다음을 통해 공유

  • 아티클

Kerberos 인증 계정 만들기

 

마지막으로 수정된 항목: 2012-04-06

Kerberos 계정을 만들려면 절차를 성공적으로 완료하려면 최소한 Domain Admins 그룹 구성원으로 서버나 도메인에 로그온해야 합니다. AD DS(Active Directory 도메인 서비스) 인프라가 잠겨 있거나 보호되는 경우에는 Kerberos 계정 만들기를 자동화하는 Windows PowerShell cmdlet이 정상적으로 작동하지 않고 오류가 발생할 수 있습니다. 잠긴 Active Directory에서 작업하는 경우에는 Kerberos 계정을 만들려면 절차 뒤에 나오는 Kerberos 계정을 수동으로 만들려면 절차를 참조하십시오.

각 사이트에 대해 Kerberos 인증 계정을 만들 수도 있고, 단일 Kerberos 인증 계정을 만들어 모든 사이트에 사용할 수도 있습니다. Windows PowerShell cmdlet를 사용하여 계정을 만들고 관리합니다(각 사이트에 할당되는 계정 식별 작업 포함). 토폴로지 작성기 및 Lync Server 2010 제어판에는 Kerberos 인증 계정이 표시되지 않습니다. 다음 절차에 따라 Kerberos 인증에 사용할 하나 이상의 사용자 계정을 만듭니다.

Kerberos 계정을 만들려면

  1. Domain Admins 그룹의 구성원으로 Lync Server 2010을 실행하는 도메인의 컴퓨터 또는 관리 도구가 설치된 컴퓨터에 로그온합니다.

  2. Lync Server 관리 셸 시작: 시작, 모든 프로그램, Microsoft Lync Server 2010을 차례로 클릭한 다음 Lync Server 관리 셸을 클릭합니다.

  3. 명령줄에서 다음 명령을 실행합니다.

    New-CsKerberosAccount -UserAccount "Domain\UserAccount" -ContainerDN "CN=Users,DC=DomainName,DC=DomainExtension"

    예:

    New-CsKerberosAccount -UserAccount "Contoso\KerbAuth" -ContainerDN "CN=Users,DC=contoso,DC=com"

  4. 컴퓨터 개체가 만들어졌는지 확인합니다. 이렇게 하려면 Active Directory 사용자 및 컴퓨터를 열고 사용자 컨테이너를 확장한 다음 사용자 계정의 컴퓨터 개체가 컨테이너에 있는지 확인합니다.

Kerberos 계정을 수동으로 만들려면

  1. 보호되거나 잠긴 AD DS(Active Directory 도메인 서비스) 인프라에서 다음을 수행합니다.

    warning주의:
    다음 절차를 수행하려면 원격 서버 관리 도구를 설치하거나, AD DS 도구 기능이 설치된 상태에서 원격 또는 로컬로 작업해야 합니다.

  2. Domain Admins 그룹 구성원으로 관리 도구가 설치된 컴퓨터 또는 Lync Server 2010을 실행하는 도메인의 컴퓨터에 로그온합니다.

  3. 시작, 관리 도구를 차례로 클릭하고 Active Directory 사용자 및 컴퓨터를 실행합니다.

  4. Active Directory 사용자 및 컴퓨터에서 적절한 OU(조직 구성 단위) 또는 사용자 컨테이너에 사용자 계정을 만듭니다.

  5. 사용자 계정의 보안 탭에 액세스하려면 Active Directory 사용자 및 컴퓨터에서 보기를 클릭한 다음 고급 기능을 클릭합니다. 그러면 고급 기능이 선택되었음을 나타내기 위해 확인 표시가 나타납니다.

  6. 조직 구성 단위 또는 사용자 컨테이너에서 방금 만든 사용자 계정을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. 그런 다음 보안 탭을 선택하고 보안 탭에서 고급을 클릭합니다.

  7. 선택한 사용자 계정의 고급 보안 설정 탭에서 추가를 클릭하고사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 대화 상자의 **선택할 개체 이름을 입력하십시오.**에 RTCUniversalServerAdmins를 입력한 후에 이름 확인을 클릭합니다. 이름이 정상적으로 확인되면 확인을 클릭합니다.

  8. 사용자 계정의 권한 항목 대화 상자에서 개체 탭을 선택하고 적용 대상 드롭다운을 클릭한 후에 이 개체만을 선택합니다.

  9. 사용 권한 선택 창에서 다음 사용 권한을 선택합니다.

    사용 권한 허용/거부 상속 적용 대상

    암호 변경

    허용

    상속되지 않음

    이 개체만

    암호 다시 설정

    허용

    상속되지 않음

    이 개체만

    읽기 권한

    허용

    상속되지 않음

    이 개체만

    servicePrincipalName 쓰기

    허용

    상속되지 않음

    이 개체만

  10. 확인을 세 번 클릭하여 대화 상자를 모두 닫고, Active Directory 사용자 및 컴퓨터를 닫아 종료합니다.

  11. 시작, 관리 도구를 차례로 클릭한 다음 ADSI 편집을 실행합니다.

  12. ADSI 편집을 마우스 오른쪽 단추로 클릭하고 연결 대상을 선택한 후에 **잘 알려진 명명 컨텍스트를 선택합니다.**를 선택하고, 목록에서 기본 명명 컨텍스트를 선택한 다음 확인을 클릭합니다.

  13. 사용자 개체가 있는 조직 구성 단위 또는 컨테이너에서 사용자 개체를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

  14. 특성 편집기 탭에서 userAccountControl 특성을 찾은 다음 편집을 클릭합니다.

  15. 정수 특성 편집기에 userAccountControl의 정수 값이 표시되면 값을 69664로 변경합니다. 표시되는 정수 값은 PASSWD_NOTREQD, WORKSTATION_TRUST_ACCOUNT 및 DON’T_EXPIRE_PASSWD의 플래그를 설정합니다.

  16. 확인을 클릭하여 특성에 대한 변경 내용을 커밋하고 ADSI 편집을 닫습니다.