Microsoft Entra Domain Services 환경에서 Windows Server 관리
Microsoft Entra Domain Services는 사용자, 애플리케이션 및 서비스에서 사용할 관리되는 도메인을 제공합니다. 이 방법에서는 사용 가능한 관리 작업 중 일부와 관리되는 도메인 내에서 보유한 권한을 변경합니다. 관련 작업 및 권한은 일반 온-프레미스 AD DS 환경에서 제공되는 것과 다를 수 있습니다.
참고 항목
Microsoft Remote Desktop을 사용하여 Microsoft Entra Domain Services 관리되는 도메인의 도메인 컨트롤러에 연결할 수 없습니다.
개요
AAD DC 관리자 그룹의 구성원만 Microsoft Entra Domain Services에서 관리되는 도메인에 대한 권한이 부여됩니다. 따라서 해당 관리자는 도메인에서 다음 작업을 수행할 수 있습니다.
- 관리되는 도메인에서 AADDC 컴퓨터 및 AADDC 사용자 컨테이너에 대한 기본 제공 GPO를 구성합니다.
- 관리되는 도메인에서 DNS 관리
- 관리되는 도메인에서 사용자 지정 OU를 만들고 관리합니다.
- 관리되는 도메인에 가입된 컴퓨터에 대한 관리 액세스 권한을 얻습니다.
하지만 Microsoft Entra Domain Services 관리되는 도메인이 잠겨 있으므로 도메인에서 특정 관리 작업을 수행할 수 있는 권한이 없습니다. 다음은 수행할 수 없는 작업의 예입니다.
- 관리되는 도메인의 스키마를 확장합니다.
- 원격 데스크톱을 사용하여 관리되는 도메인의 도메인 컨트롤러에 연결합니다.
- 도메인 컨트롤러를 관리되는 도메인에 추가합니다.
- 관리되는 도메인에 대한 도메인 관리자 또는 엔터프라이즈 관리자 권한을 사용합니다.
Microsoft Entra Domain Services 인스턴스를 만든 후에는 컴퓨터를 Microsoft Entra Domain Services 관리되는 도메인에 가입해야 합니다. 이 컴퓨터는 Microsoft Entra Domain Services 관리되는 도메인에 대한 연결을 제공하는 Azure VNet에 연결됩니다. Microsoft Entra Domain Services 관리되는 도메인에 가입하는 프로세스는 일반 온-프레미스 AD DS 도메인에 가입하는 프로세스와 동일합니다. 컴퓨터가 조인된 후에는 Microsoft Entra Domain Services 인스턴스를 관리하는 도구를 설치해야 합니다.
팁
컴퓨터에 안전하게 연결하기 위해 Azure Bastion 호스트 사용을 고려할 수 있습니다. Azure Bastion을 사용하면 관리 호스트가 VNet에 배포되고 VM에 대한 RDP(웹 기반 원격 데스크톱 프로토콜) 또는 SSH(Secure Shell) 연결을 제공합니다. VM에는 공용 IP 주소가 필요하지 않으며, 외부 원격 트래픽에 대한 네트워크 보안 그룹 규칙을 열 필요가 없습니다. Azure Portal을 사용하여 VM에 연결합니다.
Microsoft Entra Domain Services 도메인은 온-프레미스 AD DS 환경과 동일한 관리 도구(예: ADAC(Active Directory 관리 센터) 또는 Active Directory PowerShell)를 사용하여 관리됩니다. 해당 도구를 Windows Server 및 클라이언트 컴퓨터에 RSAT(원격 서버 관리 도구) 기능의 일부로 설치할 수 있습니다. 그러면 AAD DC 관리자 그룹의 멤버가 관리되는 도메인에 조인된 컴퓨터에서 이러한 Active Directory 관리 도구를 사용하여 Microsoft Entra Domain Services 관리되는 도메인을 원격으로 관리할 수 있습니다.
