Reporting Services 인증에 대한 확장된 보호Extended Protection for Authentication with Reporting Services

확장된 보호는 최신 버전의 MicrosoftMicrosoft Windows 운영 체제에서 향상된 기능 집합입니다.Extended Protection is a set of enhancements to recent versions of the MicrosoftMicrosoft Windows operating system. 확장된 보호는 응용 프로그램에서 자격 증명과 인증을 보호하는 방법을 개선합니다.Extended protection enhances how credentials and authentication can be protected by applications. 이 기능 자체는 자격 증명 전달과 같은 특정 공격에 대해 직접적인 보호 기능을 제공하지 않지만 인증에 대해 확장된 보호를 적용할 수 있는 인프라를 Reporting ServicesReporting Services 와 같은 응용 프로그램에 제공합니다.The feature itself does not directly provide protection against specific attacks such as credential forwarding, but it provides an infrastructure for applications such as Reporting ServicesReporting Services to enforce Extended Protection for Authentication.

확장된 보호에서 주로 향상된 인증 기능은 서비스 바인딩과 채널 바인딩입니다.The main authentication enhancements that are part of extended protection are service binding and channel binding. 채널 바인딩은 CBT(채널 바인딩 토큰)를 사용하여 두 끝점 간에 설정된 채널이 손상되지 않았는지 확인합니다.Channel binding uses a channel binding token (CBT), to verify that the channel established between two end points was not compromised. 서비스 바인딩은 SPN(서비스 사용자 이름)을 사용하여 인증 토큰의 대상이 유효한지 검사합니다.Service binding uses Service Principal Names (SPN) to validate the intended destination of authentication tokens. 확장된 보호에 대한 자세한 내용은 확장된 보호를 사용하는 Windows 통합 인증(Integrated Windows Authentication with Extended Protection)을 참조하십시오.For more background information about extended protection, see Integrated Windows Authentication with Extended Protection.

SSRS(SQL Server Reporting Services)는 운영 체제에서 사용하도록 설정되고 Reporting ServicesReporting Services에서 구성된 확장된 보호를 지원하고 적용합니다.SQL Server Reporting Services (SSRS) supports and enforces Extended Protection that has been enabled in the operating system and configured in Reporting ServicesReporting Services. Reporting ServicesReporting Services 는 기본적으로 Negotiate 또는 NTLM 인증을 지정하는 요청을 수락하므로 운영 체제의 확장된 보호 지원 및 Reporting ServicesReporting Services 확장된 보호 기능을 활용할 수 있습니다.By default, Reporting ServicesReporting Services accepts requests that specify Negotiate or NTLM authentication and could therefore benefit from Extended Protection support in the operating system and the Reporting ServicesReporting Services extended protection features.

중요

Windows에서는 기본적으로 확장된 보호를 사용할 수 없습니다.By default, Windows does not enable Extended Protection. Windows에서 확장된 보호를 사용하는 방법은 인증에 대한 확장된 보호를 참조하십시오.For information about how to enable Extended Protection in Windows, see Extended Protection for Authentication. 운영 체제 및 클라이언트 인증 스택 모두 확장된 보호를 지원해야 인증이 성공합니다.Both the operating system and client authentication stack must support Extended Protection so that authentication succeeds. 이전 운영 체제의 경우 확장된 보호를 사용할 수 있도록 컴퓨터가 완전하게 준비되려면 업데이트를 여러 개 설치해야 할 수도 있습니다.For older operating systems you may need to install more than one update for a complete, Extended Protection ready computer. 확장된 보호와 관련된 최신 개발 내용은 확장된 보호에 대한 업데이트된 정보를 참조하십시오.For information on recent developments with Extended Protection, see updated information with Extended Protection.

Reporting Services 확장된 보호 개요Reporting Services Extended Protection Overview

SSRS는 운영 체제에서 사용하도록 설정된 확장된 보호를 지원하고 적용합니다.SSRS supports and enforces extended protection that has been enabled in the operating system. 운영 체제에서 확장된 보호를 지원하지 않거나 해당 기능을 사용하지 않을 경우 Reporting ServicesReporting Services 확장된 보호 기능으로 인해 인증이 실패합니다.If the operating system does not support extended protection or the feature in the operating system has not been enabled, the Reporting ServicesReporting Services extended protection feature will fail authentication. Reporting ServicesReporting Services 확장된 보호를 사용하려면 SSL 인증서가 필요합니다. Extended Protection also requires an SSL Certificate. 자세한 내용은 기본 모드 보고서 서버에서 SSL 연결 구성을 참조하세요.For more information, see Configure SSL Connections on a Native Mode Report Server

중요

Reporting ServicesReporting Services 에서는 기본적으로 확장된 보호를 사용할 수 없습니다.By default, Reporting ServicesReporting Services does not enable Extended Protection. rsreportserver.config 구성 파일을 수정하거나 WMI API를 사용하여 구성 파일을 업데이트하면 이 기능을 사용할 수 있습니다.The feature can be enabled by modifying the rsreportserver.config configuration file or using WMI APIs to update the configuration file. SSRS에서는 확장된 보호 설정을 수정하거나 볼 수 있는 사용자 인터페이스를 제공하지 않습니다.SSRS does not provide a user interface to modify or view extended protection settings. 자세한 내용은 이 항목의 구성 설정 섹션을 참조하십시오.For more information, see the configuration settings section in this topic.

