Google Cloud에서 고급 네트워킹 구성을 사용하여 Microsoft Active Directory 도메인 컨트롤러 배포

이 가이드에서는 네트워크 환경 구성, 도메인 컨트롤러 생성 및 승격, 사이트 복제 구성 등 Google Cloud에서 Microsoft Active Directory 도메인 컨트롤러를 구성하는 방법을 보여줍니다.

이 가이드에서는 다음을 수행합니다.

  • Active Directory를 지원하는 데 필요한 방화벽 규칙을 구성합니다.
  • Active Directory DNS(도메인 이름 시스템)를 Google Cloud의 내부 DNS와 통합하는 방법을 살펴봅니다.
  • TCP 전달용 IAP(Identity-Aware Proxy)를 통해 원격 데스크톱을 사용하는 인스턴스에 연결하여 외부 IP 주소가 없는 인스턴스에도 RDP 연결을 설정하는 방법에 대해 알아봅니다.

이 가이드에서는 원격 데스크톱 프로토콜, DNS, Active Directory 관리와 같은 Microsoft Windows 관련 주제에 대한 기본적인 지식이 있다고 가정합니다. Compute Engine 및 VPC 네트워크에 대한 지식을 포함하여 Google Cloud에 대한 기본적인 내용을 이해하는 것도 도움이 됩니다.

다음 다이어그램에 나와 있는 것처럼 이 가이드에서는 가상의 도메인인 example.org에 2개의 도메인 컨트롤러를 구성합니다. 이러한 도메인 컨트롤러를 별도의 리전별 서브넷에 배포하고 일치하는 Active Directory 사이트 토폴로지를 구성하여 도메인 컨트롤러 복제를 관리합니다. 또한 Cloud DNS에 비공개 전달 영역을 구성하여 Google Cloud의 내부 DNS가 example.org의 DNS 쿼리를 도메인 컨트롤러에 전달하도록 할 수 있습니다.

가상 도메인 `example.org`에 대해 서로 다른 두 리전에 배포된 2개 도메인 컨트롤러

목표

  • Active Directory 트래픽을 사용 설정하기 위한 특정 방화벽 규칙을 포함하여 Google Cloud에서 Active Directory의 네트워크 환경을 구성합니다.
  • Cloud DNS 비공개 전달 영역을 사용하여 Google Cloud의 내부 DNS와 Active Directory DNS를 통합합니다.
  • 외부 주소 없이 Compute Engine 인스턴스를 배포하고 TCP 전달용 IAP를 사용하여 연결합니다.
  • Windows Server 인스턴스를 배포하고 도메인 컨트롤러로 승격합니다.
  • 리전 간 핑 시간을 사용해 Active Directory 사이트 및 복제를 구성하여 복제 비용을 추정합니다.

비용

이 가이드에서는 비용이 청구될 수 있는 다음과 같은 Google Cloud 구성요소를 사용합니다.

프로젝트 사용량을 기준으로 예상 비용을 산출하려면 가격 계산기를 사용하세요. Google Cloud를 처음 사용하는 사용자는 무료 체험판을 사용할 수 있습니다.

이 가이드를 마치면 만든 리소스를 삭제하여 비용이 계속 청구되지 않게 할 수 있습니다. 자세한 내용은 삭제를 참조하세요.

시작하기 전에

  1. Google Cloud 계정에 로그인합니다. Google Cloud를 처음 사용하는 경우 계정을 만들고 Google 제품의 실제 성능을 평가해 보세요. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다.
  2. Google Cloud Console의 프로젝트 선택기 페이지에서 Google Cloud 프로젝트를 선택하거나 만듭니다.

    프로젝트 선택기로 이동

  3. Cloud 프로젝트에 결제가 사용 설정되어 있는지 확인합니다. 프로젝트에 결제가 사용 설정되어 있는지 확인하는 방법을 알아보세요.

  4. Compute Engine and Cloud DNS API를 사용 설정합니다.

    API 사용 설정

  5. Cloud SDK 설치 및 초기화
  6. Google Cloud Console의 프로젝트 선택기 페이지에서 Google Cloud 프로젝트를 선택하거나 만듭니다.

    프로젝트 선택기로 이동

  7. Cloud 프로젝트에 결제가 사용 설정되어 있는지 확인합니다. 프로젝트에 결제가 사용 설정되어 있는지 확인하는 방법을 알아보세요.

  8. Compute Engine and Cloud DNS API를 사용 설정합니다.

    API 사용 설정

  9. Cloud SDK 설치 및 초기화

네트워크 환경 구성

가상 머신 인스턴스를 만들기 전에 VPC 네트워크를 만들고 Microsoft Active Directory 환경을 호스팅하도록 구성해야 합니다.

