SQL Server용 Kerberos 구성 관리자 개요
적용 대상: SQL Server
원래 KB 번호: 2985455
네트워크에서 Kerberos 구성이 잘못되면 Microsoft SQL Server에서 다양한 연결 오류가 발생할 수 있습니다. SQL Server용 Kerberos Configuration Manager는 SQL Server, SSRS(SQL Server Reporting Services) 및 SSAS(SQL Server Analysis Services)에 영향을 주는 Kerberos 관련 연결 문제를 해결하는 데 도움이 되는 진단 도구입니다. 이 문서에서는 Kerberos Configuration Manager 도구를 사용하는 방법과 도구의 출력을 해석하여 SQL Server에 영향을 주는 Kerberos 문제를 해결하는 방법에 대한 정보를 제공합니다.
참고 항목
Kerberos Configuration Manager는 있는 그대로 제공되며 기술 지원 또는 업데이트가 제공되지 않습니다. SQL Server 2022 이상 버전의 WMI 공급자를 사용하도록 업데이트되지 않았습니다. SQL Server 관련 Kerberos 구성 문제를 해결하고 진단하려면 SQLCheck를 참조하세요.
Kerberos 구성 관리자의 함수
Kerberos 구성 관리자는 다음 작업을 수행할 수 있습니다.
- 서버에 설치된 OS, Microsoft SQL Server 인스턴스 및 Always On 가용성 그룹 수신기에 대한 정보를 수집합니다.
- 서버의 모든 SPN(서비스 사용자 이름) 및 위임 구성을 보고합니다.
- SPN 및 위임의 잠재적인 문제를 식별합니다.
- 잠재적인 SPN 문제를 해결합니다.
사용 시나리오
이 도구를 사용하면 다음 예외 문제를 해결할 수 있습니다.
- 401
참고: 이 오류 메시지는 HTTP 오류, SSRS 오류 및 기타 유사한 오류에 대한 것입니다.
- SSPI 컨텍스트를 생성할 수 없음
- 사용자 'NTAUTHORITY\ANONYMOUS LOGON'에 로그인하지 못했습니다.
- 사용자 '(null)'이(가) 로그인하지 못했습니다.
- 사용자에 대한 로그인 실패(비어 있음)
참고 항목
문제 해결을 시작하기 전에 필수 구성 요소를 검토한 다음 일반 검사 목록을 검토하여 연결 관련 오류를 해결하는 것이 좋습니다.
참고 항목
SQL Server 기반 컴퓨터에 대한 관리자 액세스 권한이 있는 경우 해당 컴퓨터에서 SQL 연결 설정 확인 도구를 실행한 다음 출력을 검토하여 SQL Server 인스턴스의 SPN 구성을 확인할 수도 있습니다.
도구 다운로드
이 도구는 Microsoft 다운로드 센터에서 다운로드할 수 있습니다.
SQL Server용 Microsoft Kerberos Configuration Manager
참고 항목
SQL Server 기반 컴퓨터에 연결할 수 있는 도메인의 모든 컴퓨터에 도구를 다운로드하고 설치할 수 있습니다.
사용 권한
SQL, SSRS 및 SSAS에 영향을 주는 연결 문제를 해결하려면 해당 컴퓨터에 대한 관리 권한이 있는 도메인 사용자 계정을 사용하여 대상 컴퓨터(서비스를 호스팅하는 컴퓨터)에 연결합니다.
선택 사항: 도구를 사용하여 도구로 식별되는 SPN 문제를 해결하려면 도메인 계정에 유효성이 검사된 쓰기-서비스 주체 이름 권한이 있어야 합니다.
도구 사용
설치가 완료되면 설치 폴더로 이동하여 KerberosConfigMgr.exe 이진 파일을 시작합니다. 기본적으로 위치는 C:\Program Files\Microsoft\Kerberos Configuration Manager for SQL Server입니다.
관리자 또는 다른 사용자로 앱을 시작하는 방법에 대한 자세한 내용은 실행을 사용하여 관리자로 앱을 시작하는 방법을 참조하세요.
다음 옵션 중 하나를 사용하여 문제 해결을 시작합니다.
원격 SQL Server 기반 컴퓨터에 연결하려면 서버 이름, 도메인 사용자 이름 및 암호에 적절한 값을 입력합니다.
