Active Directory에서 포리스트에 대해 트러스트 관계가 작동하는 방식
AD DS(Active Directory Domain Services)는 도메인 및 포리스트 트러스트 관계를 통해 여러 도메인 또는 포리스트에 보안을 제공합니다. 트러스트 간 인증이 이루어지려면 Windows는 먼저 사용자, 컴퓨터 또는 서비스에서 요청하는 도메인에 요청하는 계정의 도메인과 트러스트 관계가 있는지 확인해야 합니다.
이 트러스트 관계를 확인하기 위해 Windows 보안 시스템은 요청을 수신하는 서버의 DC(도메인 컨트롤러)와 요청하는 계정 도메인의 DC 간 트러스트 경로를 계산합니다.
AD DS에서 제공하는 액세스 제어 메커니즘과 Windows 분산 보안 모델은 도메인 및 포리스트 트러스트 작업을 위한 환경을 제공합니다. 해당 트러스트가 제대로 작동하려면 모든 리소스 또는 컴퓨터에 트러스트가 있는 도메인의 DC에 대한 직접 트러스트 경로가 있어야 합니다.
트러스트 경로는 트러스트된 도메인 기관에 대해 인증된 RPC(원격 프로시저 호출) 연결을 사용하여 Net Logon 서비스에 의해 구현됩니다. 또한 보안 채널은 도메인 간 트러스트 관계를 통해 다른 AD DS 도메인으로 확장됩니다. 이 보안 채널은 사용자 및 그룹의 SID(보안 식별자)를 비롯한 보안 정보를 가져오고 확인하는 데 사용됩니다.
참고 항목
Domain Services는 양방향 트러스트와 들어오거나 나가는 단방향 트러스트를 포함하여 여러 포리스트 트러스트 방향을 지원합니다.
Domain Services에 트러스트가 적용되는 방식에 대한 개요는 포리스트 개념 및 기능을 참조하세요.
Domain Services에서 트러스트 사용을 시작하려면 포리스트 트러스트를 사용하는 관리되는 도메인을 만듭니다.
트러스트 관계 흐름
트러스트를 통한 보안 통신 흐름에 따라 트러스트의 탄력성이 결정됩니다. 트러스트를 만들거나 구성하는 방법에 따라 포리스트 내에서 또는 포리스트 간에 통신이 확장되는 정도가 결정됩니다.
트러스트를 통한 통신의 흐름은 트러스트 방향에 따라 결정됩니다. 트러스트는 단방향 또는 양방향일 수 있으며 전이적이거나 비전이적일 수 있습니다.
다음 다이어그램에서는 ‘트리 1’ 및 ‘트리 2’의 모든 도메인이 기본적으로 전이적 트러스트 관계를 포함하고 있음을 보여 줍니다. 따라서 트리 1의 사용자는 트리 2의 도메인에 있는 리소스에 액세스할 수 있으며, 트리 2의 사용자는 리소스에 적절한 사용 권한이 할당된 경우 트리 1의 리소스에 액세스할 수 있습니다.
단방향 및 양방향 트러스트
트러스트 관계를 사용하여 단방향 또는 양방향으로 리소스에 액세스할 수 있습니다.
단방향 트러스트는 두 도메인 간에 만들어지는 단방향 인증 경로입니다. 도메인 A와 도메인 B 간의 단방향 트러스트에서 도메인 A의 사용자는 도메인 B의 리소스에 액세스할 수 있습니다. 도메인 B의 사용자는 도메인 A의 리소스에 액세스할 수 없습니다.
일부 단방향 트러스트는 만들어지는 트러스트의 형식에 따라 비전이적 또는 전이적일 수 있습니다.
양방향 트러스트에서 도메인 A는 도메인 B를 트러스트하고 도메인 B는 도메인 A를 트러스트합니다. 이 구성은 두 도메인 간에 양방향으로 인증 요청을 전달할 수 있음을 의미합니다. 일부 양방향 관계는 만들어지는 트러스트의 형식에 따라 비전이적 또는 전이적일 수 있습니다.