VPC 네트워크 만들기

서로 다른 두 리전의 서브넷이 있는 VPC 네트워크를 만듭니다.

  1. Cloud Console에서 VPC 네트워크 페이지로 이동합니다.

    VPC 네트워크 페이지로 이동

  2. VPC 네트워크 만들기를 클릭합니다.

  3. 이름example을 입력합니다.

  4. 서브넷 생성 모드에서 Custom을 선택합니다.

  5. 새 서브넷 섹션에서 us-central1의 첫 번째 서브넷에 다음 구성 매개변수를 지정합니다.

    1. 이름example을 입력합니다.
    2. 리전에서 us-central1을 선택합니다.
    3. IP 주소 범위10.0.0.0/16을 입력합니다.
    4. 비공개 Google 액세스에서 사용을 클릭합니다.

    5. 완료를 클릭합니다.

  6. us-east4에 다른 서브넷을 추가하려면 서브넷 추가를 클릭하고 다음 구성 매개변수를 지정합니다.

    1. 이름example을 입력합니다.
    2. 리전에서 us-east4를 선택합니다.
    3. IP 주소 범위10.1.0.0/16을 입력합니다.
    4. 비공개 Google 액세스에서 사용을 클릭합니다.

    5. 완료를 클릭합니다.

  7. 만들기를 클릭합니다.

방화벽 규칙 만들기

다음 단계로 이 가이드에 사용된 네트워크 태그의 방화벽 규칙을 만들어 보겠습니다.

  • dc: 도메인 컨트롤러 포트용
  • dns: DNS 관련 포트용
  • rdp: 원격 데스크톱 관련 포트용

다음 표에는 이 가이드에 사용된 태그와 관련된 방화벽 규칙이 요약되어 있습니다.

태그 인그레스 규칙 소스 범위 참고
dc tcp:88,135,389,445,464,636,3268,3269,49152-65535
udp:88,123,389,464
icmp
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

이 규칙은 RFC 1918 비공개 주소 공간을 구성하는 3개 범위를 포함해 모든 내부 주소에서의 액세스를 허용합니다.

이 도메인 컨트롤러 방화벽 규칙에서 허용된 포트에 대한 정보는 https://support.microsoft.com/en-us/help/832017#method1을 참조하세요.

dns tcp:53
udp:53
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
35.199.192.0/19

이 규칙은 RFC 1918 비공개 주소 공간을 구성하는 3개 범위를 포함해 모든 내부 주소에서의 액세스를 허용합니다.

이 DNS 방화벽 규칙에서 허용된 포트에 대한 정보는 https://support.microsoft.com/en-us/help/832017#method12를 참조하세요.

Cloud DNS 전달에서 수신되는 트래픽을 허용하려면 /19 소스 범위가 필요합니다. 자세한 내용은 /dns/zones/#creating-forwarding-zones를 참조하세요.

rdp tcp:3389 35.235.240.0/20 TCP 전달용 IAP에서 수신되는 트래픽을 허용하려면 /20 소스 범위가 필요합니다. 자세한 내용은 /iap/docs/using-tcp-forwarding#before_you_begin을 참조하세요.

도메인 컨트롤러 방화벽 규칙 만들기

  1. Cloud Console에서 방화벽 규칙 페이지로 이동합니다.

    방화벽 규칙 페이지로 이동

  2. 방화벽 규칙 만들기를 클릭합니다.

  3. 이름example-allow-dc를 입력합니다.

    이 이름은 프로젝트에서 고유해야 합니다.

  4. 네트워크example을 선택하여 방화벽 규칙이 구현되는 네트워크를 지정합니다.

  5. 우선순위로 기본값 1000을 그대로 유지합니다.

    숫자가 작을수록 우선순위가 높아집니다.

  6. 트래픽 방향에서 ingress를 선택합니다.

  7. 일치 시 작업에서 allow를 선택합니다.

  8. 대상으로 Specified target tags를 선택하고 대상 태그 필드에서 규칙을 적용해야 하는 태그로 dc를 입력합니다.

  9. 소스 필터로 IP 범위를 선택하고 소스 IP 범위 필드에 CIDR 블록(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)을 입력하여 수신 트래픽의 소스를 정의합니다.

  10. 프로토콜 및 포트에서 Specified protocols and ports를 선택하여 규칙을 적용할 프로토콜 및 포트를 정의합니다.

    1. tcp를 선택하고 쉼표로 구분된 포트 목록(88,135,389,445,464,636,3268,3269,49152-65535)을 입력합니다.
    2. udp를 선택하고 쉼표로 구분된 포트 목록(88,123,389,464)을 입력합니다.
    3. 기타 프로토콜을 선택하고 icmp를 포함합니다.
  11. 만들기를 클릭합니다.

