다음을 통해 공유

자습서: 고급 구성 옵션을 사용하여 Microsoft Entra Domain Services 관리되는 도메인 만들기 및 구성

  • 아티클

Microsoft Entra Domain Services는 Windows Server Active Directory와 완전히 호환되는 도메인 가입, 그룹 정책, LDAP, Kerberos/NTLM 인증과 같은 관리되는 도메인 서비스를 제공합니다. 이러한 도메인 서비스는 도메인 컨트롤러를 직접 배포, 관리 및 패치하지 않고 사용할 수 있습니다. Domain Services는 기존 Microsoft Entra 테넌트와 통합됩니다. 이 통합을 통해 사용자는 회사 자격 증명을 사용하여 로그인할 수 있으며, 기존 그룹 및 사용자 계정을 사용하여 리소스에 대한 액세스를 보호할 수 있습니다.

네트워킹 및 동기화 에 대한 기본 구성 옵션을 사용하여 관리되는 도메인을 만들 거나 이러한 설정을 수동으로 정의할 수 있습니다. 이 자습서에서는 Microsoft Entra 관리 센터를 사용하여 Domain Services 관리되는 도메인을 만들고 구성하는 고급 구성 옵션을 정의하는 방법을 보여 줍니다.

이 자습서에서는 다음 방법을 알아봅니다.

  • 관리되는 도메인에 대한 DNS 및 가상 네트워크 설정 구성
  • 관리되는 도메인 만들기
  • 도메인 관리에 관리 사용자 추가
  • 암호 해시 동기화 사용

Azure 구독이 없는 경우 시작하기 전에 계정을 만드세요.

필수 조건

이 자습서를 완료하려면 다음 리소스 및 권한이 필요합니다.

Domain Services에는 필요하지 않지만 Microsoft Entra 테넌트에 대한 SSPR(셀프 서비스 암호 재설정) 구성하는 것이 좋습니다. 사용자는 SSPR 없이 암호를 변경할 수 있지만 SSPR은 암호를 잊어버리고 재설정해야 하는 경우 도움이 됩니다.

중요합니다

관리되는 도메인을 만든 후에는 다른 구독, 리소스 그룹 또는 지역으로 이동할 수 없습니다. 관리되는 도메인을 배포할 때 가장 적절한 구독, 리소스 그룹 및 지역을 선택해야 합니다.

Microsoft Entra 관리 센터에 로그인합니다.

이 자습서에서는 Microsoft Entra 관리 센터를 사용하여 관리되는 도메인을 만들고 구성합니다. 시작하려면 먼저 Microsoft Entra 관리 센터에 로그인합니다.

관리되는 도메인 만들기 및 기본 설정 구성

Microsoft Entra Domain Services 사용 마법사를 실행하려면, 다음 단계를 완료하십시오.

  1. Microsoft Entra 관리 센터 메뉴 또는 페이지에서 리소스 만들기를 선택합니다.
  2. 검색 창에 Domain Services 를 입력한 다음 검색 제안에서 Microsoft Entra Domain Services 를 선택합니다.
  3. Microsoft Entra Domain Services 페이지에서 만들기를 선택합니다. Microsoft Entra Domain Services 사용 설정 마법사가 시작됩니다.
  4. 관리되는 도메인을 만들려는 Azure 구독 선택합니다.
  5. 관리되는 도메인이 속해야 하는 리소스 그룹 선택합니다. 새로 만들기를 선택하거나 기존 리소스 그룹을 선택합니다.

관리되는 도메인을 만들 때 DNS 이름을 지정합니다. 이 DNS 이름을 선택할 때 몇 가지 고려 사항이 있습니다.

