자습서: Microsoft Entra Domain Services 관리되는 도메인에 대한 보안 LDAP 구성

  • 아티클

Microsoft Entra Domain Services 관리되는 도메인과 통신하기 위해 LDAP(Lightweight Directory Access Protocol)가 사용됩니다. 기본적으로 LDAP 트래픽은 암호화되지 않으므로 여러 환경에서 보안 문제가 됩니다.

Microsoft Entra Domain Services를 사용하면 보안 LDAPS(보안 Lightweight Directory Access Protocol)를 사용하도록 관리되는 도메인을 구성할 수 있습니다. 보안 LDAP를 사용하면 트래픽이 암호화됩니다. 보안 LDAP는 SSL(Secure Sockets Layer) /TLS(전송 계층 보안)를 통해 LDAP라고도 합니다.

이 자습서에서는 Domain Services 관리되는 도메인에 대해 LDAPS를 구성하는 방법을 보여 줍니다.

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

  • Microsoft Entra Domain Services에 사용할 디지털 인증서 만들기
  • Microsoft Entra Domain Services에 대한 보안 LDAP 사용
  • 공용 인터넷을 통해 사용할 보안 LDAP 구성
  • 관리되는 작업에 대해 보안 LDAP를 바인딩하고 테스트합니다기본

Azure 구독이 없는 경우 시작하기 전에 계정을 만드세요.

필수 조건

이 자습서를 완료하는 데 필요한 리소스와 권한은 다음과 같습니다.

Microsoft Entra 관리 센터에 로그인합니다.

이 자습서에서는 Microsoft Entra 관리 센터를 사용하여 관리되는 do기본 보안 LDAP를 구성합니다. 시작하려면 먼저 Microsoft Entra 관리 센터에 로그인합니다.

보안 LDAP용 인증서 만들기

보안 LDAP를 사용하기 위해 디지털 인증서를 사용하여 통신을 암호화합니다. 이 디지털 인증서는 관리되는 do기본 적용되며, LDP.exe와 같은 도구는 데이터를 쿼리할 때 암호화된 보안 통신을 사용할 수 있습니다. 관리되는 작업에 대한 보안 LDAP 액세스를 위한 인증서를 만드는 방법에는 두 가지가 있습니다기본

  • CA(공용 인증 기관) 또는 엔터프라이즈 CA의 인증서입니다.
    • 조직에서 공용 CA에서 인증서를 가져오는 경우 해당 공용 CA에서 보안 LDAP 인증서를 가져옵니다. 조직에서 엔터프라이즈 CA를 사용하는 경우 엔터프라이즈 CA에서 보안 LDAP 인증서를 가져옵니다.
    • 공용 CA는 관리되는 작업과 함께 사용자 지정 DNS 이름을 사용하는 경우에만 작동합니다기본. DNS가 관리되는 do기본 이름기본 .onmicrosoft.com 끝나는 경우 이 기본값으로 연결을 보호하는 디지털 인증서를 만들 수 없습니다기본. Microsoft는 .onmicrosoft.com do기본 소유하므로 공용 CA는 인증서를 발급하지 않습니다. 이 시나리오에서는 자체 서명된 인증서를 만들고 이를 사용하여 보안 LDAP를 구성합니다.
  • 사용자가 직접 만든 자체 서명된 인증서
    • 이 방법은 테스트 목적에 적합하며 이 자습서에서 보여 줍니다.

요청하거나 만드는 인증서에서 충족해야 하는 요구 사항은 다음과 같습니다. 관리되는 do기본 잘못된 인증서로 보안 LDAP를 사용하도록 설정하면 문제가 발생합니다.