DNS 방화벽 규칙 만들기

  1. 방화벽 규칙 만들기를 클릭합니다.
  2. 이름example-allow-dns를 입력합니다.

    이 이름은 프로젝트에서 고유해야 합니다.

  3. 네트워크example을 선택하여 방화벽 규칙이 구현되는 네트워크를 지정합니다.

  4. 우선순위로 기본값 1000을 그대로 유지합니다.

    숫자가 작을수록 우선순위가 높아집니다.

  5. 트래픽 방향에서 ingress를 선택합니다.

  6. 일치 시 작업에서 allow를 선택합니다.

  7. 대상으로 Specified target tags를 선택하고 대상 태그 필드에서 규칙을 적용해야 하는 태그로 dns를 입력합니다.

  8. 소스 필터의 IP 범위를 선택하고 소스 IP 범위 필드에 CIDR 블록(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 35.199.192.0/19)을 입력하여 수신 트래픽의 소스를 정의합니다.

  9. 프로토콜 및 포트에서 Specified protocols and ports를 선택하여 규칙을 적용할 프로토콜 및 포트를 정의합니다.

    1. tcp를 선택하고 포트 53을 입력합니다.
    2. udp를 선택하고 포트 53을 입력합니다.
  10. 만들기를 클릭합니다.

원격 데스크톱 방화벽 규칙 만들기

  1. 방화벽 규칙 만들기를 클릭합니다.
  2. 이름example-allow-rdp를 입력합니다.

    이 이름은 프로젝트에서 고유해야 합니다.

  3. 네트워크example을 선택하여 방화벽 규칙이 구현되는 네트워크를 지정합니다.

  4. 우선순위로 기본값 1000을 그대로 유지합니다.

    숫자가 작을수록 우선순위가 높아집니다.

  5. 트래픽 방향에서 ingress를 선택합니다.

  6. 일치 시 작업에서 allow를 선택합니다.

  7. 대상으로 Specified target tags를 선택하고 대상 태그 필드에서 규칙을 적용해야 하는 태그로 rdp를 입력합니다.

  8. 소스 필터의 IP 범위를 선택하고 소스 IP 범위 필드에 CIDR 블록(35.235.240.0/20)을 입력하여 수신 트래픽의 소스를 정의합니다.

  9. 프로토콜 및 포트에서 Specified protocols and ports를 선택하고 tcp를 선택한 다음 포트 3389를 입력합니다.

  10. 만들기를 클릭합니다.

Cloud DNS 비공개 전달 영역 구성

이 섹션에서는 Cloud DNS에 비공개 전달 영역을 구성하여 example.org Active Directory 도메인의 DNS와 Google Cloud 기본 DNS 이름 서버와 통합합니다.

Cloud DNS 비공개 전달 영역 만들기

  1. Cloud Console에서 Cloud DNS 페이지로 이동합니다.

    Cloud DNS 페이지로 이동

  2. 영역 만들기를 클릭합니다.

  3. 영역 유형에서 private을 선택합니다.

  4. 영역 이름example-org를 입력합니다.

  5. DNS 이름example.org를 입력합니다.

  6. 다른 서버로 쿼리 전달을 선택하여 전달 대상을 구성합니다.

  7. 대상 DNS 서버에 주소 10.0.0.210.1.0.2를 입력합니다.

  8. 네트워크example을 선택하여 전달 영역이 적용되는 네트워크를 지정합니다.

  9. 만들기를 클릭합니다.

도메인 컨트롤러 인스턴스 실행

이 섹션에서는 10.0.0.2 주소를 사용하는 us-central1 리전과 10.1.0.2 주소를 사용하는 us-east4 리전에서 각각 도메인 컨트롤러 인스턴스를 실행합니다. 이 두 주소는 이미 Cloud DNS 비공개 전달 영역에 구성되어 있습니다.

us-central1에서 초기 도메인 컨트롤러 인스턴스 실행

  1. Cloud Console에서 VM 인스턴스 페이지로 이동합니다.

    VM 인스턴스 페이지로 이동

  2. 인스턴스 만들기를 클릭하고 dc-1를 인스턴스 이름으로 지정합니다.

  3. 리전에서 us-central1을 선택합니다.

  4. 영역 값을 기록해 둡니다. 이 값은 나중에 필요합니다.

  5. 머신 유형에서 n1-standard-2 머신 유형으로 2 vCPUs를 선택합니다.

  6. 부팅 디스크에서 변경을 클릭하여 부팅 디스크 이미지를 선택한 후 다음을 수행합니다.

