gMSA(그룹 관리형 서비스 계정) 시나리오에 대한 도메인 구성

Windows Server »

중요

이 문서는 MIM 2016 SP2에만 적용됩니다.

MIM(Microsoft Identity)은 AD(Active Directory) 도메인에서 작동합니다. AD가 이미 설치되어 있어야 하며 사용자 환경에 관리할 수 있는 도메인에 대한 도메인 컨트롤러가 있어야 합니다. 이 문서에서는 MIM에서 사용할 해당 도메인에서 그룹 관리형 서비스 계정을 설정하는 방법을 설명합니다.

개요

그룹 관리형 서비스 계정을 사용하면 서비스 계정 암호를 주기적으로 변경할 필요가 없습니다. MIM 2016 SP2 릴리스로, 다음 MIM 구성 요소는 설치 프로세스 중에 gMSA 계정이 사용하도록 구성될 수 있습니다.

• MIM 동기화 서비스(FIMSynchronizationService)
• MIM 서비스(FIMService)
• MIM 암호 등록 웹 사이트 애플리케이션 풀
• MIM 암호 재설정 웹 사이트 애플리케이션 풀
• PAM REST API 웹 사이트 애플리케이션 풀
• PAM 모니터링 서비스(PamMonitoringService)
• PAM 구성 요소 서비스(PrivilegeManagementComponentService)

다음 MIM 구성 요소는 gMSA 계정으로 실행을 지원하지 않습니다.

• MIM 포털. MIM 포털이 SharePoint 환경에 속하기 때문입니다. 대신, 팜 모드에서 SharePoint를 배포하고 SharePoint Server에서 자동 암호 변경을 구성할 수 있습니다.
• 모든 관리 에이전트
• Microsoft 인증서 관리
• BHOLD

gMSA에 대한 자세한 내용은 다음 문서에서 확인할 수 있습니다.

• 그룹 관리 서비스 계정 개요

• New-ADServiceAccount

• 키 배포 서비스 KDS 루트 키 만들기

사용자 계정 및 그룹 만들기

MIM 배포의 모든 구성 요소에는 도메인에 자체 ID가 있어야 합니다. 여기에는 SharePoint 및 SQL은 물론 서비스와 동기화같은 MIM 구성 요소도 해당됩니다.

참고

이 연습에서는 Contoso라는 회사의 샘플 이름과 값을 사용합니다. 해당 항목을 사용자의 정보로 바꿉니다. 예를 들면 다음과 같습니다.

• 도메인 컨트롤러 이름 - dc
• 도메인 이름 - contoso
• MIM 서비스 서버 이름 - mimservice
• MIM 동기화 서버 이름 - mimsync
• SQL Server 이름 - sql
• 암호 - Pass@word1

1. 도메인 컨트롤러에 도메인 관리자(예: Contoso\Administrator)로 로그인합니다.

2. MIM 서비스에 대한 다음 사용자 계정을 만듭니다. PowerShell을 시작하고 다음 PowerShell 스크립트를 입력하여 새 AD 도메인 사용자를 만듭니다(모든 계정이 필수인 것은 아니며, 스크립트는 정보 제공 목적으로만 제공된 것이지만, MIM 및 SharePoint 설치 프로세스에 전용 MIMAdmin 계정을 사용하는 것이 좋습니다.).

   import-module activedirectory
   $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
   
   New-ADUser –SamAccountName MIMAdmin –name MIMAdmin
   Set-ADAccountPassword –identity MIMAdmin –NewPassword $sp
   Set-ADUser –identity MIMAdmin –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName svcSharePoint –name svcSharePoint
   Set-ADAccountPassword –identity svcSharePoint –NewPassword $sp
   Set-ADUser –identity svcSharePoint –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName svcMIMSql –name svcMIMSql
   Set-ADAccountPassword –identity svcMIMSql –NewPassword $sp
   Set-ADUser –identity svcMIMSql –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName svcMIMAppPool –name svcMIMAppPool
   Set-ADAccountPassword –identity svcMIMAppPool –NewPassword $sp
   Set-ADUser –identity svcMIMAppPool –Enabled 1 -PasswordNeverExpires 1
   

3. 모든 그룹에 보안 그룹을 만듭니다.

