Azure 명령줄 인터페이스를 사용하여 새 Active Directory 포리스트 설치

AD DS 여러 온-프레미스 인스턴스에서 실행되는 것과 동일한 방식으로 Azure VM(가상 머신)에서 실행할 수 있습니다. 이 문서에서는 Azure Portal 및 Azure CLI 사용하여 Azure 가용성 집합의 두 개의 새 도메인 컨트롤러에 새 AD DS 포리스트를 배포하는 작업을 안내합니다. 많은 고객이 랩을 만들거나 Azure에서 도메인 컨트롤러 배포를 준비할 때 이 지침이 유용하다는 것을 알게 됩니다.

구성 요소

  • 모든 것을 넣을 리소스 그룹입니다.
  • VM에 대한 RDP 액세스를 허용하는 Azure Virtual Network, 서브넷, 네트워크 보안 그룹 및 규칙
  • 두 개의 Active Directory Domain Services(AD DS) 도메인 컨트롤러를 배치하는 Azure 가상 머신 가용성 집합입니다.
  • AD DS 및 DNS를 실행할 두 개의 Azure 가상 머신

다루지 않는 항목

테스트 환경 빌드

환경을 만들기 위해 Azure PortalAzure CLI 사용합니다.

명령줄 또는 스크립트에서 Azure 리소스를 만들고 관리하는 데 Azure CLI가 사용됩니다. 이 자습서에서는 Azure CLI 사용하여 Windows Server 2019를 실행하는 가상 머신을 배포하는 방법을 자세히 설명합니다. 배포가 완료되면 서버에 연결하고 AD DS 설치합니다.

Azure 구독이 아직 없는 경우 시작하기 전에 체험 계정을 만듭니다.

Azure CLI 사용

다음 스크립트는 Azure에서 새 Active Directory 포리스트에 대한 도메인 컨트롤러를 빌드하기 위해 두 Windows Server 2019 VM을 빌드하는 프로세스를 자동화합니다. 관리자는 요구 사항에 맞게 아래 변수를 수정한 다음, 하나의 작업으로 완료할 수 있습니다. 스크립트는 필요한 리소스 그룹, 원격 데스크톱, 가상 네트워크 및 서브넷, 가용성 그룹에 대한 트래픽 규칙이 있는 네트워크 보안 그룹을 만듭니다. VM은 각각 20GB 데이터 디스크로 빌드되고 캐싱을 사용하지 않도록 설정하여 AD DS 설치합니다.

아래 스크립트는 Azure Portal 직접 실행할 수 있습니다. CLI를 로컬로 설치하여 사용하도록 선택한 경우 이 빠른 시작에서 Azure CLI 버전 2.0.4 이상을 실행해야 합니다. az --version을 실행하여 버전을 찾습니다. 설치 또는 업그레이드해야 하는 경우 Azure CLI 2.0 설치를 참조하세요.

변수 이름 목적
AdminUsername 각 VM에서 로컬 관리자로 구성할 사용자 이름입니다.
AdminPassword 각 VM에서 로컬 관리자 암호로 구성할 일반 텍스트 암호입니다.
ResourceGroupName 리소스 그룹에 사용할 이름입니다. 기존 이름을 복제하면 안 됩니다.
위치 배포하려는 Azure 위치 이름입니다. 를 사용하여 현재 구독에 대해 지원되는 지역을 az account list-locations 나열합니다.
VNetName Azure 가상 네트워크를 할당할 이름 기존 이름을 복제하면 안 됩니다.
VNetAddress Azure 네트워킹에 사용할 IP 범위입니다. 기존 범위를 복제하지 않아야 합니다.
SubnetName IP 서브넷을 할당할 이름입니다. 기존 이름을 복제하면 안 됩니다.
SubnetAddress 도메인 컨트롤러의 서브넷 주소입니다. VNet 내의 서브넷이어야 합니다.
AvailabilitySet 도메인 컨트롤러 VM이 조인할 가용성 집합의 이름입니다.
VMSize 배포 위치에서 사용할 수 있는 표준 Azure VM 크기입니다.
DataDiskSize AD DS 설치되는 데이터 디스크의 크기(GB)입니다.
DomainController1 첫 번째 도메인 컨트롤러의 이름입니다.
DC1IP 첫 번째 도메인 컨트롤러의 IP 주소입니다.
DomainController2 두 번째 도메인 컨트롤러의 이름입니다.
DC2IP 두 번째 도메인 컨트롤러의 IP 주소입니다.
#Update based on your organizational requirements
Location=westus2
ResourceGroupName=ADonAzureVMs
NetworkSecurityGroup=NSG-DomainControllers
VNetName=VNet-AzureVMsWestUS2
VNetAddress=10.10.0.0/16
SubnetName=Subnet-AzureDCsWestUS2
SubnetAddress=10.10.10.0/24
AvailabilitySet=DomainControllers
VMSize=Standard_DS1_v2
DataDiskSize=20
AdminUsername=azureuser
AdminPassword=ChangeMe123456
DomainController1=AZDC01
DC1IP=10.10.10.11
DomainController2=AZDC02
DC2IP=10.10.10.12

