이 페이지에서는 선택한 서버를 인증하려고 하는 컴퓨터에 대한 정보가 수집됩니다.

이러한 보안 설정에 따라 네트워크 로그온에 사용되는 챌린지/응답 인증 프로토콜이 결정됩니다. 여기서 선택한 내용은 클라이언트에서 사용하는 인증 프로토콜 수준, 협상된 세션 보안 수준, 서버에서 허용하는 인증 수준에 영향을 미칩니다.

또한 이러한 보안 설정은 다음 암호 변경 시 새 암호에 대한 LM(LAN Manager) 해시 값의 저장 여부도 결정합니다. LM 해시는 더 강력하게 암호화하는 NTLM 해시에 비해 비교적 약하기 때문에 공격에 노출되기 쉽습니다. LM 해시는 로컬 컴퓨터의 보안 데이터베이스에 저장되므로 보안 데이터베이스가 공격을 받으면 암호가 노출될 수 있습니다.

중요

이 설정은 네트워크를 통해 Windows NT Server 4.0 및 이전 버전이 실행되는 컴퓨터와 통신하는 컴퓨터의 기능에 영향을 줄 수 있습니다. 예를 들어 Windows NT Server 4.0 SP4(서비스 팩 4) 및 이전 버전이 실행되는 컴퓨터는 NTLMv2(NTLM 버전 2)를 지원하지 않으며 Windows 95 및 Windows 98을 실행하는 컴퓨터는 NTLM을 지원하지 않습니다.

레지스트리 키

  • HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel

  • HKLM\System\CurrentControlSet\Control\LSA\NoLMHash

관련 보안 설정

  • 네트워크 보안: LAN Manager 인증 수준

  • 네트워크 보안: 다음 암호 변경 시 LAN Manager 해시 값 저장 안 함

부정확한 정보를 제공하면 네트워크의 컴퓨터 간에 통신이 중단될 수 있습니다.

이러한 보안 설정에 대한 자세한 내용은 다음을 참조하십시오.

도메인 컨트롤러의 경우

서버 역할 선택 페이지에서 도메인 컨트롤러(Active Directory) 역할을 선택하는 경우 추가 옵션이 표시됩니다. 다음 옵션은 도메인 컨트롤러에만 해당됩니다.

RAS 또는 VPN을 사용하여 Windows Server 2003 서비스 팩 1 이상을 실행하지 않는 RAS 서버에 연결하는 컴퓨터

IAS(인터넷 인증 서비스) 서버와 라우팅 및 원격 액세스가 실행되는 서버에는 Windows Server 2003 SP1(서비스 팩 1)이 필요하며 NTLMv2만을 수락하는 도메인 컨트롤러로 사용자를 인증하려면 PEAP-MSCHAPv2 전용 인증 지원이 필요합니다.

IAS 서버와 라우팅 및 원격 액세스가 실행되는 서버는 NTLM을 사용하여 클라이언트의 도메인 자격 증명을 인증합니다. 즉, IAS 또는 라우팅 및 원격 액세스 클라이언트를 인증해야 하는 도메인 컨트롤러는 NTLMv2 인증만 수락하도록 구성할 수 없습니다. 그러나 Windows Server 2003 SP1부터 도메인 컨트롤러가 IAS 서버와 라우팅 및 원격 액세스가 실행되는 서버에서는 NTML을 수락하지만 그 이외의 모든 서버에서는 NTLMv2만 수락하는 것이 가능해졌습니다. 이러한 예외는 Windows Server 2003 SP1 및 IAS 또는 라우팅 및 원격 액세스가 실행되며 PEAP-MSCHAPv2(NTLMv2와 동등한 보안 보호 기능을 제공)를 사용하는 서버에서 기본적으로 발생합니다. 이 예외는 Windows Server 2003 SP1 및 IAS 또는 라우팅 및 원격 액세스가 실행되는 서버에서 PPP-MSCHAPv2를 사용하여 클라이언트를 인증할 경우에는 기본적으로 발생하지 않습니다.

Windows Server 2003 SP1 및 IAS 또는 라우팅 및 원격 액세스가 실행되는 서버에서 이러한 기본 예외가 발생하지 않도록 하려면 도메인 컨트롤러에 다음 레지스트리 값을 설정합니다.

HKLM\System\CurrentControlSet\LSA\DisallowMsvChapv2

이 레지스트리 값이 도메인 컨트롤러에 설정되어 있으며 도메인 컨트롤러가 NTLMv2만 수락하도록 구성되면 모든 해당 서버에서 Windows Server 2003 SP1이 실행되더라도 도메인 컨트롤러는 IAS 또는 라우팅 및 원격 액세스 클라이언트를 인증할 수 없게 됩니다. 따라서 DisallowMsvChapv2 레지스트리 값이 도메인 컨트롤러에 설정되어 있고 도메인 컨트롤러가 IAS 또는 라우팅 및 원격 액세스 클라이언트를 인증해야 할 경우에는 IAS 또는 라우팅 및 원격 액세스가 실행되는 모든 서버에서 Windows Server 2003 SP1 또한 실행되고 있다 하더라도 인바운드 인증 방법 페이지에서 RAS 또는 VPN을 사용하여 Windows Server 2003 서비스 팩 1 이상을 실행하지 않는 RAS 서버에 연결하는 컴퓨터 확인란을 선택해야 합니다. 이 확인란을 선택하면 NTLMv2만 수락하도록 도메인 컨트롤러를 구성할 수 없으므로 DisallowMsvChapv2 레지스트리 값을 설정하지 않는 것이 좋습니다.

추가 참조