

SharePoint 제품 및 기술 구성 마법사를 실행하고 다른 서버를 팜에 연결

이제 팜이 만들어졌고 Kerberos 인증을 사용하는 중앙 관리에 성공적으로 액세스할 수 있으므로 SharePoint 제품 및 기술 구성 마법사를 실행하고 다른 서버를 팜에 연결해야 합니다.

Office SharePoint Server 2007을 실행하는 다른 네 서버(mossfe1, mossfe2, mossquery 및 mosscrawl)에서 Office SharePoint Server 2007 설치가 완료되었고 SharePoint 제품 및 기술 구성 마법사 확인란이 선택된 상태로 설치 완료 대화 상자가 나타납니다. 이 확인란을 그대로 두고 설치 완료 대화 상자를 닫아 SharePoint 제품 및 기술 구성 마법사를 실행합니다. 이러한 각 서버를 팜에 연결하는 절차를 수행합니다.

팜에 추가하는 각 서버에서 SharePoint 제품 및 기술 구성 마법사가 완료되면 이러한 각 서버에서 실행 중인 중앙 관리 MOSSADMIN을 렌더링할 수 있는지 확인합니다. 중앙 관리를 렌더링하지 못하는 서버가 있으면 계속하기 전에 적절한 조치를 취하여 문제를 해결합니다.

팜의 서버에 대한 서비스 구성

다음 섹션에 나와 있는 계정을 사용하여 팜에서 Windows SharePoint Services 3.0 및 Office SharePoint Server 2007을 실행하는 특정 서버에서 실행할 특정 Windows SharePoint Services 3.0 및 Office SharePoint Server 2007 서비스를 구성합니다.

참고

이 섹션에서는 사용자 인터페이스에 대해 자세히 설명하지 않고 개략적인 지침만 제공합니다. 중앙 관리 및 계속하기 전에 필요한 단계를 수행하는 방법을 잘 알고 있어야 합니다.

중앙 관리에 액세스하고 다음 단계에 따라 지정된 계정을 사용하여 표시된 서버에 대한 서비스를 구성합니다.

Windows SharePoint Services 검색

중앙 관리의 서버 제공 서비스 페이지에서 다음을 수행합니다.

  1. MOSSQUERY 서버를 선택합니다.

  2. 페이지 가운데에 나타나는 서비스 목록에서 Windows SharePoint Services 3.0 검색 서비스를 찾은 다음 작업 열에서 시작을 클릭합니다.

  3. 이후 페이지에서 Windows SharePoint Services 3.0 검색 서비스 계정과 Windows SharePoint Services 3.0 콘텐츠 액세스 계정의 자격 증명을 제공합니다. 이 문서의 시나리오에서 Windows SharePoint Services 3.0 검색 서비스 계정은 mydomain\wsssearch이며 Windows SharePoint Services 3.0 콘텐츠 액세스 계정은 mydomain\wsscrawl입니다. 페이지의 적절한 위치에 계정 이름과 암호를 입력한 다음 시작을 클릭합니다.

인덱스 서버

중앙 관리의 서버 제공 서비스 페이지에서 다음을 수행합니다.

  1. MOSSCRAWL 서버를 선택합니다.

  2. 페이지 가운데에 나타나는 서비스 목록에서 Office SharePoint Server 2007 검색 서비스를 찾은 다음 작업 열에서 시작을 클릭합니다.

이후 페이지에서 이 서버를 사용하여 콘텐츠를 인덱싱할 수 있습니다. 확인란을 선택한 다음 Office SharePoint Server 2007 검색 서비스 계정의 자격 증명을 제공합니다. 이 문서의 시나리오에서 Office SharePoint Server 2007 검색 서비스 계정은 mydomain\mosssearch입니다. 페이지의 적절한 위치에 계정 이름과 암호를 입력한 다음 시작을 클릭합니다.

쿼리 서버

중앙 관리의 서버 제공 서비스 페이지에서 다음을 수행합니다.

  1. MOSSQUERY 서버를 선택합니다.

  2. 페이지 가운데에 나타나는 서비스 목록에서 Office SharePoint Server 2007 검색 서비스를 찾은 다음 서비스 열에서 서비스 이름을 클릭합니다.

이후 페이지에서 이 서버를 사용하여 검색 쿼리를 처리할 수 있습니다. 확인란을 선택하고 확인을 클릭합니다.

Kerberos 인증을 사용하는 웹 응용 프로그램 만들기

이 섹션에서는 팜에 있는 포털 사이트, 내 사이트 및 공유 서비스 관리 사이트에 사용되는 웹 응용 프로그램을 만듭니다.

참고

이 섹션에서는 사용자 인터페이스에 대해 자세히 설명하지 않고 개략적인 지침만 제공합니다. 중앙 관리 및 계속하기 전에 필요한 단계를 수행하는 방법을 잘 알고 있어야 합니다.

포털 사이트 웹 응용 프로그램 만들기

  1. 중앙 관리의 응용 프로그램 관리 페이지에서 웹 응용 프로그램 만들기 또는 확장을 클릭합니다.

  2. 이후 페이지에서 새 웹 응용 프로그램 만들기를 클릭합니다.

  3. 이후 페이지에서 새 IIS 웹 사이트 만들기가 선택되어 있는지 확인합니다.

