자습서: 고급 구성 옵션을 사용하여 Microsoft Entra Domain Services 관리형 도메인 만들기 및 구성
Microsoft Entra Domain Services는 Windows Server Active Directory와 완벽하게 호환되는 도메인 가입, 그룹 정책, LDAP, Kerberos/NTLM 인증과 같은 관리되는 Domain Services를 제공합니다. 이러한 도메인 서비스는 도메인 컨트롤러를 직접 배포, 관리 및 패치하지 않고 사용할 수 있습니다. Domain Services는 기존 Microsoft Entra 테넌트와 통합됩니다. 이러한 통합을 통해 사용자는 회사 자격 증명을 사용하여 로그인할 수 있으며, 기존 그룹과 사용자 계정을 사용하여 리소스에 대한 액세스를 보호할 수 있습니다.
네트워킹 및 동기화를 위해 기본 구성 옵션을 사용하여 관리형 도메인을 만들거나 이러한 설정을 수동으로 정의할 수 있습니다. 이 자습서에서는 Microsoft Entra 관리 센터를 사용하여 Domain Services 관리되는 도메인을 만들고 구성하기 위한 고급 구성 옵션을 정의하는 방법을 보여 줍니다.
이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.
- 관리되는 도메인에 대한 DNS 및 가상 네트워크 설정 구성
- 관리형 도메인 만들기
- 도메인 관리에 관리자 추가
- 암호 해시 동기화 사용
Azure 구독이 없는 경우 시작하기 전에 계정을 만드세요.
필수 조건
이 자습서를 완료하는 데 필요한 리소스와 권한은 다음과 같습니다.
- 활성화된 Azure 구독.
- Azure 구독이 없는 경우 계정을 만듭니다.
- 온-프레미스 디렉터리 또는 클라우드 전용 디렉터리와 동기화되어 구독과 연결된 Microsoft Entra 테넌트.
- Domain Services를 사용하도록 설정하려면 테넌트에 애플리케이션 관리자 및 그룹 관리자 Microsoft Entra 역할이 필요합니다.
- 필요한 Domain Services 리소스를 만들려면 Domain Services 기여자 Azure 역할이 필요합니다.
Domain Services에는 필요하지 않지만 Microsoft Entra 테넌트에 대해서는 SSPR(셀프 서비스 암호 재설정)을 구성하는 것이 좋습니다. 사용자는 SSPR 없이 암호를 변경할 수 있지만 해당 암호를 잊어서 재설정해야 하는 경우 SSPR가 도움이 됩니다.
Important
관리되는 도메인을 만든 후에는 다른 구독, 리소스 그룹 또는 지역으로 이동할 수 없습니다. 관리되는 도메인을 배포할 때 가장 적절한 구독, 리소스 그룹 및 지역을 선택하도록 주의합니다.
Microsoft Entra 관리 센터에 로그인합니다.
이 자습서에서는 Microsoft Entra 관리 센터를 사용하여 관리되는 도메인을 만들고 구성합니다. 시작하려면 먼저 Microsoft Entra 관리 센터에 로그인합니다.
관리되는 도메인 만들기 및 기본 설정 구성
Microsoft Entra Domain Services 사용 마법사를 시작하려면 다음 단계를 완료합니다.
- Microsoft Entra 관리 센터 메뉴 또는 홈 페이지에서 리소스 만들기를 선택합니다.
- 검색 창에 Domain Services를 입력한 다음 검색 제안에서 Microsoft Entra Domain Services를 선택합니다.
- Microsoft Entra Domain Services 페이지에서 만들기를 선택합니다. Microsoft Entra Domain Services 사용 마법사가 시작됩니다.
- 관리되는 도메인을 만들려는 Azure 구독을 선택합니다.
- 관리되는 도메인이 속해야 하는 리소스 그룹을 선택합니다. 새로 만들기 또는 기존 리소스 그룹을 선택합니다.
