다음을 통해 공유

자습서: 온-프레미스 도메인을 사용하여 Microsoft Entra Domain Services에서 양방향 포리스트 트러스트 만들기(미리 보기)

  • 아티클

Microsoft Entra Domain Services와 온-프레미스 AD DS 환경 간에 포리스트 트러스트를 생성할 수 있습니다. 포리스트 트러스트 관계를 사용하면 사용자, 애플리케이션 및 컴퓨터가 Domain Services 관리되는 도메인의 온-프레미스 도메인에 대해 인증하거나 그 반대로 인증할 수 있습니다. 포리스트 트러스트는 다음과 같은 시나리오에서 사용자가 리소스에 액세스하는 데 도움이 될 수 있습니다.

  • 암호 해시를 동기화할 수 없거나 사용자가 스마트 카드를 사용하여 독점적으로 로그인하고 암호를 모르는 환경입니다.
  • 온-프레미스 도메인에 액세스해야 하는 하이브리드 시나리오입니다.

사용자가 리소스에 액세스해야 하는 방법에 따라 포리스트 트러스트를 만들 때 세 가지 가능한 방향 중에서 선택할 수 있습니다. Domain Services는 포리스트 트러스트만 지원합니다. 자식 도메인 사내 설치에 대한 외부 신뢰는 지원되지 않습니다.

신뢰의 방향성 사용자 액세스
양방향 (미리 보기) 관리되는 도메인과 온-프레미스 도메인의 사용자가 두 도메인의 리소스에 모두 액세스할 수 있도록 허용합니다.
단방향 발신 온-프레미스 도메인의 사용자가 관리되는 도메인의 리소스에 액세스할 수 있지만 그 반대의 경우도 마찬가지입니다.
단방향 수신(미리 보기) 관리되는 도메인의 사용자가 온-프레미스 도메인의 리소스에 액세스할 수 있도록 허용합니다.

Domain Services와 온-프레미스 도메인 간의 포리스트 트러스트 다이어그램

이 자습서에서는 다음 방법을 알아봅니다.

  • Domain Services 연결을 지원하도록 온-프레미스 AD DS 도메인에서 DNS 구성
  • 관리되는 도메인과 온-프레미스 도메인 간에 양방향 포리스트 트러스트를 생성하기
  • 인증 및 리소스 액세스에 대한 포리스트 트러스트 관계 테스트 및 유효성 검사

Azure 구독이 없는 경우, 시작하기 전에 계정을 만들고 있으세요.

필수 구성 요소

이 자습서를 완료하려면 다음 리소스 및 권한이 필요합니다.

  • 활성 Azure 구독입니다.
    • Azure 구독이 없는 경우 계정을만들 수 있습니다.
  • 온-프레미스 디렉터리 또는 클라우드 전용 디렉터리와 동기화된 구독과 연결된 Microsoft Entra 테넌트입니다.
  • 사용자 지정 DNS 도메인 이름 및 유효한 SSL 인증서로 구성된 Domain Services 관리되는 도메인입니다.
    • 필요한 경우 Microsoft Entra Domain Services로 관리되는 도메인을 만들고구성하십시오.
  • VPN 또는 ExpressRoute 연결을 통해 관리되는 도메인에서 연결할 수 있는 온-프레미스 Active Directory 도메인입니다.
  • 애플리케이션 관리자그룹 관리자는 테넌트의 Domain Services 인스턴스를 수정하기 위해 Microsoft Entra 역할을 사용합니다.
  • 트러스트 관계를 만들고 확인할 수 있는 권한이 있는 온-프레미스 도메인의 도메인 관리자 계정입니다.

중요하다

관리되는 도메인에 대해 최소 Enterprise SKU를 사용해야 합니다. 필요한 경우 관리되는 도메인 대한 SKU를변경합니다.

Microsoft Entra 관리 센터에 로그인

튜토리얼에서는 Microsoft Entra 관리 센터를 사용하여 도메인 서비스에서 아웃바운드 포리스트 트러스트를 만들고 구성합니다. 시작하려면 먼저 Microsoft Entra 관리 센터 로그인합니다.