참고 항목
Kerberos Configuration Manager 도구는 Windows API를 사용하여 SQL Server 컴퓨터의 Kerberos 구성에 대한 정보를 쿼리하고 표시합니다. 따라서 명명된 인스턴스에 대한 Kerberos 관련 문제를 해결하는 경우에도 SQL Server 인스턴스를 호스트하는 컴퓨터의 이름을 항상 입력합니다.
로컬 서버에 연결하려면 연결을 선택하여 Kerberos 구성을 분석합니다. 이 경우 서버 이름, 도메인 사용자 이름 또는 암호를 지정할 필요가 없습니다.
참고 항목
도구를 시작하는 계정은 로컬 관리자 계정이어야 합니다. 관리자 또는 다른 사용자로 앱을 시작하는 방법에 대한 자세한 내용은 실행을 사용하여 관리자로 앱을 시작하는 방법을 참조하세요.
연결이 성공하면 모든 관련 SPN이 다음 스크린샷에 표시됩니다.
이 스크린샷에서 UI에는 다음 탭이 있습니다.
시스템: 사용자 정보 및 컴퓨터 정보를 표시합니다.
SPN: 대상 서버에 있는 각 SQL Server 인스턴스에 대한 SPN(서비스 사용자 이름) 정보를 표시하고 필요한 SPN 및 해당 상태와 같은 세부 정보를 제공합니다.
생성: 누락되고 구성된 SPN을 찾는 데 도움이 됩니다. SPN 생성 스크립트를 생성하는 데도 도움이 됩니다.
- 생성을 선택합니다.
- 열리는 대화 상자에서 이름(이 경우 "generateSPNss")을 제공하고 다른 이름으로 저장 형식을 Kerberos Config Mgr(.cmd) 파일로 설정한 다음 저장을 선택합니다.
generateSPNss.cmd 파일이 만들어지고 명령 프롬프트에서 이 파일을 실행할 수 있습니다. generateSPNss.cmd 파일의 내용은 다음 예제와 유사합니다.
:: This script is generated by the Microsoft® SQL Server® Kerberos Configuration Manager tool.
:: The script may update the system information, SPN settings and Delegation configurations of a given server.
:: SPN and Delegation configuration updates require Windows Domain Administrator permission to execute.
:: A Domain Admin should review the configurations recommended by this tool and take appropriate actions to enable Kerberos authentication.
:: Please contact Microsoft Support if Kerberos connection problem persists.
:: The file is intended to be run in domain `<DomainName>.com`"
:: Corrections for MSSQLSvc/`<HostName>.<DomainName>.com` **SetSPN -s MSSQLSvc/`<HostName>`. `<DomainName>`.com UserName**
SetSPN을 사용하여 SQL Server의 서비스 계정 아래에 SPN을 만듭니다.
수정을 사용하여 문제를 해결하고 SPN을 추가합니다. 필요한 권한이 있는 경우에만 SPN을 추가할 수 있습니다. 수정을 선택하면 다음 도구 설명이 표시됩니다.
참고 항목
이 도구는 고정 포트가 있는 기본 인스턴스 및 명명된 인스턴스에 대해서만 수정 및 생성 명령을 제공합니다. 동적 포트를 사용하는 명명된 인스턴스의 경우 동적 포트에서 정적 포트로 전환하거나 SQL 서비스가 시작될 때마다 서비스 계정이 SPN을 등록 및 등록 취소하는 데 필요한 권한을 제공하는 것이 좋습니다. 그렇지 않으면 서비스가 시작될 때마다 해당 SPN을 수동으로 등록 취소하고 다시 등록해야 합니다. 자세한 내용은 Kerberos 연결의 서비스 사용자 이름 등록을 참조하세요.
위임: 위임을 사용하여 위임에 대한 서비스 계정의 구성에 영향을 주는 문제를 식별합니다. 이는 연결된 서버 문제를 해결하는 데 특히 유용합니다. 예를 들어 SPN 체크 아웃이 괜찮지만 연결된 서버 쿼리에 영향을 주는 문제가 계속 발생하는 경우 서비스 계정이 자격 증명을 위임하도록 구성되지 않았음을 나타낼 수 있습니다. 자세한 내용은 위임용 연결된 서버 구성의 온라인 설명서 항목을 참조하세요.
Kerberos 구성 관리자의 진단에 대한 해석 및 작업
상태 열을 참조하여 도구에서 진단을 검토합니다. 상태에 따라 적절한 단계에 따라 문제를 해결합니다.