온-프레미스 AD DS 포리스트의 모든 도메인 트러스트는 양방향 전이적 트러스트입니다. 새 자식 도메인이 만들어지면 새 자식 도메인과 부모 도메인 간에 양방향의 전이적 트러스트가 자동으로 만들어집니다.
전이적 및 비전이적 트러스트
전이성은 트러스트가 형성된 두 도메인의 외부로 트러스트가 확장될 수 있는 여부를 결정합니다.
- 전이적 트러스트를 사용하면 다른 도메인과의 트러스트 관계를 확장할 수 있습니다.
- 비전이적 트러스트를 사용하면 다른 도메인과의 트러스트 관계를 거부할 수 있습니다.
포리스트에 새 도메인을 만들 때마다 새 도메인과 부모 도메인 간에 양방향 전이적 트러스트 관계가 자동으로 만들어집니다. 자식 도메인이 새 도메인에 추가되면 트러스트 경로가 도메인 계층 구조의 위쪽으로 향하면서 새 도메인과 해당 부모 도메인 간에 만들어진 초기 도메인 경로가 확장됩니다. 전이적 트러스트 관계는 형성될 때 도메인 트리를 통해 위쪽으로 향하면서 도메인 트리의 모든 도메인 간에 전이적 트러스트를 만듭니다.
인증 요청은 트러스트 경로를 따르므로 포리스트의 모든 도메인에 있는 계정을 포리스트의 다른 도메인에서 인증할 수 있습니다. 적절한 사용 권한이 있는 계정은 단일 로그인 프로세스를 사용하여 포리스트에 있는 모든 도메인의 리소스에 액세스할 수 있습니다.
포리스트 트러스트
포리스트 트러스트를 통해 분할된 AD DS 인프라를 관리하고 여러 포리스트에 걸쳐 있는 리소스와 기타 개체에 대한 액세스를 지원할 수 있습니다. 포리스트 트러스트는 서비스 공급자, 합병 또는 인수를 진행 중인 회사, 협업 비즈니스 엑스트라넷, 관리 자율화를 위한 솔루션을 찾고 있는 회사에 유용합니다.
포리스트 트러스트를 사용해 두 개의 서로 다른 포리스트를 연결하여 단방향 또는 양방향 전이적 트러스트 관계를 형성할 수 있습니다. 포리스트 트러스트를 사용하면 관리자가 단일 트러스트 관계를 사용해 두 AD DS 포리스트를 연결하여 포리스트 간에 원활한 인증 및 권한 부여 환경을 제공할 수 있습니다.
포리스트 트러스트는 한 포리스트의 포리스트 루트 도메인과 다른 포리스트의 포리스트 루트 도메인 간에만 만들 수 있습니다. 포리스트 트러스트는 두 포리스트 간에만 만들 수 있으며, 세 번째 포리스트로 암시적으로 확장할 수 없습니다. 이 동작은 ‘포리스트 1’과 ‘포리스트 2’ 사이에 포리스트 트러스트를 만들고 ‘포리스트 2’와 ‘포리스트 3’ 사이에 다른 포리스트 트러스트를 만든 경우 ‘포리스트 1’에는 ‘포리스트 3’과의 암시적 트러스트가 없다는 것을 의미합니다.
다음 다이어그램에서는 단일 조직에 있는 세 AD DS 포리스트 간의 두 개의 개별 포리스트 트러스트 관계를 보여 줍니다.
이 예제 구성은 다음과 같은 액세스를 제공합니다.
- ‘포리스트 2’의 사용자는 ‘포리스트 1’ 또는 ‘포리스트 3’의 모든 도메인에 있는 리소스에 액세스할 수 있습니다.
- ‘포리스트 3’의 사용자는 ‘포리스트 2’의 모든 도메인에 있는 리소스에 액세스할 수 있습니다.
- ‘포리스트 1’의 사용자는 ‘포리스트 2’의 모든 도메인에 있는 리소스에 액세스할 수 있습니다.
이 구성을 사용하면 ‘포리스트 1’의 사용자가 ‘포리스트 3’의 리소스에 액세스할 수 없으며 그 반대의 경우도 마찬가지입니다. ‘포리스트 1’과 ‘포리스트 3’의 사용자가 리소스를 공유하려면 두 포리스트 간에 양방향 전이적 트러스트를 만들어야 합니다.
