다음을 통해 공유


자습서: Microsoft Entra Domain Services 관리되는 도메인 만들기 및 구성

Microsoft Entra Domain Services는 Windows Server Active Directory와 완벽하게 호환되는 도메인 가입, 그룹 정책, LDAP, Kerberos/NTLM 인증과 같은 관리되는 Domain Services를 제공합니다. 이러한 도메인 서비스는 도메인 컨트롤러를 직접 배포, 관리 및 패치하지 않고 사용할 수 있습니다. Domain Services는 기존 Microsoft Entra 테넌트와 통합됩니다. 이러한 통합을 통해 사용자는 회사 자격 증명을 사용하여 로그인할 수 있으며, 기존 그룹과 사용자 계정을 사용하여 리소스에 대한 액세스를 보호할 수 있습니다.

네트워킹 및 동기화를 위해 기본 구성 옵션을 사용하여 관리형 도메인을 만들거나 이러한 설정을 수동으로 정의할 수 있습니다. 이 자습서에서는 기본 옵션을 사용하여 Microsoft Entra 관리 센터를 통해 Domain Services 관리되는 도메인을 만들고 구성하는 방법을 보여 줍니다.

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

  • 관리형 도메인의 DNS 요구 사항 이해
  • 관리형 도메인 만들기
  • 암호 해시 동기화 사용

Azure 구독이 없는 경우 시작하기 전에 계정을 만드세요.

필수 조건

이 자습서를 완료하는 데 필요한 리소스와 권한은 다음과 같습니다.

Domain Services에는 필요하지 않지만 Microsoft Entra 테넌트에 대해서는 SSPR(셀프 서비스 암호 재설정)을 구성하는 것이 좋습니다. 사용자는 SSPR 없이 암호를 변경할 수 있지만 해당 암호를 잊어서 재설정해야 하는 경우 SSPR가 도움이 됩니다.

Important

관리되는 도메인을 만든 후에는 다른 구독, 리소스 그룹 또는 지역으로 이동할 수 없습니다. 관리되는 도메인을 배포할 때 가장 적절한 구독, 리소스 그룹 및 지역을 선택하도록 주의합니다.

Microsoft Entra 관리 센터에 로그인합니다.

이 자습서에서는 Microsoft Entra 관리 센터를 사용하여 관리되는 도메인을 만들고 구성합니다. 시작하려면 먼저 Microsoft Entra 관리 센터에 로그인합니다.

관리형 도메인 만들기

Microsoft Entra Domain Services 사용 마법사를 시작하려면 다음 단계를 완료합니다.

  1. Microsoft Entra 관리 센터 메뉴 또는 페이지에서 Domain Services를 검색한 다음 Microsoft Entra Domain Services를 선택합니다.

  2. Microsoft Entra Domain Services 페이지에서 Microsoft Entra Domain Services 만들기를 선택합니다.

    관리되는 도메인을 만드는 방법을 보여 주는 스크린샷.

  3. 관리되는 도메인을 만들려는 Azure 구독을 선택합니다.

  4. 관리되는 도메인이 속해야 하는 리소스 그룹을 선택합니다. 새로 만들기 또는 기존 리소스 그룹을 선택합니다.

관리되는 도메인을 만들 때 DNS 이름을 지정합니다. 이 DNS 이름을 선택할 때 고려해야 할 몇 가지 사항이 있습니다.