    • 설명 필드에 PortalSite를 입력합니다.

    • 포트 필드에 80을 입력합니다.

    • 호스트 헤더 필드에 kerbportal.mydomain.net을 입력합니다.

  4. 협상이 이 웹 응용 프로그램의 인증 공급자로 선택되었는지 확인합니다.

  5. 기본 영역에 이 웹 응용 프로그램을 만듭니다. 이 웹 응용 프로그램의 영역을 수정하지 마십시오.

  6. 새 응용 프로그램 풀 만들기가 선택되었는지 확인합니다.

    • 응용 프로그램 풀 이름 필드에 PortalAppPool을 입력합니다.

    • 구성 가능이 선택되었는지 확인합니다. 사용자 이름 필드에 mydomain\portalpool 계정을 입력합니다.

  7. 확인을 클릭합니다. 

  8. 웹 응용 프로그램이 성공적으로 만들어졌는지 확인합니다.

참고

SSL 연결을 사용하고 웹 응용 프로그램을 포트 443에 바인딩하려면 포트 필드에 443을 입력하고 새 웹 응용 프로그램 만들기 페이지에서 SSL 사용을 선택합니다. 또한 SSL 와일드카드 인증서를 설치해야 합니다. SSL을 사용하도록 구성된 IIS 웹 사이트에서 IIS 호스트 헤더 바인딩을 사용할 때 SSL 와일드카드 인증서를 사용해야 합니다. IIS의 SSL 호스트 헤더에 대한 자세한 내용은 SSL 호스트 헤더 구성(IIS 6.0) (영문)(https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x412)을 참조하십시오.

내 사이트 웹 응용 프로그램 만들기

  1. 중앙 관리의 응용 프로그램 관리 페이지에서 웹 응용 프로그램 만들기 또는 확장을 클릭합니다.

  2. 이후 페이지에서 새 웹 응용 프로그램 만들기를 클릭합니다.

  3. 이후 페이지에서 새 IIS 웹 사이트 만들기가 선택되었는지 확인합니다.

    • 설명 필드에 MySite를 입력합니다.

    • 포트 필드에 80을 입력합니다.

    • 호스트 헤더 필드에 kerbmysite.mydomain.net을 입력합니다.

  4. 협상이 이 웹 응용 프로그램의 인증 공급자로 선택되었는지 확인합니다.

  5. 기본 영역에 이 웹 응용 프로그램을 만듭니다. 이 웹 응용 프로그램의 영역을 수정하지 마십시오.

  6. 새 응용 프로그램 풀 만들기가 선택되었는지 확인합니다.

    • 응용 프로그램 풀 이름 필드에 MySiteAppPool을 입력합니다.

    • 구성 가능이 선택되었는지 확인합니다. 사용자 이름 필드에 mydomain\mysitepool 계정을 입력합니다.

  7. 확인을 클릭합니다. 

  8. 웹 응용 프로그램이 성공적으로 만들어졌는지 확인합니다.

참고

SSL 연결을 사용하고 웹 응용 프로그램을 포트 443에 바인딩하려면 포트 필드에 443을 입력하고 새 웹 응용 프로그램 만들기 페이지에서 SSL 사용을 선택합니다. 또한 SSL 와일드카드 인증서를 설치해야 합니다. SSL을 사용하도록 구성된 IIS 웹 사이트에서 IIS 호스트 헤더 바인딩을 사용할 때 SSL 와일드카드 인증서를 사용해야 합니다. IIS의 SSL 호스트 헤더에 대한 자세한 내용은 SSL 호스트 헤더 구성(IIS 6.0) (영문)(https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x412)을 참조하십시오.

공유 서비스 관리 사이트 웹 응용 프로그램 만들기

  1. 중앙 관리의 응용 프로그램 관리 페이지에서 웹 응용 프로그램 만들기 또는 확장을 클릭합니다.

  2. 이후 페이지에서 새 웹 응용 프로그램 만들기를 클릭합니다.

  3. 이후 페이지에서 새 IIS 웹 사이트 만들기가 선택되었는지 확인합니다.

    • 설명 필드에 SSPAdminSite를 입력합니다.

    • 포트 필드에 80을 입력합니다.

    • 호스트 헤더 필드에 kerbsspadminsite.mydomain.net을 입력합니다.

  4. 협상이 이 웹 응용 프로그램의 인증 공급자로 선택되었는지 확인합니다.

  5. 기본 영역에 이 웹 응용 프로그램을 만듭니다. 이 웹 응용 프로그램의 영역을 수정하지 마십시오.

  6. 새 응용 프로그램 풀 만들기가 선택되었는지 확인합니다.

    • 응용 프로그램 풀 이름 필드에 SSPAdminSiteAppPool을 입력합니다.

    • 구성 가능이 선택되었는지 확인합니다. 사용자 이름 필드에 mydomain\sspadminpool 계정을 입력합니다.

  7. 확인을 클릭합니다. 

  8. 웹 응용 프로그램이 성공적으로 만들어졌는지 확인합니다.

