핵심 요약
AAD DS에 조인된 VM 1대(윈도우서버)에서 AD관리도구를 설치하여,
-
GPO도 생성 관리
-
컴퓨터개체도 관리
-
DNS 관리
-
OU 관리
-
보안 LDAP에 대한 인증서 만들기 (CA 서비스)
추가.
AAD DS LDAP 보안
NSG에서 636포트 정의
LDAP 테스트는 ldp.exe 도구 사용
온프렘AD와 동기화나??
AAD가 동기화되면 그걸 이용?? 정답
기존의 문제점.
-
온프렘 AD를 VPN연결 상태에서 참조한다면
-> 네트워크 단절 가능성, 단절 및 중단 시 취약
-
Azure VM에 AD 설치한다면
-> VM 일반 관리, 보안요소 관리 등 쉽지 않음.
=> Azure Domain Service 사용하자 (Azure Vnet 위에 만들어짐)
-
생성이 쉽다.
-
AAD와 통합
-> 기존 AAD에 생성된 계정으로 로그인 가능
HOW ????
실제로 보면, AAD 도메인과, 도메인서비스 도메인이 다름.
Win 서버 AD와 완전히 호환되는 서비스
-
도메인조인
-
GPO
-
LDAP, Keberos/NTLM 인증
차이점 표
|
기능 |
Azure AD DS |
자체 관리형 AD DS |
|
관리형 서비스 |
✓ |
✕ |
|
보안 배포 |
✓ |
관리자가 배포를 보호함 |
|
DNS 서버 |
✓ (관리되는 서비스) |
✓ |
|
도메인 또는 엔터프라이즈 관리자 권한 |
✕ |
✓ |
|
도메인 가입 |
✓ |
✓ |
|
NTLM 및 Kerberos를 사용하여 도메인 인증 |
✓ |
✓ |
|
Kerberos 제한 위임 |
리소스 기반 |
리소스 기반 및 계정 기반 |
|
사용자 지정 OU 구조 |
✓ |
✓ |
|
그룹 정책 |
✓ |
✓ |
|
스키마 확장 |
✕ |
✓ |
|
AD 도메인/포리스트 트러스트 |
✓ (단방향 아웃바운드 포리스트 트러스트 전용) |
✓ |
|
LDAPS(보안 LDAP) |
✓ |
✓ |
|
LDAP 읽기 |
✓ |
✓ |
|
LDAP 쓰기 |
✓ (관리되는 도메인 내) |
✓ |
|
지리적 분산 배포 |
✕ |
✓ |
출처: <https://docs.microsoft.com/ko-kr/azure/active-directory-domain-services/compare-identity-solutions>
'기술(Azure 만...) > [MS]Azure기본' 카테고리의 다른 글
| Azure Monitor (0) | 2020.04.05 |
|---|---|
| Azure VM 기본 (0) | 2020.03.22 |
| ASC 주요 체크 항목들.. (0) | 2020.02.07 |
| 클라우드 스팟 인스턴스 정리 (0) | 2020.01.09 |
| Azure Bastion(요새) 브라우져 원격기능 (0) | 2019.12.24 |