확장된 보호 설정의 변경이나 잘못 구성된 설정으로 인해 발생하는 일반적인 문제는 명확한 오류 메시지나 대화 상자 창을 통해 표시되지 않습니다.Common issues that occur because of changes in extended protection settings or incorrectly configured settings are not be exposed with obvious error messages or dialog windows. 확장된 보호 구성 및 호환성과 관련된 문제가 있으면 인증이 실패하고 Reporting ServicesReporting Services 추적 로그에 오류가 기록됩니다.Issues related to extended protection configuration and compatibility result in authentication failures and errors in the Reporting ServicesReporting Services trace logs.

중요

일부 데이터 액세스 기술은 확장된 보호를 지원하지 않을 수 있습니다.Some data access technologies may not support extended protection. 데이터 액세스 기술은 SQL Server 데이터 원본 및 Reporting ServicesReporting Services 카탈로그 데이터베이스에 연결하는 데 사용됩니다.A data access technology is used to connect to SQL Server data sources and to the Reporting ServicesReporting Services catalog database. 데이터 액세스 기술이 확장된 보호를 지원하지 않는 경우 다음과 같이 Reporting ServicesReporting Services 에 영향을 미칩니다.Failure of a data access technology to support extended protection impacts Reporting ServicesReporting Services in the following ways:

  • Reporting ServicesReporting Services 카탈로그 데이터베이스를 실행하는 SQL Server에서 확장된 보호를 사용할 수 없습니다. 사용할 경우 보고서 서버에서 카탈로그 데이터베이스에 연결되지 않고 인증 오류가 반환됩니다.The SQL Server that runs the Reporting ServicesReporting Services catalog database cannot have extended protection enabled or the report server will not successfully connect to the catalog database and return authentication errors.

    • Reporting ServicesReporting Services 보고서 데이터 원본으로 사용되는 SQL Server에서 확장된 보호를 사용할 수 없습니다. 사용할 경우 보고서 서버에서 보고서 데이터 원본에 연결하려는 시도가 실패하고 인증 오류가 반환됩니다.SQL Servers that are used as Reporting ServicesReporting Services report data sources cannot have extended protection enabled or tries by the report server to connect to the report data source will fail and return authentication errors.

    데이터 액세스 기술에 대한 설명서에서 확장된 보호 지원에 대한 정보를 참조할 수 있습니다.The documentation for a data access technology should have information about support for extended protection.

업그레이드Upgrade

  • Reporting ServicesReporting Services 서버를 SQL Server 2016로 업그레이드하면 기본값이 지정된 구성 설정이 rsreportserver.config 파일에 추가됩니다.Upgrading a Reporting ServicesReporting Services server to SQL Server 2016 adds configuration settings with default values to the rsreportserver.config file. 설정이 이미 있으면 SQL Server 2016 설치 시 해당 설정이 rsreportserver.config 파일에 유지됩니다.If the settings were already present, the SQL Server 2016 installation will preserve them in the rsreportserver.config file.

  • 이 구성 설정이 rsreportserver.config 구성 파일에 추가될 때 Reporting ServicesReporting Services 확장된 보호 기능의 기본 동작이 해제되므로 이 항목의 설명에 따라 기능을 사용하도록 설정해야 합니다.When the configuration settings are added to the rsreportserver.config configuration file, the default behavior is for the Reporting ServicesReporting Services extended protection feature to be off and you must enable the feature as described in this topic. 자세한 내용은 이 항목의 구성 설정 섹션을 참조하십시오.For more information, see the configuration settings section in this topic.

  • RSWindowsExtendedProtectionLevel 설정의 기본값은 Off입니다.The default value for the setting RSWindowsExtendedProtectionLevel is Off.

  • RSWindowsExtendedProtectionScenario 설정의 기본값은 Proxy입니다.The default value for the setting RSWindowsExtendedProtectionScenario is Proxy.

  • 업그레이드 관리자는 운영 체제나 현재 설치된 Reporting ServicesReporting Services 에서 확장된 보호 지원을 사용할 수 있는지 여부를 확인하지 않습니다.Upgrade Advisor does not verify that the operating system or the current installation of Reporting ServicesReporting Services has Extended Protection support enabled.

Reporting Services 확장된 보호에서 다루지 않는 기능What Reporting Services extended protection does not cover

다음과 같은 기능 영역 및 시나리오는 Reporting ServicesReporting Services 확장된 보호 기능에서 지원되지 않습니다.The following feature areas and scenarios are not supported by the Reporting ServicesReporting Services extended protection feature:

  • Reporting ServicesReporting Services 사용자 지정 보안 확장 프로그램을 만든 사람은 확장된 보호에 대한 지원을 사용자 지정 보안 확장 프로그램에 추가해야 합니다.Authors of Reporting ServicesReporting Services custom security extensions must add support for extended protection to their custom security extension.