  • 신뢰할 수 있는 발급자 - 인증서는 보안 LDAP를 사용하여 관리되는 도메인에 연결하는 컴퓨터에서 신뢰하는 기관에서 발급된 것이어야 합니다. 이 기관은 이러한 컴퓨터에서 신뢰할 수 있는 퍼블릭 CA 또는 엔터프라이즈 CA일 수 있습니다.
  • 수명 - 인증서는 다음 3-6개월 이상 동안 유효해야 합니다. 관리되는 do기본 대한 보안 LDAP 액세스는 인증서가 만료되면 중단됩니다.
  • 주체 이름 - 인증서의 주체 이름은 관리되는 기본 합니다. 예를 들어 도메인 이름이 aaddscontoso.com인 경우 인증서의 주체 이름은 *.aaddscontoso.com이어야 합니다.
    • 보안 LDAP가 Domain Services에서 제대로 작동하려면 인증서의 DNS 이름 또는 주체 대체 이름이 와일드카드 인증서여야 합니다. 할기본 컨트롤러는 임의 이름을 사용하며 서비스를 다시 사용할 수 있도록 제거하거나 추가할 수 기본.
  • 키 사용 - 디지털 서명 및 키 암호화를 위해 인증서를 구성해야 합니다.
  • 인증서 목적 - 인증서는 TLS 서버 인증에 유효해야 합니다.

OpenSSL, Keytool, MakeCert , New-SelfSignedCertificate cmdlet 등과 같은 자체 서명된 인증서를 만드는 데 사용할 수 있는 몇 가지 도구가 있습니다.

이 자습서에서는 New-SelfSignedCertificate cmdlet을 사용하여 보안 LDAP에 대한 자체 서명된 인증서를 만들어 보겠습니다.

PowerShell 창을 관리istrator열고 다음 명령을 실행합니다. $dnsName 변수를 자체 관리되는 do기본 사용하는 DNS 이름(예: aaddscontoso.com)으로 바꿉다.

# Define your own DNS name used by your managed domain
$dnsName="aaddscontoso.com"

# Get the current date to set a one-year expiration
$lifetime=Get-Date

# Create a self-signed certificate for use with Azure AD DS
New-SelfSignedCertificate -Subject *.$dnsName `
  -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
  -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName

다음 예제 출력은 인증서가 성공적으로 생성되어 로컬 인증서 저장소(LocalMachine\MY)에 저장되었음을 보여줍니다.

PS C:\WINDOWS\system32> New-SelfSignedCertificate -Subject *.$dnsName `
>>   -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
>>   -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName.com

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\MY

Thumbprint                                Subject
----------                                -------
959BD1531A1E674EB09E13BD8534B2C76A45B3E6  CN=aaddscontoso.com

필요한 인증서 이해 및 내보내기

보안 LDAP를 사용하기 위해 네트워크 트래픽은 PKI(공개 키 인프라)를 사용하여 암호화됩니다.

  • 프라이빗 키는 관리되는 do기본 적용됩니다.
    • 이 프라이빗 키는 보안 LDAP 트래픽의 암호를 해독하는 데 사용됩니다. 프라이빗 키는 관리되는 do기본만 적용해야 하며 클라이언트 컴퓨터에 널리 배포되지 않아야 합니다.
    • 프라이빗 키가 포함된 인증서는 .를 사용합니다. PFX 파일 형식입니다.
    • 인증서를 내보낼 때 TripleDES-SHA1 암호화 알고리즘을 지정해야 합니다. 이는 .pfx 파일에만 적용되며 인증서 자체에서 사용되는 알고리즘에는 영향을 주지 않습니다. TripleDES-SHA1 옵션은 Windows Server 2016부터만 사용할 수 있습니다.
  • 공개 키는 클라이언트 컴퓨터에 적용됩니다.
    • 이 공개 키는 보안 LDAP 트래픽을 암호화하는 데 사용됩니다. 공개 키는 클라이언트 컴퓨터에 배포할 수 있습니다.
    • 프라이빗 키가 없는 인증서는 .를 사용합니다. CER 파일 형식입니다.

프라이빗 키와 퍼블릭 키인 이 두 키 는 적절한 컴퓨터만 서로 성공적으로 통신할 수 있는지 확인합니다. 공용 CA 또는 엔터프라이즈 CA를 사용하는 경우 프라이빗 키를 포함하고 관리되는 do기본 적용할 수 있는 인증서가 발급됩니다. 퍼블릭 키는 클라이언트 컴퓨터에서 이미 알고 있고 신뢰할 수 있어야 합니다.

이 자습서에서는 프라이빗 키를 사용하여 자체 서명된 인증서를 만들었으므로 적절한 프라이빗 및 퍼블릭 구성 요소를 내보내야 합니다.

