키 배포 서비스 KDS 루트 키 만들기

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

IT 전문가를 위한 이 문서에서는 Windows PowerShell을 사용하여 windows Server 2012 이상에서 그룹 관리 서비스 계정 암호를 생성하기 위해 do기본 컨트롤러에서 Microsoft 키 배포 서비스(kdssvc.dll) 루트 키를 만드는 방법을 설명합니다.

d기본 컨트롤러(DC)는 gMSA 암호 생성을 시작하기 위해 루트 키가 필요합니다. 도메인 컨트롤러는 gMSA 만들기를 허용하기 전에 모든 도메인 컨트롤러가 해당 AD 복제를 수렴할 때까지 최대 10시간을 대기하게 됩니다. 최대 10시간을 기다리는 것은 환경의 모든 DC가 gMSA 요청에 응답하기 전에 암호 생성이 발생하지 않도록 방지하는 안전 조치입니다. gMSA 호스트가 암호를 검색하려고 할 때 gMSA를 너무 빨리 사용하려고 하면 복제본(replica)기본 컨트롤러에 키가 표시되지 않았을 수 있습니다. gMSA 암호 검색 실패는 제한된 복제본(replica)일정이 있는 DC를 사용하거나 복제본(replica) 문제가 있는 경우에도 발생할 수 있습니다.

참고 항목

루트 키를 삭제하고 다시 만들면 키 캐싱으로 인해 삭제 후에도 이전 키가 계속 사용되는 문제가 발생할 수 있습니다. 루트 키를 다시 만드는 경우 모든 작업기본 컨트롤러에서 KDC(키 배포 서비스)를 다시 시작해야 합니다.

이 절차를 수행하려면 최소한 Domain Admins 또는 Enterprise Admins 그룹의 구성원이거나 이와 동등한 자격이 있어야 합니다. 적절한 계정과 그룹 구성원 사용에 대한 자세한 내용은 로컬 및 도메인 기본 그룹을 참조하세요.

참고 항목

64비트 아키텍처에서는 그룹 관리 서비스 계정을 관리하는 데 사용되는 Windows PowerShell 명령을 실행해야 합니다.

Add-KdsRootKey cmdlet을 사용하여 KDS 루트 키를 만들려면

  1. Windows Server 2012 이상에서 컨트롤러를 기본 작업 표시줄에서 Windows PowerShell을 실행합니다.

  2. Windows PowerShell Active Directory 모듈에 대한 명령 프롬프트에서 다음 명령을 입력하고 Enter 키를 누릅니다.

    Add-KdsRootKey -EffectiveImmediately

    유효 시간 매개 변수를 사용하여 키가 사용 전에 모든 DC에 전파될 수 있는 시간을 제공할 수 있습니다. Add-KdsRootKey -EffectiveImmediately를 사용하면 KDS 서비스에서 즉시 사용할 루트 키가 대상 DC에 추가됩니다. 그러나 다른 do기본 컨트롤러는 복제본(replica) 작업이 성공할 때까지 루트 키를 사용할 수 없습니다.

KDS 루트 키는 컨테이너 CN=Master Root Keys,CN=Group Key Distribution Service,CN=Services,CN=Configuration,DC=<forest name>;의 Active Directory에 저장됩니다. 개체를 만든 Do기본 Controller의 컴퓨터 계정에 연결되는 msKds-Do기본ID 특성이 있습니다. 이렇게 하면기본 컨트롤러가 강등되고 do기본에서 제거되면 값은 컴퓨터 계정의 삭제 표시를 참조합니다. 끊어진 값은 관리자가 새로 만들 때 개체를 추적하는 데만 사용되므로 무시할 수 있습니다. 특성 값을 변경하고 포리스트에 있는 다른 do기본 컨트롤러의 컴퓨터 개체를 가리킬 수도 있습니다.

DC가 하나뿐인 테스트 환경의 경우 키 생성 대기를 방지하기 위해 다음 절차에 따라 KDS 루트 키를 만들고 과거의 시간으로 시작 시간을 설정할 수 있습니다. 4004 이벤트가 KDS 이벤트 로그에 기록되었는지 확인합니다.

테스트 환경에서 즉시 적용되는 KDS 루트 키를 만들려면

  1. Windows Server 2012 이상에서 컨트롤러를 기본 작업 표시줄에서 Windows PowerShell을 실행합니다.

  2. Windows PowerShell Active Directory 모듈에 대한 명령 프롬프트에서 다음 명령을 입력하고 Enter 키를 누릅니다.

    $a=Get-Date

    $b=$a.AddHours(-10)

    Add-KdsRootKey -EffectiveTime $b

    또는 다음 단일 명령을 사용합니다.

    Add-KdsRootKey -EffectiveTime((get-date).addhours(-10))

참고 항목

그룹 관리 서비스 계정 시작