Microsoft Entra Domain Services에 대한 가상 네트워크 디자인 고려 사항 및 구성 옵션
Microsoft Entra Domain Services는 다른 애플리케이션 및 워크로드에 인증 및 관리 서비스를 제공합니다. 네트워크 연결은 핵심 구성 요소입니다. 가상 네트워크 리소스를 올바르게 구성하지 않으면 애플리케이션과 워크로드가 Domain Services에서 제공하는 기능을 사용하여 통신할 수 없습니다. Domain Services가 필요에 따라 애플리케이션과 워크로드를 제공할 수 있도록 가상 네트워크 요구 사항을 계획합니다.
이 문서에서는 Domain Services를 지원하기 위한 Azure Virtual Network에 대한 디자인 고려 사항 및 요구 사항을 간략하게 설명합니다.
Azure 가상 네트워크 디자인
네트워크 연결을 제공하고 애플리케이션 및 서비스가 Domain Services 관리되는 도메인에 대해 인증할 수 있도록 하려면 Azure Virtual Network 및 서브넷을 사용합니다. 이상적으로 관리되는 do기본 자체 가상 네트워크에 배포해야 합니다.
관리 VM 또는 간단한 애플리케이션 워크로드를 호스트하기 위해 동일한 가상 네트워크에 별도의 애플리케이션 서브넷을 포함할 수 있습니다. 일반적으로 Domain Services 가상 네트워크에 피어링되는 대규모 또는 복잡한 애플리케이션 워크로드를 위한 별도의 가상 네트워크가 가장 적합한 디자인입니다.
가상 네트워크 및 서브넷에 대한 다음 섹션에 설명된 요구 사항을 충족하는 경우 다른 디자인 선택은 유효합니다.
Domain Services에 대한 가상 네트워크를 설계할 때 다음 고려 사항이 적용됩니다.
- Domain Services는 가상 네트워크와 동일한 Azure 지역에 배포되어야 합니다.
- 현재는 Microsoft Entra 테넌트당 하나의 관리되는 도메인만 배포할 수 있습니다. 관리되는 도메인은 단일 지역에 배포됩니다. Domain Services를 지원하는 지역에서 가상 네트워크를 만들거나 선택해야 합니다.
- 다른 Azure 지역 및 애플리케이션 워크로드를 호스트하는 가상 네트워크의 근접성을 고려합니다.
- 대기 시간을 최소화하려면 핵심 애플리케이션을 관리되는 가상 네트워크 서브넷과 가까이 또는 동일한 지역에 유지합니다기본. Azure 가상 네트워크 간에 가상 네트워크 피어링 또는 VPN(가상 사설망) 연결을 사용할 수 있습니다. 이러한 연결 옵션은 다음 섹션에서 설명합니다.
- 가상 네트워크는 관리되는 do기본 제공된 서비스 이외의 DNS 서비스에 의존할 수 없습니다.
- Domain Services는 자체 DNS 서비스를 제공합니다. 이러한 DNS 서비스 주소를 사용하도록 가상 네트워크를 구성해야 합니다. 조건부 전달자를 사용하여 추가 네임스페이스에 대한 이름 확인을 수행할 수 있습니다.
- 사용자 지정 DNS 서버 설정을 사용하여 VM을 비롯한 다른 DNS 서버에서 쿼리를 보낼 수 없습니다. 가상 네트워크의 리소스는 관리되는 do기본 제공된 DNS 서비스를 사용해야 합니다.
Important
서비스를 사용하도록 설정한 후에는 Domain Services를 다른 가상 네트워크로 이동할 수 없습니다.
관리되는 기본 Azure 가상 네트워크의 서브넷에 연결합니다. 다음 사항을 고려하여 Domain Services를 위한 이 서브넷을 설계합니다.
관리되는 도메인은 자체 서브넷에 배포해야 합니다. 가상 네트워크 피어링에서 기존 서브넷, 게이트웨이 서브넷 또는 원격 게이트웨이 설정을 사용하는 것은 지원되지 않습니다.
관리되는 도메인을 배포하는 동안 네트워크 보안 그룹이 만들어집니다. 이 네트워크 보안 그룹에는 올바른 서비스 통신에 필요한 규칙이 포함되어 있습니다.
