Microsoft Entra Domain Services에 대한 FAQ(자주 묻는 질문)

아니요. 단일 Microsoft Entra 디렉터리에 Microsoft Entra Domain Services에서 제공하는 단일 관리되는 도메인만 만들 수 있습니다.

클래식 가상 네트워크는 지원되지 않습니다.

자세한 내용은 공식 사용 중단 알림을 참조하세요.

예. Azure Resource Manager 가상 네트워크에서 Microsoft Entra Domain Services를 사용할 수 있습니다. 관리되는 도메인을 만들 때, 더 이상 클래식 Azure 가상 네트워크를 사용할 수 없습니다.

예. 자세한 내용은 Azure CSP 구독에서 Microsoft Entra Domain Services를 활성화하는 방법을 참조하세요.

서비스 자체는 해당 시나리오를 직접 지원하지 않습니다. 관리되는 도메인은 한 번에 하나의 가상 네트워크에서만 사용할 수 있습니다. 그러나 Microsoft Entra Domain Services를 다른 가상 네트워크에 노출하기 위해 여러 가상 네트워크 간의 연결을 구성할 수 있습니다. 자세한 내용은 가상 네트워크 피어링 또는 VPN Gateway를 사용하여 Azure 내 가상 네트워크를 연결하는 방법을 참조하세요.

아니요. Microsoft Entra Domain Services에서 제공하는 도메인은 관리되는 도메인입니다. 해당 도메인에 대해 도메인 컨트롤러를 프로비저닝, 구성, 관리하지 않아도 됩니다. 해당 관리 활동은 Microsoft에서 서비스로 제공합니다. 따라서 관리형 도메인에 대한 추가 도메인 컨트롤러(읽기-쓰기 또는 읽기 전용)를 추가할 수 없습니다.

예. 관리되는 도메인과 동일한 네임스페이스 및 구성을 공유하는 복제본 세트를 만들 수 있습니다. Domain Services를 지원하는 모든 Azure 지역의 피어링된 가상 네트워크에 복제본 세트를 추가할 수 있습니다.
자세한 내용은 Microsoft Entra Domain Services에 대한 복제본 세트 개념 및 기능을 참조하세요.

아니요. NTLM 또는 Kerberos를 통해 사용자를 인증하려면 Microsoft Entra Domain Services가 사용자 계정의 비밀번호 해시에 액세스해야 합니다. 페더레이션 디렉터리에서는 비밀번호 해시가 Microsoft Entra 디렉터리에 저장되지 않습니다. 따라서 Microsoft Entra Domain Services는 이러한 Microsoft Entra 디렉터리에서 작동하지 않습니다.

그러나 암호 해시 동기화를 위해 Microsoft Entra Connect를 사용하는 경우 비밀번호 해시 값이 Microsoft Entra ID에 저장되므로 Microsoft Entra Domain Services를 사용할 수 있습니다.

예. 자세한 내용은 PowerShell을 사용하여 Microsoft Entra Domain Services를 활성화하는 방법을 참조하세요.

예, Resource Manager 템플릿을 사용하여 Microsoft Entra Domain Services 관리되는 도메인을 만들 수 있습니다. 템플릿을 배포하기 전에 Microsoft Entra 관리 센터 또는 PowerShell을 사용하여 관리를 위한 서비스 사용자 및 Microsoft Entra 그룹을 만들어야 합니다. Microsoft Entra 관리 센터에서 Microsoft Entra Domain Services 관리되는 도메인을 만드는 경우 다른 배포와 함께 사용할 템플릿을 내보낼 수도 있습니다. 자세한 내용은 Azure Resource Manager 템플릿을 사용하여 Domain Services 관리되는 도메인 만들기를 참조하세요.

아니요. Microsoft Entra B2B 초대 프로세스를 사용하여 Microsoft Entra 디렉터리에 초대된 게스트 사용자는 Microsoft Entra Domain Services 관리되는 도메인과 동기화됩니다. 그러나 해당 사용자의 비밀번호는 Microsoft Entra 디렉터리에 저장되지 않습니다. 따라서 Microsoft Entra Domain Services는 해당 사용자의 NTLM 및 Kerberos 해시를 관리되는 도메인과 동기화할 방법이 없습니다. 해당 사용자는 관리되는 도메인에 로그인하거나 컴퓨터를 관리되는 도메인에 참가할 수 없습니다.