  • Reporting ServicesReporting Services 설치에서 사용하거나 추가된 타사 구성 요소는 확장된 보호를 지원하도록 타사 공급업체에서 업데이트해야 합니다.Third-party components added to or used by a Reporting ServicesReporting Services installation must be updated by the third-party vendor, to support extended protection. 자세한 내용은 타사 공급업체에 문의하십시오.For more information, contact the third-party vendor.

배포 시나리오 및 권장 사항Deployment Scenarios and recommendations

다음 시나리오는 다양한 배포 및 토폴로지와 이들을 Reporting ServicesReporting Services 확장된 보호로 보안 설정하는 데 필요한 권장 구성을 보여 줍니다.The following scenarios illustrate different deployments and topologies and the recommended configuration to secure them with Reporting ServicesReporting Services Extended Protection.

직접Direct

이 시나리오는 인트라넷 환경 등에서 보고서 서버에 직접 연결하는 경우를 보여 줍니다.This scenario describes directly connecting to a report server, for example, an intranet environment.

시나리오Scenario 시나리오 다이어그램Scenario Diagram 보안 설정 방법How to secure
직접 SSL 통신.Direct SSL communication.

보고서 서버가 클라이언트에서 보고서 서버로의 채널 바인딩을 적용합니다.The report server will enforce client to report server Channel Binding.
RS_ExtendedProtection_DirectSSLRS_ExtendedProtection_DirectSSL

1) 클라이언트 응용 프로그램1) Client application

2) 보고서 서버2) Report server
RSWindowsExtendedProtectionLevelAllow 또는 Require로 설정합니다.Set RSWindowsExtendedProtectionLevel to Allow or Require.

RSWindowsExtendedProtectionScenarioDirect로 설정합니다.Set RSWindowsExtendedProtectionScenario to Direct.



-채널 바인딩에 SSL 채널이 사용되기 때문에 서비스 바인딩이 필요하지 않습니다.-Service Binding is not necessary because the SSL channel will be used for Channel Binding.
직접 HTTP 통신.Direct HTTP communication. 보고서 서버가 클라이언트에서 보고서 서버로의 서비스 바인딩을 적용합니다.The report server will enforce Client to report server Service Binding. RS_ExtendedProtection_DirectRS_ExtendedProtection_Direct

1) 클라이언트 응용 프로그램1) Client application

2) 보고서 서버2) Report server
RSWindowsExtendedProtectionLevelAllow 또는 Require로 설정합니다.Set RSWindowsExtendedProtectionLevel to Allow or Require.

RSWindowsExtendedProtectionScenarioAny로 설정합니다.Set RSWindowsExtendedProtectionScenario to Any.



-SSL 채널이 없으므로 채널 바인딩을 적용할 수 없습니다.-There is no SSL Channel therefore no enforcement of Channel Binding is possible.

-서비스 바인딩의 유효성을 검사할 수는 있지만 채널 바인딩이 없으면 보안이 완전하지 않으며 서비스 바인딩만 사용하는 경우에는 기본적인 위협만 방지할 수 있습니다.-Service Binding can be validated, however, it is not a complete defense without Channel binding and Service Binding on its own will only protect from basic threats.

프록시 및 네트워크 부하 분산Proxy and Network Load Balancing

클라이언트 응용 프로그램이 인증을 위해 SSL을 수행하고 서버에 자격 증명을 전달하는 장치나 소프트웨어(예: 익스트라넷, 인터넷 또는 보안 인트라넷)에 연결합니다.Client applications connect to a device or software that performs SSL and passes through the credentials to the server for authentication, for example, an extranet, Internet, or Secure Intranet. 클라이언트가 프록시에 연결하거나 모든 클라이언트가 프록시를 사용합니다.The client connects to a Proxy or all clients use a proxy.

NLB(네트워크 부하 분산) 장치를 사용할 때와 같은 경우입니다.The situation is the same when you are using a Network Load Balancing (NLB) device.

시나리오Scenario 시나리오 다이어그램Scenario Diagram 보안 설정 방법How to secure
HTTP 통신.HTTP communication. 보고서 서버가 클라이언트에서 보고서 서버로의 서비스 바인딩을 적용합니다.The report server will enforce client to report server Service Binding. RS_ExtendedProtection_IndirectRS_ExtendedProtection_Indirect

1) 클라이언트 응용 프로그램1) Client application

2) 보고서 서버2) Report server

3) 프록시3) Proxy
RSWindowsExtendedProtectionLevelAllow 또는 Require로 설정합니다.Set RSWindowsExtendedProtectionLevel to Allow or Require.

RSWindowsExtendedProtectionScenarioAny로 설정합니다.Set RSWindowsExtendedProtectionScenario to Any.



