이 페이지에서는 온프레미스 도메인과 Microsoft Active Directory용 관리형 서비스 도메인 간의 트러스트 관계를 만드는 방법을 보여줍니다. 이 트러스트는 단방향 또는 양방향일 수 있습니다. 다중 포리스트가 포함될 수도 있습니다. 이미 트러스트를 설정한 경우 트러스트 관리 방법을 알아보세요.
관리형 Microsoft AD는 포리스트 트러스트 유형을 지원하며 외부, 렐름, 단축키 트러스트 유형을 지원하지 않습니다.
트러스트 유형
트러스트 관계는 단방향 또는 양방향일 수 있습니다. 단방향 트러스트는 두 도메인 간에 생성된 단방향 인증 경로입니다. 이 주제에서 온프레미스 도메인은 단방향 트러스트의 트러스트된 또는 인바운드 측이며 관리형 Microsoft AD 도메인은 관계에서 트러스트 또는 아웃바운드 측입니다. 양방향 트러스트는 두 도메인 간에 생성된 양방향 인증 경로입니다. 트러스트와 액세스는 양방향으로 진행됩니다.
시작하기 전에
트러스트를 만들기 전에 다음 단계를 완료합니다.
온프레미스 도메인에 지원되는 Windows 버전을 실행 중인지 확인합니다.
온프레미스 도메인에 적용되는 DNS 서버의 IP 주소를 수집합니다.
네트워크 연결 설정
온프레미스 네트워크와 Google Cloud Virtual Private Cloud(VPC) 간에 네트워크 연결을 설정한 다음 두 네트워크가 통신할 수 있는지 확인하세요. Cloud VPN 연결 식별 및 설정에 대한 자세한 내용은 Cloud VPN 개요를 참조하세요.
방화벽 포트 열기
온프레미스 네트워크 및 Google Cloud VPC에서 인그레스/이그레스 포트를 구성하여 Active Directory 트러스트 연결을 허용합니다.
다음 표에서는 트러스트를 설정하는 데 필요한 최소 포트 집합을 보여줍니다. 시나리오에 따라 포트를 더 구성해야 할 수 있습니다. 자세한 내용은 Microsoft의 Active Directory 및 Active Directory Domain Services 포트 요구사항을 참조하세요.
온프레미스 네트워크 방화벽 포트 열기
다음 표에 나열된 온프레미스 방화벽의 포트를 VPC 네트워크 및 관리형 Microsoft AD 네트워크에서 사용하는 CIDR IP 블록으로 엽니다.
프로토콜 | 포트 | 기능 |
---|---|---|
TCP, UDP | 53 | DNS |
TCP, UDP | 88 | Kerberos |
TCP, UDP | 464 | Kerberos 비밀번호 변경 |
TCP | 135 | RPC |
TCP | 49152-65535 | RPC |
TCP, UDP | 389 | LDAP |
TCP, UDP | 445 | SMB |
VPC 네트워크 방화벽 포트 열기
다음 표에 나열된 VPC 네트워크 방화벽의 포트를 온프레미스 네트워크에서 사용하는 CIDR IP 블록으로 엽니다.
프로토콜 | 포트 | 기능 |
---|---|---|
TCP, UDP | 53 | DNS |
DNS 조건부 전달자 구성
방화벽 포트를 연 후 DNS 조건부 전달자를 구성하세요. 이러한 설정을 사용하면 해결할 수 없는 요청을 다른 DNS 서버로 전달하기 위한 힌트를 제공할 수 있습니다.
인바운드 전달 정책 확인
VPC에 대한 Cloud DNS 인바운드 전달 정책을 만들기 전에 VPC가 있는지 확인하세요.
Google Cloud 콘솔에서 Cloud DNS 서버 정책 페이지를 엽니다.
Cloud DNS 페이지 열기인바운드 열이 사용으로 설정되어 있고 도메인에서 사용하는 VPC 네트워크가 다음에서 사용 중 열의 드롭다운에 나열된 목록에서 정책을 찾습니다.
유효한 기존 정책이 있는 경우 DNS IP 주소 가져오기로 건너뛸 수 있습니다.
인바운드 전달 정책 만들기
인바운드 전달 정책을 만들려면 다음 단계를 완료하세요.
Google Cloud 콘솔에서 Cloud DNS 서버 정책 페이지를 엽니다.
Cloud DNS 페이지 열기정책 만들기를 선택합니다.
이름을 입력합니다.
인바운드 쿼리 전달을 사용으로 설정하세요.