예, 양방향 트러스트를 만들 수 있습니다. 사용자 인증 및 액세스에 대한 다양한 시나리오를 지원하기 위해 단방향 발신 트러스트 또는 단방향 수신 트러스트를 만들 수도 있습니다. 자세한 내용은 포리스트 트러스트 만들기를 참조하세요.

Domain Services는 현재 포리스트 트러스트만 지원하고 외부 도메인 트러스트는 지원하지 않습니다.

Domain Services 관리되는 도메인을 만든 후에는 이를 다른 구독, 리소스 그룹 또는 하위 지역으로 이동할 수 없습니다. 하위 지역을 변경하려면 마이그레이션하려는 지역에 새 복제본 세트를 배포하는 것이 가능한 해결 방법입니다. 완료되면 더 이상 원하지 않는 하위 지역의 복제본 세트를 삭제합니다. 나머지 설정에 대한 해결 방법으로 PowerShell 또는 Microsoft Entra 관리 센터를 사용하여 관리되는 도메인을 삭제 하고 원하는 설정으로 다시 만들 수 있습니다. 관리되는 도메인을 다시 만드는 동안에는 복원 작업을 제공할 수 없습니다.

아니요. Microsoft Entra Domain Services 관리되는 도메인을 만든 후에는 DNS 도메인 이름을 변경할 수 없습니다. 관리되는 도메인을 만들 때 DNS 도메인 이름을 신중하게 선택합니다. DNS 도메인 이름을 선택할 때 고려해야 할 사항은 Microsoft Entra Domain Services 관리되는 도메인을 만들고 구성하는 자습서를 참조하세요.

예. 각 Microsoft Entra Domain Services 관리되는 도메인에는 두 개의 도메인 컨트롤러가 포함됩니다. 해당 도메인 컨트롤러는 관리되는 서비스의 일부이므로 관리하거나 연결하지 않아도 됩니다. 가용성 영역을 지원하는 하위 지역에 Microsoft Entra Domain Services를 배포하는 경우 도메인 컨트롤러는 영역 간에 분산됩니다. 가용성 영역을 지원하지 않는 하위 지역에서 도메인 컨트롤러는 가용성 집합에 분산됩니다. 해당 배포에 대한 구성 옵션 또는 관리 컨트롤러 권한이 없습니다. 자세한 내용은 Azure에서 가상 컴퓨터의 가용성 옵션을 참조하세요.

아니요. 원격 데스크톱을 사용하여 관리되는 도메인의 도메인 컨트롤러에 연결할 권한이 없습니다. Microsoft Entra DC 관리자 그룹의 멤버는 ADAC(Active Directory 관리 센터) 또는 AD PowerShell 같은 AD 관리 도구를 사용하여 관리되는 도메인을 관리할 수 있습니다. 해당 도구는 관리되는 도메인에 가입된 Windows 서버의 원격 서버 관리 도구 기능을 사용하여 설치할 수 있습니다. 자세한 내용은 관리 VM을 만들어 Microsoft Entra Domain Services 관리되는 도메인 구성 및 관리를 참조하세요.

관리되는 도메인의 일부인 모든 사용자 계정은 VM에 참가할 수 있습니다. 또한 Microsoft Entra DC 관리자 그룹의 멤버에게는 관리되는 도메인에 참가하는 컴퓨터에 대한 원격 데스크톱 액세스가 부여됩니다.

Domain Services에는 도메인 조인 컴퓨터에 대한 할당량이 없습니다.

Azure에서 실행되는 VM은 매우 정확한 시간을 위해 Azure에서 호스트와 동기화됩니다. 온-프레미스에서 실행되는 비 Azure VM은 도메인 조인 VM과 유사하게 외부 NTP 시간 원본과의 동기화를 위해 구성된 Windows 시간 서비스가 있어야 합니다. 자세한 내용은 Azure에서 Active Directory Windows Virtual Machines에 대한 시간 메커니즘 구성을 참조하세요.

아니요. 관리되는 도메인에 대한 관리자 권한이 부여되지 않았습니다. 해당 도메인 내에서 도메인 관리자 및 Enterprise 관리자 권한을 사용할 수 없습니다. 또한 온-프레미스 Active Directory 내 도메인 관리자 또는 Enterprise 관리자 그룹 구성원에게도 관리되는 도메인의 도메인/Enterprise 관리자 권한이 부여되지 않습니다.