-SSL 채널이 없으므로 채널 바인딩을 적용할 수 없습니다.-There is no SSL Channel therefore no enforcement of Channel Binding is possible.

-서비스 바인딩이 제대로 적용되려면 보고서 서버가 프록시 서버의 이름을 인식하도록 구성해야 합니다.-The report server must be configured to know the name of the proxy server to make sure that the service binding is correctly enforced.
HTTP 통신.HTTP communication.

보고서 서버가 클라이언트에서 프록시로의 채널 바인딩 및 클라이언트에서 보고서 서버로의 서비스 바인딩을 적용합니다.The report server will enforce client to Proxy Channel Binding and client to report server Service Binding.
RS_ExtendedProtection_Indirect_SSLRS_ExtendedProtection_Indirect_SSL

1) 클라이언트 응용 프로그램1) Client application

2) 보고서 서버2) Report server

3) 프록시3) Proxy
SetSet
RSWindowsExtendedProtectionLevelAllow 또는 Require로 설정합니다.RSWindowsExtendedProtectionLevel to Allow or Require.

RSWindowsExtendedProtectionScenarioProxy로 설정합니다.Set RSWindowsExtendedProtectionScenario to Proxy.



-프록시에 대한 SSL 채널을 사용할 수 있으므로 프록시로의 채널 바인딩이 적용될 수 있습니다.-SSL channel to proxy is available therefore channel binding to the proxy can be enforced.

-서비스 바인딩도 적용될 수 있습니다.-Service Binding can also be enforced.

-보고서 서버에서 프록시 이름을 알 수 있어야 하므로 보고서 서버 관리자는 호스트 헤더를 사용하여 프록시에 대한 URL 예약을 만들거나 Windows 레지스트리 항목 BackConnectionHostNames에서 프록시 이름을 구성해야 합니다.-The Proxy name must be known to the report server and the report server administrator should either create a URL reservation for it, with a host header or configure the Proxy name in the Windows registry entry BackConnectionHostNames.
보안 프록시를 사용한 간접 HTTPS 통신.Indirect HTTPS communication with a secure proxy. 보고서 서버가 클라이언트에서 프록시로의 채널 바인딩 및 클라이언트에서 보고서 서버로의 서비스 바인딩을 적용합니다.Report server will enforce client to proxy Channel Binding and Client to report server Service Binding. RS_ExtendedProtection_IndirectSSLandHTTPSRS_ExtendedProtection_IndirectSSLandHTTPS

1) 클라이언트 응용 프로그램1) Client application

2) 보고서 서버2) Report server

3) 프록시3) Proxy
SetSet
RSWindowsExtendedProtectionLevelAllow 또는 Require로 설정합니다.RSWindowsExtendedProtectionLevel to Allow or Require.

RSWindowsExtendedProtectionScenarioProxy로 설정합니다.Set RSWindowsExtendedProtectionScenario to Proxy.



-프록시에 대한 SSL 채널을 사용할 수 있으므로 프록시로의 채널 바인딩이 적용될 수 있습니다.-SSL channel to proxy is available therefore channel binding to the proxy can be enforced.

-서비스 바인딩도 적용될 수 있습니다.-Service Binding can also be enforced.

-보고서 서버에서 프록시 이름을 알 수 있어야 하므로 보고서 서버 관리자는 호스트 헤더를 사용하여 프록시에 대한 URL 예약을 만들거나 Windows 레지스트리 항목 BackConnectionHostNames에서 프록시 이름을 구성해야 합니다.-The Proxy name must be known to the report server and the report server administrator should either create a URL reservation for it, with a host header or configure the Proxy name in the Windows registry entry BackConnectionHostNames.

게이트웨이Gateway

이 시나리오는 SSL을 수행하고 사용자를 인증하는 장치나 소프트웨어에 연결하는 클라이언트 응용 프로그램을 설명합니다.This scenario describes Client applications connecting to a device or software that performs SSL and authenticates the user. 그런 다음 이 장치나 소프트웨어는 사용자의 컨텍스트 또는 다른 사용자의 컨텍스트를 가장하여 보고서 서버로 요청을 보냅니다.Then the device or software impersonates the user context or a different user context before it makes a request to the report server.

시나리오Scenario 시나리오 다이어그램Scenario Diagram 보안 설정 방법How to secure
간접 HTTP 통신.Indirect HTTP communication.

게이트웨이가 클라이언트에서 게이트로의 채널 바인딩을 적용합니다.Gateway will enforce Client to Gateway channel binding. 게이트웨이에서 보고서 서버로의 서비스 바인딩이 있습니다.There is a Gateway to report server Service Binding.
RS_ExtendedProtection_Indirect_SSLRS_ExtendedProtection_Indirect_SSL

1) 클라이언트 응용 프로그램1) Client application

2) 보고서 서버2) Report server

3) 게이트웨이 장치3) Gateway device
RSWindowsExtendedProtectionLevelAllow 또는 Require로 설정합니다.Set RSWindowsExtendedProtectionLevel to Allow or Require.

