이 페이지는 Cloud Translation API를 통해 번역되었습니다.

관리형 Active Directory 시작하기

1. 개요

관리형 Active Directory는 Google Cloud에서 호스팅되는 가용성이 높은 Microsoft Active Directory 도메인 서비스입니다.

이 튜토리얼에서는 새 관리형 Active Directory를 설정하고 새 Windows VM을 만들어 새 도메인에 조인합니다. 익숙한 관리 도구를 사용하여 네트워킹, 보안을 설정하고 도메인을 관리하는 방법을 확인할 수 있습니다.

학습할 내용

Google Cloud에서 관리형 Active Directory를 만드는 방법
도메인에 Windows VM을 추가하는 방법
관리형 Active Directory에서 사용자 및 컴퓨터를 관리하는 방법

필요한 항목:

브라우저(Chrome 또는 Firefox)
gcloud 도구가 설치된 머신

본 가이드를 어떻게 사용하실 계획인가요?

읽기만 할 계획입니다.

읽은 다음 연습 활동을 완료할 계획입니다.

귀하의 Google Cloud Platform 사용 경험을 평가해 주세요.

<ph type="x-smartling-placeholder"></ph> 초보자

중급

숙련도

2. 설정 및 요건

자습형 환경 설정

Cloud Console에 로그인하고 새 프로젝트를 만들거나 기존 프로젝트를 다시 사용합니다. (Gmail 또는 G Suite 계정이 없으면 만들어야 합니다.)

dMbN6g9RawQj_VXCSYpdYncY-DbaRzr2GbnwoV7jFf1u3avxJtmGPmKpMYgiaMH-qu80a_NJ9p2IIXFppYk8x3wyymZXavjglNLJJhuXieCem56H30hwXtd8PvXGpXJO9gEUDu3cZw

ci9Oe6PgnbNuSYlMyvbXF1JdQyiHoEgnhl4PlV_MFagm2ppzhueRkqX4eLjJllZco_2zCp0V0bpTupUSKji9KkQyWqj11pqit1K1faS1V6aFxLGQdkuzGp4rsQTan7F01iePL5DtqQ

8-tA_Lheyo8SscAVKrGii2coplQp2_D1Iosb2ViABY0UUO1A8cimXUu6Wf1R9zJIRExL5OB2j946aIiFtyKTzxDcNnuznmR45vZ2HMoK3o67jxuoUJCAnqvEX6NgPGFjCVNgASc-lg

모든 Google Cloud 프로젝트에서 고유한 이름인 프로젝트 ID를 기억하세요(위의 이름은 이미 사용되었으므로 사용할 수 없습니다). 이 ID는 나중에 이 Codelab에서 PROJECT_ID라고 부릅니다.

그런 후 Google Cloud 리소스를 사용할 수 있도록 Cloud Console에서 결제를 사용 설정해야 합니다.

이 Codelab 실행에는 많은 비용이 들지 않습니다. 이 가이드를 마친 후 비용이 결제되지 않도록 리소스 종료 방법을 알려주는 '삭제' 섹션의 안내를 따르세요. Google Cloud 새 사용자에게는 $300USD 상당의 무료 체험판 프로그램 참여 자격이 부여됩니다.

Cloud Shell 시작

Google Cloud를 노트북에서 원격으로 실행할 수도 있지만 이 Codelab에서는 Google Cloud에서 실행되는 명령줄 환경인 Google Cloud Shell을 사용합니다.

Cloud Shell 활성화

Cloud Console에서 Cloud Shell 활성화를 클릭합니다.

zlNW0HehB_AFW1qZ4AyebSQUdWm95n7TbnOr7UVm3j9dFcg6oWApJRlC0jnU1Mvb-IQp-trP1Px8xKNwt6o3pP6fyih947sEhOFI4IRF0W7WZk6hFqZDUGXQQXrw21GuMm2ecHrbzQ

이전에 Cloud Shell을 시작하지 않았으면 설명이 포함된 중간 화면(스크롤해야 볼 수 있는 부분)이 제공됩니다. 이 경우 계속을 클릭합니다(이후 다시 표시되지 않음). 이 일회성 화면은 다음과 같습니다.

kEPbNAo_w5C_pi9QvhFwWwky1cX8hr_xEMGWySNIoMCdi-Djx9AQRqWn-__DmEpC7vKgUtl-feTcv-wBxJ8NwzzAp7mY65-fi2LJo4twUoewT1SUjd6Y3h81RG3rKIkqhoVlFR-G7w

Cloud Shell을 프로비저닝하고 연결하는 데 몇 분 정도만 걸립니다.

pTv5mEKzWMWp5VBrg2eGcuRPv9dLInPToS-mohlrqDASyYGWnZ_SwE-MzOWHe76ZdCSmw0kgWogSJv27lrQE8pvA5OD6P1I47nz8vrAdK7yR1NseZKJvcxAZrPb8wRxoqyTpD-gbhA

가상 머신은 필요한 모든 개발 도구와 함께 로드됩니다. 영구적인 5GB 홈 디렉터리를 제공하고 Google Cloud에서 실행되므로 네트워크 성능과 인증이 크게 개선됩니다. 이 Codelab에서 대부분의 작업은 브라우저나 Chromebook만 사용하여 수행할 수 있습니다.

