다음을 통해 공유

Azure에서 Active Directory Domain Service 리소스 포리스트 만들기

Microsoft Entra ID
Microsoft Entra
Azure ExpressRoute
Azure Virtual Network
Azure VPN Gateway

이 참조 아키텍처는 온-프레미스 Active Directory 포리스트의 도메인에서 신뢰할 수 있는 별도의 Active Directory 도메인을 Azure에 만드는 방법을 보여 줍니다.

Architecture

별도의 Active Directory 도메인이 있는 보안 하이브리드 네트워크 아키텍처를 보여 주는 다이어그램

이 아키텍처의 Visio 파일을 다운로드합니다.

Components

  • 온-프레미스 네트워크에는 자체 Active Directory 포리스트 및 도메인이 포함되어 있습니다.

  • Active Directory 서버 는 클라우드에서 VM(가상 머신)으로 실행되는 도메인 서비스를 구현하는 도메인 컨트롤러입니다. 이러한 서버는 온-프레미스에 있는 도메인과 구별되는 하나 이상의 도메인이 있는 포리스트를 호스트합니다.

  • 단방향 트러스트 관계를 사용하면 온-프레미스 사용자가 Azure의 도메인에 있는 리소스에 액세스할 수 있습니다. 그러나 Azure 도메인에 속한 사용자는 온-프레미스 도메인의 리소스에 액세스할 수 없습니다. 다이어그램의 예제에서는 Azure의 도메인에서 온-프레미스 도메인으로의 단방향 트러스트를 보여 줍니다.

  • Active Directory 서브넷 은 AD DS(Active Directory Domain Services) 서버를 호스트하는 별도의 네트워크 세그먼트입니다. 네트워크 보안 그룹 규칙은 이러한 서버를 보호하고 예기치 않은 원본의 트래픽으로부터 방화벽을 제공합니다.

  • Azure gateway provides a connection between the on-premises network and the Azure virtual network. This type of connection can be a VPN connection or Azure ExpressRoute. 자세한 내용은 PowerShell을 사용하여 ExpressRoute 및 사이트 간의 공존 연결 구성을 참조하세요.

Scenario details

AD DS는 ID 정보를 계층 구조에 저장합니다. The top node in the hierarchical structure is known as a forest. 포리스트에는 도메인이 포함되고 도메인에는 다른 유형의 개체가 포함됩니다. 이 참조 아키텍처는 온-프레미스 도메인과 단방향 나가는 트러스트 관계를 사용하여 Azure에서 AD DS 포리스트를 만듭니다. Azure의 포리스트에는 온-프레미스에 없는 도메인이 포함되어 있습니다. 트러스트 관계 때문에 온-프레미스 도메인에 대해 만들어진 로그온은 별도의 Azure 도메인의 리소스에 액세스하기 위해 신뢰할 수 있습니다.

잠재적인 사용 사례

이 아키텍처의 일반적인 용도로는 클라우드에 보관된 개체 및 ID에 대한 보안 분리 유지 관리가 포함됩니다. 또한 개별 도메인을 온-프레미스에서 클라우드로 마이그레이션하는 것도 포함됩니다.

자세한 내용은 Microsoft Entra ID와 온-프레미스 Active Directory 도메인 통합을 참조하세요.

Recommendations

대부분의 시나리오에 다음 권장 사항을 적용할 수 있습니다. 특정 요구 사항이 이를 적용하지 않을 것을 요구하지 않는다면 이러한 권장 사항을 따르십시오.

Azure에서 Active Directory를 구현하는 방법에 대한 구체적인 권장 사항은 Azure 가상 네트워크에 AD DS 배포를 참조하세요.

Trust

온-프레미스 도메인은 클라우드의 도메인과 다른 포리스트 내에 포함됩니다. 클라우드에서 온-프레미스 사용자의 인증을 사용하도록 설정하려면 Azure의 도메인이 온-프레미스 포리스트의 로그온 도메인을 신뢰해야 합니다. 마찬가지로 클라우드가 외부 사용자에 대한 로그온 도메인을 제공하는 경우 온-프레미스 포리스트가 클라우드 도메인을 신뢰해야 할 수 있습니다.

포리스트 트러스트를 만들거나 외부 트러스트를 만들어 도메인 수준에서 포리스트 수준에서 트러스트를 설정할 수 있습니다. 포리스트 수준 트러스트는 두 포리스트의 모든 도메인 간에 관계를 만듭니다. 외부 도메인 수준 트러스트는 지정된 두 도메인 간의 관계만 만듭니다. 다른 포리스트의 도메인 간에는 외부 도메인 수준 트러스트만을 만들어야 합니다.

Trusts with an on-premises Active Directory are only one way, or unidirectional. 단방향 트러스트를 사용하면 들어오는 도메인 또는 포리스트라고 하는 한 도메인 또는 포리스트의 사용자가 나가는 도메인 또는 포리스트라고 하는 다른 도메인 또는 포리스트의 리소스에 액세스할 수 있습니다. 나가는 도메인의 사용자는 들어오는 도메인의 리소스에 액세스할 수 없습니다.

다음 표에서는 간단한 시나리오에 대한 신뢰 구성을 요약합니다.

