Kerberos 인증 구성(SharePoint Foundation 2010)

  • 아티클

 

적용 대상: SharePoint Foundation 2010

마지막으로 수정된 항목: 2016-11-30

이 문서의 내용:

  • Kerberos 인증 정보

  • 시작하기 전에

  • SQL 통신에 대한 Kerberos 인증 구성

  • Kerberos 인증을 사용하는 웹 응용 프로그램의 서비스 사용자 이름 만들기

  • 서버 팜 배포

  • 팜의 서버에 대한 서비스 구성

  • Kerberos 인증을 사용하는 웹 응용 프로그램 만들기

  • 포털 사이트 웹 응용 프로그램에서 공동 작업 포털 서식 파일을 사용하여 사이트 모음 만들기

  • Kerberos 인증을 사용하는 웹 응용 프로그램에 대한 성공적인 액세스 확인

  • 올바른 검색 인덱싱 기능 확인

  • 올바른 검색 쿼리 기능 확인

  • 구성 제한 사항

  • 추가 리소스 및 문제 해결 지침

Kerberos 인증 정보

Kerberos는 티켓 인증을 지원하는 보안 프로토콜입니다. Kerberos 인증 서버는 유효한 사용자 자격 증명과 유효한 SPN(서비스 사용자 이름)이 포함된 클라이언트 컴퓨터 인증 요청에 대한 응답으로 티켓을 부여합니다. 그러면 클라이언트 컴퓨터에서는 해당 티켓을 사용하여 네트워크 리소스에 액세스합니다. Kerberos 인증을 사용하도록 설정하려면 클라이언트 컴퓨터와 서버 컴퓨터에 도메인 KDC(키 배포 센터)에 대한 트러스트된 연결이 있어야 합니다. KDC는 암호화를 사용할 수 있도록 공유 비밀 키를 배포합니다. 또한 클라이언트 컴퓨터와 서버 컴퓨터가 AD DS(Active Directory 도메인 서비스)에 액세스할 수 있어야 합니다. AD DS의 경우 포리스트 루트 도메인이 Kerberos 인증 조회의 중심입니다.

Kerberos 인증을 사용하는 Microsoft SharePoint Foundation 2010을 실행하는 서버 팜을 배포하려면 컴퓨터에 다양한 응용 프로그램을 설치하고 구성해야 합니다. 이 문서에서는 SharePoint Foundation 2010을 실행하는 예제 서버 팜에 대해 설명하며 Kerberos 인증을 사용하여 다음 기능을 지원하도록 팜을 배포하고 구성하기 위한 지침을 제공합니다.

  • SharePoint Foundation 2010과 Microsoft SQL Server 데이터베이스 소프트웨어 간의 통신

  • SharePoint 중앙 관리 웹 응용 프로그램에 대한 액세스

  • 포털 사이트 웹 응용 프로그램 및 내 사이트 웹 응용 프로그램 등의 다른 웹 응용 프로그램에 대한 액세스

시작하기 전에

이 문서는 다음 내용에 대한 지식이 있는 관리자급 인력을 대상으로 합니다.

  • Windows Server 2008

  • Active Directory

  • IIS(인터넷 정보 서비스) 6.0(또는 IIS 7.0)

  • SharePoint Foundation 2010

  • Windows Internet Explorer

  • Windows Server 2008의 AD DS(Active Directory 도메인 서비스)에서 구현된 Kerberos 인증

  • Windows Server 2008의 NLB(네트워크 부하 분산)

  • Active Directory 도메인의 컴퓨터 계정

  • Active Directory 도메인의 사용자 계정

  • IIS 웹 사이트와 이러한 사이트의 바인딩 및 인증 설정

  • IIS 웹 사이트의 IIS 응용 프로그램 풀 ID

  • SharePoint 제품 구성 마법사

  • SharePoint Foundation 2010 웹 응용 프로그램

  • 중앙 관리 페이지

  • SPN(서비스 사용자 이름) 및 Active Directory 도메인에서 SPN을 구성하는 방법

중요

Active Directory 도메인에서 SPN을 만들려면 도메인 관리 수준 권한이 있어야 합니다.

이 문서에서는 Kerberos 인증을 자세히 살펴보지 않습니다. Kerberos는 Active Directory에서 구현되는 업계 표준 인증 방법입니다.

이 문서에서는 SharePoint Foundation 2010을 설치하거나 SharePoint 제품 구성 마법사를 사용하는 지침을 단계별로 자세히 설명하지 않습니다.

이 문서에서는 중앙 관리를 사용하여 SharePoint Foundation 2010 웹 응용 프로그램을 만드는 지침을 단계별로 자세히 설명하지 않습니다.

소프트웨어 버전 요구 사항

이 문서에서 제공되는 지침과 이 지침을 확인하기 위해 수행된 테스트는 Windows Update 사이트(https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x412)에서 최신 업데이트를 적용한 Windows Server 2008 및 Internet Explorer를 실행하는 시스템을 사용한 결과를 바탕으로 합니다. 다음 소프트웨어 버전이 설치되었습니다.

또한 Windows Update 사이트(https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x412)에서 최신 업데이트를 적용한 Windows Server 2008을 Active Directory 도메인 컨트롤러에서 실행해야 합니다.

알려진 문제

SharePoint Foundation 2010은 기본 포트(TCP 포트 80 및 SSL(Secure Sockets Layer) 포트 443)에 바인딩된 IIS 가상 서버에서 호스팅되고 Kerberos 인증을 사용하도록 구성된 웹 응용 프로그램을 크롤링할 수 있습니다. 그러나 SharePoint Foundation 2010 검색 기능은 비기본 포트(TCP 포트 80 및 SSL 포트 443 이외의 포트)에 바인딩된 IIS 가상 서버에서 호스팅되고 Kerberos 인증을 사용하도록 구성된 SharePoint Foundation 2010 웹 응용 프로그램을 크롤링할 수 없습니다. 현재 SharePoint Foundation 2010 검색 기능은 비기본 포트에 바인딩된 IIS 가상 서버에서 호스팅되고 NTLM 인증이나 기본 인증을 사용하도록 구성된 SharePoint Foundation 2010 웹 응용 프로그램만 크롤링할 수 있습니다.

Kerberos 인증을 사용한 최종 사용자 액세스의 경우 비기본 포트에 바인딩된 IIS 가상 서버에서만 호스팅될 수 있는 웹 응용 프로그램을 배포해야 할 때 최종 사용자가 검색 쿼리 결과를 얻게 하려면 다음 조건을 충족해야 합니다.

  • 동일한 웹 응용 프로그램이 비기본 포트에 바인딩된 다른 IIS 가상 서버에서 호스팅되어야 합니다.

  • 웹 응용 프로그램이 NTLM 또는 기본 인증을 사용하도록 구성되어야 합니다.

  • 검색 인덱싱에서 NTLM 또는 기본 인증을 사용하는 웹 응용 프로그램을 크롤링해야 합니다.

