그룹 관리 서비스 개요

• 적용 대상:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

IT 전문가를 위한 이 문서에서는 실제 적용 사례, Microsoft의 구현 변경 사항, 하드웨어 및 소프트웨어 요구 사항을 설명하여 그룹 관리 서비스 계정(gMSA)을 소개합니다.

기능 설명

SMSA(독립 실행형 관리 서비스 계정)는 자동 암호 관리, 간소화된 SPN(서비스 사용자 이름) 관리 및 관리를 다른 관리자에게 위임하는 기능을 제공하는 관리되는 도메인 계정입니다. 도메인 관리자는 서비스 관리를 서비스 관리자에게 위임할 수 있으며, 서비스 관리자는 관리 서비스 계정 또는 그룹 관리 서비스 계정의 전체 수명 주기를 관리할 수 있습니다. 기존 클라이언트 컴퓨터는 인증하는 서비스 인스턴스를 모르고 이러한 서비스에 인증할 수 있습니다. 이 유형의 관리 서비스 계정(MSA)은 Windows Server 2008 R2 및 Windows 7에 도입되었습니다.

그룹 관리 서비스 계정(gMSA)은 도메인 내에서 동일한 기능을 제공하며 여러 서버로 해당 기능을 확장할 수도 있습니다. 따라서 Windows에서 이러한 계정에 대한 암호 관리를 처리할 수 있어 서비스 계정의 관리 오버헤드가 최소화됩니다. 네트워크 부하 분산 솔루션과 같이 서버 팜에서 호스팅되는 서비스에 연결할 때 상호 인증을 지원하는 인증 프로토콜은 서비스의 모든 인스턴스가 동일한 주체를 사용하도록 요구합니다. gMSA를 서비스 주체로 사용하는 경우 관리자가 비밀번호를 관리하는 대신 Windows 운영 체제에서 계정의 비밀번호를 관리합니다.

Microsoft 키 배포 서비스(kdssvc.dll)를 사용하면 최신 키 또는 Active Directory 계정의 키 식별자가 있는 특정 키를 안전하게 얻을 수 있습니다. 키 배포 서비스는 계정의 키를 만드는 데 사용되는 비밀을 공유합니다. 이러한 키는 주기적으로 변경됩니다. gMSA의 경우 도메인 컨트롤러는 키 배포 서비스가 제공하는 키에 대한 비밀번호를 gMSA의 다른 속성과 함께 계산합니다. 회원 호스트는 도메인 컨트롤러에 문의하여 현재 및 이전 비밀번호 값을 얻을 수 있습니다.

유용한 팁

gMSA는 서버 팜 또는 네트워크 부하 분산 장치 뒤의 시스템에서 실행되는 서비스를 위한 단일 ID 솔루션을 제공합니다. gMSA 솔루션을 제공하면 Windows에서 비밀번호 관리를 처리하는 동안 새 gMSA 주체에 대한 서비스를 구성할 수 있습니다.

서비스 또는 서비스 관리자가 gMSA를 사용하는 경우 서비스 인스턴스 간에 비밀번호 동기화를 관리할 필요가 없습니다. gMSA는 장기간 오프라인 상태로 유지되는 호스트를 지원하고 서비스의 모든 인스턴스에 대한 회원 호스트를 관리합니다. 기존 클라이언트 컴퓨터가 어떤 서비스 인스턴스에 연결하는지 알 필요 없이 인증할 수 있는 단일 ID를 지원하는 서버 팜을 배포할 수 있습니다.

장애 조치(failover) 클러스터는 gMSA에 대한 지원을 제공하지 않지만 클러스터 서비스에서 작동하는 서비스는 Windows 서비스, 앱 풀, 예약된 작업 또는 기본적으로 gMSA 또는 sMSA를 지원하는 경우 gMSA 또는 sMSA를 활용할 수 있습니다.

소프트웨어 요구 사항

gMSA를 관리하는 데 필요한 Windows PowerShell 명령을 실행하려면 64비트 아키텍처가 있어야 합니다.

관리형 서비스 계정은 Kerberos 지원 암호화 유형에 따라 달라집니다. 클라이언트 컴퓨터가 Kerberos를 사용하여 서버에 인증하면 DC는 DC와 서버가 모두 지원하는 암호화로 보호되는 Kerberos 서비스 티켓을 만듭니다. DC는 계정의 msDS-SupportedEncryptionTypes 속성을 사용하여 서버가 어떤 암호화를 지원하는지 결정합니다. 속성이 없는 경우 DC는 클라이언트 컴퓨터가 더 강력한 암호화 유형을 지원하지 않는 것처럼 취급합니다. 호스트가 RC4를 지원하지 않도록 구성한 경우 인증은 항상 실패합니다. 따라서 항상 MSA용 AES를 구성해야 합니다.

참고 항목

Windows Server 2008 R2부터 DES는 기본적으로 비활성화되어 있습니다. 지원되는 암호화 유형에 대한 자세한 내용은 Kerberos 인증의 변경 내용을 참조하세요.

참고 항목

Windows Server 2012 이전 버전의 Windows 운영 체제에는 gMSA를 적용할 수 없습니다. Windows Server 2012의 경우 Windows PowerShell cmdlet은 기본적으로 서버 관리 서비스 계정 대신 gMSA를 관리합니다.

서버 관리자 정보

서버 관리자 또는 Install-WindowsFeature cmdlet을 사용하여 MSA 및 gMSA를 구현하기 위해 추가 구성을 수행할 필요가 없습니다.

다음 단계

다음은 관리형 서비스 계정에 대해 자세히 알아볼 수 있는 몇 가지 다른 리소스입니다.

• Windows 7 및 Windows Server 2008 R2용 관리 서비스 계정 설명서
• 서비스 계정 단계별 가이드
• Active Directory의 관리 서비스 계정
• 그룹 관리 서비스 계정 시작
• Active Directory 도메인 서비스의 관리 서비스 계정
• 관리 서비스 계정: 이해, 구현, 모범 사례 및 문제 해결
• Active Directory Domain Services 개요