위임된 관리 서비스 계정(dMSA)은 자격 증명을 안전하고 효율적으로 관리할 수 있는 AD(Active Directory) 계정입니다. 기존 서비스 계정과 달리 dMSA는 AD가 자동으로 암호를 관리하므로 수동 암호 관리가 필요하지 않습니다. dMSA를 사용하면 도메인의 리소스에 액세스할 수 있는 특정 권한을 위임하여 보안 위험을 줄이고 서비스 계정 활동에 대한 더 나은 가시성과 로그를 제공할 수 있습니다.
dMSA 설정은 현재 Windows Server 2025를 실행하는 디바이스에서만 사용할 수 있습니다. DMSA는 기존 서비스 계정에 비해 더 안전하고 관리하기 쉬운 서비스 계정 관리 방식입니다. 중요한 서비스를 dMSA로 마이그레이션함으로써 조직은 이러한 서비스가 안전하고 규정을 준수하는 방식으로 관리되도록 할 수 있습니다. DMSA는 고유하고 자주 교체되는 비밀번호를 제공하여 무단 액세스 가능성을 줄이고 전반적인 보안을 향상시킴으로써 더 높은 수준의 보안을 제공합니다.
Prerequisites
원격 관리 도구를 사용하는 경우 장치 또는 모든 장치에 ctive Directory 도메인 서비스 역할이 설치되어 있어야 합니다. 자세한 내용은 Install or uninstall roles, role services, or features를 참조하세요.
역할이 설치되면 장치를 도메인 컨트롤러(DC)로 승격해야 합니다. 서버 관리자에서 플래그 아이콘은 새 알림을 표시합니다. 이 서버를 도메인 컨트롤러로 승격을 선택한 다음, 필요한 단계를 완료합니다.
dMSA를 만들거나 마이그레이션하려면 Domain Admins 또는 Enterprise Admins 그룹의 구성원이거나 동등한 AD 권한이 있어야 합니다.
DMSA를 사용하여 도메인 간 및 포리스트 간 시나리오에 대한 인증을 지원하기 위해 관련 AD 포리스트 간에 양방향 포리스트 트러스트가 설정되었는지 확인합니다.
dMSA를 생성하거나 마이그레이션하기 전에 KDS 루트 키가 DC에서 생성되어야 합니다. PowerShell에서
Get-KdsRootKey을 실행하여 키를 사용할 수 있는지 확인합니다. 키를 사용할 수 없는 경우Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))을 실행하여 추가할 수 있습니다.Note
dMSA를 독립형 관리 서비스 계정(MSA)으로 사용하거나 레거시 서비스 계정을 대체하려면 클라이언트 디바이스에서 다음 명령을 실행해야 합니다.
$params = @{ Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" Name = "DelegatedMSAEnabled" Value = 1 Type = "DWORD" } Set-ItemProperty @params
독립 실행형 dMSA 만들기
다음 안내에 따라 사용자는 기존 서비스 계정에서 마이그레이션하지 않고도 새 dMSA를 만들 수 있습니다.
관리자 권한으로 PowerShell 세션을 열고 실행합니다.
$params = @{ Name = "ServiceAccountName" DNSHostName = "DNSHostName" CreateDelegatedServiceAccount = $true KerberosEncryptionType = "AES256" } New-ADServiceAccount @params특정 디바이스에 AD에서 서비스 계정의 비밀번호를 검색할 수 있는 권한을 부여합니다.
$params = @{ Identity = "DMSA Name" PrincipalsAllowedToRetrieveManagedPassword = "Machine$" } Set-ADServiceAccount @paramsdMSA의 msDS-DelegatedMSAState 속성 값은 3으로 설정해야 합니다. 현재 속성 값을 보려면 실행합니다.
$params = @{ Identity = "dMSAsnmp" Properties = "msDS-DelegatedMSAState" } Get-ADServiceAccount @params이 값을 3으로 설정하려면 다음을 실행합니다.