- 고유의 사용자 지정 규칙을 사용하여 기존 네트워크 보안 그룹을 만들거나 사용하지 마세요.
관리되는 도메인에는 3~5개의 IP 주소가 필요합니다. 서브넷 IP 주소 범위가 이 주소 수를 제공할 수 있는지 확인합니다.
- 사용 가능한 IP 주소를 제한하면 관리되는 do기본 기본2개의 할 일기본 컨트롤러를 사용할 수 없습니다.
참고 항목
다음의 문제들로 인해 가상 네트워크와 해당 서브넷에는 공용 IP 주소를 사용할 수 없습니다.
IP 주소 부족: IPv4 공용 IP 주소는 유한하므로, 수요량이 공급량을 초과하는 경우가 많습니다. 또한 공용 엔드포인트와 IP가 겹칠 수 있습니다.
보안 위험: 가상 네트워크에 공용 IP를 사용하면 디바이스가 인터넷에 직접 노출되어 무단 액세스 및 잠재적 공격의 위험이 증가합니다. 적절한 보안 조치를 취하지 않는 경우 디바이스가 다양한 위협에 취약해질 수 있습니다.
복잡성: 공용 IP를 사용하여 가상 네트워크를 관리하려면 외부 IP 범위를 처리하고 적절한 네트워크 구분 및 보안을 보장해야 하므로 개인 IP를 사용하는 것보다 더 복잡해질 수 있습니다.
개인 IP 주소를 사용하는 것이 훨씬 좋습니다. 공용 IP를 사용하는 경우, 선택한 공용 범위에서 선택한 IP의 소유자/전용 사용자인지 확인합니다.
다음 예제 다이어그램에서는 관리되는 작업기본 자체 서브넷이 있고, 외부 연결을 위한 게이트웨이 서브넷이 있고, 애플리케이션 워크로드가 가상 네트워크 내의 연결된 서브넷에 있는 유효한 디자인을 간략하게 설명합니다.
Domain Services 가상 네트워크에 대한 연결
이전 섹션에서 설명한 대로 Azure의 단일 가상 네트워크에서만 관리되는 도메인을 만들 수 있으며 Microsoft Entra 테넌트당 하나의 관리되는 도메인만 만들 수 있습니다. 이 아키텍처에 따라 애플리케이션 워크로드를 호스트하는 하나 이상의 가상 네트워크를 관리되는 do기본 가상 네트워크에 연결해야 할 수 있습니다.
다음 방법 중 하나를 사용하여 다른 Azure 가상 네트워크에서 호스트되는 애플리케이션 워크로드를 연결할 수 있습니다.
- 가상 네트워크 피어링
- VPN(가상 사설망)
가상 네트워크 피어링
가상 네트워크 피어링은 Azure 백본 네트워크를 통해 동일한 지역에 있는 두 가상 네트워크를 연결하는 메커니즘입니다. 글로벌 가상 네트워크 피어링으로 Azure 지역 간에 가상 네트워크를 연결할 수 있습니다. 피어화되면 두 가상 네트워크를 통해 VM과 같은 리소스가 개인 IP 주소를 사용하여 직접 서로 통신할 수 있습니다. 가상 네트워크 피어링을 사용하면 다른 가상 네트워크에 배포된 애플리케이션 워크로드를 사용하여 관리되는 작업기본 배포할 수 있습니다.
자세한 내용은 Azure 가상 네트워크 피어링 개요를 참조하세요.
VPN(가상 사설망)
가상 네트워크를 온-프레미스 사이트 위치에 구성할 수 있는 것과 동일한 방식으로 다른 가상 네트워크(VNet 간)에 연결할 수 있습니다. 두 연결 모두 VPN 게이트웨이를 사용하여 IPsec/IKE를 통한 보안 터널을 만듭니다. 이 연결 모델을 사용하면 관리되는 do기본 Azure 가상 네트워크에 배포한 다음 온-프레미스 위치 또는 다른 클라우드에 연결할 수 있습니다.
가상 사설망 사용에 대한 자세한 내용은 Microsoft Entra 관리 센터를 사용하여 VNet 간 VPN Gateway 연결 구성을 참조하세요.
