자습서: Windows Server 가상 머신을 Microsoft Entra Domain Services 관리형 도메인에 조인

  • 아티클

Microsoft Entra Domain Services는 Windows Server Active Directory와 완벽하게 호환되는 도메인 가입, 그룹 정책, LDAP, Kerberos/NTLM 인증과 같은 관리되는 Domain Services를 제공합니다. Domain Services 관리형 도메인을 사용하면 도메인 조인 및 관리 기능을 Azure의 VM(가상 머신)에 제공할 수 있습니다. 이 자습서에서는 Windows Server VM을 만든 다음 관리되는 작업과 조인하는 방법을 보여 줍니다기본.

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

  • Windows Server VM 만들기
  • Azure 가상 네트워크에 Windows Server VM 커넥트
  • VM을 관리되는 수행에 조인합니다기본

Azure 구독이 없는 경우 시작하기 전에 계정을 만드세요.

필수 조건

이 자습서를 완료하려면 다음 리소스가 필요합니다.

도메인에 조인하려는 VM이 이미 있는 경우 VM을 관리되는 도메인에 조인 섹션으로 건너뜁니다.

Microsoft Entra 관리 센터에 로그인합니다.

이 자습서에서는 Microsoft Entra 관리 센터를 사용하여 관리되는 작업기본 조인할 Windows Server VM을 만듭니다. 시작하려면 먼저 Microsoft Entra 관리 센터에 로그인합니다.

Windows Server 가상 머신 만들기

컴퓨터를 관리되는 do기본 조인하는 방법을 보려면 Windows Server VM을 만들어 보겠습니다. 이 VM은 관리되는 도메인에 대한 연결을 제공하는 Azure 가상 네트워크에 연결됩니다. 관리되는 do기본 조인하는 프로세스는 일반 온-프레미스 Active Directory Do기본 Services에 가입하는 것과 동일합니다기본.

도메인에 조인하려는 VM이 이미 있는 경우 VM을 관리되는 도메인에 조인 섹션으로 건너뜁니다.

  1. Microsoft Entra 관리 센터 메뉴 또는 홈페이지에서 리소스 만들기를 선택합니다.

  2. 시작에서 Windows Server 2016 Datacenter를 선택합니다.

    Choose to create a Windows Server 2016 Datacenter VM

  3. 기본 사항 창에서 가상 머신에 대한 핵심 설정을 구성합니다. 가용성 옵션, 이미지크기에 대한 기본값을 그대로 둡니다.

    매개 변수 제안 값
    Resource group myResourceGroup과 같은 리소스 그룹을 선택하거나 만듭니다.
    가상 머신 이름 vM의 이름(예: myVM)을 입력합니다.
    지역 미국 동부와 같이 VM을 만들 지역을 선택합니다.
    사용자 이름 azureuser와 같이 VM에서 만들 로컬 관리자 계정의 사용자 이름을 입력합니다.
    암호 로컬 관리자가 VM에서 만들 보안 암호를 입력한 다음 확인합니다. do기본 사용자 계정의 자격 증명을 지정하지 마세요. Windows LAPS는 지원되지 않습니다.

  4. 기본적으로 Azure에서 만든 VM은 RDP를 사용하여 인터넷에서 액세스할 수 있습니다. RDP를 사용하도록 설정하면 자동화된 로그인 공격이 발생할 수 있으며, 이는 여러 번의 연속 로그인 시도 실패로 인해 관리자 또는 관리자와 같은 일반적인 이름을 가진 계정을 사용하지 않도록 설정할 수 있습니다.

    RDP는 필요한 경우에만 사용하도록 설정하고 권한 있는 IP 범위 집합으로 제한해야 합니다. 이 구성은 VM의 보안을 개선하고 잠재적인 공격에 대한 영역을 줄이는 데 도움이 됩니다. 또는 TLS를 통해 Microsoft Entra 관리 센터를 통해서만 액세스할 수 있는 Azure Bastion 호스트를 만들고 사용합니다. 이 자습서의 다음 단계에서는 Azure Bastion 호스트를 사용하여 VM에 안전하게 연결합니다.

