자습서: 단일 Active Directory 포리스트에서 하이브리드 ID에 대한 암호 해시 동기화 사용

이 자습서에서는 암호 해시 동기화 및 Windows Server AD(Windows Server Active Directory)를 사용하여 Azure에서 하이브리드 ID 환경을 만드는 방법을 보여 줍니다. 테스트를 위해 만든 하이브리드 ID 환경을 사용하거나 하이브리드 ID 작동 방식을 더 잘 이해할 수 있습니다.

Diagram that shows how to create a hybrid identity environment in Azure by using password hash sync.

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

  • 가상 머신을 만듭니다.
  • Windows Server Active Directory 환경을 만듭니다.
  • Windows Server Active Directory 사용자를 만듭니다.
  • Microsoft Entra 테넌트를 만듭니다.
  • Azure에서 하이브리드 ID 관리자 계정을 만듭니다.
  • Microsoft Entra Connect를 설정합니다.
  • 사용자가 동기화되었는지 테스트하고 확인합니다.

필수 조건

참고 항목

이 자습서에서는 PowerShell 스크립트를 사용하여 자습서 환경을 빠르게 만듭니다. 각 스크립트는 스크립트 시작 부분에 선언된 변수를 사용합니다. 환경을 반영하도록 변수를 변경해야 합니다.

자습서의 스크립트는 Microsoft Entra Connect를 설치하기 전에 일반적인 Windows Server AD(Windows Server Active Directory) 환경을 만듭니다. 스크립트는 관련 자습서에서도 사용됩니다.

이 자습서에서 사용되는 PowerShell 스크립트는 GitHub에서 사용할 수 있습니다.

가상 머신 만들기

하이브리드 ID 환경을 만들기 위한 첫 번째 작업은 온-프레미스 Windows Server AD 서버로 사용할 가상 머신을 만드는 것입니다.

참고 항목

호스트 컴퓨터의 PowerShell에서 스크립트를 실행한 적이 없는 경우 스크립트를 실행하기 전에 Windows PowerShell ISE를 관리자로 열고 Set-ExecutionPolicy remotesigned를 실행합니다. 실행 정책 변경 대화 상자에서 를 선택합니다.

가상 머신을 만들려면:

  1. Windows PowerShell ISE를 관리자로 엽니다.

  2. 다음 스크립트를 실행합니다.

    #Declare variables
    $VMName = 'DC1'
    $Switch = 'External'
    $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
    $Path = 'D:\VM'
    $VHDPath = 'D:\VM\DC1\DC1.vhdx'
    $VHDSize = '64424509440'
    
    #Create a new virtual machine
    New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  
    
    #Set the memory to be non-dynamic
    Set-VMMemory $VMName -DynamicMemoryEnabled $false
    
    #Add a DVD drive to the virtual machine
    Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
    
    #Mount installation media
    $DVDDrive = Get-VMDvdDrive -VMName $VMName
    
    #Configure the virtual machine to boot from the DVD
    Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 
    

운영 체제 설치

가상 머신 만들기를 완료하려면 운영 체제를 설치합니다.

  1. Hyper-V 관리자에서 가상 머신을 두 번 클릭합니다.
  2. 시작을 선택합니다.
  3. 프롬프트에서 아무 키나 눌러 CD 또는 DVD에서 부팅합니다.
  4. Windows Server 시작 창에서 언어를 선택한 후 다음을 선택합니다.
  5. 지금 설치를 선택합니다.
  6. 라이선스 키를 입력하고 다음을 선택합니다.
  7. 사용 조건에 동의함 확인란을 선택하고 다음을 선택합니다.
  8. 사용자 지정: Windows만 설치(고급)를 선택합니다.
  9. 다음을 선택합니다.
  10. 설치가 완료되면 가상 머신을 다시 시작합니다. 로그인한 다음, Windows 업데이트를 확인합니다. VM이 완전히 최신 상태인지 확인하기 위해 모든 업데이트를 설치합니다.

Windows Server AD 필수 구성 요소 설치

Windows Server AD를 설치하기 전에 필수 구성 요소를 설치하는 스크립트를 실행합니다.

  1. Windows PowerShell ISE를 관리자로 엽니다.

  2. Set-ExecutionPolicy remotesigned을 실행합니다. 실행 정책 변경 대화 상자에서 모두 예를 선택합니다.

  3. 다음 스크립트를 실행합니다.

    #Declare variables
    $ipaddress = "10.0.1.117" 
    $ipprefix = "24" 
    $ipgw = "10.0.1.1" 
    $ipdns = "10.0.1.117"
    $ipdns2 = "4.2.2.2" 
    $ipif = (Get-NetAdapter).ifIndex 
    $featureLogPath = "c:\poshlog\featurelog.txt" 
    $newname = "DC1"
    $addsTools = "RSAT-AD-Tools" 
    
    #Set a static IP address
    New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 
    
    # Set the DNS servers
    Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
    
    #Rename the computer 
    Rename-Computer -NewName $newname -force 
    
    #Install features 
    New-Item $featureLogPath -ItemType file -Force 
    Add-WindowsFeature $addsTools 
    Get-WindowsFeature | Where installed >>$featureLogPath 
    
    #Restart the computer 
    Restart-Computer
    

Windows Server AD 환경 만들기

이제 Active Directory Domain Services를 설치 및 구성하여 환경을 만듭니다.

  1. Windows PowerShell ISE를 관리자로 엽니다.

  2. 다음 스크립트를 실행합니다.

