Azure NetApp Files에 대한 Active Directory Domain Services 사이트 디자인 및 계획에 대한 지침 이해
적절한 AD DS(Active Directory Domain Services) 디자인 및 계획은 Azure NetApp Files 볼륨을 사용하는 솔루션 아키텍처의 핵심입니다. SMB 볼륨, 이중 프로토콜 볼륨 및 NFSv4.1 Kerberos 볼륨과 같은 Azure NetApp Files 기능은 AD DS와 함께 사용하도록 설계되었습니다.
이 문서에서는 Azure NetApp Files에 대한 AD DS 배포 전략을 개발하는 데 도움이 되는 권장 사항을 제공합니다. 이 문서를 읽기 전에, AD DS가 기능 수준에서 작동하는 방식을 정확하게 이해해야 합니다.
Azure NetApp Files의 AD DS 요구 사항 확인
Azure NetApp Files 볼륨을 배포하기 전에, Azure NetApp Files을 AD DS에 잘 연결할 수 있도록 Azure NetApp Files의 AD DS 통합 요구 사항을 확인해야 합니다. AD DS와 Azure NetApp Files의 통합이 잘못되거나 불완전하면 SMB, 이중 프로토콜 또는 Kerberos NFSv4.1 볼륨에 대한 클라이언트 액세스가 중단될 수 있습니다.
지원되는 인증 시나리오
Azure NetApp Files는 다음 방법을 통해 SMB를 통한 ID 기반 인증을 지원합니다.
- AD DS 인증: AD DS에 조인된 Windows 컴퓨터는 SMB를 통해 Active Directory 자격 증명을 사용하여 Azure NetApp Files 공유에 액세스할 수 있습니다. 클라이언트가 AD DS에 연결되어 있어야 합니다. 디바이스가 AD DS에 도메인 조인 Azure의 VM 또는 온-프레미스에 이미 AD DS가 설정된 경우 Azure NetApp Files 파일 공유 인증에 AD DS를 사용해야 합니다.
- Microsoft Entra Domain Services 인증: Microsoft Entra Domain Services에 가입된 클라우드 기반 Windows VM은 Microsoft Entra Domain Services 자격 증명을 사용하여 Azure NetApp Files 파일 공유에 액세스할 수 있습니다. 이 솔루션에서 Microsoft Entra Domain Services는 고객을 대신하여 기존 Windows Server AD 도메인을 실행합니다.
- Linux 클라이언트에 대한 AD Kerberos 인증: Linux 클라이언트는 AD DS를 사용하여 Azure NetApp Files에 SMB를 통한 Kerberos 인증을 사용할 수 있습니다.
네트워크 요구 사항
Azure NetApp Files 볼륨을 사용하여 예측 가능한 Active Directory Domain Services 작업을 수행하려면 AD DS 도메인 컨트롤러에 대한 안정적이고 대기 시간이 짧은 네트워크 연결(왕복 시간[RTT] 10밀리초[ms] 이하)을 적극 권장합니다. Azure NetApp Files와 AD DS 도메인 컨트롤러 간의 네트워크 연결이 좋지 않거나 네트워크 대기 시간이 높으면 클라이언트 액세스 중단 또는 클라이언트 시간 초과가 발생할 수 있습니다.
참고 항목
10ms 권장 사항은 사이트 디자인 만들기: 어떤 위치를 사이트로 만들 것인지 결정의 지침을 따릅니다.
네트워크 토폴로지 및 구성에 대한 다음 요구 사항을 충족해야 합니다.
- Azure NetApp Files를 지원하는 네트워크 토폴로지를 사용해야 합니다.
- AD DS 도메인 컨트롤러가 Azure NetApp Files 볼륨을 호스트하는 Azure NetApp Files 위임된 서브넷과 네트워크를 통해 연결되어야 합니다.
- Azure NetApp Files에서 AD DS 도메인 컨트롤러로 네트워크를 통해 연결되도록, AD DS 도메인 컨트롤러를 사용하는 피어링된 가상 네트워크 토폴로지에서 피어링을 올바르게 구성해야 합니다.