    공용 인바운드 포트에서 없음을 선택합니다.

  5. 완료되면 다음: 디스크를 선택합니다.

  6. OS 디스크 유형의 드롭다운 메뉴에서 표준 SSD를 선택한 다음, 다음: 네트워킹을 선택합니다.

  7. VM은 관리되는 서브넷과 통신할 수 있는 Azure 가상 네트워크 서브넷에 연결해야 합니다기본 배포됩니다. 관리되는 do기본 자체 전용 서브넷에 배포하는 것이 좋습니다. 관리되는 것과 동일한 서브넷에 VM을 배포하지 마세요기본.

    VM을 배포하고 적절한 가상 네트워크 서브넷에 연결하는 두 가지 기본 방법이 있습니다.

    • 관리되는 것과 동일한 가상 네트워크에서 기존 서브넷을 만들거나 선택합니다기본 배포됩니다.
    • Azure 가상 네트워크 피어링을 사용하여 연결된 Azure 가상 네트워크의 서브넷을 선택합니다.

    관리되는 도메인의 서브넷에 연결되지 않은 가상 네트워크 서브넷을 선택하면 VM을 관리되는 도메인에 조인할 수 없습니다. 이 자습서에서는 Azure 가상 네트워크에서 새 서브넷을 만들어 보겠습니다.

    네트워킹 창에서 관리되는 기본 배포되는 가상 네트워크(예: aaads-vnet)를 선택합니다.

  8. 이 예제에서는 기존 aaads-subnet이 관리되는 do기본 연결되어 있음을 보여 줍니다. VM을 이 서브넷에 연결하지 마세요. VM에 대한 서브넷을 만들려면 서브넷 구성 관리를 선택합니다.

    Choose to manage the subnet configuration

  9. 가상 네트워크 창의 왼쪽 메뉴에서 주소 공간을 선택합니다. 가상 네트워크는 기본 서브넷에서 사용하는 10.0.2.0/24의 단일 주소 공간을 사용하여 만들어집니다. 워크로드 또는 Azure Bastion과 같은 다른 서브넷도 이미 있을 수 있습니다.

    가상 네트워크에 추가 IP 주소 범위를 추가합니다. 이 주소 범위의 크기와 사용할 실제 IP 주소 범위는 이미 배포된 다른 네트워크 리소스에 따라 달라집니다. IP 주소 범위는 Azure 또는 온-프레미스 환경의 기존 주소 범위와 겹치지 않아야 합니다. 서브넷에 배포하는 데 필요한 VM의 수에 맞게 IP 주소 범위를 충분히 크게 조정해야 합니다.

    다음 예제에서는 10.0.5.0/24의 IP 주소 범위가 추가되었습니다. 준비되면 저장을 선택합니다.

    Add an additional virtual network IP address range

  10. 다음으로, 가상 네트워크 창의 왼쪽 메뉴에서 서브넷을 선택한 다음, + 서브넷을 선택하여 서브넷을 추가합니다.

  11. + 서브넷을 선택한 다음, 관리와 같은 서브넷의 이름을 입력합니다. 10.0.5.0/24와 같은 CIDR 블록(주소 범위)을 제공합니다. 이 IP 주소 범위가 다른 기존 Azure 또는 온-프레미스 주소 범위와 겹치지 않도록 합니다. 다른 옵션을 기본값으로 두고 확인을 선택합니다.

    Create a subnet configuration

  12. 서브넷을 만드는 데 몇 초 정도 걸립니다. 서브넷이 만들어지면 X를 선택하여 서브넷 창을 닫습니다.

  13. 네트워킹 창으로 돌아가서 VM을 만들고 드롭다운 메뉴에서 만든 서브넷(예: 관리)을 선택합니다. 다시 한 번 올바른 서브넷을 선택했는지 확인하고, 관리되는 도메인과 동일한 서브넷에 VM을 배포하지 않도록 합니다.