  • 기본 제공 도메인 이름: 기본적으로 디렉터리의 기본 제공 도메인 이름(.onmicrosoft.com 접미사)이 사용됩니다. 관리되는 도메인에 대한 인터넷을 통한 보안 LDAP 액세스를 사용하도록 설정하려면 이 기본 도메인과의 연결을 보호하기 위해 디지털 인증서를 만들 수 없습니다. Microsoft는 .onmicrosoft.com 도메인을 소유하므로 CA(인증 기관)는 인증서를 발급하지 않습니다.
  • 사용자 지정 도메인 이름: 가장 일반적인 방법은 사용자 지정 도메인 이름(일반적으로 이미 소유하고 라우팅 가능한 도메인 이름)을 지정하는 것입니다. 라우팅할 수 있는 사용자 지정 도메인을 사용하면 애플리케이션을 지원하는 데 필요한 트래픽이 올바르게 전달될 수 있습니다.
  • 라우팅할 수 없는 도메인 접미사: 일반적으로 contoso.local 같은 라우팅할 수 없는 도메인 이름 접미사를 사용하지 않는 것이 좋습니다. .local 접미사는 라우팅할 수 없으며, DNS 확인에서 문제가 발생할 수 있습니다.

팁 (조언)

사용자 지정 도메인 이름을 만드는 경우 기존 DNS 네임스페이스를 주의해야 합니다. 기존 Azure 또는 온-프레미스 DNS 네임스페이스와 별도의 도메인 이름을 사용하는 것이 좋습니다.

예를 들어 기존 DNS 네임스페이스가 contoso.com인 경우 사용자 지정 도메인 이름이 aaddscontoso.com인 관리되는 도메인을 만듭니다. 보안 LDAP를 사용해야 하는 경우 필요한 인증서를 생성하려면 이 사용자 지정 도메인 이름을 등록하고 소유해야 합니다.

환경의 다른 서비스에 대한 일부 추가 DNS 레코드를 만들거나 환경의 기존 DNS 네임스페이스 사이에 조건부 DNS 전달자를 만들어야 할 수 있습니다. 예를 들어 루트 DNS 이름을 사용하여 사이트를 호스트하는 웹 서버를 실행하는 경우 추가 DNS 항목이 필요한 명명 충돌이 있을 수 있습니다.

이러한 자습서 및 방법 문서에서는 aaddscontoso.com 사용자 지정 도메인을 간단한 예제로 사용합니다. 모든 명령에서 사용자 고유의 도메인 이름을 지정하세요.

다음 DNS 이름 제한도 적용됩니다.

  • 도메인 접두사 제한: 15자보다 긴 접두사를 사용하여 관리되는 도메인을 만들 수 없습니다. 지정한 도메인 이름의 접두사(예: aaddscontoso.com 도메인 이름의 aaddscontoso)는 15자 이하여야 합니다.
  • 네트워크 이름 충돌: 관리되는 도메인의 DNS 도메인 이름은 가상 네트워크에 존재하지 않아야 합니다. 특히 이름 충돌이 발생할 수 있는 다음 시나리오를 확인합니다.
    • Azure 가상 네트워크에 동일한 DNS 도메인 이름을 가진 Active Directory 도메인이 이미 있는 경우
    • 관리되는 도메인을 사용하도록 설정하려는 가상 네트워크에 온-프레미스 네트워크와의 VPN 연결이 있는 경우 이 시나리오에서는 온-프레미스 네트워크에 동일한 DNS 도메인 이름을 가진 도메인이 없는지 확인합니다.
    • Azure 가상 네트워크에 해당 이름을 가진 기존 Azure 클라우드 서비스가 있는 경우

관리되는 도메인을 만들려면 Microsoft Entra 관리 센터의 기본 사항 창에서 필드를 완료합니다.

  1. 이전 점을 고려하여 관리되는 도메인에 대한 DNS 도메인 이름 입력합니다.

  2. 관리되는 도메인을 만들 Azure 위치를 선택합니다. 가용성 영역을 지원하는 지역을 선택하는 경우 도메인 서비스 리소스는 추가 중복성을 위해 영역 간에 분산됩니다.

    팁 (조언)

    가용성 영역은 Azure 지역 내의 고유한 물리적 위치입니다. 각 영역은 독립적인 전원, 냉각 및 네트워킹을 갖춘 하나 이상의 데이터 센터로 구성됩니다. 복원력을 보장하려면 활성화된 모든 지역에서 최소한 세 개의 별도 영역이 필요합니다.

    도메인 서비스가 영역에 분산되도록 구성할 수 있는 것은 없습니다. Azure 플랫폼은 리소스의 영역 배포를 자동으로 처리합니다. 자세한 내용과 지역 가용성을 보려면 Azure의 가용성 영역이란?