두 포리스트 간에 단방향 포리스트 트러스트를 만들 경우 트러스트된 포리스트의 구성원은 트러스팅 포리스트에 있는 리소스를 활용할 수 있습니다. 그러나 이 트러스트는 한 방향으로만 작동합니다.
예를 들어 ‘포리스트 1’(트러스트된 포리스트)과 ‘포리스트 2’(트러스팅 포리스트) 간에 단방향 포리스트 트러스트를 만들 때:
- ‘포리스트 1’의 구성원은 ‘포리스트 2’에 있는 리소스에 액세스할 수 있습니다.
- ‘포리스트 2’의 구성원은 동일한 트러스트를 사용하여 ‘포리스트 1’에 있는 리소스에 액세스할 수 없습니다.
Important
Microsoft Entra Domain Services는 포리스트 트러스트에 대한 여러 방향을 지원합니다.
포리스트 트러스트 요구 사항
포리스트 트러스트를 만들려면 올바른 DNS(Domain Name System) 인프라가 마련되어 있는지 확인해야 합니다. 포리스트 트러스트는 다음 DNS 구성 중 하나를 사용할 수 있는 경우에만 만들 수 있습니다.
단일 루트 DNS 서버는 두 포리스트 DNS 네임스페이스의 루트 DNS 서버입니다. 루트 영역에는 각 DNS 네임스페이스에 대한 위임이 포함되고 모든 DNS 서버의 루트 힌트에는 루트 DNS 서버가 포함되는 경우
공유 루트 DNS 서버가 없고 각 포리스트 DNS 네임스페이스의 루트 DNS 서버가 각 DNS 네임스페이스에 대한 DNS 조건부 전달자를 사용하여 다른 네임스페이스의 이름에 대한 쿼리를 라우팅하는 경우
Important
트러스트가 있는 모든 Microsoft Entra Domain Services 포리스트는 이 DNS 구성을 사용해야 합니다. 포리스트 DNS 네임스페이스가 아닌 DNS 네임스페이스를 호스팅하는 것은 Microsoft Entra Domain Services의 기능이 아닙니다. 조건부 전달자가 적절한 구성입니다.
공유 루트 DNS 서버가 없고 각 포리스트 DNS 네임스페이스의 루트 DNS 서버가 사용되는 경우 각 DNS 네임스페이스가 다른 네임스페이스 이름의 쿼리를 라우팅하도록 DNS 보조 영역이 구성됩니다.
AD DS에 포리스트 트러스트를 만들려면 포리스트 루트 도메인에 있는 도메인 관리자 그룹의 구성원 또는 Active Directory에 있는 엔터프라이즈 관리자 그룹의 구성원이어야 합니다. 각 트러스트에는 두 포리스트의 관리자가 알고 있어야 하는 암호가 할당됩니다. 두 포리스트의 엔터프라이즈 관리자 구성원은 두 포리스트에서 한 번에 트러스트를 만들 수 있습니다. 이 시나리오에서는 암호화된 임의의 암호가 자동으로 생성되어 두 포리스트에 작성됩니다.
관리되는 도메인 포리스트는 온-프레미스 포리스트에 대해 최대 5개의 단방향 아웃바운드 포리스트 트러스트를 지원합니다. Microsoft Entra Domain Services에 대한 아웃바운드 포리스트 트러스트는 Microsoft Entra 관리 센터에서 만들어집니다. 들어오는 포리스트 트러스트는 온-프레미스 Active Directory에 이전에 언급한 권한이 있는 사용자가 구성해야 합니다.
트러스트 프로세스 및 상호 작용
많은 도메인 간 및 포리스트 간 트랜잭션이 여러 작업을 완료하는 데 도메인 또는 포리스트 트러스트를 활용합니다. 이 섹션에서는 트러스트 간에 리소스가 액세스되고 인증 참조가 평가될 때 이루어지는 프로세스와 상호 작용에 대해 설명합니다.
