자습서: 온-프레미스 도메인을 사용하여 Microsoft Entra Domain Services에서 양방향 포리스트 트러스트 만들기
Microsoft Entra Domain Services와 온-프레미스 AD DS 환경 간에 포리스트 트러스트를 만들 수 있습니다. 포리스트 트러스트 관계를 통해 사용자, 애플리케이션, 컴퓨터는 Domain Services 관리형 도메인의 온-프레미스 도메인에 대해 인증할 수 있습니다. 포리스트 트러스트는 다음과 같은 시나리오에서 사용자가 리소스에 액세스하는 데 도움이 될 수 있습니다.
- 암호 해시를 동기화할 수 없거나 스마트 카드를 사용하여 독점적으로 로그인하는 사용자가 자신의 암호를 모르는 환경입니다.
- 온-프레미스 도메인에 액세스해야 하는 하이브리드 시나리오입니다.
사용자가 리소스에 액세스해야 하는 방법에 따라 포리스트 트러스트를 만들 때 세 가지 가능한 방향 중에서 선택할 수 있습니다. Domain Services는 포리스트 트러스트만 지원합니다. 자식 도메인 온-프레미스에 대한 외부 트러스트는 지원되지 않습니다.
트러스트 방향 | 사용자 액세스 |
---|---|
양방향 | 관리형 도메인과 온-프레미스 도메인의 사용자가 두 도메인의 리소스에 모두 액세스할 수 있도록 허용합니다. |
단방향 송신 | 온-프레미스 도메인의 사용자가 관리형 도메인의 리소스에 액세스할 수 있도록 허용하지만 그 반대의 경우는 허용하지 않습니다. |
단방향 수신 | 관리형 도메인의 사용자가 온-프레미스 도메인의 리소스에 액세스할 수 있도록 허용합니다. |
이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.
- Domain Services 연결을 지원하도록 온-프레미스 AD DS 도메인에서 DNS 구성
- 관리되는 도메인과 온-프레미스 도메인 간에 양방향 포리스트 트러스트 만들기
- 인증 및 리소스 액세스에 대한 포리스트 트러스트 관계 테스트 및 유효성 검사
Azure 구독이 없는 경우 시작하기 전에 계정을 만드세요.
필수 조건
이 자습서를 완료하는 데 필요한 리소스와 권한은 다음과 같습니다.
- 활성화된 Azure 구독.
- Azure 구독이 없는 경우 계정을 만듭니다.
- 온-프레미스 디렉터리 또는 클라우드 전용 디렉터리와 동기화되어 구독과 연결된 Microsoft Entra 테넌트.
- 사용자 지정 DNS 도메인 이름 및 유효한 SSL 인증서로 구성된 Domain Services 관리되는 도메인입니다.
- VPN 또는 ExpressRoute 연결을 통해 관리되는 도메인에서 연결할 수 있는 온-프레미스 Active Directory 도메인입니다.
- 테넌트의 애플리케이션 관리자 및 그룹 관리자 Microsoft Entra 역할은 Domain Services 인스턴스의 수정입니다.
- 트러스트 관계를 만들고 확인할 수 있는 권한이 있는 온-프레미스 도메인의 도메인 관리자 계정입니다.
Important
관리되는 도메인에 대해 적어도 Enterprise SKU를 사용해야 합니다. 필요한 경우 관리되는 도메인의 SKU를 변경하세요.
Microsoft Entra 관리 센터에 로그인합니다.
이 자습서에서는 Microsoft Entra 관리 센터를 사용하여 Domain Services에서 아웃바운드 포리스트 트러스트를 만들고 구성합니다. 시작하려면 먼저 Microsoft Entra 관리 센터에 로그인합니다.