Microsoft Entra Domain Services 인증서 내보내기

관리되는 do기본 이전 단계에서 만든 디지털 인증서를 사용하려면 인증서를 로 내보냅니다. 프라이빗 키를 포함하는 PFX 인증서 파일입니다.

  1. 실행 대화 상자를 열려면 Windows + R 키를 선택합니다.

  2. 실행 대화 상자에서 mmc를 입력하여 MMC(Microsoft Management Console)를 열고, 확인을 선택합니다.

  3. 사용자 계정 컨트롤 프롬프트에서 예를 선택하여 관리자 권한으로 MMC를 시작합니다.

  4. 파일 메뉴에서 스냅인 추가/제거...를 선택합니다.

  5. 인증서 스냅인 마법사에서 컴퓨터 계정, 다음을 차례로 선택합니다.

  6. 컴퓨터 선택 페이지에서 로컬 컴퓨터: (이 콘솔이 실행되고 있는 컴퓨터), 마침을 차례로 선택합니다.

  7. 스냅인 추가 또는 제거 대화 상자에서 확인을 선택하여 MMC에 인증서 스냅인을 추가합니다.

  8. MMC 창에서 콘솔 루트를 확장합니다. 인증서(로컬 컴퓨터)를 선택한 다음 개인 노드를 확장다음 인증서 노드를 펼칩니다.

    Open the personal certificates store in the Microsoft Management Console

  9. 이전 단계에서 만든 자체 서명된 인증서(예: aaddscontoso.com)가 표시됩니다. 이 인증서를 마우스 오른쪽 단추로 선택한 다음 모든 작업 > 내보내기...를 선택합니다.

    Export certificate in the Microsoft Management Console

  10. 인증서 내보내기 마법사에서 다음을 선택합니다.

  11. 인증서의 프라이빗 키를 내보내야 합니다. 프라이빗 키가 내보낸 인증서에 포함되지 않은 경우 관리되는 작업에 대해 보안 LDAP를 사용하도록 설정하는 작업이 실패합니다기본.

    프라이빗 키 내보내기 페이지에서 예, 프라이빗 키를 내보냅니다., 다음을 차례로 선택합니다.

  12. 관리되는 do기본s는 .. 프라이빗 키를 포함하는 PFX 인증서 파일 형식입니다. 인증서를 .로 내보내지 마세요. 프라이빗 키가 없는 CER 인증서 파일 형식입니다.

    파일 형식 내보내기 페이지에서 내보낸 인증서에 대한 파일 형식으로 개인 정보 교환 – PKCS #12(.PFX)를 선택합니다. 가능하면 인증 경로에 모든 인증서 포함 확인란을 선택합니다.

    Choose the option to export the certificate in the PKCS 12 (.PFX) file format

  13. 이 인증서는 데이터의 암호를 해독하는 데 사용되므로 액세스를 신중하게 제어해야 합니다. 암호를 사용하여 인증서 사용을 보호할 수 있습니다. 올바른 암호가 없으면 인증서를 서비스에 적용할 수 없습니다.

    보안 페이지에서 암호를 보호하려면 옵션을 선택합니다. PFX 인증서 파일입니다. 암호화 알고리즘은 TripleDES-SHA1이어야 합니다. 암호를 입력하고 확인한 다음, 다음을 선택합니다. 이 암호는 다음 섹션에서 관리되는 도메인에 보안 LDAP를 사용하도록 설정하는 데 사용됩니다.

    PowerShell export-pfxcertificate cmdlet을 사용하여 내보내는 경우 TripleDES_SHA1 사용하여 -CryptoAlgorithmOption 플래그를 전달해야 합니다.

    Screenshot of how to encrypt the password

  14. 내보낼 파일 페이지에서 인증서를 내보낼 파일 이름 및 위치를 지정합니다(예: C:\Users\<account-name>\azure-ad-ds.pfx.). 암호와 위치를 기록해 둡 이 정보는 다음 단계에서 필요하기 때문에 PFX 파일입니다.

  15. 검토 페이지에서 마침을 선택하여 인증서를 으로 내보냅니다. PFX 인증서 파일입니다. 인증서를 성공적으로 내보낼 때 확인 대화 상자가 표시됩니다.

  16. 다음 섹션에서 사용하기 위해 MMC를 열어 둡니다.