참고

SSL 연결을 사용하고 웹 응용 프로그램을 포트 443에 바인딩하려면 포트 필드에 443을 입력하고 새 웹 응용 프로그램 만들기 페이지에서 SSL 사용을 선택합니다. 또한 SSL 와일드카드 인증서를 설치해야 합니다. SSL을 사용하도록 구성된 IIS 웹 사이트에서 IIS 호스트 헤더 바인딩을 사용할 때 SSL 와일드카드 인증서를 사용해야 합니다. IIS의 SSL 호스트 헤더에 대한 자세한 내용은 SSL 호스트 헤더 구성(IIS 6.0) (영문)(https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x412)을 참조하십시오.

포털 사이트 웹 응용 프로그램에서 공동 작업 포털 서식 파일을 사용하여 사이트 모음 만들기

이 섹션에서는 이 목적으로 만든 웹 응용 프로그램에서 포털 사이트에 사이트 모음을 만듭니다.

참고

이 섹션에서는 사용자 인터페이스에 대해 자세히 설명하지 않고 개략적인 지침만 제공합니다. 중앙 관리 및 계속하기 전에 필요한 단계를 수행하는 방법을 잘 알고 있어야 합니다.

  1. 중앙 관리의 응용 프로그램 관리 페이지에서 사이트 모음 만들기를 클릭합니다.

  2. 이후 페이지에서 올바른 웹 응용 프로그램을 선택해야 합니다. 이 문서에 있는 예의 경우 http://kerbportal.mydomain.net을 선택합니다.

  3. 이 사이트 모음에 사용할 제목과 설명을 제공합니다.

  4. 웹 사이트 주소를 변경하지 않고 그대로 둡니다.

  5. 서식 파일 선택 아래의 서식 파일 선택 섹션에서 게시 탭을 클릭하고 공동 작업 포털 서식 파일을 선택합니다.

  6. 주 사이트 모음 관리자 섹션에 mydomain\pscexec를 입력합니다.

  7. 사용할 보조 사이트 모음 관리자를 지정합니다.

  8. 확인을 클릭합니다. 

  9. 포털 사이트 모음이 성공적으로 만들어졌는지 확인합니다.

팜의 공유 서비스 공급자 만들기

팜의 공유 서비스 공급자를 만듭니다.

참고

이 섹션에서는 사용자 인터페이스에 대해 자세히 설명하지 않고 개략적인 지침만 제공합니다. 중앙 관리 및 계속하기 전에 필요한 단계를 수행하는 방법을 잘 알고 있어야 합니다.

  1. 중앙 관리의 응용 프로그램 관리 페이지에서 이 팜의 공유 서비스 만들기 또는 구성을 클릭합니다.

  2. 이후 페이지에서 새 SSP를 클릭합니다.

  3. 이후 페이지의 SSP 이름 섹션에서 SSP 이름 필드에 SSP1을 입력합니다. 그런 다음 웹 응용 프로그램 필드에서 공유 서비스 관리 사이트 웹 응용 프로그램에 대해 만든 웹 응용 프로그램을 선택합니다. 이 문서에 있는 예제의 경우 SSPAdminSite라는 웹 응용 프로그램을 선택합니다.

    • MySite 섹션의 웹 응용 프로그램 필드에서 내 사이트 웹 사이트에 대해 만든 웹 응용 프로그램을 선택합니다. 이 문서에 있는 예제의 경우 MySite라는 웹 응용 프로그램을 선택합니다.

    • SSP 서비스 자격 증명 섹션의 사용자 이름 필드에 mydomain\sspsvc를 입력합니다.

  4. 확인을 클릭합니다. 

  5. 팜의 SSP가 성공적으로 만들어졌는지 확인합니다.

Kerberos 인증을 사용하는 웹 응용 프로그램에 대한 성공적인 액세스 확인

Kerberos 인증이 최근에 만든 웹 응용 프로그램에 대해 작동하는지 확인합니다. 포털 사이트부터 시작합니다.

이렇게 하려면 다음 단계를 수행합니다.

  1. NLB를 사용하도록 구성된 두 프런트 엔드 웹 서버 중 하나가 아니라 Office SharePoint Server 2007을 실행하는 서버에 mydomain\pscexec로 로그온합니다. Kerberos 인증을 사용하는 부하가 분산된 웹 사이트를 호스팅하는 컴퓨터 중 하나에서 올바른 Kerberos 인증 동작을 직접 확인하면 안 됩니다. 이러한 확인 작업은 도메인에 있는 별도의 컴퓨터에서 수행해야 합니다.

  2. 이 별도의 시스템에서 Internet Explorer를 시작하고 http://kerbportal.mydomain.net으로 이동합니다.

Kerberos 인증 포털 사이트의 홈 페이지가 렌더링되어야 합니다.

Kerberos 인증이 포털 사이트에 액세스하는 데 사용되었는지 확인하려면 부하가 분산된 프런트 엔드 웹 서버 중 하나로 이동하고 이벤트 뷰어를 실행하여 보안 로그를 검토합니다. 프런트 엔드 웹 서버 중 하나에서 다음 표와 유사한 성공 감사 레코드가 표시되어야 합니다. 부하가 분산된 요청을 처리한 시스템에 따라 보안 로그를 찾으려면 두 프런트 엔드 웹 서버를 모두 살펴봐야 할 수도 있습니다.

