SharePoint Server에서 자동 암호 변경 구성

  • 아티클

적용 대상:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

자동 암호 변경 기능을 이용하면 SharePoint Server에서 사용자가 지정한 일정에 따라 암호화된 긴 암호를 자동으로 생성할 수 있습니다.

관리되는 계정 구성

여러 서비스에서 계정을 사용할 수 있도록 팜과 함께 관리되는 계정을 등록해야 합니다. SharePoint 중앙 관리 웹 사이트의 관리 계정 등록 페이지를 사용하여 관리 계정을 등록할 수 있습니다. 관리되는 계정 등록 페이지에는 AD DS(Active Directory 도메인 서비스) 또는 로컬 컴퓨터에서 계정을 만들기 위한 옵션이 없습니다. 옵션을 사용하여 SharePoint Server 팜에 기존 계정을 등록할 수 있습니다. 다음 절차의 단계를 수행하여 중앙 관리를 통해 관리되는 계정 설정을 구성합니다.

중앙 관리를 사용하여 관리되는 계정 설정을 구성하려면

  1. 이 절차를 수행하는 계정이 팜 관리자인지 확인합니다.

  2. 중앙 관리에서 보안을 선택합니다.

  3. 일반 보안에서 관리되는 계정 구성을 클릭합니다.

  4. 관리되는 계정 페이지에서 관리되는 계정 등록을 클릭합니다.

  5. 관리 계정 등록 페이지의 계정 등록 섹션에서 서비스 계정 자격 증명을 입력합니다.

  6. 자동 암호 변경 섹션에서 자동으로 암호 변경 확인란을 선택하여 SharePoint Server에서 선택한 계정의 암호를 관리하도록 합니다. 그런 다음 암호가 만료되어 자동 암호 변경 프로세스가 시작될 때까지의 기간(일)을 나타내는 숫자 값을 입력합니다.

  7. 자동 암호 변경 섹션에서 전자 메일로 알림 시작 확인란을 선택한 다음 자동 암호 변경 프로세스가 시작되어 전자 메일 알림이 전송될 때까지의 기간(일)을 나타내는 숫자 값을 입력합니다. 그러면 주간 또는 월간 전자 메일 알림 일정을 구성할 수 있습니다.

  8. 확인을 클릭합니다.

자동 암호 변경 설정 구성

중앙 관리의 암호 관리 설정 페이지를 사용하여 자동 암호 변경에 대한 팜 수준 설정을 구성합니다. 팜 관리자는 모니터링 및 예약 옵션 외에 모든 암호 변경 알림 전자 메일을 보내는 데 사용될 알림 전자 메일 주소를 구성할 수 있습니다. 다음 절차의 단계에 따라 중앙 관리를 사용하여 자동 암호 변경 설정을 구성합니다.

중앙 관리를 사용하여 자동 암호 변경 설정을 구성하려면

  1. 이 절차를 수행하는 계정이 팜 관리자인지 확인합니다.

  2. 중앙 관리 홈 페이지에서 보안을 클릭합니다.

  3. 일반 보안에서 암호 변경 설정 구성을 클릭합니다.

  4. 암호 관리 설정 페이지의 알림 전자 메일 주소 섹션에 임박한 암호 변경 또는 만료 이벤트를 알릴 사용자 한 명 또는 그룹 하나의 전자 메일 주소를 입력합니다.

  5. 관리되는 계정에 대해 자동 암호 변경이 구성되지 않은 경우 계정 모니터링 프로세스 설정 섹션에 알림 전자 메일 주소 섹션에 구성된 전자 메일 주소로 알림을 보낼 암호 만료 일 수를 나타내는 숫자 값을 입력합니다.

  6. 자동 암호 변경 설정 섹션에서 변경을 시작하기 전, 보류 중인 암호 변경 사실을 서비스에 알린 이후에 자동 암호 변경이 대기하는 시간(초)을 나타내는 숫자 값을 입력합니다. 프로세스가 중지되기 전에 암호 변경 시도 횟수를 나타내는 숫자 값을 입력합니다.