클라이언트 컴퓨터에 대한 인증서 내보내기

클라이언트 컴퓨터는 LDAPS를 사용하여 관리되는 do기본 성공적으로 연결할 수 있도록 보안 LDAP 인증서의 발급자를 신뢰해야 합니다. Domain Services에서 해독된 데이터를 성공적으로 암호화하려면 클라이언트 컴퓨터에 인증서가 필요합니다. 공용 CA를 사용하는 경우 컴퓨터는 이러한 인증서 발급자를 자동으로 신뢰하고 해당 인증서를 가져야 합니다.

이 자습서에서는 자체 서명된 인증서를 사용하고 이전 단계에서 프라이빗 키를 포함하는 인증서를 생성했습니다. 이제 자체 서명된 인증서를 내보내고 클라이언트 컴퓨터의 신뢰할 수 있는 인증서 저장소에 설치하겠습니다.

  1. MMC의 인증서(로컬 컴퓨터) > 개인 > 인증서 저장소로 돌아갑니다. 이전 단계에서 만든 자체 서명된 인증서(예: aaddscontoso.com)가 표시됩니다. 이 인증서를 마우스 오른쪽 단추로 선택한 다음 모든 작업 > 내보내기...를 선택합니다.

  2. 인증서 내보내기 마법사에서 다음을 선택합니다.

  3. 클라이언트에 대한 프라이빗 키가 필요하지 않으므로 프라이빗 키 내보내기 페이지에서 아니요, 프라이빗 키를 내보내지 않습니다., 다음을 차례로 선택합니다.

  4. 파일 형식 내보내기 페이지에서 Base-64로 인코딩된 X.509(를 선택합니다. CER)을 내보낸 인증서의 파일 형식으로 사용합니다.

    Choose the option to export the certificate in the Base-64 encoded X.509 (.CER) file format

  5. 내보낼 파일 페이지에서 인증서를 내보낼 파일 이름 및 위치를 지정합니다(예: C:\Users\<account-name>\azure-ad-ds-client.cer.).

  6. 검토 페이지에서 마침을 선택하여 인증서를 으로 내보냅니다. CER 인증서 파일입니다. 인증서를 성공적으로 내보낼 때 확인 대화 상자가 표시됩니다.

입니다. 이제 CER 인증서 파일을 관리되는 do기본 대한 보안 LDAP 연결을 신뢰해야 하는 클라이언트 컴퓨터에 배포할 수 있습니다. 로컬 컴퓨터에 인증서를 설치해 보겠습니다.

  1. 파일 탐색기 열고 저장한 위치로 찾습니다. CER 인증서 파일(예: C:\Users\<account-name>\azure-ad-ds-client.cer.

  2. 를 마우스 오른쪽에 선택합니다. CER 인증서 파일을 선택한 다음 인증서 설치를 선택합니다.

  3. 인증서 가져오기 마법사에서 로컬 컴퓨터에 인증서를 저장하도록 선택한 다음, 다음을 선택합니다.

    Choose the option to import the certificate into the local machine store

  4. 메시지가 표시되면 [예]를 선택하여 컴퓨터를 변경할 수 있습니다.

  5. 인증서 유형에 따라 인증서 저장소를 자동으로 선택한 다음, 다음을 선택합니다.

  6. 검토 페이지에서 마침을 선택하여 .를 가져옵니다. CER 인증서입니다. 인증서를 성공적으로 가져오면 확인 대화 상자가 표시됩니다.

Microsoft Entra Domain Services에 대한 보안 LDAP 사용

프라이빗 키를 포함하는 디지털 인증서를 만들고 내보내고 클라이언트 컴퓨터가 연결을 신뢰하도록 설정된 경우 이제 관리되는 작업에서 보안 LDAP를 사용하도록 설정합니다기본. 관리되는 do기본 보안 LDAP를 사용하도록 설정하려면 다음 구성 단계를 수행합니다.

  1. Microsoft Entra 관리 센터에서 리소스 검색 상자에 do기본 서비스를입력합니다. 검색 결과에서 Microsoft Entra Domain Services를 선택합니다.

  2. 관리되는 도메인(예: aaddscontoso.com)을 선택합니다.