원본 소스가 Microsoft Entra ID이므로 Microsoft Entra ID에서 Microsoft Entra Domain Services로 동기화되는 사용자 및 그룹을 수정할 수 없습니다. 여기에는 사용자 또는 그룹을 AADDC 사용자 관리되는 조직 구성 단위에서 사용자 지정 조직 구성 단위로 이동하는 작업이 포함됩니다. 관리되는 도메인에서 시작되는 모든 사용자 또는 그룹을 수정할 수 있습니다.

아니요. 관리되는 도메인에서 사용할 수 없는 DHCP 서버에 권한을 부여하려면 도메인 관리자 멤버십이 필요합니다.

Microsoft Entra UI 또는 PowerShell을 사용하여 Microsoft Entra 디렉터리에 적용된 변경 사항은 관리되는 도메인에 동기화되어 있습니다. 이 동기화 프로세스는 백그라운드에서 실행됩니다. 이 동기화가 모든 개체 변경을 완료하는 데 정의된 기간이 없습니다.

아니요. 스키마는 관리되는 도메인에 대해 Microsoft에서 관리합니다. 스키마 확장은 Microsoft Entra Domain Services에서 지원되지 않습니다.

예. 관리되는 도메인에서 DNS 기록을 수정하기 위해 Microsoft Entra DC 관리자 그룹의 멤버에게는 DNS 관리자 권한이 부여됩니다. 해당 사용자는 DNS를 관리하기 위해 관리되는 도메인에 참가하는 Windows Server를 실행하는 컴퓨터에서 DNS 관리자 콘솔을 사용할 수 있습니다. DNS 관리자 콘솔을 사용하려면 서버의 원격 서버 관리 도구 선택적 기능의 일부인 DNS 서버 도구를 설치합니다. 자세한 내용은 Microsoft Entra Domain Services 관리되는 도메인에서 DNS 관리를 참조하세요.

Microsoft Entra Domain Services 관리되는 도메인의 기본 비밀번호 수명은 90일입니다. 이 비밀번호 수명은 Microsoft Entra ID에 구성된 비밀번호 수명과 동기화되지 않습니다. 따라서 사용자의 비밀번호가 관리되는 도메인에는 만료되지만 Microsoft Entra ID에서는 여전히 유효한 상황이 발생할 수 있습니다. 이러한 시나리오에서 사용자는 Microsoft Entra ID에서 자신의 비밀번호를 변경해야 하며, 새 비밀번호는 관리되는 도메인과 동기화됩니다. 관리되는 도메인에서 기본 비밀번호 수명을 변경하려면 사용자 지정 암호 정책을 만들고 구성할 수 있습니다.

또한 DisablePasswordExpiration 에 대한 Microsoft Entra 암호 정책이 관리되는 도메인에 동기화됩니다. Microsoft Entra ID 사용자에게 DisablePasswordExpiration 이 적용되면, 관리되는 도메인에 동기화된 사용자의 UserAccountControl 값은 DONT_EXPIRE_PASSWORD 가 적용되게 합니다.

사용자가 Microsoft Entra ID에서 비밀번호를 다시 설정하면 forceChangePasswordNextSignIn=True 특성이 적용됩니다. 관리되는 도메인은 Microsoft Entra ID에서 해당 특성을 동기화합니다. 관리되는 도메인이 forceChangePasswordNextSignIn 이 Microsoft Entra ID의 동기화된 사용자에 대해 설정된 것을 검색할 경우, 관리되는 도메인의 pwdLastSet 특성은 0 으로 설정되며, 이는 현재 설정된 비밀번호를 무효화합니다.

예. 관리되는 도메인에서 2분 안에 5차례 비밀번호를 잘못 입력하면 사용자 계정이 30분 동안 잠깁니다. 30분 후 사용자 계정이 자동으로 잠금 해제됩니다. 관리되는 도메인에 대해 비밀번호를 잘못 입력해도 Microsoft Entra ID의 사용자 계정이 잠기지 않습니다. 사용자 계정은 Microsoft Entra Domain Services 관리되는 도메인 안에서만 잠깁니다. 자세한 내용은 관리되는 도메인의 암호 및 계정 잠금 정책을 참조하세요.

아니요. Microsoft Entra Domain Services를 사용하는 경우 분산 파일 시스템(DFS) 및 복제를 사용할 수 없습니다.

관리되는 도메인의 도메인 컨트롤러는 필요한 Windows 업데이트를 자동으로 적용합니다. 여기서 구성하거나 관리할 필요가 없습니다. Windows 업데이트에 아웃바운드 트래픽을 차단하는 네트워크 보안 그룹 규칙을 만들지 않았는지 확인합니다. 관리되는 도메인에 참가하는 VM의 경우 필요한 OS 및 애플리케이션 업데이트를 구성하고 적용해야 합니다.