이 문서에서는 다음에 대한 지침을 제공합니다.

  • 비기본 포트에 바인딩된 IIS 가상 서버에서 호스팅되는 Kerberos 인증을 사용하는 중앙 관리 웹 응용 프로그램 구성

  • IIS 호스트 헤더 바인딩을 사용하고 기본 포트에 바인딩된 IIS 가상 서버에서 호스팅되는 Kerberos 인증을 사용하는 포털 및 내 사이트 응용 프로그램 구성

  • 검색 인덱싱에서 Kerberos 인증을 사용하는 SharePoint Foundation 2010 웹 응용 프로그램을 성공적으로 크롤링하는지 확인

  • Kerberos 인증된 웹 응용 프로그램에 액세스하는 사용자가 해당 웹 응용 프로그램에 대한 검색 쿼리 결과를 성공적으로 얻을 수 있는지 확인

추가 배경 설명

Kerberos 인증을 사용할 때 정확한 인증 기능은 Kerberos를 사용하여 인증하려는 클라이언트의 동작에 따라 부분적으로 결정된다는 것을 알고 있어야 합니다. Kerberos 인증을 사용하는 SharePoint Foundation 2010 팜 배포에서 SharePoint Foundation 2010은 클라이언트가 아닙니다. Kerberos 인증을 사용하는 SharePoint Foundation 2010을 실행하는 서버 팜을 배포하기 전에 다음 클라이언트의 동작을 이해해야 합니다.

  • 브라우저(이 문서의 맥락에서 브라우저는 항상 Internet Explorer임)

  • Microsoft .NET Framework

브라우저는 SharePoint Foundation 2010 웹 응용 프로그램에서 웹 페이지로 이동할 때 사용되는 클라이언트입니다. SharePoint Foundation 2010에서 로컬 SharePoint Foundation 2010 콘텐츠 원본을 크롤링하는 등의 작업을 수행할 때는 .NET Framework가 클라이언트 역할을 합니다.

Kerberos 인증이 제대로 작동하려면 AD DS에서 SPN을 만들어야 합니다. 이러한 SPN에 해당하는 서비스가 비기본 포트에서 수신 대기하는 경우 SPN에 포트 번호가 포함되어야 합니다. 이는 SPN이 의미를 갖도록 하기 위한 것이며 중복된 SPN이 생성되지 않도록 하는 데도 필요합니다.

클라이언트에서 Kerberos 인증을 사용하는 리소스에 액세스하려는 경우 Kerberos 인증 프로세스의 일부로 사용할 SPN을 만들어야 합니다. 클라이언트에서 AD DS에 구성된 SPN과 일치하는 SPN을 만들지 않으면 대개 "액세스 거부" 오류가 발생하면서 Kerberos 인증이 실패합니다.

포트 번호가 포함된 SPN을 만들지 않는 Internet Explorer 버전이 있습니다. IIS에서 비기본 포트 번호에 바인딩된 SharePoint Foundation 2010 웹 응용 프로그램을 사용하는 경우 Internet Explorer에서 만드는 SPN에 포트 번호를 포함하도록 설정해야 할 수 있습니다. SharePoint Foundation 2010을 실행하는 팜에서 중앙 관리 웹 응용 프로그램은 비기본 포트에 바인딩된 IIS 가상 서버에서 기본적으로 호스팅됩니다. 따라서 이 문서에서는 포트에 바인딩된 IIS 웹 사이트와 호스트 헤더에 바인딩된 IIS 웹 사이트를 모두 살펴봅니다.

SharePoint Foundation 2010을 실행하는 팜에서 .NET Framework는 기본적으로 포트 번호가 포함된 SPN을 만들지 않습니다. 이 때문에 검색에서 비기본 포트에 바인딩된 IIS 가상 서버에서 호스팅되고 Kerberos 인증을 사용하는 웹 응용 프로그램을 크롤링할 수 없습니다.

서버 팜 토폴로지

이 문서는 다음 SharePoint Foundation 2010 서버 팜 토폴로지를 대상으로 합니다.

  • Windows NLB가 구성된 프런트 엔드 웹 서버 역할을 하며 Windows Server 2008을 실행하는 두 컴퓨터

  • 응용 프로그램 서버 역할을 하며 Windows Server 2008을 실행하는 세 컴퓨터. 응용 프로그램 서버 중 하나는 중앙 관리 웹 응용 프로그램을 호스팅하고, 두 번째 응용 프로그램 서버는 검색 쿼리를 실행하며, 세 번째 응용 프로그램 서버는 검색 인덱싱을 실행합니다.

  • SharePoint Foundation 2010을 실행하는 팜의 SQL 호스트로 사용되며 Windows Server 2008을 실행하는 한 컴퓨터. 이 문서에서 설명된 시나리오의 경우에는 Microsoft SQL Server 2008을 사용할 수도 있습니다.

Active Directory 도메인 서비스, 컴퓨터 이름 및 NLB 규칙

이 문서에서 설명하는 시나리오에서는 다음과 같은 Active Directory, 컴퓨터 이름 및 NLB 규칙을 사용합니다.

서버 역할 도메인 이름

Active Directory 도메인 서비스

mydomain.net

SharePoint Foundation 2010을 실행하는 프런트 엔드 웹 서버

wssfe1.mydomain.net

SharePoint Foundation 2010을 실행하는 프런트 엔드 웹 서버

wssfe2.mydomain.net

SharePoint Foundation 2010 중앙 관리

wssadmin.mydomain.net

SharePoint Foundation 2010을 실행하는 검색 인덱싱

wsscrawl.mydomain.net

SharePoint Foundation 2010을 실행하는 검색 쿼리

wssquery.mydomain.net

SharePoint Foundation 2010을 실행하는 SQL Server 호스트

wsssql.mydomain.net

wssfe1.mydomain.net 및 wssfe2.mydomain.net에서 NLB를 구성한 결과로 이러한 시스템에 NLB VIP가 할당됩니다. 이 주소를 가리키는 DNS 호스트 이름의 집합은 DNS 시스템에서 등록됩니다. 예를 들어 NLB VIP가 192.168.100.200이면 다음 DNS 이름을 이 IP 주소(192.168.100.200)로 확인하는 DNS 레코드의 집합이 있습니다.

  • kerbportal.mydomain.net

  • kerbmysite.mydomain.net

Active Directory 도메인 계정 규칙

이 문서의 예제에서는 다음 표에 나와 있는 SharePoint Foundation 2010을 실행하는 팜에서 사용되는 서비스 계정과 응용 프로그램 풀 ID에 대한 명명 규칙을 사용합니다.