  3. Microsoft Entra Domain Services 창 왼쪽에서 보안 LDAP를 선택합니다.

  4. 기본적으로 관리되는 do기본 대한 보안 LDAP 액세스는 사용하지 않도록 설정됩니다. 보안 LDAP사용으로 토글합니다.

  5. 관리되는 도메인에 대한 인터넷을 통한 보안 LDAP 액세스는 기본적으로 사용하지 않도록 설정됩니다. 공용 보안 LDAP 액세스를 사용하도록 설정하면 기본 인터넷을 통한 암호 무차별 암호 대입 공격에 취약합니다. 다음 단계에서는 필요한 원본 IP 주소 범위에 대한 액세스만 잠그도록 네트워크 보안 그룹이 구성됩니다.

    인터넷을 통해 보안 LDAP 액세스를 사용하도록 설정/해제합니다.

  6. 옆에 있는 폴더 아이콘을 선택합니다. 보안 LDAP 인증서가 있는 PFX 파일입니다. 의 경로를 찾습니다 . PFX 파일을 선택한 다음, 프라이빗 키를 포함하는 이전 단계에서 만든 인증서를 선택합니다.

    Important

    인증서 요구 사항에 대한 이전 섹션에서 설명한 것처럼 기본 .onmicrosoft.com 기본 공용 CA의 인증서를 사용할 수 없습니다. Microsoft는 .onmicrosoft.com do기본 소유하므로 공용 CA는 인증서를 발급하지 않습니다.

    인증서가 적절한 형식인지 확인합니다. 그렇지 않은 경우 Azure 플랫폼은 보안 LDAP를 사용하도록 설정할 때 인증서 유효성 검사 오류를 생성합니다.

  7. 암호를 입력하여 암호를 해독합니다. 인증서를 으로 내보낼 때 이전 단계에서 설정된 PFX 파일입니다. PFX 파일.

  8. 저장을 선택하여 보안 LDAP를 사용하도록 설정합니다.

    Enable secure LDAP for a managed domain in the Microsoft Entra admin center

관리되는 작업에 대해 보안 LDAP가 구성되고 있다는 알림이 표시됩니다기본. 이 작업이 완료될 때까지 관리되는 도메인에 대한 다른 설정은 수정할 수 없습니다.

관리되는 작업에 보안 LDAP를 사용하도록 설정하는 데 몇 분 정도 걸립니다기본. 제공한 보안 LDAP 인증서가 필요한 조건과 일치하지 않으면 관리되는 작업에 대해 보안 LDAP를 사용하도록 설정하는 작업이 실패합니다기본.

실패의 일반적인 이유는 do기본 이름이 올바르지 않거나, 인증서의 암호화 알고리즘이 TripleDES-SHA1이 아니거나, 인증서가 곧 만료되거나 이미 만료된 경우입니다. 유효한 매개 변수를 사용하여 인증서를 다시 만든 다음 이 업데이트된 인증서를 사용하여 보안 LDAP를 사용하도록 설정할 수 있습니다.

만료되는 인증서 변경

  1. 보안 LDAP용 인증서를 생성하는 단계에 따라 대체 보안 LDAP 인증서를 만듭니다.
  2. Domain Services에 대체 인증서를 적용하려면 Microsoft Entra 관리 센터의 Microsoft Entra Domain Services 왼쪽 메뉴에서 보안 LDAP를 선택한 후 인증서 변경을 선택합니다.
  3. 보안 LDAP를 사용하여 연결하는 모든 클라이언트에 인증서를 배포합니다.

인터넷을 통한 보안 LDAP 액세스 잠금

인터넷을 통해 관리되는 do기본 보안 LDAP 액세스를 사용하도록 설정하면 보안 위협이 발생합니다. 관리되는 do기본 TCP 포트 636의 인터넷에서 연결할 수 있습니다. 관리되는 도메인에 대한 액세스를 사용자 환경의 알려진 특정 IP 주소로 제한하는 것이 좋습니다. Azure 네트워크 보안 그룹 규칙을 사용하여 보안 LDAP에 대한 액세스를 제한할 수 있습니다.