이벤트 유형

성공 감사

이벤트 원본

보안

이벤트 범주

로그온/로그오프

이벤트 ID

540

날짜

2007-11-01

시간

오후 5:08:20

사용자

MYDOMAIN\pscexec

컴퓨터

mossfe1

설명

성공적인 네트워크 로그온의 예가 다음 표에 나와 있습니다.

사용자 이름

pscexec

도메인

MYDOMAIN

로그온 ID

(0x0,0x1D339D3)

로그온 유형

3

로그온 프로세스

Kerberos 인증

워크스테이션 이름

로그온 GUID

{fad7cb69-21f8-171b-851b-3e0dbf1bdc79}

호출자 사용자 이름

호출자 도메인

호출자 로그온 ID

호출자 프로세스 ID

전송된 서비스

원본 네트워크 주소

192,168,100,100

원본 포트

2505

이 로그 레코드에는 이전 로그 항목의 경우와 동일한 유형의 정보가 표시됩니다.

  • 사용자 이름이 올바른지 확인합니다. 사용자 이름은 포털 사이트를 호스팅하는 Office SharePoint Server 2007을 실행하는 프런트 엔드 웹 서버에 네트워크를 통해 로그온한 mydomain\pscexec 계정입니다.

  • 로그온 유형이 3인지 확인합니다. 로그온 유형 3은 네트워크 로그온입니다.

  • 로그온 프로세스와 인증 패키지에서 모두 Kerberos 인증을 사용하는지 확인합니다. 이로써 Kerberos 인증이 포털 사이트에 액세스하는 데 사용됨을 확인할 수 있습니다.

  • 원본 네트워크 주소가 연결을 설정한 컴퓨터의 IP 주소와 일치하는지 확인합니다.

포털 사이트의 홈 페이지가 렌더링되지 않고 "권한이 없음" 오류 메시지가 표시되면 Kerberos 인증이 실패한 것입니다. 이에 대한 원인은 대개 두 가지뿐입니다.

  • Active Directory의 SPN이 올바른 계정에 대해 등록되지 않았습니다. 포털 사이트의 웹 응용 프로그램의 경우 mydomain\portalpool에 대해 등록되어야 합니다.

  • Active Directory의 SPN이 Internet Explorer에서 생성되는 SPN과 일치하지 않거나 다른 이유로 유효하지 않습니다. 이 경우에 명시적 포트 번호 없이 IIS 호스트 헤더를 사용하기 때문에 Active Directory에서 등록된 SPN이 웹 응용 프로그램을 확장했을 때 지정한 IIS 호스트 헤더와 다릅니다. Kerberos 인증이 작동하게 하려면 이 문제를 해결해야 합니다.

참고

네트워크를 통해 진행되는 상황을 확인하는 데 사용할 수 있는 진단 도구는 중앙 관리로 이동하는 동안 추적하는 Microsoft 네트워크 모니터와 같은 네트워크 스니퍼입니다. 실패 후에 추적을 검토하고 KerberosV5 프로토콜 패킷을 찾은 후 Internet Explorer에서 생성된 SPN이 포함된 패킷을 찾습니다. 이 SPN에 포트 번호가 포함되어 있지 않으면 서비스 사용자 이름에 포트 번호를 포함하도록 Internet Explorer 구성 섹션에서 설명하는 수정 프로그램을 적용해야 합니다. 추적의 SPN이 올바르면 Active Directory의 SPN이 유효하지 않거나 잘못된 계정에 대해 등록된 것입니다.

Kerberos 인증이 포털 사이트에 대해 작동하게 한 후에는 다음 URL을 사용하여 Kerberos 인증 내 사이트 및 공유 서비스 관리 사이트로 이동합니다.

참고

내 사이트 URL에 처음 액세스하는 경우 Office SharePoint Server 2007에서 로그온한 사용자에 대한 내 사이트를 만드는 데 시간이 걸립니다. 하지만 이 작업은 성공하고 해당 사용자의 내 사이트 페이지가 렌더링됩니다.

두 사이트가 모두 제대로 작동해야 합니다. 제대로 작동하지 않으면 앞의 문제 해결 단계를 참조하십시오.

올바른 검색 인덱싱 기능 확인

검색 인덱싱에서 이 팜에 호스팅된 콘텐츠를 성공적으로 크롤링하는지 확인합니다. 이 단계는 Kerberos 인증을 사용하는 사이트에 액세스하는 사용자에 대한 검색 쿼리 결과를 확인하기 전에 수행해야 합니다.

참고

이 섹션에서는 사용자 인터페이스에 대해 자세히 설명하지 않고 개략적인 지침만 제공합니다. 중앙 관리 및 계속하기 전에 필요한 단계를 수행하는 방법을 잘 알고 있어야 합니다.

  1. http://kerbsspadmin.mydomain.net/ssp/admin에 있는 공유 서비스 관리 사이트 웹 응용 프로그램에 액세스합니다.

  2. 이 페이지에서 검색 설정을 클릭합니다.

  3. 이후 페이지에서 콘텐츠 원본 및 크롤링 일정을 클릭합니다.

  4. 이후 페이지에서 Office SharePoint Server 콘텐츠 원본의 ECB에 액세스하고 드롭다운 목록에서 전체 크롤링 시작을 선택합니다.