Cloud Shell에 연결되면 인증이 완료되었고 프로젝트가 해당 프로젝트 ID로 이미 설정된 것을 볼 수 있습니다.

Cloud Shell에서 다음 명령어를 실행하여 인증되었는지 확인합니다.

gcloud auth list

명령어 결과

 Credentialed Accounts
ACTIVE  ACCOUNT
*       <my_account>@<my_domain.com>

To set the active account, run:
    $ gcloud config set account `ACCOUNT`

gcloud config list project

명령어 결과

[core]
project = <PROJECT_ID>

또는 다음 명령어로 설정할 수 있습니다.

gcloud config set project <PROJECT_ID>

명령어 결과

Updated property [core/project].

3. 초기화

초기화된 GCP 프로젝트는 도메인에 조인된 모든 Windows VM과 관리형 Active Directory 간에 VPC 네트워크를 호스팅하는 데 사용됩니다.

나중에 스크립팅을 더 쉽게 할 수 있도록 몇 가지 변수를 설정하겠습니다.

도메인 이름 결정 (예: ad.yourcompany.com)
관리형 도메인의 도메인 컨트롤러를 만들 리전을 결정합니다.
VM 이름, 방화벽 규칙, 네트워크 이름을 결정합니다.

현재 지원되는 리전은 다음과 같습니다.

'us-west1'
'us-west2'
'us-central1'
'us-east1'
'us-east4'
'europe-north1'
'europe-west1'
'europe-west4'
'asia-east1'
'asia-southeast1'

변수 설정

Linux에서 실행하는 경우 다음을 입력합니다.

$ PROJECT_ID="YOUR_PROJECT_ID"
$ VPC="adtutorialvpc"
$ FIREWALL_VPC_RULE="adtutorialvpcrule"
$ REGION="us-west1"
$ ZONE="us-west1-a"
$ DOMAIN_NAME="ad.tutorial"
$ VM_NAME="tutorial1"

Windows에서 실행하는 경우 Powershell 터미널에 입력합니다.

PS> $PROJECT_ID=YOUR_PROJECT_ID
PS> $VPC=adtutorialvpc
PS> $FIREWALL_VPC_RULE=adtutorialvpcrule
PS> $REGION=us-west1
PS> $ZONE=us-west1-a
PS> $DOMAIN_NAME=ad.tutorial
PS> $VM_NAME=tutorial1

모든 후속 작업이 올바른 클라우드 프로젝트의 컨텍스트에서 발생하도록 현재 프로젝트 ID를 설정합니다.

$ gcloud config set project $PROJECT_ID

Cloud API 사용 설정

관리형 Active Directory를 사용 설정하려면 DNS와 관리형 ID라는 두 가지 API를 사용 설정해야 합니다.

DNS API 사용 설정:

$ gcloud services enable dns.googleapis.com

Managed Identities API 사용 설정:

$ gcloud services enable managedidentities.googleapis.com

4. Virtual Private Cloud 네트워크 만들기

관리형 Active Directory 도메인 컨트롤러와 Windows VM 간에 연결을 설정하려면 Virtual Private Cloud 네트워크를 만들어야 합니다.

VPC 네트워크 만들기

$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global

Windows VM과 도메인 컨트롤러 간의 연결을 허용하는 방화벽 규칙 만들기

$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0

5. 도메인 컨트롤러 만들기

관리형 AD를 프로젝트 (VM)의 리소스와 연결하는 VPC를 설정합니다. 이제 관리형 도메인 컨트롤러를 설정할 차례입니다.

관리형 Active Directory 만들기

(이 작업은 약 1시간 정도 소요될 것으로 예상됩니다.)

$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC

배포가 진행되는 동안 또는 언제든지 도메인의 프로비저닝 상태를 확인할 수 있습니다.

다음과 같은 세 가지 상태가 지원됩니다.

생성 중	AD 도메인 생성이 시작되었으며 진행 중입니다.
준비됨	AD 도메인 생성이 완료되었으며 도메인을 사용할 수 있습니다.
유지보수 중	AD 도메인을 계속 사용할 수 있지만 업데이트 진행 중(도메인 컨트롤러 업그레이드, 리전 추가 등)

배포 상태 확인:

$ gcloud active-directory domains describe $DOMAIN_NAME

도메인 생성이 완료되면 이 명령어가 준비 상태를 보고합니다.

6. 관리형 도메인에 Windows VM 추가

Google Compute Engine에서 새 Windows VM 만들기

$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard

Windows VM에 대한 원격 데스크톱 연결을 허용하는 방화벽 규칙을 만듭니다.