지정된 IP 주소 집합에서 TCP 포트 636을 통해 인바운드 보안 LDAP 액세스를 허용하는 규칙을 만들어 보겠습니다. 우선 순위가 낮은 기본 DenyAll 규칙은 인터넷의 다른 모든 인바운드 트래픽에 적용되므로 보안 LDAP를 사용하여 지정된 주소만 관리되는 do기본 연결할 수 있습니다.

  1. Microsoft Entra 관리 센터에서 리소스 그룹을 검색하고 선택합니다.

  2. 리소스 그룹(예: myResourceGroup)을 선택한 다음, 네트워크 보안 그룹(aaads-nsg)을 선택합니다.

  3. 기존 인바운드 및 아웃바운드 보안 규칙 목록이 표시됩니다. 네트워크 보안 그룹 창의 왼쪽에서 설정 > 인바운드 보안 규칙을 선택합니다.

  4. 추가를 선택한 다음, TCP 포트 636을 허용하는 규칙을 만듭니다. 보안을 강화하려면 원본을 IP 주소선택한 다음 조직의 유효한 IP 주소 또는 범위를 지정합니다.

    설정
    원본 IP 주소
    원본 IP 주소/CIDR 범위 사용자 환경에 유효한 IP 주소 또는 범위
    원본 포트 범위 *
    대상 모두
    대상 포트 범위 636
    프로토콜 TCP
    작업 허용
    우선 순위 401
    이름 AllowLDAPS

  5. 준비가 되면 추가를 선택하여 규칙을 저장하고 적용합니다.

    Create a network security group rule to secure LDAPS access over the internet

외부 액세스를 위한 DNS 영역 구성

인터넷을 통해 보안 LDAP 액세스를 사용하도록 설정하면 클라이언트 컴퓨터에서 이 관리되는 작업을 찾을 수 있도록 DNS 영역을 업데이트합니다기본. 보안 LDAP 외부 IP 주소는 관리되는 작업에 대한 속성 탭에 나열됩니다기본.

View the secure LDAP external IP address for your managed domain in the Microsoft Entra admin center

외부 DNS 공급자를 구성하여 이 외부 IP 주소로 확인하도록 호스트 레코드(예: ldaps)를 만듭니다. 먼저 컴퓨터에서 로컬로 테스트하려면 Windows 호스트 파일에 항목을 만들 수 있습니다. 로컬 컴퓨터의 호스트 파일을 성공적으로 편집하려면 메모장을 관리자 권한으로 연 다음, C:\Windows\System32\drivers\etc\hosts 파일을 엽니다.

다음 예제 DNS 항목은 외부 DNS 공급자 또는 로컬 호스트 파일에서 다음의 168.62.205.103외부 IP 주소에 대한 ldaps.aaddscontoso.com 트래픽을 확인합니다.

168.62.205.103    ldaps.aaddscontoso.com

관리되는 do에 대한 쿼리를 테스트합니다기본

관리되는 do기본 연결하고 바인딩하고 LDAP를 검색하려면 LDP.exe 도구를 사용합니다. 이 도구는 RSAT(원격 서버 관리Istration Tools) 패키지에 포함되어 있습니다. 자세한 내용은 원격 서버 관리 도구 설치를 참조하세요.

  1. LDP.exe를 열고 관리되는 do기본 연결합니다. 연결, 연결...을 차례로 선택합니다.
  2. ldaps.aaddscontoso.com 같은 이전 단계에서 만든 관리되는 do기본 보안 LDAP DNS do기본 이름을 입력합니다. 보안 LDAP를 사용하려면 포트636으로 설정한 다음, SSL 확인란을 선택합니다.
  3. 확인을 선택하여 관리되는 도메인에 연결합니다.

다음으로, 관리되는 do기본 바인딩합니다. 관리되는 작업에서 NTLM 암호 해시 동기화를 사용하지 않도록 설정한 경우 사용자(및 서비스 계정)는 LDAP 단순 바인딩을 수행할 수 없습니다기본. NTLM 암호 해시 동기화를 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 관리되는 보안 작업을 참조하세요기본.

  1. 연결 메뉴 옵션, 바인딩...을 차례로 선택합니다.
  2. 관리되는 do기본 속한 사용자 계정의 자격 증명을 제공합니다. 사용자 계정의 암호를 입력한 다음 할 일기본(예: aaddscontoso.com)을 입력합니다.
  3. 바인딩 형식의 경우 자격 증명을 사용하여 바인딩 옵션을 선택합니다.
  4. 확인을 선택하여 관리되는 do기본 바인딩합니다.