네트워크 메뉴에서 도메인의 VPC 네트워크를 선택하세요.
만들기를 선택합니다.
DNS IP 주소 가져오기
인바운드 전달 정책을 만든 후 관리형 Microsoft AD 도메인의 DNS IP 주소를 가져옵니다. 새 Cloud DNS 정책을 방금 만든 경우 IP 주소가 아직 나타나지 않을 수 있습니다. 이 경우 몇 분 기다렸다가 다시 시도하세요.
Google Cloud 콘솔에서 Cloud DNS 서버 정책 페이지를 엽니다.
Cloud DNS 페이지 열기목록에서 정책을 선택한 다음 다음에서 사용 중 탭을 선택합니다.
온프레미스 도메인에서 구성해야 하는 관리형 Microsoft AD 도메인의 DNS IP 주소를 기록해 둡니다. 관리형 Microsoft AD 도메인에서 트러스트를 설정하려면 이 주소가 필요합니다.
이러한 IP 주소를 포함하는 CIDR 블록이 온프레미스 네트워크 방화벽에 구성되어 있는지 확인하세요.
DNS 조건부 전달자 만들기
온프레미스 도메인에서 DNS 조건부 전달자를 구성하려면 관리형 Microsoft AD 도메인의 DNS IP 주소를 사용하여 다음 단계를 완료하세요.
온프레미스 도메인의 도메인 또는 엔터프라이즈 관리자 계정으로 온프레미스 도메인 컨트롤러에 로그인합니다.
DNS 관리자를 엽니다.
트러스트를 구성하려는 도메인의 DNS 서버를 확장합니다.
조건부 전달자를 마우스 오른쪽 버튼으로 클릭하고 새 조건부 전달자를 선택하세요.
DNS 도메인의 경우 관리형 Microsoft AD 도메인의 FQDN을 입력하세요(예시:
ad.example.com
).마스터 서버의 IP 주소 필드에 앞서 DNS IP 주소 가져오기 단계에서 기록한 관리형 Microsoft AD 도메인의 DNS IP 주소를 입력합니다.
서버 FQDN 필드에 오류가 표시되면 무시해도 됩니다.
이 조건부 전달자를 Active Directory에 저장을 선택한 다음 드롭다운 메뉴에서 이 도메인의 모든 DNS 서버를 선택하세요.
확인을 선택합니다.
DNS 조건부 전달자 확인
nslookup
또는 Resolve-DnsName
PowerShell cmdlet을 사용하여 전달자가 올바르게 구성되었는지 확인할 수 있습니다. 다음 명령어를 실행합니다.
nslookup FQDN
FQDN
을 관리형 Microsoft AD 도메인의 정규화된 도메인 이름으로 바꿉니다.
DNS 조건부 전달자가 올바르게 구성된 경우 이 명령어는 도메인 컨트롤러의 IP 주소를 반환합니다.
온프레미스 도메인의 로컬 보안 정책 확인
트러스트를 만들려면 온프레미스 도메인의 로컬 보안 정책이 netlogon
, samr
, lsarpc
로 이름이 지정된 파이프에 대한 익명 액세스를 허용해야 합니다. 익명 액세스가 사용 설정되어 있는지 확인하려면 다음 단계를 완료하세요.
온프레미스 도메인의 도메인 또는 엔터프라이즈 관리자 계정으로 온프레미스 도메인 컨트롤러에 로그인합니다.
로컬 보안 정책 콘솔을 여세요.
콘솔에서 보안 설정 > 로컬 정책 > 보안 옵션 > 네트워크 액세스: 익명으로 액세스할 수 있는 명명된 파이프로 이동합니다.
netlogon
,samr
,lsarpc
에 대한 익명 액세스가 사용 설정되어 있는지 확인하세요. 이러한 항목은 쉼표로 구분하지 않고 별도의 줄에 지정해야 합니다.
트러스트 설정
네트워크를 구성한 후 온프레미스 도메인과 관리형 Microsoft AD 도메인 간에 트러스트를 만들 수 있습니다.
온프레미스 도메인 구성
온프레미스 도메인에서 트러스트를 설정하려면 다음 단계를 완료하세요.
도메인 또는 엔터프라이즈 관리자 계정을 사용하여 온프레미스 도메인 컨트롤러에 로그인하세요.
Active Directory 도메인 및 트러스트를 엽니다.
도메인을 마우스 오른쪽 버튼으로 클릭하고 속성을 선택합니다.
트러스트 탭에서 새 트러스트를 선택합니다.