가상 네트워크를 연결할 때 이름 확인
관리되는 do기본 가상 네트워크에 연결된 가상 네트워크에는 일반적으로 자체 DNS 설정이 있습니다. 가상 네트워크를 연결할 때는 관리되는 do기본 제공된 서비스를 확인하기 위해 연결 가상 네트워크에 대한 이름 확인을 자동으로 구성하지 않습니다. 애플리케이션 워크로드에서 관리되는 작업을 찾을 수 있도록 연결 가상 네트워크의 이름 확인을 구성해야 합니다기본.
연결하는 가상 네트워크를 지원하는 DNS 서버에서 조건부 DNS 전달자를 통해 또는 관리되는 도메인의 가상 네트워크에서 동일한 DNS IP 주소를 통해 이름 확인 기능을 사용할 수 있습니다.
Domain Services에서 사용하는 네트워크 리소스
관리되는 기본 배포 중에 일부 네트워킹 리소스를 만듭니다. 해당 리소스는 관리되는 도메인의 성공적인 운영과 관리에 필요하며 수동으로 구성하면 안 됩니다.
Domain Services에서 사용하는 네트워킹 리소스를 잠그지 마세요. 잠긴 네트워킹 리소스는 삭제할 수 없습니다. 이 경우 도메인 컨트롤러를 다시 빌드해야 한다면 다른 IP 주소를 가진 새 네트워킹 리소스를 만들어야 합니다.
| Azure 리소스 | 설명 |
|---|---|
| 네트워크 인터페이스 카드 | Domain Services는 Windows Server에서 Azure VM으로 실행되는 두 개의 DC(도메인 컨트롤러)에서 관리되는 도메인을 호스팅합니다. 각 VM에는 가상 네트워크 서브넷에 연결하는 가상 네트워크 인터페이스가 있습니다. |
| 동적 표준 공용 IP 주소 | Domain Services는 표준 SKU 공용 IP 주소를 사용하여 동기화 및 관리 서비스와 통신합니다. 공용 IP 주소에 대한 자세한 내용은 Azure의 IP 주소 유형 및 할당 방법을 참조하세요. |
| Azure 표준 부하 분산 장치 | Domain Services는 NAT(Network Address Translation) 및 부하 분산(보안 LDAP와 함께 사용되는 경우)을 위해 표준 SKU 부하 분산 장치를 사용합니다. Azure 부하 분산 장치에 대한 자세한 내용은 Azure Load Balancer란? |
| NAT(Network Address Translation) 규칙 | Domain Services는 안전한 PowerShell 원격 기능을 위해 부하 분산 장치에서 두 개의 인바운드 NAT 규칙을 만들고 사용합니다. 표준 SKU 부하 분산 장치를 사용하는 경우 아웃바운드 NAT 규칙도 있습니다. 기본 SKU 부하 분산 장치의 경우 아웃바운드 NAT 규칙이 필요하지 않습니다. |
| 부하 분산 장치 규칙 | TCP 포트 636에서 보안 LDAP에 대해 관리되는 도메인을 구성하면 부하 분산 장치에서 세 가지 규칙이 만들어지고 트래픽을 분산하는 데 사용됩니다. |
Warning
부하 분산 장치 또는 규칙을 수동으로 구성하는 등 Domain Services에서 만든 네트워크 리소스를 삭제하거나 수정하지 마세요. 네트워크 리소스를 삭제하거나 수정하면 Domain Services 서비스가 중단될 수 있습니다.
네트워크 보안 그룹과 필수 포트
NSG(네트워크 보안 그룹)에는 Azure 가상 네트워크에서 네트워크 트래픽을 허용하거나 거부하는 규칙 목록이 포함되어 있습니다. 관리되는 do기본 배포하는 경우 서비스에서 인증 및 관리 기능을 제공할 수 있도록 하는 규칙 집합을 사용하여 네트워크 보안 그룹이 만들어집니다. 이 기본 네트워크 보안 그룹은 관리되는 가상 네트워크 서브넷과 연결됩니다기본 배포됩니다.
다음 섹션에서는 네트워크 보안 그룹과 인바운드 및 아웃바운드 포트 요구 사항을 다룹니다.
