다음을 통해 공유

gMSA(그룹 관리 서비스 계정) 시나리오에 대한 도메인 구성

  • 아티클

Windows Server »

중요합니다

이 문서는 MIM 2016 SP2에만 적용됩니다.

MIM(Microsoft Identity Manger)은 AD(Active Directory) 도메인에서 작동합니다. AD가 이미 설치되어 있어야 하며, 관리할 수 있는 도메인에 대한 도메인 컨트롤러가 사용자 환경에 있는지 확인합니다. 이 문서에서는 MIM에서 사용할 수 있도록 해당 도메인에서 그룹 관리 서비스 계정을 설정하는 방법을 설명합니다.

개요

그룹 관리 서비스 계정을 사용하면 서비스 계정 암호를 주기적으로 변경할 필요가 없습니다. MIM 2016 SP2 릴리스에서 다음 MIM 구성 요소는 설치 프로세스 중에 사용하도록 구성된 gMSA 계정을 가질 수 있습니다.

  • MIM 동기화 서비스(FIMSynchronizationService)
  • MIM 서비스(FIMService)
  • MIM 암호 등록 웹 사이트 애플리케이션 풀
  • MIM 암호 재설정 웹 사이트 애플리케이션 풀
  • PAM REST API 웹 사이트 애플리케이션 풀
  • PAM 모니터링 서비스(PamMonitoringService)
  • PAM 구성 요소 서비스(PrivilegeManagementComponentService)

다음 MIM 구성 요소는 gMSA 계정으로 실행을 지원하지 않습니다.

  • MIM 포털. MIM 포털이 SharePoint 환경의 일부이기 때문입니다. 대신 팜 모드에서 SharePoint를 배포하고 SharePoint Server자동 암호 변경을 구성할 수 있습니다.
  • 모든 관리 에이전트
  • Microsoft 인증서 관리
  • BHOLD

gMSA에 대한 자세한 내용은 다음 문서에서 찾을 수 있습니다.

사용자 계정 및 그룹 만들기

MIM 배포의 모든 구성 요소에는 도메인에 자체 ID가 필요합니다. 여기에는 서비스 및 동기화와 같은 MIM 구성 요소와 SharePoint 및 SQL이 포함됩니다.

비고

이 가이드에서는 Contoso라는 회사의 예시 이름과 값을 사용합니다. 이러한 항목을 사용자 고유의 항목으로 대체합니다. 다음은 그 예입니다.

  • 도메인 컨트롤러 이름 - dc
  • 도메인 이름 - contoso
  • MIM 서비스 서버 이름 - mimservice
  • MIM 동기화 서버 이름 - mimsync
  • SQL Server 이름 - sql
  • 암호 - Pass@word1

  1. 도메인 관리자로 도메인 컨트롤러에 로그인합니다(예: Contoso\Administrator).

  2. MIM 서비스에 대해 다음 사용자 계정을 만듭니다. PowerShell을 시작하고 다음 PowerShell 스크립트를 입력하여 새 AD 도메인 사용자를 만듭니다(모든 계정이 필수는 아니지만 스크립트는 정보 제공 목적으로만 제공되지만 MIM 및 SharePoint 설치 프로세스에 전용 MIMAdmin 계정을 사용하는 것이 가장 좋습니다.)

    import-module activedirectory
$sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force

New-ADUser –SamAccountName MIMAdmin –name MIMAdmin
Set-ADAccountPassword –identity MIMAdmin –NewPassword $sp
Set-ADUser –identity MIMAdmin –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName svcSharePoint –name svcSharePoint
Set-ADAccountPassword –identity svcSharePoint –NewPassword $sp
Set-ADUser –identity svcSharePoint –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName svcMIMSql –name svcMIMSql
Set-ADAccountPassword –identity svcMIMSql –NewPassword $sp
Set-ADUser –identity svcMIMSql –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName svcMIMAppPool –name svcMIMAppPool
Set-ADAccountPassword –identity svcMIMAppPool –NewPassword $sp
Set-ADUser –identity svcMIMAppPool –Enabled 1 -PasswordNeverExpires 1

  3. 모든 그룹에 대한 보안 그룹을 만듭니다.