  3. SKU 성능 및 백업 빈도를 결정합니다. 비즈니스 요구 사항 또는 요구 사항이 변경되는 경우 관리되는 도메인을 만든 후 SKU를 변경할 수 있습니다. 자세한 내용은 Domain Services SKU 개념참조하세요.

    이 자습서에서는 Standard SKU를 선택합니다.

  4. 포리스트는 하나 이상의 도메인을 그룹화하기 위해 Active Directory Domain Services에서 사용하는 논리적 구문입니다.

    Microsoft Entra Domain Services 관리되는 도메인에 대한 기본 설정 구성

  5. 추가 옵션을 수동으로 구성하려면 다음 - 네트워킹을 선택합니다. 그렇지 않은 경우 검토 + 만들기 를 선택하여 기본 구성 옵션을 적용한 다음, 섹션으로 건너뛰어 관리되는 도메인을 배포합니다. 다음 기본값은 이 만들기 옵션을 선택할 때 구성됩니다.

    • IP 주소 범위 10.0.1.0/24를 사용하는 aadds-vnet이라는 가상 네트워크를 만듭니다.
    • IP 주소 범위 10.0.1.0/24를 사용하여 aadds-subnet이라는 서브넷을 만듭니다.
    • Microsoft Entra ID의 모든 사용자를 관리되는 도메인으로 동기화합니다.

가상 네트워크 만들기 및 구성

연결을 제공하려면 Azure 가상 네트워크 및 전용 서브넷이 필요합니다. Domain Services는 이 가상 네트워크 서브넷에서 사용하도록 설정됩니다. 이 자습서에서는 가상 네트워크를 새로 만들지만, 기존의 가상 네트워크를 사용할 수도 있습니다. 두 방법 중 하나에서는 Domain Services에서 사용할 전용 서브넷을 만들어야 합니다.

팁 (조언)

Microsoft Entra Domain Services 배포 IP를 상주하는 VNET의 DNS 확인자로 사용해야 하므로 다른 DNS 서비스를 사용하고 Microsoft Entra Domain Services 자체에서 조건부 전달자를 구성하는 경우 전용 Azure 가상 네트워크를 사용하는 것이 좋습니다.

이 전용 가상 네트워크 서브넷에 대한 몇 가지 고려 사항은 다음과 같습니다.

  • 도메인 서비스 리소스를 지원하려면 서브넷의 주소 범위에 사용 가능한 IP 주소가 3~5개 이상 있어야 합니다.
  • Domain Services를 배포하기 위한 게이트웨이 서브넷을 선택하지 마세요. 게이트웨이 서브넷에 Domain Services를 배포하는 것은 지원되지 않습니다.
  • 서브넷에 다른 가상 머신을 배포하지 마세요. 애플리케이션 및 VM은 종종 네트워크 보안 그룹을 사용하여 연결을 보호합니다. 별도의 서브넷에서 이러한 워크로드를 실행하면 관리되는 도메인에 대한 연결을 방해하지 않고 해당 네트워크 보안 그룹을 적용할 수 있습니다.

가상 네트워크를 계획하고 구성하는 방법에 대한 자세한 내용은 Microsoft Entra Domain Services 대한네트워킹 고려 사항을 참조하세요.

다음과 같이 네트워크 창에서 필드를 완료합니다.

  1. 네트워크 페이지의 드롭다운 메뉴에서 도메인 서비스를 배포할 가상 네트워크를 선택하거나 새로 만들기를 선택합니다.

    1. 가상 네트워크를 만들도록 선택한 경우 myVnet과 같은 가상 네트워크의 이름을 입력한 다음 주소 범위(예: 10.0.1.0/24)를 제공합니다.
    2. DomainServices와 같은 명확한 이름을 가진 전용 서브넷을 만듭니다. 주소 범위(예: 10.0.1.0/24)를 제공합니다.

    Microsoft Entra Domain Services에서 사용할 가상 네트워크 및 서브넷 만들기

    개인 IP 주소 범위 내에 있는 주소 범위를 선택해야 합니다. 소유하지 않은 IP 주소 범위가 공용 주소 공간에 있으면 Domain Services 내에서 오류가 발생합니다.

