Microsoft Entra Domain Services 구현 및 구성
클라우드 전용 Microsoft Entra ID를 사용하는 조직은 Azure VNet에 대해 Microsoft Entra Domain Services를 사용하도록 설정한 다음 새 관리되는 도메인을 가져올 수 있습니다. Microsoft Entra ID의 사용자 및 그룹은 그룹 정책, Kerberos 프로토콜 및 LDAP 지원을 포함하여 온-프레미스 AD DS와 유사한 디렉터리 서비스를 포함하는 새로 만들어진 도메인에서 사용할 수 있습니다.
Windows를 실행하는 Azure VM을 새로 만든 도메인에 조인할 수 있으며, 기본 그룹 정책 설정을 사용하여 이를 관리할 수 있습니다. Microsoft Entra Domain Services를 사용하도록 설정하면 NTLM 및 Kerberos 인증에 필요한 자격 증명 해시가 Microsoft Entra ID에 저장됩니다.
Contoso는 하이브리드 조직이기 때문에 Microsoft Entra Connect를 사용하여 온-프레미스 AD DS의 ID를 Microsoft Entra Domain Services와 통합할 수 있습니다. 하이브리드 조직의 사용자는 온-프레미스 인프라의 도메인 기반 리소스에 액세스하거나 Microsoft Entra Domain Services와 통합된 Azure Virtual Network에서 실행되는 VM의 리소스에 액세스할 때 동일한 환경을 가질 수 있습니다.
Microsoft Entra Domain Services 구현
Microsoft Entra Domain Services를 구현, 구성 및 사용하려면 Microsoft Entra 구독에서 만들어진 Microsoft Entra 테넌트가 있어야 합니다. 또한 Microsoft Entra Domain Services를 사용하려면 Microsoft Entra Connect를 사용하여 암호 해시 동기화를 배포해야 합니다. 이는 Microsoft Entra Domain Services가 NTLM 및 Kerberos 인증을 제공하므로 사용자의 자격 증명이 필요하기 때문에 필요합니다.
테넌트에 대해 Microsoft Entra Domain Services를 사용하도록 설정하는 경우 이 서비스에 사용할 DNS 도메인 이름을 선택해야 합니다. 또한 온-프레미스 환경과 동기화할 도메인을 선택해야 합니다.
주의
기존 Azure 또는 온-프레미스의 DNS 도메인 네임스페이스를 사용하면 안 됩니다.
다음 표에서는 사용 가능한 DNS 도메인 이름 옵션을 설명합니다.
| 옵션 | 설명 |
|---|---|
| 기본 제공 도메인 이름 | 디렉터리의 기본 제공 도메인 이름(.onmicrosoft.com 접미사)이 기본적으로 사용됩니다. 관리되는 도메인에 대한 인터넷을 통한 보안 LDAP 액세스를 사용하도록 설정하려면 이 기본 도메인과의 연결을 보호하기 위해 디지털 인증서를 만들 수 없습니다. Microsoft에서 .onmicrosoft.com 도메인을 소유하고 있으므로 CA(인증 기관)는 인증서를 발급하지 않습니다. |
| 사용자 지정 도메인 이름 | 가장 일반적인 방법은 일반적으로 이미 소유하고 있고 라우팅할 수 있는 사용자 지정 도메인 이름을 지정하는 것입니다. 라우팅할 수 있는 사용자 지정 도메인을 사용하면 애플리케이션을 지원하는 데 필요한 트래픽이 올바르게 전달될 수 있습니다. |
| 라우팅할 수 없는 도메인 접미사 | 일반적으로 라우팅할 수 없는 도메인 이름 접미사(예: contoso.local)를 사용하지 않는 것이 좋습니다. .local 접미사는 라우팅할 수 없으며, DNS 확인에서 문제가 발생할 수 있습니다. |
팁
환경의 다른 서비스에 대한 추가 DNS 레코드를 만들거나 환경의 기존 DNS 네임스페이스 사이에 조건부 DNS 전달자를 만들어야 할 수 있습니다.
구현 중에 프로비저닝할 포리스트의 유형을 선택해야 합니다. 포리스트는 AD DS에서 하나 이상의 도메인을 그룹화하는 데 사용되는 논리적 구문입니다. 다음 표에 설명된 것처럼 두 가지 포리스트 유형이 있습니다.
| 포리스트 유형 | 설명 |
|---|---|
| 사용자 | 이 형식의 포리스트는 온-프레미스 AD DS 환경에서 만들어진 모든 사용자 계정을 포함하여 Microsoft Entra ID의 모든 개체를 동기화합니다. |
| 리소스 | 이 형식의 포리스트는 Microsoft Entra ID에서 직접 만들어진 사용자 및 그룹만 동기화합니다. |
그런 다음 관리되는 도메인을 만들 Azure 위치를 선택해야 합니다. 가용성 영역을 지원하는 지역을 선택하면 추가 중복성을 위해 Microsoft Entra Domain Services 리소스가 여러 영역에 분산됩니다.