- NSG(네트워크 보안 그룹) 및 AD DS 도메인 컨트롤러 방화벽에서 Azure NetApp Files가 AD DS 및 DNS에 연결하도록 지원하는 적절한 규칙을 구성해야 합니다.
- 최적의 환경을 위해 Azure NetApp Files와 AD DS 도메인 컨트롤러 간의 네트워크 대기 시간이 10ms RTT 이하인지 확인합니다. RTT가 10ms보다 길면 대기 시간에 중요한 애플리케이션/환경에서 애플리케이션이나 사용자 환경이 저하될 수 있습니다. RTT가 사용자 환경에 비해 너무 긴 경우 Azure NetApp Files 환경에 복제 도메인 컨트롤러를 배포하는 것이 좋습니다. Active Directory Domain Services 고려 사항도 참조하세요.
광역 네트워크에서 네트워크 대기 시간에 대한 Microsoft Active Directory 요구 사항에 대한 자세한 내용은 사이트 디자인 만들기를 참조하세요.
필요한 네트워크 포트는 다음과 같습니다.
서비스 | 포트 | 프로토콜 |
---|---|---|
ICMPv4(ping) | 해당 없음 | Echo Reply |
DNS* | 53 | TCP, UDP |
Kerberos | 88 | TCP, UDP |
NetBIOS 데이터그램 서비스 | 138 | UDP |
NetBIOS | 139 | UDP |
LDAP** | 389 | TCP, UDP |
SAM(보안 계정 관리자)/LSA(로컬 보안 기관)/SMB | 445 | TCP, UDP |
Kerberos(kpasswd) | 464 | TCP, UDP |
Active Directory 글로벌 카탈로그 | 3268 | TCP |
Active Directory 보안 글로벌 카탈로그 | 3269 | TCP |
Active Directory 웹 서비스 | 9389 | TCP |
* Active Directory DNS만 지원
** 현재 LDAP over SSL(포트 636)은 지원되지 않습니다. 대신 LDAP over StartTLS(포트 389)를 사용하여 LDAP 트래픽을 암호화합니다.
DNS에 대한 내용은 Azure NetApp Files의 Domain Name System 이해를 참조하세요.
시간 소스 요구 사항
Azure NetApp Files는 time.windows.com을 시간 소스로 사용합니다. Azure NetApp Files에서 사용하는 도메인 컨트롤러가 time.windows.com 또는 다른 정확하고 안정적인 루트(계층 1) 시간 소스를 사용하도록 구성합니다. Azure NetApp Files와 클라이언트 또는 AS DS 도메인 컨트롤러 사이에 5분 이상의 차이가 있는 경우 인증이 실패합니다. Azure NetApp Files 볼륨에 대한 액세스도 실패할 수 있습니다.
Azure NetApp Files에서 사용할 AD DS 결정
Azure NetApp Files는 AD DS(Active Directory Domain Services) 및 AD 연결을 위한 Microsoft Entra Domain Services를 모두 지원합니다. AD 연결을 만들기 전에 AD DS 또는 Microsoft Entra Domain Services를 사용할지 여부를 결정해야 합니다.
자세한 내용은 자체 관리형 Active Directory Domain Services, Microsoft Entra ID와 관리형 Microsoft Entra Domain Services 비교를 참조하세요.
Active Directory Domain Services 고려 사항
다음 시나리오에서는 AD DS(Active Directory Domain Services)를 사용해야 합니다.
- Azure NetApp Files 리소스에 액세스해야 하는 AD DS 사용자가 온-프레미스 AD DS 도메인에 호스트되었습니다.
- Azure NetApp Files 리소스에 액세스해야 하는 애플리케이션 중 일부는 온-프레미스, 일부는 Azure에 호스트되었습니다.
- 구독 시 Microsoft Entra 테넌트와 Microsoft Entra Domain Services를 통합할 필요가 없거나 Microsoft Entra Domain Services가 기술 요구 사항과 호환되지 않습니다.