상태 - 양수
추가 정보: 선택한 항목이 올바르게 구성됩니다. 출력의 다음 항목으로 이동합니다.
작업: 작업이 필요하지 않습니다.
상태 - 필수 SPN이 없습니다.
추가 정보: Active Directory의 SQL Server 시작 계정에 대해 필수 SPN 열에 언급된 SPN (서비스 사용자 이름)이 누락된 경우 이 상태가 보고됩니다.
작업: 다음 단계에 따라 SPN 문제가 해결되었는지 확인합니다.
- [수정]을 선택하여 [경고] 대화 상자에서 정보를 검토합니다.
- [예]를 선택하여 누락된 SPN을 Active Directory에 추가합니다.
- 도메인 계정에 Active Directory를 업데이트하는 데 필요한 권한이 있는 경우 필요한 SPN이 Active Directory에 추가됩니다.
- 도메인 계정에 Active Directory를 업데이트하는 데 필요한 권한이 없는 경우 생성 또는 모두 생성을 사용하여 Active Directory 관리자가 누락된 SPN을 추가하는 데 도움이 되는 스크립트를 생성합니다.
- SPN이 추가된 후 Kerberos Configuration Manager를 다시 실행하여 SPN 문제가 해결되었는지 확인합니다.
상태 - Kerberos 구성을 사용하려면 TCP를 사용하도록 설정해야 합니다.
추가 정보: 클라이언트 컴퓨터에서 TCP를 사용하도록 설정하지 않은 경우 이 상태가 표시됩니다.
작업: 다음 단계에 따라 SQL Server 인스턴스에 대해 TCP/IP 프로토콜을 사용하도록 설정합니다.
SQL Server 구성 관리자 - 콘솔에서 SQL Server 네트워크 구성을 확장합니다.
콘솔에서 프로토콜을
<instance name>
선택합니다.세부 정보에서 TCP/IP를 선택한 다음 사용을 선택합니다.
콘솔에서 SQL Server 서비스를 선택합니다.
세부 정보에서 SQL Server를
<instance name>
선택합니다.다시 시작을 선택하여 SQL Server 서비스를 중지하고 다시 시작합니다. 자세한 내용은 서버 네트워크 프로토콜 사용 또는 사용 안 함 섹션을 참조 하세요.
상태 - 동적 포트
추가 정보: 이 상태는 동적 포트(기본 구성)를 사용하는 명명된 인스턴스에 대해 표시됩니다. Kerberos를 사용하여 SQL Server에 연결해야 하는 환경에서는 정적 포트를 사용하도록 명명된 인스턴스를 설정하고 SPN을 등록할 때 해당 포트를 사용해야 합니다. 그렇지 않으면 다음에 명명된 인스턴스가 SPN이 등록된 포트가 아닌 새 포트에서 수신 대기를 시작할 때 Active Directory에 등록된 SPN이 무효화됩니다.
참고 항목
이 권장 사항은 수동 SPN 등록에 의존하는 환경에만 적용됩니다.
작업: 정적 포트를 사용하도록 SQL Server 인스턴스를 구성하려면 다음 단계를 수행합니다.
- SQL Server 구성 관리자 - 콘솔에서 SQL Server 네트워크 구성을 확장하고 프로토콜을
<instance name>
확장한 다음 TCP/IP를 두 번 클릭합니다. - TCP/IP 속성에서 프로토콜에서 모두 수신 대기를 선택합니다.
- 모두 수신 대기가 예로 설정된 경우 IP 주소로 전환하고 창 아래쪽으로 스크롤하여 IPAll 설정을 찾습니다.
- TCP 동적 포트에서 현재 값을 삭제하고 TCP 포트에 포트 번호를 입력합니다.
- 확인을 선택한 다음 SQL Server 인스턴스를 다시 시작합니다. 자세한 내용은 특정 TCP 포트에서 수신 대기하도록 서버 구성을 참조하세요.
- 모두 수신 대기가 아니요로 설정된 경우 IP 주소로 전환하고 IP1 및 IP2 노드에 표시되는 모든 IP 주소를 확인합니다. 사용으로 설정된 주소의 경우 TCP 동적 포트에서 현재 값을 제거한 다음 TCP 포트에서 값을 설정합니다.