    1. 부팅 디스크 대화상자의 OS 이미지에서 Windows Server 2019 Datacenter를 선택합니다.
    2. 부팅 디스크 유형에서 Standard persistent disk를 선택합니다.
    3. 크기(GB)50을 지정합니다.
    4. 선택을 클릭하여 부팅 디스크 선택을 완료합니다.
  7. 관리, 보안, 디스크, 네트워킹, 단독 테넌시 메뉴를 펼칩니다.

  8. 네트워킹을 클릭한 후 다음을 수행합니다.

    1. 네트워크 태그dc, dns, rdp 태그를 입력하여 인스턴스에 관련 방화벽 규칙을 적용합니다.
    2. 네트워킹 인터페이스의 경우 아이콘을 클릭하여 기본 인터페이스를 수정합니다.
    3. 네트워크에서 example VPC 네트워크를 선택합니다.
    4. 기본 내부 IP에서 고정 IP 주소 예약을 선택합니다.
    5. 고정 내부 IP 주소 예약 대화상자의 이름dc-1을 입력합니다.
    6. 고정 IP 주소에서 Let me choose를 선택합니다.
    7. 커스텀 IP 주소10.0.0.2를 입력합니다.
    8. 예약을 클릭합니다.
    9. 외부 IP에서 None을 선택하여 외부 IP 주소가 할당되지 않도록 합니다.
    10. 완료를 클릭합니다.
  9. 만들기를 클릭합니다.

us-east4에서 두 번째 도메인 컨트롤러 인스턴스 실행

  1. VM 인스턴스 페이지에서 인스턴스 만들기를 클릭하고 dc-2를 인스턴스 이름으로 지정합니다.
  2. 리전에서 us-east4를 선택합니다.
  3. 이때 선택한 영역을 기록해 둡니다. 이 값은 나중에 필요합니다.
  4. 머신 유형에서 n1-standard-2 머신 유형으로 2 vCPUs를 선택합니다.
  5. 부팅 디스크에서 변경을 클릭하여 부팅 디스크 이미지를 선택합니다.
    1. 부팅 디스크 대화상자의 OS 이미지에서 Windows Server 2019 Datacenter를 선택합니다.
    2. 부팅 디스크 유형에서 Standard persistent disk를 선택합니다.
    3. 크기(GB)50을 지정합니다.
    4. 선택을 클릭하여 부팅 디스크 선택을 완료합니다.
  6. 관리, 보안, 디스크, 네트워킹, 단독 테넌시 메뉴를 펼칩니다.
  7. 네트워킹을 클릭합니다.
    1. 네트워크 태그dc, dns, rdp 태그를 입력하여 인스턴스에 관련 방화벽 규칙을 적용합니다.
    2. 네트워킹 인터페이스의 경우 아이콘을 클릭하여 기본 인터페이스를 수정합니다.
    3. 네트워크에서 example VPC 네트워크를 선택합니다.
    4. 기본 내부 IP에서 고정 IP 주소 예약을 선택합니다.
    5. 고정 내부 IP 주소 예약 대화상자의 이름dc-2을 입력합니다.
    6. 고정 IP 주소에서 Let me choose를 선택합니다.
    7. 커스텀 IP 주소10.1.0.2를 입력합니다.
    8. 예약을 클릭합니다.
    9. 외부 IP에서 None을 선택하여 외부 IP 주소가 할당되지 않도록 합니다.
    10. 완료를 클릭합니다.
  8. 만들기를 클릭합니다.

TCP 전달용 IAP를 사용하여 인스턴스에 연결

외부 IP 주소 없이 도메인 컨트롤러 인스턴스를 실행했다는 것을 상기해 보세요. 따라서 이러한 인스턴스는 인터넷에서 직접 주소를 지정할 수 없습니다. 원격 데스크톱 연결을 설정하려면 TCP 전달용 IAP(Identity-Aware Proxy)를 사용하여 로컬 포트와 대상 인스턴스의 원격 데스크톱 포트인 3389 간에 보안 터널을 만들면 됩니다. TCP 전달용 IAP(Identity-Aware Proxy)를 사용하면 인터넷에 인스턴스를 노출시키지 않고 안전한 관리 연결을 설정할 수 있습니다.

대상 인스턴스에 대한 보안 터널을 통과하는 로컬 포트와 Google Cloud의 포털 간에 포트 전달을 사용 설정하려면 다음 구문이 포함된 start-iap-tunnel 명령어를 사용하세요.

gcloud beta compute start-iap-tunnel instance-name instance-port \
    --local-host-port=localhost:local-port \
    --zone=zone \
    --project=project-id

각 항목의 의미는 다음과 같습니다.

  • instance-name은 작업을 수행할 인스턴스의 이름입니다.
  • instance-port는 연결할 인스턴스 포트의 이름 또는 구성원입니다.
  • local-port는 프록시가 결합되는 포트입니다. 값을 지정하지 않으면 임의의 포트가 할당됩니다.
  • zone은 작업을 수행할 인스턴스의 영역입니다.
  • project-id은 이 호출에 사용할 Google Cloud 프로젝트입니다.