  14. 공용 IP의 경우 드롭다운 메뉴에서 없음을 선택합니다. 이 자습서에서는 Azure Bastion을 사용하여 관리에 연결하므로, VM에 할당된 공용 IP 주소가 필요하지 않습니다.

  15. 다른 옵션을 기본값으로 두고 관리를 선택합니다.

  16. 부팅 진단 해제설정합니다. 다른 옵션을 기본값으로 두고 검토 + 만들기를 선택합니다.

  17. VM 설정을 검토한 다음, 만들기를 선택합니다.

VM을 만드는 데 몇 분 정도 걸립니다. Microsoft Entra 관리 센터에는 배포의 상태 표시됩니다. VM이 준비되면 리소스로 이동을 선택합니다.

Go to the VM resource once it's successfully created

Windows Server VM에 연결

VM에 안전하게 연결하려면 Azure Bastion 호스트를 사용합니다. Azure Bastion을 사용하면 관리되는 호스트가 가상 네트워크에 배포되고 VM에 웹 기반 RDP 또는 SSH 연결을 제공합니다. VM에는 공용 IP 주소가 필요하지 않으며, 외부 원격 트래픽에 대한 네트워크 보안 그룹 규칙을 열 필요가 없습니다. 웹 브라우저에서 Microsoft Entra 관리 센터를 사용하여 VM에 연결합니다. 필요한 경우 Azure Bastion 호스트를 만듭니다.

Bastion 호스트를 사용하여 VM에 연결하려면 다음 단계를 완료합니다.

  1. VM에 대한 개요 창에서 커넥트 선택한 다음 Bastion을 선택합니다.

    Connect to Windows virtual machine using Bastion

  2. 이전 섹션에서 지정한 VM의 자격 증명을 입력한 다음, 연결을 선택합니다.

    Connect through the Bastion host

필요한 경우 웹 브라우저에서 Bastion 연결이 표시될 팝업을 열 수 있도록 허용합니다. VM에 연결하려면 몇 초 정도 걸립니다.

VM을 관리되는 수행에 조인합니다기본

VM을 만들고 Azure Bastion을 사용하여 웹 기반 RDP 연결을 설정했으므로 이제 Windows Server 가상 머신을 관리되는 작업기본 조인해 보겠습니다. 이 프로세스는 컴퓨터에서 일반 온-프레미스 Active Directory Domain Services 도메인에 연결하는 것과 동일합니다.

  1. VM에 로그인할 때 서버 관리자 기본적으로 열리지 않으면 시작 메뉴를 선택한 다음 서버 관리자 선택합니다.

  2. 서버 관리자 창의 왼쪽 창에서 로컬 서버를 클릭합니다. 오른쪽 창의 속성 아래에서 작업 그룹을 선택합니다.

    Open Server Manager on the VM and edit the workgroup property

  3. 시스템 속성 창에서 변경을 선택하여 관리되는 도메인에 조인합니다.

    Choose to change the workgroup or domain properties

  4. 도메인 상자에서 관리되는 도메인의 이름(예: aaddscontoso.com)을 지정한 다음, 확인을 선택합니다.

    Specify the managed domain to join

  5. do기본 자격 증명을 입력하여 do기본 조인합니다. 관리되는 할 일의 일부인 사용자에 대한 자격 증명을 제공합니다기본. 계정은 관리되는 도메인 또는 Microsoft Entra 테넌트의 일부여야 합니다. 즉, Microsoft Entra 테넌트와 연결된 외부 디렉터리의 계정은 도메인 조인 프로세스 중에 올바르게 인증되지 않습니다.

    계정 자격 증명은 다음 방법 중 하나로 지정할 수 있습니다.

