디스커버리에 대한 gMSA 구성

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 1분

    • gMSA(그룹 관리형 서비스 계정)는 보안 서비스를 지원하는 데 사용하는 관리형 도메인 계정입니다. gMSA는 자격 증명이 없는 디스커버리.

    혜택

    gMSA를 사용하도록 구성 디스커버리 한 후에는 해당 계정의 암호 관리가 운영 체제에서 Windows 처리됩니다. 따라서 인스턴스와 ServiceNow 자격 증명을 공유하지 않고도 실행할 Windows 디스커버리 수 있습니다. 이점은 다음과 같습니다.
    • gMSA 암호를 직접 처리할 필요가 없습니다.
    • gMSA 암호 순환 주기를 선택하여 보안을 강화할 수 있습니다.
    • 인스턴스에 ServiceNow 암호를 저장할 필요가 없습니다.
    • gMSA 사용자는 도메인 관리 그룹의 구성원일 필요가 없습니다.
    • 서비스 계정으로 MID 서버 사용되는 gMSA 사용자는 의 로컬 관리자 그룹에 있을 필요가 없습니다.MID 서버

    검색을 위한 gMSA 구성

    gMSA(그룹 관리 서비스 계정)를 사용하여 암호를 로컬에 저장하지 않고도 검색을 안전하게 실행 MID 서버 하고 수행합니다 Windows . 이 구성은 자동 암호 순환 및 중앙 집중식 제어에 Active Directory를 활용하여 보안을 개선하고 자격 증명 관리를 단순화합니다.

    시작하기 전에

    • gMSA 계정이 Active Directory에서 만들어지고 구성되어 있는지 확인합니다.
    • 호스트의 로컬 관리자 그룹에 MID 서버 gMSA 계정을 추가합니다.
    • 대상 서버의 경우 로컬 관리자 그룹에 gMSA 계정을 추가합니다.

    필요한 역할: agent_admin, discovery_admin 또는 admin

    프로시저

    1. PowerShell 명령줄에서 다음 명령을 사용하여 도메인 컨트롤러에 KDS 루트 키를 생성합니다. 
      Add-KdsRootKey -EffectiveImmediately
      또는 
      Add-KdsRootKey –EffectiveTime ((Get-Date).AddHours(-10))
    2. 그룹 관리형 서비스 계정 정보를 https://docs.microsoft.com사용하여 gMSA 및 보안 그룹을 설정합니다.
      주:
      일반적으로 검색된 Windows 서버를 GMSAGroup에 추가할 필요는 없습니다. 구성원 호스트는 도메인 컨트롤러 디스커버리 에서 직접 현재 및 이전 암호 값을 가져오며 이 단계가 필요하지 않습니다.
    3. gMSA 사용: Windows에 MID 서버 설치의 지침에 따라 gMSA 계정으로 시작합니다MID 서버.
    4. 인스턴스에 자격 증명을 Windows 생성하고 MID 서버 서비스 계정 사용 확인란을 선택합니다.
    5. 와 다른 컴퓨터를 호스팅하는 서버에서 시작합니다디스커버리.MID 서버