관리되는 도메인을 만들 때 DNS 이름을 지정합니다. 이 DNS 이름을 선택할 때 고려해야 할 몇 가지 사항이 있습니다.
- 기본 제공 도메인 이름: 기본적으로 디렉터리의 기본 제공 도메인 이름(.onmicrosoft.com 접미사)이 사용됩니다. 관리되는 도메인에 대한 인터넷을 통한 보안 LDAP 액세스를 사용하도록 설정하려면 이 기본 도메인과의 연결을 보호하기 위해 디지털 인증서를 만들 수 없습니다. Microsoft에서 .onmicrosoft.com 도메인을 소유하고 있으므로 CA(인증 기관)는 인증서를 발급하지 않습니다.
- 사용자 지정 도메인 이름: 가장 일반적인 방식은 일반적으로 이미 소유하고 있고 라우팅 가능한 사용자 지정 도메인 이름을 지정하는 것입니다. 라우팅할 수 있는 사용자 지정 도메인을 사용하면 애플리케이션을 지원하는 데 필요한 트래픽이 올바르게 전달될 수 있습니다.
- 라우팅할 수 없는 도메인 접미사: 일반적으로 contoso.local과 같이 라우팅할 수 없는 도메인 이름 접미사를 사용하지 않는 것이 좋습니다. .local 접미사는 라우팅할 수 없으며, DNS 확인에서 문제가 발생할 수 있습니다.
팁
사용자 지정 도메인 이름을 만드는 경우 기존 DNS 네임스페이스를 주의해야 합니다. 기존 Azure 또는 온-프레미스 DNS 네임스페이스와 별도의 도메인 이름을 사용하는 것이 좋습니다.
예를 들어 기존 DNS 네임스페이스가 contoso.com인 경우 사용자 지정 도메인 이름이 aaddscontoso.com인 관리되는 도메인을 만듭니다. 보안 LDAP을 사용해야 하는 경우 필요한 인증서를 생성하려면 이 사용자 지정 도메인 이름을 등록하고 소유해야 합니다.
환경의 다른 서비스에 대한 일부 추가 DNS 레코드를 만들거나 환경의 기존 DNS 네임스페이스 사이에 조건부 DNS 전달자를 만들어야 할 수 있습니다. 예를 들어 루트 DNS 이름을 사용 중인 사이트를 호스트하는 웹 서버를 실행하는 경우 추가 DNS 항목이 필요한 명명 충돌이 있을 수 있습니다.
이러한 자습서 및 방법 문서에서는 aaddscontoso.com의 사용자 지정 도메인이 간단한 예제로 사용됩니다. 모든 명령에서 사용자 고유의 도메인 이름을 지정하세요.
다음 DNS 이름 제한도 적용됩니다.
- 도메인 접두사 제한 사항: 접두사가 15자보다 긴 관리되는 도메인을 만들 수 없습니다. 지정한 도메인 이름의 접두사(예: aaddscontoso.com 도메인 이름의 aaddscontoso)는 15자 이하여야 합니다.
- 네트워크 이름 충돌: 관리되는 도메인의 DNS 도메인 이름은 가상 네트워크에 존재하지 않아야 합니다. 특히 이름 충돌이 발생할 수 있는 다음 시나리오를 확인하세요.
- Azure 가상 네트워크에 동일한 DNS 도메인 이름의 Active Directory 도메인이 이미 있는 경우
- 관리되는 도메인을 사용하도록 설정하려는 가상 네트워크에 온-프레미스 네트워크와의 VPN 연결이 있는 경우. 이 시나리오에서는 온-프레미스 네트워크에 동일한 DNS 도메인 이름을 가진 도메인이 없는지 확인합니다.
- Azure 가상 네트워크에 해당 이름의 기존 Azure 클라우드 서비스가 있는 경우
관리되는 도메인을 만들려면 Microsoft Entra 관리 센터의 기본 사항 창에서 필드를 완료합니다.
이전 사항을 고려하여 관리되는 도메인의 DNS 도메인 이름을 입력합니다.
