검색을 위한 gMSA 구성

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기1분

    • gMSA(그룹 관리형 서비스 계정)는 보안 서비스를 지원하는 데 사용하는 관리형 도메인 계정입니다. gMSA는 자격 증명이 없는 디스커버리에 사용할 수 있습니다.

    이점

    gMSA를 사용하도록 디스커버리를 구성한 후에는 해당 계정의 암호 관리가 Windows 운영 체제에서 처리됩니다. 따라서 ServiceNow 인스턴스와 자격 증명을 공유하지 않고 Windows 디스커버리를 실행할 수 있습니다. 이점은 다음과 같습니다.
    • gMSA 암호를 직접 처리할 필요가 없습니다.
    • gMSA 암호 순환 주기를 선택하여 보안을 강화할 수 있습니다.
    • ServiceNow 인스턴스에 암호를 저장할 필요가 없습니다.
    • gMSA 사용자는 도메인 관리 그룹의 구성원일 필요가 없습니다.
    • MID 서버 서비스 계정으로 사용되는 gMSA 사용자는 MID 서버의 로컬 관리자 그룹에 있을 필요가 없습니다.
    그림 1. gMSA를 사용한 검색의 대략적인 뷰
    ServiceNow 인스턴스와 자격 증명을 공유하지 않고도 Windows 검색을 실행할 수 있습니다.

    검색을 위한 gMSA 구성

    자격 증명이 없는 디스커버리에 gMSA 사용

    시작하기 전에

    필요한 역할: admin

    프로시저

    1. PowerShell 명령줄에서 다음 명령을 사용하여 도메인 컨트롤러에 KDS 루트 키를 생성합니다. 
      Add-KdsRootKey -EffectiveImmediately
      or 
      Add-KdsRootKey –EffectiveTime ((Get-Date).AddHours(-10))
    2. 그룹 관리형 서비스 계정 정보를 사용하여 gMSA 및 보안 그룹 설정 https://docs.microsoft.com
    3. MID 서버 gMSA 사용 지침( Windows에 MID 서버 설치)에 따라 gMSA 계정으로 시작합니다.
    4. 인스턴스에 Windows 자격 증명을 생성하고 MID 서버 서비스 계정 사용 확인란을 선택합니다.
    5. MID 서버 및 다른 컴퓨터를 호스팅하는 서버에서 디스커버리를 시작합니다.