참고 항목
Azure NetApp Files는 AD DS RODC(읽기 전용 도메인 컨트롤러) 사용을 지원하지 않습니다. 쓰기 가능한 도메인 컨트롤러가 지원되며 Azure NetApp Files 볼륨 인증에 필요합니다. 자세한 내용은 Active Directory 복제 개념을 참조하세요.
Azure NetApp Files에서 AD DS를 사용하도록 선택하는 경우 AD DS를 Azure 아키텍처로 확장 가이드의 지침을 따르고 AD DS에 대한 Azure NetApp Files 네트워크 및 DNS 요구 사항을 충족하는지 확인합니다.
Microsoft Entra Domain Services 고려 사항
Microsoft Entra Domain Services는 Microsoft Entra 테넌트와 동기화되는 관리형 AD DS 도메인입니다. Microsoft Entra Domain Services 사용 시 주요 이점은 다음과 같습니다.
- Microsoft Entra Domain Services는 독립 실행형 도메인입니다. 따라서 온-프레미스와 Azure 간에 네트워크 연결을 설정할 필요가 없습니다.
- 간단한 배포 및 관리 환경을 제공합니다.
다음 시나리오에서는 Microsoft Entra Domain Services를 사용해야 합니다.
- Azure NetApp Files 리소스에 대한 액세스를 제공하기 위해 온-프레미스에서 Azure로 AD DS를 확장할 필요가 없습니다.
- 온-프레미스 AD DS를 Azure로 확장하는 것을 보안 정책에서 허용하지 않습니다.
- AD DS에 대한 전문 지식이 없습니다. Microsoft Entra Domain Services는 Azure NetApp Files를 통해 좋은 결과를 얻을 가능성을 높일 수 있습니다.
Azure NetApp Files에서 Microsoft Entra Domain Services를 사용하기로 선택한 경우 아키텍처, 배포 및 관리 지침에 대한 Microsoft Entra Domain Services 설명서를 참조하세요. Azure NetApp Files 네트워크 및 DNS 요구 사항도 충족해야 합니다.
Azure NetApp Files에 사용할 AD DS 사이트 토폴로지 설계
AD DS 사이트 토폴로지를 적절하게 설계하는 것은 Azure NetApp Files SMB, 이중 프로토콜 또는 NFSv4.1 Kerberos 볼륨을 사용하는 솔루션 아키텍처에 매우 중요합니다.
AD DS 사이트 토폴로지 또는 구성이 잘못되면 다음과 같은 동작이 발생할 수 있습니다.
- Azure NetApp Files SMB, 이중 프로토콜 또는 NFSv4.1 Kerberos 볼륨을 만들 수 없음
- ANF AD 연결 구성을 수정할 수 없음
- LDAP 클라이언트 쿼리 성능 불량
- 인증 문제
Azure NetApp Files에 대한 AD DS 사이트 토폴로지는 Azure NetApp Files 네트워크를 논리적으로 표현한 것입니다. Azure NetApp Files에 대한 AD DS 사이트 토폴로지를 설계하려면 Azure NetApp Files 서비스, Azure NetApp Files 스토리지 클라이언트 및 AD DS 도메인 컨트롤러가 안정적으로 연결되도록 도메인 컨트롤러 배치를 계획하고 사이트, DNS 인프라 및 네트워크 서브넷을 설계해야 합니다.
Azure NetApp Files AD 사이트 이름에 구성된 AD DS 사이트에 할당된 여러 도메인 컨트롤러 외에도 Azure NetApp Files AD DS 사이트에는 하나 이상의 서브넷이 할당될 수 있습니다.
참고 항목
Azure NetApp Files AD DS 사이트에 할당된 모든 도메인 컨트롤러 및 서브넷은 잘 연결되어 있고(RTT 대기 시간 10ms 미만) Azure NetApp Files 볼륨에서 사용하는 네트워크 인터페이스에서 연결할 수 있어야 합니다.