예를 들어 로컬 포트 53389와 첫 번째 도메인 컨트롤러 dc-1 사이에 RDP 터널링을 사용 설정하려면 다음 안내를 따르세요.

  • 로컬 명령어 프롬프트에서 TCP 전달용 IAP를 구성합니다.

    gcloud beta compute start-iap-tunnel dc-1 3389 \
        --local-host-port=localhost:53389 \
        --zone=zone \
        --project=project-id
    

    각 항목의 의미는 다음과 같습니다.

    • zoneus-central1 리전에서 dc-1이 배포된 영역입니다.
    • project-id는 이 가이드용으로 선택한 프로젝트 ID입니다.

    gcloud 도구가 TCP 전달용 터널을 초기화하면 다음과 비슷한 출력이 표시됩니다.

    Testing if tunnel connection works.
    Listening on port [53389].
    

    이제 IAP를 통해 dc-1의 RDP 포트(3389)로 터널링되는 로컬 포트 (53389)가 준비되었습니다. dc-1에 연결하려면 먼저 로컬 사용자 인증 정보가 있어야 합니다.

dc-1의 로컬 사용자 인증 정보 가져오기

  1. Cloud Console에서 VM 인스턴스 페이지로 이동합니다.

    VM 인스턴스 페이지로 이동

  2. 이름 열에서 가상 머신 인스턴스의 이름을 클릭합니다.

  3. 원격 액세스 섹션에서 Windows 비밀번호 설정 버튼을 클릭합니다.

  4. 사용자 이름을 지정한 다음 설정을 클릭하여 Windows 인스턴스의 새 비밀번호를 생성합니다. 해당 인스턴스에 로그인할 사용자 이름과 비밀번호를 저장합니다.

dc-1에 RDP 연결 설정

  1. 선택한 원격 데스크톱 클라이언트를 사용하여 원격 주소로 localhost 또는 127.0.0.1를, 원격 포트로 53389을 지정하여 dc-1에 연결합니다.
  2. 메시지가 표시되면 이전 단계에서 만든 사용자 이름과 비밀번호를 입력합니다.

나중에 인스턴스의 연결을 해제할 때는 Control+C를 눌러 gcloud beta compute start-iap-tunnel 명령어를 취소하고 터널을 닫아야 합니다.

초기 도메인 컨트롤러 승격

dc-1에 연결한 후에는 RDP 창에서 로컬 관리자 계정을 사용 설정하고, Active Directory 도메인 서비스를 설치하고, 새 Active Directory 포리스트의 도메인 컨트롤러로 인스턴스를 구성할 수 있습니다.

로컬 관리자 사용 설정

  1. dc-1에서 서버 관리자를 열고 메뉴 항목에서 도구 > 컴퓨터 관리를 선택합니다.
  2. 왼쪽 탐색 창의 컴퓨터 관리(로컬) > 시스템 도구에서 로컬 사용자 및 그룹을 펼친 다음 사용자 폴더를 선택합니다.
  3. 관리자를 마우스 오른쪽 버튼으로 클릭하고 암호 설정을 선택합니다.
  4. 관리자의 암호 설정 대화상자에서 계속을 클릭합니다.
  5. 안전한 암호를 입력하고 확인한 다음 확인을 두 번 클릭합니다.

  6. 관리자를 마우스 오른쪽 버튼으로 클릭하고 속성을 선택합니다.

  7. 일반 탭에서 계정 사용 안 함을 선택 해제합니다.

  8. 확인을 클릭합니다.

  9. 컴퓨터 관리를 닫습니다.

Active Directory 도메인 서비스 설치

  1. dc-1에서 서버 관리자를 열고 메뉴 항목에서 관리 > 역할 및 기능 추가를 선택합니다.
  2. 시작하기 전에 페이지에서 다음을 클릭합니다.
  3. 설치 유형 페이지에서 다음을 클릭합니다.
  4. 서버 선택 페이지에서 다음을 클릭합니다.
  5. 서버 역할 페이지의 역할에서 Active Directory 도메인 서비스를 선택합니다.
  6. 역할 및 기능 추가 마법사 팝업에서 기능 추가를 클릭합니다.
  7. 다음을 클릭합니다.
  8. 기능 페이지에서 다음을 클릭합니다.
  9. Active Directory 도메인 서비스 페이지에서 다음을 클릭하십시오.
  10. 확인 페이지에서 설치를 클릭합니다.
  11. 설치가 완료되면 닫기를 클릭합니다.

dc-1을 도메인 컨트롤러로 구성

  1. 서버 관리자 창 상단에서 알림 플래그 아이콘을 클릭합니다.
  2. 배포 후 구성 알림에서 이 서버를 도메인 컨트롤러로 승격을 클릭합니다.
  3. Active Directory 도메인 서비스 구성 마법사배포 작업을 선택합니다에서 Add a new forest를 선택합니다.
  4. 루트 도메인 이름example.org를 입력합니다.
  5. 다음을 클릭합니다.
  6. 도메인 컨트롤러 옵션 페이지에서 DSRM(디렉터리 서비스 복원 모드) 암호를 입력합니다에 안전한 암호를 입력하고 확인합니다.