- 확인을 선택한 다음 설정을 적용하려면 SQL Server 인스턴스를 다시 시작합니다. 자세한 내용은 특정 TCP 포트에서 수신 대기하도록 서버 구성을 참조하세요.
- SQL Server 구성 관리자 - 콘솔에서 SQL Server 네트워크 구성을 확장하고 프로토콜을
상태 - 중복 SPN
추가 정보: 동일한 SPN이 Active Directory의 다른 계정 아래에 등록된 경우 이 시나리오가 발생할 수 있습니다.
작업: Active Directory에 SPN을 추가하려면 다음 단계를 수행합니다.
수정을 선택합니다.
경고 대화 상자에서 정보를 선택합니다.
[예]를 선택하여 누락된 SPN을 Active Directory에 추가합니다.
도메인 계정에 Active Directory를 업데이트하는 데 필요한 권한이 있는 경우 잘못된 SPN이 삭제됩니다.
도메인 계정에 Active Directory를 업데이트하는 데 필요한 권한이 없는 경우 생성 또는 모두 생성을 사용하여 중복 SPN을 제거하기 위해 Active Directory 관리자에게 제공할 수 있는 필요한 스크립트를 생성합니다.
SPN이 제거된 후 Kerberos Configuration Manager를 다시 실행하여 SPN 문제가 해결되었는지 확인합니다.
참고 항목
SQL Server 데이터베이스 엔진 인스턴스가 시작되면 SQL Server에서 SQL Server 서비스 SPN을 등록하려고 합니다. 인스턴스가 중지되면 SQL Server에서 SPN 등록을 취소하려고 합니다. 이렇게 하려면 SQL Server 서비스 계정에 Active Directory의 적절한 권한이 필요합니다. 그러나 서비스 계정에 이러한 권한이 없으면 자동 SPN 등록이 발생하지 않으며, SQL 인스턴스에서 Kerberos 인증을 사용하도록 설정할 수 있도록 Active Directory 관리자와 협력하여 이러한 SPN을 등록해야 합니다. 자세한 내용은 Kerberos 연결의 서비스 사용자 이름 등록을 참조하세요.
참고 항목
SQL이 클러스터된 환경에서는 SQL Server가 온라인 상태가 되는 데 걸리는 시간보다 SPN을 등록 취소하고 Active Directory에 SPN을 다시 등록하는 데 더 많은 시간이 걸릴 수 있으므로 SPN의 자동 등록은 권장되지 않습니다. SPN 등록이 적시에 수행되지 않으면 클러스터 관리자가 SQL Server 인스턴스에 연결할 수 없으므로 SQL Server가 온라인 상태가 되지 않을 수 있습니다.
추가 옵션
명령줄에서 SPN 목록을 생성하려면 다음을 수행합니다.
명령줄로 이동합니다.
참고 항목
SSRS에 영향을 주는 연결 문제를 해결하려면 관리 명령 프롬프트 창을 엽니다.
KerberosConfigMgr.exe 포함된 폴더로 전환합니다.
KerberosConfigMgr.exe -q -l
를 입력합니다.더 많은 명령줄 옵션을 보려면 .를 입력합니다
KerberosConfigMgr.exe -h
.
서버의 Kerberos 구성 정보를 저장하려면 다음을 수행합니다.
- 대상 Windows 서버에 연결합니다.
- 저장을 선택합니다.
- 파일을 저장할 위치를 지정합니다. 로컬 드라이브 또는 네트워크 공유에 있을 수 있습니다. 파일이 .xml 형식으로 저장됩니다.
저장된 파일에서 서버의 Kerberos 구성 정보를 보려면 다음을 수행합니다.
- 로드를 선택합니다.
- Kerberos Configuration Manager에서 생성한 XML 파일을 엽니다.
이 도구의 로그 파일을 보려면 다음을 수행합니다.
기본적으로 애플리케이션이 애플리케이션 데이터 폴더 %APPDATA%\Microsoft\KerberosConfigMgr에서 실행될 때마다 하나의 로그 파일이 생성됩니다.
도움을 받으려면 다음 방법 중 일부를 사용합니다.
- 마우스 포인터를 명령 위로 마우스로 가리키면 도구 설명이 생성됩니다.
- 명령 프롬프트에서 실행
KerberosConfigMgr.exe -h
합니다. - 도구 모음에서 도움말 단추를 선택합니다.