인증 참조 처리 개요
인증 요청을 도메인이라고 하는 경우 해당 도메인의 도메인 컨트롤러는 요청이 발생한 도메인과 트러스트 관계가 있는지 여부를 확인해야 합니다. 트러스트 방향과 트러스트의 전이 여부는 도메인의 리소스에 액세스하기 위해 사용자를 인증하기 전에 확인해야 합니다. 트러스트된 도메인 간에 발생하는 인증 프로세스는 사용 중인 인증 프로토콜에 따라 달라집니다. Kerberos V5 및 NTLM 프로토콜은 도메인에 대한 인증에 사용되는 참조를 다르게 처리합니다.
Kerberos V5 참조 처리
Kerberos V5 인증 프로토콜은 클라이언트 인증 및 권한 부여 정보에 사용되는 도메인 컨트롤러의 Net Logon 서비스에 종속됩니다. Kerberos 프로토콜은 세션 티켓에 대한 온라인 KDC(키 배포 센터) 및 Active Directory 계정 저장소에 연결됩니다.
또한 Kerberos 프로토콜은 영역 간 TGS(티켓 부여 서비스), 그리고 보안 채널의 PAC(권한 특성 인증서)의 유효성 검사에 트러스트를 사용합니다. Kerberos 프로토콜은 MIT Kerberos 영역과 같은 Windows 이외의 운영 체제 Kerberos 영역에서만 영역 간 인증을 수행하며, Net Logon 서비스와 상호 작용할 필요는 없습니다.
클라이언트가 인증에 Kerberos V5를 사용하는 경우 Kerberos V5는 해당 계정 도메인의 도메인 컨트롤러에서 대상 도메인의 서버에 티켓을 요청합니다. Kerberos KDC는 클라이언트와 서버 간의 신뢰할 수 있는 중개자 역할을 하며 두 당사자가 서로 인증할 수 있도록 세션 키를 제공합니다. 대상 도메인이 현재 도메인과 다른 경우 KDC는 논리적 프로세스에 따라 인증 요청을 참조할 수 있는지 여부를 확인합니다.
현재 도메인이 요청의 대상이 되는 서버의 도메인에서 직접 트러스트되나요?
- 그렇다면 요청 대상 도메인에 대한 참조를 클라이언트에 보내세요.
- 그렇지 않다면 다음 단계로 이동하세요.
트러스트 경로에서 현재 도메인과 다음 도메인 간에 전이적 트러스트 관계가 존재하나요?
- 그렇다면 클라이언트를 트러스트 경로의 다음 도메인으로 보내세요.
- 그렇지 않다면 클라이언트에 로그인 거부 메시지를 보내세요.
NTLM 참조 처리
NTLM 인증 프로토콜은 클라이언트 인증과 권한 부여 정보에 사용되는 도메인 컨트롤러의 Net Logon 서비스에 종속됩니다. 이 프로토콜은 Kerberos 인증을 사용하지 않는 클라이언트를 인증합니다. NTLM은 트러스트를 사용하여 도메인 간에 인증 요청을 전달합니다.
클라이언트에서 인증에 NTLM을 사용하는 경우 초기 인증 요청이 클라이언트에서 대상 도메인의 리소스 서버로 직접 이동합니다. 이 서버는 클라이언트가 응답하는 챌린지를 만듭니다. 그런 다음, 서버는 컴퓨터 계정 도메인의 도메인 컨트롤러에 사용자의 응답을 보냅니다. 이 도메인 컨트롤러는 보안 계정 데이터베이스에 따라 사용자 계정을 확인합니다.
계정이 데이터베이스에 없는 경우 도메인 컨트롤러는 통과 인증을 수행할지, 요청을 전달할지 또는 다음 논리를 사용하여 요청을 거부할지를 결정합니다.
현재 도메인에 사용자의 도메인과 직접 트러스트 관계가 있나요?
- 그렇다면 도메인 컨트롤러는 통과 인증을 위해 클라이언트의 자격 증명을 사용자 도메인의 도메인 컨트롤러로 보내세요.
- 그렇지 않다면 다음 단계로 이동하세요.
현재 도메인이 사용자의 도메인과 전이적 트러스트 관계에 있나요?