RSWindowsExtendedProtectionScenarioAny로 설정합니다.Set RSWindowsExtendedProtectionScenario to Any.



-게이트웨이가 컨텍스트를 가장하여 새 NTLM 토큰을 만들기 때문에 클라이언트에서 보고서 서버로 채널을 바인딩할 수 없습니다.-Channel Binding from client to report server is not possible because the gateway impersonates a context and therefore creates a new NTLM token.

-게이트웨이에서 보고서 서버로의 SSL이 없으므로 채널 바인딩이 적용될 수 없습니다.-There is no SSL from the Gateway to report server therefore channel binding cannot be enforced.

-서비스 바인딩은 적용될 수 있습니다.-Service Binding can be enforced.

-채널 바인딩을 적용하려면 관리자가 게이트웨이 장치를 구성해야 합니다.-The Gateway device should be configured by your administrator to enforce channel binding.
보안 게이트웨이를 사용한 간접 HTTPS 통신.Indirect HTTPS communication with a Secure Gateway. 게이트웨이가 클라이언트에서 게이트웨이로의 채널 바인딩을 적용하고 보고서 서버가 게이트웨이에서 보고서 서버로의 채널 바인딩을 적용합니다.The Gateway will enforce Client to Gateway Channel Binding and the report server will enforce Gateway to report server Channel Binding. RS_ExtendedProtection_IndirectSSLandHTTPSRS_ExtendedProtection_IndirectSSLandHTTPS

1) 클라이언트 응용 프로그램1) Client application

2) 보고서 서버2) Report server

3) 게이트웨이 장치3) Gateway device
RSWindowsExtendedProtectionLevelAllow 또는 Require로 설정합니다.Set RSWindowsExtendedProtectionLevel to Allow or Require.

RSWindowsExtendedProtectionScenarioDirect로 설정합니다.Set RSWindowsExtendedProtectionScenario to Direct.



-게이트웨이가 컨텍스트를 가장하여 새 NTLM 토큰을 만들기 때문에 클라이언트에서 보고서 서버로 채널을 바인딩할 수 없습니다.-Channel Binding from client to report server is not possible because the gateway impersonates a context and therefore creates a new NTLM token.

-게이트웨이에서 보고서 서버로의 SSL은 채널 바인딩이 적용될 수 있음을 의미합니다.-SSL from Gateway to the report sever means channel binding can be enforced.

-서비스 바인딩이 필요하지 않습니다.-Service Binding is not required.

-채널 바인딩을 적용하려면 관리자가 게이트웨이 장치를 구성해야 합니다.-The Gateway device should be configured by your administrator to enforce channel binding.

결합Combination

이 시나리오는 클라이언트가 프록시에 연결하는 익스트라넷 또는 인터넷 환경을 보여 줍니다.This scenario describes Extranet or Internet environments where the client connects a Proxy. 이 시나리오는 클라이언트가 보고서 서버에 연결하는 인트라넷 환경과 결합되어 있습니다.This is in combination with an intranet environment where a client connects to report server.

시나리오Scenario 시나리오 다이어그램Scenario Diagram 보안 설정 방법How to secure
클라이언트가 보고서 서버 서비스에 간접 및 직접 액세스(클라이언트에서 프록시로의 연결 또는 클라이언트에서 보고서 서버로의 연결에 SSL이 사용되지 않음)Indirect and direct access from client to report server service without SSL on either of the client to proxy or client to report sever connections. 1) 클라이언트 응용 프로그램1) Client application

2) 보고서 서버2) Report server

3) 프록시3) Proxy

4) 클라이언트 응용 프로그램4) Client application
RSWindowsExtendedProtectionLevelAllow 또는 Require로 설정합니다.Set RSWindowsExtendedProtectionLevel to Allow or Require.

RSWindowsExtendedProtectionScenarioAny로 설정합니다.Set RSWindowsExtendedProtectionScenario to Any.



-클라이언트에서 보고서 서버로의 서비스 바인딩이 적용될 수 있습니다.-Service Binding from client to report server can be enforced.

-보고서 서버에서 프록시 이름을 알 수 있어야 하므로 보고서 서버 관리자는 호스트 헤더를 사용하여 프록시에 대한 URL 예약을 만들거나 Windows 레지스트리 항목 BackConnectionHostNames에서 프록시 이름을 구성해야 합니다.-The Proxy name must be known to the report server and the report server administrator should either create a URL reservation for it, with a host header or configure the Proxy name in the Windows registry entry BackConnectionHostNames.
클라이언트가 보고서 서버에 간접 및 직접 액세스(클라이언트가 프록시 또는 보고서 서버에 대한 SSL 연결 설정)Indirect and direct access from client to report server where the client establishes an SSL connection to the proxy or report server. RS_ExtendedProtection_CombinationSSLRS_ExtendedProtection_CombinationSSL

1) 클라이언트 응용 프로그램1) Client application

2) 보고서 서버2) Report server

3) 프록시3) Proxy

4) 클라이언트 응용 프로그램4) Client application
RSWindowsExtendedProtectionLevelAllow 또는 Require로 설정합니다.Set RSWindowsExtendedProtectionLevel to Allow or Require.

