자격 증명 로밍을 사용하면 조직에서 응용 프로그램 상태나 구성 정보와 별도로 AD DS(Active Directory 도메인 서비스)에 인증서와 개인 키를 저장할 수 있습니다.
자격 증명 로밍 작동 방법
자격 증명 로밍 기능에서는 기존의 로그온 및 자동 등록 메커니즘을 사용하여 사용자가 로그온할 때마다 로컬 컴퓨터에 인증서와 키를 안전하게 다운로드하며, 필요하면 사용자가 로그오프할 때 이를 제거합니다. 또한 이러한 자격 증명의 무결성은 인증서가 업데이트되는 경우, 사용자가 동시에 여러 컴퓨터에 로그온하는 경우 등의 모든 조건에서 유지됩니다.
다음은 디지털 자격 증명 로밍 작동 방식에 대한 단계별 설명입니다.
-
사용자가 Active Directory 도메인에 연결된 클라이언트 컴퓨터에 로그온합니다.
-
로그온 과정의 일부로 사용자 컴퓨터에 자격 증명 로밍 그룹 정책이 적용됩니다.
-
자격 증명 로밍을 처음 사용하는 경우라면 클라이언트 컴퓨터에 있는 사용자의 저장소에서 AD DS로 인증서가 복사됩니다.
-
AD DS에 사용자의 인증서가 있는 경우 클라이언트 컴퓨터에 있는 사용자 인증서 저장소의 인증서가 AD DS에 있는 사용자 인증서와 비교됩니다.
-
사용자 인증서 저장소의 인증서가 최신이면 다른 작업이 수행되지 않습니다. 하지만 AD DS에 저장된 사용자 인증서가 최신이면 이 인증서가 클라이언트 컴퓨터로 복사됩니다. 사용자에 대한 최신 인증서가 클라이언트 컴퓨터에 저장되는 경우에는 이러한 자격 증명이 AD DS에 복사됩니다.
-
클라이언트 컴퓨터에서 추가 인증서가 필요하면 해결되지 않은 인증서 자동 등록 요청이 처리됩니다.
참고 새로 발급된 인증서는 클라이언트 컴퓨터의 인증서 저장소에 저장되고 AD DS에 복제됩니다.
-
사용자가 도메인에 연결된 다른 클라이언트 컴퓨터에 로그온하면 동일한 그룹 정책 설정이 적용되고 AD DS에서 자격 증명이 다시 복제됩니다. 자격 증명 로밍은 사용자가 로그온하는 다수의 클라이언트 컴퓨터와 AD DS에서 인증서 및 개인 키를 동기화하고 충돌을 해결합니다.
중요 다중 도메인 환경과 다중 도메인 컨트롤러가 있는 도메인의 컴퓨터에서 서로 다른 도메인 컨트롤러에 대해 사용자 ID의 유효성을 검사하는 인증서를 발급한 직후 사용자가 한 도메인 컨트롤러를 사용하여 네트워크에 로그온한 경우에는 자격 증명을 바로 사용할 수 없는 경우도 있습니다. 두 도메인이나 도메인 컨트롤러 간에서 복제가 완료된 후에만 자격 증명을 사용할 수 있습니다.
-
사용자 인증서가 만료되면 이전 인증서는 자동으로 컴퓨터의 사용자 프로필과 AD DS에 보관됩니다.
사용자의 로컬 인증서 저장소에서 개인 키나 인증서가 변경될 때마다, 사용자가 컴퓨터를 잠그거나 잠금을 해제할 때마다, 그룹 정책이 새로 고쳐질 때마다 자격 증명 로밍이 실행됩니다.
로컬 컴퓨터의 구성 요소 간, 로컬 컴퓨터와 AD DS 간의 모든 인증서 관련 통신은 서명되고 암호화됩니다.