다음을 통해 공유


Azure 명령줄 인터페이스를 사용하여 새 Active Directory 포리스트 설치

AD DS는 많은 온-프레미스 인스턴스에서 실행되는 것과 동일한 방식으로 Azure VM(가상 머신)에서 실행할 수 있습니다. 이 문서에서는 Azure Portal 및 Azure CLI를 사용하여 Azure 가용성 집합에서 두 개의 새 도메인 컨트롤러에 새 AD DS 포리스트를 배포하는 방법에 대해 설명합니다. 많은 고객이 랩을 만들거나 Azure에서 도메인 컨트롤러 배포를 준비할 때 이 지침이 유용하다고 찾습니다.

구성 요소

  • 모든 항목을 넣을 리소스 그룹입니다.
  • VM에 대한 RDP 액세스를 허용하는 Azure Virtual Network, 서브넷, 네트워크 보안 그룹 및 규칙
  • 두 개의 AD DS(Active Directory 도메인 Services) 도메인 컨트롤러를 배치하기 위한 Azure 가상 머신 가용성 집합입니다.
  • AD DS 및 DNS를 실행하는 두 개의 Azure 가상 머신.

다루지 않는 항목

테스트 환경을 구축하세요

환경을 만들기 위해 Azure PortalAzure CLI를 사용합니다.

명령줄 또는 스크립트에서 Azure 리소스를 만들고 관리하는 데 Azure CLI가 사용됩니다. 이 튜토리얼에서는 Azure CLI를 사용하여 Windows Server 2019가 실행되는 가상 머신을 배포하는 방법을 자세히 설명합니다. 배포가 완료되면 서버에 연결하고 AD DS를 설치합니다.

Azure 구독이 없는 경우 시작하기 전에 체험 계정을 만듭니다.

Azure CLI 사용

다음 스크립트는 Azure에서 새 Active Directory 포리스트에 대한 도메인 컨트롤러를 빌드하기 위해 두 개의 Windows Server 2019 VM을 빌드하는 프로세스를 자동화합니다. 관리자는 요구 사항에 맞게 아래 변수를 수정한 다음 하나의 작업으로 완료할 수 있습니다. 스크립트는 필요한 리소스 그룹, 원격 데스크톱, 가상 네트워크 및 서브넷 및 가용성 그룹에 대한 트래픽 규칙이 있는 네트워크 보안 그룹을 만듭니다. VM은 각각 AD DS를 설치할 수 있도록 캐싱을 사용하지 않도록 설정된 20GB 데이터 디스크로 빌드됩니다.

아래 스크립트는 Azure Portal에서 직접 실행할 수 있습니다. CLI를 로컬로 설치하여 사용하도록 선택한 경우 이 빠른 시작에서는 Azure CLI 버전 2.0.4 이상을 실행해야 합니다. az --version을 실행하여 버전을 찾습니다. 설치 또는 업그레이드해야 하는 경우 Azure CLI 2.0 설치를 참조하세요.

변수 이름 목적
AdminUsername 각 VM에서 로컬 관리자로 구성할 사용자 이름입니다.
AdminPassword 각 VM에서 로컬 관리자 암호로 구성할 일반 텍스트 암호입니다.
ResourceGroupName 리소스 그룹에 사용할 이름입니다. 기존 이름을 복제하면 안 됩니다.
위치 배포하려는 Azure 위치 이름입니다. az account list-locations를 사용하여 현재 구독에 대해 지원되는 지역을 나열합니다.
VNetName Azure 가상 네트워크를 할당할 이름입니다. 기존 이름을 복제하면 안 됩니다.
VNetAddress Azure 네트워킹에 사용할 IP 범위입니다. 기존 범위를 복제하면 안 됩니다.
SubnetName IP 서브넷을 할당할 이름입니다. 기존 이름을 복제하면 안 됩니다.
SubnetAddress 도메인 컨트롤러의 서브넷 주소입니다. VNet 내의 서브넷이어야 합니다.
AvailabilitySet 도메인 컨트롤러 VM이 조인할 가용성 집합의 이름입니다.
VMSize 배포 위치에서 사용할 수 있는 표준 Azure VM 크기입니다.
DataDiskSize AD DS가 설치되는 데이터 디스크의 크기(GB)입니다.
DomainController1 첫 번째 도메인 컨트롤러의 이름입니다.
DC1IP 첫 번째 도메인 컨트롤러의 IP 주소입니다.
DomainController2 두 번째 도메인 컨트롤러의 이름입니다.
DC2IP 두 번째 도메인 컨트롤러의 IP 주소입니다.
#Update based on your organizational requirements
Location=westus2
ResourceGroupName=ADonAzureVMs
NetworkSecurityGroup=NSG-DomainControllers
VNetName=VNet-AzureVMsWestUS2
VNetAddress=10.10.0.0/16
SubnetName=Subnet-AzureDCsWestUS2
SubnetAddress=10.10.10.0/24
AvailabilitySet=DomainControllers
VMSize=Standard_DS1_v2
DataDiskSize=20
AdminUsername=azureuser
AdminPassword=ChangeMe123456
DomainController1=AZDC01
DC1IP=10.10.10.11
DomainController2=AZDC02
DC2IP=10.10.10.12