RSWindowsExtendedProtectionScenarioProxy로 설정합니다.Set RSWindowsExtendedProtectionScenario to Proxy.



-채널 바인딩이 사용될 수 있습니다.-Channel Binding can be used

-보고서 서버에서 프록시 이름을 알 수 있어야 하므로 보고서 서버 관리자가 호스트 헤더를 사용하여 프록시에 대한 URL 예약을 만들거나 Windows 레지스트리 항목 BackConnectionHostNames에서 프록시 이름을 구성해야 합니다.-The Proxy name must be known to the report server and the report server administrator should either create a URL reservation for the proxy, with a host header or configure the Proxy name in the Windows registry entry BackConnectionHostNames.

Reporting Services 확장된 보호 구성Configuring Reporting Rervices extended protection

rsreportserver.config 파일에는 Reporting ServicesReporting Services 확장된 보호의 동작을 제어하는 구성 값이 있습니다.The rsreportserver.config file contains the configuration values that control the behavior of Reporting ServicesReporting Services extended protection.

rsreportserver.config 파일을 사용하고 편집하는 방법은 RSReportServer 구성 파일을 참조하세요.For more information on using and editing the rsreportserver.config file, see RsReportServer.config Configuration File. WMI API를 사용하여 확장된 보호 설정을 변경하고 검토할 수도 있습니다.The extended protection settings can also be changed and inspected using WMI APIs. 자세한 내용은 SetExtendedProtectionSettings 메서드(WMI MSReportServer_ConfigurationSetting)을 참조하십시오.For more information, see SetExtendedProtectionSettings Method (WMI MSReportServer_ConfigurationSetting).

구성 설정 유효성 검사에 실패하면 보고서 서버에서 RSWindowsNTLM, RSWindowsKerberosRSWindowsNegotiate 인증 유형을 사용할 수 없습니다.When validation of the configuration settings fail, the authentication types RSWindowsNTLM, RSWindowsKerberos and RSWindowsNegotiate are disabled on the report server.

Reporting Services 확장된 보호에 대한 구성 설정Configuration Settings for reporting services extended protection

다음 표에서는 rsreportserver.config 파일에 나오는 확장된 보호 구성 설정에 대한 정보를 제공합니다.The following table provides information about configuration settings that appear in the rsreportserver.config for extended protection.

설정Setting DescriptionDescription
RSWindowsExtendedProtectionLevelRSWindowsExtendedProtectionLevel 확장된 보호를 적용하는 수준을 지정합니다.Specifies the degree of enforcement of extended protection. 유효한 값은 다음과 같습니다.Valid values are:

Off: 기본값입니다.Off: Default. 채널 바인딩이나 서비스 바인딩을 확인하지 않도록 지정합니다.Specifies no channel binding or service binding verification.

Allow 를 사용하는 경우 확장된 보호가 지원은 되지만 반드시 사용할 필요는 없습니다.Allow supports extended protection but does not require it. 이 값을 사용하는 경우 다음 사항이 지정됩니다.Specifies:

-확장된 보호를 지원하는 운영 체제에서 실행되는 클라이언트 응용 프로그램에 대해 확장된 보호가 적용됩니다.-Extended protection will be enforced for client applications that are running on operating systems that support extended protection. - RsWindowsExtendedProtectionScenario를 설정하여 보호 적용 방법을 결정합니다.How protection is enforced is determined by setting RsWindowsExtendedProtectionScenario

-확장된 보호를 지원하지 않는 운영 체제에서 실행되는 응용 프로그램에 대해 인증이 허용됩니다.-Authentication will be allowed for applications that are running on operating systems which do not support extended protection.

Require 를 사용하는 경우 다음 사항이 지정됩니다.Require specifies:

-확장된 보호를 지원하는 운영 체제에서 실행되는 클라이언트 응용 프로그램에 대해 확장된 보호가 적용됩니다.-Extended protection will be enforced for client applications that are running on operating systems that support extended protection.

-확장된 보호를 지원하지 않는 운영 체제에서 실행되는 응용 프로그램에 대해 인증이 허용되지 않습니다 .-Authentication will not be allowed for applications that are running on operating systems which do not support extended protection.
RsWindowsExtendedProtectionScenarioRsWindowsExtendedProtectionScenario 유효성을 검사할 확장된 보호의 형식(채널 바인딩, 서비스 바인딩, 둘 다)을 지정합니다.Specifies what forms of extended protection are validated: Channel binding, Service Binding, or both. 유효한 값은 다음과 같습니다.Valid values are:

Proxy: 기본값입니다.Proxy: Default. 이 값을 사용하는 경우 다음 사항이 지정됩니다.Specifies:

-채널 바인딩 토큰이 있으면 Windows NTLM, Kerberos 및 협상 인증이 지정됩니다.-Windows NTLM, Kerberos, and Negotiate authentication when a channel binding token is present.

