편집

다음을 통해 공유


Azure 가상 네트워크에 AD DS 배포

Microsoft Entra
Azure Virtual Network

이 아키텍처는 온-프레미스 Active Directory 도메인을 Azure로 확장하여 분산 인증 서비스를 제공하는 방법을 보여 줍니다.

아키텍처

Active Directory를 사용하는 보안 하이브리드 네트워크 아키텍처를 보여 주는 다이어그램

이 아키텍처의 Visio 파일을 다운로드합니다.

이 아키텍처는 VPN 게이트웨이를 사용하여 온-프레미스 네트워크를 Azure에 연결에 나와 있는 하이브리드 네트워크 아키텍처를 확장합니다.

워크플로

  • 온-프레미스 네트워크. 온-프레미스 네트워크에는 온-프레미스에 있는 구성 요소에 대한 인증 및 권한 부여를 수행할 수 있는 로컬 Active Directory 서버가 포함되어 있습니다.
  • Active Directory 서버. 이러한 서버는 클라우드에서 VM으로 실행되는 AD DS(디렉터리 서비스)를 구현하는 도메인 컨트롤러입니다. Azure 가상 네트워크에서 실행되는 구성 요소의 인증을 제공할 수 있습니다.
  • Active Directory 서브넷. AD DS(Active Directory 도메인 Services) 서버는 별도의 서브넷에 호스트됩니다. NSG(네트워크 보안 그룹) 규칙은 AD DS 서버를 보호하고 예기치 않은 원본의 트래픽으로부터 방화벽을 제공합니다.
  • Azure VPN Gateway 및 Active Directory 동기화. VPN Gateway는 온-프레미스 네트워크와 Azure Virtual Network 간의 연결을 제공합니다. 이 연결은 VPN 연결 또는 Azure ExpressRoute를 통해 연결될 수 있습니다. 클라우드와 온-프레미스의 Active Directory 서버 간의 모든 동기화 요청은 게이트웨이를 통과합니다. UDR(사용자 정의 경로)은 Azure로 전달되는 온-프레미스 트래픽에 대한 라우팅을 처리합니다.

구성 요소

  • Microsoft Entra ID는 Single Sign-On, 다단계 인증 및 조건부 액세스를 제공하는 엔터프라이즈 ID 서비스입니다.
  • VPN Gateway 는 가상 네트워크 게이트웨이를 사용하여 공용 인터넷을 통해 Azure 가상 네트워크와 온-프레미스 위치 간에 암호화된 트래픽을 보내는 서비스입니다.
  • ExpressRoute 를 사용하면 연결 공급자의 도움을 받아 프라이빗 연결을 통해 온-프레미스 네트워크를 Microsoft 클라우드로 확장할 수 있습니다.
  • Virtual Network 는 Azure의 프라이빗 네트워크에 대한 기본 구성 요소입니다. 가상 머신과 같은 Azure 리소스를 사용하여 서로, 인터넷 및 온-프레미스 네트워크와 통신할 수 있습니다.

시나리오 정보

애플리케이션이 부분적으로 온-프레미스 및 부분적으로 Azure에서 호스트되는 경우 Azure에서 AD DS를 복제하는 것이 더 효율적일 수 있습니다. 이렇게 복제하면 클라우드에서 온-프레미스로 실행되는 AD DS로 인증 요청을 다시 전송할 때 발생하는 대기 시간을 줄일 수 있습니다.

추가 고려 사항은 온-프레미스 Active Directory를 Azure와 통합하기 위한 솔루션 선택을 참조하세요.

잠재적인 사용 사례

이 아키텍처는 VPN 또는 ExpressRoute 연결이 온-프레미스 및 Azure 가상 네트워크에 연결할 때 일반적으로 사용됩니다. 또한 이 아키텍처는 양방향 복제를 지원합니다. 즉, 온-프레미스 또는 클라우드에서 변경될 수 있으며 두 원본 모두 일관성을 유지합니다. 이 아키텍처의 일반적인 용도로는 온-프레미스와 Azure 간에 기능이 분산되는 하이브리드 애플리케이션과 Active Directory를 사용하여 인증을 수행하는 애플리케이션 및 서비스가 포함됩니다.