  5. 크롤링이 완료될 때까지 기다립니다. 크롤링이 실패하면 문제를 검사하고 해결한 다음 전체 크롤링을 실행해야 합니다. 크롤링이 "액세스 거부" 오류가 발생하면서 실패하면 크롤링 계정이 콘텐츠 원본에 액세스할 수 없기 때문이거나 Kerberos 인증이 실패했기 때문입니다. 원인이 무엇이든 간에 이후 단계를 진행하기 전에 이 오류를 해결해야 합니다.

계속하기 전에 Kerberos 인증 웹 응용 프로그램의 전체 크롤링을 완료해야 합니다.

올바른 검색 쿼리 기능 확인

검색 쿼리에서 Kerberos 인증을 사용하는 포털 사이트에 액세스하는 사용자에 대한 결과를 반환하는지 확인하려면:

  1. mydomain.net에 있는 시스템에서 Internet Explorer를 시작하고 http://kerbportal.mydomain.net으로 이동합니다.

  2. 포털 사이트의 홈 페이지가 렌더링되면 검색 필드에 검색 키워드를 입력하고 Enter 키를 누릅니다.

  3. 검색 쿼리 결과가 반환되는지 확인합니다. 반환되지 않으면 입력한 키워드가 해당 배포에서 유효하고, 검색 인덱싱이 제대로 실행되고 있고, 검색 서비스가 검색 인덱싱 및 검색 쿼리 서버에서 실행되고 있고, 검색 인덱스 서버에서 검색 쿼리 서버로의 검색 전파에 문제가 없는지 확인합니다.

Kerberos 인증을 사용하도록 SSP 인프라 구성

참고

이 절차는 Microsoft Office Servers 인프라 업데이트를 설치해야 하는 선택적 절차입니다. Microsoft Office Servers 인프라 업데이트를 설치하지 않으면 Office SharePoint Server 2007에 대해 Kerberos 인증을 제대로 구성할 수 없습니다.

Microsoft Office Servers 인프라 업데이트에는 SSP 인프라에 대한 Kerberos 인증의 새로운 사용자 지정 형식 SPN이 포함되어 있습니다. 이 사용자 지정 형식 SPN은 새로운 서비스 클래스인 MSSP를 도입합니다. 사용자 지정 형식 SPN은 MSSP/<호스트:포트>/<SSP 이름> 형태로 되어 있습니다.

이 새로운 사용자 지정 형식 SPN은 지정된 URL에 대해 특정 SPN을 사용하도록 .NET Framework에 지시하는 .NET Framework 속성을 설정합니다. .NET Framework는 Office SharePoint Server 2007 SSP 인프라 웹 서비스에 대한 서버 간 호출을 수행하는 데 사용됩니다.

Office SharePoint Server 2007 응용 프로그램 서버에서 SSP 인프라를 검토하면 IIS의 루트 수준뿐만 아니라 가상 디렉터리 수준에도 검색 공유 서비스가 있음을 확인할 수 있습니다. IIS의 가상 디렉터리 수준에는 ECS(Excel 계산 서비스)도 있습니다. Kerberos 인증을 사용하도록 SSP 인프라가 구성된 후 Kerberos는 루트 수준과 가상 디렉터리 수준의 공유 서비스에 액세스하는 데 사용됩니다.

루트 수준 웹 서비스의 SPN은 등록할 필요가 없으며 가상 디렉터리 수준 웹 서비스의 SPN만 등록하면 됩니다. 이는 도메인에 컴퓨터를 참가시킬 때 호스트 클래스 SPN이 도메인의 컴퓨터 계정에 대해 자동으로 등록되고 이 SPN이 루트 수준 웹 서비스에 대해서도 작동하기 때문입니다. 그러나 팜의 SSP와 실제로 상호 관련된 가상 디렉터리에 해당하는 SPN을 등록해야 합니다.

Kerberos 인증을 사용하도록 SSP 인프라를 성공적으로 구성하려면 다음 단계를 수행해야 합니다.

  1. Active Directory의 SSP 서비스 계정에 대한 새로운 사용자 지정 형식 SPN을 등록합니다.

  2. Stsadm 명령줄 도구를 실행하여 Kerberos 인증을 사용하도록 SSP 인프라를 설정합니다.

  3. 새로운 사용자 지정 형식 SPN을 생성할 수 있도록 Office SharePoint Server 2007을 실행하는 모든 서버에 새 레지스트리 키를 추가합니다.

  4. 루트 수준 공유 웹 서비스 액세스에 대한 Kerberos 인증을 확인합니다.

  5. 가상 디렉터리 수준 공유 웹 서비스 액세스에 대한 Kerberos 인증을 확인합니다.

참고

위의 절차에서 4단계와 5단계는 searchadmin.asmx 공유 웹 서비스와 관련되어 있습니다. 이 검색 관련 공유 웹 서비스는 SSP 인프라의 루트 수준뿐만 아니라 SSP 인프라의 가상 디렉터리 수준에도 있습니다. 루트 수준 검색 공유 서비스는 Office SharePoint Server 2007 중앙 관리에 있는 서버 제공 서비스 수준의 Office SharePoint Server 2007 검색 서비스 설정 구성과 관련된 전역 웹 서비스로 간주할 수 있습니다. 가상 디렉터리 수준 검색 공유 서비스는 팜의 특정 SSP에 해당하며 공유 서비스 관리 사이트에 해당 SSP에 특정한 검색 설정을 구성할 때 사용됩니다. 루트 수준 공유 서비스 액세스에 대한 Kerberos 인증을 확인하는 단계를 수행할 때 새로운 형식의 SPN이 생성되거나 사용되는 것을 확인할 수 없습니다. 가상 디렉터리 수준 웹 서비스에 액세스할 때만 새로운 형식의 SPN을 확인할 수 있지만, 두 수준 모두에서 해당 공유 서비스에 액세스할 수 있는지 확인해야 합니다.