네트워킹 고려 사항
Domain Services 포리스트를 호스트하는 가상 네트워크에는 온-프레미스 Active Directory에 대한 VPN 또는 ExpressRoute 연결이 필요합니다. 또한 애플리케이션과 서비스에는 Domain Services 포리스트를 호스팅하는 가상 네트워크에 대한 네트워크 연결이 필요합니다. Domain Services 포리스트에 대한 네트워크 연결은 항상 켜져 있고 안정적이어야 합니다. 그렇지 않으면 사용자가 리소스를 인증하거나 액세스하지 못할 수 있습니다.
Domain Services에서 포리스트 트러스트를 구성하기 전에 Azure와 온-프레미스 환경 간의 네트워킹이 다음 요구 사항을 충족하는지 확인합니다.
- 방화벽 포트가 트러스트를 만들고 사용하는 데 필요한 트래픽을 허용하는지 확인합니다. 트러스트를 사용하기 위해 열어야 하는 포트에 대한 자세한 내용은 AD DS 트러스트에 대한 방화벽 설정 구성을 참조하세요.
- 개인 IP 주소를 사용합니다. 동적 IP 주소가 할당된 DHCP는 사용하지 마세요.
- 가상 네트워크 피어링 및 라우팅에서 Azure와 온-프레미스 간에 성공적으로 통신할 수 있도록 IP 주소 공간이 겹치지 않도록 합니다.
- Azure 가상 네트워크에는 Azure S2S(사이트 간) VPN 또는 ExpressRoute 연결을 구성하기 위해 게이트웨이 서브넷이 필요합니다.
- 시나리오를 지원하는 데 충분한 IP 주소를 사용하는 서브넷을 만듭니다.
- Domain Services에 자체 서브넷이 있는지 확인하고, 이 가상 네트워크 서브넷을 애플리케이션 VM 및 서비스와 공유하지 마세요.
- 피어링된 가상 네트워크는 전이적이지 않습니다.
- 온-프레미스 AD DS 환경에 대한 Domain Services 포리스트 트러스트를 사용하려는 모든 가상 네트워크 간에 Azure Virtual Network 피어링을 만들어야 합니다.
- 온-프레미스 Active Directory 포리스트에 대한 지속적인 네트워크 연결을 제공합니다. 주문형 연결은 사용하지 마세요.
- Domain Services 포리스트 이름과 온-프레미스 Active Directory 포리스트 이름 간에 지속적인 DNS 이름 확인이 있는지 확인합니다.
온-프레미스 도메인에서 DNS 구성
온-프레미스 환경에서 관리되는 도메인을 올바르게 확인하려면 전달자를 기존 DNS 서버에 추가해야 할 수 있습니다. 관리되는 도메인과 통신하도록 온-프레미스 환경을 구성하려면 온-프레미스 AD DS 도메인에 대한 관리 워크스테이션에서 다음 단계를 완료합니다.
시작>관리 도구>DNS를 선택합니다.
DNS 영역(예: aaddscontoso.com)을 선택합니다.
조건부 전달자를 선택한 다음 오른쪽을 선택하고 새 조건부 전달자...를 선택합니다.
다른 DNS 도메인(예: contoso.com)을 입력한 다음, 아래 예제와 같이 해당 네임스페이스에 대한 DNS 서버의 IP 주소를 입력합니다.
Active Directory에 이 조건부 전달자를 저장하고 다음과 같이 복제 확인란을 선택하고 다음 예제와 같이 ‘이 도메인의 모든 DNS 서버’ 옵션을 선택합니다.
Important
조건부 전달자가 ‘도메인’ 대신 ‘포리스트’에 저장되면 조건부 전달자가 실패합니다.
조건부 전달자를 만들려면 확인을 선택합니다.
온-프레미스 도메인에서 양방향 포리스트 트러스트 만들기
온-프레미스 AD DS 도메인에는 관리되는 도메인에 대한 양방향 포리스트 트러스트가 필요합니다. 이 트러스트는 온-프레미스 AD DS 도메인에서 수동으로 만들어야 합니다. Microsoft Entra 관리 센터에서 만들 수 없습니다.