   New-ADGroup –name MIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncAdmins
   New-ADGroup –name MIMSyncOperators –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncOperators
   New-ADGroup –name MIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncJoiners
   New-ADGroup –name MIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncBrowse
   New-ADGroup –name MIMSyncPasswordSet –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncPasswordSet
   Add-ADGroupMember -identity MIMSyncAdmins -Members Administrator
   Add-ADGroupMember -identity MIMSyncAdmins -Members MIMAdmin
   

4. SPN을 추가하여 서비스 계정에 대해 Kerberos 인증을 사용하도록 설정합니다.

   setspn -S http/mim.contoso.com contoso\svcMIMAppPool
   

5. 적절한 이름 확인을 위해 다음 DNS ‘A’ 레코드를 등록해야 합니다(MIM 서비스, MIM 포털, 암호 재설정 및 암호 등록 웹 사이트가 같은 머신에서 호스트된다고 가정).

   • mim.contoso.com - MIM 서비스 및 포털 서버 물리적 IP 주소를 가리킴
   • passwordreset.contoso.com - MIM 서비스 및 포털 서버 물리적 IP 주소를 가리킴
   • passwordregistration.contoso.com - MIM 서비스 및 포털 서버 물리적 IP 주소를 가리킴

키 배포 서비스 루트 키 만들기

그룹 키 배포 서비스를 준비하려면 도메인 컨트롤러에 관리자로 로그인했는지 확인합니다.

도메인의 루트 키가 이미 있는 경우(확인하려면 Get-KdsRootKey 사용) 다음 섹션을 계속합니다.

6. 필요한 경우 KDS(키 배포 서비스) 루트 키를 만듭니다(도메인당 한 번만). 루트 키는 도메인 컨트롤러의 KDS 서비스에서 다른 정보와 함께 사용되어 암호를 생성합니다. 도메인 관리자로 다음 PowerShell 명령을 입력합니다.

   Add-KDSRootKey –EffectiveImmediately
   

   –EffectiveImmediately 는 모든 도메인 컨트롤러에 복제해야 하므로 최대 10시간의 지연이 필요할 수 있습니다. 도메인 컨트롤러 두 개에 이 지연은 약 1시간이었습니다.

   

   참고

   랩 또는 테스트 환경에서 대신 다음 명령을 실행하여 10시간 복제 지연을 방지할 수 있습니다.
   Add-KDSRootKey -EffectiveTime ((Get-Date).AddHours(-10))

MIM 동기화 서비스 계정, 그룹 및 서비스 사용자 만들기

---

MIM 소프트웨어를 설치할 컴퓨터의 모든 컴퓨터 계정이 이미 도메인에 가입되어 있는지 확인합니다. 그런 다음, PowerShell에서 도메인 관리자로 다음 단계를 수행합니다.

7. MIMSync_Servers 그룹을 만들고 모든 MIM 동기화 서버를 이 그룹에 추가합니다. 다음을 입력하여 MIM 동기화 서버용 새 AD 그룹을 만듭니다. 그런 다음, MIM 동기화 서버 Active Directory 컴퓨터 계정(예: contoso\MIMSync$)을 이 그룹에 추가합니다.

   New-ADGroup –name MIMSync_Servers –GroupCategory Security –GroupScope Global –SamAccountName MIMSync_Servers
   Add-ADGroupmember -identity MIMSync_Servers -Members MIMSync$
   

8. MIM 동기화 서비스 gMSA를 만듭니다. 다음 PowerShell을 입력합니다.

   New-ADServiceAccount -Name MIMSyncGMSAsvc -DNSHostName MIMSyncGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMSync_Servers"
   

   Get-ADServiceAccountPowerShell 명령을 실행하여, 만든 gMSA의 세부 정보를 확인합니다.

   

9. 암호 변경 알림 서비스를 실행하려는 경우 다음 PowerShell 명령을 실행하여 서비스 사용자 이름을 등록해야 합니다.

   Set-ADServiceAccount -Identity MIMSyncGMSAsvc -ServicePrincipalNames @{Add="PCNSCLNT/mimsync.contoso.com"}
   

10. “MIMSync_Server” 그룹 멤버 자격이 변경되었으므로 MIM 동기화 서버를 다시 부팅하여 서버와 연결된 Kerberos 토큰을 새로 고칩니다.

MIM 서비스 관리 에이전트 서비스 계정 만들기

11. 일반적으로 MIM 서비스를 설치할 때 MIM 서비스 관리 에이전트의 새 계정(MIM MA 계정)을 만듭니다. gMSA를 사용할 경우 다음과 같은 두 가지 옵션을 사용할 수 있습니다.

• MIM 동기화 서비스 그룹 관리형 서비스 계정을 사용하고 별도의 계정을 만들지 않음

  MIM 서비스 관리 에이전트 서비스 계정 만들기를 건너뛸 수 있습니다. 이 경우 MIM 서비스를 설치할 때 MIM MA 계정 대신 MIM 동기화 서비스 gMSA 이름(예: contoso\MIMSyncGMSAsvc$)을 사용합니다. 나중에 MIM 서비스 관리 에이전트 구성에서 ‘Use MIMSync Account’(MIMSync 계정 사용) 옵션을 사용하도록 설정합니다.