네트워킹 고려 사항

Domain Services 포리스트를 호스트하는 가상 네트워크에는 온-프레미스 Active Directory에 대한 VPN 또는 ExpressRoute 연결이 필요합니다. 또한 애플리케이션 및 서비스는 Domain Services 포리스트를 호스팅하는 가상 네트워크에 대한 네트워크 연결이 필요합니다. Domain Services 포리스트에 대한 네트워크 연결은 항상 켜져야 하며 안정적이어야 합니다. 그렇지 않으면 사용자가 리소스를 인증하거나 액세스하지 못할 수 있습니다.

Domain Services에서 포리스트 트러스트를 구성하기 전에 Azure와 온-프레미스 환경 간의 네트워킹이 다음 요구 사항을 충족하는지 확인합니다.

  • 방화벽 포트가 트러스트를 만들고 사용하는 데 필요한 트래픽을 허용하는지 확인합니다. 트러스트를 사용하기 위해 열어야 하는 포트에 대한 자세한 내용은 AD DS 트러스트대한 방화벽 설정 구성을 참조하세요.
  • 개인 IP 주소를 사용합니다. 동적 IP 주소 할당을 사용하는 DHCP를 사용하지 마세요.
  • 가상 네트워크 피어링 및 라우팅이 Azure와 온-프레미스 간에 성공적으로 통신할 수 있도록 IP 주소 공간이 겹치지 않도록 합니다.
  • Azure 가상 네트워크에는 Azure S2S(사이트 및 사이트) VPN 구성하거나 ExpressRoute 연결을 게이트웨이 서브넷이 필요합니다.
  • 시나리오를 지원하기에 충분한 IP 주소가 있는 서브넷을 만듭니다.
  • Domain Services에 자체 서브넷이 있는지 확인하고, 이 가상 네트워크 서브넷을 애플리케이션 VM 및 서비스와 공유하지 마세요.
  • 피어링된 가상 네트워크는 전이적이지 않습니다.
    • 온-프레미스 AD DS 환경에 대한 Domain Services 포리스트 트러스트를 사용하려는 모든 가상 네트워크 간에 Azure 가상 네트워크 피어링을 만들어야 합니다.
  • 온-프레미스 Active Directory 포리스트에 대한 지속적인 네트워크 연결을 제공합니다. 주문형 연결을 사용하지 마세요.
  • Domain Services 포리스트 이름과 온-프레미스 Active Directory 포리스트 이름 간에 지속적인 DNS 이름 확인이 있는지 확인합니다.

온-프레미스 도메인에서 DNS 구성

온-프레미스 환경에서 관리되는 도메인을 올바르게 해결하려면 기존 DNS 서버에 전달자를 추가해야 할 수 있습니다. 관리되는 도메인과 통신하도록 온-프레미스 환경을 구성하려면 온-프레미스 AD DS 도메인에 대한 관리 워크스테이션에서 다음 단계를 완료합니다.

  1. 시작>관리 도구>DNS선택합니다.

  2. dns 영역(예: aaddscontoso.com)을 선택합니다.

  3. 조건부 전달자 선택한 다음, 마우스 오른쪽 단추를 선택하고 새 조건부 전달자를 선택합니다...

  4. contoso.com같은 다른 DNS 도메인입력한 다음, 다음 예제와 같이 해당 네임스페이스에 대한 DNS 서버의 IP 주소를 입력합니다.

    DNS 서버에 대한 조건부 전달자를 추가하고 구성하는 방법의 스크린샷

  5. 이 조건부 전달자를 Active Directory에 저장하기 위한 확인란을 선택하고 다음과 같이복제한 다음, 다음 예제와 같이 이 도메인 모든 DNS 서버에옵션을 선택합니다.

    이 도메인의 모든 DNS 서버를 선택하는 방법의 스크린샷

    중요하다

    조건부 전달자가 도메인대신 포리스트 저장되면 조건부 전달자가 실패합니다.

  6. 조건부 전달자를 만들려면 확인선택합니다.

