Active Directory 도메인 설정

Horizon Cloud Service - next-gen에서 Horizon Universal Console의 다음 단계를 완료하여 첫 번째 Active Directory 도메인을 서비스에 등록하거나 추가 Active Directory 도메인을 등록합니다.

참고: 이 설명서 페이지는 환경의 Microsoft Azure에 Horizon Edge 배포가 있을 때 적용됩니다. Horizon 8 배포와 Horizon Plus 구독에는 적용되지 않습니다.

Horizon Cloud Service ID 및 액세스 관리에 설명된 대로 이 서비스는 가상 데스크톱 및 원격 애플리케이션의 시스템 ID에 등록된 Active Directory를 사용합니다.

사전 요구 사항

Active Directory 요구 사항

콘솔의 도메인 등록 마법사에는 특정 정보를 입력해야 합니다. 콘솔에서 이러한 단계를 수행하기 전에 사용자 또는 IT 팀이 Microsoft Azure Edge 배포를 위한 체크리스트 요구 사항의 Active Directory 요구 사항 섹션에 설명된 대로 Active Directory 관련 요구 사항을 충족했는지 확인합니다.

LDAPS 관련 주요 사항 및 요구 사항

배포에서 LDAPS를 사용하려는 경우 다음 주요 사항 및 요구 사항에 유의하십시오.

PEM으로 인코딩된 루트 및 중간 CA 인증서를 업로드할 준비가 되어 있어야 합니다.
자체 서명된 인증서는 지원되지 않습니다.
서비스를 사용하려면 DNS에 LDAPS를 사용하도록 구성된 도메인에 대한 SRV 레코드가 있어야 합니다. 도메인에 LDAPS를 사용하도록 선택하면 SRV 레코드를 암시적으로 사용해야 합니다.
반드시 AD 환경을 채널 바인딩을 적용하도록 구성하는 것이 좋습니다. 채널 바인딩 적용은 LDAPS를 올바르게 보호하는 데 핵심적인 부분으로, 특히 중간자(MITM) 공격을 방지하는 데 필요합니다.
방화벽 구성은 Microsoft Azure에서 Horizon Cloud 배포에 대한 포트 및 프로토콜 요구 사항에 설명된 대로 다음 포트 및 프로토콜을 사용하여 Horizon Edge 게이트웨이에서 도메인 컨트롤러로의 아웃바운드 연결을 허용해야 합니다.
- 포트 88/TCP - Kerberos 인증
- 포트 636/TCP 및 3269/TCP - LDAPS 통신
루트 인증서를 제외한 신뢰 체인의 모든 인증서에 HTTP 해지 끝점을 정의해야 하며 HTTP를 통해 해당 끝점에 연결할 수 있어야 합니다. 이 요구 사항에는 다음 사항이 포함됩니다.
- LDAP를 해지 끝점에 사용하면 안 됩니다.
- 서비스는 인증서에 정의된 OCSP 또는 CRL HTTP URL을 사용하여 해지 검사를 수행합니다.
- 인증서가 HTTP 프로토콜에 대한 OCSP 또는 CRL 끝점을 정의하지 않으면 서비스에서 해지 검사를 수행할 수 없습니다. 이 경우 LDAPS 연결이 실패합니다.
- 끝점에서 가시성 해지를 사용할 수 있어야 합니다. 방화벽은 HTTP를 통해 해지 끝점에 대한 아웃바운드 트래픽을 차단하지 않아야 합니다.

프로시저

왼쪽 창에서 통합을 클릭하고 ID 및 액세스 타일에서 관리를 클릭합니다.
도메인 탭에서 추가를 클릭하여 콘솔의 도메인 등록 마법사를 시작합니다.

첫 번째 마법사 단계에서 표시된 정보를 제공합니다.


