Microsoft Entra Domain Services에서 gMSA(그룹 관리 서비스 계정) 만들기

애플리케이션 및 서비스는 종종 다른 리소스로 인증하기 위해 ID가 필요합니다. 예를 들어 웹 서비스는 데이터베이스 서비스를 사용하여 인증해야 할 수 있습니다. 애플리케이션 또는 서비스에 웹 서버 팜과 같은 여러 인스턴스가 있는 경우 해당 리소스에 대한 ID를 수동으로 만들고 구성하는 데 시간이 많이 걸립니다.

대신 Microsoft Entra Domain Services 관리되는 도메인에서 gMSA(그룹 관리 서비스 계정)를 만들 수 있습니다. Windows OS는 gMSA에 대한 자격 증명을 자동으로 관리하므로 대규모 리소스 그룹의 관리가 간소화됩니다.

이 문서에서는 Azure PowerShell을 사용하여 관리되는 작업기본 gMSA를 만드는 방법을 보여 줍니다.

시작하기 전에

이 문서를 완료하는 데 필요한 리소스와 권한은 다음과 같습니다.

• 활성화된 Azure 구독.
  • Azure 구독이 없는 경우 계정을 만듭니다.
• 온-프레미스 디렉터리 또는 클라우드 전용 디렉터리와 동기화되어 구독과 연결된 Microsoft Entra 테넌트.
  • 필요한 경우 Microsoft Entra 테넌트를 만들거나Azure 구독을 계정에 연결합니다.
• Microsoft Entra 테넌트에서 사용하도록 설정되고 구성된 Microsoft Entra Domain Services 관리되는 도메인입니다.
  • 필요한 경우 자습서를 완료하여 Microsoft Entra Domain Services 관리되는 도메인을 만들고 구성합니다.
• Domain Services 관리형 도메인에 연결된 Windows Server 관리 VM입니다.
  • 필요한 경우 자습서를 완료하여 관리 VM을 만듭니다.

관리되는 서비스 계정 개요

sMSA(독립 실행형 관리 서비스 계정)는 암호가 자동으로 관리되는 do기본 계정입니다. 이 방법은 SPN(서비스 사용자 이름) 관리를 간소화하고 다른 관리자에게 위임된 관리를 사용하도록 설정합니다. 계정에 대한 자격 증명을 수동으로 만들고 회전할 필요가 없습니다.

gMSA(그룹 관리 서비스 계정)는 동일한 관리 간소화를 제공하지만 할 일의 여러 서버에 대해 기본. gMSA를 사용하면 서버 팜에서 호스트되는 서비스의 모든 인스턴스가 상호 인증 프로토콜이 작동하도록 동일한 서비스 주체를 사용할 수 있습니다. gMSA를 서비스 주체로 사용하는 경우 Windows 운영 체제는 관리자에 의존하지 않고 계정의 암호를 다시 관리합니다.

자세한 내용은 gMSA(그룹 관리 서비스 계정) 개요를 참조하세요.

Domain Services에서 서비스 계정 사용

관리되는 기본 Microsoft에서 잠그고 관리하므로 서비스 계정을 사용할 때 몇 가지 고려 사항이 있습니다.

• 관리되는 do기본 사용자 지정 OU(조직 구성 단위)에서 서비스 계정을 만듭니다.
  • 기본 제공 AADDC 사용자 또는 AADDC 컴퓨터 OU에서는 서비스 계정을 만들 수 없습니다.
  • 대신 관리되는 작업에서 사용자 지정 OU를 만든 다음기본 해당 사용자 지정 OU에서 서비스 계정을 만듭니다.
• KDS(키 배포 서비스) 루트 키가 미리 만들어집니다.
  • KDS 루트 키는 gMSA에 대한 암호를 생성하고 검색하는 데 사용됩니다. Domain Services에서는 KDS 루트가 만들어집니다.
  • 다른 키를 만들거나 기본 KDS 루트 키를 볼 수 있는 권한이 없습니다.

gMSA 만들기

먼저 New-ADOrganizationalUnit cmdlet을 사용하여 사용자 지정 OU를 만듭니다. 사용자 지정 OU 만들기 및 관리에 대한 자세한 내용은 Domain Services의 사용자 지정 OU를 참조하세요.

팁

이러한 단계를 완료하여 gMSA 를 만들려면 관리 VM을 사용합니다. 이 관리 VM에는 이미 필요한 AD PowerShell cmdlet과 관리되는 do기본 대한 연결이 있어야 합니다.

다음 예제에서는 aaddscontoso.com이라는 관리되는 도메인에 myNewOU라는 사용자 지정 OU를 만듭니다. 사용자 고유의 OU 및 관리되는 do기본 이름 사용:

New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"

이제 New-ADServiceAccount cmdlet을 사용하여 gMSA를 만듭니다. 다음 예제 매개 변수가 정의됩니다.

• -이름이 WebFarmSvc로 설정됩니다.
• -Path 매개 변수는 이전 단계에서 만든 gMSA에 대한 사용자 지정 OU를 지정합니다.
• DNS 항목 및 서비스 주체 이름은 WebFarmSvc.aaddscontoso.com 대해 설정됩니다.
• AADDSCONTOSO-SERVER$의 보안 주체는 암호를 검색하고 ID를 사용할 수 있습니다.

고유한 이름과 도메인 이름을 지정합니다.

New-ADServiceAccount -Name WebFarmSvc `
    -DNSHostName WebFarmSvc.aaddscontoso.com `
    -Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
    -KerberosEncryptionType AES128, AES256 `
    -ManagedPasswordIntervalInDays 30 `
    -ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
        http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
        http/WebFarmSvc/aaddscontoso.com, `
        http/WebFarmSvc/aaddscontoso `
    -PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$

이제 필요에 따라 gMSA를 사용하도록 애플리케이션 및 서비스를 구성할 수 있습니다.

다음 단계

gMSA에 대한 자세한 내용은 그룹 관리 서비스 계정 시작을 참조 하세요.