ADCS를 배포하는 동안 문서에서 Microsoft는 ADCS를 구성하는 서비스에 서비스 계정을 사용할 것을 권장합니다. 문제는 이러한 항목을 개별적으로 관리해야 하는지, 호스트를 공유할 수 있는지, Kerberos 위임이 포함되어 있기 때문에 원격 서버 관리자에서 액세스가 손실되는 문제는 다루지 않는다는 것입니다.
예전에 이 문제를 해결하는 방법을 배웠습니다.ADFS*배포됨: 컴퓨터 제어권이 서비스 계정에 의해 도난당했지만,아마 아시겠지만,간단히 Active Directory 별칭(CNAME)을 시스템 계정에 추가하면 다시 얻을 수 있습니다. 예;
…CA가 LOCKSMITH라고 불리는 경우…
netdom computername locksmith /add:ceslocksmith.domain.tld
netdom computername locksmith /add:ceplocksmith.domain.tld
netdom computername locksmith /add:nedeslocksmith.domain.tld
…또는 하위 도메인일 수도 있습니다. (이런 생각은 해본 적이 없어요)
netdom computername locksmith /add:ces.locksmith.domain.tld
…
그래서 그게 궁금했는데,만약에ADCS가 사용할 수 있는 각 서비스 계정(CES, CEP, NDES)에 별칭을 추가합니다. 권장 사항에 따라 각각을 실행할 수 있지만 동일한 시스템에서 —아마도 모범 사례에 어긋날 수도 있겠지만, 아시죠?— 제가 어떤 포럼 유형의 장소에서 이것을 발견했다는 점만 빼면요.CES의 여러 사례(나는 농장에서) 모두 다음과 같이 실행해야 한다고 가정합니다.동일한 서비스 계정. 다른 서비스에 대해서는 언급하지 않았습니다. 하지만 그들도 동일한 서비스 계정을 공유해야 할까요, 아니면 개별 서비스에 괜찮을까요?에 묶여하나의엔터프라이즈 CA각각 자신의 서비스 계정으로 실행되나요?
감사해요.
*: 실제로 ADFS의 경우 더 나쁩니다. 왜냐하면 몇 년 동안 문서에서 잘못된 Kerberos를 사용하도록 잘못 표시했기 때문입니다
service/PRINCIPAL. 서비스host대신 을 나타냅니다http. 통제권 부여http최대 한 계정으로 원격 관리/PowerShell 원격 기능을 사용할 수 없게 되지만, 시스템 계정에서 호스트에 대한 제어 권한을 부여하면 도메인에서 고아가 됩니다. 더 나쁜 것은 이것이 문자 그대로 반복된다는 것입니다.MVPs와 다른 사람들이 자신의 블로그에 있습니다.
답변1
시간 지연이 있고 완전한 답변이 아닌 점을 고려하면 지금쯤에는 관련이 없을 수도 있지만 다음과 같습니다.
NDES 커넥터(SCEP용)는 발급 CA 서버에 설치하면 안 되므로 이는 방정식에서 벗어난다는 의미입니다. CA에 위임된 적절한 "인증서 발급" 권한과 기타 요구 사항을 갖춘 자체 서비스 계정으로 실행되어야 합니다.문서.
CES/CEP의 경우 필요한 경우에만 설치하면 됩니다. 예를 들어 교차 도메인 또는 도메인에 가입되지 않은 컴퓨터/외부 사용자 인증서 등록의 경우입니다. 개인적으로는 CA 서버에 없으면 더 기쁘지만,~할 수 있다거기에 배포하세요. 기본적으로 웹 서비스에 대한 응용 프로그램 풀 ID를 사용하지만 이를 도메인 사용자 계정으로 변경할 수 있으며 변경해야 합니다. 또한 (g)MSA를 사용하여 서비스를 실행할 수 있습니다.이 문서상당히 오래되었지만 여전히 가장 완벽합니다.
문서에는 CA에 CES/CEP를 설치하면 다음과 같은 문제가 발생할 수 있다고 나와 있습니다. 이것이 제가 개인적으로 다른 곳에서 이러한 서비스를 운영하는 이유입니다.만약에그것들은 필수입니다.
다른 Kerberos 인증 http/https 서비스가 인증서 등록 정책 웹 서비스 또는 Kerberos 인증용으로 구성된 인증서 등록 웹 서비스와 동일한 호스트에서 실행 중인 경우 SPN 충돌로 인해 등록이 실패할 수 있습니다. 해결책은 모든 서비스가 동일한 사용자 계정으로 실행되도록 구성하는 것입니다.
마지막으로 어떤 문서를 따르고 있는지, 어떤 버전의 ADCS를 배포하고 있는지는 확실하지 않지만 NTLM 릴레이 공격으로부터 CA 서버를 보호해야 한다는 점을 기억하세요.KB5005413. 이상적으로 이는 도메인 컨트롤러(대부분의 기업 환경에서는 매우 어려움) 또는 각 CS 서버(예: CA 또는 CES 서버)에서 NTLM 인증을 비활성화하는 것을 의미합니다. 최소한의 해결 방법은 https를 요구하고 등록 웹 서비스에서 인증을 위한 확장된 보호(EPA)를 구성하는 것입니다.