온-프레미스 도메인에서 양방향 포리스트 트러스트 만들기

온-프레미스 AD DS 도메인에는 관리되는 도메인에 대한 양방향 포리스트 트러스트가 필요합니다. 이 트러스트는 온-프레미스 AD DS 도메인에서 수동으로 만들어야 합니다. Microsoft Entra 관리 센터에서 만들 수 없습니다.

온-프레미스 AD DS 도메인에서 양방향 트러스트를 구성하려면 온-프레미스 AD DS 도메인에 대한 관리 워크스테이션에서 도메인 관리자로 다음 단계를 완료합니다.

  1. 시작>관리 도구>Active Directory 도메인 및 트러스트선택합니다.
  2. onprem.contoso.com같은 도메인을 마우스 오른쪽 단추로 클릭한 다음 속성선택합니다.
  3. 트러스트 탭을 선택한 다음 새 트러스트.
  4. 도메인 서비스 도메인 이름(예: aaddscontoso.com)을 입력한 후, 다음을 선택합니다.
  5. 포레스트 트러스트을 만든 후, 양방향 트러스트를 생성할 옵션을 선택합니다.
  6. "도메인에 대한 신뢰를 생성하도록을(를) 선택하십시오." 다음 단계에서는 관리되는 도메인에 대한 Microsoft Entra 관리 센터에서 트러스트를 만듭니다.
  7. 전체 포리스트 인증 을 사용하도록 선택한 다음, 트러스트 암호를 입력하고 확인합니다. 이 동일한 암호는 다음 섹션의 Microsoft Entra 관리 센터에도 입력됩니다.
  8. 기본 옵션을 사용하여 다음 몇 가지 창을 단계별로 실행한 다음, 아니요에 대한 옵션을 선택합니다. 나가는 트러스트확인하지 마세요.
  9. 선택한 후마침.

환경에 포리스트 트러스트가 더 이상 필요하지 않은 경우 도메인 관리자로 다음 단계를 완료하여 온-프레미스 도메인에서 제거합니다.

  1. 시작>관리 도구>Active Directory 도메인 및 트러스트선택합니다.
  2. onprem.contoso.com같은 도메인을 마우스 오른쪽 단추로 클릭한 다음 속성선택합니다.
  3. 트러스트 탭을 선택한 다음, 이 도메인을 신뢰하는 도메인(들어오는 트러스트)에서 제거할 트러스트를 클릭한 다음, 제거를 클릭합니다.
  4. 트러스트 탭에서 이 도메인에 의해 신뢰된 도메인(나가는 신뢰)중 제거할 신뢰를 클릭한 다음, 제거를 클릭합니다.
  5. 아니요를 클릭하고로컬 도메인에서 트러스트를 제거합니다.

Domain Services에서 양방향 포리스트 트러스트 만들기

Microsoft Entra 관리 센터에서 관리되는 도메인에 대한 양방향 트러스트를 만들려면 다음 단계를 완료합니다.

  1. Microsoft Entra 관리 센터에서 Microsoft Entra Domain Services 검색하여 선택한 다음, 관리되는 도메인(예: aaddscontoso.com)을 선택합니다.

  2. 관리되는 도메인의 왼쪽 메뉴에서 트러스트선택한 다음, + 트러스트 추가하도록 선택합니다.

  3. 양방향 트러스트 방향으로 선택합니다.

  4. 트러스트를 식별할 수 있는 표시 이름을 입력한 후, 온-프레미스 신뢰할 수 있는 포리스트 DNS 이름(예: onprem.contoso.com)을 입력하세요.

  5. 이전 섹션에서 온-프레미스 AD DS 도메인에 대한 인바운드 포리스트 트러스트를 구성하는 데 사용된 것과 동일한 신뢰 암호를 제공합니다.

  6. 10.1.1.410.1.1.5같은 온-프레미스 AD DS 도메인에 대해 둘 이상의 DNS 서버를 제공합니다.

  7. 준비가 되면 아웃바운드 포리스트 트러스트를 저장합니다.

    Microsoft Entra 관리 센터에서 아웃바운드 포리스트 트러스트를 만드는 방법의 스크린샷

환경에 포리스트 트러스트가 더 이상 필요하지 않은 경우 다음 단계를 완료하여 Domain Services에서 제거합니다.