온-프레미스 AD DS 도메인에서 양방향 트러스트를 구성하려면 온-프레미스 AD DS 도메인에 대해 관리 워크스테이션에서 도메인 관리자로 다음 단계를 완료합니다.
- 시작>관리 도구>Active Directory 도메인 및 트러스트를 차례로 선택합니다.
- 마우스 오른쪽 단추로 도메인(예: onprem.contoso.com)을 클릭한 다음, 속성을 선택합니다.
- 트러스트 탭, 새 트러스트를 차례로 선택합니다.
- aaddscontoso.com과 같은 Domain Services 도메인 이름을 입력하고 다음을 선택합니다.
- 포리스트 트러스트를 만드는 옵션을 선택한 다음 양방향 트러스트를 만듭니다.
- 이 도메인만에 대한 트러스트를 만들도록 선택합니다. 다음 단계에서는 관리되는 도메인에 대한 Microsoft Entra 관리 센터에서 트러스트를 만듭니다.
- 전체 포리스트 인증을 사용하도록 선택한 다음, 트러스트 암호를 입력하고 확인합니다. 이 동일한 암호를 다음 섹션의 Microsoft Entra 관리 센터에도 입력합니다.
- 기본 옵션을 사용하여 다음 몇 개의 창을 단계별로 실행한 다음, 아니요, 보내는 트러스트를 확인하지 않습니다. 옵션을 선택합니다.
- 마침을 선택합니다.
환경에 포리스트 트러스트가 더 이상 필요하지 않은 경우 도메인 관리자로 다음 단계를 완료하여 온-프레미스 도메인에서 제거합니다.
- 시작>관리 도구>Active Directory 도메인 및 트러스트를 차례로 선택합니다.
- 마우스 오른쪽 단추로 도메인(예: onprem.contoso.com)을 클릭한 다음, 속성을 선택합니다.
- 트러스트 탭을 선택한 다음, 이 도메인을 트러스트하는 도메인(받는 트러스트)을 선택하고, 제거할 트러스트를 클릭한 다음, 제거를 클릭합니다.
- 트러스트 탭의 이 도메인이 트러스트하는 도메인(보내는 트러스트)에서 제거할 트러스트를 클릭한 다음, 제거를 클릭합니다.
- 아니요, 로컬 도메인에서만 트러스트를 제거합니다.를 클릭합니다.
Domain Services에서 양방향 포리스트 트러스트 만들기
Microsoft Entra 관리 센터에서 관리되는 도메인에 대한 양방향 트러스트를 만들려면 다음 단계를 완료합니다.
Microsoft Entra 관리 센터에서 Microsoft Entra Domain Services를 검색하여 선택한 다음 aaddscontoso.com과 같은 관리되는 도메인을 선택합니다.
관리되는 도메인의 왼쪽 메뉴에서 트러스트를 선택한 다음, 트러스트 + 추가를 선택합니다.
양방향을 트러스트 방향으로 선택합니다.
트러스트를 식별할 수 있는 표시 이름을 입력한 다음, 트러스트된 온-프레미스 포리스트 DNS 이름(예: onprem.contoso.com)을 입력합니다.
이전 섹션에서 온-프레미스 AD DS 도메인에 대한 인바운드 포리스트 트러스트를 구성할 때 사용한 것과 동일한 트러스트 암호를 제공합니다.
온-프레미스 AD DS 도메인에 대해 둘 이상의 DNS 서버(예: 10.1.1.4 및 10.1.1.5)를 제공합니다.
준비가 되면 아웃바운드 포리스트 트러스트를 저장합니다.
환경에 포리스트 트러스트가 더 이상 필요하지 않은 경우 다음 단계를 완료하여 Domain Services에서 제거합니다.
- Microsoft Entra 관리 센터에서 Microsoft Entra Domain Services를 검색하여 선택한 다음 aaddscontoso.com과 같은 관리되는 도메인을 선택합니다.