관리되는 도메인을 만들어야 하는 Azure 위치를 선택합니다. 가용성 영역을 지원하는 지역을 선택하면 추가 중복성을 위해 Domain Services 리소스가 여러 영역에 분산됩니다.
팁
가용성 영역은 Azure 지역 내의 고유한 물리적 위치입니다. 각 영역은 독립된 전원, 냉각 및 네트워킹을 갖춘 하나 이상의 데이터 센터로 구성됩니다. 복원력을 보장하려면 활성화된 모든 지역에서 최소한 세 개의 별도 영역이 필요합니다.
Domain Services가 여러 영역에 분산되도록 구성할 것은 없습니다. Azure 플랫폼은 리소스의 영역 배포를 자동으로 처리합니다. 자세한 내용을 보고 지역 가용성을 확인하려면 Azure에서 가용성 영역이란?을 참조하세요.
SKU는 성능 및 백업 빈도를 결정합니다. 비즈니스 요구나 요구 사항이 변경되면 관리되는 도메인이 만들어진 후 SKU를 변경할 수 있습니다. 자세한 내용은 Domain Services SKU 개념을 참조하세요.
이 자습서에서는 표준 SKU를 선택합니다.
포리스트는 Active Directory Domain Services에서 하나 이상의 도메인을 그룹화하는 데 사용되는 논리적 구문입니다.
추가 옵션을 수동으로 구성하려면 다음 - 네트워킹를 선택합니다. 또는 검토 + 만들기를 선택하여 기본 구성 옵션을 적용한 다음, 관리형 도메인 배포 섹션으로 건너뜁니다. 이 만들기 옵션을 선택하면 다음과 같은 기본값이 구성됩니다.
- IP 주소 범위 10.0.1.0/24를 사용하는 aadds-vnet이라는 가상 네트워크를 만듭니다.
- IP 주소 범위 10.0.1.0/24를 사용하는 aadds-subnet이라는 서브넷을 만듭니다.
- Microsoft Entra ID의 모든 사용자를 관리되는 도메인으로 동기화합니다.
가상 네트워크 만들기 및 구성
연결을 제공하려면 Azure 가상 네트워크와 전용 서브넷이 필요합니다. 이 가상 네트워크 서브넷에서 Domain Services를 사용하도록 설정되었습니다. 이 자습서에서는 가상 네트워크를 만들지만 기존 가상 네트워크를 사용하도록 대신 선택할 수 있습니다. 두 방법 중 어느 것이든 Domain Services에서 사용할 전용 서브넷을 만들어야 합니다.
이 전용 가상 네트워크 서브넷에 대한 몇 가지 고려 사항은 다음과 같습니다.
- Domain Services 리소스를 지원하려면 서브넷의 주소 범위에 사용 가능한 IP 주소가 3-5개 이상 있어야 합니다.
- Domain Services를 배포하기 위한 게이트웨이 서브넷을 선택하지 않습니다. Domain Services를 게이트웨이 서브넷에 배포하는 것은 지원되지 않습니다.
- 다른 가상 머신을 서브넷에 배포하지 않습니다. 애플리케이션과 VM에서 네트워크 보안 그룹을 사용하여 연결을 보호하는 경우가 많습니다. 별도의 서브넷에서 이러한 워크로드를 실행하면 관리되는 도메인에 대한 연결을 방해하지 않고 해당 네트워크 보안 그룹을 적용할 수 있습니다.
가상 네트워크를 계획하고 구성하는 방법에 대한 자세한 내용은 Microsoft Entra Domain Services에 대한 네트워킹 고려 사항을 참조하세요.
네트워크 창의 필드를 다음과 같이 완성합니다.
네트워크 페이지의 드롭다운 메뉴에서 Domain Services를 배포할 가상 네트워크를 선택하거나 새로 만들기를 선택합니다.
- 가상 네트워크를 만들기로 선택하는 경우 가상 네트워크 이름(예: myVnet)을 입력한 다음, 주소 범위(예: 10.0.1.0/24)를 입력합니다.