    New-ADGroup –name MIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncAdmins
New-ADGroup –name MIMSyncOperators –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncOperators
New-ADGroup –name MIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncJoiners
New-ADGroup –name MIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncBrowse
New-ADGroup –name MIMSyncPasswordSet –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncPasswordSet
Add-ADGroupMember -identity MIMSyncAdmins -Members Administrator
Add-ADGroupMember -identity MIMSyncAdmins -Members MIMAdmin

  4. 서비스 계정에 Kerberos 인증을 사용하도록 설정하는 SPN 추가

    setspn -S http/mim.contoso.com contoso\svcMIMAppPool

  5. 적절한 이름 확인을 위해 다음 DNS 'A' 레코드를 등록해야 합니다(MIM 서비스, MIM 포털, 암호 재설정 및 암호 등록 웹 사이트가 동일한 컴퓨터에서 호스트되는 것으로 가정).

    • mim.contoso.com - MIM 서비스 및 포털 서버 실제 IP 주소를 가리킵니다.
    • passwordreset.contoso.com - MIM 서비스 및 포털 서버 물리적 IP 주소를 가리킵니다.
    • passwordregistration.contoso.com - MIM 서비스 및 포털 서버 물리적 IP 주소를 가리킵니다.

키 배포 서비스 루트 키 만들기

도메인 컨트롤러에 관리자로 로그인하여 그룹 키 배포 서비스를 준비해야 합니다.

도메인에 대한 루트 키가 이미 있는 경우(Get-KdsRootKey 사용하여 확인) 다음 섹션으로 계속 진행합니다.

  1. 필요한 경우 KDS(키 배포 서비스) 루트 키(도메인당 한 번만)를 만듭니다. 루트 키는 도메인 컨트롤러의 KDS 서비스에서 다른 정보와 함께 암호를 생성하는 데 사용됩니다. 도메인 관리자로 다음 PowerShell 명령을 입력합니다.

    Add-KDSRootKey –EffectiveImmediately

    –EffectiveImmediately 모든 도메인 컨트롤러에 복제해야 하므로 최대 10시간의 지연이 필요할 수 있습니다. 이 지연은 두 도메인 컨트롤러의 경우 약 1시간이었습니다.

    스크린샷

    비고

    랩 또는 테스트 환경에서 다음 명령을 대신 실행하여 10시간의 복제 지연을 방지할 수 있습니다.
    Add-KDSRootKey -EffectiveTime((Get-Date). AddHours(-10))

MIM 동기화 서비스 계정, 그룹 및 서비스 주체 만들기

MIM 소프트웨어를 설치할 컴퓨터의 모든 컴퓨터 계정이 이미 도메인에 가입되어 있는지 확인합니다. 그런 다음 PowerShell에서 도메인 관리자 권한으로 이러한 단계를 수행합니다.

  1. 그룹 MIMSync_Servers 만들고 모든 MIM 동기화 서버를 이 그룹에 추가합니다. MIM 동기화 서버에 대한 새 AD 그룹을 만들려면 다음을 입력합니다. 그런 다음 MIM 동기화 서버 Active Directory 컴퓨터 계정(예: contoso\MIMSync$)을 이 그룹에 추가합니다.

    New-ADGroup –name MIMSync_Servers –GroupCategory Security –GroupScope Global –SamAccountName MIMSync_Servers
Add-ADGroupmember -identity MIMSync_Servers -Members MIMSync$

  2. MIM 동기화 서비스 gMSA를 만듭니다. 다음 PowerShell을 입력합니다.

    New-ADServiceAccount -Name MIMSyncGMSAsvc -DNSHostName MIMSyncGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMSync_Servers"

    Get-ADServiceAccount PowerShell 명령을 실행하여 만든 GSMA의 세부 정보를 확인합니다.

    스크린샷

  3. 암호 변경 알림 서비스를 실행하려는 경우 다음 PowerShell 명령을 실행하여 서비스 주체 이름을 등록해야 합니다.

    Set-ADServiceAccount -Identity MIMSyncGMSAsvc -ServicePrincipalNames @{Add="PCNSCLNT/mimsync.contoso.com"}

  4. MIM 동기화 서버를 다시 부팅하여 "MIMSync_Server" 그룹 멤버 자격이 변경됨에 따라 서버와 연결된 Kerberos 토큰을 새로 고칩니다.

MIM 서비스 관리 에이전트 서비스 계정 만들기

  1. 일반적으로 MIM 서비스를 설치할 때 MIM MA 계정(MIM 서비스 관리 에이전트)에 대한 새 계정을 만듭니다. gMSA를 사용하면 다음 두 가지 옵션을 사용할 수 있습니다.

  • MIM 동기화 서비스 그룹 관리 서비스 계정을 사용하고 별도의 계정을 만들지 않습니다.