- 그렇다면 인증 요청을 트러스트 경로의 다음 도메인에 전달하세요. 이 도메인 컨트롤러는 자체 보안 계정 데이터베이스에 따라 사용자 자격 증명을 확인하여 프로세스를 반복합니다.
- 그렇지 않다면 클라이언트에 로그온 거부 메시지를 보내세요.
포리스트 트러스트를 통한 인증 요청에 대한 Kerberos 기반 처리
포리스트 트러스트를 통해 두 포리스트가 연결된 경우 Kerberos V5 또는 NTLM 프로토콜을 사용한 인증 요청을 포리스트 간에 라우팅하여 두 포리스트의 리소스에 액세스할 수 있습니다.
포리스트 트러스트가 처음 설정되면 각 포리스트는 파트너 포리스트의 트러스트된 네임스페이스를 모두 수집하고 해당 정보를 트러스트된 도메인 개체에 저장합니다. 트러스트된 네임스페이스에는 도메인 트리 이름, UPN(사용자 계정 이름) 접미사, SPN(서비스 사용자 이름) 접미사, 다른 포리스트에서 사용되는 SID(보안 ID) 네임스페이스가 포함됩니다. TDO 개체가 글로벌 카탈로그에 복제됩니다.
참고 항목
트러스트에 대한 대체 UPN 접미사는 지원되지 않습니다. 온-프레미스 도메인이 Domain Services와 동일한 UPN 접미사를 사용하는 경우 로그인 시 sAMAccountName을 사용해야 합니다.
인증 프로토콜이 포리스트 트러스트 경로를 따르려면 먼저 리소스 컴퓨터의 SPN(서비스 사용자 이름)이 다른 포리스트의 위치에서 확인되어야 합니다. SPN은 다음 이름 중 하나일 수 있습니다.
- 호스트의 DNS 이름
- 도메인의 DNS 이름
- 서비스 연결점 개체의 고유 이름
한 포리스트의 워크스테이션이 다른 포리스트의 리소스 컴퓨터에 있는 데이터에 액세스하려고 하면 Kerberos 인증 프로세스는 서비스 티켓의 도메인 컨트롤러에 리소스 컴퓨터의 SPN을 연결합니다. 도메인 컨트롤러에서 글로벌 카탈로그를 쿼리하고 SPN이 도메인 컨트롤러와 동일한 포리스트에 있지 않은 경우 도메인 컨트롤러는 부모 도메인에 대한 참조를 워크스테이션에 다시 보냅니다. 이 시점에서 워크스테이션은 부모 도메인에서 서비스 티켓을 쿼리하고 리소스가 있는 도메인에 도달할 때까지 계속 참조 체인을 따릅니다.
다음 다이어그램과 단계는 Windows를 실행하는 컴퓨터에서 다른 포리스트에 있는 컴퓨터의 리소스에 액세스하려고 할 때 사용되는 Kerberos 인증 프로세스에 대한 자세한 설명을 제공합니다.
User1은 europe.tailspintoys.com 도메인의 자격 증명을 사용하여 Workstation1에 로그인합니다. 그런 다음, 사용자는 usa.wingtiptoys.com 포리스트에 있는 FileServer1의 공유 리소스에 액세스를 시도합니다.
Workstation1은 ChildDC1 도메인에 있는 도메인 컨트롤러의 Kerberos KDC에 연결하고 FileServer1 SPN에 대한 서비스 티켓을 요청합니다.
ChildDC1은 도메인 데이터베이스에서 SPN을 찾지 않으며 글로벌 카탈로그를 쿼리하여 tailspintoys.com 포리스트에 있는 도메인에 이 SPN이 포함되어 있는지 확인합니다. 글로벌 카탈로그는 자체 포리스트로 한정되므로 SPN을 찾을 수 없습니다.
그러면 글로벌 카탈로그는 해당 데이터베이스에서 해당 포리스트에 설정된 포리스트 트러스트에 대한 정보를 확인합니다. 발견되면 포리스트의 TDO(트러스트된 도메인 개체)에 나열된 이름 접미사와 대상 SPN의 접미사를 비교하여 일치 항목을 찾습니다. 일치 항목이 발견되면 글로벌 카탈로그는 ChildDC1에 대한 라우팅 힌트를 제공합니다.
