Hybrid AD 구축
1. 개요:
하이브리드 AD 환경에서 Azure AD (이하 Entra ID)와 온프레미스 Active Directory를 연동하는 것은
조직이 클라우드와 온프레미스 리소스를 함께 사용할 수 있도록 도와준다고 합디다.
Azure AD connect를 사용해야하며 온프레미스 AD의 사용자 및 그룹을 Azure AD에 동기화하는 것이 핵심입니다.
2. 구성 요소:
- 온프레미스 Active Directory Domain Services(AD DS)가 설정되어 있어야 합니다 예전 포스팅에서 썼던 친구들을 재활용 할 겁니다
- Entra ID 관리자 권한이 있는 테스트 테넌트
Microsoft Customer Digital Experiences 아곳에서 90일 제한으로 생성할 수 있습니다.
3. 진행 과정:
Azure AD(Entra ID) Connect 설치
근데 설치하다가 TLS 1.2가 없다면서 설치가 안될 수도 있는데요
그럴 때는 powershell을 열어서
If (-Not (Test-Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319'))
{
New-Item 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null
If (-Not (Test-Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319'))
{
New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null
If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server'))
{
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null
If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client'))
{
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null
Write-Host 'TLS 1.2 has been enabled. You must restart the Windows Server for the changes to take affect.' -ForegroundColor Cyan
요녀석을 복붙해서 실행시키면 됩니다
설치를 진행해 봅시다
사용자 지정과 빠른 설정 사용 2가지가 있는데요
빠른 설정 사용 (권장) 으로 진행할건데
다만, 사용자 지정을 선택할 경우 3가지의 인증 방식 중 하나를 선택하라고 나옵니다
| 기능 | PHS | PTA | ADFS |
| 구현 복잡성 | 낮음 | 낮음 | 높음 |
| 안프라 요구사항 | AADC 만필요 | AADC만 필요 | 추가 ADFS 서버 필요 |
| MFA 지원 | Azure AD 기본 제공 | Azure AD 기본 제공 | 다른 솔루션 |
| 특수 프로토콜 지원 | 제한적 | 제한적 | 광범위 |
| 로그인 속도 | 빠름 | 중간 | 중간 |
| 보안성 | Azure AD 내 보안 강화 옵션 | 온프레미스 인증 | 온프레미스 보안 |
그냥 간단하게 이런게 있구나! 하고 넘어가도록 하겠습니다
필수 구성 요소 중 하나인 Entra ID의 (테스트 테넌트) 관리자 계정을 입력해줍니다.
테스트 테넌트의 전역 관리자 계정을 입력하였습니다.
로그인에 성공 한 후 진행 중입니다.
온프레미스 AD의 도메인과 관리자 계정을 입력하시면 됩니다.
구성이 완료되었습니다.
Hybrid 테스트
온프레미스 AD 서버 상에 우리의 친구 Dider drogba를 추가해보겠습니다.
Entra ID와 동기화 주기는 보통 30분~1시간 정도 입니다.
다만 그 주기를 단축시키는 명령어가 있는데요
전체 동기화 주기를 시작하려면 PowerShell 프롬프트에서 실행 Start-ADSyncSyncCycle -PolicyType Initial
변경된 작업은 바로 동기화 주기는 PowerShell 프롬프트에서 실행 Start-ADSyncSyncCycle -PolicyType delta
이걸 AADC 서버 상에서 실행해보도록 하겠습니다
우리의 친구 Didier Drogba가 추가 된 것을 확인할 수 있었습니다.
예전 포스팅에서 추기했던 IIS 1, 2 도 같이 동기화가 되어있군요
이렇게 Hybird AD 구축까지 완료하였습니다.
이젠 Exchange 서버를 구축하여 메일을 주고 받는 과정 까지 완료해보겠습니다.
'Microsoft 365 > Active Directory' 카테고리의 다른 글
| AD 이중화 (On-premise) (0) | 2024.11.18 |
|---|