  MIM MA 계정에는 ‘Allow Network Logon’(네트워크 로그온 허용) 권한이 필요하므로 MIM 동기화 서비스 gMSA에 대해 ‘Deny Logon from Network’(네트워크의 로그온 거부)를 사용하도록 설정하지 않습니다.

• MIM 서비스 관리 에이전트 서비스 계정에 일반 서비스 계정 사용

  도메인 관리자로 PowerShell을 시작하고 다음을 입력하여 새 AD 도메인 사용자를 만듭니다.

  $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
  
  New-ADUser –SamAccountName svcMIMMA –name svcMIMMA
  Set-ADAccountPassword –identity svcMIMMA –NewPassword $sp
  Set-ADUser –identity svcMIMMA –Enabled 1 –PasswordNeverExpires 1
  

  MIM MA 계정에는 ‘Allow Network Logon’(네트워크 로그온 허용) 권한이 필요하므로 MIM MA 계정에 대해 ‘Deny Logon from Network’(네트워크의 로그온 거부)를 사용하도록 설정하지 않습니다.

MIM 서비스 계정, 그룹 및 서비스 사용자 만들기

PowerShell을 도메인 관리자로 계속 사용합니다.

12. MIMService_Servers 그룹을 만들고 모든 MIM 서비스 서버를 이 그룹에 추가합니다. 다음 PowerShell을 입력하여 MIM 서비스 서버의 새 AD 그룹을 만들고 MIM 서비스 서버 Active Directory 컴퓨터 계정(예: contoso\MIMPortal$)을 이 그룹에 추가합니다.

    New-ADGroup –name MIMService_Servers –GroupCategory Security –GroupScope Global –SamAccountName MIMService_Servers
    Add-ADGroupMember -identity MIMService_Servers -Members MIMPortal$
    

13. MIM 서비스 gMSA를 만듭니다.

    New-ADServiceAccount -Name MIMSrvGMSAsvc -DNSHostName MIMSrvGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMService_Servers" -OtherAttributes @{'msDS-AllowedToDelegateTo'='FIMService/mimportal.contoso.com'} 
    

14. 다음 PowerShell 명령을 실행하여 서비스 사용자 이름을 등록하고 Kerberos 위임을 사용하도록 설정합니다.

    Set-ADServiceAccount -Identity MIMSrvGMSAsvc -TrustedForDelegation $true -ServicePrincipalNames @{Add="FIMService/mimportal.contoso.com"}
    

15. SSPR 시나리오의 경우 MIM 서비스 계정이 MIM 동기화 서비스와 통신할 수 있어야 하므로, MIM 서비스 계정은 MIMSyncAdministrators 또는 MIM 동기화 암호 재설정 및 찾아보기 그룹의 멤버여야 합니다.

    Add-ADGroupmember -identity MIMSyncPasswordSet -Members MIMSrvGMSAsvc$ 
    Add-ADGroupmember -identity MIMSyncBrowse -Members MIMSrvGMSAsvc$ 
    

16. “MIMService_Servers” 그룹 멤버 자격이 변경되었으므로 MIM 서비스 서버를 다시 부팅하여 서버와 연결된 Kerberos 토큰을 새로 고칩니다.

다른 MIM 계정 및 그룹 만들기(필요한 경우)

MIM SSPR을 구성하는 경우 MIM 동기화 서비스 및 MIM 서비스에 대해 위에서 설명한 것과 같은 지침에 따라 다음에 대한 다른 gMSA를 만들 수 있습니다.

• MIM 암호 재설정 웹 사이트 애플리케이션 풀
• MIM 암호 등록 웹 사이트 애플리케이션 풀

MIM PAM을 구성하는 경우 MIM 동기화 서비스 및 MIM 서비스에 대해 위에서 설명한 것과 같은 지침에 따라 다음에 대한 다른 gMSA를 만들 수 있습니다.

• MIM PAM REST API 웹 사이트 애플리케이션 풀
• MIM PAM 구성 요소 서비스
• MIM PAM 모니터링 서비스

MIM을 설치할 때 gMSA 지정

일반적으로 대부분의 경우 MIM 설치 관리자를 사용하여 일반 계정 대신 gMSA를 사용하도록 지정하고, gMSA 이름(예: contoso\MIMSyncGMSAsvc$)에 달러 기호 문자를 추가하고 암호 필드를 비워 둡니다. 한 가지 예외는 달러 기호 없는 gMSA 이름을 허용하는 miisactivate.exe 도구입니다.

Windows Server »