$params = @{ Identity = "dMSAsnmp" Properties = @{ "msDS-DelegatedMSAState" = 3 } } Set-ADServiceAccount @params
dMSA로 마이그레이션
서비스 계정을 dMSA로 마이그레이션하려면 다음 단계를 따르세요.
독립형 dMSA 만들기에 설명된 대로 dMSA를 생성합니다.
dMSA로 계정 마이그레이션을 시작합니다.
$params = @{ Identity = "<DMSAName>" SupersededAccount = "<DN of service account>" } Start-ADServiceAccountMigration @paramsdMSA로 마이그레이션 중인 서비스 계정이 여러 서버에 액세스할 수 있는 경우 먼저 레지스트리 정책을 적용하여 기본적으로 DC로 설정되도록 해야 합니다. dMSA를 사용하여 로그인한 후 실행합니다.
$params = @{ Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" Name = "DelegatedMSAEnabled" Value = "1" PropertyType = "DWORD" Force = $true } New-ItemProperty @params레지스트리 변경 사항이 적용되고 계정이 연결되면 실행 중인 서비스를 다시 시작하여 계정에 대한 서비스를 다시 시작합니다.
Get-Service | Where-Object {$_.Status -eq "Running"} | Restart-Service
Note
서비스 계정이 여러 디바이스에 연결되고 마이그레이션이 종료된 경우 PrincipalsAllowedToRetrieveManagedPassword 를 수동으로 업데이트해야 합니다.
계정 마이그레이션 완료
Warning
마이그레이션을 완료할 때 마이그레이션 후 다시 되돌려야 하는 경우 원래 서비스 계정을 삭제 하지 마세요 . 이로 인해 몇 가지 문제가 발생합니다.
계정 마이그레이션을 완료하려면 기존 서비스 계정을 비활성화하여 모든 서비스가 dMSA를 사용하도록 해야 합니다.
기존 서비스 계정을 비활성화하려면 다음 명령을 실행합니다.
$params = @{
Identity = "<DMSAName>"
SupersededAccount = "<DN of service account>"
}
Complete-ADServiceAccountMigration @params
잘못된 계정을 마이그레이션하는 경우 다음을 실행하여 마이그레이션 중 모든 단계를 실행 취소하세요.
$params = @{
Identity = "<DMSAName>"
SupersededAccount = "<DN of service account>"
}
Undo-ADServiceAccountMigration @params
서비스 계정을 비활성 상태 또는 연결 해제 상태로 되돌리려면 실행합니다.
$params = @{
Identity = "<DMSAName>"
SupersededAccount = "<DN of service account>"
}
Reset-ADServiceAccountMigration @params
dMSA 이벤트 로그 보기
이벤트 뷰어(eventvwr.exe)를 사용하여 이벤트는 다음 작업을 수행하여 볼 수 있습니다.
- 시작을 마우스 오른쪽 단추로 클릭하고 이벤트 뷰어를 선택합니다.
- 왼쪽 창에서 응용 프로그램 및 서비스를 확장하고 Microsoft\Windows\Security-Kerberos\Operational으로 이동합니다.
- 이 공급자에 대한 로깅은 기본적으로 사용하지 않도록 설정되며 로깅을 사용하도록 설정하려면 [작동 ]을 마우스 오른쪽 단추로 클릭하고 [로그 사용]을 선택합니다.
다음 표에서는 이러한 캡처된 이벤트에 대해 설명합니다.
| 이벤트 ID | Description |
|---|---|
| 307 | dMSA 마이그레이션 - 이 이벤트는 마이그레이션 중인 dMSA와 마이그레이션된 dMSA 모두에 대해 작성됩니다. 여기에는 이전 서비스 계정과 새 dMSA에 대한 정보가 포함되어 있습니다. |
| 308 | dMSA 권한 추가 - 이 이벤트는 마이그레이션 중에 머신이 dMSA의 관리 암호 필드를 검색할 수 있는 주체에 자신을 추가하려고 시도할 때 기록됩니다. |
| 309 | dMSA 키 가져오기 - 이 이벤트는 Kerberos 클라이언트가 도메인 컨트롤러에서 dMSA의 키를 가져오려고 시도할 때 기록됩니다. |