Active Directory의 SSP 서비스 계정에 대한 새로운 사용자 지정 형식 SPN 등록

이 문서에서 SSP 서비스 계정은 mydomain\sspsvc이며 생성된 SSP의 이름은 SSP1입니다. SSP 인프라는 팜의 모든 서버에 있으므로 Office SharePoint Server 2007을 실행하는 모든 서버를 참조하는 SPN을 만들어야 합니다. SSP 인프라가 TCP 포트 56737과 SSL 포트 56738에 바인딩되기 때문에 두 포트 번호를 모두 포함하는 SPN이 필요합니다. 이 때문에 두 SPN이 각 응용 프로그램 서버에 필요합니다. 이 문서에서 사용된 예제의 경우 SPN을 10개 만들어야 합니다.

다음 절차에 따라 SSP 인프라의 SPN을 만듭니다.

  1. 도메인 관리 권한이 있는 사용자의 자격 증명을 사용하여 Active Directory 도메인 컨트롤러에 로그온합니다.

  2. 실행 대화 상자에 ADSIEDIT.MSC를 입력합니다.

  3. 관리 콘솔 대화 상자에서 도메인 컨테이너 폴더를 확장합니다.

  4. 사용자 계정이 포함된 컨테이너 폴더를 확장합니다(예: CN=Users).

  5. SSP 서비스 계정의 컨테이너를 찾습니다(예: CN=sspsvc).

  6. SSP 서비스 계정을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  7. servicePrincipalName을 찾을 때까지 SSP 검색 계정 대화 상자의 속성 목록을 아래로 스크롤합니다.

  8. servicePrincipalName 속성을 선택하고 편집을 클릭합니다.

  9. 다중값 문자열 편집기 대화 상자의 추가할 값 필드에서 다음 SPN을 추가합니다.

    • MSSP/mossfe1:56737/SSP1

    • MSSP/mossfe1:56738/SSP1

    • MSSP/mossfe2:56737/SSP1

    • MSSP/mossfe2:56738/SSP1

    • MSSP/mossadmin:56737/SSP1

    • MSSP/mossadmin:56738/SSP1

    • MSSP/mosscrawl:56737/SSP1

    • MSSP/mosscrawl:56738/SSP1

    • MSSP/mossquery:56737/SSP1

    • MSSP/mossquery:56738/SSP1

Stsadm 명령줄 도구를 실행하여 Kerberos 인증을 사용하도록 SSP 인프라 설정

Kerberos 인증을 사용하도록 SSP 인프라를 구성하려면 다음 절차를 수행합니다.

  1. 도메인 관리 권한이 있는 사용자의 자격 증명을 사용하여 Active Directory 도메인 컨트롤러에 로그온합니다.

  2. Office SharePoint Server 2007을 실행하는 서버 중 하나에서 명령 프롬프트를 엽니다.

  3. %COMMONPROGRAMFILES%\microsoft shared\web server extensions\12\bin 디렉터리로 변경합니다.

  4. stsadm –o setsharedwebserviceauthn –negotiate 명령을 입력한 다음 Enter 키를 누릅니다.

계속하기 전에 이 명령이 성공적으로 실행되는지 확인합니다.

이 절차를 완료하면 이 명령을 성공적으로 실행한 후 만든 SSP를 비롯하여 팜에 만든 모든 SSP에 명령이 적용됩니다.

새로운 사용자 지정 형식 SPN을 생성할 수 있도록 Office SharePoint Server를 실행하는 모든 서버에 새 레지스트리 키 추가

새로운 사용자 지정 형식 SPN의 생성은 Microsoft Office Servers 인프라 업데이트에서 도입된 새 레지스트리 키의 설정을 통해 제어됩니다. 새로운 사용자 지정 형식 SPN을 생성할 수 있도록 하려면 이 레지스트리 키를 팜의 모든 서버에 추가해야 하며 모든 서버를 다시 시작해야 합니다.

다음 단계에 따라 새 동작을 사용할 수 있도록 설정합니다. 팜의 각 서버에서 다음 단계를 수행하십시오.

  1. 로컬 관리자로 로그온합니다.

  2. 레지스트리 편집기를 실행하고 새 레지스트리 키 HKLM\Software\Microsoft\Office Server\12.0\KerberosSpnFormat” (REG_DWORD) = 1을 추가합니다.

  3. 서버를 다시 시작합니다. 새 레지스트리 키를 적용하려면 서버를 다시 시작해야 합니다.

경고

레지스트리를 잘못 편집하면 시스템이 심각하게 손상될 수 있습니다. 레지스트리를 변경하기 전에 컴퓨터의 중요한 데이터를 백업해야 합니다.

