Active Directory Domain Services 및 Azure Virtual Machines를 사용하여 기본 시나리오를 살펴봅니다.
AD DS 및 Azure Virtual Machines와 관련된 세 가지 주요 시나리오가 있습니다.
- 프레미스 간 연결 없이 Azure Virtual Machines에 배포된 AD DS. 이 배포로 인해 모든 도메인 컨트롤러가 Azure에 존재하는 새 포리스트가 생성됩니다. Kerberos 인증 또는 그룹 정책을 사용하지만 온-프레미스 종속성이 없는 Azure Virtual Machines에서 호스트되는 Azure 상주 워크로드를 구현하려는 경우 이 방식을 사용합니다.
- Azure Virtual Machines가 상주하는 Azure Virtual Network에 대한 프레미스 간 연결을 통해 기존 온-프레미스 AD DS 배포. 이 시나리오에서는 기존 온-프레미스 Active Directory 환경을 사용하여 Azure Virtual Machine 상주 워크로드에 대한 인증을 제공합니다. 이 설계를 사용하려는 경우 크로스-프레미스 네트워크 트래픽과 관련된 대기 시간을 고려해야 합니다.
- Azure Virtual Machines에서 추가 도메인 컨트롤러를 호스팅하는 Azure Virtual Network에 대한 프레미스 간 연결을 통해 기존 온-프레미스 AD DS 배포. 이 시나리오의 주요 목적은 인증 트래픽을 지역화하여 워크로드의 성능을 최적화하는 것입니다.
Azure Virtual Machines에 AD DS 도메인 컨트롤러 배포를 계획할 때 다음 사항을 고려해야 합니다.
- 크로스-프레미스 연결. 기존 AD DS 환경을 Azure로 확장하려는 경우, 온-프레미스 환경과 Azure 가상 네트워크 간의 크로스-프레미스 연결이 주요 설계 요소로 작용합니다. 사이트 간 VPN(가상 사설망) 또는 Microsoft Azure ExpressRoute를 설정해야 합니다.
- Active Directory 토폴로지. 크로스-프레미스 시나리오에서는 크로스-프레미스 네트워크 인프라를 반영하도록 AD DS 사이트를 구성해야 합니다. 이를 통해 인증 트래픽을 지역화하고 온-프레미스와 Azure Virtual Machine 기반 도메인 컨트롤러 간의 복제 트래픽을 제어할 수 있습니다. 사이트 간 복제는 대역폭이 높으며 연결을 영구적으로 사용할 수 있다고 가정합니다. 이와 반대로 사이트 내 복제는 복제 트래픽을 예약하고 제한할 수 있도록 합니다. 또한 사이트를 적절하게 설계하면 지정된 사이트의 도메인 컨트롤러가 해당 사이트에서 시작되는 인증 요청을 처리하도록 할 수 있습니다.
- RODC(읽기 전용 도메인 컨트롤러). 일부 고객은 보안 문제로 인해 Azure Virtual Machines에 쓰기 가능한 도메인 컨트롤러를 배포하는 것에 대해 매우 신중한 태도를 취합니다. 이 같은 우려를 덜 수 있는 한 가지 방법은 대신 RODC를 배포하는 것입니다. RODC와 쓰기 가능한 도메인 컨트롤러는 비슷한 사용자 환경을 제공합니다. 그러나 RODC는 송신 트래픽의 양과 이에 상응하는 비용을 낮출 수 있습니다. 이는 Azure에 위치한 워크로드에서 AD DS에 대한 쓰기 권한이 자주 필요하지 않은 경우 적합한 옵션입니다.
- 글로벌 카탈로그 배치. 도메인 토폴로지에 관계없이 모든 Azure Virtual Machine 기반 도메인 컨트롤러를 글로벌 카탈로그 서버로 구성해야 합니다. 이렇게 하면 글로벌 카탈로그 조회가 크로스-프레미스 네트워크 연결을 순회하지 못하도록 하여 성능에 부정적인 영향을 주는 것을 방지합니다.