  7. 확인을 클릭합니다.

자동 암호 변경 문제 해결

다음 지침을 활용하여 자동 암호 변경을 구성할 경우 발생할 수 있는 가장 일반적인 문제를 방지합니다.

암호 불일치

AD DS(Active Directory Domain Services)와 SharePoint Server 간에 암호 불일치가 있으므로 자동 암호 변경 프로세스가 실패하면 암호 변경 프로세스로 인해 로그온 시 액세스 거부, 계정 잠금 또는 AD DS 읽기 오류가 발생할 수 있습니다. 이러한 문제가 발생하면 AD DS 암호가 올바르게 구성되어 있는지, 설치 프로그램에 대한 읽기 액세스 권한이 AD DS 계정에 있는지 확인합니다. Microsoft PowerShell을 사용하여 발생할 수 있는 암호 불일치 문제를 해결한 다음 암호 변경 프로세스를 재개합니다.

PowerShell을 사용하여 암호 불일치 문제를 해결하려면

  1. 다음 멤버 자격이 있는지 확인합니다.

    • SQL Server 인스턴스에 대한 securityadmin 고정 서버 역할

    • 업데이트하려는 모든 데이터베이스에 대한 db_owner 고정 데이터베이스 역할

    • PowerShell cmdlet을 실행 중인 서버의 관리자 그룹입니다.

    • 위의 최소 멤버 자격 이외에 필요한 멤버 자격을 추가합니다.

    관리자는 Add-SPShellAdmin cmdlet을 사용하여 SharePoint Server cmdlet 사용 권한을 부여할 수 있습니다.

    참고

    권한이 없는 경우 설치 관리자 또는 SQL Server 관리자에게 문의하여 권한을 요청하십시오. PowerShell 권한에 대한 자세한 내용은 Add-SPShellAdmin을 참조하세요.

  2. SharePoint 관리 셸을 시작합니다.

  3. PowerShell 명령 프롬프트에서 다음을 입력합니다.

    Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -ExistingPassword <SecureString> -UseExistingPassword $true

    자세한 내용은 Set-SPManagedAccount을 참조하십시오.

서비스 계정 구축 오류

팜의 하나 이상의 서버에서 서비스 계정 프로비저닝 또는 다시 프로비전이 실패하는 경우 타이머 서비스의 상태를 확인합니다. 타이머 서비스가 중지되었으면 다시 시작합니다. 다음 Stsadm 명령을 사용하여 타이머 서비스 관리 작업을 즉시 시작하는 것이 좋습니다. stsadm -o execadmsvcjobs

타이머 서비스를 다시 시작해도 문제가 해결되지 않으면 PowerShell을 사용하여 프로비저닝 오류가 발생한 팜의 각 서버에서 관리 계정을 복구합니다.

서비스 계정 프로비저닝 오류를 해결하려면

  1. 다음 멤버 자격이 있는지 확인합니다.

    • SQL Server 인스턴스에 대한 securityadmin 고정 서버 역할

    • 업데이트하려는 모든 데이터베이스에 대한 db_owner 고정 데이터베이스 역할

    • PowerShell cmdlet을 실행 중인 서버의 관리자 그룹입니다.

    • 위의 최소 멤버 자격 이외에 필요한 멤버 자격을 추가합니다.

    관리자는 Add-SPShellAdmin cmdlet을 사용하여 SharePoint Server cmdlet 사용 권한을 부여할 수 있습니다.

    참고

    권한이 없는 경우 설치 관리자 또는 SQL Server 관리자에게 문의하여 권한을 요청하십시오. PowerShell 권한에 대한 자세한 내용은 Add-SPShellAdmin을 참조하세요.