  1. Microsoft Entra 관리 센터에서 Microsoft Entra Domain Services 검색하여 선택한 다음, 관리되는 도메인(예: aaddscontoso.com)을 선택합니다.
  2. 관리되는 도메인의 왼쪽 메뉴에서 트러스트선택하고 트러스트를 선택한 다음 제거클릭합니다.
  3. 포리스트 트러스트를 구성하는 데 사용된 것과 동일한 신뢰 암호를 입력한 후 확인를 클릭하십시오.

리소스 인증 유효성 검사

다음과 같은 일반적인 시나리오를 통해 포리스트 트러스트가 사용자 및 리소스에 대한 액세스를 올바르게 인증하고 있는지 확인할 수 있습니다.

Domain Services 포리스트에서 온-프레미스 사용자 인증

Windows Server 가상 머신이 관리되는 도메인에 가입되어 있어야 합니다. 이 가상 머신을 사용하여 온-프레미스 사용자가 가상 머신에서 인증할 수 있도록 테스트합니다. 필요한 경우 Windows VM 을 만들고 관리되는 도메인에 조인하세요.

  1. Azure Bastion 및 Domain Services 관리자 자격 증명을 사용하여 Domain Services 포리스트에 조인된 Windows Server VM에 연결합니다.

  2. 명령 프롬프트를 열고 whoami 명령을 사용하여 현재 인증된 사용자의 고유 이름을 표시합니다.

    whoami /fqdn

  3. runas 명령을 사용하여 온-프레미스 도메인에서 사용자로 인증합니다. 다음 명령에서 userUpn@trusteddomain.com 신뢰할 수 있는 온-프레미스 도메인의 사용자 UPN으로 바꿉니다. 이 명령은 사용자의 암호를 묻는 메시지를 표시합니다.

    Runas /u:userUpn@trusteddomain.com cmd.exe

  4. 인증에 성공하면 새 명령 프롬프트가 열립니다. 새 명령 프롬프트의 제목에는 running as userUpn@trusteddomain.com포함됩니다.

  5. 새 명령 프롬프트에서 whoami /fqdn 사용하여 온-프레미스 Active Directory에서 인증된 사용자의 고유 이름을 확인합니다.

온-프레미스 사용자를 사용하여 Domain Services 포리스트의 리소스에 액세스

Domain Services 포리스트에 조인된 Windows Server VM에서 시나리오를 테스트할 수 있습니다. 예를 들어 온-프레미스 도메인에 로그인하는 사용자가 관리되는 도메인의 리소스에 액세스할 수 있는지 테스트할 수 있습니다. 다음 예제에서는 일반적인 테스트 시나리오를 다룹니다.

파일 및 프린터 공유 사용

  1. Azure Bastion 및 Domain Services 관리자 자격 증명을 사용하여 Domain Services 포리스트에 조인된 Windows Server VM에 연결합니다.

  2. Windows 설정을 엽니다 .

  3. 네트워크 및 공유 센터를 검색하여선택합니다.

  4. 고급 공유 설정 변경 옵션을 선택합니다.

  5. 도메인 프로필아래에서 파일 및 프린터 공유 켜고 변경 내용 저장을선택합니다.

  6. 네트워크 및 공유 센터닫습니다.

보안 그룹 만들기 및 멤버 추가

  1. Active Directory 사용자 및 컴퓨터엽니다.

  2. 도메인 이름을 마우스 오른쪽 버튼으로 를 선택한 후 조직 구성 단위를 선택합니다.

  3. 이름 상자에 LocalObjects를 입력하고 확인을 선택합니다.

  4. 탐색 창에서 LocalObjects 선택하고 마우스 오른쪽 단추로 클릭합니다. 새 을 선택한 다음 그룹.

  5. 그룹 이름 상자에 FileServerAccess 입력합니다. 그룹 범위에 대해 도메인 로컬을 선택한 다음, 확인을 선택합니다.

  6. 콘텐츠 창에서 FileServerAccess를 두 번 클릭합니다. 멤버선택하고 추가를선택한 다음 위치선택합니다.

  7. 위치 보기에서 온-프레미스 Active Directory를 선택한 다음, 확인을 선택합니다.