# Create a resource group.
az group create --name $ResourceGroupName \
                --location $Location

# Create a network security group
az network nsg create --name $NetworkSecurityGroup \
                      --resource-group $ResourceGroupName \
                      --location $Location

# Create a network security group rule for port 3389.
az network nsg rule create --name PermitRDP \
                           --nsg-name $NetworkSecurityGroup \
                           --priority 1000 \
                           --resource-group $ResourceGroupName \
                           --access Allow \
                           --source-address-prefixes "*" \
                           --source-port-ranges "*" \
                           --direction Inbound \
                           --destination-port-ranges 3389

# Create a virtual network.
az network vnet create --name $VNetName \
                       --resource-group $ResourceGroupName \
                       --address-prefixes $VNetAddress \
                       --location $Location \

# Create a subnet
az network vnet subnet create --address-prefix $SubnetAddress \
                              --name $SubnetName \
                              --resource-group $ResourceGroupName \
                              --vnet-name $VNetName \
                              --network-security-group $NetworkSecurityGroup

# Create an availability set.
az vm availability-set create --name $AvailabilitySet \
                              --resource-group $ResourceGroupName \
                              --location $Location

# Create two virtual machines.
az vm create \
    --resource-group $ResourceGroupName \
    --availability-set $AvailabilitySet \
    --name $DomainController1 \
    --size $VMSize \
    --image Win2019Datacenter \
    --admin-username $AdminUsername \
    --admin-password $AdminPassword \
    --data-disk-sizes-gb $DataDiskSize \
    --data-disk-caching None \
    --nsg $NetworkSecurityGroup \
    --private-ip-address $DC1IP \
    --no-wait

az vm create \
    --resource-group $ResourceGroupName \
    --availability-set $AvailabilitySet \
    --name $DomainController2 \
    --size $VMSize \
    --image Win2019Datacenter \
    --admin-username $AdminUsername \
    --admin-password $AdminPassword \
    --data-disk-sizes-gb $DataDiskSize \
    --data-disk-caching None \
    --nsg $NetworkSecurityGroup \
    --private-ip-address $DC2IP

DNS 및 Active Directory

이 프로세스의 일부로 만든 Azure 가상 머신이 기존 온-프레미스 Active Directory 인프라의 확장인 경우 배포 전에 온-프레미스 DNS 서버를 포함하도록 가상 네트워크의 DNS 설정을 변경해야 합니다. 이 단계는 Azure에서 새로 만든 도메인 컨트롤러가 온-프레미스 리소스를 확인하고 복제가 수행되도록 허용하는 데 중요합니다. DNS, Azure 및 설정을 구성하는 방법에 대한 자세한 내용은 사용자 고유의 DNS 서버를 사용하는 이름 확인 섹션에서 찾을 수 있습니다.

Azure에서 새 도메인 컨트롤러를 승격한 후에는 가상 네트워크의 기본 및 보조 DNS 서버로 설정해야 하며, 모든 온-프레미스 DNS 서버는 3차 이상으로 강등됩니다. VM은 다시 시작될 때까지 현재 DNS 설정을 계속 사용합니다. DNS 서버 변경에 대한 자세한 내용은 가상 네트워크 만들기, 변경 또는 삭제 문서에서 확인할 수 있습니다.

온-프레미스 네트워크를 Azure로 확장하는 방법에 대한 정보는 사이트-투-사이트 VPN 연결 만들기 문서에서 찾을 수 있습니다.

VM 구성 및 Active Directory Domain Services 설치

스크립트가 완료되면 Azure Portal로 이동한 다음 가상 머신을 찾습니다.

첫 도메인 컨트롤러 구성

스크립트에서 제공한 자격 증명을 사용하여 AZDC01에 연결합니다.

  • 데이터 디스크를 F:와 같이 초기화하고 포맷합니다.
    • 시작 메뉴를 열고 컴퓨터 관리로 이동합니다
    • 스토리지>디스크 관리로 이동
    • 디스크를 MBR로 초기화
    • 새 단순 볼륨 만들기 및 드라이브 문자 F 할당: 원하는 경우 볼륨 레이블을 제공할 수 있습니다.
  • 서버 관리자를 사용하여 Active Directory 도메인 서비스 설치
  • 도메인 컨트롤러를 새 포리스트의 첫 번째 도메인 컨트롤러로 승격
    • DNS(도메인 이름 시스템) 서버 및 GC(글로벌 카탈로그) 확인란이 선택되어 있는 도메인 컨트롤러 설정 페이지를 떠나세요
    • 조직의 요구 사항에 따라 디렉터리 서비스 복원 모드 암호 지정
    • C:에서 경로를 변경하여 해당 위치를 묻는 메시지가 표시될 때 만든 F: 드라이브를 가리킵니다.
    • 마법사에서 선택한 항목을 검토하고 다음을 선택합니다.