표준 네트워크 기능을 사용하는 경우 UDR(사용자 정의 경로) 또는 NSG(네트워크 보안 그룹) 규칙이 Azure NetApp Files AD DS 사이트에 할당된 AD DS 도메인 컨트롤러와의 Azure NetApp Files 네트워크 통신을 차단하지 않는지 확인해야 합니다.
네트워크 가상 어플라이언스 또는 방화벽(예: Palo Alto Networks 또는 Fortinet 방화벽)을 사용하는 경우 Azure NetApp Files와 Azure NetApp Files AD DS 사이트에 할당된 AD DS 도메인 컨트롤러 및 서브넷 간의 네트워크 트래픽을 차단하지 않도록 구성해야 합니다.
Azure NetApp Files가 AD DS 사이트 정보를 사용하는 방법
Azure NetApp Files는 Active Directory 연결에 구성된 AD 사이트 이름을 사용하여 인증, 도메인 조인, LDAP 쿼리 및 Kerberos 티켓 작업을 지원하기 위해 존재하는 도메인 컨트롤러를 검색합니다.
AD DS 도메인 컨트롤러 검색
Azure NetApp Files는 4시간마다 도메인 컨트롤러 검색을 시작합니다. Azure NetApp Files는 사이트별 DNS 서비스 리소스(SRV) 레코드를 쿼리하여 Azure NetApp Files AD 연결의 AD 사이트 이름 필드에 지정된 AD DS 사이트에 있는 도메인 컨트롤러를 확인합니다. Azure NetApp Files 도메인 컨트롤러 서버 검색은 도메인 컨트롤러(예: Kerberos, LDAP, Net Logon 및 LSA)에서 호스트되는 서비스의 상태를 확인하고 인증 요청을 위한 최적의 도메인 컨트롤러를 선택합니다.
Azure NetApp Files AD 연결의 AD 사이트 이름 필드에 지정된 AD DS 사이트에 대한 DNS SRV 레코드에는 Azure NetApp Files에서 사용할 AD DS 도메인 컨트롤러의 IP 주소 목록이 포함되어야 합니다. nslookup
유틸리티를 사용하여 DNS SRV 레코드의 유효성을 확인할 수 있습니다.
참고 항목
AD DS 사이트에서 Azure NetApp Files가 사용하는 도메인 컨트롤러를 변경하는 경우 새 AD DS 도메인 컨트롤러를 배포한 후 적어도 4시간 이상 기다렸다가 기존 AD DS 도메인 컨트롤러를 사용 중지해야 합니다. 이 대기 시간 동안 Azure NetApp Files가 새 AD DS 도메인 컨트롤러를 검색할 수 있습니다.
사용 중지된 AD DS 도메인 컨트롤러와 연결된 부실 DNS 레코드를 DNS에서 제거합니다. 이렇게 하면 Azure NetApp Files가 사용 중지된 도메인 컨트롤러와 통신을 시도하지 않습니다.
AD DS LDAP 서버 검색
Azure NetApp Files NFS 볼륨에 LDAP를 사용하도록 설정하면 AD DS LDAP 서버에 대한 별도의 검색 프로세스가 발생합니다. Azure NetApp Files에 LDAP 클라이언트가 만들어지면 Azure NetApp Files는 AD DS SRV 레코드를 쿼리하여 AD 연결에 지정된 AD DS 사이트에 할당된 AD DS LDAP 서버가 아닌 도메인의 모든 AD DS LDAP 서버 목록을 가져옵니다.
대규모 또는 복잡한 AD DS 토폴로지에서는 AD 연결에 지정된 AD DS 사이트에 할당된 AD DS LDAP 서버가 반환되도록 DNS 정책 또는 DNS 서브넷 우선 순위를 구현해야 할 수도 있습니다.
또는 최대 2개의 LDAP 클라이언트용 네이티브 AD 서버를 지정하여 AD DS LDAP 서버 검색 프로세스를 재정의할 수 있습니다.
Important
Azure NetApp Files가 Azure NetApp Files LDAP 클라이언트를 만드는 동안 발견된 AD DS LDAP 서버에 연결할 수 없으면 LDAP 사용 볼륨 만들기가 실패합니다.