도메인 계정 또는 응용 프로그램 풀 ID 이름

로컬 관리자 계정

  • SharePoint Foundation 2010을 실행하는 모든 서버에서(SQL Server를 실행하는 호스트 컴퓨터는 제외)

  • SharePoint Foundation 2010 설치 및 SharePoint 제품 구성 마법사의 다음 사용자 이름으로 실행에 사용

mydomain\pscexec

SQL Server 호스트 컴퓨터의 로컬 관리자 계정

mydomain\sqladmin

SQL Server 서비스를 실행하는 데 사용되는 SQL Server 서비스 계정

mydomain\wsssqlsvc

SharePoint Foundation 2010 팜 관리자 계정

mydomain\wssfarmadmin

중앙 관리의 응용 프로그램 풀 ID와 SharePoint 타이머 서비스의 서비스 계정으로 사용됩니다.

포털 사이트 웹 응용 프로그램의 SharePoint Foundation 2010 응용 프로그램 풀 ID

mydomain\portalpool

내 사이트 웹 응용 프로그램의 SharePoint Foundation 2010 응용 프로그램 풀 ID

mydomain\mysitepool

SharePoint Foundation 2010 검색 서비스 계정

mydomain\wsssearch

SharePoint Foundation 2010 검색 콘텐츠 액세스 계정

mydomain\wsscrawl

SharePoint Foundation 2010 검색 서비스 계정

mydomain\wsssearch

SharePoint Foundation 2010 콘텐츠 액세스 계정

mydomain\wsscrawl

예비 구성 요구 사항

서버 팜의 컴퓨터에 SharePoint Foundation 2010을 설치하기 전에 다음 절차를 수행했는지 확인합니다.

  • SQL 호스트를 비롯하여 팜에 사용된 모든 서버가 Windows Update 사이트(https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x412)에서 최신 업데이트를 적용한 Windows Server 2008을 사용하여 설정되었습니다.

  • 팜의 모든 서버에 Windows Update 사이트(https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x412)에서 설치한 Internet Explorer와 해당하는 최신 업데이트가 있습니다.

  • SQL Server 2008이 SQL 호스트 컴퓨터에 설치되어 실행되며, SQL Server 서비스가 mydomain\sqlsvc 계정으로 실행됩니다. 기본 SQL Server 인스턴스가 설치되어 TCP 포트 1433에서 수신 대기하고 있습니다.

  • SharePoint 제품 구성 마법사의 다음 사용자 이름으로 실행 기능이 다음과 같이 추가되었습니다.

    • SQL 호스트에서 SQL 로그인으로 추가됨

    • SQL 호스트에서 SQL Server DBCreators 역할에 추가됨

    • SQL 호스트에서 SQL Server Security Administrators 역할에 추가됨

SQL 통신에 대한 Kerberos 인증 구성

SharePoint Foundation 2010을 실행하는 서버에 SharePoint Foundation 2010을 설치하고 구성하기 전에 SQL 통신에 대한 Kerberos 인증을 구성합니다. 이 작업을 수행하는 이유는 SharePoint Foundation 2010을 실행하는 컴퓨터가 SQL Server에 연결하려면 SQL 통신에 대한 Kerberos 인증을 구성하고 작동하는지 확인해야 하기 때문입니다.

Windows Server 2008을 실행하는 호스트 컴퓨터에 설치된 서비스에 대한 Kerberos 인증을 구성하는 프로세스에는 호스트에서 서비스를 실행하는 데 사용되는 도메인 계정의 SPN을 만드는 작업이 포함됩니다. SPN은 다음 부분으로 구성됩니다.

  • 서비스 이름(예: MSSQLSvc 또는 HTTP)

  • 호스트 이름(실제 또는 가상)

  • 포트 번호

다음 목록에는 wsssql이라는 컴퓨터에서 실행되고 포트 1433에서 수신 대기하는 SQL Server의 기본 인스턴스에 대한 SPN의 예가 나와 있습니다.

  • MSSQLSvc/wsssql:1433

  • MSSQLSvc/wsssql.mydomain.com:1433

위의 예는 이 문서에서 설명하는 팜에서 사용될 SQL 호스트의 SQL Server 인스턴스에 대해 만드는 SPN입니다. 항상 네트워크의 호스트에 대한 NetBIOS 이름과 전체 DNS 이름을 모두 가진 SPN을 만들어야 합니다.

Active Directory 도메인의 계정에 대한 SPN을 설정하는 데 여러 가지 방법을 사용할 수 있습니다. 그 중 한 가지 방법은 Windows Server 2008의 리소스 키트 도구에 포함된 SETSPN.EXE 유틸리티를 사용하는 것입니다. 다른 방법은 Active Directory 도메인 컨트롤러에서 ADSIEDIT.MSC 스냅인을 사용하는 것입니다. 이 문서에서는 ADSIEDIT.MSC 스냅인을 사용하는 방법을 살펴봅니다.

SQL Server에 대한 Kerberos 인증을 구성하는 과정에는 다음과 같은 두 가지 핵심 단계를 수행하게 됩니다.

  • SQL Server 서비스 계정의 SPN 만들기

  • Kerberos 인증이 SharePoint Foundation 2010을 실행하는 서버를 SQL Server를 실행하는 서버에 연결하는 데 사용되는지 확인합니다.

SQL Server 서비스 계정의 SPN 만들기

  1. 도메인 관리 권한이 있는 사용자의 자격 증명을 사용하여 Active Directory 도메인 컨트롤러에 로그온합니다.

  2. 실행 대화 상자에 ADSIEDIT.MSC를 입력합니다.

  3. 관리 콘솔 대화 상자에서 도메인 컨테이너 폴더를 확장합니다.

  4. 사용자 계정이 포함된 컨테이너 폴더를 확장합니다(예: CN=Users).

  5. SQL Server 서비스 계정의 컨테이너를 찾습니다(예: CN=wsssqlsvc).

  6. 이 계정을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  7. servicePrincipalName을 찾을 때까지 SQL Server 서비스 계정 대화 상자의 속성 목록을 아래로 스크롤합니다.

  8. servicePrincipalName 속성을 선택하고 편집을 클릭합니다.

  9. 다중값 문자열 편집기 대화 상자의 추가할 값 필드에 SPN MSSQLSvc/wsssql:1433을 입력하고 추가를 클릭합니다. 그런 다음 이 필드에 SPN MSSQLSvc/wsssql.mydomain.com:1433을 입력하고 추가를 클릭합니다.

  10. 다중값 문자열 편집기 대화 상자에서 확인을 클릭한 다음 SQL Server 서비스 계정의 속성 대화 상자에서 확인을 클릭합니다.

Kerberos 인증이 SharePoint Foundation 2010을 실행하는 서버를 SQL Server에 연결하는 데 사용되는지 확인

SharePoint Foundation 2010을 실행하는 서버 중 하나에 SQL 클라이언트 도구를 설치하고 이 도구를 사용하여 SharePoint Foundation 2010을 실행하는 서버에서 SQL Server를 실행하는 서버에 연결합니다. 이 문서에서는 SharePoint Foundation 2010을 실행하는 서버 중 하나에 SQL 클라이언트 도구를 설치하는 단계는 다루지 않습니다. 확인 절차는 다음과 같은 가정을 바탕으로 합니다.