권장 사항

대부분의 시나리오의 경우 다음 권장 사항을 적용합니다. 이러한 권장 사항을 재정의하라는 특정 요구 사항이 있는 경우가 아니면 따릅니다.

VM 권장 사항

예상되는 인증 요청의 양에 따라 VM 크기 요구 사항을 결정합니다. 온-프레미스에서 AD DS를 호스팅하는 컴퓨터의 사양을 시작점으로 사용하고 Azure VM 크기와 일치합니다. 배포되면 VM의 실제 부하에 따라 사용률을 모니터링하고 스케일 업 또는 축소합니다. AD DS 도메인 컨트롤러 크기 조정에 대한 자세한 내용은 Active Directory 도메인 Services에 대한 용량 계획을 참조하세요.

Active Directory의 데이터베이스, 로그 및 sysvol 폴더를 저장할 별도의 가상 데이터 디스크를 만듭니다. Active Directory의 데이터베이스, 로그 및 SYSVOL을 운영 체제와 동일한 디스크에 저장하지 않습니다. 기본적으로 데이터 디스크는 쓰기 통과 캐싱을 사용하여 VM에 연결됩니다. 그러나 이러한 형태의 캐싱은 AD DS의 요구 사항과 충돌할 수 있습니다. 이러한 이유로 데이터 디스크의 호스트 캐시 기본 설정 설정을 없음으로 설정합니다.

AD DS를 실행하는 두 개 이상의 VM을 도메인 컨트롤러로 배포하고 다른 가용성 영역에 추가합니다. 지역에서 사용할 수 없는 경우 가용성 집합에 배포합니다.

네트워킹 권장 사항

전체 DNS(도메인 이름 서비스) 지원을 위해 고정 개인 IP 주소를 사용하여 각 AD DS 서버에 대한 NIC(VM 네트워크 인터페이스)를 구성합니다. 자세한 내용은 Azure Portal에서 고정 개인 IP 주소를 설정하는 방법을 참조 하세요.

참고 항목

AD DS에 대해 공용 IP 주소를 사용하여 VM NIC를 구성하지 않습니다. 자세한 내용은 보안 고려 사항을 참조하세요.

Active Directory 서브넷 NSG에는 온-프레미스에서 들어오는 트래픽 및 온-프레미스에서 나가는 트래픽을 허용하는 규칙이 필요합니다. AD DS에서 사용하는 포트에 대한 자세한 내용은 Active Directory 및 Active Directory 도메인 Services 포트 요구 사항을 참조하세요.

새 도메인 컨트롤러 VM에도 DNS 서버 역할이 있는 경우 DNS 서버 변경에 설명된 대로 가상 네트워크 수준에서 사용자 지정 DNS 서버로 구성하는 것이 좋습니다. 다른 VM이 Active Directory 도메인 이름을 확인해야 하는 새 도메인 컨트롤러 및 피어된 네트워크를 호스팅하는 가상 네트워크에 대해 이 작업을 수행해야 합니다. 하이브리드 DNS 이름 확인을 구성하는 방법에 대한 자세한 내용은 Azure 가상 네트워크의 리소스에 대한 이름 확인을 참조 하세요.

초기 구성의 경우 Azure에서 도메인 컨트롤러 중 하나의 네트워크 인터페이스를 조정하여 온-프레미스 도메인 컨트롤러를 기본 DNS 원본으로 가리키도록 해야 할 수 있습니다.

