반응형

Azure 대한 공부를 어디서 출발할지 많은 고민이 있었습니다.

저의 기본 베이스는 Office 365 Azure AD Sync 이고, 기존에 있던 환경을 확장하는 방향으로 시작하기로 하였습니다.

AD 저의 전문 파트가 아니다보니, 개념 설명이 약간 틀릴 있다는 점을 미리 알려드립니다.

 

Office 365 테넌트를 생성하면, 사용자 그룹 다양한 개체를 생성할 있습니다. 영역은 대부분 Azure AD 속합니다. 여기서 Azure AD Azure AD Domain Services (Azure AD DS) 다른 개념이다 라는 것에 대한 이해가 필요합니다. 테넌트가 생성되었지만, Domain Controller 생성된 개념은 아닌 것입니다. 사용자 계정, 그룹을 생성할 있는 Directory(전화번호부) 생성된 것입니다. Azure AD Member Server Join 시키고, Cloud Infra 설계하려면 Azure AD DS 활성화 해야 합니다.

 

아래의 기술자료에서 기존 AD DS Azure AD DS 차이점이 설명되어 있습니다. 시작하기전에 어느정도 이해가 필요합니다.

Azure Active Directory Domain Services란?

https://docs.microsoft.com/ko-kr/azure/active-directory-domain-services/overview

 

자료속에서 제가 생각하는 구성은 다음과 같습니다.

하이브리드 조직을 위한 Azure AD DS

 

많은 조직에서는 클라우드 및 온-프레미스 애플리케이션 워크로드가 모두 포함된 하이브리드 인프라를 실행합니다. 리프트 및 시프트 전략의 일환으로 Azure로 마이그레이션된 레거시 애플리케이션은 여전히 기존 LDAP 연결을 사용하여 ID 정보를 제공할 수 있습니다. 이 하이브리드 인프라를 지원하기 위해 온-프레미스 AD DS(Active Directory Domain Services) 환경의 ID 정보는 Azure AD 테넌트에 동기화될 수 있습니다. 그러면 Azure AD DS에서 온-프레미스 디렉터리 서비스에 대한 애플리케이션 연결을 다시 구성하고 관리할 필요 없이 Azure에서 ID 원본을 이러한 레거시 애플리케이션에 제공할 수 있습니다.

온-프레미스 리소스와 Azure 리소스를 모두 실행하는 하이브리드 조직인 Litware Corporation의 예를 살펴보겠습니다.

  • 도메인 서비스가 필요한 애플리케이션 및 서버 워크로드가 Azure의 가상 네트워크에 배포됩니다.

여기에는 리프트 및 시프트 전략의 일환으로 Azure로 마이그레이션된 레거시 애플리케이션이 포함될 수 있습니다.

  • ID 정보를 온-프레미스 디렉터리에서 Azure AD 테넌트로 동기화하기 위해 Litware Corporation에서 Azure AD Connect를 배포합니다.

동기화되는 ID 정보에는 사용자 계정 및 그룹 멤버 자격이 포함됩니다.

  • Litware의 IT 팀에서 이 가상 네트워크 또는 피어링된 가상 네트워크에서 해당 Azure AD 테넌트에 Azure AD DS를 사용하도록 설정합니다.
  • 그러면 Azure 가상 네트워크에 배포된 애플리케이션과 VM에서 도메인 조인, LDAP 읽기, LDAP 바인딩, NTLM/Kerberos 인증 및 그룹 정책과 같은 Azure AD DS 기능을 사용할 수 있습니다. 


다음의 기술자료를 참고하여 Azure AD DS 활성화 진행하겠습니다.

자습서: Azure Active Directory Domain Services 인스턴스 만들기 및 구성

https://docs.microsoft.com/ko-kr/azure/active-directory-domain-services/tutorial-create-instance

 

Azure 계정이 없다면 아래의 페이지에서 체험판을 생성합니다.

지금 Azure 체험 계정 만들기

https://azure.microsoft.com/ko-kr/free/?WT.mc_id=A261C142F


https://portal.azure.com  관리자 계정으로 로그인 - 리소스 그룹 - 추가


리소스 그룹 이름 지정 - 영역 지정 - 검토 + 만들기


만들기


+리소스 만들기 - Azure AD Domain Services 검색


만들기


DNS 도메인 이름 지정 - 확인


가상 네트워크 선택 - 새로 만들기


확인


생성한 서브넷 선택


AAD DC Administrators - 구성원 추가


전역관리자를 구성원으로 추가 - 선택


기존 Azure AD 등록된 개체 모두 동기화 하도록 하겠습니다. - 확인


확인


배포 진행중


배포 성공


해당 리소스 그룹으로 이동하여 Azure AD Domain Services 항목을 클릭합니다.


구성완료 - (캡처하면서 생성하는 과정중 실수가 있었던 것으로 보입니다. 그래서 kor1.onmicrosoft.com  으로 생성됨 ㅠㅠ)


그래서 제거후 다시 생성함....




프로비저닝이 진행되면서 Domain Controller 활성화 되는 것을 있습니다.

During the provisioning process, Azure AD DS creates two Enterprise Applications named Domain Controller Services and AzureActiveDirectoryDomainControllerServices in your directory. These Enterprise Applications are needed to service your managed domain. It's imperative that these applications are not deleted at any time.



기술 자료에 나와 있는 것처럼 구성버튼을 누르면 DNS 서버 설정이 업데이트 됩니다.

https://docs.microsoft.com/ko-kr/azure/active-directory-domain-services/tutorial-create-instance#update-dns-settings-for-the-azure-virtual-network



 

Azure AD DS에서 사용자 계정을 사용하도록 설정

https://docs.microsoft.com/ko-kr/azure/active-directory-domain-services/tutorial-create-instance#enable-user-accounts-for-azure-ad-ds

 

관리되는 도메인에서 사용자를 인증하려면 Azure AD DS에 NTLM(NT LAN Manager) 및 Kerberos 인증에 적합한 형식의 암호 해시가 필요합니다. Azure AD DS를 테넌트에서 사용하도록 설정할 때까지 Azure AD는 NTLM 또는 Kerberos 인증에 필요한 형식의 암호 해시를 생성하거나 저장하지 않습니다. 또한 보안상의 이유로 Azure AD는 암호 자격 증명을 일반 텍스트 형식으로 저장하지 않습니다. 따라서 Azure AD는 사용자의 기존 자격 증명에 따라 이러한 NTLM 또는 Kerberos 암호 해시를 자동으로 생성할 수 없습니다.

 

암호를 변경한 후 Azure AD DS에서 새 암호를 사용할 수 있고 관리되는 도메인에 조인한 컴퓨터에 성공적으로 로그인될 때까지 몇 분 정도 걸립니다.

Password  Azure AD -> Azure AD DS 전달 혹은 저장하려면 암호 변경이 필요한 것으로 보입니다.

기술자료의 내용 대로 https://myapps.microsoft.com 접속하여 Profile - 암호 변경 작업을 진행합니다.


이제 Azure AD DS 기반으로 어떻게 확장할지 고민하고 포스팅하도록 하겠습니다.


반응형

+ Recent posts