Scenario On-premises trust Cloud trust
온-프레미스 사용자는 클라우드의 리소스에 액세스해야 하지만 클라우드 사용자는 온-프레미스 환경의 리소스에 액세스할 필요가 없습니다. One-way, incoming One-way, outgoing
클라우드의 사용자는 온-프레미스에 있는 리소스에 액세스해야 하지만 온-프레미스 환경의 사용자는 클라우드의 리소스에 액세스할 필요가 없습니다. One-way, outgoing One-way, incoming

Considerations

이러한 고려 사항은 워크로드의 품질을 향상시키는 데 사용할 수 있는 일련의 기본 원칙인 Azure Well-Architected Framework의 핵심 요소를 구현합니다. For more information, see Well-Architected Framework.

Reliability

안정성은 애플리케이션이 고객에 대한 약정을 충족할 수 있도록 하는 데 도움이 됩니다. 자세한 내용은 안정성 대한디자인 검토 검사 목록을 참조하세요.

각 도메인에 대해 최소 두 개의 도메인 컨트롤러를 프로비전합니다. 이 방법을 사용하면 서버 간에 자동 복제가 가능합니다. 각 도메인을 처리하는 Active Directory 서버 역할을 하는 VM에 대한 가용성 집합을 만듭니다. 이 가용성 집합에 두 개 이상의 서버를 배치합니다.

유연한 단일 마스터 작업 역할 역할을 하는 서버에 대한 연결이 실패하는 경우 각 도메인에서 하나 이상의 서버를 대기 작업 마스터로 지정하는 것이 좋습니다.

Security

보안은 의도적인 공격 및 중요한 데이터 및 시스템의 오용에 대한 보증을 제공합니다. 자세한 내용은 보안 대한디자인 검토 검사 목록을 참조하세요.

포리스트 수준 트러스트는 전이적입니다. 온-프레미스 포리스트와 클라우드의 포리스트 간에 포리스트 수준 트러스트를 설정하는 경우 트러스트는 두 포리스트에서 만든 새 도메인으로 확장됩니다. 도메인을 사용하여 보안을 위해 분리를 제공하는 경우 도메인 수준에서만 트러스트를 만드는 것이 좋습니다. 도메인 수준 트러스트는 전이적이지 않습니다.

Active Directory 관련 보안 고려 사항은 Azure 가상 네트워크에 AD DS 배포의 보안 고려 사항 섹션을 참조하세요.

Cost Optimization

비용 최적화는 불필요한 비용을 줄이고 운영 효율성을 개선하는 방법에 중점을 둡니다. 자세한 내용은 비용 최적화 대한디자인 검토 검사 목록을 참조하세요.

Azure 가격 계산기를 사용하여 이 아키텍처에 사용되는 서비스에 대한 비용을 예측합니다.

Microsoft Entra Domain Services

여러 워크로드가 비용을 절감하기 위해 사용하는 공유 서비스로 Microsoft Entra Domain Services를 배포하는 것이 좋습니다. 자세한 내용은 자체 관리형 Active Directory Domain Services, Microsoft Entra ID 및 관리되는 Microsoft Entra Domain Services를 비교합니다.

Azure VPN Gateway

이 아키텍처의 주요 구성 요소는 VPN 게이트웨이 서비스입니다. 게이트웨이가 프로비전되고 사용 가능한 시간에 따라 요금이 청구됩니다.

모든 인바운드 트래픽은 무료이며 모든 아웃바운드 트래픽은 요금이 청구됩니다. 인터넷 대역폭 비용은 VPN 아웃바운드 트래픽에 적용됩니다.

자세한 내용은 VPN Gateway 가격 책정을 참조하세요.

Operational Excellence

운영 우수성은 애플리케이션을 배포하고 프로덕션 환경에서 계속 실행하는 운영 프로세스를 다룹니다. 자세한 내용은 운영 우수성 대한디자인 검토 검사 목록을 참조하세요.

DevOps

For DevOps considerations, see Operational Excellence.

Manageability

관리 및 모니터링 고려 사항에 대한 자세한 내용은 Azure 가상 네트워크에 AD DS 배포를 참조하세요.

Monitor Active Directory의 지침을 따릅니다. 관리 서브넷의 모니터링 서버에 Microsoft System Center 와 같은 도구를 설치하여 이러한 작업을 수행할 수 있습니다.

Performance Efficiency

성능 효율성은 사용자 요구를 효율적으로 충족하기 위해 워크로드의 크기를 조정하는 기능을 의미합니다. 자세한 내용은 성능 효율성 대한디자인 검토 검사 목록을 참조하세요.

Active Directory는 동일한 도메인의 일부인 도메인 컨트롤러에 대해 자동으로 확장할 수 있습니다. 요청은 도메인 내의 모든 컨트롤러에 분산됩니다. 다른 도메인 컨트롤러를 추가할 수 있으며 도메인과 자동으로 동기화됩니다. 도메인 내의 컨트롤러로 트래픽을 보내도록 별도의 부하 분산 장치를 구성하지 마세요. 모든 도메인 컨트롤러에 도메인 데이터베이스를 처리할 수 있는 충분한 메모리 및 스토리지 리소스가 있는지 확인합니다. 모든 도메인 컨트롤러 VM의 크기를 동일하게 만듭니다.