  • SQL 호스트에서 SQL Server 2008을 사용 중입니다.

  • mydomain\pscexec 계정을 사용하여 SharePoint Foundation 2010을 실행하는 서버 중 하나에 로그온했고 SharePoint Foundation 2010을 실행하는 서버에 SQL 2005 클라이언트 도구를 설치했습니다.

  1. SQL Server 2005 Management Studio를 실행합니다.

  2. 서버에 연결 대화 상자가 나타나면 SQL 호스트 컴퓨터의 이름(이 예에서 SQL 호스트 컴퓨터는 wsssql임)을 입력하고 연결을 클릭하여 SQL 호스트 컴퓨터에 연결합니다.

  3. Kerberos 인증이 이 연결에 사용되었는지 확인하려면 SQL 호스트 컴퓨터에서 이벤트 뷰어를 실행하고 보안 이벤트 로그를 검토합니다. 다음 표에 있는 데이터와 유사한 로그온/로그오프 범주 이벤트에 대한 성공 감사 레코드가 표시되어야 합니다.

    이벤트 유형

    성공 감사

    이벤트 원본

    보안

    이벤트 범주

    로그온/로그오프

    이벤트 ID

    540

    날짜

    2007-10-31

    시간

    오후 4:12:24

    사용자

    MYDOMAIN\pscexec

    컴퓨터

    WSSQL

    설명

    다음 표에는 성공적인 네트워크 로그온의 예가 나와 있습니다.

    사용자 이름

    pscexec

    도메인

    MYDOMAIN

    로그온 ID

    (0x0,0x6F1AC9)

    로그온 유형

    3

    로그온 프로세스

    Kerberos

    워크스테이션 이름

    로그온 GUID

    {36d6fbe0-2cb8-916c-4fee-4b02b0d3f0fb}

    호출자 사용자 이름

    호출자 도메인

    호출자 로그온 ID

    호출자 프로세스 ID

    전송된 서비스

    원본 네트워크 주소

    192.168.100.100

    원본 포트

    2465

로그 항목을 검토하여 다음을 확인하십시오.

  1. 사용자 이름이 올바릅니다. mydomain\pscexec 계정이 네트워크를 통해 SQL 호스트에 로그온했습니다.

  2. 로그온 유형이 3입니다. 유형 3 로그온은 네트워크 로그온입니다.

  3. 로그온 프로세스와 인증 패키지에서 모두 Kerberos 인증을 사용합니다. 이로써 SharePoint Foundation 2010을 실행하는 서버에서 Kerberos 인증을 사용하여 SQL 호스트와 통신하고 있음을 확인할 수 있습니다.

  4. 원본 네트워크 주소가 연결을 설정한 컴퓨터의 IP 주소와 일치합니다.

SQL 호스트에 대한 연결이 실패하고 **SSPI 컨텍스트를 생성할 수 없습니다.**와 유사한 오류 메시지가 나타나면 SQL Server 인스턴스에 사용되는 SPN에 문제가 있을 수 있습니다. 이 문제를 해결하려면 Microsoft 기술 자료에서 "SSPI 컨텍스트를 생성할 수 없습니다." 오류 메시지 문제 해결 방법(https://go.microsoft.com/fwlink/?linkid=76621&clcid=0x412) 문서를 참조하십시오.

Kerberos 인증을 사용하는 웹 응용 프로그램의 서비스 사용자 이름 만들기

Kerberos 인증과 관련하여 IIS 기반 SharePoint Foundation 2010 웹 응용 프로그램에 대한 특별한 사항은 없습니다. Kerberos 인증에서는 이러한 웹 응용 프로그램을 다른 IIS 웹 사이트와 마찬가지 방식으로 처리합니다.

이 프로세스를 수행하려면 다음 항목에 대해 알아야 합니다.

  • SPN의 서비스 클래스(이 문서의 맥락에서 SharePoint Foundation 2010 웹 응용 프로그램의 경우 항상 HTTP임)

  • Kerberos 인증을 사용하는 모든 SharePoint Foundation 2010 웹 응용 프로그램의 URL

  • SPN의 호스트 이름 부분(실제 또는 가상. 이 문서에서는 둘 다 다룸)

  • SPN의 포트 번호 부분(이 문서에서 설명하는 시나리오에서는 IIS 포트 기반 및 IIS 호스트 헤더 기반 SharePoint Foundation 2010 웹 응용 프로그램이 모두 사용됨)

  • SPN을 만들어야 하는 Windows Active Directory 계정

다음 표에는 이 문서에서 설명하는 시나리오에 대한 정보가 나와 있습니다.

URL Active Directory 계정 SPN

http://wssadmin.mydomain.net:10000

wssfarmadmin

  • HTTP/wssadmin.mydomain.net:10000

  • HTTP/wssadmin.mydomain.net:10000

http://kerbportal.mydomain.net

portalpool

  • HTTP/kerbportal.mydomain.net

  • HTTP/kerbportal

http://kerbmysite.mydomain.net

mysitepool

  • HTTP/kerbmysite.mydomain.net

  • HTTP/kerbmysite

이 표에 대한 참고 사항

  • 위에 있는 첫 번째 URL은 중앙 관리의 URL이며 포트 번호를 사용합니다. 포트 10000을 사용할 필요는 없습니다. 포트 10000은 이 문서 전반의 일관성을 위해 사용된 예일 뿐입니다.

  • 그 다음 두 개의 URL은 각각 포털 사이트와 내 사이트의 URL입니다.

위에 제공된 지침을 사용하여 AD DS에서 SharePoint Foundation 2010 웹 응용 프로그램에 대한 Kerberos 인증을 지원하는 데 필요한 SPN을 만듭니다. 도메인 관리 권한이 있는 계정을 사용하여 해당 환경의 도메인 컨트롤러에 로그온해야 합니다. SPN을 만들려면 앞에서 설명한 SETSPN.EXE 유틸리티나 ADSIEDIT.MSC 스냅인을 사용하면 됩니다. ADSIEDIT.MSC 스냅인을 사용하는 경우 이 문서 앞부분에 나와 있는 SPN을 만드는 지침을 참조하십시오. AD DS에서 올바른 계정의 올바른 SPN을 만들어야 합니다.

서버 팜 배포

서버 팜 배포 작업에는 다음 단계가 포함됩니다.

  1. SharePoint Foundation 2010을 실행하는 모든 서버에서 SharePoint Foundation 2010을 설치합니다.

  2. SharePoint 제품 구성 마법사를 실행하고 새 팜을 만듭니다. 이 단계에는 비기본 포트에 바인딩된 IIS 가상 서버에서 호스팅되고 Kerberos 인증을 사용할 SharePoint Foundation 2010 중앙 관리 웹 응용 프로그램을 만드는 작업이 포함됩니다.

  3. SharePoint 제품 구성 마법사를 실행하고 다른 서버를 팜에 연결합니다.

  4. 팜의 서버에 대한 다음 서비스를 구성합니다.