-서비스 바인딩이 적용됩니다.-Service Binding is enforced.

Any 를 사용하는 경우 다음 사항이 지정됩니다.Any Specifies:

-Windows NTLM, Kerberos 및 협상 인증이 지정되며 채널 바인딩은 필요하지 않습니다.-Windows NTLM, Kerberos, and Negotiate authentication and a channel binding are not required.

-서비스 바인딩이 적용됩니다.-Service binding is enforced.

Direct 를 사용하는 경우 다음 사항이 지정됩니다.Direct Specifies:

--CBT가 있고, 현재 서비스로의 SSL 연결이 있으며, SSL 연결의 CBT가 NTLM/Kerberos/협상 토큰의 CBT와 일치하면 Windows NTLM, Kerberos 및 협상 인증이 지정됩니다.-Windows NTLM, Kerberos, and Negotiate authentication when a CBT is present, an SSL connection to the current service is present, and the CBT for the SSL connection matches the CBT of the NTLM, Kerberos or negotiate token.

-서비스 바인딩이 적용되지 않습니다.-Service Binding is not enforced.



참고: RsWindowsExtendedProtectionLevelOFF 로 설정되어 있으면 RsWindowsExtendedProtectionScenario설정은 무시됩니다.Note: The RsWindowsExtendedProtectionScenario setting is ignored if RsWindowsExtendedProtectionLevel is set to OFF.

rsreportserver.config 구성 파일의 항목 예:Example entries in the rsreportserver.config configuration file:

<Authentication>  
         <RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>  
         <RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionLevel>  
</Authentication>  

서비스 바인딩 및 포함된 SPNService Binding and included SPNs

서비스 바인딩은 SPN(서비스 사용자 이름)을 사용하여 인증 토큰의 대상이 유효한지 검사합니다.Service binding uses Service Principal Names or SPN to validate the intended destination of authentication tokens. Reporting ServicesReporting Services 는 기존 URL 예약 정보를 사용하여 유효한 것으로 간주되는 SPN 목록을 만듭니다. uses the existing URL reservation information to build a list of SPNs that are considered valid. SPN 및 URL 모두의 유효성을 검사하는 데 URL 예약 정보를 사용할 경우 시스템 관리자가 단일 위치에서 둘 모두를 관리할 수 있습니다.Using the URL reservation information for validation of both SPN and URL reservations enables system administrators to manage both from a single location.

유효한 SPN 목록은 보고서 서버가 시작될 때, 확장된 보호의 구성 설정이 변경될 때 또는 응용 프로그램 도메인이 재활용될 때 업데이트됩니다.The list of valid SPNs is updated when the report server starts, the configuration settings for extended protection are changed, or when the application domain is recycled.

유효한 SPN 목록은 응용 프로그램마다 고유합니다.The valid list of SPNs is specific for each application. 예를 들어 보고서 관리자와 보고서 서버에서 각각 다른 유효한 SPN 목록이 계산됩니다.For example, Report Manager and Report Server will each have a different list of valid SPNs calculated.

응용 프로그램에 대해 계산되는 유효한 SPN 목록은 다음 요인에 따라 결정됩니다.The list of valid SPNs calculated for an application is determined by the following factors:

  • 각 URL 예약Each URL reservation.

  • Reporting Services 서비스 계정에 대해 도메인 컨트롤러에서 검색된 각 SPNEach SPN retrieved from the domain controller for the reporting services service account.

  • URL 예약에 와일드카드 문자('' 또는 '+')가 포함된 경우 보고서 서버는 호스트 컬렉션에서 각 항목을 추가합니다.If a URL reservation includes wildcard characters ('' or '+'), then Report Server will add each entry from the hosts collection.

호스트 컬렉션 원본Hosts collection sources.

다음 표에서는 호스트 컬렉션의 가능한 원본을 보여 줍니다.The following table lists the potential sources for the Hosts collection.