    • UPN 형식(추천) - Microsoft Entra ID에 구성된 대로 사용자 계정의 UPN(사용자 계정 이름) 접미사를 입력합니다. 예를 들어 사용자 contosoadmin 의 UPN 접미사는 다음과 같습니다 contosoadmin@aaddscontoso.onmicrosoft.com. UPN 형식을 안정적으로 사용하여 SAMAccountName 형식이 아닌 do기본 로그인할 수 있는 몇 가지 일반적인 사용 사례가 있습니다.
      • deehasareallylongname과 같이 사용자의 UPN 접두사 길이가 길면 SAMAccountName이 자동으로 생성될 수 있습니다.
      • Microsoft Entra 테넌트에서 여러 사용자가 동일한 UPN 접두사(예: dee)를 사용하는 경우 해당 SAMAccountName 형식이 자동으로 생성될 수 있습니다.
    • SAMAccountName 형식 - 계정 이름을 SAMAccountName 형식으로 입력합니다. 예를 들어 사용자 contosoadmin의 SAMAccountName은 다음과 같습니다AADDSCONTOSO\contosoadmin.

  6. 관리되는 do기본 조인하는 데 몇 초 정도 걸립니다. 완료되면 도메인 조인을 환영하는 다음 메시지가 표시됩니다.

    Welcome to the domain

    계속하려면 확인을 선택합니다.

  7. 관리되는 do기본 조인하는 프로세스를 완료하려면 VM을 다시 시작합니다.

PowerShell에서 Add-Computer cmdlet을 사용하여 VM을 도메인에 조인할 수 있습니다. 다음 예제에서는 AADDSCONTOSO do기본 조인한 다음 VM을 다시 시작합니다. 메시지가 표시되면 관리되는 작업의 일부인 사용자에 대한 자격 증명을 입력합니다기본.

Add-Computer -DomainName AADDSCONTOSO -Restart

VM에 연결하고 수동으로 연결을 구성하지 않고 VM을 기본 연결하려면 Set-AzVmAdDo기본Extension Azure PowerShell cmdlet을 사용하면 됩니다.

Windows Server VM이 다시 시작되면 관리되는 do기본 적용된 모든 정책이 VM에 푸시됩니다. 이제 적절한 도메인 자격 증명을 사용하여 Windows Server VM에 로그인할 수도 있습니다.

리소스 정리

다음 자습서에서는 이 Windows Server VM을 사용하여 관리되는 도메인을 관리할 수 있는 관리 도구를 설치합니다. 이 자습서 시리즈에서 계속하지 않으려면 다음 클린 단계를 검토하여 VM삭제합니다. 그렇지 않으면 다음 자습서를 계속 진행합니다.

관리되는 작업에서 VM을 조인 해제합니다기본

관리되는 do기본에서 VM을 제거하려면 단계를 다시 수행하여 VM을 할 일기본 조인합니다. 관리되는 do기본 조인하는 대신 기본 WORKGROUP과 같은 작업 그룹에 조인하도록 선택합니다. VM을 다시 부팅한 후에는 관리되는 도메인에서 컴퓨터 개체가 제거됩니다.

도메인에서 조인 해제를 수행하지 않고 VM을 삭제하는 경우 분리된 컴퓨터 개체가 Domain Services에 남아 있습니다.

VM 삭제

이 Windows Server VM을 사용하지 않는 경우 다음 단계를 사용하여 VM을 삭제합니다.

  1. 왼쪽 메뉴에서 리소스 그룹을 선택합니다.
  2. 리소스 그룹(예: myResourceGroup)을 선택합니다.
  3. VM(예: myVM), 삭제를 차례로 선택합니다. 예를 선택하여 리소스 삭제를 확인합니다. VM을 삭제하는 데 몇 분 정도 걸립니다.
  4. VM이 삭제되면 OS 디스크, 네트워크 인터페이스 카드 및 myVM 접두사를 사용하는 다른 리소스를 선택하고 삭제합니다.

do기본 조인 문제 해결

Windows Server VM은 일반 온-프레미스 컴퓨터에서 Active Directory Domain Services 도메인에 조인하는 것과 동일한 방식으로 관리되는 도메인에 성공적으로 조인해야 합니다. Windows Server VM에서 관리되는 작업을 조인할 수 없는 경우기본 연결 또는 자격 증명 관련 문제가 있음을 나타냅니다. 다음 문제 해결 섹션을 검토하여 관리되는 작업을 성공적으로 조인합니다기본.

