자습서: Microsoft Entra Domain Services 관리되는 도메인을 구성 및 관리하기 위한 관리 VM 만들기

Microsoft Entra Domain Services는 Windows Server Active Directory와 완벽하게 호환되는 도메인 가입, 그룹 정책, LDAP 및 Kerberos/NTLM 인증과 같은 관리되는 Domain Services를 제공합니다. 이 관리되는 도메인은 온-프레미스 Active Directory Domain Services 도메인과 동일한 RSAT(원격 서버 관리 도구)를 사용하여 관리됩니다. Domain Services는 관리형 서비스이므로 RDP(원격 데스크톱 프로토콜)를 사용하여 도메인 컨트롤러에 연결하는 것과 같이 수행할 수 없는 몇 가지 관리 작업이 있습니다.

이 자습서에서는 Azure에서 Windows Server VM을 구성하고 Domain Services 관리되는 도메인을 관리하는 데 필요한 도구를 설치하는 방법을 보여 줍니다.

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

• 관리되는 도메인에서 사용 가능한 관리 작업 이해
• Windows Server VM에 Active Directory 관리 도구 설치
• Active Directory 관리 센터를 사용하여 일반 작업 수행

Azure 구독이 없는 경우 시작하기 전에 계정을 만드세요.

필수 조건

이 자습서를 완료하는 데 필요한 리소스와 권한은 다음과 같습니다.

• 활성화된 Azure 구독.
  • Azure 구독이 없는 경우 계정을 만듭니다.
• 온-프레미스 디렉터리 또는 클라우드 전용 디렉터리와 동기화되어 구독과 연결된 Microsoft Entra 테넌트.
  • 필요한 경우 Microsoft Entra 테넌트를 만들거나Azure 구독을 계정에 연결합니다.
• Microsoft Entra 테넌트에서 사용하도록 설정되고 구성된 Microsoft Entra Domain Services 관리되는 도메인입니다.
  • 필요한 경우 Microsoft Entra Domain Services 관리되는 도메인 만들기 및 구성에 대한 첫 번째 자습서를 참조하세요.
• 관리되는 도메인에 조인된 Windows Server VM
  • 필요한 경우 이전 자습서를 참조하여 Windows Server VM을 만들어 관리되는 도메인에 조인시킵니다.
• Microsoft Entra 테넌트의 Microsoft Entra DC 관리자 그룹의 멤버인 사용자 계정.
• Domain Services 가상 네트워크에 배포된 Azure Bastion 호스트.
  • 필요한 경우 Azure Bastion 호스트를 만듭니다.

Microsoft Entra 관리 센터에 로그인합니다.

이 자습서에서는 Microsoft Entra 관리 센터를 사용하여 관리 VM을 만들고 구성합니다. 시작하려면 먼저 Microsoft Entra 관리 센터에 로그인합니다.

Domain Services에서 사용 가능한 관리 작업

Domain Services는 사용자, 애플리케이션 및 서비스가 사용할 관리되는 도메인을 제공합니다. 이 방법에서는 사용 가능한 관리 작업 중 일부와 관리되는 도메인 내에서 보유한 권한을 변경합니다. 이러한 작업과 권한은 일반 온-프레미스 Active Directory Domain Services 환경에서 경험하는 것과 다를 수 있습니다. 또한 원격 데스크톱을 사용하여 관리되는 도메인의 도메인 컨트롤러에 연결할 수도 없습니다.

관리되는 도메인에서 수행할 수 있는 관리 작업

AAD DC 관리자 그룹의 멤버에게는 다음과 같은 작업을 수행할 수 있는 관리되는 도메인에 대한 권한이 부여됩니다.

• 관리되는 도메인의 AADDC Computers 및 AADDC Users 컨테이너에 대한 기본 제공 GPO(그룹 정책 개체)를 구성합니다.
• 관리되는 도메인에서 DNS 관리
• 관리되는 도메인에서 사용자 지정 OU(조직 구성 단위)를 만들고 관리합니다.
• 관리되는 도메인에 가입된 컴퓨터에 대한 관리 액세스 권한을 얻습니다.

관리되는 도메인에 없는 관리자 권한

관리되는 도메인이 잠겨 있으므로 도메인에서 특정 관리 작업을 수행할 수 있는 권한이 없습니다. 다음 예 중 일부는 수행할 수 없는 작업입니다.

• 관리되는 도메인의 스키마를 확장합니다.
• 원격 데스크톱을 사용하여 관리되는 도메인의 도메인 컨트롤러에 연결합니다.
• 도메인 컨트롤러를 관리되는 도메인에 추가합니다.
• 관리되는 도메인에 대한 도메인 관리자 또는 엔터프라이즈 관리자 권한이 없습니다.

Windows Server VM에 로그인

이전 자습서에서는 Windows Server VM을 만들어 관리되는 도메인에 조인했습니다. 이 VM을 사용하여 관리 도구를 설치합니다. 필요한 경우 자습서의 단계에 따라 Windows Server VM을 만들고 관리되는 도메인에 조인합니다.

참고 항목

이 자습서에서는 관리되는 도메인에 조인된 Windows Server VM을 사용합니다. 또한 관리되는 도메인에 조인된 Windows 10과 같은 Windows 클라이언트를 사용할 수도 있습니다.

관리 도구를 Windows 클라이언트에 설치하는 방법에 대한 자세한 내용은 RSAT(원격 서버 관리 도구) 설치를 참조하세요.

시작하려면 다음과 같이 Windows Server VM에 연결합니다.