원본 유형Type of source DescriptionDescription
ComputerNameDnsDomainComputerNameDnsDomain 로컬 컴퓨터에 할당된 DNS 도메인의 이름입니다.The name of the DNS domain assigned to the local computer. 로컬 컴퓨터가 클러스터의 노드인 경우 클러스터 가상 서버의 DNS 도메인 이름이 사용됩니다.If the local computer is a node in a cluster, the DNS domain name of the cluster virtual server is used.
ComputerNameDnsFullyQualifiedComputerNameDnsFullyQualified 로컬 컴퓨터를 고유하게 식별하는 정규화된 DNS 이름입니다.The fully qualified DNS name that uniquely identifies the local computer. 이 이름은 HostName.DomainName형식으로 DNS 호스트 이름과 DNS 도메인 이름을 결합한 것입니다.This name is a combination of the DNS host name and the DNS domain name, using the form HostName.DomainName. 로컬 컴퓨터가 클러스터의 노드인 경우 클러스터 가상 서버의 정규화된 DNS 이름이 사용됩니다.If the local computer is a node in a cluster, the fully qualified DNS name of the cluster virtual server is used.
ComputerNameDnsHostnameComputerNameDnsHostname 로컬 컴퓨터의 DNS 호스트 이름입니다.The DNS host name of the local computer. 로컬 컴퓨터가 클러스터의 노드인 경우 클러스터 가상 서버의 DNS 호스트 이름이 사용됩니다.If the local computer is a node in a cluster, the DNS host name of the cluster virtual server is used.
ComputerNameNetBIOSComputerNameNetBIOS 로컬 컴퓨터의 NetBIOS 이름입니다.The NetBIOS name of the local computer. 로컬 컴퓨터가 클러스터의 노드인 경우 클러스터 가상 서버의 NetBIOS 이름이 사용됩니다.If the local computer is a node in a cluster, the NetBIOS name of the cluster virtual server is used.
ComputerNamePhysicalDnsDomainComputerNamePhysicalDnsDomain 로컬 컴퓨터에 할당된 DNS 도메인의 이름입니다.The name of the DNS domain assigned to the local computer. 로컬 컴퓨터가 클러스터의 노드인 경우 클러스터 가상 서버의 이름이 아니라 로컬 컴퓨터의 DNS 도메인 이름이 사용됩니다.If the local computer is a node in a cluster, the DNS domain name of the local computer is used, not the name of the cluster virtual server.
ComputerNamePhysicalDnsFullyQualifiedComputerNamePhysicalDnsFullyQualified 컴퓨터를 고유하게 식별하는 정규화된 DNS 이름입니다.The fully qualified DNS name that uniquely identifies the computer. 로컬 컴퓨터가 클러스터의 노드인 경우 클러스터 가상 서버의 이름이 아니라 로컬 컴퓨터의 정규화된 DNS 이름이 사용됩니다.If the local computer is a node in a cluster, the fully qualified DNS name of the local computer, is used not the name of the cluster virtual server.

정규화된 DNS 이름은 HostName.DomainName형식으로 DNS 호스트 이름과 DNS 도메인 이름을 결합한 것입니다.The fully qualified DNS name is a combination of the DNS host name and the DNS domain name, using the form HostName.DomainName.
ComputerNamePhysicalDnsHostnameComputerNamePhysicalDnsHostname 로컬 컴퓨터의 DNS 호스트 이름입니다.The DNS host name of the local computer. 로컬 컴퓨터가 클러스터의 노드인 경우 클러스터 가상 서버의 이름이 아니라 로컬 컴퓨터의 DNS 호스트 이름이 사용됩니다.If the local computer is a node in a cluster, the DNS host name of the local computer is used, not the name of the cluster virtual server.
ComputerNamePhysicalNetBIOSComputerNamePhysicalNetBIOS 로컬 컴퓨터의 NetBIOS 이름입니다.The NetBIOS name of the local computer. 로컬 컴퓨터가 클러스터의 노드인 경우 클러스터 가상 서버의 이름이 아니라 로컬 컴퓨터의 NetBIOS 이름이 사용됩니다.If the local computer is a node in a cluster, the NetBIOS name of the local computer, not the name of the cluster virtual server.

SPN이 추가되면 다음과 비슷한 항목이 추적 로그에 추가됩니다.As SPNs are added, an entry is added to the trace log that resembles the following:

rshost!rshost!10a8!01/07/2010-19:29:38:: i INFO: SPN Whitelist Added <ComputerNamePhysicalNetBIOS> - <theservername>.

rshost!rshost!10a8!01/07/2010-19:29:38:: i INFO: SPN Whitelist Added <ComputerNamePhysicalDnsHostname> - <theservername>.

자세한 내용은 보고서 서버의 SPN(서비스 사용자 이름) 등록URL 예약 및 등록 정보(SSRS 구성 관리자)를 참조하세요.For more information, see Register a Service Principal Name (SPN) for a Report Server and About URL Reservations and Registration (SSRS Configuration Manager).

다음 단계Next steps

확장된 보호를 사용하여 데이터베이스 엔진에 연결 Connect to the Database Engine Using Extended Protection
인증에 대한 확장된 보호 개요 Extended Protection for Authentication Overview
확장된 보호를 사용하는 Windows 통합 인증(Integrated Windows Authentication with Extended Protection) Integrated Windows Authentication with Extended Protection
Microsoft 보안 공지: 인증에 대한 확장된 보호 Microsoft Security Advisory: Extended protection for authentication
보고서 서버 서비스 추적 로그 Report Server Service Trace Log
RSReportServer 구성 파일 RsReportServer.config Configuration File
SetExtendedProtectionSettings 메서드(WMI MSReportServer_ConfigurationSetting)SetExtendedProtectionSettings Method (WMI MSReportServer_ConfigurationSetting)

추가 질문이 있으신가요?More questions? Reporting Services 포럼에서 질문하기Try asking the Reporting Services forum