  7. 다음을 클릭합니다.

  8. DNS 옵션 페이지에서 다음을 클릭합니다.

  9. 추가 옵션 페이지에서 다음을 클릭합니다.

  10. 경로 페이지에서 다음을 클릭합니다.

  11. 검토 옵션 페이지에서 다음을 클릭합니다.

  12. 필수 구성 요소 확인 페이지에서 확인이 완료되면 설치를 클릭합니다.

    설치가 완료되면 인스턴스가 자동으로 다시 시작되므로 RDP 세션과의 연결이 끊어집니다.

Active Directory 사이트 및 복제 구성

이 섹션에서는 dc-1에 다시 연결하여 Active Directory 사이트 및 복제를 구성합니다. 이때 도메인 관리자 자격 증명을 사용합니다.

Active Directory 사이트 구성

  1. 로컬 전달 포트를 사용해 이전처럼 dc-1에 연결합니다. 단, 이번에는 도메인 관리자 자격 증명을 사용하세요.
    1. 사용자 이름example\administrator를 입력합니다.
    2. 암호에 이전에 dc-1의 로컬 관리자 계정에 할당한 암호를 입력합니다.
  2. 서버 관리자의 메뉴 항목에서 도구 > Active Directory 사이트 및 서비스를 선택합니다.
  3. 왼쪽 탐색창의 Active Directory 사이트 및 서비스에서 사이트를 마우스 오른쪽 버튼으로 클릭한 다음 새 사이트를 선택합니다.
  4. 이름GCP-us-central1를 입력합니다.
  5. 이 사이트에 대해 사이트 링크 객체를 선택하십시오에서 DEFAULTIPSITELINK를 선택합니다.
  6. 확인을 두 번 클릭합니다.
  7. 3~6 단계를 반복하여 GCP-us-east4라는 유사한 사이트를 만듭니다.
  1. 왼쪽 탐색창에서 Active Directory 사이트 및 서비스 > 사이트를 선택한 다음 사이트 간 전송을 펼칩니다.
  2. IP를 마우스 오른쪽 버튼으로 클릭한 다음 새 사이트 링크를 선택합니다.
  3. 이름GCP-us-central1-us-east4을 지정합니다.
  4. 이 사이트 링크에 없는 사이트에서 GCP-us-central1GCP-us-east4를 모두 강조표시합니다.
  5. 추가를 클릭하여 이 두 사이트를 이 사이트 링크에 있는 사이트로 이동합니다.
  6. 확인을 클릭합니다.
  7. 왼쪽 탐색창에서 Active Directory 사이트 및 서비스 > 사이트 > 사이트 간 전송을 선택한 다음 IP를 선택합니다.
  8. 새 사이트 링크 GCP-us-central1-us-east4을 마우스 오른쪽 버튼으로 클릭한 다음 속성을 선택합니다.
  9. 비용250을 입력합니다.

  10. 복제 간격15분을 입력합니다.

  11. 확인을 클릭합니다.

Active Directory 사이트의 서브넷 구성

  1. 왼쪽 탐색창에서 Active Directory 사이트 및 서비스 > 사이트를 선택하고 서브넷을 마우스 오른쪽 버튼으로 클릭한 다음 새 서브넷을 선택합니다.
  2. 프리픽스10.0.0.0/16을 입력합니다.
  3. 사이트 이름에서 GCP-us-central1을 선택합니다.
  4. 확인을 클릭합니다.
  5. 1~4단계를 반복하여 10.1.0.0/16 및 사이트 GCP-us-east4에 대해 유사한 서브넷을 만듭니다.

dc-1을 적절한 사이트(GCP-us-central1)에 추가

  1. 왼쪽 탐색창에서 Active Directory 사이트 및 서비스 > 사이트를 선택하고 Default-First-Site-Name > 서브넷을 펼치고 GCP-us-central1을 펼칩니다.
  2. Default-First-Site-Name > 서버에서 dc-1을 드래그하여 GCP-us-central1 > 서버에 놓습니다.
  3. Active Directory 도메인 서비스 확인 대화상자에서 를 클릭합니다.