  8. 도메인 사용자 입력하여 개체 이름을 입력하여 상자를 선택합니다. 이름 확인선택하고 온-프레미스 Active Directory에 대한 자격 증명을 제공한 다음, 확인선택합니다.

    메모

    트러스트 관계는 한 가지 방법일 뿐이므로 자격 증명을 제공해야 합니다. 즉, Domain Services 관리되는 도메인의 사용자는 리소스에 액세스하거나 신뢰할 수 있는(온-프레미스) 도메인의 사용자 또는 그룹을 검색할 수 없습니다.

  9. 온-프레미스 Active Directory의 도메인 사용자 그룹은 FileServerAccess 그룹의 구성원이어야 합니다. 확인 선택하여 그룹을 저장하고 창을 닫습니다.

포레스트 간 액세스를 위한 파일 공유를 만들기

  1. Domain Services 포리스트에 조인된 Windows Server VM에서 폴더를 만들고 CrossForestShare같은 이름을 제공합니다.
  2. 폴더를 마우스 오른쪽 버튼으로 클릭한 후, 속성을 선택합니다.
  3. 보안 탭을 선택한 다음 편집을 선택합니다.
  4. CrossForestShare 사용 권한 대화 상자에서 추가를 선택합니다.
  5. FileServerAccess을 입력하고, 개체 이름을 선택하여입력한 다음, 확인을선택합니다.
  6. 그룹 또는 사용자 이름 목록에서 FileServerAccess 선택합니다. FileServerAccess 사용 권한 목록에서 수정허용 및 쓰기 권한을 선택한 다음, 확인선택합니다.
  7. 공유 탭을 선택한 다음 고급 공유...선택합니다.
  8. 공유를 선택하고, 공유 이름CrossForestShare같은 기억하기 쉬운 이름을 입력하여 이 폴더파일 공유를 설정합니다.
  9. 사용 권한선택합니다. 모든 사용자를 위한 권한 목록에서 변경 권한에 대해 허용을 선택합니다.
  10. 확인을 두 번 선택한 다음 닫기를.

리소스에 대한 포리스트 간 인증의 유효성을 검사합니다.

  1. 온-프레미스 Active Directory의 사용자 계정을 사용하여 온-프레미스 Active Directory에 조인된 Windows 컴퓨터에 로그인합니다.

  2. Windows 탐색기사용하여 정규화된 호스트 이름과 공유(예: \\fs1.aaddscontoso.com\CrossforestShare)를 사용하여 만든 공유에 연결합니다.

  3. 쓰기 권한의 유효성을 검사하려면 폴더에서 마우스 오른쪽 단추를 선택하고 새 선택한 다음 텍스트 문서 선택합니다. 새 텍스트 문서 기본 이름을 사용합니다.

    쓰기 권한이 올바르게 설정되면 새 텍스트 문서가 만들어집니다. 파일을 적절하게 열고 편집하고 삭제하려면 다음 단계를 완료합니다.

  4. 읽기 권한의 유효성을 검사하려면 새 텍스트 문서엽니다.

  5. 수정 권한의 유효성을 검사하려면 파일에 텍스트를 추가하고 메모장 닫습니다. 변경 내용을 저장하라는 메시지가 표시되면 저장선택합니다.

  6. 삭제 권한의 유효성을 검사하려면 새 텍스트 문서 을 마우스 오른쪽 버튼으로 클릭하고 삭제를 선택합니다. 선택하여 파일 삭제를 확인합니다.

다음 단계

이 자습서에서는 다음 방법을 알아보았습니다.

  • 도메인 서비스 연결을 지원하도록 온-프레미스 AD DS 환경에서 DNS 구성
  • 온프레미스 AD DS 환경에서 단방향 인바운드 포리스트 트러스트 생성하기
  • Domain Services에서 단방향 아웃바운드 포리스트 트러스트 만들기
  • 인증 및 리소스 액세스에 대한 트러스트 관계 테스트 및 유효성 검사

Domain Services의 포레스트에 대한 자세한 개념 정보는 Domain Services에서 포레스트 트러스트가 어떻게 작동합니까?.