AzureUpdateDelivery 및 AzureFrontDoor.FirstParty 태그가 사용되지 않는 경우 Microsoft Entra Domain Services는 더 이상 아웃바운드 인터넷 트래픽에 이러한 태그를 추가하는 것을 권장하지 않습니다. 기본 AllowInternetOutBound 규칙(우선 순위 65001)을 사용하는 경우 변경이 필요하지 않습니다(AzureUpdateDelivery 및 AzureFrontDoor.FirstParty 태그의 유무에 관계없이). 기본 AllowInternetOutBound 규칙(우선 순위 65001)을 제거하거나 거부된 InternetOutBound 규칙을 그 앞에 두는 경우 InternetOutBound를 제한하는 대신 WindowsUpdate FQDN을 사용하여 아웃바운드 Windows 업데이트 트래픽을 필터링하는 방화벽을 사용합니다. 이 단계는 Microsoft Entra Domain Services에서 Windows 업데이트를 계속 수신하는 데 중요합니다. 자세한 내용은 AzureUpdateDelivery 서비스 태그에 적용되는 변경 내용을 참조하세요.

Microsoft Entra Domain Services는 고객 데이터를 저장합니다. 기본적으로 고객 데이터는 서비스 인스턴스가 배포된 하위 지역 내에 유지됩니다. 고객은 복제본 세트를 사용하여 다른 하위 지역에 데이터를 저장할 수 있습니다.

패치는 사용할 수 있게 되면 설치됩니다(매주 두 번째 화요일). 화요일부터 시작하여 사용할 수 있게 되는 주 동안 단계적으로 설치됩니다.

도메인 컨트롤러를 유지 관리하는 동안 이름이 변경될 수 있습니다. 이러한 형식의 변경 문제를 방지하려면 애플리케이션 및/또는 기타 도메인 리소스에 하드코딩된 도메인 컨트롤러의 이름을 사용하지 않고 도메인의 FQDN을 사용하는 것이 좋습니다. 이렇게 하면 도메인 컨트롤러의 이름에 관계없이 이름 변경 후에 다시 구성할 필요가 없습니다.

관리되는 도메인의 KRBTGT 계정 비밀번호는 7일마다 롤오버됩니다.

예. 자세한 내용은 가격 책정 페이지를 참조하세요.

Microsoft Entra Domain Services는 Azure 무료 평가판에 포함되어 있습니다. Azure의 1개월 무료 평가판에 가입할 수 있습니다.

아니요. Microsoft Entra Domain Services 관리되는 도메인을 사용하면, 관리되는 도메인을 삭제할 때까지 선택한 가상 네트워크 내에서 서비스를 사용할 수 있습니다. 서비스를 일시 중지할 수 있는 방법은 없습니다. 관리되는 도메인을 삭제할 때까지 시간 기준으로 계속 청구됩니다.

예. 관리되는 도메인에 지리적 복원력을 제공하려면 Domain Services를 지원하는 모든 Azure 지역의 피어링 가상 네트워크에 다른 복제본 세트 를 만들면 됩니다. 복제본 세트는 관리되는 도메인과 동일한 네임스페이스 및 구성을 공유합니다.

아니요. Microsoft Entra Domain Services는 종량제 Azure 서비스이며 EMS의 일부가 아닙니다. Microsoft Entra ID 모든 에디션(무료 및 프리미엄)에서 Microsoft Entra Domain Services를 사용할 수 있습니다. 사용량에 따라 시간 단위로 청구됩니다.

아니요. Microsoft Entra Domain Services에는 단일 도메인, 단일 포리스트 디자인이 있으며 자식 도메인을 만들 수 없습니다.

Microsoft Entra Domain Services를 사용할 수 있는 Azure 지역의 목록을 알아보려면 하위 지역 기준 Azure 서비스 페이지를 참조하세요.

문제 해결

Azure AD Domain Services 구성 또는 관리에서 발생하는 일반적인 문제에 대한 솔루션은 문제 해결 가이드를 참조하세요.

다음 단계

Microsoft Entra Domain Services에 대해 자세히 알아보려면 Microsoft Entra Domain Services란?을 참조하세요.

시작하려면 Microsoft Entra Domain Services 관리되는 도메인 만들기 및 구성을 참조하세요.