자습서: 단일 Active Directory 포리스트에서 하이브리드 ID에 페더레이션 사용

이 자습서에서는 페더레이션 및 Windows Server AD(Windows Server Active Directory)를 사용하여 Azure에서 하이브리드 ID 환경을 만드는 방법을 보여 줍니다. 테스트를 위해 만든 하이브리드 ID 환경을 사용하거나 하이브리드 ID 작동 방식을 더 잘 이해할 수 있습니다.

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

• 가상 머신을 만듭니다.
• Windows Server Active Directory 환경을 만듭니다.
• Windows Server Active Directory 사용자를 만듭니다.
• 인증서를 만듭니다.
• Microsoft Entra 테넌트를 만듭니다.
• Azure에서 하이브리드 ID 관리자 계정을 만듭니다.
• 디렉터리에 사용자 지정 도메인을 추가합니다.
• Microsoft Entra Connect를 설정합니다.
• 사용자가 동기화되었는지 테스트하고 확인합니다.

필수 조건

이 자습서를 완료하려면 다음 항목이 필요합니다.

• Hyper-V가 설치되어 있는 컴퓨터. Windows 10 또는 Windows Server 2016 컴퓨터에 Hyper-V를 설치하는 것이 좋습니다.
• Azure 구독 Azure 구독이 아직 없는 경우 시작하기 전에 체험 계정을 만듭니다.
• 외부 네트워크 어댑터: 가상 머신이 인터넷에 연결할 수 있습니다.
• Windows Server 2016의 복사본.
• 확인 가능한 사용자 지정 도메인.

참고 항목

이 자습서에서는 PowerShell 스크립트를 사용하여 자습서 환경을 빠르게 만듭니다. 각 스크립트는 스크립트 시작 부분에 선언된 변수를 사용합니다. 환경을 반영하도록 변수를 변경해야 합니다.

자습서의 스크립트는 Microsoft Entra Connect를 설치하기 전에 일반적인 Windows Server AD(Windows Server Active Directory) 환경을 만듭니다. 스크립트는 관련 자습서에서도 사용됩니다.

이 자습서에서 사용되는 PowerShell 스크립트는 GitHub에서 사용할 수 있습니다.

가상 머신 만들기

하이브리드 ID 환경을 만들기 위한 첫 번째 작업은 온-프레미스 Windows Server AD 서버로 사용할 가상 머신을 만드는 것입니다.

참고 항목

호스트 컴퓨터의 PowerShell에서 스크립트를 실행한 적이 없는 경우 스크립트를 실행하기 전에 Windows PowerShell ISE를 관리자로 열고 Set-ExecutionPolicy remotesigned를 실행합니다. 실행 정책 변경 대화 상자에서 예를 선택합니다.

가상 머신을 만들려면:

1. Windows PowerShell ISE를 관리자로 엽니다.

2. 다음 스크립트를 실행합니다.

   #Declare variables
   $VMName = 'DC1'
   $Switch = 'External'
   $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
   $Path = 'D:\VM'
   $VHDPath = 'D:\VM\DC1\DC1.vhdx'
   $VHDSize = '64424509440'
   
   #Create a new virtual machine
   New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  
   
   #Set the memory to be non-dynamic
   Set-VMMemory $VMName -DynamicMemoryEnabled $false
   
   #Add a DVD drive to the virtual machine
   Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
   
   #Mount installation media
   $DVDDrive = Get-VMDvdDrive -VMName $VMName
   
   #Configure the virtual machine to boot from the DVD
   Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 
   

운영 체제 설치

가상 머신 만들기를 완료하려면 운영 체제를 설치합니다.