DNS 서버 목록에 해당 IP 주소를 포함하면 성능이 향상되고 DNS 서버의 가용성이 향상됩니다. 그러나 DNS 서버가 도메인 컨트롤러이기도 하고 자체만 가리키거나 이름 확인을 위해 자신을 먼저 가리키는 경우 시작 지연이 발생할 수 있습니다. 이러한 이유로 서버가 도메인 컨트롤러인 경우 어댑터에서 루프백 주소를 구성할 때는 주의해야 합니다.

즉, Azure에서 네트워크 인터페이스 DNS 설정을 덮어써서 주 DNS 서버에 대해 Azure 또는 온-프레미스에서 호스트되는 다른 도메인 컨트롤러를 가리킬 수 있습니다. 루프백 주소는 도메인 컨트롤러에서 보조 또는 3차 DNS 서버로만 구성해야 합니다.

Active Directory 사이트

AD DS에서 사이트는 디바이스의 물리적 위치, 네트워크 또는 컬렉션을 나타냅니다. AD DS 사이트는 서로 가까이 있고 고속 네트워크에 연결된 AD DS 개체를 그룹화하여 AD DS 데이터베이스 복제를 관리하는 데 사용됩니다. AD DS에는 여러 사이트 간에 AD DS 데이터베이스를 복제할 최상의 전략을 선택하는 로직이 포함되어 있습니다.

Azure에서 애플리케이션에 대해 정의된 서브넷을 포함하여 AD DS 사이트를 만드는 것이 좋습니다. 그런 다음 온-프레미스 AD DS 사이트 간에 사이트 링크를 구성할 수 있으며 AD DS는 가능한 가장 효율적인 데이터베이스 복제를 자동으로 수행합니다. 이와 같은 데이터베이스 복제에는 초기 구성 외에 추가로 요구되는 사항이 거의 없습니다.

Active Directory 작업 마스터

작업 마스터 역할을 AD DS 도메인 컨트롤러에 할당하여 복제된 AD DS 데이터베이스 인스턴스 간의 일관성 검사를 지원할 수 있습니다. RSMO(다섯 가지 마스터 역할)는 스키마 마스터, 도메인 이름 지정 마스터, 상대 식별자 마스터, 기본 도메인 컨트롤러 마스터 에뮬레이터, 인프라 마스터입니다. 이러한 역할에 대한 자세한 내용은 계획 작업 마스터 역할 배치를 참조하세요. 두 개 이상의 새 Azure DC에 GC(글로벌 카탈로그) 역할도 제공하는 것이 좋습니다. GC 배치에 관한 자세한 내용은 여기서 확인할 수 있습니다.

모니터링

도메인 컨트롤러 VM 및 AD DS Services의 리소스를 모니터링하고 문제를 신속하게 해결하는 계획을 만듭니다. 자세한 내용은 Active Directory 모니터링을 참조하세요. 모니터링 서버(아키텍처 다이어그램 참조)에 Microsoft Systems Center와 같은 도구를 설치하여 이러한 작업을 수행할 수도 있습니다.

고려 사항

이러한 고려 사항은 워크로드의 품질을 향상시키는 데 사용할 수 있는 일련의 기본 원칙인 Azure Well-Architected Framework의 핵심 요소를 구현합니다. 자세한 내용은 Microsoft Azure Well-Architected Framework를 참조하세요.

안정성

안정성을 통해 애플리케이션이 고객에 대한 약정을 충족할 수 있습니다. 자세한 내용은 안정성 핵심 요소 개요를 참조하세요.

AD DS를 실행하는 VM을 두 개 이상의 가용성 영역에 배포합니다. 지역에서 가용성 영역을 사용할 수 없는 경우 가용성 집합을 사용합니다. 또한 요구 사항에 따라 대기 작업 마스터 역할을 하나 이상의 서버에 할당하는 것이 좋습니다. 대기 작업 마스터는 장애 조치(failover) 중에 주 작업 마스터의 서버를 대체할 수 있는 작업 마스터의 활성 복사본입니다.

