그룹 관리 서비스 계정 개요

적용 대상: Windows Server 2012 R2, Windows Server 2012

이 IT 전문가용 항목에서는 실제 응용 사례, Microsoft 구현의 변경 내용, 하드웨어/소프트웨어 요구 사항 및 Windows Server 2012 관련 추가 리소스에 대한 설명을 제공하여 그룹 관리 서비스 계정에 대해 소개합니다.

다음 항목을 찾으려고 했습니까?

• 서비스 계정 

• 관리 서비스 계정(독립 실행형)

기능 설명

Windows Server 2008 R2 및 Windows 7에 도입된 독립 실행형 관리 서비스 계정은 자동 암호 관리 및 간소화된 SPN 관리 기능(다른 관리자에게 관리를 위임하는 기능 포함)을 제공하는 관리되는 도메인 계정입니다.

그룹 관리 서비스 계정은 도메인 내에서 이와 동일한 기능을 제공하는 동시에 이 기능을 여러 서버로 확장합니다. 네트워크 부하 분산과 같이 서버 팜에서 호스트된 서비스에 연결하는 경우 상호 인증을 지원하는 인증 프로토콜을 사용하려면 모든 서비스 인스턴스가 동일한 사용자를 사용해야 합니다. 그룹 관리 서비스 계정이 서비스 사용자로 사용되면 Windows 운영 체제에서는 이 계정의 암호 관리를 관리자에게 맡기지 않고 암호를 대신 관리합니다.

Microsoft 키 배포 서비스(kdssvc.dll)에서는 Active Directory 계정에 대한 키 식별자를 사용하여 특정 키 또는 최신 키를 안전하게 가져오는 메커니즘을 제공합니다. 이 서비스는 Windows Server 2012에 처음 도입된 서비스이며, 이전 버전의 Windows Server 운영 체제에서는 실행되지 않습니다. 키 배포 서비스는 계정용 키를 만드는 데 사용되는 암호를 공유합니다. 이러한 키는 정기적으로 변경됩니다. 그룹 관리 서비스 계정의 경우 Windows Server 2012 도메인 컨트롤러에서는 키 배포 서비스에서 제공한 키 암호 외에 그룹 관리 서비스 계정의 기타 특성을 계산합니다.Windows Server 2012 및 Windows 8 구성원 호스트는 Windows Server 2012 도메인 컨트롤러에 연결하여 현재 및 이전 암호 값을 가져올 수 있습니다.

유용한 팁

그룹 관리 서비스 계정은 서버 팜 또는 네트워크 부하 분산이 적용되는 시스템에서 실행 중인 서비스에 대해 단일 ID 솔루션을 제공합니다. 그룹 MSA 솔루션을 제공하여 새 그룹 MSA 사용자용 서비스를 구성하고 암호 관리를 Windows에서 처리할 수 있습니다.

그룹 관리 서비스 계정을 사용하면 서비스 또는 서비스 관리자가 서비스 인스턴스 간에 암호 동기화를 관리할 필요가 없습니다. 그룹 관리 서비스 계정은 오랫동안 오프라인 상태로 유지되는 호스트 및 모든 서비스 인스턴스에 대한 구성원 호스트 관리를 지원합니다. 즉, 기존 클라이언트 컴퓨터가 현재 연결 중인 서비스 인스턴스를 몰라도 인증할 수 있는 단일 ID를 지원하는 서버 팜을 배포할 수 있습니다.

장애 조치(failover) 클러스터는 gMSA를 지원하지 않습니다. 그러나 클러스터 서비스를 기반으로 실행되는 서비스가 Windows 서비스, 응용 프로그램 풀 또는 예약된 작업이거나 기본적으로 gMSA 또는 sMSA를 지원하는 경우에는 gMSA 또는 sMSA를 사용할 수 있습니다.

새로운 기능 및 변경된 기능

다음 표에는 MSA 기능의 변경 내용이 나와 있습니다.

MSA에 대한 이러한 기능 변경에 대한 정보는 관리 서비스 계정의 새로운 기능을 참조하세요.

더 이상 사용되지 않는 기능

Windows Server 2012에서 Windows PowerShell cmdlet은 원래의 독립 실행형 관리 서비스 계정이 아닌 그룹 관리 서비스 계정을 관리하는 데 기본적으로 사용합니다.

소프트웨어 요구 사항

관리 서비스 계정 및 가상 컴퓨터 계정은 Windows Server 2008 R2 및 Windows Server 2012에 모두 적용됩니다. 그룹 관리 서비스 계정은 Windows Server 2012를 실행하는 컴퓨터에서만 구성 및 관리할 수 있지만, Windows Server 2012 이전 버전의 운영 체제를 실행하는 몇몇 DC가 아직 있는 도메인에서도 단일 서비스 ID 솔루션으로 배포할 수 있습니다. 도메인 또는 포리스트 기능 수준의 요구 사항은 없습니다.

64비트 아키텍처에서는 그룹 관리 서비스 계정을 관리하는 데 사용되는 Windows PowerShell 명령을 실행해야 합니다.

관리 서비스 계정은 Kerberos 지원 암호화 유형에 종속됩니다. 클라이언트 컴퓨터가 서버에 대해 인증할 때 Kerberos를 사용하는 경우 DC는 DC와 서버에 모두 지원되는 암호화를 사용하여 보호된 Kerberos 서비스 티켓을 만듭니다. DC는 이 계정의 msDS-SupportedEncryptionTypes 특성을 사용해 서버에서 지원하는 암호화를 확인하는데, 이 특성이 없는 경우 클라이언트 컴퓨터에서 더 강력한 암호화 유형을 지원하지 않는 것으로 간주합니다.Windows Server 2012 호스트가 RC4를 지원하지 않는 것으로 구성되면 인증에 항상 실패합니다. 이 때문에 AES는 항상 MSA에 대해 명시적으로 구성되어 있어야 합니다.

그룹 관리 서비스 계정은 Windows Server 2012 이전 Windows 운영 체제에 적용되지 않습니다.

서버 관리자 정보

서버 관리자 또는 Install-WindowsFeature cmdlet을 사용해 MSA 및 그룹 MSA를 구현하는 데 필요한 구성 단계는 없습니다.

참고 항목

다음 표에서는 관리 서비스 계정 및 그룹 관리 서비스 계정 관련 추가 리소스의 링크를 제공합니다.