# Create a resource group.
az group create --name $ResourceGroupName \
                --location $Location

# Create a network security group
az network nsg create --name $NetworkSecurityGroup \
                      --resource-group $ResourceGroupName \
                      --location $Location

# Create a network security group rule for port 3389.
az network nsg rule create --name PermitRDP \
                           --nsg-name $NetworkSecurityGroup \
                           --priority 1000 \
                           --resource-group $ResourceGroupName \
                           --access Allow \
                           --source-address-prefixes "*" \
                           --source-port-ranges "*" \
                           --direction Inbound \
                           --destination-port-ranges 3389

# Create a virtual network.
az network vnet create --name $VNetName \
                       --resource-group $ResourceGroupName \
                       --address-prefixes $VNetAddress \
                       --location $Location \

# Create a subnet
az network vnet subnet create --address-prefix $SubnetAddress \
                              --name $SubnetName \
                              --resource-group $ResourceGroupName \
                              --vnet-name $VNetName \
                              --network-security-group $NetworkSecurityGroup

# Create an availability set.
az vm availability-set create --name $AvailabilitySet \
                              --resource-group $ResourceGroupName \
                              --location $Location

# Create two virtual machines.
az vm create \
    --resource-group $ResourceGroupName \
    --availability-set $AvailabilitySet \
    --name $DomainController1 \
    --size $VMSize \
    --image Win2019Datacenter \
    --admin-username $AdminUsername \
    --admin-password $AdminPassword \
    --data-disk-sizes-gb $DataDiskSize \
    --data-disk-caching None \
    --nsg $NetworkSecurityGroup \
    --private-ip-address $DC1IP \
    --no-wait

az vm create \
    --resource-group $ResourceGroupName \
    --availability-set $AvailabilitySet \
    --name $DomainController2 \
    --size $VMSize \
    --image Win2019Datacenter \
    --admin-username $AdminUsername \
    --admin-password $AdminPassword \
    --data-disk-sizes-gb $DataDiskSize \
    --data-disk-caching None \
    --nsg $NetworkSecurityGroup \
    --private-ip-address $DC2IP

DNS 및 Active Directory

이 프로세스의 일부로 만든 Azure 가상 머신이 기존 온-프레미스 Active Directory 인프라의 확장인 경우 배포 전에 온-프레미스 DNS 서버를 포함하도록 가상 네트워크의 DNS 설정을 변경해야 합니다. 이 단계는 Azure에서 새로 만든 도메인 컨트롤러가 온-프레미스 리소스를 해결하고 복제가 발생하도록 허용하는 데 중요합니다. DNS, Azure 및 설정을 구성하는 방법에 대한 자세한 내용은 사용자 고유의 DNS 서버를 사용하는 이름 확인섹션에서 찾을 수 있습니다.

Azure에서 새 도메인 컨트롤러를 승격한 후에는 가상 네트워크에 대한 기본 및 보조 DNS 서버로 설정해야 하며, 모든 온-프레미스 DNS 서버는 3차 이상으로 강등됩니다. VM이 다시 시작될 때까지 현재 DNS 설정을 계속 사용합니다. DNS 서버 변경에 대한 자세한 내용은 가상 네트워크 만들기, 변경 또는 삭제문서에서 찾을 수 있습니다.

온-프레미스 네트워크를 Azure로 확장하는 자세한 내용은 사이트간 VPN 연결 만들기문서에서 찾을 수 있습니다.

VM 구성 및 Active Directory Domain Services 설치

스크립트가 완료되면 Azure Portal으로 이동한 다음 가상 머신 을 찾습니다.

첫 번째 도메인 컨트롤러 구성

스크립트에서 제공한 자격 증명을 사용하여 AZDC01에 커넥트.

  • 데이터 디스크를 F로 초기화하고 포맷합니다.
    • 시작 메뉴 열고 컴퓨터 관리로 이동
    • Storage 디스크 관리로 이동
    • 디스크를 MBR로 초기화
    • 새 단순 볼륨 만들기 및 드라이브 문자 할당 F: 원하는 경우 볼륨 레이블을 제공할 수 있습니다.
  • 서버 관리자 사용하여 Active Directory Domain Services 설치
  • 도메인 컨트롤러를 새 포리스트의 첫 번째 도메인 컨트롤러로 승격
    • 도메인 컨트롤러 옵션 페이지에서 DNS(Domain Name System) 서버 및 GC(글로벌 카탈로그)를 선택된 상태로 둡니다.
    • 조직의 요구 사항에 따라 디렉터리 서비스 복원 모드 암호 지정
    • C: 에서 해당 위치를 묻는 메시지가 표시될 때 만든 F: 드라이브를 가리키도록 경로를 변경합니다.
    • 마법사에서 선택한 항목을 검토하고 다음을 선택합니다.

참고

필수 조건 확인은 실제 네트워크 어댑터에 고정 IP 주소가 할당되지 않았다는 경고가 표시됩니다. 고정 IP가 Azure 가상 네트워크에 할당되어 있기 때문에 이를 무시해도 됩니다.