추가 도메인 컨트롤러 승격

위의 TCP 전달용 IAP를 사용하여 인스턴스에 연결에 나온 단계를 따라 포트 53390 같이 다른 로컬 전달을 사용하여 dc-2에 연결합니다. dc-2에 연결했으면 로컬 관리자를 사용 설정하고 dc-1에 설명된 단계에 따라 Active Directory 도메인 서비스를 설치합니다. 위의 단계를 수행했으면 dc-2를 도메인 컨트롤러로 구성할 수 있습니다.

dc-2를 도메인 컨트롤러로 구성

  1. 서버 관리자 창 상단에서 알림 플래그 아이콘을 클릭합니다.
  2. 배포 후 구성 알림에서 이 서버를 도메인 컨트롤러로 승격을 클릭합니다.
  3. Active Directory 도메인 서비스 구성 마법사배포 작업을 선택합니다에서 Add a domain controller to an existing domain을 선택합니다.
  4. 도메인example.org을 입력합니다.
  5. 이 작업을 수행하기 위한 자격 증명을 제공합니다에서 변경을 클릭합니다.
  6. Windows 보안 대화상자에서 도메인 관리자 자격 증명을 지정합니다.
    1. 사용자 이름example\administrator를 입력합니다.
    2. 암호에 이전에 dc-1의 로컬 관리자 계정에 할당한 암호를 입력합니다.
  7. 확인을 클릭하여 대화상자를 닫습니다.
  8. 다음을 클릭합니다.
  9. 도메인 컨트롤러 옵션에서 사이트 이름 아래에 GCP-us-east4가 선택되어 있는지 확인합니다.

  10. DSRM(디렉터리 서비스 복원 모드) 암호를 입력합니다에 안전한 암호를 입력하고 확인합니다.

    dc-1에 지정한 것과 동일한 DSRM 암호를 사용해도 됩니다. 이 암호를 기억하세요. 도메인을 복원 또는 복구해야 하는 경우에 유용합니다.

  11. 다음을 클릭합니다.

  12. DNS 옵션 페이지에서 다음을 클릭합니다.

    A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found라는 경고가 표시될 수 있습니다. 앞에서 나온 Cloud DNS 구성에서 전달 영역의 용도가 경고에 언급된 위임과 동일하므로 이 메시지를 무시해도 됩니다.

  13. 추가 옵션 페이지에서 다음을 클릭합니다.

  14. 경로 페이지에서 다음을 클릭합니다.

  15. 검토 옵션 페이지에서 다음을 클릭합니다.

  16. 필수 구성 요소 확인 페이지에서 확인이 완료되면 설치를 클릭합니다.

Active Directory 구성 테스트

해당 환경에 대해 새 테스트 인스턴스를 실행하고 이 인스턴스를 도메인에 연결하여 도메인 컨트롤러 구성을 테스트합니다.

테스트 인스턴스 us-central1 실행

  1. Cloud Console에서 VM 인스턴스 페이지로 이동합니다.

    VM 인스턴스 페이지로 이동

  2. 인스턴스 만들기를 클릭하고 test-1를 인스턴스 이름으로 지정합니다.

  3. 리전에서 us-central1을 선택합니다.

  4. 영역 값을 기록해 둡니다. 이 값은 나중에 필요합니다.

  5. 머신 유형에서 n1-standard-2 머신 유형으로 2 vCPUs를 선택합니다.

  6. 부팅 디스크에서 변경을 클릭하여 부팅 디스크 이미지를 선택한 후 다음을 수행합니다.

    1. 부팅 디스크 대화상자의 OS 이미지에서 Windows Server 2019 Datacenter를 선택합니다.
    2. 부팅 디스크 유형에서 Standard persistent disk를 선택합니다.
    3. 크기(GB)50을 지정합니다.
    4. 선택을 클릭하여 부팅 디스크 선택을 완료합니다.
  7. 관리, 보안, 디스크, 네트워킹, 단독 테넌시 메뉴를 펼칩니다.

  8. 네트워킹 섹션 헤더를 클릭한 후 다음을 수행합니다.

    1. 네트워크 태그 rdp를 입력하여 인스턴스에 관련 방화벽 규칙을 적용합니다.
    2. 네트워킹 인터페이스에서 아이콘을 클릭하여 기본 인터페이스를 수정합니다.
    3. 네트워크에서 example VPC 네트워크를 선택합니다.
    4. 외부 IP에서 None을 선택하여 외부 IP 주소가 할당되지 않도록 합니다.
    5. 완료를 클릭합니다.
  9. 만들기를 클릭합니다.