참고 항목
여러 영역에 분산되도록 Microsoft Entra Domain Services를 구성할 필요는 없습니다. Azure 플랫폼은 리소스의 영역 배포를 자동으로 관리합니다.
해당 서비스를 연결할 VNet도 선택해야 합니다. Microsoft Entra Domain Services는 온-프레미스 리소스에 대한 기능을 제공하므로 로컬 환경과 Azure 환경 사이에 VNet이 있어야 합니다.
프로비전하는 동안 Microsoft Entra Domain Services는 Microsoft Entra 테넌트에 두 개의 엔터프라이즈 애플리케이션을 만듭니다. 해당 애플리케이션은 관리되는 도메인을 서비스하는 데 필요하므로 해당 애플리케이션을 삭제하면 안 됩니다. 엔터프라이즈 애플리케이션은 다음과 같습니다.
- 도메인 컨트롤러 서비스.
- Azure Active Directory Domain Controller Services.
Microsoft Entra Domain Services 인스턴스를 배포한 후에는 연결된 다른 VM 및 애플리케이션이 관리되는 도메인을 사용할 수 있도록 VNet을 구성해야 합니다. 이 연결을 제공하려면 Microsoft Entra Domain Services 인스턴스와 연결된 IP 주소를 가리키도록 VNet에 대한 DNS 서버 설정을 업데이트해야 합니다.
관리되는 도메인에서 사용자를 인증하려면 Microsoft Entra Domain Services에는 NTLM 및 Kerberos 인증에 적합한 형식의 암호 해시가 필요합니다. Microsoft Entra ID는 테넌트에 대해 Microsoft Entra Domain Services를 사용하도록 설정할 때까지 NTLM 또는 Kerberos 인증에 필요한 형식으로 암호 해시를 생성하거나 저장하지 않습니다. 보안상의 이유로 Microsoft Entra ID는 암호 자격 증명을 일반 텍스트 형식으로 저장하지 않습니다. 따라서 Microsoft Entra ID는 사용자의 기존 자격 증명을 기반으로 이러한 NTLM 또는 Kerberos 암호 해시를 자동으로 생성할 수 없습니다. 사용 가능한 암호 해시가 구성된 후 Microsoft Entra Domain Services 관리되는 도메인에 저장됩니다.
참고 항목
Microsoft Entra Domain Services 관리되는 도메인을 삭제하면 해당 시점에 저장된 모든 암호 해시도 삭제됩니다.
나중에 Microsoft Entra Domain Services 관리되는 도메인을 만드는 경우 Microsoft Entra ID의 동기화된 자격 증명 정보는 다시 사용할 수 없습니다. 즉 암호 해시를 다시 저장하려면 암호 해시 동기화를 다시 구성해야 합니다. 이전에 도메인 조인 VM 또는 사용자는 즉시 인증할 수 없습니다. Microsoft Entra ID는 새 Microsoft Entra Domain Services 관리되는 도메인에 암호 해시를 생성하고 저장해야 합니다.
이러한 암호 해시를 만들고 저장하는 단계는 Microsoft Entra ID에서 만들어진 클라우드 전용 사용자 계정과 Microsoft Entra Connect를 사용하여 온-프레미스 디렉터리에서 동기화된 사용자 계정에 대해 다릅니다. 클라우드 전용 사용자 계정은 Azure Portal 또는 Microsoft Graph PowerShell cmdlet을 사용하여 Microsoft Entra 디렉터리에 만들어진 계정입니다. 이러한 사용자 계정은 온-프레미스 디렉터리에서 동기화되지 않습니다.
클라우드 전용 사용자 계정의 경우 사용자는 Microsoft Entra Domain Services를 사용하기 전에 암호를 변경해야 합니다. 이 암호 변경 프로세스로 인해 Kerberos 인증 및 NTLM 인증을 위한 암호 해시가 생성되어 Microsoft Entra ID에 저장됩니다. 암호가 변경될 때까지 계정은 Microsoft Entra ID에서 Microsoft Entra Domain Services로 동기화되지 않습니다. Microsoft Entra Domain Services를 사용해야 하는 테넌트의 모든 클라우드 사용자에 대한 암호를 만료하여 다음 로그인 시 암호를 강제로 변경하거나 클라우드 사용자에게 수동으로 암호를 변경하도록 지시합니다.
팁
사용자가 암호를 다시 설정하려면 먼저 셀프 서비스 암호 재설정을 위해 Microsoft Entra 테넌트를 구성해야 합니다.
추가 자료
자세히 알아보려면 다음 문서를 검토하세요.
- 자습서: 고급 구성 옵션을 사용하여 Microsoft Entra Domain Services 관리되는 도메인을 만들고 구성합니다.
- 자습서: Microsoft Entra Domain Services(미리 보기)에서 온-프레미스 도메인에 대한 아웃바운드 포리스트 트러스트 만들기
- Microsoft Entra Connect 동기화를 사용하여 암호 해시 동기화를 구현합니다.