- DomainServices와 같이 이름이 명확한 전용 서브넷을 만듭니다. 주소 범위(예: 10.0.1.0/24)를 입력합니다.
개인 IP 주소 범위 내의 주소 범위를 선택해야 합니다. 퍼블릭 주소 공간에 있는 IP 주소 범위를 소유하지 않으면 Domain Services 내에서 오류가 발생합니다.
DomainServices와 같은 가상 네트워크 서브넷을 선택합니다.
준비되면 다음 - 관리를 선택합니다.
관리 그룹 구성
AAD DC Administrators라는 특수 관리 그룹은 Domain Services 도메인을 관리하는 데 사용됩니다. 이 그룹의 멤버에게는 관리되는 도메인에 조인된 VM에 대한 관리자 권한이 부여됩니다. 도메인 조인 VM에서 이 그룹은 로컬 관리자 그룹에 추가됩니다. 또한 이 그룹의 멤버는 원격 데스크톱을 사용하여 도메인 조인 VM에 원격으로 연결할 수 있습니다.
Important
Domain Services를 사용하는 관리되는 도메인에 대한 도메인 관리자 또는 엔터프라이즈 관리자 권한이 없습니다. 이러한 권한은 서비스에서 예약하며 테넌트 내의 사용자가 사용할 수 없습니다.
대신 AAD DC Administrators 그룹을 사용하면 일부 권한 있는 작업을 수행할 수 있습니다. 이러한 작업에는 도메인 조인 VM의 관리 그룹에 할당 및 그룹 정책 구성이 포함됩니다.
마법사는 AAD DC Administrators 그룹을 Microsoft Entra 디렉터리에 자동으로 만듭니다. Microsoft Entra 디렉터리에 이 이름 가진 기존 그룹이 있는 경우 마법사는 이 그룹을 선택합니다. 필요에 따라 배포 프로세스 중에 추가 사용자를 이 AAD DC Administrators 그룹에 추가하도록 선택할 수 있습니다. 이러한 단계는 나중에 수행할 수 있습니다.
추가 사용자를 이 AAD DC Administrators 그룹에 추가하려면 그룹 멤버 자격 관리를 선택합니다.
멤버 추가 단추를 선택한 다음, Microsoft Entra 디렉터리에서 사용자를 검색하여 선택합니다. 예를 들어 자신의 계정을 검색하여 AAD DC Administrators 그룹에 추가합니다.
필요한 경우 관리되는 도메인에 주의가 필요한 경고가 있을 때 알림을 받을 수신자를 변경하거나 추가합니다.
준비되면 다음 - 동기화를 선택합니다.
동기화 구성
Domain Services를 사용하면 Microsoft Entra ID에서 사용할 수 있는 모든 사용자 및 그룹을 동기화하거나 특정 그룹의 범위 동기화를 수행할 수 있습니다. 지금 동기화 범위를 변경하거나 관리되는 도메인이 배포된 후에 변경할 수 있습니다. 자세한 내용은 Microsoft Entra Domain Services 범위가 지정된 동기화를 참조하세요.
이 자습서에서는 사용자 및 그룹을 모두 동기화하도록 선택합니다. 이 동기화 선택은 기본 옵션입니다.
검토 + 만들기를 선택합니다.
관리되는 도메인을 배포합니다.
마법사의 요약 페이지에서 관리되는 도메인의 구성 설정을 검토합니다. 임의의 마법사 단계로 돌아가서 변경할 수 있습니다. 이러한 구성 옵션을 사용하여 일관된 방식으로 관리되는 도메인을 다른 Microsoft Entra 테넌트에 다시 배포하려면 자동화용 템플릿을 다운로드할 수도 있습니다.
관리형 도메인을 만들려면 만들기를 선택합니다. 관리되는 Domain Services가 만들어지면 DNS 이름 또는 가상 네트워크와 같은 특정 구성 옵션을 변경할 수 없다는 메모가 표시됩니다. 계속하려면 확인을 선택합니다.