    • SharePoint Foundation 2010 검색 서비스

    • SharePoint Foundation 2010 검색 인덱싱

    • SharePoint Foundation 2010 검색 쿼리

  5. Kerberos 인증을 사용하여 포털 사이트 및 내 사이트에 사용되는 웹 응용 프로그램을 만듭니다.

  6. 포털 사이트 웹 응용 프로그램에서 공동 작업 포털 서식 파일을 사용하여 사이트 모음을 만듭니다.

  7. Kerberos 인증을 사용하는 웹 응용 프로그램에 대한 성공적인 액세스를 확인합니다.

  8. 올바른 검색 인덱싱 기능을 확인합니다.

  9. 올바른 검색 쿼리 기능을 확인합니다.

모든 서버에 SharePoint Foundation 2010 설치

이 작업은 SharePoint Foundation 2010 설치 프로그램을 실행하여 SharePoint Foundation 2010을 실행하는 서버에 SharePoint Foundation 2010 바이너리를 설치하는 간단한 프로세스입니다. mydomain\pscexec 계정을 사용하여 SharePoint Foundation 2010을 실행하는 각 컴퓨터에 로그온합니다. 이에 대한 단계별 지침은 제공되지 않습니다. 이 문서에서 설명하는 시나리오의 경우 SharePoint Foundation 2010이 필요한 모든 서버에서 SharePoint Foundation 2010의 전체 설치를 수행합니다.

새 팜을 만들기

이 문서에 설명된 시나리오의 경우 WSSADMIN에서 SharePoint Foundation 2010 중앙 관리 웹 응용 프로그램을 호스팅하도록 먼저 WSSADMIN 검색 인덱싱 서버에서 SharePoint 제품 구성 마법사를 실행합니다.

WSSCRAWL이라는 서버에서 설치가 완료되면 SharePoint 제품 구성 마법사를 실행하도록 확인란이 선택되어 있는 설치 완료 대화 상자가 나타납니다. 이 확인란을 선택된 상태로 두고 설치 대화 상자를 닫아 SharePoint 제품 구성 마법사를 실행합니다.

이 컴퓨터에서 SharePoint 제품 구성 마법사를 실행하는 경우 다음 설정을 사용하여 새 팜을 만듭니다.

  • 데이터베이스 서버 이름을 제공합니다. 이 문서에서는 WSSSQL이라는 서버입니다.

  • 구성 데이터베이스 이름을 제공합니다. 기본 이름을 사용하거나 선택한 이름을 지정할 수 있습니다.

  • 데이터베이스 액세스(팜 관리자) 계정 정보를 제공합니다. 이 문서의 시나리오를 사용하는 경우 이 계정은 mydomain\wssfarmadmin입니다.

  • SharePoint Foundation 2010 중앙 관리 웹 응용 프로그램에 필요한 정보를 제공합니다. 이 문서의 시나리오를 사용하는 경우 이 정보는 다음과 같습니다.

    • 중앙 관리 웹 응용 프로그램 포트 번호: 10000

    • 인증 방법: 협상

필요한 모든 정보를 제공한 경우 SharePoint 제품 구성 마법사가 성공적으로 완료됩니다. 마법사가 성공적으로 완료되면 Kerberos 인증을 사용하는 SharePoint Foundation 2010 중앙 관리 웹 응용 프로그램 홈 페이지에 액세스할 수 있는지 확인합니다. 이렇게 하려면 다음 단계를 수행합니다.

  1. SharePoint Foundation 2010을 실행하는 다른 서버나 mydomain 도메인의 다른 컴퓨터에 mydomain\pscexec로 로그온합니다. SharePoint Foundation 2010 중앙 관리 웹 응용 프로그램을 호스팅하는 컴퓨터에서 올바른 Kerberos 인증 동작을 직접 확인하면 안 됩니다. 이러한 확인 작업은 도메인에 있는 별도의 컴퓨터에서 수행해야 합니다.

  2. 이 서버에서 Internet Explorer를 시작하고 http://wssadmin.mydomain.net:10000 URL로 이동합니다. 중앙 관리의 홈 페이지가 렌더링되어야 합니다.

  3. Kerberos 인증이 중앙 관리에 액세스하는 데 사용되었는지 확인하려면 WSSADMIN이라는 컴퓨터로 다시 이동하고 이벤트 뷰어를 실행하여 보안 로그를 검토합니다. 다음 표와 유사한 성공 감사 레코드가 표시되어야 합니다.

    이벤트 유형

    성공 감사

    이벤트 원본

    보안

    이벤트 범주

    로그온/로그오프

    이벤트 ID

    540

    날짜

    2007-11-1

    시간

    오후 2:22:20

    사용자

    MYDOMAIN\pscexec

    컴퓨터

    WSSADMIN

    설명

    다음 표에는 성공적인 네트워크 로그온의 예가 나와 있습니다.

    사용자 이름

    pscexec

    도메인

    MYDOMAIN

    로그온 ID

    (0x0,0x1D339D3)

    로그온 유형

    3

    로그온 프로세스

    Kerberos

    인증 패키지

    Kerberos

    워크스테이션 이름

    로그온 GUID

    {fad7cb69-21f8-171b-851b-3e0dbf1bdc79}

    호출자 사용자 이름

    호출자 도메인

    호출자 로그온 ID

    호출자 프로세스 ID

    전송된 서비스

    원본 네트워크 주소

    192.168.100.100

    원본 포트

    2505

이 로그 레코드에는 이전 로그 항목의 경우와 동일한 유형의 정보가 표시됩니다.

  • 사용자 이름이 올바른지 확인합니다. 사용자 이름은 중앙 관리를 호스팅하는 SharePoint Foundation 2010을 실행하는 서버에 네트워크를 통해 로그온한 mydomain\pscexec 계정입니다.

  • 로그온 유형이 3인지 확인합니다. 로그온 유형 3은 네트워크 로그온입니다.

  • 로그온 프로세스와 인증 패키지에서 모두 Kerberos 인증을 사용하는지 확인합니다. 이로써 Kerberos 인증이 중앙 관리 웹 응용 프로그램에 액세스하는 데 사용됨을 확인할 수 있습니다.

  • 원본 네트워크 주소가 연결을 설정한 컴퓨터의 IP 주소와 일치하는지 확인합니다.

중앙 관리 홈 페이지가 렌더링되지 않고 권한이 없음 오류 메시지가 표시되면 Kerberos 인증이 제대로 작동하지 않는 것입니다. 이에 대한 원인은 대개 두 가지뿐입니다.

  • AD DS의 SPN이 올바른 계정에 대해 등록되지 않았습니다. mydomain\wssfarmadmin에 대해 등록되어야 합니다.