  2. DomainServices와 같은 가상 네트워크 서브넷을 선택합니다.

  3. 준비가 되면 다음 - 관리를 선택합니다.

관리 그룹 구성

AAD DC Administrators라는 특수 관리 그룹은 Domain Services 도메인을 관리하는 데 사용됩니다. 이 그룹의 구성원에게 관리되는 도메인에 가입된 VM에 대한 관리 권한이 부여됩니다. 도메인에 가입된 VM에서 이 그룹은 로컬 관리자 그룹에 추가됩니다. 이 그룹의 구성원은 원격 데스크톱을 사용하여 도메인에 가입된 VM에 원격으로 연결할 수도 있습니다.

중요합니다

Domain Services를 사용하는 관리 도메인에서 도메인 관리자 또는 엔터프라이즈 관리자 권한이 없습니다. 서비스는 이러한 사용 권한을 예약하며 테넌트 내의 사용자가 사용할 수 있도록 설정하지 않습니다.

대신 AAD DC 관리자 그룹을 사용하면 일부 권한 있는 작업을 수행할 수 있습니다. 이러한 작업에는 도메인에 가입된 VM의 관리 그룹에 속하고 그룹 정책을 구성하는 작업이 포함됩니다.

마법사는 Microsoft Entra 디렉터리에 AAD DC Administrators 그룹을 자동으로 만듭니다. Microsoft Entra 디렉터리에 이 이름을 가진 기존 그룹이 있는 경우 마법사에서 이 그룹을 선택합니다. 필요에 따라 배포 프로세스 중에 이 AAD DC 관리자 그룹에 사용자를 추가하도록 선택할 수 있습니다. 이러한 단계는 나중에 완료할 수 있습니다.

  1. AAD DC 관리자 그룹에 사용자를 추가하려면 그룹 멤버 자격 관리를 선택합니다.

    AAD DC Administrators 그룹의 그룹 멤버 자격 구성

  2. 구성원 추가 단추를 선택한 다음, Microsoft Entra 디렉터리에서 사용자를 검색하여 선택합니다. 예를 들어 사용자 고유의 계정을 검색하여 AAD DC Administrators 그룹에 추가합니다.

  3. 원하는 경우 관리되는 도메인에 주의가 필요한 경고가 있는 경우 알림에 대한 받는 사람을 변경하거나 추가합니다.

  4. 준비가 되면 다음 - 동기화를 선택합니다.

동기화 구성

Domain Services를 사용하면 Microsoft Entra ID에서 사용할 수 있는 모든 사용자 및 그룹을 동기화하거나 특정 그룹의 범위 동기화를 수행할 수 있습니다. 지금 또는 관리되는 도메인이 배포되면 동기화 범위를 변경할 수 있습니다. 자세한 내용은 Microsoft Entra Domain Services 범위가 지정된 동기화를 참조하세요.

  1. 이 자습서에서는 모든 사용자 및 그룹을 동기화하도록 선택합니다. 이 동기화 선택은 기본 옵션입니다.

    Microsoft Entra ID에서 사용자 및 그룹의 전체 동기화 수행

  2. Review + create를 선택합니다.

관리되는 도메인 배포

마법사의 요약 페이지에서 관리되는 도메인에 대한 구성 설정을 검토합니다. 마법사의 모든 단계로 돌아가서 변경할 수 있습니다. 이러한 구성 옵션을 사용하여 관리되는 도메인을 다른 Microsoft Entra 테넌트에 일관된 방식으로 다시 배포하려면, 자동화를 위한 템플릿을 다운로드할 수있습니다.

  1. 관리되는 도메인을 만들려면 만들기선택합니다. 도메인 서비스가 관리되면 DNS 이름 또는 가상 네트워크와 같은 특정 구성 옵션을 변경할 수 없다는 메모가 표시됩니다. 계속하려면 확인을 선택합니다.