- 관리되는 도메인의 왼쪽 메뉴에서 트러스트를 선택하고, 트러스트를 선택한 다음, 제거를 클릭합니다.
- 포리스트 트러스트를 구성하는 데 사용된 것과 동일한 트러스트 암호를 제공하고 확인을 클릭합니다.
리소스 인증 유효성 검사
다음과 같은 일반적인 시나리오를 통해 포리스트 트러스트에서 사용자 및 리소스에 대한 액세스를 올바르게 인증하는지 확인할 수 있습니다.
Domain Services 포리스트의 온-프레미스 사용자 인증
Windows Server 가상 머신이 관리되는 도메인에 가입되어 있어야 합니다. 이 가상 머신을 사용하여 온-프레미스 사용자가 가상 머신에서 인증할 수 있는지 테스트합니다. 필요한 경우 Windows VM을 만들어서 관리되는 도메인에 가입합니다.
Azure Bastion 및 Domain Services 관리자 자격 증명을 사용하여 Domain Services 포리스트에 조인된 Windows Server VM에 조인합니다.
명령 프롬프트를 열고,
whoami
명령을 사용하여 현재 인증된 사용자의 고유 이름을 표시합니다.whoami /fqdn
runas
명령을 사용하여 온-프레미스 도메인에서 사용자로 인증합니다. 다음 명령에서userUpn@trusteddomain.com
을 트러스트된 온-프레미스 도메인의 사용자 UPN으로 바꿉니다. 이 명령은 사용자의 암호를 묻는 메시지를 표시합니다.Runas /u:userUpn@trusteddomain.com cmd.exe
인증에 성공하면 새 명령 프롬프트가 열립니다. 새 명령 프롬프트의 제목에
running as userUpn@trusteddomain.com
이 포함되어 있습니다.새 명령 프롬프트에서
whoami /fqdn
을 사용하여 온-프레미스 Active Directory에서 인증된 사용자의 고유 이름을 확인합니다.
온-프레미스 사용자를 사용하여 Domain Services 포리스트의 리소스에 액세스
Domain Services 포리스트에 조인된 Windows Server VM에서 시나리오를 테스트할 수 있습니다. 예를 들어 온-프레미스 도메인에 로그인하는 사용자가 관리되는 도메인의 리소스에 액세스할 수 있는지 테스트할 수 있습니다. 다음 예제에서는 일반적인 테스트 시나리오를 다룹니다.
파일 및 프린터 공유 사용
Azure Bastion 및 Domain Services 관리자 자격 증명을 사용하여 Domain Services 포리스트에 조인된 Windows Server VM에 조인합니다.
Windows 설정을 엽니다.
네트워크 및 공유 센터를 검색하여 선택합니다.
고급 공유 설정 변경 옵션을 선택합니다.
도메인 프로필 아래에서 파일 및 프린터 공유 켜기, 변경 내용 저장을 차례로 선택합니다.
네트워크 및 공유 센터를 닫습니다.
보안 그룹 만들기 및 멤버 추가
Active Directory 사용자 및 컴퓨터를 엽니다.
마우스 오른쪽 단추로 도메인 이름을 선택하고, 새로 만들기를 선택한 다음, 조직 구성 단위를 선택합니다.
이름 상자에서 LocalObjects를 입력한 다음, 확인을 선택합니다.
탐색 창에서 LocalObjects를 선택하고 마우스 오른쪽 단추로 클릭합니다. 새로 만들기, 그룹을 차례로 선택합니다.
그룹 이름 상자에서 FileServerAccess를 입력합니다. 그룹 범위에 대해 도메인 로컬, 확인을 차례로 선택합니다.
내용 창에서 FileServerAccess를 두 번 클릭합니다. 멤버, 추가, 위치를 차례로 선택합니다.
위치 보기에서 온-프레미스 Active Directory를 선택한 다음, 확인을 선택합니다.