  • 기본 제공 도메인 이름: 기본적으로 디렉터리의 기본 제공 도메인 이름(.onmicrosoft.com 접미사)이 사용됩니다. 관리되는 도메인에 대한 인터넷을 통한 보안 LDAP 액세스를 사용하도록 설정하려면 이 기본 도메인과의 연결을 보호하기 위해 디지털 인증서를 만들 수 없습니다. Microsoft에서 .onmicrosoft.com 도메인을 소유하고 있으므로 CA(인증 기관)는 인증서를 발급하지 않습니다.
  • 사용자 지정 도메인 이름: 가장 일반적인 방식은 일반적으로 이미 소유하고 있고 라우팅 가능한 사용자 지정 도메인 이름을 지정하는 것입니다. 라우팅할 수 있는 사용자 지정 도메인을 사용하면 애플리케이션을 지원하는 데 필요한 트래픽이 올바르게 전달될 수 있습니다.
  • 라우팅할 수 없는 도메인 접미사: 일반적으로 contoso.local과 같이 라우팅할 수 없는 도메인 이름 접미사를 사용하지 않는 것이 좋습니다. .local 접미사는 라우팅할 수 없으며, DNS 확인에서 문제가 발생할 수 있습니다.

사용자 지정 도메인 이름을 만드는 경우 기존 DNS 네임스페이스를 주의해야 합니다. 지원되기는 하지만 기존 Azure 또는 온-프레미스 DNS 네임스페이스와는 별도의 도메인 이름을 사용할 수 있습니다.

예를 들어, 기존 DNS 네임스페이스가 contoso.com인 경우 사용자 지정 도메인 이름이 dscontoso.com인 관리되는 도메인을 만듭니다. 보안 LDAP을 사용해야 하는 경우 필요한 인증서를 생성하려면 이 사용자 지정 도메인 이름을 등록하고 소유해야 합니다.

환경의 다른 서비스에 대한 일부 추가 DNS 레코드를 만들거나 환경의 기존 DNS 네임스페이스 사이에 조건부 DNS 전달자를 만들어야 할 수 있습니다. 예를 들어 루트 DNS 이름을 사용 중인 사이트를 호스트하는 웹 서버를 실행하는 경우 추가 DNS 항목이 필요한 명명 충돌이 있을 수 있습니다.

이러한 자습서 및 방법 문서에서 dscontoso.com의 사용자 지정 도메인은 간단한 예로 사용됩니다. 모든 명령에서 사용자 고유의 도메인 이름을 지정하세요.

다음 DNS 이름 제한도 적용됩니다.

  • 도메인 접두사 제한 사항: 접두사가 15자보다 긴 관리되는 도메인을 만들 수 없습니다. 지정된 도메인 이름의 접두사(예: dscontoso.com 도메인 이름의 dscontoso)는 15자 이하여야 합니다.
  • 네트워크 이름 충돌: 관리되는 도메인의 DNS 도메인 이름은 가상 네트워크에 존재하지 않아야 합니다. 특히 이름 충돌이 발생할 수 있는 다음 시나리오를 확인하세요.
    • Azure 가상 네트워크에 동일한 DNS 도메인 이름의 Active Directory 도메인이 이미 있는 경우
    • 관리되는 도메인을 사용하도록 설정하려는 가상 네트워크에 온-프레미스 네트워크와의 VPN 연결이 있는 경우. 이 시나리오에서는 온-프레미스 네트워크에 동일한 DNS 도메인 이름을 가진 도메인이 없는지 확인합니다.
    • Azure 가상 네트워크에 해당 이름의 기존 Azure 클라우드 서비스가 있는 경우

관리되는 도메인을 만들려면 Microsoft Entra 관리 센터의 기본 사항 창에서 필드를 완료합니다.

  1. 이전 사항을 고려하여 관리되는 도메인의 DNS 도메인 이름을 입력합니다.

  2. 관리되는 도메인을 만들어야 하는 Azure 지역을 선택합니다. Azure 가용성 영역을 지원하는 지역을 선택하면 추가 중복성을 위해 Domain Services 리소스가 여러 영역에 분산됩니다.

    가용성 영역은 Azure 지역 내의 고유한 물리적 위치입니다. 각 영역은 독립된 전원, 냉각 및 네트워킹을 갖춘 하나 이상의 데이터 센터로 구성됩니다. 복원력을 보장하려면 활성화된 모든 지역에서 최소한 세 개의 별도 영역이 필요합니다.