  • AD DS의 SPN이 Internet Explorer에서 생성되는 SPN과 일치하지 않거나 다른 이유로 유효하지 않습니다. 사용자가 AD DS에서 등록한 SPN에서 포트 번호를 생략했을 수도 있습니다. 두 가지 중 어떤 경우든 계속하기 전에 Kerberos 인증을 사용하여 이 문제가 해결되었고 중앙 관리가 작동하는지 확인하십시오.

참고

네트워크를 통해 진행되는 상황을 확인하는 데 사용할 수 있는 진단 도구는 중앙 관리로 이동하는 동안 추적하는 Microsoft 네트워크 모니터와 같은 네트워크 스니퍼입니다. 실패 후에 추적을 검토하고 KerberosV5 프로토콜 패킷을 찾은 후 Internet Explorer에서 생성된 SPN이 포함된 패킷을 찾습니다. 추적의 SPN이 올바르면 AD DS의 SPN이 유효하지 않거나 잘못된 계정에 대해 등록된 것입니다.

팜에 다른 서버 연결

이제 팜이 만들어졌고 중앙 관리에 성공적으로 액세스할 수 있으므로 SharePoint 제품 구성 마법사를 실행하고 다른 서버를 팜에 연결해야 합니다.

SharePoint Foundation 2010을 실행하는 다른 네 서버(wssfe1, wssfe2, wssquery 및 wsscrawl)에서 SharePoint Foundation 2010 설치가 완료되었고 SharePoint 제품 구성 마법사 확인란이 선택된 상태로 설치 완료 대화 상자가 나타납니다. 이 확인란을 그대로 두고 설치 완료 대화 상자를 닫아 SharePoint 제품 구성 마법사를 실행합니다. 그런 다음 이러한 각 서버를 팜에 연결하는 절차를 수행합니다.

팜에 추가하는 각 서버에서 SharePoint 제품 구성 마법사가 완료되면 이러한 각 서버에서 실행 중인 중앙 관리 WSSADMIN을 렌더링할 수 있는지 확인합니다. 중앙 관리를 렌더링하지 못하는 서버가 있으면 계속하기 전에 적절한 조치를 취하여 문제를 해결합니다.

팜의 서버에 대한 서비스 구성

다음 섹션에 나와 있는 계정을 사용하여 팜에서 SharePoint Foundation 2010을 실행하는 특정 서버에서 실행할 특정 SharePoint Foundation 2010 서비스를 구성합니다.

참고

이 섹션에서는 사용자 인터페이스에 대해 자세히 설명하지 않고 개략적인 지침만 제공합니다. 계속하기 전에 필요한 단계를 수행하는 방법과 중앙 관리에 대해 잘 알고 있어야 합니다.

중앙 관리에 액세스하고 다음 단계에 따라 지정된 계정을 사용하여 표시된 서버에 대한 서비스를 구성합니다.

Windows SharePoint Services 검색

중앙 관리의 서버 제공 서비스 페이지에서 다음을 수행합니다.

  1. WSSQUERY 서버를 선택합니다.

  2. 페이지에 나타나는 서비스 목록에서 SharePoint Foundation 2010 검색 서비스를 찾은 다음 작업 열에서 시작을 클릭합니다.

  3. 이후 페이지에서 SharePoint Foundation 2010 검색 서비스 계정과 SharePoint Foundation 2010 콘텐츠 액세스 계정의 자격 증명을 제공합니다. 이 문서의 시나리오에서 SharePoint Foundation 2010 검색 서비스 계정은 mydomain\wsssearch이며 SharePoint Foundation 2010 콘텐츠 액세스 계정은 mydomain\wsscrawl입니다. 페이지의 적절한 위치에 계정 이름과 암호를 입력한 다음 시작을 클릭합니다.

인덱스 서버

중앙 관리의 서버 제공 서비스 페이지에서 다음을 수행합니다.

  1. WSSCRAWL 서버를 선택합니다.

  2. 페이지에 나타나는 서비스 목록에서 SharePoint Foundation 2010 검색 서비스를 찾은 다음 작업 열에서 시작을 클릭합니다.

이후 페이지에서 이 서버를 사용하여 콘텐츠를 인덱싱할 수 있습니다. 확인란을 선택한 다음 SharePoint Foundation 2010 검색 서비스 계정의 자격 증명을 제공합니다. 이 문서의 시나리오에서 SharePoint Foundation 2010 검색 서비스 계정은 mydomain\wsssearch입니다. 페이지의 적절한 위치에 계정 이름과 암호를 입력한 다음 시작을 클릭합니다.

쿼리 서버

중앙 관리의 서버 제공 서비스 페이지에서 다음을 수행합니다.

  1. WSSQUERY 서버를 선택합니다.

  2. 페이지에 나타나는 서비스 목록에서 SharePoint Foundation 2010 검색 서비스를 찾은 다음 서비스 열에서 서비스 이름을 클릭합니다.

이후 페이지에서 이 서버를 사용하여 검색 쿼리를 처리할 수 있습니다. 확인란을 선택하고 확인을 클릭합니다.

Kerberos 인증을 사용하는 웹 응용 프로그램 만들기

이 섹션에서는 팜에 있는 포털 사이트 및 내 사이트에 사용되는 웹 응용 프로그램을 만듭니다.

참고

이 섹션에서는 사용자 인터페이스에 대해 자세히 설명하지 않고 개략적인 지침만 제공합니다. 계속하기 전에 필요한 단계를 수행하는 방법과 중앙 관리에 대해 잘 알고 있어야 합니다.

포털 사이트 웹 응용 프로그램 만들기

  1. 중앙 관리의 응용 프로그램 관리 페이지에서 웹 응용 프로그램 만들기 또는 확장을 클릭합니다.

  2. 이후 페이지에서 새 웹 응용 프로그램 만들기를 클릭합니다.

  3. 이후 페이지에서 새 IIS 웹 사이트 만들기가 선택되었는지 확인합니다.

    • 설명 필드에 PortalSite를 입력합니다.

    • 포트 필드에 80을 입력합니다.

    • 호스트 헤더 필드에 kerbportal.mydomain.net을 입력합니다.

  4. 협상이 이 웹 응용 프로그램의 인증 공급자로 선택되었는지 확인합니다.

  5. 기본 영역에 이 웹 응용 프로그램을 만듭니다. 이 웹 응용 프로그램의 영역을 수정하지 마십시오.

  6. 새 응용 프로그램 풀 만들기가 선택되었는지 확인합니다.

    • 응용 프로그램 풀 이름 필드에 PortalAppPool을 입력합니다.

    • 구성 가능이 선택되었는지 확인합니다. 사용자 이름 필드에 mydomain\portalpool 계정을 입력합니다.

  7. 확인을 클릭합니다.

  8. 웹 응용 프로그램이 성공적으로 만들어졌는지 확인합니다.