인바운드 연결
관리되는 do기본 인증 및 관리 서비스를 제공하려면 다음 네트워크 보안 그룹 인바운드 규칙이 필요합니다. 관리되는 도메인용 가상 네트워크 서브넷에 대한 네트워크 보안 그룹 규칙을 편집하거나 삭제하지 마세요.
| 원본 | 원본 서비스 태그 | 원본 포트 범위 | 대상 | 서비스 | 대상 포트 범위 | 프로토콜 | 작업 | Required | 목적 |
|---|---|---|---|---|---|---|---|---|---|
| 서비스 태그 | AzureActiveDirectoryDo기본Services | * | 모두 | WinRM | 5986 | TCP | 허용 | 예 | 사용자의 할 일기본 관리. |
| 서비스 태그 | CorpNetSaw | * | 모두 | RDP | 3389 | TCP | 허용 | 선택 사항 | 지원을 위한 디버깅 |
CorpNetSaw 서비스 태그는 Microsoft Entra 관리 센터를 사용하여 사용할 수 없으며 CorpNetSaw에 대한 네트워크 보안 그룹 규칙은 PowerShell을 사용하여 추가해야 합니다.
Domain Services는 또한 기본 보안 규칙으로 AllowVnetInBound 및 AllowAzureLoadBalancerInBound를 사용합니다.
AllowVnetInBound 규칙은 VNet 내의 모든 트래픽을 허용하여 DC가 제대로 통신하고 복제할 수 있을 뿐만 아니라 도메인 가입 및 기타 도메인 서비스를 도메인 구성원에게 허용할 수 있습니다. Windows에 필요한 포트에 대한 자세한 내용은 Windows의 서비스 개요 및 네트워크 포트 요구 사항을 참조하세요.
서비스가 부하 분산 장치를 통해 제대로 통신하여 DC를 관리할 수 있도록 AllowAzureLoadBalancerInBound 규칙도 필요합니다. 이 네트워크 보안 그룹은 Domain Services를 보호하며 관리되는 도메인이 올바르게 작동하는 데 필요합니다. 이 네트워크 보안 그룹을 삭제하지 마세요. 이 보안 그룹이 없으면 부하 분산 장치가 제대로 작동하지 않습니다.
필요한 경우 Azure PowerShell을 사용하여 필요한 네트워크 보안 그룹 및 규칙을 만들 수 있습니다.
Warning
잘못 구성된 네트워크 보안 그룹 또는 사용자 정의 경로 테이블을 관리되는 do기본 배포된 서브넷과 연결하면 Microsoft의 서비스 및 관리 기능이 중단될 수 있습니다기본. Microsoft Entra 테넌트와 관리되는 도메인 간의 동기화도 중단됩니다. 동기화, 패치 또는 관리를 중단할 수 있는 지원되지 않는 구성을 방지하려면 나열된 모든 요구 사항을 따르세요.
보안 LDAP를 사용하는 경우 필요한 경우 외부 트래픽을 허용하는 데 필요한 TCP 포트 636 규칙을 추가할 수 있습니다. 이 규칙을 추가해도 네트워크 보안 그룹 규칙이 지원되지 않는 상태가 되지 않습니다. 자세한 내용은 인터넷을 통한 보안 LDAP 액세스 잠금을 참조하세요.
Azure SLA는 잘못 구성된 네트워크 보안 그룹 또는 사용자 정의 경로 테이블에 의해 업데이트 또는 관리에서 차단된 배포에는 적용되지 않습니다. 네트워크 구성이 손상되어 보안 패치가 적용되지 않도록 방지할 수도 있습니다.
아웃바운드 연결
아웃바운드 연결의 경우 AllowVnetOutbound 및 AllowInternetOutBound를 유지하거나 다음 표에 나열된 ServiceTags를 사용하여 아웃바운드 트래픽을 제한할 수 있습니다. PowerShell을 통해 AzureUpdateDelivery에 대한 ServiceTag를 추가해야 합니다. 우선 순위가 높은 다른 NSG가 아웃바운드 연결을 거부하지 않는지 확인합니다. 아웃바운드 연결이 거부되면 복제본(replica) 집합 간에 복제본(replica) 작동하지 않습니다.