    Domain Services가 여러 영역에 분산되도록 구성할 것은 없습니다. Azure 플랫폼은 리소스의 영역 배포를 자동으로 처리합니다. 자세한 내용을 보고 지역 가용성을 확인하려면 Azure에서 가용성 영역이란?을 참조하세요.

  3. SKU는 성능 및 백업 빈도를 결정합니다. 비즈니스 요구나 요구 사항이 변경되면 관리되는 도메인이 만들어진 후 SKU를 변경할 수 있습니다. 자세한 내용은 Domain Services SKU 개념을 참조하세요.

    이 자습서에서는 표준 SKU를 선택합니다. 기본 사항 창은 다음 스크린샷과 같아야 합니다.

    관리되는 도메인에 대한 기본 구성 페이지의 스크린샷.

관리되는 도메인을 신속하게 만들려면 검토 + 만들기를 선택하여 추가 기본 구성 옵션을 적용합니다. 이 만들기 옵션을 선택하면 다음과 같은 기본값이 구성됩니다.

  • 기본적으로 10.0.1.0/24의 IP 주소 범위를 사용하는 ds-vnet이라는 가상 네트워크를 만듭니다.
  • 10.0.1.0/24의 IP 주소 범위를 사용하여 ds-subnet이라는 서브넷을 만듭니다.
  • Microsoft Entra ID의 모든 사용자를 관리되는 도메인으로 동기화합니다.

참고 항목

다음의 문제들로 인해 가상 네트워크와 해당 서브넷에는 공용 IP 주소를 사용할 수 없습니다.

  • IP 주소 부족: IPv4 공용 IP 주소는 유한하므로, 수요량이 공급량을 초과하는 경우가 많습니다. 또한 공용 엔드포인트와 IP가 겹칠 수 있습니다.

  • 보안 위험: 가상 네트워크에 공용 IP를 사용하면 디바이스가 인터넷에 직접 노출되어 무단 액세스 및 잠재적 공격의 위험이 증가합니다. 적절한 보안 조치를 취하지 않는 경우 디바이스가 다양한 위협에 취약해질 수 있습니다.

  • 복잡성: 공용 IP를 사용하여 가상 네트워크를 관리하려면 외부 IP 범위를 처리하고 적절한 네트워크 구분 및 보안을 보장해야 하므로 개인 IP를 사용하는 것보다 더 복잡해질 수 있습니다.

개인 IP 주소를 사용하는 것이 훨씬 좋습니다. 공용 IP를 사용하는 경우, 선택한 공용 범위에서 선택한 IP의 소유자/전용 사용자인지 확인합니다.

검토 + 만들기를 선택하여 이러한 기본 구성 옵션을 적용합니다.

관리되는 도메인을 배포합니다.

마법사의 요약 페이지에서 관리되는 도메인의 구성 설정을 검토합니다. 임의의 마법사 단계로 돌아가서 변경할 수 있습니다. 이러한 구성 옵션을 사용하여 일관된 방식으로 관리되는 도메인을 다른 Microsoft Entra 테넌트에 다시 배포하려면 자동화용 템플릿을 다운로드할 수도 있습니다.

  1. 관리형 도메인을 만들려면 만들기를 선택합니다. 관리되는 Domain Services가 만들어지면 DNS 이름 또는 가상 네트워크와 같은 특정 구성 옵션을 변경할 수 없다는 메모가 표시됩니다. 계속하려면 확인을 선택합니다.

    관리되는 도메인에 대한 구성 옵션 스크린샷.

  2. 관리되는 도메인을 프로비전하는 프로세스는 최대 한 시간 정도 걸릴 수 있습니다. Domain Services 배포 진행률을 보여 주는 알림이 포털에 표시됩니다.

