이 정책 설정을 통해 도메인 컨트롤러가 Kerberos 인증을 사용하여 동적 액세스 제어 및 Kerberos 아머링(armoring)을 지원하도록 구성할 수 있습니다. 이 정책 설정을 사용하면 클레임과 동적 액세스 제어에 ...

이 정책 설정을 통해 도메인 컨트롤러가 Kerberos 인증을 사용하여 동적 액세스 제어 및 Kerberos 아머링(armoring)을 지원하도록 구성할 수 있습니다.

이 정책 설정을 사용하면 클레임과 동적 액세스 제어에 대한 복합 인증을 지원하고 Kerberos 아머링(armoring)을 인식하는 클라이언트 컴퓨터가 Kerberos 인증 메시지에 대해 이 기능을 사용합니다. 이 정책은 도메인에 이 정책이 일관되게 적용되도록 모든 도메인 컨트롤러에 적용되어야 합니다. 

이 정책 설정을 사용하지 않거나 구성하지 않으면 도메인 컨트롤러가 클레임, 복합 인증 또는 아머링을 지원하지 않습니다.

"지원되지 않음" 옵션을 구성하면 Windows Server 2008 R2 이하 버전의 운영 체제를 실행하는 도메인 컨트롤러에서 기본적으로 사용되는 클레임, 복합 인증 또는 아머링을 도메인 컨트롤러가 지원하지 않습니다.

참고: 이 KDC 정책의 다음 옵션을 적용하려면 지원되는 시스템에서 Kerberos 그룹 정책인 "클레임, 복합 인증 및 Kerberos 아머링(armoring)에 대한 Kerberos 클라이언트 지원"을 사용하도록 설정해야 합니다. Kerberos 정책 설정을 사용하지 않으면 Kerberos 인증 메시지에서 이러한 기능을 사용하지 않습니다.  

"지원됨"을 구성하면 도메인 컨트롤러는 클레임, 복합 인증 및 Kerberos 아머링(armoring)을 지원합니다. 도메인 컨트롤러는 도메인이 동적 액세스 제어 및 Kerberos 아머링(armoring)에 대해 클레임 및 복합 인증을 사용할 수 있음을 클라이언트 컴퓨터에 알립니다. 

도메인 기능 수준 요구 사항
"항상 클레임 제공" 및 "보호되지 않은 인증 요청 실패" 옵션의 경우 도메인 기능 수준이 Windows Server 2008 R2 이하로 설정되어 있으면 도메인 컨트롤러는 "지원됨" 옵션을 선택한 것처럼 작동합니다. 

도메인 기능 수준이 Windows Server 2012로 설정되어 있으면 도메인 컨트롤러는 도메인이 동적 액세스 제어 및 Kerberos 아머링(armoring)에 대해 클레임 및 복합 인증을 사용할 수 있음을 클라이언트 컴퓨터에 알리고 다음을 수행합니다.
   - "항상 클레임 제공" 옵션을 설정한 경우는 항상 계정에 대한 클레임을 반환하고 FAST(유동 인증 보안 터널링)를 알리는 RFC 동작을 지원합니다.
   - "보호되지 않은 인증 요청 실패" 옵션을 설정하면 보호되지 않은 Kerberos 메시지를 거부합니다.

경고: "보호되지 않은 인증 요청 실패"가 설정되면 Kerberos 아머링(armoring)을 지원하지 않는 클라이언트 컴퓨터는 도메인 컨트롤러에서 인증을 받지 못합니다.

이 기능을 적용하려면 동적 액세스 제어에 대해 클레임 및 복합 인증을 지원하며 Kerberos 아머링을 인식하여 인증 요청을 처리하는 도메인 컨트롤러를 충분히 배포합니다. 이 정책을 지원하는 도메인 컨트롤러 수가 부족하면 동적 액세스 제어 또는 Kerberos 아머링(armoring)이 필요할 때마다(즉, "지원됨" 옵션 사용) 인증이 실패합니다.

이 정책 설정이 사용되면 도메인 컨트롤러 성능은 다음과 같은 영향을 받습니다:
   - 보안 Kerberos 도메인 기능 검색이 필요하므로 추가적인 메시지 교환이 발생합니다.
   - 동적 액세스 제어에 대한 클레임 및 복합 인증 때문에 메시지의 데이터 크기 및 복잡성이 증가하므로 처리 시간이 늘어나고 Kerberos 서비스 티켓 크기가 더 커집니다.
   - Kerberos 아머링(armoring)이 Kerberos 메시지를 완전히 암호화하고 Kerberos 오류에 서명하기 때문에 처리 시간이 늘지만 서비스 티켓 크기는 바뀌지 않습니다.