1. Hyper-V 관리자에서 가상 머신을 두 번 클릭합니다.
2. 시작을 선택합니다.
3. 프롬프트에서 아무 키나 눌러 CD 또는 DVD에서 부팅합니다.
4. Windows Server 시작 창에서 언어를 선택한 후 다음을 선택합니다.
5. 지금 설치를 선택합니다.
6. 라이선스 키를 입력하고 다음을 선택합니다.
7. 사용 조건에 동의함 확인란을 선택하고 다음을 선택합니다.
8. 사용자 지정: Windows만 설치(고급)를 선택합니다.
9. 다음을 선택합니다.
10. 설치가 완료되면 가상 머신을 다시 시작합니다. 로그인한 다음, Windows 업데이트를 확인합니다. VM이 완전히 최신 상태인지 확인하기 위해 모든 업데이트를 설치합니다.

Windows Server AD 필수 구성 요소 설치

Windows Server AD를 설치하기 전에 필수 구성 요소를 설치하는 스크립트를 실행합니다.

1. Windows PowerShell ISE를 관리자로 엽니다.

2. Set-ExecutionPolicy remotesigned을 실행합니다. 실행 정책 변경 대화 상자에서 모두 예를 선택합니다.

3. 다음 스크립트를 실행합니다.

   #Declare variables
   $ipaddress = "10.0.1.117" 
   $ipprefix = "24" 
   $ipgw = "10.0.1.1" 
   $ipdns = "10.0.1.117"
   $ipdns2 = "8.8.8.8" 
   $ipif = (Get-NetAdapter).ifIndex 
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $newname = "DC1"
   $addsTools = "RSAT-AD-Tools" 
   
   #Set a static IP address
   New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 
   
   # Set the DNS servers
   Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
   
   #Rename the computer 
   Rename-Computer -NewName $newname -force 
   
   #Install features 
   New-Item $featureLogPath -ItemType file -Force 
   Add-WindowsFeature $addsTools 
   Get-WindowsFeature | Where installed >>$featureLogPath 
   
   #Restart the computer 
   Restart-Computer
   

Windows Server AD 환경 만들기

이제 Active Directory Domain Services를 설치 및 구성하여 환경을 만듭니다.

1. Windows PowerShell ISE를 관리자로 엽니다.

2. 다음 스크립트를 실행합니다.

   #Declare variables
   $DatabasePath = "c:\windows\NTDS"
   $DomainMode = "WinThreshold"
   $DomainName = "contoso.com"
   $DomainNetBIOSName = "CONTOSO"
   $ForestMode = "WinThreshold"
   $LogPath = "c:\windows\NTDS"
   $SysVolPath = "c:\windows\SYSVOL"
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $Password = ConvertTo-SecureString "Passw0rd" -AsPlainText -Force
   
   #Install Active Directory Domain Services, DNS, and Group Policy Management Console 
   start-job -Name addFeature -ScriptBlock { 
   Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
   Wait-Job -Name addFeature 
   Get-WindowsFeature | Where installed >>$featureLogPath
   
   #Create a new Windows Server AD forest
   Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $Password -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
   

Windows Server AD 사용자 만들기

다음으로 테스트 사용자 계정을 만듭니다. 온-프레미스 Active Directory 환경에서 이 계정을 만듭니다. 그러면 계정이 Microsoft Entra ID에 동기화됩니다.

1. Windows PowerShell ISE를 관리자로 엽니다.

2. 다음 스크립트를 실행합니다.

   #Declare variables
   $Givenname = "Allie"
   $Surname = "McCray"
   $Displayname = "Allie McCray"
   $Name = "amccray"
   $Password = "Pass1w0rd"
   $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Create the user
   New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
   
   #Set the password to never expire
   Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
   

AD FS용 인증서 만들기

AD FS(Active Directory Federation Services)에서 사용할 TLS 또는 SSL 인증서가 필요합니다. 인증서는 자체 서명된 인증서이며 테스트에만 사용하도록 만듭니다. 프로덕션 환경에서 자체 서명된 인증서를 사용하지 않는 것이 좋습니다.

인증서를 만들려면 다음을 수행합니다.

1. Windows PowerShell ISE를 관리자로 엽니다.

2. 다음 스크립트를 실행합니다.