관리되는 도메인을 프로비전하는 프로세스는 최대 한 시간 정도 걸릴 수 있습니다. Domain Services 배포 진행률을 보여 주는 알림이 포털에 표시됩니다. 알림을 선택하여 자세한 배포 진행 상황을 확인합니다.
리소스 그룹(예: myResourceGroup)을 선택한 다음, Azure 리소스 목록에서 관리되는 도메인(예: aaddscontoso.com)을 선택합니다. 개요 탭에서 관리되는 도메인이 현재 배포 중임을 보여 줍니다. 관리되는 도메인은 완전히 프로비저닝될 때까지 구성할 수 없습니다.
관리되는 도메인이 완전히 프로비전되면 개요 탭에 도메인 상태가 실행 중으로 표시됩니다.
Important
관리되는 도메인은 Microsoft Entra 테넌트와 연결되어 있습니다. 프로비전 프로세스 중에 Domain Services는 Microsoft Entra 테넌트에 Domain Controller Services 및 AzureActiveDirectoryDomainControllerServices라는 두 개의 엔터프라이즈 애플리케이션을 만듭니다. 이러한 Enterprise 애플리케이션은 관리되는 도메인을 제공하는 데 필요합니다. 이러한 애플리케이션을 삭제하지 마세요.
Azure 가상 네트워크에 대한 DNS 설정 업데이트
Domain Services가 성공적으로 배포되었으면 이제 연결된 다른 VM 및 애플리케이션이 관리되는 도메인을 사용할 수 있도록 가상 네트워크를 구성합니다. 이 연결을 제공하려면 관리되는 도메인이 배포된 두 개의 IP 주소를 가리키도록 가상 네트워크의 DNS 서버 설정을 업데이트합니다.
관리되는 도메인에 대한 개요 탭에는 몇 가지 필수 구성 단계가 표시됩니다. 첫 번째 구성 단계는 가상 네트워크에 대한 DNS 서버 설정을 업데이트하는 것입니다. DNS 설정이 올바르게 구성되면 이 단계가 더 이상 표시되지 않습니다.
나열된 주소는 가상 네트워크에서 사용할 도메인 컨트롤러입니다. 다음 예제에서 해당 주소는 10.0.1.4 및 10.0.1.5입니다. 이러한 IP 주소는 나중에 속성 탭에서 확인할 수 있습니다.
가상 네트워크에 대한 DNS 서버 설정을 업데이트하려면 구성 단추를 선택합니다. 가상 네트워크에 대한 DNS 설정이 자동으로 구성됩니다.
팁
이전 단계에서 기존 가상 네트워크를 선택한 경우 네트워크에 연결된 모든 VM은 다시 시작한 후에만 새 DNS 설정을 가져옵니다. Microsoft Entra 관리 센터, Microsoft Graph PowerShell 또는 Azure CLI를 사용하여 VM을 다시 시작할 수 있습니다.
Domain Services에 대한 사용자 계정 사용
관리되는 도메인에서 사용자를 인증하려면 Domain Services에는 NTLM(NT LAN Manager) 및 Kerberos 인증에 적합한 형식의 암호 해시가 필요합니다. Microsoft Entra ID는 테넌트에 대해 Domain Services를 사용하도록 설정할 때까지 NTLM 또는 Kerberos 인증에 필요한 형식으로 암호 해시를 생성하거나 저장하지 않습니다. 보안상의 이유로 Microsoft Entra ID는 암호 자격 증명을 일반 텍스트 형식으로 저장하지 않습니다. 따라서 Microsoft Entra ID는 사용자의 기존 자격 증명을 기반으로 이러한 NTLM 또는 Kerberos 암호 해시를 자동으로 생성할 수 없습니다.
참고 항목
적절히 구성되면 사용 가능한 암호 해시가 관리되는 도메인에 저장됩니다. 관리되는 도메인을 삭제하면 해당 지점에 저장된 암호 해시도 모두 삭제됩니다.