루트 수준 공유 서비스 액세스에 대한 Kerberos 인증 확인

루트 수준 공유 서비스에 대한 Kerberos 인증을 확인하려면 다음 절차를 수행하십시오.

  1. 중앙 관리 웹 응용 프로그램을 호스팅하는 컴퓨터에 로그온합니다. 이 문서의 예제를 사용하는 경우 MOSSADMIN에 로그온합니다.

  2. http://mossadmin.mydomain.net:10000의 중앙 관리로 이동합니다.

  3. 중앙 관리 홈 페이지에서 작업을 클릭합니다.

  4. 작업 페이지에서 서버 제공 서비스를 클릭합니다.

  5. 서버 섹션에서 드롭다운 화살표를 클릭하여 팜의 서버 목록을 표시한 다음 검색 쿼리 서버를 클릭합니다. 이 문서의 예제를 사용하는 경우 MOSSQUERY를 선택합니다.

  6. 페이지가 새로 고쳐진 후 올바른 쿼리 서버를 가리키고 있는지 확인하고 서비스 섹션에서 Office SharePoint Server 검색을 클릭합니다.

  7. 서버 mossquery에서 Office SharePoint Server 검색 서비스 설정 구성 페이지가 표시되는지 확인합니다.

  8. 다음 단계에 따라 Kerberos 인증이 페이지를 렌더링하는 데 사용되었는지 확인합니다.

    • 검색 쿼리 서버에 로그온합니다. 이 문서의 예제를 사용하는 경우 MOSSQUERY라는 MOSS 컴퓨터에 로그온합니다.

    • Windows 이벤트 뷰어를 실행합니다.

    • 보안 이벤트 로그를 검토합니다.

    • 다음 표에 나와 있는 데이터와 유사한 로그 레코드가 표시되어야 합니다.

      이벤트 유형

      성공 감사

      이벤트 원본

      보안

      이벤트 범주

      로그온/로그오프

      이벤트 ID

      540

      날짜

      2008-05-06

      시간

      오후 12:12:17

      사용자

      MYDOMAIN\pscexec

      컴퓨터

      MOSSQUERY

      설명

성공적인 네트워크 로그온의 예가 다음 표에 나와 있습니다.

사용자 이름

pscexec

도메인

MYDOMAIN

로그온 ID

(0x0,0x7252B10)

로그온 유형

3

로그온 프로세스

Kerberos

인증 패키지

Kerberos

워크스테이션 이름

로그온 GUID

{a96a9450-3af5-d82e-3bb3-8cd65c8e5c49}

호출자 사용자 이름

호출자 도메인

호출자 로그온 ID

호출자 프로세스 ID

전송된 서비스

원본 네트워크 주소

192,168,100,100

원본 포트

1964

중요

검색 인덱싱 서버에 대해 이 절차를 반복하여 페이지가 렌더링되고 Kerberos 인증 패키지가 페이지 액세스에 사용되었음을 나타내는 보안 이벤트 뷰어 로그 레코드가 있는지 확인하십시오.

가상 디렉터리 수준 공유 서비스 액세스에 대한 Kerberos 인증 확인

이 작업은 Kerberos 인증을 사용하는 Office SharePoint Server 2007을 실행하는 서버 팜을 구성하고 배포하는 최종 단계입니다.

Kerberos 인증이 가상 디렉터리 수준 공유 서비스에 액세스하는 데 사용되는지 확인하려면 다음 절차를 수행하십시오.

  1. 공유 서비스 관리 홈 페이지로 이동합니다.

  2. 부하가 분산된 프런트 엔드 웹 서버가 이 요청에 응답하는지 확인합니다.

  3. 이 요청에 응답하는 프런트 엔드 웹 서버에서 네트워크 모니터를 실행하고 캡처 필터를 적용하여 KerberosV5 프로토콜 패킷을 캡처합니다. 네트워크 모니터 3.2를 사용하는 경우 이 캡처 필터는 protocol.KerberosV5입니다.

  4. 네트워크 모니터 스니프를 시작합니다.

  5. 공유 서비스 관리 사이트 홈 페이지에서 검색 설정을 클릭합니다.

  6. 검색 설정 페이지가 표시되는지 확인합니다.

  7. 스니프를 중지하고 캡처된 패킷을 검사합니다. 다음 예제에 나와 있는 설명과 유사한 설명이 포함된 Kerberos 프로토콜 패킷이 표시되어야 합니다.

KerberosV5:AS Request Cname: sspadminpool Realm: MYDOMAIN.NET Sname: krbtgt/MYDOMAIN.NET KerberosV5:AS Response Ticket Realm: MYDOMAIN.NET, Sname: krbtgt/MYDOMAIN.NET KerberosV5:TGS Request Realm: MYDOMAIN.NET Sname: MSSP/mosscrawl:56738/SSP1 KerberosV5:TGS Response Cname: sspadminpool

위의 예제에 있는 Sname 값(MSSP/mosscrawl:56738/SSP1)은 Microsoft Office Servers 인프라 업데이트에 포함된 변경 사항에 따라 생성되고 Kerberos KDC에 전송되는 새로운 형식의 SPN입니다.

인덱스 서버에 로그온합니다. 이 문서의 예제에서 인덱스 서버는 MOSSCRAWL입니다. 이벤트 뷰어를 실행하고 보안 로그를 검토합니다. 다음 표에 나와 있는 데이터와 유사한 항목이 표시되어야 합니다.

