그룹 관리 서비스 개요

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

IT 전문가를 위한 이 문서에서는 실제 애플리케이션, Microsoft 구현의 변경 사항, 하드웨어 및 소프트웨어 요구 사항을 설명하여 gMSA(그룹 관리 서비스 계정)를 소개합니다.

기능 설명

sMSA(독립 실행형 관리 서비스 계정)는 자동 암호 관리, 간소화된 SPN(서비스 사용자 이름) 관리 및 관리를 다른 관리자에게 위임하는 기능을 제공하는 관리되는 do기본 계정입니다. 이러한 유형의 MSA(관리 서비스 계정)는 Windows Server 2008 R2 및 Windows 7에서 도입되었습니다.

gMSA(그룹 관리 서비스 계정)는 할 일 내에서 동일한 기능을 제공하며기본 여러 서버에 대해 해당 기능을 확장합니다. 네트워크 부하 분산 솔루션과 같은 서버 팜에서 호스트되는 서비스에 연결하는 경우 상호 인증을 지원하는 인증 프로토콜을 사용하려면 서비스의 모든 인스턴스가 동일한 보안 주체를 사용해야 합니다. gMSA를 서비스 주체로 사용하는 경우 Windows 운영 체제는 관리자가 암호를 관리하는 대신 계정의 암호를 관리합니다.

Microsoft 키 배포 서비스(kdssvc.dll)를 사용하면 Active Directory 계정에 대한 키 식별자를 사용하여 최신 키 또는 특정 키를 안전하게 가져올 수 있습니다. 키 배포 서비스는 계정에 대한 키를 만드는 데 사용되는 비밀을 공유합니다. 이러한 키는 주기적으로 변경됩니다. gMSA의 경우 do기본 컨트롤러는 키 배포 서비스에서 제공하는 키의 암호를 gMSA의 다른 특성과 함께 계산합니다. 멤버 호스트는 do기본 컨트롤러에 문의하여 현재 및 이전 암호 값을 가져올 수 있습니다.

유용한 팁

gMSA는 서버 팜 또는 네트워크 부하 분산 장치 뒤의 시스템에서 실행되는 서비스에 대한 단일 ID 솔루션을 제공합니다. gMSA 솔루션을 제공하여 Windows에서 암호 관리를 처리하는 동안 새 gMSA 보안 주체에 대한 서비스를 구성할 수 있습니다.

서비스 또는 서비스 관리자가 gMSA를 사용하는 경우 서비스 인스턴스 간의 암호 동기화를 관리할 필요가 없습니다. gMSA는 오랜 기간 동안 오프라인으로 유지된 호스트를 지원하고 서비스의 모든 인스턴스에 대한 멤버 호스트를 관리합니다. 기존 클라이언트 컴퓨터가 연결 중인 서비스 인스턴스를 알 필요 없이 인증할 수 있는 단일 ID를 지원하는 서버 팜을 배포할 수 있습니다.

장애 조치(failover) 클러스터는 gMSA를 지원하지 않습니다. 그러나 클러스터 서비스 위에서 실행되는 서비스는 Windows 서비스, 앱 풀, 예약된 작업 또는 기본적으로 gMSA 또는 sMSA를 지원하는 경우 gMSA 또는 sMSA를 사용할 수 있습니다.

소프트웨어 요구 사항

gMSA를 관리해야 하는 Windows PowerShell 명령을 실행하려면 64비트 아키텍처가 있어야 합니다.

관리되는 서비스 계정은 Kerberos 지원 암호화 유형에 따라 달라집니다. 클라이언트 컴퓨터가 Kerberos를 사용하여 서버에 인증하는 경우 DC는 DC와 서버가 모두 지원하는 암호화로 보호되는 Kerberos 서비스 티켓을 만듭니다. DC는 계정의 msDS-SupportedEncryptionTypes 특성을 사용하여 서버에서 지원하는 암호화를 결정합니다. 특성이 없는 경우 DC는 클라이언트 컴퓨터를 더 강력한 암호화 유형을 지원하지 않는 것처럼 처리합니다. RC4를 지원하지 않도록 호스트를 구성한 경우 인증이 항상 실패합니다. 이러한 이유로 항상 MSA에 대한 AES를 구성해야 합니다.

참고 항목

Windows Server 2008 R2를 기준으로 DES는 기본적으로 사용하지 않도록 설정됩니다. 지원되는 암호화 유형에 대한 자세한 내용은 Kerberos 인증의 변경 내용을 참조하세요.

gMSA는 Windows Server 2012 이전의 Windows 운영 체제에는 적용되지 않습니다.

서버 관리자 정보

서버 관리자 또는 cmdlet을 사용하여 MSA 및 gMSA를 구현하기 위해 추가 구성을 Install-WindowsFeature 수행할 필요가 없습니다.

다음 단계

다음은 관리 서비스 계정에 대해 자세히 알아보기 위해 읽을 수 있는 몇 가지 다른 리소스입니다.

• 관리 서비스 계정의 새로운 기능
• Windows 7 및 Windows Server 2008 R2용 관리 서비스 계정 설명서
• 서비스 계정 단계별 가이드
• Active Directory의 관리 서비스 계정
• 그룹 관리 서비스 계정 시작
• Active Directory 도메인 Services의 관리 서비스 계정
• 관리 서비스 계정: 이해, 구현, 모범 사례 및 문제 해결
• Active Directory Domain Services 개요