다음을 통해 공유

자습서: Microsoft Entra Domain Services 관리되는 도메인을 구성하고 관리하는 관리 VM 만들기

  • 아티클

Microsoft Entra Domain Services는 Windows Server Active Directory와 완전히 호환되는 도메인 가입, 그룹 정책, LDAP 및 Kerberos/NTLM 인증과 같은 관리되는 도메인 서비스를 제공합니다. 온-프레미스 Active Directory Domain Services 도메인과 동일한 RSAT(원격 서버 관리 도구)를 사용하여 이 관리되는 도메인을 관리합니다. Domain Services는 관리되는 서비스이므로 RDP(원격 데스크톱 프로토콜)를 사용하여 도메인 컨트롤러에 연결하는 것과 같이 수행할 수 없는 몇 가지 관리 작업이 있습니다.

이 자습서에서는 Azure에서 Windows Server VM을 구성하고 Domain Services 관리되는 도메인을 관리하는 데 필요한 도구를 설치하는 방법을 보여 줍니다.

이 자습서에서는 다음 방법을 알아봅니다.

  • 관리되는 도메인에서 사용 가능한 관리 작업 이해
  • Windows Server VM에 Active Directory 관리 도구 설치
  • Active Directory 관리 센터를 사용하여 일반적인 작업 수행

Azure 구독이 없는 경우, 시작하기 전에 계정을 생성 하십시오.

필수 구성 요소

이 자습서를 완료하려면 다음 리소스 및 권한이 필요합니다.

  • 활성 Azure 구독입니다.
    • Azure 구독이 없으면 계정을만드세요.
  • 온-프레미스 디렉터리 또는 클라우드 전용 디렉터리와 동기화된 구독과 연결된 Microsoft Entra 테넌트입니다.
  • Microsoft Entra Domain Services로 관리되는 도메인이 Microsoft Entra 테넌트에서 사용하도록 설정되고 구성되어 있습니다.
    • 필요한 경우 Microsoft Entra Domain Services 관리되는 도메인 만들고 구성하는첫 번째 자습서를 참조하세요.
  • 관리되는 도메인에 가입된 Windows Server VM입니다.
  • Microsoft Entra 테넌트에서 Microsoft Entra DC 관리자 그룹의 구성원인 사용자 계정입니다.
  • Domain Services 가상 네트워크에 배포된 Azure Bastion 호스트입니다.

Microsoft Entra 관리 센터에 로그인

이 자습서에서는 Microsoft Entra 관리 센터를 사용하여 관리 VM을 만들고 구성합니다. 시작하려면 먼저 Microsoft Entra 관리 센터에 로그인합니다.

Domain Services에서 사용 가능한 관리 작업

Domain Services는 사용자, 애플리케이션 및 서비스에서 사용할 관리되는 도메인을 제공합니다. 이 방법은 수행할 수 있는 사용 가능한 관리 작업 중 일부와 관리되는 도메인 내에 있는 권한을 변경합니다. 이러한 작업 및 권한은 일반 온-프레미스 Active Directory Domain Services 환경에서 경험하는 것과 다를 수 있습니다. 원격 데스크톱을 사용하여 관리되는 도메인의 도메인 컨트롤러에 연결할 수도 없습니다.

관리되는 도메인에서 수행할 수 있는 관리 작업

AAD DC Administrators 그룹의 구성원은 다음과 같은 작업을 수행할 수 있도록 관리되는 도메인에 대한 권한을 부여합니다.

  • 관리형 도메인 내의 AADDC 컴퓨터AADDC 사용자 컨테이너에 대한 기본 제공 그룹 정책 개체(GPO)를 구성합니다.
  • 관리되는 도메인에서 DNS를 관리합니다.
  • 관리되는 도메인에서 사용자 지정 OU(조직 구성 단위)를 만들고 관리합니다.
  • 관리되는 도메인에 가입된 컴퓨터에 대한 관리 액세스 권한을 얻습니다.

관리되는 도메인에 없는 관리 권한

관리되는 도메인이 잠겨 있으므로 도메인에서 특정 관리 작업을 수행할 수 있는 권한이 없습니다. 다음 예제 중 일부는 수행할 수 없는 작업입니다.

  • 관리되는 도메인의 스키마를 확장합니다.
  • 원격 데스크톱을 사용하여 관리되는 도메인의 도메인 컨트롤러에 연결합니다.
  • 관리되는 도메인에 도메인 컨트롤러를 추가합니다.
  • 관리되는 도메인에 대한 도메인 관리자 또는 엔터프라이즈 관리자 권한이 없습니다.

Windows Server VM에 로그인

이전 자습서에서는 Windows Server VM을 만들고 관리되는 도메인에 조인했습니다. 해당 VM을 사용하여 관리 도구를 설치합니다. 필요한 경우 자습서의 단계에 따라 Windows Server VM을 생성하고 및 관리되는 도메인에 가입하도록 합니다.

메모

이 자습서에서는 관리되는 도메인에 가입된 Azure의 Windows Server VM을 사용합니다. 관리되는 도메인에 가입된 Windows 10과 같은 Windows 클라이언트를 사용할 수도 있습니다.

Windows 클라이언트에 관리 도구를 설치하는 방법에 대한 자세한 내용은 RSAT(원격 서버 관리 도구) 설치 참조하세요.

시작하려면 다음과 같이 Windows Server VM에 연결합니다.

  1. Microsoft Entra 관리 센터에서 왼쪽에 리소스 그룹을 선택합니다. VM이 생성된 리소스 그룹을 선택하십시오, 예를 들어 myResourceGroup, 그런 다음 VM을 선택하십시오, 예를 들어 myVM.