라우팅 힌트는 대상 포리스트에 직접 인증 요청을 전달하는 데 도움이 됩니다. 힌트는 로컬 도메인 컨트롤러 및 글로벌 카탈로그와 같은 기존의 인증 채널이 모두 SPN을 찾지 못한 경우에만 사용됩니다.
ChildDC1은 부모 도메인에 대한 참조를 Workstation1로 다시 보냅니다.
Workstation1은 wingtiptoys.com 포리스트의 포리스트 루트 도메인에 있는 도메인 컨트롤러(ForestRootDC2)에 대한 참조를 ForestRootDC1(부모 도메인)의 도메인 컨트롤러에 연결합니다.
Workstation1은 요청 대상 서비스에 대한 서비스 티켓에 wingtiptoys.com 포리스트의 ForestRootDC2를 연결합니다.
ForestRootDC2는 글로벌 카탈로그에 연결하여 SPN을 찾고, 글로벌 카탈로그는 SPN에 대한 일치 항목을 찾아 ForestRootDC2로 다시 보냅니다.
ForestRootDC2는 usa.wingtiptoys.com에 대한 참조를 Workstation1로 다시 보냅니다.
Workstation1은 ChildDC2의 KDC에 연결하고 User1의 티켓을 협상하여 FileServer1에 대한 액세스 권한을 얻습니다.
Workstation1에 서비스 티켓이 포함되면 서비스 티켓을 FileServer1로 보냅니다. 이 티켓은 User1의 보안 자격 증명을 읽고 그에 따라 액세스 토큰을 생성합니다.
트러스트된 도메인 개체
조직 내의 각 도메인 또는 포리스트 트러스트는 도메인 내의 ‘시스템’ 컨테이너에 저장된 TDO(트러스트된 도메인 개체)로 표시됩니다.
TDO 콘텐츠
TDO에 포함된 정보는 도메인 트러스트 또는 포리스트 트러스트를 통해 TDO를 만들었는지 여부에 따라 달라집니다.
도메인 트러스트를 만들 때 DNS 도메인 이름, 도메인 SID, 트러스트 형식, 트러스트 전이성, 상호 도메인 이름 등의 특성이 TDO에 표시됩니다. 포리스트 트러스트 TDO는 파트너 포리스트에서 트러스트된 모든 네임스페이스를 식별하기 위해 추가 특성을 저장합니다. 해당 특성에는 도메인 트리 이름, UPN(사용자 계정 이름) 접미사, SPN(서비스 사용자 이름) 접미사, SID(보안 ID) 네임스페이스가 포함됩니다.
트러스트는 TDO로 Active Directory에 저장되므로 포리스트의 모든 도메인은 포리스트 전체에 적용되는 트러스트 관계를 알고 있습니다. 마찬가지로, 포리스트 트러스트를 통해 둘 이상의 포리스트를 조인하는 경우 각 포리스트의 포리스트 루트 도메인은 트러스트된 포리스트의 모든 도메인에서 발생하는 트러스트 관계를 알고 있습니다.
TDO 암호 변경
트러스트 관계에 있는 두 도메인은 모두 Active Directory의 TDO 개체에 저장되는 암호를 공유합니다. 계정 유지 관리 프로세스의 일환으로, 트러스팅 도메인 컨트롤러는 TDO에 저장된 암호를 30일마다 변경합니다. 모든 양방향 트러스트는 실제로 2개의 단방향 트러스트를 기반으로 하기 때문에 양방향 트러스트에서는 프로세스가 두 번 이루어집니다.
트러스트에는 트러스팅 측과 트러스트된 측이 있습니다. 트러스트된 측에서는 쓰기 가능한 모든 도메인 컨트롤러를 프로세스에 사용할 수 있습니다. 트러스팅 측에서는 PDC 에뮬레이터가 암호 변경을 수행합니다.
암호를 변경하기 위해 도메인 컨트롤러는 다음 프로세스를 완료합니다.