올바르지 않거나 불완전한 AD 사이트 이름 구성의 결과
AD DS 사이트 토폴로지 또는 구성이 올바르지 않거나 불완전하면 볼륨 만들기 실패, 클라이언트 쿼리 문제, 인증 실패 및 Azure NetApp Files AD 연결 수정 실패가 발생할 수 있습니다.
Important
AD 사이트 이름 필드는 Azure NetApp Files AD 연결을 만드는 데 필요합니다. 정의된 AD DS 사이트가 있어야 하며 올바르게 구성되어야 합니다.
Azure NetApp Files는 AD DS 사이트를 사용하여 AD 사이트 이름에 정의된 AD DS 사이트에 할당된 도메인 컨트롤러 및 서브넷을 검색합니다. AD DS 사이트에 할당된 모든 도메인 컨트롤러는 ANF에서 사용하는 Azure 가상 네트워크 인터페이스와 네트워크를 통해 안정적으로 연결되어야 하며 연결할 수 있어야 합니다. Azure NetApp Files가 사용하는 AD DS 사이트에 할당된 AD DS 도메인 컨트롤러 VM은 VM을 종료하는 비용 관리 정책에서 제외해야 합니다.
Azure NetApp Files가 AD DS 사이트에 할당된 도메인 컨트롤러에 연결할 수 없는 경우 도메인 컨트롤러 검색 프로세스는 AD DS 도메인에서 모든 도메인 컨트롤러 목록을 쿼리합니다. 이 쿼리에서 반환된 도메인 컨트롤러 목록은 정렬되지 않은 목록입니다. 결과적으로 Azure NetApp Files는 연결할 수 없거나 제대로 연결되지 않은 도메인 컨트롤러를 사용하려고 시도할 수 있으며, 이로 인해 볼륨 만들기 실패, 클라이언트 쿼리 문제, 인증 실패 및 Azure NetApp Files AD 연결 수정 실패가 발생할 수 있습니다.
Azure NetApp Files AD Connection에서 사용하는 AD DS 사이트에 할당된 서브넷에 새 도메인 컨트롤러가 배포될 때마다 AD DS 사이트 구성을 업데이트해야 합니다. 사이트의 DNS SRV 레코드는 Azure NetApp Files에서 사용하는 AD DS 사이트에 할당된 도메인 컨트롤러의 변경 내용을 반영해야 합니다. nslookup
유틸리티를 사용하여 DNS SRV 리소스 레코드의 유효성을 확인할 수 있습니다.
참고 항목
Azure NetApp Files는 AD DS RODC(읽기 전용 도메인 컨트롤러) 사용을 지원하지 않습니다. Azure NetApp Files가 RODC를 사용하지 못하게 하려면 AD 연결의 AD 사이트 이름 필드를 RODC로 구성하지 마세요. 쓰기 가능한 도메인 컨트롤러가 지원되며 Azure NetApp Files 볼륨 인증에 필요합니다. 자세한 내용은 Active Directory 복제 개념을 참조하세요.
Azure NetApp Files의 샘플 AD DS 사이트 토폴로지 구성
AD DS 사이트 토폴로지는 Azure NetApp Files가 배포되는 네트워크를 논리적으로 표현한 것입니다. 이 섹션에서 소개하는 AD DS 사이트 토폴로지의 샘플 구성 시나리오에서는 Azure NetApp Files의 기본 AD DS 사이트 설계를 보여줍니다. 이 방법이 Azure NetApp Files의 네트워크 또는 AD 사이트 토폴로지를 설계하는 유일한 방법은 아닙니다.
Important
복잡한 AD DS 또는 복잡한 네트워크 토폴로지가 포함된 시나리오의 경우 Microsoft Azure 클라우드 솔루션 아키텍트 CSA가 Azure NetApp Files 네트워킹 및 AD 사이트 디자인을 검토해야 합니다.
다음 다이어그램은 샘플 네트워크 토폴로지를 보여 줍니다.