보안

보안은 고의적인 공격 및 중요한 데이터 및 시스템의 남용을 방지합니다. 자세한 내용은 보안 요소의 개요를 참조하세요.

AD DS 서버는 인증 서비스를 제공하기 때문에 공격자들의 매력적인 표적이 됩니다. 보안을 설정하려면 NSG를 방화벽으로 사용하는 별도의 서브넷에 AD DS 서버를 배치하여 직접 인터넷 연결을 방지합니다. AD DS 서버에서 인증, 권한 부여 및 서버 동기화에 필요한 포트를 제외한 모든 포트를 닫습니다. 자세한 내용은 Active Directory 및 Active Directory Domain Services 포트 요구 사항을 참조하세요.

AD DS 데이터베이스를 호스팅하는 디스크를 BitLocker 또는 Azure disk encryption을 사용하여 암호화합니다.

애플리케이션 설계 모범 사례와 결합된 Azure DDoS Protection은 향상된 DDoS 완화 기능을 제공하여 DDoS 공격에 대한 방어력을 높입니다. 경계 가상 네트워크에서 Azure DDOS Protection을 사용하도록 설정해야 합니다.

운영 우수성

운영 우수성은 애플리케이션을 배포하고 프로덕션 환경에서 계속 실행하는 운영 프로세스를 다룹니다. 자세한 내용은 운영 우수성 핵심 요소 개요를 참조하세요.

  • IaC(Infrastructure as Code) 사례를 사용하여 네트워크 및 보안 인프라를 프로비전하고 구성합니다. 한 가지 옵션은 Azure Resource Manager 템플릿입니다.

  • 모든 워크로드가 해당 DevOps 팀에서 연결되고 관리되기 때문에 DevOps가 CI/CD(지속적인 통합 및 지속적인 업데이트)를 수행할 수 있도록 워크로드를 격리합니다.

이 아키텍처에서는 다양한 애플리케이션 계층, 관리 점프 상자 및 Microsoft Entra Domain Services를 포함하는 전체 가상 네트워크가 단일 격리된 워크로드로 식별됩니다.

가상 머신은 가상 머신 확장 및 가상 머신에서 AD DS를 구성하는 데 사용되는 DSC(필요한 상태 구성)와 같은 기타 도구를 사용하여 구성됩니다.

  • Azure DevOps 또는 다른 CI/CD 솔루션을 사용하여 배포를 자동화하는 것이 좋습니다. Azure Pipelines 는 솔루션 빌드 및 배포를 위한 자동화를 제공하고 Azure 에코시스템에 고도로 통합되는 Azure DevOps Services의 권장 구성 요소입니다.

  • Azure Monitor를 사용하여 인프라의 성능을 분석합니다. 또한 가상 머신에 로그인하지 않고도 네트워킹 문제를 모니터링하고 진단할 수 있습니다. Application Insights는 인프라의 상태를 확인하기 위한 메트릭과 로그를 제공합니다.

자세한 내용은 Microsoft Azure Well-Architected Framework의 DevOps 섹션을 참조하세요.

관리 효율

정기적인 AD DS 백업을 수행합니다. VHD의 AD DS 데이터베이스 파일이 복사될 때 일관되지 않아 데이터베이스를 다시 시작할 수 없으므로 일반 백업을 수행하는 대신 도메인 컨트롤러의 VHD 파일을 복사하지 마세요.

Azure Portal을 사용하여 도메인 컨트롤러 VM을 종료하는 것은 좋지 않습니다. 대신 게스트 운영 체제를 종료하고 다시 시작합니다. Azure Portal을 통해 종료하면 VM의 할당이 취소되어 도메인 컨트롤러 VM이 다시 시작될 때 다음과 같은 결과가 발생합니다.

  1. VM-GenerationID Active Directory 리포지토리 및 invocationID 리포지토리를 다시 설정합니다.
  2. 현재 Active Directory RID(상대 식별자) 풀을 무시합니다.
  3. sysvol 폴더를 신뢰할 수 없는 폴더로 표시합니다.

