관리형 Microsoft AD 도메인에 연결

이 페이지에서는 Microsoft Active Directory용 관리형 서비스 도메인에 연결하기 위한 다양한 옵션에 대해 설명합니다.

RDP를 사용하여 도메인 가입 Windows VM에 연결

원격 데스크톱 프로토콜(RDP)을 사용하여 도메인에 연결할 수 있습니다. 보안 상의 이유로 RDP를 사용하여 도메인 컨트롤러에 직접 연결할 수 없습니다. 대신 RDP를 사용하여 Compute Engine 인스턴스에 연결한 다음 표준 AD 관리 도구를 사용하여 AD 도메인에서 원격으로 작업할 수 있습니다.

Windows VM 도메인 가입 후에는 Google Cloud 콘솔에서 RDP를 사용하여 도메인 가입 Windows VM에 연결Active Directory 객체를 관리할 수 있습니다.

RDP 연결 문제 해결

RDP를 사용하여 Windows 인스턴스에 연결하는 데 문제가 있는 경우 일반적인 RDP 문제를 해결하기 위한 팁과 방법은 RDP 문제 해결을 참조하세요.

Kerberos 문제 해결

RDP 연결에 Kerberos를 사용하려고 하지만 NTLM으로 폴백하면 구성이 필요한 요구사항을 충족하지 못할 수 있습니다.

Kerberos를 사용하여 관리형 Microsoft AD 가입 VM에 RDP를 통해 연결하려면 RDP 클라이언트에 대상 서버에 대해 발급된 티켓이 필요합니다. 이 티켓을 받으려면 클라이언트에서 다음 태스크를 수행할 수 있어야 합니다.

  • 서버의 서비스 기본 이름(SPN)을 결정합니다. RDP의 경우 SPN은 서버의 DNS 이름에서 파생됩니다.
  • 클라이언트 워크스테이션이 가입된 도메인의 도메인 컨트롤러에 문의하여 해당 SPN에 대한 티켓을 요청합니다.

클라이언트가 SPN을 확인할 수 있도록 하려면 AD의 서버 컴퓨터 객체에 IP 기반 SPN을 추가합니다.

클라이언트가 연락할 올바른 도메인 컨트롤러를 찾을 수 있게 하려면 다음 태스크 중 하나를 수행해야 합니다.

도메인 가입 Linux VM에 연결

이 섹션에는 Linux와의 Active Directory 상호 운용성을 관리하기 위한 일부 오픈소스 옵션이 나와 있습니다. Linux VM을 관리형 Microsoft AD 도메인에 가입시키는 방법에 대해 알아보세요.

SSSD(System Security Services Daemon)가 Active Directory에 직접 가입

SSSD(System Security Services Daemon)를 사용하여 Active Directory 상호 운용성을 관리할 수 있습니다. SSSD는 포리스트 간 트러스트를 지원하지 않습니다. SSSD에 대해 알아보세요.

Winbind

Winbind를 사용하여 Active Directory 상호 운용성을 관리할 수 있습니다. MSRPC(Microsoft Remote Procedure Call)를 사용하여 Windows 클라이언트와 유사한 Active Directory와 상호작용합니다. Winbind는 포리스트 간 트러스트를 지원합니다. Winbind에 대해 알아보세요.

OpenLDAP

OpenLDAP는 LDAP 애플리케이션 모음입니다. 일부 타사 제공업체는 OpenLDAP를 기반으로 독점 Active Directory 상호 운용 도구를 개발했습니다. OpenLDAP에 대해 알아보세요.

트러스트를 사용하여 도메인에 연결

온프레미스 도메인과 관리형 Microsoft AD 도메인 간에 트러스트를 만드는 경우 온프레미스 도메인에 있는 것처럼 Google Cloud의 AD 리소스에 액세스할 수 있습니다. 관리형 Microsoft AD에서 트러스트를 만들고 관리하는 방법에 대해 알아보세요.

하이브리드 연결 제품을 사용하여 도메인에 연결

Cloud VPN 또는 Cloud Interconnect와 같은 Google Cloud 하이브리드 연결 제품을 사용하여 관리형 Microsoft AD 도메인에 연결할 수 있습니다. 온프레미스 또는 다른 네트워크에서 관리형 Microsoft AD 도메인의 승인된 네트워크로의 연결을 구성할 수 있습니다.

시작하기 전에

도메인 이름을 사용하여 연결

관리형 Microsoft AD는 고정 IP 주소를 제공하지 않으므로 IP 주소 대신 도메인 이름을 사용하여 도메인 컨트롤러에 연결하는 것이 좋습니다. IP 주소가 변경된 경우에도 도메인 이름을 사용하여 Active Directory DC 로케이터 프로세스가 도메인 컨트롤러를 찾을 수 있습니다.

DNS 변환에 IP 주소 사용

IP 주소를 사용하여 도메인에 연결할 경우 관리형 Microsoft AD에서 사용하는 것과 동일한 이름 변환 서비스를 사용할 수 있도록 VPC 네트워크에서 인바운드 DNS 정책을 만들 수 있습니다. 관리형 Microsoft AD는 Cloud DNS를 사용하여 Cloud DNS 피어링을 통해 관리형 Microsoft AD 도메인에 이름 변환을 제공합니다.

인바운드 DNS 정책을 사용하려면 온프레미스 시스템 또는 네임서버를 구성하여 온프레미스 네트워크를 VPC 네트워크에 연결하는 Cloud VPN 터널 또는 VLAN 연결과 동일한 리전에 있는 프록시 IP주소로 DNS 쿼리를 전달해야 합니다. 인바운드 서버 정책 만들기에 대해 알아보세요.

피어링 사용

관리형 Microsoft AD는 중첩 피어링을 지원하지 않으므로 Active Directory에 대해 직접 승인된 네트워크만 도메인에 액세스할 수 있습니다. 승인된 네트워크의 피어는 관리형 Microsoft AD 도메인에 연결할 수 없습니다.