샘플 네트워크 토폴로지에서 온-프레미스 AD DS 도메인(anf.local
)은 Azure 가상 네트워크로 확장됩니다. 온-프레미스 네트워크는 Azure ExpressRoute 회로를 사용하여 Azure 가상 네트워크에 연결됩니다.
Azure 가상 네트워크에는 게이트웨이 서브넷, Azure Bastion 서브넷, AD DS 서브넷, Azure NetApp Files 위임된 서브넷이라는 4개의 서브넷이 있습니다. anf.local
도메인에 조인된 중복 AD DS 도메인 컨트롤러는 AD DS 서브넷에 배포됩니다. AD DS 서브넷에는 IP 주소 범위 10.0.0.0/24가 할당됩니다.
Azure NetApp Files는 인증, LDAP 쿼리 및 Kerberos에 사용할 도메인 컨트롤러를 결정하는 데 AD DS 사이트를 하나만 사용할 수 있습니다. 샘플 시나리오에서는 Active Directory 사이트 및 서비스 유틸리티를 사용하여 2개의 서브넷 개체를 만들고 ANF
라는 사이트에 할당합니다. 한 서브넷 개체는 AD DS 서브넷 10.0.0.0/24에 매핑되고, 다른 서브넷 개체는 ANF 위임된 서브넷 10.0.2.0/24에 매핑됩니다.
Active Directory 사이트 및 서비스 도구에서 AD DS 서브넷에 배포된 AD DS 도메인 컨트롤러가 ANF
사이트에 할당되었는지 확인합니다.
할당되지 않은 경우 Azure 가상 네트워크의 AD DS 서브넷에 매핑되는 서브넷 개체를 만듭니다. Active Directory 사이트 및 서비스 유틸리티에서 서브넷 컨테이너를 마우스 오른쪽 단추로 클릭하고 새 서브넷...를 선택합니다. 새 개체 - 서브넷 대화 상자에서 AD DS 서브넷의 10.0.0.0/24 IP 주소 범위가 접두사 필드에 입력됩니다. 서브넷의 사이트 개체로 ANF
를 선택합니다. 확인을 선택하여 서브넷 개체를 만들고 ANF
사이트에 할당합니다.
새 서브넷 개체가 올바른 사이트에 할당되었는지 확인하려면 10.0.0.0/24 서브넷 개체를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. 사이트 필드에 ANF
사이트 개체가 표시될 것입니다.
Azure 가상 네트워크의 Azure NetApp Files 위임된 서브넷에 매핑되는 서브넷 개체를 만들려면 Active Directory 사이트 및 서비스 유틸리티에서 서브넷 컨테이너를 마우스 오른쪽 단추로 클릭하고 새 서브넷...을 선택합니다.
지역 간 복제 시 고려 사항
지역 간 Azure NetApp Files 복제를 통해 한 지역에서 다른 지역으로 Azure NetApp Files 볼륨을 복제하여 BC/DR(비즈니스 연속성 및 재해 복구) 요구 사항을 지원할 수 있습니다.
Azure NetApp Files SMB, 이중 프로토콜 및 NFSv4.1 Kerberos 볼륨은 지역 간 복제를 지원합니다. 이러한 볼륨의 복제에는 다음이 필요합니다.
- 원본 및 대상 지역에서 NetApp 계정을 만듭니다.
- 원본 및 대상 지역에서 만든 NetApp 계정에 Azure NetApp Files Active Directory를 연결합니다.
- AD DS 도메인 컨트롤러를 대상 지역에 배포하고 실행합니다.
- 대상 지역의 AD DS 도메인 컨트롤러와 Azure NetApp Files가 안정적으로 네트워크 통신을 수행하려면 적절한 Azure NetApp Files 네트워크, DNS 및 AD DS 사이트 설계를 대상 지역에 배포해야 합니다.
- 대상 지역의 Active Directory 연결은 대상 지역의 DNS 및 AD 사이트 리소스를 사용하도록 구성해야 합니다.