첫 번째 문제는 상대적으로 무해합니다. invocationID의 초기화가 반복되면 복제 중에 약간의 추가 대역폭 사용이 발생하지만 이는 일반적으로 중요하지 않습니다.

하지만 두 번째 문제는 특히 RID 풀 크기가 기본값보다 크게 구성된 경우 도메인의 RID 풀 고갈에 영향을 줄 수 있습니다. 도메인이 오랫동안 사용되었거나 반복적으로 계정을 만들고 삭제해야 하는 워크플로에 사용되는 경우 도메인이 이미 RID 풀 고갈에 근접했을 수 있습니다. RID 풀 고갈 경고 이벤트에 대한 도메인을 모니터링하는 것이 좋습니다. RID 발급 관리 문서를 참조하세요.

세 번째 문제는 Azure에서 도메인 컨트롤러 VM을 다시 시작할 때 신뢰할 수 있는 도메인 컨트롤러를 사용할 수 있다면 상대적으로 무해합니다. 도메인의 모든 도메인 컨트롤러가 Azure에서 실행 중이고 모두 동시에 종료되고 할당 취소된 경우 다시 시작할 때 각 도메인 컨트롤러는 신뢰할 수 있는 복제본을 찾지 못합니다. 이 조건을 수정하려면 수동 개입이 필요합니다. DFSR 복제 sysvol 복제에 대해 신뢰할 수 있는 동기화 및 신뢰할 수 없는 동기화를 강제 적용하는 방법 문서를 참조하세요.

성능 효율성

성능 효율성은 사용자가 요구한 사항을 효율적으로 충족하기 위해 워크로드를 확장할 수 있는 기능입니다. 자세한 내용은 성능 효율성 핵심 요소 개요를 참조하세요.

AD DS는 확장성을 지원하도록 설계되었습니다. AD DS 도메인 컨트롤러에 요청을 보내도록 부하 분산 장치 또는 트래픽 컨트롤러를 구성할 필요가 없습니다. 유일한 확장성 고려 사항은 네트워크 부하 요구 사항에 맞는 크기로 AD DS를 실행하는 VM을 구성하고, VM의 부하를 모니터링하고, 필요에 따라 확장 또는 축소하는 것입니다.

비용 최적화

비용 최적화는 불필요한 비용을 줄이고 운영 효율성을 높이는 것입니다. 자세한 내용은 비용 최적화 핵심 요소 개요를 참조하세요.

Azure 가격 계산기를 사용하여 비용을 예측합니다. 기타 고려 사항은 Microsoft Azure Well-Architected Framework의 비용 섹션에 설명되어 있습니다.

이 아키텍처에 사용되는 서비스에 대한 비용 고려 사항은 다음과 같습니다.

AD Domain Services

Active Directory 도메인 서비스를 여러 워크로드에서 사용하는 공유 서비스로 사용하여 비용을 절감하는 것이 좋습니다. 자세한 내용은 Active Directory Domain Services 가격 책정을 참조하세요.

VPN Gateway

이 아키텍처의 주요 구성 요소는 VPN 게이트웨이 서비스입니다. 게이트웨이가 프로비전되고 사용 가능한 시간에 따라 요금이 청구됩니다.

모든 인바운드 트래픽은 무료이며 모든 아웃바운드 트래픽은 요금이 청구됩니다. 인터넷 대역폭 비용은 VPN 아웃바운드 트래픽에 적용됩니다.

자세한 내용은 VPN Gateway 가격 책정을 참조하세요.

Virtual Network

Virtual Network는 무료입니다. 모든 구독은 모든 지역에서 최대 1,000개의 가상 네트워크를 만들 수 있습니다. 가상 네트워크 경계 내의 모든 트래픽은 무료이므로 동일한 가상 네트워크에 있는 두 VM 간의 통신은 무료입니다.

다음 단계