관리되는 도메인에 저장된 개체를 확인하려면 다음을 수행합니다.

  1. 보기 메뉴 옵션을 선택한 다음 트리를 선택합니다.

  2. BaseDN 필드를 비워 두고 확인을 선택합니다.

  3. AADDC 사용자와 같은 컨테이너를 선택한 다음, 컨테이너를 마우스 오른쪽 으로 선택하고 검색을 선택합니다.

  4. 미리 채워진 필드를 설정한 상태로 둔 다음, 실행을 선택합니다. 쿼리 결과는 다음 예제 출력과 같이 오른쪽 창에 표시됩니다.

    Search for objects in your managed domain using LDP.exe

특정 컨테이너를 직접 쿼리하려면 보기 > 트리 메뉴에서 BaseDN(예: OU=AADDC Users,DC=AADDSCONTOSO,DC=COM 또는 OU=AADDC Computers,DC=AADDSCONTOSO,DC=COM)을 지정할 수 있습니다. 쿼리를 형식 지정하고 만드는 방법에 대한 자세한 내용은 LDAP 쿼리 기본 사항을 참조하세요.

참고 항목

자체 서명된 인증서를 사용하는 경우 LDAPS가 LDP.exe와 작동하도록 신뢰할 수 있는 루트 인증 기관에 자체 서명된 인증서를 추가해야 합니다.

리소스 정리

이 자습서의 연결을 테스트하기 위해 컴퓨터의 로컬 호스트 파일에 DNS 항목을 추가한 경우 이 항목을 제거하고 DNS 영역에 공식 레코드를 추가합니다. 로컬 호스트 파일에서 항목을 제거하려면 다음 단계를 수행합니다.

  1. 로컬 컴퓨터에서 관리자 권한으로 메모장 엽니다.
  2. C:\Windows\System32\drivers\etc\hosts 파일을 찾아 엽니다.
  3. 추가한 레코드의 줄을 삭제합니다(예: ). 168.62.205.103 ldaps.aaddscontoso.com

문제 해결

LDAP.exe가 연결할 수 없다는 오류가 표시되면 연결을 가져오는 다양한 측면을 시도해 보세요.

  1. 도메인 컨트롤러 구성
  2. 클라이언트 구성
  3. 네트워킹
  4. TLS 세션 설정

인증서 주체 이름 일치를 위해 DC는 Domain Services 도메인 이름(Microsoft Entra 도메인 이름이 아님)을 사용하여 해당 인증서 저장소에서 인증서를 검색합니다. 예를 들어 맞춤법 오류는 DC가 올바른 인증서를 선택하지 못하도록 합니다.

클라이언트는 사용자가 제공한 이름을 사용하여 TLS 연결을 설정하려고 시도합니다. 트래픽은 끝까지 통과해야 합니다. DC는 서버 인증 인증서의 공개 키를 보냅니다. 인증서에는 올바른 사용법이 있어야 하며, 주체 이름에 서명된 이름은 클라이언트가 서버가 연결하는 DNS 이름(즉, 와일드카드 작동하며 맞춤법 실수 없이 작동함)임을 신뢰하도록 클라이언트와 호환되어야 하며, 클라이언트는 발급자를 신뢰해야 합니다. 이벤트 뷰어 시스템 로그에서 해당 체인의 문제를 검사 원본이 Schannel과 같은 이벤트를 필터링할 수 있습니다. 이러한 조각이 배치되면 세션 키를 형성합니다.

자세한 내용은 TLS 핸드셰이크를 참조 하세요.

다음 단계

이 자습서에서는 다음 작업 방법을 알아보았습니다.

  • Microsoft Entra Domain Services에 사용할 디지털 인증서 만들기
  • Microsoft Entra Domain Services에 대한 보안 LDAP 사용
  • 공용 인터넷을 통해 사용할 보안 LDAP 구성
  • 관리되는 작업에 대해 보안 LDAP를 바인딩하고 테스트합니다기본

하이브리드 Microsoft Entra 환경에 대한 암호 해시 동기화 구성