위임된 관리형 서비스 계정 설정하기
위임된 관리 서비스 계정(dMSA)은 자격 증명을 안전하고 효율적으로 관리할 수 있는 AD(Active Directory) 계정입니다. 기존 서비스 계정과 달리 dMSA는 AD가 자동으로 암호를 관리하므로 수동 암호 관리가 필요하지 않습니다. dMSA를 사용하면 도메인의 리소스에 액세스할 수 있는 특정 권한을 위임하여 보안 위험을 줄이고 서비스 계정 활동에 대한 더 나은 가시성과 로그를 제공할 수 있습니다.
dMSA 설정은 현재 Windows Server 2025를 실행하는 디바이스에서만 사용할 수 있습니다. DMSA는 기존 서비스 계정에 비해 더 안전하고 관리하기 쉬운 서비스 계정 관리 방식입니다. 중요한 서비스를 dMSA로 마이그레이션함으로써 조직은 이러한 서비스가 안전하고 규정을 준수하는 방식으로 관리되도록 할 수 있습니다. DMSA는 고유하고 자주 교체되는 비밀번호를 제공하여 무단 액세스 가능성을 줄이고 전반적인 보안을 향상시킴으로써 더 높은 수준의 보안을 제공합니다.
필수 조건
- 원격 관리 도구를 사용하는 경우 장치 또는 모든 장치에 ctive Directory 도메인 서비스 역할이 설치되어 있어야 합니다. 자세한 내용은 Install or uninstall roles, role services, or features를 참조하세요.
- 역할이 설치되면 장치를 도메인 컨트롤러(DC)로 승격해야 합니다. 서버 관리자에서 플래그 아이콘에 새 알림이 표시되면 이 서버를 도메인 컨트롤러로 승격을 선택한 다음 필요한 단계를 완료합니다.
- dMSA를 생성하거나 마이그레이션하기 전에 KDS 루트 키가 DC에서 생성되어야 합니다. PowerShell에서
Get-KdsRootKey을 실행하여 키를 사용할 수 있는지 확인합니다. 키를 사용할 수 없는 경우Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))을 실행하여 추가할 수 있습니다.
참고 항목
dMSA를 독립형 관리 서비스 계정(MSA)으로 사용하거나 레거시 서비스 계정을 대체하려면 클라이언트 디바이스에서 다음 명령을 실행해야 합니다.
$params = @{
Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
Name = "DelegatedMSAEnabled"
Value = 1
Type = "DWORD"
}
Set-ItemProperty @params
독립 실행형 dMSA 만들기
다음 안내에 따라 사용자는 기존 서비스 계정에서 마이그레이션하지 않고도 새 dMSA를 만들 수 있습니다.
관리자 권한으로 PowerShell 세션을 열고 실행합니다.
$params = @{ Name = "ServiceAccountName" DNSHostName = "DNSHostName" CreateDelegatedServiceAccount = $true KerberosEncryptionType = "AES256" } New-ADServiceAccount @params특정 디바이스에 AD에서 서비스 계정의 비밀번호를 검색할 수 있는 권한을 부여합니다.
$params = @{ Identity = "DMSA Name" PrincipalsAllowedToRetrieveManagedPassword = "Machine$" } Set-ADServiceAccount @paramsdMSA의 msDS-DelegatedMSAState 속성 값은 3로 설정해야 합니다. 현재 속성 값을 보려면 실행합니다.
$params = @{ Identity = "dMSAsnmp" Properties = "msDS-DelegatedMSAState" } Get-ADServiceAccount @params이 값을 3로 설정하려면 실행합니다.
$params = @{ Identity = "dMSAsnmp" Properties = @{ "msDS-DelegatedMSAState" = 3 } } Set-ADServiceAccount @params
dMSA로 마이그레이션
서비스 계정을 dMSA로 마이그레이션하려면 다음 단계를 따르세요.