    MIM 서비스 관리 에이전트 서비스 계정 만들기를 건너뛸 수 있습니다. 이 경우 MIM 서비스를 설치할 때 MIM MA 계정 대신 MIM 동기화 서비스 gMSA 이름(예: contoso\MIMSyncGMSAsvc$)을 사용합니다. 나중에 MIM 서비스 관리 에이전트 구성에서 'MIMSync 계정 사용' 옵션을 활성화합니다.

    MIM MA 계정에 '네트워크 로그온 허용' 권한이 필요하므로 MIM 동기화 서비스 gMSA에 대해 '네트워크에서 로그온 거부'를 사용하도록 설정하지 마세요.

  • MIM 서비스 관리 에이전트 서비스 계정에 대한 일반 서비스 계정 사용

    PowerShell을 도메인 관리자로 시작하고 다음을 입력하여 새 AD 도메인 사용자를 만듭니다.

    $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force

New-ADUser –SamAccountName svcMIMMA –name svcMIMMA
Set-ADAccountPassword –identity svcMIMMA –NewPassword $sp
Set-ADUser –identity svcMIMMA –Enabled 1 –PasswordNeverExpires 1

    '네트워크 로그온 허용' 권한이 필요하므로 MIM MA 계정에 대해 '네트워크에서 로그온 거부'를 사용하도록 설정하지 마세요.

MIM 서비스 계정, 그룹 및 서비스 주체 만들기

PowerShell을 도메인 관리자로 계속 사용합니다.

  1. 그룹 MIMService_Servers 만들고 이 그룹에 모든 MIM 서비스 서버를 추가합니다. 다음 PowerShell을 입력하여 MIM 서비스 서버에 대한 새 AD 그룹을 만들고 MIM 서비스 서버 Active Directory 컴퓨터 계정(예: contoso\MIMPortal$)을 이 그룹에 추가합니다.

    New-ADGroup –name MIMService_Servers –GroupCategory Security –GroupScope Global –SamAccountName MIMService_Servers
Add-ADGroupMember -identity MIMService_Servers -Members MIMPortal$

  2. MIM 서비스 gMSA를 만듭니다.

    New-ADServiceAccount -Name MIMSrvGMSAsvc -DNSHostName MIMSrvGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMService_Servers" -OtherAttributes @{'msDS-AllowedToDelegateTo'='FIMService/mimportal.contoso.com'}

  3. 다음 PowerShell 명령을 실행하여 서비스 주체 이름을 등록하고 Kerberos 위임을 사용하도록 설정합니다.

    Set-ADServiceAccount -Identity MIMSrvGMSAsvc -TrustedForDelegation $true -ServicePrincipalNames @{Add="FIMService/mimportal.contoso.com"}

  4. SSPR 시나리오의 경우 MIM 서비스 계정이 MIM 동기화 서비스와 통신할 수 있어야 하므로 MIM 서비스 계정은 MIMSyncAdministrators 또는 MIM 동기화 암호 재설정 및 찾아보기 그룹의 구성원이어야 합니다.

    Add-ADGroupmember -identity MIMSyncPasswordSet -Members MIMSrvGMSAsvc$ 
Add-ADGroupmember -identity MIMSyncBrowse -Members MIMSrvGMSAsvc$

  5. MIM 서비스 서버를 다시 부팅하여 "MIMService_Servers" 그룹 멤버 자격이 변경됨에 따라 서버와 연결된 Kerberos 토큰을 새로 고칩니다.

필요한 경우 다른 MIM 계정 및 그룹 만들기

MIM SSPR을 구성하는 경우 MIM 동기화 서비스 및 MIM 서비스에 대해 위에서 설명한 것과 동일한 지침에 따라 다음을 위해 다른 gMSA를 만들 수 있습니다.

  • MIM 암호 재설정 웹 사이트 애플리케이션 풀
  • MIM 암호 등록 웹 사이트 애플리케이션 풀

MIM PAM을 구성하는 경우 MIM 동기화 서비스 및 MIM 서비스에 대해 위에서 설명한 것과 동일한 지침에 따라 다음에 대해 다른 gMSA를 만들 수 있습니다.

  • MIM PAM REST API 웹 사이트 애플리케이션 풀
  • MIM PAM 구성 요소 서비스
  • MIM PAM 모니터링 서비스

MIM을 설치할 때 gMSA 지정

일반적으로 MIM 설치 관리자를 사용하는 경우 일반 계정 대신 gMSA를 사용하도록 지정하려면 gMSA 이름(예: contoso\MIMSyncGMSAsvc$)에 달러 기호를 추가하고 암호 필드를 비워 둡니다. 한 가지 예외는 달러 기호 없이 gMSA 이름을 허용하는 miisactivate.exe 도구입니다.

Windows Server »