1. Microsoft Entra 관리 센터에서 왼쪽의 리소스 그룹을 선택합니다. VM을 만든 리소스 그룹(예: myResourceGroup)을 선택한 다음, VM(예: myVM)을 선택합니다.

2. VM에 대한 개요 창에서 연결, Bastion을 차례로 선택합니다.

   

3. VM에 대한 자격 증명을 입력한 다음, 연결을 선택합니다.

   

필요한 경우 웹 브라우저에서 Bastion 연결을 표시할 팝업을 열도록 허용합니다. VM에 연결하는 데 몇 초 정도 걸립니다.

Active Directory 관리 도구 설치

관리되는 도메인에서 온-프레미스 AD DS 환경과 동일한 관리 도구를 사용합니다(예: ADAC(Active Directory 관리 센터) 또는 AD PowerShell). 이러한 도구는 RSAT(원격 서버 관리 도구) 기능의 일부로 Windows Server 및 클라이언트 컴퓨터에 설치할 수 있습니다. 그러면 AAD DC Administrators 그룹의 멤버가 관리되는 도메인에 조인된 컴퓨터에서 이러한 AD 관리 도구를 사용하여 관리되는 도메인을 원격으로 관리할 수 있습니다.

Active Directory 관리 도구를 도메인 조인 VM에 설치하려면 다음 단계를 수행합니다.

1. VM에 로그인할 때 서버 관리자가 기본적으로 열리지 않는 경우 시작 메뉴를 선택한 다음, 서버 관리자를 선택합니다.

2. 서버 관리자 창의 대시보드 창에서 역할 및 기능 추가를 선택합니다.

3. 역할 및 기능 추가 마법사의 시작하기 전에 페이지에서 다음을 선택합니다.

4. 설치 유형에서 역할 기반 또는 기능 기반 설치 옵션을 선택한 상태로 두고, 다음을 선택합니다.

5. 서버 선택 페이지의 서버 풀에서 현재 VM(예: myvm.aaddscontoso.com), 다음을 차례로 선택합니다.

6. 서버 역할 페이지에서 다음을 클릭합니다.

7. 기능 페이지에서 원격 서버 관리 도구 노드, 역할 관리 도구 노드를 차례로 펼칩니다.

   역할 관리 도구 목록에서 AD DS 및 AD LDS 도구 기능, 다음을 차례로 선택합니다.

   

8. 확인 페이지에서 설치를 선택합니다. 관리 도구를 설치하는 데 1-2분 정도 걸릴 수 있습니다.

9. 기능 설치가 완료되면 닫기를 선택하여 역할 및 기능 추가 마법사를 종료합니다.

Active Directory 관리 도구 사용

관리 도구가 설치되었으면 이 도구를 사용하여 관리되는 도메인을 관리하는 방법을 알아보겠습니다. AAD DC Administrators 그룹의 멤버인 사용자 계정을 사용하여 VM에 로그인했는지 확인합니다.

1. 시작 메뉴에서 Windows 관리 도구를 선택합니다. 이전 단계에서 설치한 AD 관리 도구가 나열됩니다.

   

2. Active Directory 관리 센터를 선택합니다.

3. 관리되는 도메인을 검색하려면 왼쪽 창에서 도메인 이름(예: aaddscontoso)을 선택합니다. AADDC Computers 및 AADDC Users라는 두 개의 컨테이너가 목록 위쪽에 있습니다.

   

4. 관리되는 도메인에 속한 사용자와 그룹을 확인하려면 AADDC Users 컨테이너를 선택합니다. Microsoft Entra 테넌트의 사용자 계정과 그룹이 이 컨테이너에 나열됩니다.

   다음 출력 예에는 이름이 Contoso Admin인 사용자 계정과 AAD DC Administrators에 대한 그룹이 이 컨테이너에 표시됩니다.

   

5. 관리되는 도메인에 조인된 컴퓨터를 확인하려면 AADDC Computers 컨테이너를 선택합니다. 현재 가상 머신에 대한 항목(예: myVM)이 나열됩니다. 관리되는 도메인에 조인된 모든 디바이스의 컴퓨터 계정은 이 AADDC Computers 컨테이너에 저장됩니다.

사용자 계정 암호 재설정 또는 그룹 멤버 자격 관리와 같은 일반적인 Active Directory 관리 센터 작업을 사용할 수 있습니다. 이러한 작업은 관리되는 도메인에서 직접 만든 사용자 및 그룹에 대해서만 작동합니다. ID 정보는 Microsoft Entra ID를 에서 Domain Services로만 동기화합니다. Domain Services에서 Microsoft Entra ID로 쓰기 저장은 없습니다. Microsoft Entra ID에서 동기화된 사용자의 암호 또는 관리되는 그룹 멤버 자격을 변경할 수 없으며 해당 변경 내용을 다시 동기화할 수 없습니다.

또한 관리 도구의 일부로 설치된 Windows PowerShell용 Active Directory 모듈을 사용하여 관리되는 도메인에서 일반적인 작업을 관리할 수도 있습니다.

다음 단계

이 자습서에서는 다음 작업 방법을 알아보았습니다.

• 관리되는 도메인에서 사용 가능한 관리 작업 이해
• Windows Server VM에 Active Directory 관리 도구 설치
• Active Directory 관리 센터를 사용하여 일반 작업 수행

다른 애플리케이션에서 관리되는 도메인과 안전하게 상호 작용하려면 보안 LDAPS(Lightweight Directory Access Protocol)를 사용하도록 설정합니다.

관리되는 도메인에 대한 보안 LDAP 구성