  3. 관리되는 도메인이 완전히 프로비전되면 개요 탭에 도메인 상태가 실행 중으로 표시됩니다. 가상 네트워크 및 네트워크 리소스 그룹과 같은 리소스에 대한 링크에 대한 배포 세부 정보를 확장합니다.

    관리되는 도메인에 대한 배포 세부 정보 스크린샷.

Important

관리되는 도메인은 Microsoft Entra 디렉터리와 연결되어 있습니다. 프로비전 프로세스 중에 Domain Services는 Microsoft Entra 디렉터리에 Domain Controller ServicesAzureActiveDirectoryDomainControllerServices라는 두 개의 엔터프라이즈 애플리케이션을 만듭니다. 이러한 Enterprise 애플리케이션은 관리되는 도메인을 제공하는 데 필요합니다. 이러한 애플리케이션을 삭제하지 마세요.

Azure 가상 네트워크에 대한 DNS 설정 업데이트

Domain Services가 성공적으로 배포되었으면 이제 연결된 다른 VM 및 애플리케이션이 관리되는 도메인을 사용할 수 있도록 가상 네트워크를 구성합니다. 이 연결을 제공하려면 관리되는 도메인이 배포된 두 개의 IP 주소를 가리키도록 가상 네트워크의 DNS 서버 설정을 업데이트합니다.

  1. 관리되는 도메인에 대한 개요 탭에는 몇 가지 필수 구성 단계가 표시됩니다. 첫 번째 구성 단계는 가상 네트워크에 대한 DNS 서버 설정을 업데이트하는 것입니다. DNS 설정이 올바르게 구성되면 이 단계가 더 이상 표시되지 않습니다.

    나열된 주소는 가상 네트워크에서 사용할 도메인 컨트롤러입니다. 다음 예제에서 해당 주소는 10.0.1.410.0.1.5입니다. 이러한 IP 주소는 나중에 속성 탭에서 확인할 수 있습니다.

    관리되는 도메인에 대한 개요 페이지의 스크린샷.

  2. 가상 네트워크에 대한 DNS 서버 설정을 업데이트하려면 구성 단추를 선택합니다. 가상 네트워크에 대한 DNS 설정이 자동으로 구성됩니다.

이전 단계에서 기존 가상 네트워크를 선택한 경우 네트워크에 연결된 모든 VM은 다시 시작한 후에만 새 DNS 설정을 가져옵니다. Microsoft Entra 관리 센터, Microsoft Graph PowerShell 또는 Azure CLI를 사용하여 VM을 다시 시작할 수 있습니다.

Domain Services에 대한 사용자 계정 사용

관리되는 도메인에서 사용자를 인증하려면 Domain Services에는 NTLM(NT LAN Manager) 및 Kerberos 인증에 적합한 형식의 암호 해시가 필요합니다. Microsoft Entra ID는 테넌트에 대해 Domain Services를 사용하도록 설정할 때까지 NTLM 또는 Kerberos 인증에 필요한 형식으로 암호 해시를 생성하거나 저장하지 않습니다. 보안상의 이유로 Microsoft Entra ID는 암호 자격 증명을 일반 텍스트 형식으로 저장하지 않습니다. 따라서 Microsoft Entra ID는 사용자의 기존 자격 증명을 기반으로 이러한 NTLM 또는 Kerberos 암호 해시를 자동으로 생성할 수 없습니다.

참고 항목

적절히 구성되면 사용 가능한 암호 해시가 관리되는 도메인에 저장됩니다. 관리되는 도메인을 삭제하면 해당 지점에 저장된 암호 해시도 모두 삭제됩니다.

Microsoft Entra ID의 동기화된 자격 증명 정보는 나중에 관리되는 도메인을 만드는 경우 다시 사용할 수 없습니다. 암호 해시를 다시 저장하려면 암호 해시 동기화를 다시 구성해야 합니다. 이전에 도메인에 조인된 VM 또는 사용자는 즉시 인증할 수 없습니다. Microsoft Entra ID는 새 관리되는 도메인에 암호 해시를 생성하고 저장해야 합니다.