새 트러스트 마법사에서 다음을 선택합니다.
관리형 Microsoft AD 도메인의 FQDN을 트러스트 이름으로 입력하세요.
트러스트 유형에 대해 포리스트 트러스트를 선택하세요.
트러스트 방향을 설정합니다.
- 단방향 트러스트를 만들려면 단방향 수신을 선택합니다.
- 양방향 트러스트를 만들려면 양방향을 선택합니다.
트러스트 측면에 대해 이 도메인만을 선택하세요.
발신 트러스트 인증 수준에 대해 전역 인증을 선택하세요.
트러스트 비밀번호를 입력하세요.
관리형 Microsoft AD 도메인에서 트러스트를 구성하려면 이 비밀번호가 필요합니다.
트러스트 설정을 확인한 후 다음을 선택합니다.
트러스트 만들기 완료 창이 표시됩니다.
아니요, 발신 트러스트를 확인하지 않음을 선택한 다음 다음을 선택합니다.
아니요, 수신 트러스트를 확인하지 않음을 선택한 다음 다음을 선택합니다.
새 트러스트 마법사 완료 대화상자에서 마침을 선택합니다.
관리형 Microsoft AD 도메인 구성
관리형 Microsoft AD 도메인에서 트러스트를 설정하려면 다음 단계를 완료하세요.
콘솔
Google Cloud 콘솔에서 관리형 Microsoft AD 페이지를 엽니다.
관리형 Microsoft AD 페이지 열기트러스트를 생성할 도메인을 선택한 다음
트러스트 만들기를 선택합니다.트러스트 유형을 포리스트로 설정하세요.
대상 도메인 이름의 경우 온프레미스 도메인의 FQDN을 입력하세요.
트러스트 방향을 설정합니다.
- 단방향 트러스트를 만들려면 아웃바운드를 선택합니다.
- 양방향 트러스트를 만들려면 양방향을 선택합니다.
온프레미스 도메인에서 트러스트를 구성할 때 만든 트러스트 비밀번호를 입력하세요.
DNS 조건부 전달자 IP에 이전에 수집한 온프레미스 DNS IP 주소를 입력합니다.
트러스트 관계 만들기를 선택합니다.
도메인 페이지로 돌아갑니다. 새 트러스트가 생성 중으로 표시되어야 합니다. 상태가 연결됨으로 바뀔 때까지 기다립니다. 설정이 완료되는 데 최대 10분이 걸릴 수 있습니다.
gcloud
단방향 트러스트를 만들려면 다음 gcloud CLI 명령어를 실행합니다.
gcloud active-directory domains trusts create DOMAIN \ --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \ --target-domain-name=TARGET_DOMAIN_NAME \ --direction=OUTBOUND
다음을 바꿉니다.
DOMAIN
: 관리형 Microsoft AD 도메인의 FQDN입니다.TARGET_DNS_IP_ADDRESSES
: 이전에 수집한 온프레미스 DNS IP 주소입니다.TARGET_DOMAIN_NAME
: 온프레미스 도메인의 FQDN입니다.
양방향 트러스트를 만들려면 다음 gcloud CLI 명령어를 실행합니다.
gcloud active-directory domains trusts create DOMAIN \ --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \ --target-domain-name=TARGET_DOMAIN_NAME \ --direction=BIDIRECTIONAL
자세한 내용은 create
명령어를 참조하세요.
양방향 트러스트 검증
양방향 트러스트를 위해 관리형 Microsoft AD 도메인을 구성한 후에는 온프레미스 도메인에서 아웃바운드 트러스트를 검증해야 합니다. 단방향 트러스트를 만드는 경우 이 단계를 건너뛸 수 있습니다.
아웃바운드 트러스트를 확인하려면 다음 단계를 완료하세요.
도메인 또는 엔터프라이즈 관리자 계정을 사용하여 온프레미스 도메인 컨트롤러에 로그인하세요.
Active Directory 도메인 및 트러스트를 엽니다.
도메인을 마우스 오른쪽 버튼으로 클릭한 다음 속성을 선택합니다.
트러스트 탭에서 관리형 Microsoft AD 도메인의 아웃바운드 트러스트를 선택합니다.
Properties(속성)을 클릭합니다.
일반 탭에서 검증을 선택합니다.
문제 해결
트러스트를 만드는 동안 문제가 발생하면 문제 해결 팁을 사용해보세요.
다음 단계
- 트러스트 관리 방법 알아보기
- 트러스트 액세스 문제를 해결하는 방법 알아보기