트러스팅 도메인의 PDC(주 도메인 컨트롤러) 에뮬레이터에서 새 암호를 만듭니다. 트러스트된 도메인의 도메인 컨트롤러는 절대 암호 변경을 시작하지 않습니다. 암호 변경은 항상 트러스팅 도메인 PDC 에뮬레이터에 의해 시작됩니다.
트러스팅 도메인의 PDC 에뮬레이터는 TDO 개체의 OldPassword 필드를 현재 NewPassword 필드로 설정합니다.
트러스팅 도메인의 PDC 에뮬레이터는 TDO 개체의 NewPassword 필드를 새 암호로 설정합니다. 이전 암호의 복사본을 유지하면 트러스트된 도메인의 도메인 컨트롤러에서 변경 내용이 수신되지 않거나 새 트러스트 암호를 사용하는 요청을 수행하기 전에 변경 내용이 복제되지 않은 경우 이전 암호로 되돌릴 수 있습니다.
트러스팅 도메인의 PDC 에뮬레이터는 트러스트된 도메인의 도메인 컨트롤러에 대한 원격 호출을 통해 트러스트 계정의 암호를 새 암호로 설정하도록 요청합니다.
트러스트된 도메인의 도메인 컨트롤러는 트러스트 암호를 새 암호로 변경합니다.
트러스트의 양쪽에서 업데이트는 도메인의 다른 도메인 컨트롤러에 복제됩니다. 트러스팅 도메인에서 변경 내용은 트러스트된 도메인 개체의 긴급 복제를 트리거합니다.
이제 두 도메인 컨트롤러에서 암호가 변경됩니다. 정상적인 복제는 도메인의 다른 도메인 컨트롤러에 TDO 개체를 배포합니다. 그러나 트러스트된 도메인의 도메인 컨트롤러를 성공적으로 업데이트 하지 않고도 트러스팅 도메인의 도메인 컨트롤러에서 암호를 변경할 수 있습니다. 암호 변경을 처리하는 데 필요한 보안 채널을 설정할 수 없으므로 해당 시나리오가 발생할 수 있습니다. 또한 프로세스 중 특정 지점에서 트러스트된 도메인의 도메인 컨트롤러를 사용할 수 없으면 업데이트된 암호를 받지 못할 수 있습니다.
암호 변경이 성공적으로 통신되지 않는 상황을 처리하기 위해 트러스팅 도메인의 도메인 컨트롤러는 새 암호를 사용하여 성공적으로 인증(보안 채널 설정)하지 않는 한 새 암호를 변경하지 않습니다. 이전 암호와 새 암호가 모두 트러스팅 도메인의 TDO 개체에 유지됨으로 인해 해당 동작이 발생합니다.
암호를 사용하여 인증이 성공할 때까지 암호 변경은 완료되지 않습니다. 이전에 저장된 암호는 트러스트된 도메인의 도메인 컨트롤러에서 새 암호를 받을 때까지 보안 채널을 통해 사용할 수 있으므로 중단 없이 서비스를 사용할 수 있습니다.
암호가 유효하지 않아 새 암호를 사용한 인증이 실패하는 경우 트러스팅 도메인 컨트롤러는 이전 암호를 사용하여 인증을 시도합니다. 이전 암호를 사용하여 성공적으로 인증하는 경우 15분 내에 암호 변경 프로세스를 다시 시작합니다.
트러스트 암호 업데이트 항목은 30일 이내에 트러스트의 양쪽 도메인 컨트롤러에 복제되어야 합니다. 30일 후에 트러스트 암호가 변경되고 도메인 컨트롤러에 N-2 암호만 있는 경우 도메인 컨트롤러는 트러스팅 측의 트러스트를 사용할 수 없으며 트러스트된 측에서 보안 채널을 만들 수 없습니다.
트러스트에서 사용하는 네트워크 포트
트러스트는 다양한 네트워크 경계에 배포되어야 하므로 하나 이상의 방화벽을 포괄해야 할 수도 있습니다. 이 경우 방화벽을 통해 트래픽을 터널링하거나 방화벽의 특정 포트를 열어야 트래픽이 통과할 수 있습니다.