사용자 계정 암호 재설정 또는 그룹 멤버 자격 관리와 같은 일반적인 ADAC 작업을 사용할 수 있습니다. 그러나 이러한 작업은 Microsoft Entra Domain Services 관리되는 도메인에서 직접 만든 사용자 및 그룹에 대해서만 작동합니다. ID 정보는 Microsoft Entra ID에서 Microsoft Entra Domain Services로만 동기화됩니다. Microsoft Entra Domain Services에서 Microsoft Entra ID로 쓰기 저장은 없습니다. 따라서 Microsoft Entra ID에서 동기화된 사용자의 암호 또는 관리 그룹 멤버 자격을 변경하고 해당 변경 내용을 다시 동기화할 수 없습니다.
또한 관리 도구의 일부로 설치된 Windows PowerShell용 Active Directory 모듈을 사용하여 Microsoft Entra Domain Services 관리되는 도메인에서 일반적인 작업을 관리할 수도 있습니다.
Microsoft Entra Domain Services에 대한 사용자 계정 사용
관리되는 도메인에서 사용자를 인증하려면 Microsoft Entra Domain Services에는 NTLM 및 Kerberos 인증에 적합한 형식의 암호 해시가 필요합니다. Microsoft Entra ID는 테넌트에 대해 Microsoft Entra Domain Services를 사용하도록 설정할 때까지 NTLM 또는 Kerberos 인증에 필요한 형식으로 암호 해시를 생성하거나 저장하지 않습니다. 보안상의 이유로 Microsoft Entra ID는 암호 자격 증명을 일반 텍스트 형식으로 저장하지 않습니다. 따라서 Microsoft Entra ID는 사용자의 기존 자격 증명을 기반으로 이러한 NTLM 또는 Kerberos 암호 해시를 자동으로 생성할 수 없습니다.
적절하게 구성되면 사용 가능한 암호 해시가 Microsoft Entra Domain Services 관리되는 도메인에 저장됩니다.
주의
해당 도메인을 삭제하면 해당 지점에 저장된 암호 해시도 모두 삭제됩니다.
나중에 Microsoft Entra Domain Services 관리되는 도메인을 만드는 경우 Microsoft Entra ID의 동기화된 자격 증명 정보를 다시 사용할 수 없습니다. 따라서 암호 해시 동기화를 다시 구성하여 암호 해시를 다시 저장해야 합니다. 그럼에도 이전에 도메인 조인 VM 또는 사용자는 즉시 인증할 수 없습니다. 왜냐하면 Microsoft Entra ID는 새 Microsoft Entra Domain Services 관리되는 도메인에 암호 해시를 생성하고 저장해야 하기 때문입니다.
이러한 암호 해시를 만들고 저장하는 단계는 Microsoft Entra ID에서 만들어진 클라우드 전용 사용자 계정과 Microsoft Entra Connect를 사용하여 온-프레미스 디렉터리에서 동기화된 사용자 계정에 대해 다릅니다. 클라우드 전용 사용자 계정은 Azure Portal 또는 Microsoft Graph PowerShell cmdlet을 사용하여 Microsoft Entra 디렉터리에 만들어진 계정입니다. 이러한 사용자 계정은 온-프레미스 디렉터리에서 동기화되지 않습니다.
클라우드 전용 사용자 계정의 경우 사용자는 Microsoft Entra Domain Services를 사용하기 전에 암호를 변경해야 합니다. 이 암호 변경 프로세스로 인해 Kerberos 및 NTLM 인증용 암호 해시가 생성되어 Microsoft Entra ID에 저장됩니다. 암호가 변경될 때까지 계정은 Microsoft Entra ID에서 Microsoft Entra Domain Services로 동기화되지 않습니다. 따라서 Microsoft Entra Domain Services를 사용해야 하는 테넌트의 모든 클라우드 사용자에 대한 암호를 만료하여 다음 로그인 시 암호를 강제로 변경하거나 클라우드 사용자에게 수동으로 암호를 변경하도록 지시해야 합니다. 그러나 클라우드 사용자의 암호 재설정을 위해 셀프 서비스 암호 재설정을 사용하도록 설정해야 할 수도 있습니다.