$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389

VM에 연결하여 도메인에 추가하기 전에 사용자 2명과 이 사용자의 사용자 인증 정보를 확인해야 합니다.

VM의 로컬 관리자 - VM이 도메인에 조인되기 전에 VM에 원격으로 연결하는 데 필요합니다.
관리형 도메인 관리자: VM을 도메인에 조인하고 모든 도메인 관리 작업을 수행하는 데 필요합니다.

7. 관리형 도메인 관리자 사용자 인증 정보 가져오기

관리 도메인 관리자 사용자 이름을 확인합니다.

$ gcloud active-directory domains describe $DOMAIN_NAME

이 작업을 수행하면 관리자 사용자 이름이 출력됩니다. 기본적으로 miadmin이라고 합니다.

관리 도메인 관리자의 비밀번호를 재설정하려면 다음 안내를 따르세요.

$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME

일반 텍스트로 비밀번호가 표시되므로 작업을 확인 (Y/N)해야 합니다. 터미널에서

나중에 사용할 사용자 및 비밀번호를 저장합니다.

8. 도메인에 가입

Windows 로컬 사용자 및 비밀번호 생성

생성한 VM에 원격으로 연결하려면 Windows 로컬 사용자와 비밀번호가 필요합니다. gcloud를 사용하여 생성할 수 있습니다.

$ gcloud compute reset-windows-password --user=usr1 $VM_NAME

그러면 'usr1'이라는 로컬 사용자가 생성됩니다. kubectl 명령어

Chrome RDP를 사용하여 Windows 인스턴스에 연결

https://console.cloud.google.com/compute/instancesDetail/zones/your-zone/instances/your-vm-name?project=your-project-name에서 새 브라우저 창을 엽니다.

RDP를 클릭하여 ChromeRDP를 엽니다.

로컬 사용자와 비밀번호를 입력합니다. 그러면 생성한 Windows VM에 연결됩니다.

VM에서 Powershell을 사용하여 관리자 권한 명령 프롬프트를 엽니다.

권한 상승 모드의 Powershell에서 다음을 입력합니다.

$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force

관리형 관리자 비밀번호를 입력하라는 메시지가 표시되면 VM이 관리형 도메인에 조인되고 다시 시작됩니다. 2분 정도 기다린 후 다음 단계로 넘어갑니다.

이 시점에서 VM이 도메인에 조인되었지만 관리형 도메인 관리자를 사용하여 연결할 권한이 없습니다. 관리형 도메인 관리자를 해당 VM의 로컬 관리자로 추가해야 합니다.

로컬 관리자를 사용하여 VM에 다시 연결합니다 (위와 동일한 안내).

이 경우 경고 안내를 따르세요. 이는 VM을 도메인에 조인했기 때문입니다.

로컬 관리자를 사용하여 다시 연결하고 승격된 Powershell 명령 프롬프트를 엽니다.

관리형 도메인 관리자를 VM의 로컬 관리자로 추가하기

$ net localgroup administrators /add your-domain-name\miadmin

이제 VM에서 연결을 해제할 수 있습니다.

9. Active Directory 도구

VM이 도메인에 조인되면 익숙한 Active Directory 도구를 사용하여 사용자, 그룹, 컴퓨터, 그룹 정책을 관리할 수 있습니다.

관리형 도메인 관리자의 사용자 인증 정보를 사용하여 위에서 설명한 것과 동일한 방법으로 VM에 연결합니다. 승격된 Powershell 명령 프롬프트를 엽니다.

$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm

확인을 요청하는 메시지가 표시된 후 Active Directory 관리 도구가 설치됩니다.

설치가 완료되면 dsa.msc (Active Directory 사용자 및 컴퓨터) 및 기타 익숙한 Active Directory 도구를 사용하여 '고객 OU'에서 도메인을 관리할 수 있습니다.

10. 축하합니다.

수고하셨습니다. Google Cloud Platform에서 새로운 관리형 Active Directory를 만들었습니다.

다음 단계

관리형 Active Directory 문서
GCP에서 Windows VM을 사용하는 방법 자세히 알아보기
Windows VM에 연결에 대해 자세히 알아보기
GCP에 내결함성 Active Directory 배포에 대해 자세히 알아보기
Google Cloud Platform의 .NET에 대해 자세히 알아보기

11. 삭제

Windows VM 및 VPC 네트워크를 삭제할 수 있습니다.

Windows VM 삭제

GCP 콘솔에서 VM 인스턴스 페이지로 이동합니다.
삭제할 인스턴스 옆의 체크박스를 클릭합니다.
'삭제'를 클릭합니다. 버튼을 클릭하여 인스턴스를 삭제합니다.

VPC 네트워크 삭제

GCP 콘솔에서 VPC 네트워크 페이지로 이동합니다.
만든 VPC 네트워크 선택
'삭제'를 클릭합니다. 버튼을 클릭합니다.