선택할 개체 이름 입력 상자에서 도메인 사용자를 입력합니다. 이름 확인을 선택하고, 온-프레미스 Active Directory에 대한 자격 증명을 제공한 다음, 확인을 선택합니다.
참고 항목
단방향 트러스트 관계이므로 자격 증명을 제공해야 합니다. 즉, Domain Services 관리되는 도메인의 사용자는 신뢰할 수 있는(온-프레미스) 도메인의 리소스에 액세스하거나 사용자 또는 그룹을 검색할 수 없습니다.
온-프레미스 Active Directory의 도메인 사용자 그룹은 FileServerAccess 그룹의 멤버여야 합니다. 확인을 선택하여 해당 그룹을 저장하고 창을 닫습니다.
포리스트 간 액세스를 위한 파일 공유 만들기
- Domain Services 포리스트에 조인된 Windows Server VM에서 폴더를 만들고 CrossForestShare와 같은 이름을 제공합니다.
- 마우스 오른쪽 단추로 폴더를 선택하고, 속성을 선택합니다.
- 보안 탭, 편집을 차례로 선택합니다.
- CrossForestShare 권한 대화 상자에서 추가를 선택합니다.
- 선택할 개체 이름 입력에서 FileServerAccess를 입력한 다음, 확인을 선택합니다.
- 그룹 또는 사용자 이름 목록에서 FileServerAccess를 선택합니다. FileServerAccess 권한 목록에서 수정 및 쓰기 권한에 대해 허용을 선택한 다음, 확인을 선택합니다.
- 공유 탭, 고급 공유를 차례로 선택합니다.
- 이 폴더를 공유함을 선택한 다음, 공유 이름에서 기억하기 쉬운 파일 공유 이름(예: CrossForestShare)을 입력합니다.
- 권한 선택 모든 사용자 권한 목록에서 변경 권한에 대해 허용을 선택합니다.
- 확인을 두 번 선택한 다음, 닫기를 선택합니다.
리소스에 대한 포리스트 간 인증 유효성 검사
온-프레미스 Active Directory의 사용자 계정을 사용하여 온-프레미스 Active Directory에 조인된 Windows 컴퓨터에 로그인합니다.
Windows 탐색기에서 정규화된 호스트 이름과 공유를 사용하여 만든 공유(예:
\\fs1.aaddscontoso.com\CrossforestShare
)에 연결합니다.쓰기 권한의 유효성을 검사하려면 마우스 오른쪽 단추로 폴더를 선택하고, 새로 만들기를 선택한 다음, 텍스트 문서를 선택합니다. 새 텍스트 문서라는 기본 이름을 사용합니다.
쓰기 권한이 올바르게 설정되었으면 새 텍스트 문서가 만들어집니다. 파일을 적절하게 열고 편집하고 삭제하려면 다음 단계를 완료합니다.
읽기 권한의 유효성을 검사하려면 새 텍스트 문서를 엽니다.
수정 권한의 유효성을 검사하려면 텍스트를 파일에 추가하고 메모장을 닫습니다. 변경 내용을 저장하라는 메시지가 표시되면 저장을 선택합니다.
삭제 권한의 유효성을 검사하려면 마우스 오른쪽 단추로 새 텍스트 문서를 선택하고 삭제를 선택합니다. 예를 선택하여 파일 삭제를 확인합니다.
다음 단계
이 자습서에서는 다음 작업 방법을 알아보았습니다.
- Domain Services 연결을 지원하도록 온-프레미스 AD DS 환경에서 DNS 구성
- 온-프레미스 AD DS 환경에서 단방향 인바운드 포리스트 트러스트 만들기
- Domain Services에서 단방향 아웃바운드 포리스트 트러스트 만들기
- 인증 및 리소스 액세스에 대한 트러스트 관계 테스트 및 유효성 검사
Domain Services의 포리스트에 대한 자세한 개념 정보는 Domain Services에서 포리스트 트러스트가 어떻게 작동하나요?를 참조하세요.