none
Exchange Server 2016 CU21 : 도메인 관리자 계정 (Domain\Administrator) : 비밀번호 변경 시 동작 영향성 확인 RRS feed

  • 질문

  •    

    안녕하세요, Exchange Server 2016 제품군을 사용하고 있는 사용자입니다.

    저희는 서버컴퓨터 6대를 운용하고 있으며 다음과 같은 구성으로 설정하였습니다.

    도메인 포레스트 : XXX

    서버1 : Windows Server 2016 x64, Active Directory Domain Controller1(AD-DC1), 도메인 관리자 계정 사용하여 접속(XXX\Administrator)

    서버2 : Windows Server 2016 x64, Active Directory Domain Controller2(AD-DC2), 도메인 관리자 계정 사용하여 접속(XXX\Administrator)

    서버3 : Windows Server 2016 x64, Exchange Server 2016 x64 CU21 설치, MS-SQL 2017 설치, 도메인 관리자 계정 사용하여 접속(XXX\Administrator)

    => 메일 서버1로 동작 (DAG 구성 안함), 사서함 서버로 사용 

    서버4 : Windows Server 2016 x64, Exchange Server 2016 x64 CU21 설치, MS-SQL 2017 설치, 도메인 관리자 계정 사용하여 접속(XXX\Administrator)

    => 메일 서버2로 동작 (DAG 구성 안함), 사서함 서버로 사용 

    서버5 : Windows Server 2016 x64, 도메인 관리자 계정 사용하여 접속(XXX\Administrator)

    서버6 : Windows Server 2016 x64, 도메인 관리자 계정 사용하여 접속(XXX\Administrator)

    Exchange Server 설치 시, 도메인 관리자 계정(XXX\Administrator)으로 설치 

    증상 : 
    - 시스템 관리자가 도메인 관리자 계정의 비밀번호를 1개월마다 변경하여야 한다고 요청함.
    - 요청사항을 만족하고자 도메인 관리자 계정의 비밀번호 변경 시 Exchange Server 2016이 정상적으로 동작하는 지 영향성을 확인하고자 테스트베드를 구축
    - 테스트베드에서 동일 조건으로 설치 후 비밀번호 변경 실험 시 정상적으로 메일 송수신이 불가하고 서비스가 일부 비정상 동작(서비스가 켜지지 않거나, 서비스가 특정 동작을 수행할 때 죽어버림) 발생

    - 오래 전, Exchange Server 2016 CU03 환경에서 실사용 서버 6대에 대하여 비밀번호 변경 테스트를 수행하였으나 Exchange Server가 비정상적으로 동작함.
    - 관련사항으로 MS테크넷에서 한글/영문으로 기술지원 요청사항을 적어 답변대로 수행해보았으나 서비스 비정상 작동으로 중단.
    - 500만원 상당의 MS 원격 기술지원을 요청하여 기술지원 담당자에게 비밀번호 변경이 가능하다는 답변을 받고 복구 의뢰
    - 기술지원 담당자가 2일동안 복구를 시도하였으나 실패, 결국 서버 6대의 운영체제를 재설치하고 AD 재설치, MS-SQL 재설치, Exchange Server 재설치, 실사용 소프트웨어 재설치 수행

    - Exchange Server 2016 Active Directory Domain Administrator Password Change 관련 키워드로 영문 테크넷 포럼 및 한글 테크넷 포럼의 글을 찾아보았으나, 
      원하는 내용을 확인할 수 없었습니다.

    요청사항 : Exchange Server 2016 CU21 환경에서 도메인 관리자 계정(XXX Domain\Administrator)을 변경하였을 경우 정상적으로 동작하는 지,  어떤 영향이 있는지에 대한 MS Technet의 공식 답변을 요청합니다.


    ** 서버 6대에 도메인 관리자 비밀번호 변경 관련 동작 영향성 검토 없이 가능하다는 답변만 듣고 무턱대고 비밀번호를 변경하여 시스템 오류가 발생 시 고객사의 서비스 데이터 손실 보상에 대한 법적 소송을 준비해야 합니다. Exchange Server 2016 운용 중 도메인 관리자 비밀번호 변경 시 영향성에 대한 MS Technet의 공식 답변을 요청합니다.


    2021년 8월 30일 월요일 오전 7:43

모든 응답

  • 안녕하세요!

    문의 주신내용 잘 검토하였습니다.

    먼저 질문사항이 있습니다.

    1. MS-SQL 2017의 용도를 알고싶습니다.

    2. MS-SQL 2017 MSCS 구성 인지요?

    2021년 8월 31일 화요일 오전 12:05
  • [참고사항]
    ** 폐쇄망(인터넷이 안됨) 네트워크 환경에서 이중 형태로 구성

    그룹1(주) : 서버1, 서버3, 서버5

    그룹2(부) : 서버2, 서버4, 서버6

    사용자컴퓨터 N대

    ** 그룹1(주), 그룹2(부)를 모두 켠 상태로 사용자컴퓨터에서 [웹사이트/메일서비스]를 사용

    사용자컴퓨터에서 그룹1의 [웹사이트,메일서비스] 사용시 프로그램에서 그룹1, 그룹2의 DB에 데이터 동시저장

    그룹1의 장비가 고장날 경우 그룹2의 [웹사이트,메일서비스] 사용, 그룹1 장비 수리


    1. MS-SQL 2017의 용도를 알고싶습니다.

    - 서버 3 : IIS서비스 실행중, ASP.NET 기반 웹사이트 1 운영 중  (http,site1.domain.net)

    - 서버 3에 설치된 MS-SQL은 ASP.NET 기반 웹사이트(site1.domain.net)에서 처리되는 데이터를 저장

    - 서버 4 :IIS서비스 실행중,  ASP.NET 기반 웹사이트 2 운영 중 (http,site2.domain.net)

    - 서버 4에 설치된 MS-SQL은 ASP.NET 기반 웹사이트(site2.domain.net)에서 처리되는 데이터를 저장


    2. MS-SQL 2017 MSCS 구성 인지요?

    MSCS 모니터 서버 구성을 하기 어려운 조건이라 MSCS 클러스터링 구성을 하지 않았으며, Exchange DAG 구성도 하지 않았습니다.

