Overview
다음의 기술자료를 참고하여 Azure AD DS 활성화 를 진행하겠다.
자습서: Azure Active Directory Domain Services 인스턴스 만들기 및 구성
https://docs.microsoft.com/ko-kr/azure/active-directory-domain-services/tutorial-create-instance
자습서 - Azure Active Directory Domain Services 관리형 도메인 만들기
이 자습서에서는 Azure Portal을 사용하여 Azure Active Directory Domain Services 관리형 도메인을 만들고 구성하는 방법을 알아봅니다.
docs.microsoft.com
📅 관련 글
2022.02.24 - [Azure] - Azure VM(가상머신 생성)
2022.02.25 - [Azure] - Azure Blob 구성(Storage)
2022.02.25 - [Azure] - Azure AD 구성
Azure Active Directory란?
Azure AD(Azure Active Directory)는 클라우드 기반 ID 및 액세스 관리 서비스이다. 이 서비스를 통해 직원은 Microsoft 365, Azure Portal 및 수천 개의 기타 SaaS 애플리케이션과 같은 외부 리소스에 액세스할 수 있습니다. Azure AD는 또한 내부 리소스에 액세스하는 데 도움이 된다.
누가 Azure AD를 사용하나요?
Azure AD의 대상은 다음과 같다.
IT 관리자: IT 관리자는 Azure AD를 사용하여 비즈니스 요구 사항에 따라 앱 및 앱 리소스에 대한 액세스를 제어한다. 예를 들어 Azure AD를 사용하여 중요한 조직 리소스에 액세스할 때에는 다단계 인증을 요구할 수 있다. Azure AD를 사용하여 기존 Windows Server AD와 Microsoft 365를 포함한 클라우드 앱 간의 사용자 프로비저닝을 자동화할 수도 있다. 마지막으로, Azure AD는 자동으로 사용자 ID 및 자격 증명을 보호하고 액세스 거버넌스 요구 사항을 충족하는 강력한 도구를 제공한다.
앱 개발자: 앱 개발자는 앱에 SSO(Single Sign-On)를 추가하여 사용자의 기존 자격 증명과 함께 사용할 수 있는 표준 기반 접근 방식으로 Azure AD를 사용할 수 있다. Azure AD는 조직의 기존 데이터를 사용하여 맞춤형 앱 환경을 빌드할 수 있는 API도 제공한다.
Microsoft 365, Office 365, Azure 또는 DYNAMICS CRM Online 구독자:구독자는 이미 Azure AD를 사용하고 있다. 각 Microsoft 365, Office 365, Azure 및 Dynamics CRM Online 테넌트는 자동으로 Azure AD 테넌트이다. 통합 클라우드 앱에 대한 액세스를 즉시 관리할 수 있다
AD 구성
https://portal.azure.com 에 관리자 계정으로 로그인 - 리소스 그룹 - 추가
Azure Active Directory 클릭!
ADDS 클릭!
`관리 - 동기화 - 보안설정 - 태그 - 기본값` 으로 진행한다.
Azure AD DS 활성화 전 고려 사항
- 서브넷 구성: Azure AD DS는 특정 서브넷에서 실행되므로, 전용 서브넷을 구성하는 것이 권장된다.
- 네트워크 보안 그룹(NSG) 설정: AD DS에 대한 관리 접근을 제한하고, 필요한 포트(예: LDAP, LDAPS 등)를 열어야 한다.
- DNS 구성 확인: Azure AD DS를 활성화하면, Azure의 가상 네트워크 DNS가 자동으로 변경된다. (수동 설정도 가능.)
Azure AD DS 활성화 후 추가 작업
✅ AD 관리 계정 구성
- 기본적으로 Azure AD DS를 사용하려면 AAD DC Administrators 그룹에 사용자를 추가해야 한다.
- 이 그룹에 포함된 사용자만 도메인 관리자 권한을 갖는다.
✅ LDAP 및 LDAPS 설정
- Azure AD DS에서는 기본적으로 LDAP over SSL(LDAPS)가 비활성화되어 있으므로, 필요하면 보안 인증서 설정이 필요하다.
- ldaps://yourdomain.com:636 포트를 사용할 수 있도록 보안 그룹을 수정해야 한다.
✅ GPO(그룹 정책) 구성
- Azure AD DS에서 GPO를 사용하여 사용자 정책을 관리할 수 있음.
- 기본적으로 제공되는 GPO
- AADDC Computers: Azure AD DS 도메인에 가입된 컴퓨터에 적용됨
- AADDC Users: 도메인 사용자에게 적용됨
✅ 하이브리드 환경 설정
- 기존 온프레미스 AD와 Azure AD DS를 함께 사용할 경우, Azure AD Connect를 이용하여 동기화 설정을 조정할 수 있음.
Azure VM에 WS2016 배포 시 추가할 사항
✅ Windows Server 2016 배포 후 필요한 설정
- Server Manager → Roles and Features에서 Active Directory 도구 설치
- Remote Server Administration Tools (RSAT) 설치
Install-WindowsFeature RSAT-AD-Tools- DNS 서버 설정 변경
- Azure AD DS의 관리 IP를 기본 DNS 서버로 설정해야 정상적인 AD 환경을 구성할 수 있음.
✅ Azure AD DS와 Windows Server 연동
- Windows Server를 Azure AD DS 도메인에 도메인 조인(Join)
- `Add-Computer -DomainName "yourdomain.com" -Credential (Get-Credential)`
Add-Computer -DomainName "yourdomain.com" -Credential (Get-Credential)
✅ 원격 관리 활성화
- 기본적으로 RDP(원격 데스크톱) 포트(3389)가 열려 있어야 관리 가능함.
보안 강화를 위한 추가 설정
✅ MFA(다단계 인증) 활성화
- Azure AD DS는 기본적으로 MFA를 지원하지 않으므로 추가 설정이 필요함.
- Azure AD > Security > Conditional Access에서 MFA 정책 구성
✅ Azure Bastion 사용 (선택사항)
- Azure VM에 직접 RDP 접속하는 대신 Azure Bastion을 사용하여 보안 강화
✅ 자동 백업 활성화
- Azure AD DS 백업 기능이 기본적으로 활성화되어 있지만, 주기적인 백업 상태 확인 필요
마무리: Azure AD DS 활성화 및 관리의 중요성
오늘은 Azure Active Directory Domain Services(Azure AD DS)를 활성화하고, Azure 환경에서의 도메인 관리 방법을 살펴봤다.
이 과정에서 네트워크 구성, 보안 설정, LDAP/LDAPS 활용, Windows Server 연동 등 핵심적인 설정 요소들을 다루었다.
Azure AD DS를 올바르게 구성하면, 클라우드 기반의 안정적인 디렉터리 서비스를 구축할 수 있으며, 기존 온프레미스 Active Directory(AD)와의 하이브리드 환경도 원활하게 연동할 수 있다.
🔍 다음 단계는?
1️⃣ WS2016 배포 및 AD 관리도구 설치
2️⃣ Azure AD DS의 그룹 정책(GPO) 구성 및 보안 설정
3️⃣ 온프레미스 AD 연동(Azure AD Connect) 여부 검토
4️⃣ 자동 백업, 모니터링 및 MFA 보안 강화 진행
Reference
'Azure' 카테고리의 다른 글
| Azure Blob 구성(Storage) (0) | 2022.02.25 |
|---|---|
| Azure VM(가상머신 생성) (0) | 2022.02.24 |