참고

SSL 연결을 사용하고 웹 응용 프로그램을 포트 443에 바인딩하려면 포트 필드에 443을 입력하고 새 웹 응용 프로그램 만들기 페이지에서 SSL 사용을 선택합니다. 또한 SSL 와일드카드 인증서를 설치해야 합니다. SSL을 사용하도록 구성된 IIS 웹 사이트에서 IIS 호스트 헤더 바인딩을 사용할 때 SSL 와일드카드 인증서를 사용해야 합니다. IIS의 SSL 호스트 헤더에 대한 자세한 내용은 SSL 호스트 헤더 구성(IIS 6.0)(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x412)(영문일 수 있음)을 참조하십시오.

내 사이트 웹 응용 프로그램 만들기

  1. 중앙 관리의 응용 프로그램 관리 페이지에서 웹 응용 프로그램 만들기 또는 확장을 클릭합니다.

  2. 이후 페이지에서 새 웹 응용 프로그램 만들기를 클릭합니다.

  3. 이후 페이지에서 새 IIS 웹 사이트 만들기가 선택되었는지 확인합니다.

    • 설명 필드에 MySite를 입력합니다.

    • 포트 필드에 80을 입력합니다.

    • 호스트 헤더 필드에 kerbmysite.mydomain.net을 입력합니다.

  4. 협상이 이 웹 응용 프로그램의 인증 공급자로 선택되었는지 확인합니다.

  5. 기본 영역에 이 웹 응용 프로그램을 만듭니다. 이 웹 응용 프로그램의 영역을 수정하지 마십시오.

  6. 새 응용 프로그램 풀 만들기가 선택되었는지 확인합니다.

    • 응용 프로그램 풀 이름 필드에 MySiteAppPool을 입력합니다.

    • 구성 가능이 선택되었는지 확인합니다. 사용자 이름 필드에 mydomain\mysitepool 계정을 입력합니다.

  7. 확인을 클릭합니다.

  8. 웹 응용 프로그램이 성공적으로 만들어졌는지 확인합니다.

참고

SSL 연결을 사용하고 웹 응용 프로그램을 포트 443에 바인딩하려면 포트 필드에 443을 입력하고 새 웹 응용 프로그램 만들기 페이지에서 SSL 사용을 선택합니다. 또한 SSL 와일드카드 인증서를 설치해야 합니다. SSL을 사용하도록 구성된 IIS 웹 사이트에서 IIS 호스트 헤더 바인딩을 사용할 때 SSL 와일드카드 인증서를 사용해야 합니다. IIS의 SSL 호스트 헤더에 대한 자세한 내용은 SSL 호스트 헤더 구성(IIS 6.0)(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x412)(영문일 수 있음)을 참조하십시오.

포털 사이트 웹 응용 프로그램에서 공동 작업 포털 서식 파일을 사용하여 사이트 모음 만들기

이 섹션에서는 이 목적으로 만든 웹 응용 프로그램에서 포털 사이트에 사이트 모음을 만듭니다.

참고

이 섹션에서는 사용자 인터페이스에 대해 자세히 설명하지 않고 개략적인 지침만 제공합니다. 계속하기 전에 필요한 단계를 수행하는 방법과 중앙 관리에 대해 잘 알고 있어야 합니다.

  1. 중앙 관리의 응용 프로그램 관리 페이지에서 사이트 모음 만들기를 클릭합니다.

  2. 이후 페이지에서 올바른 웹 응용 프로그램을 선택해야 합니다. 이 문서에 있는 예의 경우 http://kerbportal.mydomain.net을 선택합니다.

  3. 이 사이트 모음에 사용할 제목과 설명을 제공합니다.

  4. 웹 사이트 주소를 변경하지 않고 그대로 둡니다.

  5. 서식 파일 선택 아래의 서식 파일 선택 섹션에서 게시 탭을 클릭하고 공동 작업 포털 서식 파일을 선택합니다.

  6. 주 사이트 모음 관리자 섹션에 mydomain\pscexec를 입력합니다.

  7. 사용할 보조 사이트 모음 관리자를 지정합니다.

  8. 확인을 클릭합니다.

  9. 포털 사이트 모음이 성공적으로 만들어졌는지 확인합니다.

Kerberos 인증을 사용하는 웹 응용 프로그램에 대한 성공적인 액세스 확인

Kerberos 인증이 최근에 만든 웹 응용 프로그램에 대해 작동하는지 확인합니다. 포털 사이트부터 시작합니다.

이렇게 하려면 다음 단계를 수행합니다.

  1. NLB를 사용하도록 구성된 두 프런트 엔드 웹 서버 중 하나가 아니라 SharePoint Foundation 2010을 실행하는 서버에 mydomain\pscexec로 로그온합니다. Kerberos 인증을 사용하는 부하가 분산된 웹 사이트를 호스팅하는 컴퓨터 중 하나에서 올바른 Kerberos 인증 동작을 직접 확인하면 안 됩니다. 이러한 확인 작업은 도메인에 있는 별도의 컴퓨터에서 수행해야 합니다.

  2. 이 별도의 시스템에서 Internet Explorer를 시작하고 http://kerbportal.mydomain.net으로 이동합니다.

Kerberos 인증 포털 사이트의 홈 페이지가 렌더링되어야 합니다.

Kerberos 인증이 포털 사이트에 액세스하는 데 사용되었는지 확인하려면 부하가 분산된 프런트 엔드 웹 서버 중 하나로 이동하고 이벤트 뷰어를 실행하여 보안 로그를 검토합니다. 프런트 엔드 웹 서버 중 하나에서 다음 표와 유사한 성공 감사 레코드가 표시되어야 합니다. 부하가 분산된 요청을 처리한 시스템에 따라 보안 로그를 찾으려면 두 프런트 엔드 웹 서버를 모두 살펴봐야 할 수도 있습니다.

이벤트 유형

성공 감사

이벤트 원본

보안

이벤트 범주

로그온/로그오프

이벤트 ID

540

날짜

2007-11-1

시간

오후 5:08:20

사용자

MYDOMAIN\pscexec

컴퓨터

wssfe1

설명

다음 표에는 성공적인 네트워크 로그온의 예가 나와 있습니다.

사용자 이름

pscexec

도메인

MYDOMAIN

로그온 ID

(0x0,0x1D339D3)

로그온 유형

3

로그온 프로세스

Kerberos 인증

워크스테이션 이름

로그온 GUID

{fad7cb69-21f8-171b-851b-3e0dbf1bdc79}

호출자 사용자 이름

호출자 도메인

호출자 로그온 ID

호출자 프로세스 ID

전송된 서비스

원본 네트워크 주소

192.168.100.100

원본 포트

2505

이 로그 레코드에는 이전 로그 항목의 경우와 동일한 유형의 정보가 표시됩니다.

  • 사용자 이름이 올바른지 확인합니다. 사용자 이름은 포털 사이트를 호스팅하는 SharePoint Foundation 2010을 실행하는 프런트 엔드 웹 서버에 네트워크를 통해 로그온한 mydomain\pscexec 계정입니다.

  • 로그온 유형이 3인지 확인합니다. 로그온 유형 3은 네트워크 로그온입니다.