   #Declare variables
   $DNSname = "adfs.contoso.com"
   $Location = "cert:\LocalMachine\My"
   
   #Create a certificate
   New-SelfSignedCertificate -DnsName $DNSname -CertStoreLocation $Location
   

Microsoft Entra 테넌트 만들기

테넌트가 없는 경우 Microsoft Entra ID에 새 테넌트 만들기 문서의 단계에 따라 새 테넌트를 만듭니다.

Microsoft Entra ID에서 하이브리드 ID 관리자 계정 만들기

다음 작업은 하이브리드 ID 관리자 계정을 만드는 것입니다. 이 계정은 Microsoft Entra Connect를 설치하는 동안 Microsoft Entra Connector 계정을 만드는 데 사용됩니다. Microsoft Entra 커넥터 계정은 Microsoft Entra ID에 정보를 쓰는 데 사용됩니다.

하이브리드 ID 관리자 계정을 만들려면 다음을 수행합니다.

1. Microsoft Entra 관리 센터에 로그인합니다.

2. ID>사용자>모든 사용자로 이동

3. 새 사용자>새 사용자 만들기를 선택합니다.

4. 새 사용자 만들기 창에서 새 사용자의 표시 이름과 사용자 계정 이름을 입력합니다. 테넌트에 대한 하이브리드 ID 관리자 계정을 만들고 있습니다. 임시 암호를 보여주고 복사할 수 있습니다.

   1. 할당에서 역할 추가를 선택하고 하이브리드 ID 관리자를 선택합니다.

5. 그런 후 검토 + 만들기>만들기를 차례로 선택합니다.

6. 새 웹 브라우저 창에서 새 하이브리드 ID 관리자 계정과 임시 암호를 사용하여 myapps.microsoft.com에 로그인합니다.

7. 하이브리드 ID 관리자 계정의 새 암호를 선택하고 암호를 변경합니다.

디렉터리에 사용자 지정 도메인 이름 추가

테넌트와 하이브리드 ID 관리자 계정을 만들었으면 Azure에서 확인할 수 있도록 사용자 지정 도메인을 추가합니다.

디렉터리에 사용자 지정 도메인 이름을 추가하려면 다음을 수행합니다.

1. [Microsoft Entra 관리 센터](https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Overview)에서 모든 사용자 창을 닫아야 합니다.

2. 관리 아래의 왼쪽 메뉴에서 사용자 지정 도메인 이름을 선택합니다.

3. 사용자 지정 도메인 추가를 선택합니다.

   

4. 사용자 지정 도메인 이름에서 사용자 지정 도메인의 이름을 입력하고 도메인 추가를 선택합니다.

5. 사용자 지정 도메인 이름에 TXT 또는 MX 정보가 표시됩니다. 이 정보는 도메인 아래 도메인 등록 기관의 DNS 정보에 추가해야 합니다. 도메인 등록 기관으로 이동하여 도메인의 DNS 설정에 TXT 또는 MX 정보를 입력합니다.

   도메인 등록 기관에 이 정보를 추가하면 Azure에서 도메인을 확인할 수 있습니다. 도메인 확인에는 최대 24시간이 소요될 수 있습니다.

   자세한 내용은 사용자 지정 도메인 추가 설명서를 참조하세요.

6. 도메인이 확인되었는지 확인하려면 확인을 선택합니다.

   

Microsoft Entra Connect 다운로드 및 설치

이제 Microsoft Entra Connect를 다운로드하고 설치할 순서입니다. 설치한 후 빠른 설치를 사용합니다.

1. Microsoft Entra Connect를 다운로드합니다.

2. AzureADConnect.msi로 이동하고 두 번 클릭하여 설치 파일을 엽니다.

3. 시작에서 확인란을 선택하여 라이선스 사용 약관에 동의하고 계속을 선택합니다.

4. 기본 설정에서 사용자 지정을 선택합니다.

5. 필수 구성 요소 설치에서 설치를 선택합니다.

6. 사용자 로그인에서 AD FS와 페더레이션을 선택한 후, 다음을 선택합니다.

