Azure AD Domain Services, 생성하기

무엇에 쓰는 물건인고?

대체 이걸 쓰긴 쓰고있는걸까?

답부터 이야기 해보자면 맞다.

직장인이라면, 아주 높은 확률로 자신의 노트북이나 pc에 ad가 적용되어져 있다.
정확하게 말해보자면, 내가 사용하는 노트북이나 pc가 도메인에 조인되어있다고 표현하는 것이 맞는것일 것이다.

보통 처음 장비들을 지급받을 때, 조인된 상태에서 지급을 받을 것이다. 나도 모르게

사실 바다 깊은 곳에 스펀지밥 또한 나도 모르게 실존할지도 모른다.

왜 쓸까?

조직 안의 장치나 권한 등 여러가지를 관리하는 부서라면, 구성원의 수가 늘어날수록 너무 큰 부담으로 다가올 것이다.

이러한 부분을 권한 관리 등을 깔끔하게 해결해주는게 AD이다.

Azure가 나오며 나온 기술이 아닌, 고대의 기술이다.

개인적으로는 다른 솔루션으로 웬만해선 대체대기 힘든 Microsoft의 희대의 역작이라고 생각한다.

그럼 Azure AD Domain Services는 일반 AD랑 뭐가 다를까?

기존에 사용하던 방식은, 온프렘에 AD 서버를 놔두고 사용을 했다.
이 방식은, 몇가지 불편한 점이 있다.

기존 온프렘 AD의 단점

• 누군가는 AD 서버를 관리해야 한다.
• AD 서버를 구축하는 것도 2중화, 서버 공간 확보, 환경 구성 등 이것저것 필요한 것들을 사거나 충족시키다 보면 들어가는 돈이 꽤 크다.

만약 나의 회사 사무실과 cloud를 vpn이나 전용선으로 연결해서 쓰는 시나리오가 vdi 사용 등과같은 부분으로 많은데, AD를 클라우드쪽에 구축하면 아래와 같은 장점이 있다.

Azure AD Domain Services

• PaaS 서비스라 관리가 필요 없다.
• 2중화 및 하드웨어 부분도 모두 구현되어 있다.

물론 매달 지불해야되는 돈이 있기는 하지만, 하드웨어 사서 직접 관리하는 부분 생각해보면 훨씬 비용이 적게 들어간다.

생성하기

생성하기 전, 중요 포인트들 확인

• Azure AD Domain Services는 한 테넌트당 1개
• Azure AD Domain Services 생성 후, Azure AD에 있던 이전 유저들을 활용하려면 비밀번호를 변경해야함
  (Azure AD의 암호의 복호화가 지원 되지 않아, Azure AD Domain Services에 해당 유저의 비밀번호를 넘길 수 없기 때문에, 생성 이전 유저들은 비밀번호 변경 전까지 동기화 되어 있지 않음)
• AAD DC Administrators 라는 group이 Azure AD에 자동으로 생성되어져 있는데, 관리자를 해당 group의 member로 넣어서 조인할 때 사용해야함

아래는 온프렘 AD에서 사용하던 Domain Administrator와 Enterprise Administrator 권한이 없다는 내용이다.

내가 위에 포인트들 기록해두려고 이 글을 쓰고있는 중이지...

생성해보기

생성할 때, 아래와 같이 무슨 탭이 6개나 된다.

필요한 부분들만 짚어보자.

Basics 탭

DNS doamin name 부분은 나중에 조인할 때 도메인 넣는 부분이 있는데 여기서 결정된 도메인으로 생성되고 조인된다.

SKU는 아래의 정보에 따라서 잘 골라보자. (5/11/2022 기준)

Networking 탭

Azure AD Domain Services가 배포되는 Virtual network와 Subnet을 정하는 곳이다.

온프렘 pc들을 조인하려면 해당 네트워크와 VPN 이나 ER과 같은 서비스들로 연결이 되야하니 신중하게 선택하자.

다 만들어지면 해당 Subnet 안에 2개의 priavte ip를 가진 nic가 생성이 되며, 조인할 때 해당 ip들을 dns server로 넣고 조인하면 된다.

Administration 탭

이 탭에서 중요한 부분은 AAD DC Administrators 라는 부분이다.

도메인 조인할 때, admin 계정이 필요한데 여기에 추가된 계정으로 조인할 수 있다.

만들때 해당 메뉴를 통해 추가할수도 있고, Azure AD 안에 AAD DC Administrators라는 그룹이 자동으로 만들어져 있기에, 해당 그룹에 나중에 따로 추가해서 사용해도 된다.

Synchronization 탭

이 탭에서 선택할 부분은 Sychronization type만 있는데, Azure AD와 Azure AD Domain Services의 동기화 부분에서 전체를 할 것인지, 특정 그룹만 할것인지 선택하는 부분이다.

Security Settings 탭

각종 보안에 대한 설정을 정할 수 있다.
만들어지고 나서 바꿀 수 있다.

만들고 변경할 수 없는 옵션들

위와 같은 부분들이 변경 불가능하다.

생성하기!

생성하면 꽤 긴 시간동안 기다려야 만들어진다. (대략 30분?)

마치며

사실 이 글은 내가 나중에 보고 삽질하지 않기 위해서 쓰는 부분이 크다.

자주 만드는 리소스가 아니기에 매번 만들때 마다 '아 맞다'를 외치지 않기 위해 기록한다.

다른 사람들도 간만에 만들거나 새로 만든다면 이 기록이 도움이 될 것 같다.