Kerberos 및 NTLMv2 인증이 모두 허용되는지 확인(SMB 공유를 통한 Hyper-V)
변경 제안
PDF
SMB를 통한 Hyper-V의 무중단 운영에서는 데이터 SVM 및 Hyper-V 서버의 CIFS 서버가 Kerberos 및 NTLMv2 인증을 모두 허용해야 합니다. 허용되는 인증 방법을 제어하는 CIFS 서버와 Hyper-V 서버 모두에서 설정을 확인해야 합니다.
지속적으로 사용 가능한 공유 연결을 만들 때는 Kerberos 인증이 필요합니다. 원격 VSS 프로세스의 일부는 NTLMv2 인증을 사용합니다. 따라서 SMB를 통한 Hyper-V 구성에서는 두 인증 방법을 모두 사용하는 연결이 지원되어야 합니다.
Kerberos 및 NTLMv2 인증을 모두 허용하도록 다음 설정을 구성해야 합니다.
-
스토리지 가상 시스템(SVM)에서 SMB를 위한 엑스포트 정책을 사용하지 않도록 설정해야 합니다.
Kerberos 및 NTLMv2 인증은 항상 SVM에서 활성화되지만, 엑스포트 정책을 사용하여 인증 방법에 따라 액세스를 제한할 수 있습니다.
SMB에 대한 엑스포트 정책은 선택 사항이며 기본적으로 비활성화되어 있습니다. 내보내기 정책을 사용하지 않도록 설정하면 기본적으로 CIFS 서버에서 Kerberos 및 NTLMv2 인증이 모두 허용됩니다.
-
CIFS 서버 및 Hyper-V 서버가 속하는 도메인은 Kerberos 및 NTLMv2 인증을 모두 허용해야 합니다.
Kerberos 인증은 Active Directory 도메인에서 기본적으로 활성화됩니다. 그러나 보안 정책 설정 또는 그룹 정책을 사용하여 NTLMv2 인증을 허용하지 않을 수 있습니다.
-
SVM에서 엑스포트 정책이 비활성화되어 있는지 확인하려면 다음을 수행하십시오.
-
권한 수준을 고급으로 설정합니다.
' * set-Privilege advanced * '
-
'-is-exportpolicy-enabled' CIFS server 옵션이 'false'로 설정되어 있는지 확인합니다.
'* vserver cifs options show -vserver_vserver_name_-fields vserver, is-exportpolicy-enabled *
-
관리자 권한 레벨로 돌아갑니다.
' * set-privilege admin * '
-
-
SMB에 대한 엑스포트 정책이 비활성화되어 있지 않으면 다음을 비활성화하십시오.
'* vserver cifs options modify -vserver_vserver_name_-is-exportpolicy -enabled false *
-
도메인에서 NTLMv2 및 Kerberos 인증이 모두 허용되는지 확인합니다.
도메인에서 허용되는 인증 방법을 결정하는 방법에 대한 자세한 내용은 Microsoft TechNet 라이브러리를 참조하십시오.
-
도메인이 NTMLv2 인증을 허용하지 않는 경우 Microsoft 설명서에 설명된 방법 중 하나를 사용하여 NTLMv2 인증을 사용하도록 설정합니다.
다음 명령을 실행하면 SVM VS1 에서 SMB용 엑스포트 정책이 비활성화되어 있는지 확인할 수 있습니다.
cluster1::> set -privilege advanced Warning: These advanced commands are potentially dangerous; use them only when directed to do so by technical support personnel. Do you wish to continue? (y or n): y cluster1::*> vserver cifs options show -vserver vs1 -fields vserver,is-exportpolicy-enabled vserver is-exportpolicy-enabled -------- ----------------------- vs1 false cluster1::*> set -privilege admin