    #Declare variables
    $DatabasePath = "c:\windows\NTDS"
    $DomainMode = "WinThreshold"
    $DomainName = "contoso.com"
    $DomainNetBIOSName = "CONTOSO"
    $ForestMode = "WinThreshold"
    $LogPath = "c:\windows\NTDS"
    $SysVolPath = "c:\windows\SYSVOL"
    $featureLogPath = "c:\poshlog\featurelog.txt" 
    $Password = "Pass1w0rd"
    $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
    
    #Install Active Directory Domain Services, DNS, and Group Policy Management Console 
    start-job -Name addFeature -ScriptBlock { 
    Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
    Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
    Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
    Wait-Job -Name addFeature 
    Get-WindowsFeature | Where installed >>$featureLogPath
    
    #Create a new Windows Server AD forest
    Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
    

Windows Server AD 사용자 만들기

다음으로 테스트 사용자 계정을 만듭니다. 온-프레미스 Active Directory 환경에서 이 계정을 만듭니다. 그러면 계정이 Microsoft Entra ID에 동기화됩니다.

  1. Windows PowerShell ISE를 관리자로 엽니다.

  2. 다음 스크립트를 실행합니다.

    #Declare variables
    $Givenname = "Allie"
    $Surname = "McCray"
    $Displayname = "Allie McCray"
    $Name = "amccray"
    $Password = "Pass1w0rd"
    $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
    $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
    
    #Create the user
    New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
    
    #Set the password to never expire
    Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
    

Microsoft Entra 테넌트 만들기

테넌트가 없는 경우 Microsoft Entra ID에서 새 테넌트 만들기 문서의 단계에 따라 새 테넌트를 만듭니다.

Microsoft Entra ID에서 하이브리드 ID 관리자 만들기

다음 작업은 하이브리드 ID 관리자 계정을 만드는 것입니다. 이 계정은 Microsoft Entra Connect를 설치하는 동안 Microsoft Entra Connector 계정을 만드는 데 사용됩니다. Microsoft Entra 커넥터 계정은 Microsoft Entra ID에 정보를 쓰는 데 사용됩니다.

하이브리드 ID 관리자 계정을 만들려면 다음을 수행합니다.

  1. Microsoft Entra 관리 센터에 로그인합니다.
  2. ID>사용자>모든 사용자로 이동
  3. 새 사용자>새 사용자 만들기를 선택합니다.
  4. 새 사용자 만들기 창에서 새 사용자의 표시 이름사용자 계정 이름을 입력합니다. 테넌트에 대한 하이브리드 ID 관리자 계정을 만들고 있습니다. 임시 암호를 보여주고 복사할 수 있습니다.
    1. 할당에서 역할 추가를 선택하고 하이브리드 ID 관리자를 선택합니다.
  5. 그런 후 검토 + 만들기>만들기를 차례로 선택합니다.
  6. 새 웹 브라우저 창에서 새 하이브리드 ID 관리자 계정과 임시 암호를 사용하여 myapps.microsoft.com에 로그인합니다.

Microsoft Entra Connect 다운로드 및 설치

이제 Microsoft Entra Connect를 다운로드하고 설치할 순서입니다. 설치한 후 빠른 설치를 사용합니다.

  1. Microsoft Entra Connect를 다운로드합니다.

  2. AzureADConnect.msi로 이동하고 두 번 클릭하여 설치 파일을 엽니다.

  3. Welcome에서 확인란을 선택하여 라이선스 사용 약관에 동의하고 계속을 선택합니다.

  4. 빠른 설정에서 빠른 설정 사용을 선택합니다.

    Screenshot that shows the Express settings screen and the Use express settings button.

  5. Microsoft Entra ID에 연결에 Microsoft Entra ID용 하이브리드 ID 관리자 계정의 사용자 이름과 암호를 입력합니다. 다음을 선택합니다.

  6. AD DS에 연결에서 기업 관리자 계정의 사용자 이름과 암호를 입력합니다. 다음을 선택합니다.

  7. 구성 준비 완료에서 설치를 선택합니다.

  8. 설치가 완료되면 끝내기를 선택합니다.

  9. Synchronization Service Manager 또는 동기화 규칙 편집기를 사용하기 전에 로그아웃한 다음, 다시 로그인합니다.

포털에서 사용자 확인

이제 온-프레미스 Active Directory 테넌트의 사용자가 동기화되었고 이제 Microsoft Entra 테넌트에 있는지 확인합니다. 이 섹션을 완료하는 데 몇 시간이 걸릴 수 있습니다.

사용자가 동기화되었는지 확인하려면 다음을 수행합니다.

  1. 최소한 하이브리드 ID 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>사용자>모든 사용자로 이동

  3. 새 사용자가 테넌트에 표시되는지 확인합니다.

    Screenshot that shows verifying that users were synced in Microsoft Entra ID.

동기화를 테스트할 사용자 계정으로 로그인

Windows Server AD 테넌트의 사용자가 Microsoft Entra 테넌트와 동기화되는지 테스트하려면 다음 사용자 중 하나로 로그인합니다.

  1. https://myapps.microsoft.com(으)로 이동합니다.

  2. 새 테넌트에 생성된 사용자 계정으로 로그인합니다.

    사용자 이름은 user@domain.onmicrosoft.com 형식을 사용합니다. 사용자가 온-프레미스 Active Directory에 로그인하는 데 사용하는 것과 동일한 암호를 사용합니다.

Azure에서 제공하는 기능을 테스트하고 익숙해지는 데 사용할 수 있는 하이브리드 ID 환경을 성공적으로 설정했습니다.

다음 단계