Microsoft Entra Connect 클라우드 동기화는 Domain Services에서 지원되지 않습니다. 온-프레미스 사용자는 도메인에 조인된 VM에 액세스하려면 Microsoft Entra Connect를 사용하여 동기화해야 합니다. 자세한 내용은 Domain Services 및 Microsoft Entra Connect의 암호 해시 동기화 프로세스를 참조하세요.

이러한 암호 해시를 만들고 저장하는 단계는 Microsoft Entra ID에서 만들어진 클라우드 전용 사용자 계정과 Microsoft Entra Connect를 사용하여 온-프레미스 디렉터리에서 동기화된 사용자 계정에 대해 다릅니다.

클라우드 전용 사용자 계정은 Microsoft Entra 관리 센터 또는 PowerShell을 사용하여 Microsoft Entra 디렉터리에 만들어진 계정입니다. 이러한 사용자 계정은 온-프레미스 디렉터리에서 동기화되지 않습니다.

이 자습서에서는 기본 클라우드 전용 사용자 계정을 사용하겠습니다. Microsoft Entra Connect를 사용하는 데 필요한 추가 단계에 대한 자세한 내용은 온-프레미스 AD에서 관리되는 도메인으로 동기화된 사용자 계정의 암호 해시 동기화를 참조하세요.

Microsoft Entra 디렉터리에 클라우드 전용 사용자와 동기화된 사용자가 조합되어 있는 경우 두 단계를 모두 완료해야 합니다.

클라우드 전용 사용자 계정의 경우 사용자는 Domain Services를 사용하기 전에 암호를 변경해야 합니다. 이 암호 변경 프로세스로 인해 Kerberos 및 NTLM 인증을 위한 암호 해시가 생성되어 Microsoft Entra ID에 저장됩니다. 암호가 변경될 때까지 계정은 Microsoft Entra ID에서 Domain Services로 동기화되지 않습니다. Domain Services를 사용해야 하는 테넌트의 모든 클라우드 사용자에 대한 암호를 만료하여 다음 로그인 시 암호를 강제로 변경하도록 하거나 클라우드 사용자에게 암호를 수동으로 변경하도록 지시할 수 있습니다. 이 자습서에서는 사용자 암호를 수동으로 변경해 보겠습니다.

사용자가 암호를 초기화하려면 먼저 Microsoft Entra 테넌트를 셀프 서비스 암호 재설정용으로 구성해야 합니다.

클라우드 전용 사용자의 암호를 변경하려면 다음 단계를 수행해야 합니다.

  1. https://myapps.microsoft.com의 Microsoft Entra ID 액세스 패널 페이지로 이동합니다.

  2. 오른쪽 위 모서리에서 이름을 선택한 다음, 드롭다운 메뉴에서 프로필을 선택합니다.

    프로필을 선택하는 방법을 보여 주는 스크린샷.

  3. 프로필 페이지에서 암호 변경을 선택합니다.

  4. 암호 변경 페이지에서 기존(이전) 암호를 입력한 다음, 새 암호를 입력하고 확인합니다.

  5. 제출을 선택합니다.

Domain Services에서 새 암호를 사용하고 관리되는 도메인에 조인된 컴퓨터에 성공적으로 로그인하려면 암호를 변경한 후 몇 분 정도 걸립니다.

다음 단계

이 자습서에서는 다음 작업 방법을 알아보았습니다.

  • 관리형 도메인의 DNS 요구 사항 이해
  • 관리형 도메인 만들기
  • 도메인 관리에 관리자 추가
  • Domain Services에 대한 사용자 계정을 사용하도록 설정하고 암호 해시를 생성합니다.

VM을 도메인에 가입하고 관리되는 도메인을 사용하는 애플리케이션을 배포하기 전에, 애플리케이션 워크로드에 대한 Azure 가상 네트워크를 구성합니다.