  2. 관리되는 도메인을 프로비전하는 프로세스는 최대 1시간이 걸릴 수 있습니다. 포털에 Domain Services 배포의 진행률을 보여 주는 알림이 표시됩니다. 알림을 선택하여 배포에 대한 자세한 진행률을 확인합니다.

    Microsoft Entra 관리 센터에서 진행 중인 배포의 알림

  3. myResourceGroup과 같은 리소스 그룹을 선택한 다음, aaddscontoso.com 같은 Azure 리소스 목록에서 관리되는 도메인을 선택합니다. 개요 탭은 관리되는 도메인이 현재 배포 중임을 보여줍니다. 관리되는 도메인이 완전히 프로비전될 때까지는 구성할 수 없습니다.

    프로비저닝 상태 동안 도메인 서비스 상태

  4. 관리되는 도메인이 완전히 프로비전되면 개요 탭에 도메인 상태가 실행 중인표시됩니다.

    도메인 서비스가 성공적으로 프로비전되면 상태

중요합니다

관리되는 도메인은 Microsoft Entra 테넌트에 연결됩니다. 프로비전 프로세스 중에 Domain Services는 Microsoft Entra 테넌트에 도메인 컨트롤러 서비스AzureActiveDirectoryDomainControllerServices 라는 두 개의 엔터프라이즈 애플리케이션을 만듭니다. 이러한 엔터프라이즈 애플리케이션은 관리되는 도메인을 서비스하는 데 필요합니다. 이러한 애플리케이션을 삭제하지 마세요.

Azure 가상 네트워크에 대한 DNS 설정 업데이트

Domain Services가 성공적으로 배포되면 이제 다른 연결된 VM 및 애플리케이션이 관리되는 도메인을 사용할 수 있도록 가상 네트워크를 구성합니다. 이 연결을 제공하려면 관리되는 도메인이 배포된 두 IP 주소를 가리키도록 가상 네트워크에 대한 DNS 서버 설정을 업데이트합니다.

  1. 관리되는 도메인에 대한 개요 탭에는 몇 가지필수 구성 단계가 표시됩니다. 첫 번째 구성 단계는 가상 네트워크에 대한 DNS 서버 설정을 업데이트하는 것입니다. DNS 설정이 올바르게 구성되면 이 단계가 더 이상 표시되지 않습니다.

    나열된 주소는 가상 네트워크에서 사용할 도메인 컨트롤러입니다. 이 예제에서 해당 주소는 10.0.1.4 10.0.1.5 . 나중에 속성 탭에서 이러한 IP 주소를 찾을 수 있습니다.

    Microsoft Entra Domain Services IP 주소를 사용하여 가상 네트워크에 대한 DNS 설정 구성

  2. 가상 네트워크에 대한 DNS 서버 설정을 업데이트하려면 구성 단추를 선택합니다. DNS 설정은 가상 네트워크에 대해 자동으로 구성됩니다.

팁 (조언)

이전 단계에서 기존 가상 네트워크를 선택한 경우 네트워크에 연결된 모든 VM은 다시 시작한 후에만 새 DNS 설정을 가져옵니다. Microsoft Entra 관리 센터, Microsoft Graph PowerShell 또는 Azure CLI를 사용하여 VM을 다시 시작할 수 있습니다.

Domain Services에 대한 사용자 계정 활성화

관리되는 도메인에서 사용자를 인증하려면 Domain Services에 NTLM(NT LAN 관리자) 및 Kerberos 인증에 적합한 형식의 암호 해시가 필요합니다. Microsoft Entra ID는 테넌트에 Domain Services를 사용하도록 설정할 때까지 NTLM 또는 Kerberos 인증에 필요한 형식으로 암호 해시를 생성하거나 저장하지 않습니다. 보안상의 이유로 Microsoft Entra ID는 비밀번호를 평문 형태로 저장하지 않습니다. 따라서 Microsoft Entra ID는 사용자의 기존 자격 증명에 따라 이러한 NTLM 또는 Kerberos 암호 해시를 자동으로 생성할 수 없습니다.

비고

적절하게 구성되면 사용 가능한 암호 해시가 관리되는 도메인에 저장됩니다. 관리되는 도메인을 삭제하면 해당 시점에 저장된 암호 해시도 삭제됩니다.