  2. VM에 대한 개요 창에서 연결을 선택한 후 Bastion을 선택합니다.

    Microsoft Entra 관리 센터 Bastion을 사용하여 Windows 가상 머신에 연결

  3. VM에 대한 자격 증명을 입력한 다음 연결선택합니다.

    Microsoft Entra 관리 센터 Bastion 호스트를 통해 연결

필요한 경우 웹 브라우저에서 Bastion 연결이 표시될 팝업을 열 수 있도록 허용합니다. VM에 연결하려면 몇 초 정도 걸립니다.

Active Directory 관리 도구 설치

ADAC(Active Directory 관리 센터) 또는 AD PowerShell과 같은 온-프레미스 AD DS 환경과 관리되는 도메인에서 동일한 관리 도구를 사용합니다. 이러한 도구는 Windows Server 및 클라이언트 컴퓨터에서 RSAT(원격 서버 관리 도구) 기능의 일부로 설치할 수 있습니다. AAD DC Administrators 그룹의 구성원은 관리되는 도메인에 가입된 컴퓨터에서 이러한 AD 관리 도구를 사용하여 관리되는 도메인을 원격으로 관리할 수 있습니다.

도메인에 가입된 VM에 Active Directory 관리 도구를 설치하려면 다음 단계를 완료합니다.

  1. VM에 로그인할 때 서버 관리자 기본적으로 열리지 않는 경우 시작 메뉴를 선택한 다음 서버 관리자선택합니다.

  2. 서버 관리자 창의 대시보드 창에서 역할 및 기능 추가를 선택합니다.

  3. 시작하기 전에 페이지에서, 역할 및 기능 추가 마법사다음을 선택합니다.

  4. 설치 유형역할 기반 또는 기능 기반 설치 옵션을 선택한 상태로 두고 다음 선택합니다.

  5. 서버 선택 페이지에서 서버 풀에서 현재 VM(예: myvm.aaddscontoso.com)을 선택한 다음, 다음선택합니다.

  6. 서버 역할 페이지에서 다음클릭합니다.

  7. 기능 페이지에서 원격 서버 관리 도구 노드를 확장한 다음 역할 관리 도구 노드를 확장합니다.

    역할 관리 도구 목록에서 AD DS 및 AD LDS 도구 기능을 선택한 다음 선택합니다.

    기능 페이지 'AD DS 및 AD LDS 도구'를 설치합니다.

  8. 확인 페이지에서 설치를 선택하세요. 관리 도구를 설치하는 데 1~2분 정도 걸릴 수 있습니다.

  9. 기능 설치가 완료되면 닫기를 선택하여 역할 및 기능 추가 마법사를 종료합니다.

Active Directory 관리 도구 사용

관리 도구가 설치된 상태에서 관리되는 도메인을 관리하는 데 사용하는 방법을 살펴보겠습니다. AAD DC Administrators 그룹의 구성원인 사용자 계정으로 VM에 로그인했는지 확인합니다.

  1. 시작 메뉴에서 Windows 관리 도구선택합니다. 이전 단계에 설치된 AD 관리 도구가 나열됩니다.

    서버 설치된 관리 도구 목록

  2. Active Directory 관리 센터선택하십시오.

  3. 관리되는 도메인을 탐색하려면 왼쪽 창에서 도메인 이름(예: aaddscontoso )을 선택합니다. 이름이 AADDC 컴퓨터AADDC 사용자인 두 개의 컨테이너가 목록 맨 위에 있습니다.

    관리되는 도메인 사용 가능한 컨테이너 부분을 나열합니다.

  4. 관리되는 도메인에 속하는 사용자 및 그룹을 보려면 AADDC 사용자 컨테이너를 선택합니다. Microsoft Entra 테넌트에서 사용자 계정 및 그룹이 이 컨테이너에 나열됩니다.

    다음 예제 출력에서는 Contoso Admin 사용자 계정과 AAD DC 관리자 대한 그룹이 이 컨테이너에 표시됩니다.

    Domain Services 도메인 사용자 목록을 Active Directory 관리 센터에서 보기

  5. 관리되는 도메인에 조인된 컴퓨터를 보려면 AADDC 컴퓨터 컨테이너를 선택합니다. myVM 같은 현재 가상 머신에 대한 항목이 나열됩니다. 관리되는 도메인에 가입된 모든 디바이스에 대한 컴퓨터 계정은 이 AADDC 컴퓨터 컨테이너에 저장됩니다.

사용자 계정 암호 재설정 또는 그룹 멤버 자격 관리와 같은 일반적인 Active Directory 관리 센터 작업을 사용할 수 있습니다. 이러한 작업은 관리되는 도메인에서 직접 만든 사용자 및 그룹에 대해서만 작동합니다. ID 정보는 Microsoft Entra ID에서 Domain Services로만 동기화됩니다. Domain Services에서 Microsoft Entra ID로 데이터를 기록하지 않습니다. Microsoft Entra ID에서 동기화된 사용자의 암호 또는 관리되는 그룹 멤버 자격을 변경할 수 없으며 이러한 변경 내용을 다시 동기화할 수 없습니다.

관리 도구의 일부로 설치된 Windows PowerShell Active Directory 모듈을 사용하여 관리되는 도메인에서 일반적인 작업을 관리할 수도 있습니다.

다음 단계

이 자습서에서는 다음 방법을 알아보았습니다.

  • 관리되는 도메인에서 사용 가능한 관리 작업 이해
  • Windows Server VM에 Active Directory 관리 도구 설치
  • Active Directory 관리 센터를 사용하여 일반적인 작업 수행

다른 애플리케이션에서 관리되는 도메인과 안전하게 상호 작용하려면 보안 LDAPS(Lightweight Directory Access Protocol)를 사용하도록 설정합니다.

관리되는 도메인 대한 보안 LDAP 구성