    서버운영체제(Windows Server) : MSCS 클러스터링 적용X 
    메일서버(Exchange) : DAG 구성X
    DB서버(MSSQL) : MSCS 클러스터링 적용X


    2021년 8월 31일 화요일 오전 4:47
  • 안녕하세요.

    요청드린 답변내용 잘 검토하였습니다.

    Exchange Server에 MS-SQL 구성이 되어 있습니다.

    다음 과 같은 내용을 잘 검토해 보세요!

    1. Exchange Server 와 ASP.NET 기반 코드 구성 시 administrator 계정을 사용하고 있는지?

    2. MS-SQL 관련 서비스들 중에서 administrator 계정이 연관되어 있는지?

    위 2가지 사항이 연관되어 있으면 비번변경은 불가할 것으로 판단됩니다.

    2021년 9월 1일 수요일 오전 12:34
  • Q1. Exchange Server 와 ASP.NET 기반 코드 구성 시 administrator 계정을 사용하고 있는지?

    서버3과 서버4에 Exchange Server 2016 사서함 서버 최초 설치 시, 도메인 설정 후 "도메인 관리자 계정(XXX\Administrator)으로 로그인" 하여 MSDN대로 
    ① 선행조건 준비 
    ② AD스키마 준비 
    ③ 사서함서버 설치  
    ④ 누적업데이트 설치  
    ⑤ 사후 설치 작업을 수행하였습니다.

    ① 참고URL : Exchange Server 필수 구성 요소
    https://docs.microsoft.com/ko-kr/exchange/plan-and-deploy/prerequisites?view=exchserver-2016

    ② 참고URL : Exchange Server용 Active Directory 및 도메인 준비
    https://docs.microsoft.com/ko-kr/exchange/plan-and-deploy/prepare-ad-and-domains?view=exchserver-2016

    ③ 참고URL : 설치 마법사를 사용하여 Exchange 사서함 서버 설치
    https://docs.microsoft.com/ko-kr/exchange/plan-and-deploy/deploy-new-installations/install-mailbox-role?view=exchserver-2016

    ④ 참고URL : 최신 누적 업데이트로 Exchange 업그레이드
    https://docs.microsoft.com/ko-kr/exchange/plan-and-deploy/install-cumulative-updates?view=exchserver-2016

    ⑤ 참고URL : Exchange Server 사후 설치 작업
    https://docs.microsoft.com/ko-kr/exchange/plan-and-deploy/post-installation-tasks/post-installation-tasks?view=exchserver-2016

    A1.② Exchange Server용 Active Directory 및 도메인 준비 조건인 "사용하는 계정은 Schema Admins 및 Enterprise Admins 보안 그룹 둘 다의 구성원이어야 합니다."를 만족하는 계정인 도메인 관리자 계정(XXX\Administrator)으로 AD 스키마 확장 및 Exchange Server용 AD를 설정했기 때문에 [검토사항1. Exchange Server 기반 코드 구성 시 도메인 관리자 계정(XXX\Administrator)을 사용]하는 조건은 만족하는 것 같습니다.

    A2.ASP.NET 기반 코드 구성 시 administrator 계정과 연관된 부분은 없습니다.

    Q2. MS-SQL 관련 서비스들 중에서 administrator 계정이 연관되어 있는지?
    MS-SQL 설치 시 사용자 추가 항목에서 로컬 Administrator(HostName\Administrator)와 도메인 관리자 계정(XXX\Administrator)을 사용하여 설치하였지만, 로컬계정으로는 DB를 접속하지 않습니다.
    MS-SQL 관련 서비스는 MSSQL DB인스턴스 사용시 SA계정과 별도 추가한 사용자 계정(dbadmin, DBMS 사용자 객체)을 사용합니다.


    Q1의 A1 으로 비밀번호 변경불가 사유가 될 수 있을까요? 있다면 구체적인 이유가 무엇인지 설명을 부탁드립니다.


    2021년 9월 2일 목요일 오전 5:13
  • 안녕하세요!

    상세한 답변 잘 검토하였습니다.

    윈도우 서버에서 서비스 항목 중에서 SQL 관련 서비스가 도메인 계정으로 설정 되어 있는지요?

    추가 확인 부탁드립니다.

    2021년 9월 3일 금요일 오전 2:39
  • 서비스(Services.msc)에서 확인한 결과 SQL Server(인스턴스명) 서비스 및 SQL Server Agent 서비스는

    다음 사용자로 로그온 : 도메인 관리자 계정(XXX\Administrator)으로 설정되어 있습니다.

    2021년 9월 3일 금요일 오전 3:07
  • 추가 답변 주신내용 검토한 결과 원인은 SQL Server 관련 서비스 계정이 

    도메인 관리자 계정으로 설치가 되었기 때문인 듯 합니다.

    도메인 환경에서는 SQL Server 설치 시에 관리자 계정이 아닌 별도의 계정을 만들어서 진행을 합니다.

    다음 링크를 검토해 보세요!

    도메인 사용자 계정

    2021년 9월 3일 금요일 오전 7:13