  • 로그온 프로세스와 인증 패키지에서 모두 Kerberos 인증을 사용하는지 확인합니다. 이로써 Kerberos 인증이 포털 사이트에 액세스하는 데 사용됨을 확인할 수 있습니다.

  • 원본 네트워크 주소가 연결을 설정한 컴퓨터의 IP 주소와 일치하는지 확인합니다.

포털 사이트의 홈 페이지가 렌더링되지 않고 "권한이 없음" 오류 메시지가 표시되면 Kerberos 인증이 실패한 것입니다. 이에 대한 원인은 대개 두 가지뿐입니다.

  • AD DS의 SPN이 올바른 계정에 대해 등록되지 않았습니다. 포털 사이트의 웹 응용 프로그램의 경우 mydomain\portalpool에 대해 등록되어야 합니다.

  • AD DS의 SPN이 Internet Explorer에서 생성되는 SPN과 일치하지 않거나 다른 이유로 유효하지 않습니다. 이 경우에 명시적 포트 번호 없이 IIS 호스트 헤더를 사용하기 때문에 AD DS에서 등록된 SPN이 웹 응용 프로그램을 확장했을 때 지정한 IIS 호스트 헤더와 다릅니다. Kerberos 인증이 작동하게 하려면 이 문제를 해결해야 합니다.

참고

네트워크를 통해 진행되는 상황을 확인하는 데 사용할 수 있는 진단 도구는 중앙 관리로 이동하는 동안 추적하는 Microsoft 네트워크 모니터와 같은 네트워크 스니퍼입니다. 실패 후에 추적을 검토하고 KerberosV5 프로토콜 패킷을 찾은 후 Internet Explorer에서 생성된 SPN이 포함된 패킷을 찾습니다. 추적의 SPN이 올바르면 AD DS의 SPN이 유효하지 않거나 잘못된 계정에 대해 등록된 것입니다.

Kerberos 인증이 포털 사이트에 대해 작동하도록 한 후에는 다음 URL을 사용하여 Kerberos 인증 내 사이트로 이동합니다.

참고

내 사이트 URL에 처음 액세스하는 경우 SharePoint Foundation 2010에서 로그온한 사용자에 대한 내 사이트를 만드는 데 어느 정도 시간이 걸립니다. 하지만 이 작업은 성공하고 해당 사용자의 내 사이트 페이지가 렌더링됩니다.

이는 제대로 작동해야 하며, 제대로 작동하지 않으면 앞의 문제 해결 단계를 참조하십시오.

올바른 검색 인덱싱 기능 확인

검색 인덱싱에서 이 팜에 호스팅된 콘텐츠를 성공적으로 크롤링하는지 확인합니다. 이 단계는 Kerberos 인증을 사용하는 사이트에 액세스하는 사용자에 대한 검색 쿼리 결과를 확인하기 전에 수행해야 합니다.

참고

이 섹션에서는 사용자 인터페이스에 대해 자세히 설명하지 않고 개략적인 지침만 제공합니다. 계속하기 전에 필요한 단계를 수행하는 방법과 중앙 관리에 대해 잘 알고 있어야 합니다.
검색 인덱싱 기능을 확인하려면 웹 응용 프로그램에 액세스하고 전체 크롤링을 시작합니다. 크롤링이 완료될 때까지 기다립니다. 크롤링이 실패하면 문제를 검사하고 해결한 다음 전체 크롤링을 실행해야 합니다. 크롤링이 "액세스 거부" 오류가 발생하면서 실패하면 크롤링 계정이 콘텐츠 원본에 액세스할 수 없기 때문이거나 Kerberos 인증이 실패했기 때문입니다. 원인이 무엇이든 간에 이후 단계를 진행하기 전에 이 오류를 해결해야 합니다.

계속하기 전에 Kerberos 인증 웹 응용 프로그램의 전체 크롤링을 완료해야 합니다.

올바른 검색 쿼리 기능 확인

검색 쿼리에서 Kerberos 인증을 사용하는 포털 사이트에 액세스하는 사용자에 대한 결과를 반환하는지 확인하려면

  1. mydomain.net에 있는 시스템에서 Internet Explorer를 시작하고 http://kerbportal.mydomain.net으로 이동합니다.

  2. 포털 사이트의 홈 페이지가 렌더링되면 검색 필드에 검색 키워드를 입력하고 Enter 키를 누릅니다.

  3. 검색 쿼리 결과가 반환되는지 확인합니다. 반환되지 않으면 입력한 키워드가 해당 배포에서 유효하고, 검색 인덱싱이 제대로 실행되고 있고, 검색 서비스가 검색 인덱싱 및 검색 쿼리 서버에서 실행되고 있고, 검색 인덱스 서버에서 검색 쿼리 서버로의 검색 전파에 문제가 없는지 확인합니다.

구성 제한 사항

생성되는 새로운 형식 SPN의 호스트 이름 부분은 서비스를 실행하는 호스트의 NetBIOS 이름입니다(예: MSSP/kerbtest4:56738/SSP1). 이는 SharePoint Foundation 2010 구성 데이터베이스에서 호스트 이름을 가져오고 NetBIOS 컴퓨터 이름만 SharePoint Foundation 2010 구성 데이터베이스에 저장되기 때문인데, 특정 시나리오에서는 이러한 상황이 모호할 수도 있습니다.

추가 리소스 및 문제 해결 지침

제품/기술 리소스

SQL Server

SQL Server 2005의 인스턴스에 원격 연결을 만들 때 Kerberos 인증을 사용하고 있는지 확인하는 방법(https://go.microsoft.com/fwlink/?linkid=85942&clcid=0x412)

SQL Server

"SSPI 컨텍스트를 생성할 수 없습니다." 오류 메시지 문제 해결 방법(https://go.microsoft.com/fwlink/?linkid=82932&clcid=0x412)

.NET Framework

AuthenticationManager.CustomTargetNameDictionary 속성(https://go.microsoft.com/fwlink/?linkid=120460&clcid=0x412)

Internet Explorer

Windows XP 기반 컴퓨터에서 Internet Explorer를 사용하여 Kerberos 인증을 필요로 하는 웹 사이트에 액세스하려고 하면 "HTTP 오류 401 - 권한이 없음: 잘못된 자격 증명 때문에 액세스가 거부되었습니다." 오류 메시지가 나타난다(https://go.microsoft.com/fwlink/?linkid=120462&clcid=0x412)

Kerberos 인증

Kerberos 인증 기술 참조(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=78646&clcid=0x412)(영문일 수 있음)

Kerberos 인증

Kerberos 오류 문제 해결(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=93730&clcid=0x412)(영문일 수 있음)

Kerberos 인증

Kerberos 프로토콜 전환 및 제한된 위임(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=100941&clcid=0x412)(영문일 수 있음)

IIS

SSL 호스트 헤더 구성(IIS 6.0)(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=120463&clcid=0x412)(영문일 수 있음)