Microsoft Entra ID의 동기화된 자격 증명 정보는 나중에 관리되는 도메인을 만드는 경우 다시 사용할 수 없습니다. 암호 해시를 다시 저장하려면 암호 해시 동기화를 다시 구성해야 합니다. 이전에 도메인에 조인된 VM 또는 사용자는 즉시 인증할 수 없습니다. Microsoft Entra ID는 새 관리되는 도메인에 암호 해시를 생성하고 저장해야 합니다.
자세한 내용은 Domain Services 및 Microsoft Entra Connect의 암호 해시 동기화 프로세스를 참조하세요.
이러한 암호 해시를 만들고 저장하는 단계는 Microsoft Entra ID에서 만들어진 클라우드 전용 사용자 계정과 Microsoft Entra Connect를 사용하여 온-프레미스 디렉터리에서 동기화된 사용자 계정에 대해 다릅니다.
클라우드 전용 사용자 계정은 Microsoft Entra 관리 센터 또는 Microsoft Graph PowerShell cmdlet을 사용하여 Microsoft Entra 디렉터리에 만들어진 계정입니다. 이러한 사용자 계정은 온-프레미스 디렉터리에서 동기화되지 않습니다.
이 자습서에서는 기본 클라우드 전용 사용자 계정을 사용하겠습니다. Microsoft Entra Connect를 사용하는 데 필요한 추가 단계에 대한 자세한 내용은 온-프레미스 AD에서 관리되는 도메인으로 동기화된 사용자 계정의 암호 해시 동기화를 참조하세요.
팁
Microsoft Entra 테넌트에 클라우드 전용 사용자와 온-프레미스 AD의 사용자 조합이 있는 경우 두 단계를 모두 완료해야 합니다.
클라우드 전용 사용자 계정의 경우 사용자는 Domain Services를 사용하기 전에 암호를 변경해야 합니다. 이 암호 변경 프로세스로 인해 Kerberos 및 NTLM 인증을 위한 암호 해시가 생성되어 Microsoft Entra ID에 저장됩니다. 암호가 변경될 때까지 계정은 Microsoft Entra ID에서 Domain Services로 동기화되지 않습니다. Domain Services를 사용해야 하는 테넌트의 모든 클라우드 사용자에 대한 암호를 만료하여 다음 로그인 시 암호를 강제로 변경하도록 하거나 클라우드 사용자에게 암호를 수동으로 변경하도록 지시할 수 있습니다. 이 자습서에서는 사용자 암호를 수동으로 변경해 보겠습니다.
사용자가 암호를 초기화하려면 먼저 Microsoft Entra 테넌트를 셀프 서비스 암호 재설정용으로 구성해야 합니다.
클라우드 전용 사용자의 암호를 변경하려면 다음 단계를 수행해야 합니다.
https://myapps.microsoft.com의 Microsoft Entra ID 액세스 패널 페이지로 이동합니다.
오른쪽 위 모서리에서 이름을 선택한 다음, 드롭다운 메뉴에서 프로필을 선택합니다.
프로필 페이지에서 암호 변경을 선택합니다.
암호 변경 페이지에서 기존(이전) 암호를 입력한 다음, 새 암호를 입력하고 확인합니다.
제출을 선택합니다.
Domain Services에서 새 암호를 사용하고 관리되는 도메인에 조인된 컴퓨터에 성공적으로 로그인하려면 암호를 변경한 후 몇 분 정도 걸립니다.
다음 단계
이 자습서에서는 다음 작업 방법을 알아보았습니다.
- 관리되는 도메인에 대한 DNS 및 가상 네트워크 설정 구성
- 관리형 도메인 만들기
- 도메인 관리에 관리자 추가
- Domain Services에 대한 사용자 계정을 사용하도록 설정하고 암호 해시를 생성합니다.
이 관리되는 도메인이 작동하는지 확인하려면 가상 머신을 만들어 도메인에 조인시킵니다.