| 아웃바운드 포트 번호 | 프로토콜 | 원본 | 대상 | 작업 | Required | 목적 |
|---|---|---|---|---|---|---|
| 443 | TCP | 모두 | AzureActiveDirectoryDo기본Services | 허용 | 예 | Microsoft Entra Domain Services 관리 서비스와 통신합니다. |
| 443 | TCP | 모두 | AzureMonitor | 허용 | 예 | 가상 머신 모니터링. |
| 443 | TCP | 모두 | 스토리지 | 허용 | 예 | Azure Storage와의 통신 |
| 443 | TCP | 모두 | Microsoft Entra ID | 허용 | 예 | Microsoft Entra ID와 통신합니다. |
| 443 | TCP | 모두 | AzureUpdateDelivery | 허용 | 예 | Windows 업데이트 통신. |
| 80 | TCP | 모두 | AzureFrontDoor.FirstParty | 허용 | 예 | Windows 업데이트 패치 다운로드 |
| 443 | TCP | 모두 | GuestAndHybridManagement | 허용 | 예 | 보안 패치의 자동화된 관리. |
포트 5986 - PowerShell 원격을 사용한 관리
- 관리되는 작업기본 PowerShell 원격을 사용하여 관리 작업을 수행하는 데 사용됩니다.
- 이 포트에 액세스할 수 없으면 관리되는 작업기본 업데이트, 구성, 백업 또는 모니터링할 수 없습니다.
- 이 포트에 대한 인바운드 액세스를 AzureActiveDirectoryDo기본Services 서비스 태그로 제한할 수 있습니다.
포트 3389 - 원격 데스크톱을 사용한 관리
- 관리되는 도메인의 도메인 컨트롤러에 대한 원격 데스크톱 연결에 사용됩니다.
- 기본 네트워크 보안 그룹 규칙은 CorpNetSaw 서비스 태그를 사용하여 트래픽을 추가로 제한합니다.
- 이 서비스 태그는 Microsoft 회사 네트워크의 보안 액세스 워크스테이션만 관리되는 도메인에 원격 데스크톱을 사용하도록 허용합니다.
- 액세스는 관리 또는 문제 해결 시나리오와 같은 비즈니스 근거로만 허용됩니다.
- 이 규칙은 거부로 설정할 수 있으며 필요한 경우에만 허용으로 설정할 수 있습니다. 대부분의 관리 및 모니터링 작업은 PowerShell 원격을 사용하여 수행됩니다. RDP는 Microsoft가 고급 문제 해결을 위해 관리되는 도메인에 원격으로 연결해야 하는 드문 경우에만 사용됩니다.
이 네트워크 보안 그룹 규칙을 편집하려고 하면 포털에서 CorpNetSaw 서비스 태그를 수동으로 선택할 수 없습니다. Azure PowerShell 또는 Azure CLI를 사용하여 CorpNetSaw 서비스 태그를 사용하는 규칙을 수동으로 구성해야 합니다.
예를 들어 다음 스크립트를 사용하여 RDP를 허용하는 규칙을 만들 수 있습니다.
Get-AzNetworkSecurityGroup -Name "nsg-name" -ResourceGroupName "resource-group-name" | Add-AzNetworkSecurityRuleConfig -Name "new-rule-name" -Access "Allow" -Protocol "TCP" -Direction "Inbound" -Priority "priority-number" -SourceAddressPrefix "CorpNetSaw" -SourcePortRange "*" -DestinationPortRange "3389" -DestinationAddressPrefix "*" | Set-AzNetworkSecurityGroup
사용자 정의 경로
사용자 정의 경로는 기본적으로 만들어지지 않으며 Domain Services가 올바르게 작동하는 데 필요하지 않습니다. 경로 테이블을 사용해야 하는 경우 0.0.0.0 경로를 변경하지 마세요. 이 경로를 변경하면 Domain Services가 중단되고 관리되는 도메인이 지원되지 않는 상태가 됩니다.
또한 각 Azure 서비스 태그에 포함된 IP 주소에서 관리되는 do기본 서브넷으로 인바운드 트래픽을 라우팅해야 합니다. 서비스 태그 및 연결된 IP 주소에 대한 자세한 내용은 Azure IP 범위 및 서비스 태그 - 퍼블릭 클라우드를 참조하세요.
주의
이러한 Azure 데이터 센터 IP 범위는 예고 없이 변경할 수 있습니다. 최신 IP 주소가 있는지 확인하는 프로세스가 있는지 확인합니다.
다음 단계
Domain Services에서 사용하는 일부 네트워크 리소스 및 연결 옵션에 대한 자세한 내용은 다음 문서를 참조하세요.