나중에 관리되는 도메인을 만드는 경우 Microsoft Entra ID의 동기화된 자격 증명 정보를 다시 사용할 수 없습니다. 암호 해시 동기화를 다시 구성하여 암호 해시를 다시 저장해야 합니다. 이전에 도메인에 가입된 VM 또는 사용자는 즉시 인증할 수 없습니다. Microsoft Entra ID는 암호 해시를 생성하고 새 관리되는 도메인에 저장해야 합니다.

자세한 내용은 Domain Services 및 Microsoft Entra Connect 대한암호 해시 동기화 프로세스를 참조하세요.

이러한 암호 해시를 생성하고 저장하는 단계는 두 가지 유형의 사용자 계정에 대해 다릅니다.

  • Microsoft Entra ID로 만든 클라우드 전용 사용자 계정입니다.
  • Microsoft Entra Connect를 사용하여 온-프레미스 디렉터리에서 동기화되는 사용자 계정입니다.

클라우드 전용 사용자 계정은 Microsoft Entra 관리 센터 또는 Microsoft Graph PowerShell cmdlet을 사용하여 Microsoft Entra 디렉터리에서 만든 계정입니다. 이러한 사용자 계정은 온-프레미스 디렉터리에서 동기화되지 않습니다.

이 자습서에서는 기본 클라우드 전용 사용자 계정으로 작업해 보겠습니다. Microsoft Entra Connect를 사용하는 데 필요한 추가 단계에 대한 자세한 내용은 온-프레미스 AD에서 관리되는 도메인으로 동기화된 사용자 계정의 암호 해시 동기화 보기을 참조하세요.

팁 (조언)

Microsoft Entra 테넌트에 온-프레미스 AD의 클라우드 전용 사용자와 사용자 조합이 있는 경우 두 단계 집합을 모두 완료해야 합니다.

클라우드 전용 사용자 계정의 경우 사용자가 Domain Services를 사용하려면 먼저 암호를 변경해야 합니다. 이 암호 변경 프로세스로 인해 Kerberos 및 NTLM 인증에 대한 암호 해시가 생성되고 Microsoft Entra ID에 저장됩니다. 계정은 암호가 변경될 때까지 Microsoft Entra ID에서 Domain Services로 동기화되지 않습니다. Domain Services를 사용해야 하는 테넌트 내의 모든 클라우드 사용자에 대한 암호를 만료하여 다음 로그인 시 암호를 강제로 변경하거나 클라우드 사용자에게 암호를 수동으로 변경하도록 지시합니다. 이 자습서에서는 사용자 암호를 수동으로 변경해 보겠습니다.

사용자가 암호를 재설정할 수 있으려면 Microsoft Entra 테넌트가 셀프 서비스 암호 재설정을 위해 구성되어 있어야 합니다.

클라우드 전용 사용자의 암호를 변경하려면 사용자가 다음 단계를 완료해야 합니다.

  1. Microsoft Entra ID 액세스 패널 페이지로 이동합니다. https://myapps.microsoft.com

  2. 오른쪽 위 모서리에서 이름을 선택한 다음, 드롭다운 메뉴에서 프로필을 선택합니다.

    프로필 선택

  3. 프로필 페이지에서 암호 변경을 선택합니다.

  4. 암호 변경 페이지에서 기존(이전) 암호를 입력한 다음 새 암호를 입력하고 확인합니다.

  5. 제출을 선택합니다.

도메인 서비스에서 새 암호를 사용할 수 있도록 암호를 변경하고 관리되는 도메인에 가입된 컴퓨터에 성공적으로 로그인하려면 몇 분 정도 걸립니다.

다음 단계

이 자습서에서는 다음 방법을 알아보았습니다.

  • 관리되는 도메인에 대한 DNS 및 가상 네트워크 설정 구성
  • 관리되는 도메인 만들기
  • 도메인 관리에 관리 사용자 추가
  • Domain Services에 사용자 계정을 사용하도록 설정하고 암호 해시 생성

이 관리되는 도메인의 작동을 확인하려면 가상 머신을 만들고 도메인에 조인합니다.

관리되는 도메인에 Windows Server 가상 머신을 조인하기