  • 설치 선택

마법사가 설치 프로세스를 완료하면 VM이 다시 부팅됩니다.

VM 다시 부팅이 완료되면 이전에 사용된 자격 증명을 사용하여 다시 로그인하지만 이번에는 만든 도메인의 구성원으로 로그인합니다.

참고

도메인 컨트롤러로 승격한 후 첫 번째 로그온은 정상보다 오래 걸릴 수 있습니다. 차, 커피, 물 또는 기타 선택한 음식으로 한 잔을 마세요.

Azure 가상 네트워크는 이제 i p v 6을 지원 하지만 i p v 6을 통해 IPv4를 사용 하도록 vm을 설정 하려는 경우 고급 사용자를 위해 Windows에서i p v 6을 구성 하기 위한 KB 문서 지침에서이 작업을 완료 하는 방법에 대 한 정보를 찾을 수 있습니다.

DNS 구성

Azure에서 첫 번째 서버를 승격 한 후에는 가상 네트워크에 대 한 기본 및 보조 DNS 서버로 서버를 설정 해야 하며, 모든 온-프레미스 DNS 서버는 3 차 이상으로 수준이 내려갑니다. DNS 서버를 변경 하는 방법에 대 한 자세한 내용은 가상 네트워크 만들기, 변경 또는 삭제문서에서 찾을 수 있습니다.

두 번째 도메인 컨트롤러 구성

스크립트에서 제공한 자격 증명을 사용 하 여 AZDC02로 커넥트 합니다.

  • 데이터 디스크를 초기화 하 여 F로 포맷 합니다.
    • 시작 메뉴를 열고 컴퓨터 관리 로 이동 합니다.
    • Storage디스크 관리 로 이동 합니다.
    • 디스크를 MBR로 초기화
    • 새 단순 볼륨을 만들고 드라이브 문자 F:를 할당 합니다 (원하는 경우 볼륨 레이블을 제공할 수 있음).
  • 서버 관리자를 사용 하 여 Active Directory Domain Services 설치
  • 도메인 컨트롤러 수준 올리기
    • 기존 도메인에 도메인 컨트롤러 추가-CONTOSO.com
    • 작업을 수행 하는 자격 증명을 제공 합니다.
    • C:에서 위치를 묻는 메시지가 표시 될 때 만든 F: 드라이브를 가리키도록 경로를 변경 합니다.
    • 도메인 컨트롤러 옵션 페이지에서 DNS (Domain Name System) 서버 및 GC (글로벌 카탈로그)가 선택 되어 있는지 확인 합니다.
    • 조직의 요구 사항에 따라 디렉터리 서비스 복원 모드 암호를 지정 합니다.
    • 마법사에서 선택한 내용을 검토 하 고 다음 을 선택 합니다.

참고

필수 구성 요소 확인은 실제 네트워크 어댑터에 고정 IP 주소가 할당 되지 않았다는 경고를 표시 합니다. Azure 가상 네트워크에 고정 Ip가 할당 되므로이를 안전 하 게 무시할 수 있습니다.

  • 설치 선택

마법사가 설치 프로세스를 완료 하면 VM이 다시 부팅 됩니다.

VM이 다시 부팅을 완료 한 경우 이전에 사용한 자격 증명을 사용 하 여 다시 로그인 하지만 이번에는 CONTOSO.com 도메인의 구성원으로 다시 로그인 합니다.

Azure 가상 네트워크는 이제i p v 6을 지원 하지만 i p v 6을 통해 IPv4를 사용 하도록 vm을 설정 하려는 경우 고급 사용자를 위해 Windows에서i p v 6을 구성 하기 위한 KB 문서 지침에서이 작업을 완료 하는 방법에 대 한 정보를 찾을 수 있습니다.

마무리

이 시점에서 환경에는 하나의 도메인 컨트롤러와 추가 서버가 환경에 추가 될 수 있도록 Azure virtual network를 구성 했습니다. 사이트 및 서비스 구성, 감사, 백업, 기본 제공 관리자 계정 보안 등의 Active Directory Domain Services에 대 한 설치 후 작업은이 시점에 완료 되어야 합니다.

환경 제거

환경을 제거 하기 위해 테스트가 완료 되 면 위에서 만든 리소스 그룹을 삭제할 수 있습니다. 이 단계에서는 해당 리소스 그룹에 속하는 모든 구성 요소를 제거 합니다.

Azure Portal을 사용하여 제거

Azure Portal에서 리소스 그룹 으로 이동 하 여 만든 리소스 그룹 (이 예제에서는 ADonAzureVMs)을 선택 하 고 리소스 그룹 삭제를 선택 합니다. 이 프로세스는 리소스 그룹 내에 포함 된 모든 리소스를 삭제 하기 전에 확인 메시지를 표시 합니다.

Azure CLI 사용 하 여 제거

Azure CLI에서 다음 명령을 실행 합니다.

az group delete --name ADonAzureVMs

다음 단계