연결 문제

do기본 가입할 자격 증명을 요청하는 프롬프트가 표시되지 않으면 연결 문제가 있습니다. VM은 가상 네트워크의 관리되는 do기본 연결할 수 없습니다.

이러한 각 문제 해결 단계를 시도한 후 Windows Server VM을 관리되는 do기본 다시 조인해 보세요.

  • VM이 Domain Services가 사용되도록 설정되었거나 피어링된 네트워크 연결이 있는 것과 동일한 가상 네트워크에 연결되어 있는지 확인합니다.
  • DNS do기본 관리되는 do기본 이름(예: ping aaddscontoso.com)을 ping해 봅니다.
    • ping 요청이 실패하면 관리형 도메인의 IP 주소(예: ping 10.0.0.4)에 대해 ping을 시도합니다. Azure 리소스 목록에서 관리되는 작업기본을 선택하면 환경의 IP 주소가 속성 페이지에 표시됩니다.
    • IP 주소를 ping할 수 있지만 do기본는 ping할 수 없는 경우 DNS가 잘못 구성되었을 수 있습니다. 관리되는 do기본 IP 주소가 가상 네트워크에 대한 DNS 서버로 구성되어 있는지 확인합니다.
  • 명령을 사용하여 가상 머신에서 DNS 확인자 캐시를 플러시해 봅니다 ipconfig /flushdns .

do기본 조인할 자격 증명을 요청하는 프롬프트가 표시되지만 해당 자격 증명을 입력한 후 오류가 발생하면 VM에서 관리되는 작업에 연결할 수 있습니다기본. 그러면 제공한 자격 증명을 통해 VM이 관리되는 작업을 조인할 수 없습니다기본.

이러한 각 문제 해결 단계를 시도한 후 Windows Server VM을 관리되는 do기본 다시 조인해 보세요.

  • 지정한 사용자 계정이 관리되는 do기본 속하는지 확인합니다.
  • 계정이 관리되는 도메인 또는 Microsoft Entra 테넌트에 속하는지 확인합니다. Microsoft Entra 테넌트와 연결된 외부 디렉터리의 계정은 도메인 가입 프로세스 중에 올바르게 인증되지 않습니다.
  • UPN 형식을 사용하여 자격 증명(예: contosoadmin@aaddscontoso.onmicrosoft.com)을 지정합니다. 테넌트에서 여러 사용자가 동일한 UPN 접두사를 사용하거나 UPN 접두사가 너무 긴 경우 사용자 계정의 SAMAccountName이 자동으로 생성될 수 있습니다. 이러한 경우 사용자 계정의 SAMAccountName 형식이 온-프레미스 도메인에서 필요하거나 사용하는 것과 다를 수 있습니다.
  • 관리되는 do기본 암호 동기화를 사용하도록 설정했는지 확인합니다. 이 구성 단계가 없으면 로그인 시도를 올바르게 인증하는 데 필요한 암호 해시가 관리되는 do기본 존재하지 않습니다.
  • 암호 동기화가 완료될 때까지 기다립니다. 사용자 계정의 암호가 변경되면 Microsoft Entra ID의 자동 백그라운드 동기화가 Domain Services의 암호를 업데이트합니다. 할 일기본 조인 사용을 위해 암호를 사용할 수 있는 데 시간이 걸립니다.

다음 단계

이 자습서에서는 다음 작업 방법을 알아보았습니다.

  • Windows Server VM 만들기
  • Azure 가상 네트워크에 Windows Server VM에 커넥트
  • VM을 관리되는 수행에 조인합니다기본

관리되는 do기본 관리하려면 ADAC(Active Directory 관리istrative Center)를 사용하여 관리 VM을 구성합니다.

관리 VM에 관리 도구 설치