테스트 인스턴스에 연결

이 섹션에서는 test-1의 로컬 사용자에 대한 사용자 인증 정보를 가져온 다음 테스트 인스턴스 서버에 연결합니다.

test-1의 로컬 사용자에 대한 사용자 인증 정보 가져오기

  1. Cloud Console에서 VM 인스턴스 페이지로 이동합니다.

    VM 인스턴스 페이지로 이동

  2. 이름 열에서 가상 머신 인스턴스의 이름 test-1을 클릭합니다.

  3. 원격 액세스 섹션에서 Windows 비밀번호 설정 버튼을 클릭합니다.

  4. 사용자 이름을 지정한 다음 설정을 클릭하여 Windows 인스턴스의 새 비밀번호를 생성합니다. 해당 인스턴스에 로그인할 사용자 이름과 비밀번호를 저장합니다.

테스트 인스턴스 서버 test-1에 연결

  1. 로컬 명령어 프롬프트에서 Cloud IAP 및 gcloud 도구를 사용하여 터널을 시작합니다.

    gcloud beta compute start-iap-tunnel test-1 3389 \
        --zone=zone \
        --project=project-id
    

    각 항목의 의미는 다음과 같습니다.

    • zoneus-central1 리전에서 test-1이 배포된 영역입니다.
    • project-id는 이 가이드용으로 선택한 프로젝트 ID입니다.

    gcloud 도구가 TCP 전달용 터널을 초기화하면 다음과 비슷한 출력이 표시됩니다.

    Testing if tunnel connection works.
    Listening on port [17148].
    
  2. 선호하는 원격 데스크톱 클라이언트를 사용하여 이전 명령어의 출력에 지정된 포트의 localhost(127.0.0.1)에 연결합니다. 이는 예시 포트 17148과 다를 수 있습니다.

  3. 사용자 인증 정보를 입력하라는 메시지가 표시되면 이전 단계에서 설정한 로컬 사용자의 사용자 이름과 비밀번호를 입력합니다.

테스트 인스턴스를 도메인에 연결

  1. 원격 데스크톱 창에서 인스턴스를 example.org 도메인에 조인합니다. 서버 관리자 창의 왼쪽 탐색창에서 로컬 서버를 클릭합니다.
  2. test-1의 속성에서 작업 그룹 링크를 클릭합니다.
  3. 시스템 속성 대화상자의 컴퓨터 이름 탭에서 변경을 클릭합니다.
  4. 소속 그룹 섹션에서 도메인을 선택한 다음 example.org를 입력합니다.
  5. 확인을 클릭합니다.
  6. 사용자 인증 정보를 입력하라는 메시지가 표시되면 이전에 선택한 도메인 관리자 암호와 example\administrator를 지정하고 확인을 클릭합니다.
  7. 확인, 확인, 닫기를 차례로 클릭하고 마지막으로 지금 다시 시작을 클릭합니다.

도메인 멤버십 및 활성 도메인 컨트롤러 확인

  1. 서버가 다시 시작될 때까지 기다립니다. RDP의 터널은 활성 상태가 유지됩니다.
  2. RDP를 사용하여 인스턴스에 다시 연결합니다. 이때 도메인 관리자 암호와 함께 도메인 관리자 자격 증명(예: example\administrator)을 지정합니다.
  3. 명령어 프롬프트 창에서 다음 명령어를 실행하여 활성 도메인 컨트롤러를 확인합니다.

    echo %logonserver%
    

    dc-1이 활성 도메인 컨트롤러로 식별된 다음과 비슷한 출력이 표시됩니다.

    \\DC-1
    

    도메인 컨트롤러의 DNS 기반 장애 조치 동작을 살펴보려면 다음 단계를 수행하세요.

    1. test-1에서 로그아웃합니다. 이때 단순히 연결을 끊지 말고 로그아웃해야 합니다.
    2. dc-1을 중지합니다. dc-1이 중지되었으면 test-1에 다시 로그인합니다.

      다시 로그인할 때 평소보다 오래 걸릴 수 있지만, 로그인 후 echo %logonserver%를 다시 실행하면 \\DC-2가 활성 도메인 컨트롤러로 전환된 것을 확인할 수 있습니다.

삭제

이 튜토리얼에서 사용된 리소스 비용이 Google Cloud 계정에 청구되지 않도록 하려면 리소스가 포함된 프로젝트를 삭제하거나 프로젝트를 유지하고 개별 리소스를 삭제하세요.

프로젝트 삭제

  1. Cloud Console에서 리소스 관리 페이지로 이동합니다.

    리소스 관리로 이동

  2. 프로젝트 목록에서 삭제할 프로젝트를 선택하고 삭제를 클릭합니다.
  3. 대화상자에서 프로젝트 ID를 입력한 후 종료를 클릭하여 프로젝트를 삭제합니다.

다음 단계