독립형 dMSA 만들기에 설명된 대로 dMSA를 생성합니다.
dMSA로 계정 마이그레이션을 시작합니다.
$params = @{ Identity = "<DMSAName>" SupersededAccount = "<DN of service account>" } Start-ADServiceAccountMigration @paramsdMSA로 마이그레이션 중인 서비스 계정이 여러 서버에 액세스할 수 있는 경우 먼저 레지스트리 정책을 적용하여 기본적으로 DC로 설정되도록 해야 합니다. dMSA를 사용하여 로그인한 후 실행합니다.
$params = @{ Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" Name = "DelegatedMSAEnabled" Value = "1" PropertyType = "DWORD" Force = $true } New-ItemProperty @params레지스트리 변경 사항이 적용되고 계정이 연결되면 실행 중인 서비스를 다시 시작하여 계정에 대한 서비스를 다시 시작합니다.
Get-Service | Where-Object {$_.Status -eq "Running"} | Restart-Service
참고 항목
서비스 계정이 여러 장치에 연결되어 있고 마이그레이션이 종료된 경우, PrincipalsAllowedToRetrieveManagedPassword를 수동으로 업데이트해야 합니다.
계정 마이그레이션 완료
Warning
마이그레이션을 완료할 때 마이그레이션 후 원래 서비스 계정으로 되돌려야 할 경우를 대비하여 이전 서비스 계정을 삭제하면 여러 가지 문제가 발생할 수 있으므로 절대 삭제하지 마세요.
계정 마이그레이션을 완료하려면 기존 서비스 계정을 비활성화하여 모든 서비스가 dMSA를 사용하도록 해야 합니다.
기존 서비스 계정을 비활성화하려면 다음 명령을 실행합니다.
$params = @{
Identity = "<DMSAName>"
SupersededAccount = "<DN of service account>"
}
Complete-ADServiceAccountMigration @params
잘못된 계정을 마이그레이션하는 경우 다음을 실행하여 마이그레이션 중 모든 단계를 실행 취소하세요.
$params = @{
Identity = "<DMSAName>"
SupersededAccount = "<DN of service account>"
}
Undo-ADServiceAccountMigration @params
서비스 계정을 비활성 상태 또는 연결 해제 상태로 되돌리려면 실행합니다.
$params = @{
Identity = "<DMSAName>"
SupersededAccount = "<DN of service account>"
}
Reset-ADServiceAccountMigration @params
dMSA 이벤트 로그 보기
이벤트 뷰어(eventvwr.exe)를 사용하여 이벤트는 다음 작업을 수행하여 볼 수 있습니다.
- 시작을 마우스 오른쪽 버튼으로 클릭하고 이벤트 뷰어를 선택합니다.
- 왼쪽 창에서 응용 프로그램 및 서비스를 확장하고 Microsoft\Windows\Security-Kerberos\Operational으로 이동합니다.
- 이 공급자에 대한 로깅은 기본적으로 비활성화되어 있으며, 로깅을 활성화하려면 작동을 마우스 오른쪽 버튼으로 클릭하고 로그 활성화를 선택합니다.
다음 표에서는 이러한 캡처된 이벤트에 대해 설명합니다.
| 이벤트 ID | 설명 |
|---|---|
| 307 | dMSA 마이그레이션 - 이 이벤트는 마이그레이션 중인 dMSA와 마이그레이션한 dMSA 모두에 대해 작성됩니다. 여기에는 이전 서비스 계정과 새 dMSA에 대한 정보가 포함되어 있습니다. |
| 308 | dMSA 권한 추가 - 이 이벤트는 마이그레이션 중에 머신이 dMSA의 관리 암호 필드를 검색할 수 있는 주체에 자신을 추가하려고 시도할 때 기록됩니다. |
| 309 | dMSA 키 가져오기 - 이 이벤트는 Kerberos 클라이언트가 도메인 컨트롤러에서 dMSA의 키를 가져오려고 시도할 때 기록됩니다. |