Important
Active Directory Domain Services는 특정 포트에 대한 Active Directory RPC 트래픽 제한을 지원하지 않습니다.
Active Directory 도메인 및 트러스트용 방화벽을 구성하는 방법 Microsoft 지원 문서의 Windows Server 2008 이상 버전 섹션을 참조하여 포리스트 트러스트에 필요한 포트에 대해 알아보세요.
지원 서비스 및 도구
트러스트와 인증을 지원하기 위해 일부 추가 기능 및 관리 도구가 사용됩니다.
Net Logon
Net Logon 서비스는 Windows 기반 컴퓨터에서 DC로의 보안 채널을 유지 관리합니다. 다음 트러스트 관련 프로세스에도 사용됩니다.
트러스트 설정 및 관리 - Net Logon은 트러스트 암호를 유지 관리하고, 트러스트 정보를 수집하고, LSA 프로세스 및 TDO와 상호 작용하여 트러스트를 확인하는 데 도움이 됩니다.
포리스트 트러스트의 경우 트러스트 정보에는 트러스트된 포리스트가 관리할 네임스페이스 집합이 포함된 FTInfo(포리스트 트러스트 정보) 레코드가 포함되며, 각 클레임은 트러스팅 포리스트에서 트러스트하는지 여부를 나타내는 필드를 통해 주석이 추가됩니다.
인증 – 보안 채널을 통해 도메인 컨트롤러에 대한 사용자 자격 증명을 제공하고 사용자의 도메인 SID 및 사용자 권한을 반환합니다.
도메인 컨트롤러 위치 – 도메인 또는 도메인의 도메인 컨트롤러를 찾는 데 도움이 됩니다.
통과 유효성 검사 – 다른 도메인의 사용자 자격 증명은 Net Logon에 의해 처리됩니다. 트러스팅 도메인은 사용자의 ID를 확인해야 하는 경우 확인을 위해 Net Logon을 통해 트러스트된 도메인에 사용자 자격 증명을 전달합니다.
PAC(권한 특성 인증서) 확인 – 인증을 위해 Kerberos 프로토콜을 사용하는 서버에서 서비스 티켓의 PAC를 확인해야 하는 경우 확인을 위해 보안 채널의 해당 도메인 컨트롤러에 PAC를 보냅니다.
로컬 보안 기관
LSA(로컬 보안 기관)는 시스템에서 로컬 보안의 모든 측면에 대한 정보를 유지 관리하는 보호된 하위 시스템입니다. 총칭하여 로컬 보안 정책이라고 하는 LSA는 이름 및 식별자 간 변환과 관련된 다양한 서비스를 제공합니다.
LSA 보안 하위 시스템은 개체에 대한 액세스의 유효성을 검사하고, 사용자 권한을 확인하고, 감사 메시지를 생성하기 위한 커널 모드와 사용자 모드 모두에 서비스를 제공합니다. LSA는 트러스트된 도메인 또는 트러스트되지 않은 도메인의 서비스에서 제공하는 모든 세션 티켓의 유효성을 검사합니다.
관리 도구
관리자는 ‘Active Directory 도메인 및 트러스트’, Netdom, Nltest를 사용하여 트러스트를 노출, 생성, 제거 또는 수정할 수 있습니다.
- ‘Active Directory 도메인 및 트러스트’는 도메인 트러스트, 도메인 및 포리스트 기능 수준, 사용자 계정 이름 접미사를 관리하는 데 사용되는 MMC(Microsoft Management Console)입니다.
- Netdom 및 Nltest 명령줄 도구는 트러스트를 찾고, 표시하고, 만들고, 관리하는 데 사용할 수 있습니다. 해당 도구는 도메인 컨트롤러에서 LSA 기관과 직접 통신합니다.
다음 단계
포리스트 트러스트를 사용하여 관리되는 도메인을 만들기 시작하려면 Domain Services 관리되는 도메인 만들기 및 구성을 참조하세요. 그런 다음, 온-프레미스 도메인에 대한 아웃바운드 포리스트 트러스트를 만들 수 있습니다.