참고 항목

필수 구성 요소 검사는 물리적 네트워크 어댑터에 고정 IP 주소가 할당되지 않은 것을 경고합니다. 고정 IP가 Azure 가상 네트워크에 할당되므로 이를 무시해도 됩니다.

  • 설치를 선택합니다

마법사가 설치 프로세스를 완료하면 VM이 다시 부팅됩니다.

VM 다시 부팅이 완료되면 이전에 사용한 자격 증명을 사용하여 다시 로그인하지만 이번에는 만든 도메인의 구성원으로 로그인합니다.

참고 항목

도메인 컨트롤러로 승격한 후 첫 번째 로그온은 평소보다 오래 걸릴 수 있으며 정상입니다. 차, 커피, 물 또는 원하시는 음료를 한 잔 드세요.

Azure 가상 네트워크는 이제 IPv6을 지원하지만 IPv6보다 IPv4를 선호하도록 VM을 설정하려는 경우 이 작업을 완료하는 방법에 대한 정보는 고급 사용자를 위해 Windows에서 IPv6을 구성하기 위한 KB 문서 지침에서 찾을 수 있습니다.

DNS 구성

Azure에서 첫 서버를 승격시킨 후, 서버는 가상 네트워크의 기본 및 보조 DNS 서버로 설정되어야 하며, 모든 온-프레미스 DNS 서버는 3차 이상으로 강등됩니다. DNS 서버 변경에 대한 자세한 내용은 가상 네트워크 만들기, 변경 또는 삭제 문서에서 확인할 수 있습니다.

두 번째 도메인 컨트롤러 구성

스크립트에서 제공한 자격 증명을 사용하여 AZDC01에 연결합니다.

  • 데이터 디스크를 F:와 같이 초기화하고 포맷합니다.
    • 시작 메뉴를 열고 컴퓨터 관리로 이동합니다
    • 스토리지>디스크 관리로 이동
    • 디스크를 MBR로 초기화
    • 새 단순 볼륨 만들기 및 드라이브 문자 F 할당: (원하는 경우 볼륨 레이블을 제공할 수 있습니다)
  • 서버 관리자를 사용하여 Active Directory 도메인 서비스 설치
  • 도메인 컨트롤러 승격시키기
    • 기존 도메인에 도메인 컨트롤러 추가 - CONTOSO.com
    • 작업을 수행하기 위한 자격 증명을 제공합니다.
    • C:에서 경로를 변경하여 해당 위치를 묻는 메시지가 표시될 때 만든 F: 드라이브를 가리킵니다.
    • DNS(도메인 이름 시스템) 서버 및 GC(글로벌 카탈로그) 확인란이 선택되어 있는지 도메인 컨트롤러 설정 페이지를 확인하세요
    • 조직의 요구 사항에 따라 디렉터리 서비스 복원 모드 암호 지정
    • 마법사에서 선택한 항목을 검토하고 다음을 선택합니다.

참고 항목

필수 구성 요소 검사는 실제 네트워크 어댑터에 고정 IP 주소가 할당되지 않은 것을 경고합니다. 정적 IP가 Azure 가상 네트워크에 할당되므로 이를 무시해도 됩니다.

  • 설치를 선택합니다

마법사가 설치 프로세스를 완료하면 VM이 다시 부팅됩니다.

VM 다시 부팅이 완료되면 이전에 사용한 자격 증명을 사용하여 다시 로그인하지만, 이번에는 CONTOSO.com 도메인의 구성원으로 로그인합니다.

Azure 가상 네트워크는 이제 IPv6을 지원하지만 IPv6보다 IPv4를 선호하도록 VM을 설정하려는 경우 이 작업을 완료하는 방법에 대한 정보는 고급 사용자를 위해 Windows에서 IPv6을 구성하기 위한 KB 문서 지침에서 찾을 수 있습니다.

마무리

이 시점에서 환경에는 도메인 컨트롤러 쌍이 있으며, 환경에 추가 서버를 추가할 수 있도록 Azure 가상 네트워크를 구성했습니다. 사이트 및 서비스 구성, 감사, 백업 및 기본 제공 관리자 계정 보안과 같은 Active Directory 도메인 Services에 대한 설치 후 작업을 이 시점에서 완료해야 합니다.

환경 제거

환경을 제거하려면 테스트를 완료하면 위에서 만든 리소스 그룹을 삭제할 수 있습니다. 이 단계에서는 해당 리소스 그룹의 일부인 모든 구성 요소를 제거합니다.

Azure Portal을 사용하여 제거

Azure Portal에서 리소스 그룹으로 이동하여 만든 리소스 그룹(이 예제에서는 ADonAzureVM)을 선택한 다음, 리소스 그룹 삭제를 선택합니다. 프로세스는 리소스 그룹 내에 포함된 모든 리소스를 삭제하기 전에 확인을 요청합니다.

Azure CLI를 사용해 제거하기

Azure CLI에서 다음 명령을 실행합니다:

az group delete --name ADonAzureVMs

다음 단계