자동 암호 변경 계획(SharePoint Foundation 2010)
적용 대상: SharePoint Foundation 2010
마지막으로 수정된 항목: 2016-11-30
암호 관리를 간소화하려면 자동 암호 변경 기능을 사용하여 여러 계정, 서비스 및 웹 응용 프로그램에 걸쳐 수동으로 암호 업데이트 작업을 수행하지 않고도 암호를 업데이트 및 배포할 수 있습니다. 암호 만료가 임박해 있는지 확인하고 강력한 암호화 기능을 갖는 긴 임의 문자열을 사용하여 암호를 다시 설정하도록 자동 암호 변경 기능을 구성할 수 있습니다. 자동 암호 변경 기능을 구현하려면 관리 계정을 구성해야 합니다.
이 문서의 내용
관리 계정 구성
일정에 따라 자동으로 암호 다시 설정
암호 만료 감지
계정 암호 즉시 다시 설정
Active Directory 도메인 서비스와 SharePoint Foundation 계정 암호 동기화
모든 암호 즉시 다시 설정
자격 증명 변경 프로세스
관리 계정 구성
Microsoft SharePoint Foundation 2010은 관리 계정 만들기를 지원하여 보안을 강화하고 응용 프로그램을 격리합니다. 관리 계정을 사용하면 팜의 모든 서비스에 암호를 배포하도록 자동 암호 변경 기능을 구성할 수 있습니다. SharePoint 팜의 응용 프로그램 서버에서 실행하는 SharePoint 웹 응용 프로그램 및 서비스에서 서로 다른 도메인 계정을 사용하도록 구성할 수 있습니다. AD DS(Active Directory 도메인 서비스)에서 여러 계정을 만든 다음 SharePoint Foundation 2010에서 이러한 각 계정을 등록할 수 있습니다. 팜의 다양한 서비스와 웹 응용 프로그램에 관리 계정을 매핑할 수 있습니다.
일정에 따라 자동으로 암호 다시 설정
자동 암호 변경 기능을 구현하기 전에 암호를 업데이트하려면 AD DS에서 각 계정 암호를 다시 설정한 다음 팜의 모든 컴퓨터에서 실행하는 모든 서비스에서 계정 암호를 수동으로 업데이트해야 합니다. 이렇게 하려면 Stsadm 명령줄 도구를 실행하거나 SharePoint 중앙 관리 웹 응용 프로그램을 사용해야 합니다. 이제 자동 암호 변경 기능을 사용하여 관리 계정을 등록하고 SharePoint Foundation 2010에서 계정 암호를 제어하도록 설정할 수 있습니다. 계획된 암호 변경 및 관련 서비스 중단에 대해 사용자에게 알려야 하지만 SharePoint 팜, 웹 응용 프로그램 및 다양한 서비스에서 사용하는 계정은 개별적으로 구성된 암호 다시 설정 일정에 따라 필요한 경우 팜에서 자동으로 다시 설정되어 배포될 수 있습니다.
암호 만료 감지
대개 IT 부서에서는 정기적으로(예: 60일마다) 모든 도메인 계정 암호를 다시 설정해야 하는 정책을 시행합니다. SharePoint Foundation 2010은 암호 만료가 임박해 있음을 감지하고 지정된 관리자에게 전자 메일 알림을 보내도록 구성할 수 있습니다. 관리자가 개입하지 않고도 암호를 자동으로 생성하여 다시 설정하도록 SharePoint Foundation 2010을 구성할 수 있습니다. 암호를 다시 설정하는 동안 있을 수 있는 서비스 중단에 따른 영향을 최소화하도록 자동 암호 다시 설정 일정을 구성할 수도 있습니다.
계정 암호 즉시 다시 설정
항상 자동 암호 다시 설정 일정을 무시하고 특정 암호 값을 사용하여 서비스 계정 암호를 즉시 다시 설정할 수 있습니다. 이 시나리오에서 서비스 계정 암호는 SharePoint Foundation 2010을 통해 AD DS에서 변경될 수 있습니다. 그러면 팜의 다른 서버에 새 암호가 즉시 전달됩니다.
Active Directory 도메인 서비스와 SharePoint Foundation 계정 암호 동기화
AD DS와 SharePoint Foundation 2010 계정 암호가 동기화되지 않으면 SharePoint 팜의 서비스가 시작되지 않습니다. Active Directory 관리자가 SharePoint 관리자와 암호 변경을 조정하지 않고 Active Directory 계정 암호를 변경하면 서비스 중단이 발생할 위험이 있습니다. 이 시나리오에서 SharePoint 관리자는 AD DS에서 변경한 암호 값을 사용하여 계정 관리 페이지에서 암호를 즉시 다시 설정할 수 있습니다. 그러면 암호가 업데이트되어 SharePoint 팜의 다른 서버로 즉시 전달됩니다.
모든 암호 즉시 다시 설정
관리자가 갑자기 조직을 떠나게 되거나 그 밖의 다른 이유로 서비스 계정 암호를 즉시 다시 설정해야 하는 경우 암호 변경 cmdlet을 호출하는 Windows PowerShell 스크립트를 빠르게 만들 수 있습니다. 이 스크립트를 사용하여 임의로 새 암호를 생성하고 새 암호를 즉시 배포할 수 있습니다.
자격 증명 변경 프로세스
SharePoint Foundation 2010에서 관리되는 계정의 자격 증명을 변경하면 팜의 한 서버에서 자격 증명 변경 프로세스가 수행됩니다. 그러면 자격 증명이 변경될 예정이며 필요한 경우 서버가 변경 전 중요한 작업을 수행할 수 있음을 팜의 각 서버에 알립니다. 아직 계정 암호가 변경되지 않은 경우 SharePoint Foundation 2010은 수동으로 입력한 암호 또는 강력한 암호화 기능을 갖는 긴 임의 문자열을 사용하여 암호를 변경하려고 합니다. 적절한 정책(네트워크 또는 로컬)에서 복잡성 설정을 쿼리하고 생성된 암호는 찾은 설정에 대응합니다. 그리고 SharePoint Foundation 2010은 암호 변경을 적용하려고 합니다. 암호 변경을 적용할 수 없는 경우 새 시퀀스를 사용하여 지정된 횟수만큼 재시도합니다. 계정 암호 업데이트 프로세스에 성공하면 다음 종속 서비스로 진행하며 여기서 다시 암호 변경을 적용하려고 합니다. 성공하지 못한 경우 일반 작업을 다시 시작할 수 있음을 각 종속 서비스에 알립니다. 암호 변경을 적용하는 데 성공하거나 적용하는 데 실패한 경우 모두 팜 관리자에게 전자 메일로 보내는 자동 암호 변경 상태 알림이 생성됩니다.