   

7. Microsoft Entra ID에 연결에서 사용자가 이전에 만든 하이브리드 ID 관리자 계정의 사용자 이름과 암호를 입력하고 다음을 선택합니다.

8. 디렉터리 연결에서 디렉터리 추가를 선택합니다. 그런 다음, 새 AD 계정 만들기를 선택하고 contoso\Administrator 사용자 이름 및 암호를 입력합니다. 확인을 선택합니다.

9. 다음을 선택합니다.

10. Microsoft Entra 로그인 구성에서 모든 UPN 접미사를 확인된 도메인에 일치시키지 않고 계속을 선택합니다. 다음을 선택합니다.

11. 도메인 및 OU 필터링에서 다음을 선택합니다.

12. 고유하게 사용자 식별에서 다음을 선택합니다.

13. 사용자 및 디바이스 필터링에서 다음을 선택합니다.

14. 선택적 기능에서 다음을 선택합니다.

15. 도메인 관리자 자격 증명에서 contoso\Administrator 사용자 이름과 암호를 입력한 후, 다음을 선택합니다.

16. AD FS 팜에서 새 AD FS 팜 구성이 선택되어 있는지 확인합니다.

17. 페더레이션 서버에 설치된 인증서 사용을 선택하고 찾아보기를 선택합니다.

18. 검색 상자에 DC1을 입력하고 검색 결과에서 선택합니다. 확인을 선택합니다.

19. 인증서 파일에서 만든 인증서에 해당하는 adfs.contoso.com을 선택합니다. 다음을 선택합니다.

    

20. AD FS 서버에서 찾아보기를 선택합니다. 검색 상자에 DC1을 입력하고 검색 결과에서 선택합니다. 확인을 선택하고 다음을 선택합니다.

    

21. 웹 애플리케이션 프록시 서버에서 다음을 선택합니다.

22. AD FS 서비스 계정에서 contoso/Administrator 사용자 이름과 암호를 입력한 후, 다음을 선택합니다.

23. Microsoft Entra 도메인에서 확인된 사용자 지정 도메인을 선택하고 다음을 선택합니다.

24. 구성 준비 완료에서 설치를 선택합니다.

25. 설치가 완료되면 끝내기를 선택합니다.

26. Synchronization Service Manager 또는 동기화 규칙 편집기를 사용하기 전에 로그아웃한 다음, 다시 로그인합니다.

포털에서 사용자 확인

이제 온-프레미스 Active Directory 테넌트의 사용자가 동기화되었고 이제 Microsoft Entra 테넌트에 있는지 확인합니다. 이 섹션을 완료하는 데 몇 시간이 걸릴 수 있습니다.

사용자가 동기화되었는지 확인하려면 다음을 수행합니다.

1. 최소한 하이브리드 ID 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID>사용자>모든 사용자로 이동

3. 새 사용자가 테넌트에 표시되는지 확인합니다.

   

동기화를 테스트할 사용자 계정으로 로그인

Windows Server AD 테넌트의 사용자가 Microsoft Entra 테넌트와 동기화되는지 테스트하려면 다음 사용자 중 하나로 로그인합니다.

1. https://myapps.microsoft.com(으)로 이동합니다.

2. 새 테넌트에 생성된 사용자 계정으로 로그인합니다.

   사용자 이름은 user@domain.onmicrosoft.com 형식을 사용합니다. 사용자가 온-프레미스 Active Directory에 로그인하는 데 사용하는 것과 동일한 암호를 사용합니다.

Azure에서 제공하는 기능을 테스트하고 익숙해지는 데 사용할 수 있는 하이브리드 ID 환경을 성공적으로 설정했습니다.

다음 단계

• Microsoft Entra Connect 하드웨어 및 필수 구성 요소를 검토합니다.
• Microsoft Entra Connect에서 사용자 지정된 설정을 사용하는 방법에 대해 알아봅니다.
• Microsoft Entra Connect 및 페더레이션에 대해 자세히 알아봅니다.