  2. SharePoint 관리 셸을 시작합니다.

  3. PowerShell 명령 프롬프트에서 다음을 입력합니다.

    Repair-SPManagedAccountDeployment

자세한 내용은 Repair-SPManagedAccountDeployment를 참조하세요.

이전 절차에서 서비스 계정 프로비저닝 실패를 해결하지 못하는 경우 팜 암호화 키를 해독할 수 없기 때문일 수 있습니다. 이 경우 PowerShell을 사용하여 팜의 암호와 일치하도록 로컬 서버 암호를 업데이트합니다.

로컬 서버 암호를 업데이트하려면

  1. 다음 멤버 자격이 있는지 확인합니다.

    • SQL Server 인스턴스에 대한 securityadmin 고정 서버 역할

    • 업데이트하려는 모든 데이터베이스에 대한 db_owner 고정 데이터베이스 역할

    • PowerShell cmdlet을 실행 중인 서버의 관리자 그룹입니다.

    • 위의 최소 멤버 자격 이외에 필요한 멤버 자격을 추가합니다.

    관리자는 Add-SPShellAdmin cmdlet을 사용하여 SharePoint Server cmdlet 사용 권한을 부여할 수 있습니다.

    참고

    권한이 없는 경우 설치 관리자 또는 SQL Server 관리자에게 문의하여 권한을 요청하십시오. PowerShell 권한에 대한 자세한 내용은 Add-SPShellAdmin을 참조하세요.

  2. SharePoint 관리 셸을 시작합니다.

  3. PowerShell 명령 프롬프트에서 다음을 입력합니다.

    Set-SPPassPhrase -PassPhrase <SecureString> -ConfirmPassPhrase <SecureString> -LocalServerOnly $true

자세한 내용은 Set-SPPassPhrase를 참조하세요.

암호 만료 임박

암호가 곧 만료되지만 이 계정에 대해 자동 암호 변경이 구성되지 않은 경우 PowerShell을 사용하여 계정 암호를 관리자가 선택하거나 자동으로 생성할 수 있는 새 값으로 업데이트합니다. 계정 암호를 업데이트하면 타이머 서비스가 시작된 상태이고 팜의 모든 서버에서 관리자 서비스가 사용하도록 설정되어 있는지 확인합니다. 그러면 팜의 모든 서버에 대한 암호를 변경할 수 있습니다.

참고

관리자가 SharePoint 검색 토폴로지에서 서버 암호를 변경하면 서비스가 다시 시작될 때 쿼리가 작동 중단됩니다. 일반적으로 쿼리가 작동 중단되는 시간은 3~5분 정도입니다.

계정 암호를 업데이트하려면

  1. 다음 멤버 자격이 있는지 확인합니다.

    • SQL Server 인스턴스에 대한 securityadmin 고정 서버 역할

    • 업데이트하려는 모든 데이터베이스에 대한 db_owner 고정 데이터베이스 역할

    • PowerShell cmdlet을 실행 중인 서버의 관리자 그룹입니다.

    • 위의 최소 멤버 자격 이외에 필요한 멤버 자격을 추가합니다.

    관리자는 Add-SPShellAdmin cmdlet을 사용하여 SharePoint Server cmdlet 사용 권한을 부여할 수 있습니다.

    참고

    권한이 없는 경우 설치 관리자 또는 SQL Server 관리자에게 문의하여 권한을 요청하십시오. PowerShell 권한에 대한 자세한 내용은 Add-SPShellAdmin을 참조하세요.

  2. SharePoint 관리 셸을 시작합니다.

  3. 계정 암호를 자동 생성된 새 값으로 업데이트하려면 PowerShell 명령 프롬프트에서 다음을 입력합니다.

    Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -AutoGeneratePassword $true

자세한 내용은 Set-SPManagedAccount를 참조하세요.

팜 계정을 다른 계정으로 변경하기 위한 요구 사항

팜 계정을 다른 계정으로 변경해야 하는 경우 다음 Stsadm 명령을 사용합니다. stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password password