이벤트 유형

성공 감사

이벤트 원본

보안

이벤트 범주

로그온/로그오프

이벤트 ID

540

날짜

2008-05-06

시간

오후 1:21:04

사용자

MYDOMAIN\sspadminpool

컴퓨터

MOSSCRAWL

설명

성공적인 네트워크 로그온의 예가 다음 표에 나와 있습니다.

사용자 이름

sspadminpool

도메인

MOSSCRAWL

로그온 ID

(0x0,0xD84A6)

로그온 유형

3

로그온 프로세스

Kerberos

인증 패키지

Kerberos

워크스테이션 이름

로그온 GUID

{2f1cccb3-c10d-27e5-9896-0f918e8ad796}

호출자 사용자 이름

호출자 도메인

호출자 로그온 ID

호출자 프로세스 ID

전송된 서비스

원본 네트워크 주소

192,168,150,100

원본 포트

1513

구성 제한 사항

Microsoft Office Servers 인프라 업데이트를 사용하여 SSP 인프라에 Kerberos 인증을 활용하는 경우 몇 가지 구성 제한 사항이 있습니다.

  • 생성되는 새로운 형식 SPN의 호스트 이름 부분은 서비스를 실행하는 호스트의 NetBIOS 이름입니다(예: MSSP/kerbtest4:56738/SSP1). 이는 Office SharePoint Server 2007 구성 데이터베이스에서 호스트 이름을 가져오고 NetBIOS 컴퓨터 이름만 Office SharePoint Server 2007 구성 데이터베이스에 저장되기 때문입니다. 이것은 특정 시나리오에서 모호할 수도 있습니다. 현재 Office SharePoint Server 2007을 실행하는 서버의 이름을 바꾸는 Stsadm 명령줄 도구를 사용하여 Office SharePoint Server 2007을 실행하는 서버의 이름을 바꿀 수 없으므로 이 문제의 해결 방법은 없습니다.

  • 확장 문자가 포함된 SSP 이름을 사용하지 마십시오. 확장 문자가 포함된 SSP 이름을 가진 SPN은 위임 대상으로 선택할 수 없으므로 SSP 이름에 확장 문자를 사용하지 않아야 합니다.

추가 리소스 및 문제 해결 지침

제품/기술 리소스

Windows Server 2003

Windows SharePoint Services 3.0을 설치한 후 이벤트 ID 오류 메시지 10016 및 10017이 시스템 로그에 기록된다(https://go.microsoft.com/fwlink/?linkid=120456&clcid=0x412)

SQL Server

SQL Server 2005의 인스턴스에 원격 연결을 만들 때 Kerberos 인증을 사용하고 있는지 확인하는 방법(https://go.microsoft.com/fwlink/?linkid=85942&clcid=0x412)

SQL Server

"SSPI 컨텍스트를 생성할 수 없습니다." 오류 메시지 문제 해결 방법(https://go.microsoft.com/fwlink/?linkid=82932&clcid=0x412)

SQL Server

Kerberos 인증을 사용하도록 SQL Server 2005 Analysis Services를 구성하는 방법(https://go.microsoft.com/fwlink/?linkid=120459&clcid=0x412)

.NET Framework

AuthenticationManager.CustomTargetNameDictionary 속성(https://go.microsoft.com/fwlink/?linkid=120460&clcid=0x412)

Windows Internet Explorer

Windows XP 및 Windows Server 2003의 Internet Explorer 6에서 Kerberos 인증 프로토콜을 사용하여 표준이 아닌 포트를 사용하는 웹 사이트에 연결할 수 없다(https://go.microsoft.com/fwlink/?linkid=99681&clcid=0x412)

Windows Internet Explorer

Windows XP 기반 컴퓨터에서 Internet Explorer를 사용하여 Kerberos 인증을 필요로 하는 웹 사이트에 액세스하려고 하면 "HTTP 오류 401 - 권한이 없음: 잘못된 자격 증명 때문에 액세스가 거부되었습니다." 오류 메시지가 나타난다(https://go.microsoft.com/fwlink/?linkid=120462&clcid=0x412)

Kerberos 인증

Kerberos 인증 기술 참조 (영문)(https://go.microsoft.com/fwlink/?linkid=78646&clcid=0x412)

Kerberos 인증

Kerberos 오류 문제 해결 (영문)(https://go.microsoft.com/fwlink/?linkid=93730&clcid=0x412)

Kerberos 인증

Kerberos 프로토콜 전환 및 제한된 위임 (영문)(https://go.microsoft.com/fwlink/?linkid=100941&clcid=0x412)

IIS

SSL 호스트 헤더 구성(IIS 6.0) (영문)(https://go.microsoft.com/fwlink/?linkid=120463&clcid=0x412)

작성자 정보

Mark Grossbard는 Microsoft에서 Office SharePoint Server를 담당하는 MOSS Core Test의 테스트 엔지니어입니다.

이 문서의 다운로드

이 항목은 다운로드 가능한 다음 문서에도 포함되어 있어 더 쉽게 읽고 인쇄할 수 있습니다.

사용 가능한 문서의 전체 목록은Office SharePoint Server 기술 라이브러리 (영문)를 참조하십시오.