필드	설명
이름	Active Directory 도메인의 이름입니다.
설명	설명(선택 사항)입니다.
DNS 도메인 이름	이 Active Directory 도메인의 정규화된 이름입니다(예: our-ad.example.com).
기본 OU	적절한 기본 OU를 입력합니다. 이 OU는 가상 데스크톱 및 원격 애플리케이션에 대해 생성하는 시스템 ID를 추가할 때 서비스가 기본값으로 사용하려는 Active Directory OU(조직 구성 단위)입니다. OU의 전체 고유 이름(예: OU=MyOrg,DC=our-ad,DC=example,DC=com)을 입력합니다. 참고: 기본값인 CN=Computers를 사용하려면 필드에 입력해야 합니다. UI의 필드에 이 기본값이 표시될 수 있지만 이 필드에 직접 입력하지 않으면 마법사에서 다음 버튼을 사용할 수 없게 됩니다.
도메인 바인딩 계정	Microsoft Azure Edge 배포를 위한 체크리스트 요구 사항의 Active Directory 요구 사항 섹션에 설명된 대로 사용자 또는 IT 팀이 이 목적을 위해 구성한 두 서비스 계정에 대한 사용자 이름과 암호를 제공합니다. 이러한 서비스 계정은 Active Directory 도메인에서 조회를 수행하는 데 사용됩니다. 처음 입력한 계정은 서비스에서 이 용도로 사용하는 기본 계정입니다. 보조 계정은 기본 계정의 백업입니다. 여기에 입력한 계정이 요구 사항 체크리스트에 자세히 설명된 요구 사항을 충족하는지 확인합니다.
도메인 가입 계정	Microsoft Azure Edge 배포를 위한 체크리스트 요구 사항의 Active Directory 요구 사항 섹션에 설명된 대로 사용자 또는 IT 팀이 이 목적을 위해 구성한 두 서비스 계정에 대한 사용자 이름과 암호를 제공합니다. 이러한 서비스 계정은 시스템 ID를 Active Directory 도메인에 가입시키고 Sysprep 작업을 수행하는 데 사용됩니다. 처음 입력한 계정은 서비스에서 이 용도로 사용하는 기본 계정입니다. 보조 계정은 기본 계정의 백업입니다. 여기에 입력한 계정이 요구 사항 체크리스트에 자세히 설명된 요구 사항을 충족하는지 확인합니다.
프로토콜	Active Directory를 Horizon Edge 게이트웨이에 연결하는 데 사용할 프로토콜(LDAP 또는 LDAPS)을 선택합니다. LDAPS를 선택하는 경우 찾아보기 기능을 사용하여 이 작업의 전제 조건에서 참조되는 PEM으로 인코딩된 루트 및 중간 CA 인증서를 업로드합니다.

필요한 정보를 모두 입력하면 시스템에서 다음 버튼을 사용할 수 있게 됩니다.

다음을 클릭하여 마법사의 다음 단계를 진행합니다.
이때 마법사는 저장 작업을 사용하여 시스템에 도메인 정보 저장을 완료할 수 있도록 합니다.
- SSO를 사용하지 않으려는 경우 저장을 클릭하여 이 시점에서 UI 마법사를 완료할 수 있습니다.
- True SSO 기능을 사용하려는 경우 이 페이지의 다음 단계를 계속 진행합니다. True SSO 기능을 사용하려면 Microsoft Azure의 Horizon Edge에서 SSO를 사용하기 위해 지원되는 인증 기관 유형에 설명된 대로 Microsoft Enterprise 인증 기관이 필요합니다.
- VMware CA 또는 Microsoft Enterprise 인증 기관 이외의 인증 기관에 의존하는 SSO를 사용하려는 경우 이 시점에서 저장을 클릭하여 UI 마법사를 완료할 수 있습니다. 나중에 VMware CA에 대한 Horizon Cloud Service - next-gen에 SSO 구성 추가의 단계를 사용하여 SSO 구성을 완료할 수 있습니다.
(선택 사항) 최종 사용자의 가상 데스크톱 및 원격 애플리케이션에서 True SSO를 사용하려는 경우 마법사의 도메인 등록 서비스 계정 섹션에서 등록 서비스 계정 사용 토글을 켭니다.

이 토글을 켜면 True SSO 기능에 필요한 도메인 등록 계정에 대한 계정 자격 증명을 입력하기 위한 필드가 UI에 표시됩니다. 해당 정보를 제공합니다.

주의: 대신 VMware CA에 의존하는 SSO를 사용하려는 경우 도메인 등록 계정 정보를 입력하는 이 단계를 건너뛸 수 있습니다.

도메인 등록 계정은 True SSO 기능이 Microsoft AD CS(Active Directory Certificate Services)에서 단기 인증서를 가져오는 데 사용하는 등록 서비스 계정입니다. True SSO는 인증을 위해 인증서를 사용하여 사용자에게 Active Directory 자격 증명을 요구하지 않습니다. 도메인 등록 계정, 등록 서비스 계정 및 도메인 등록 서비스 계정 등의 용어로 혼용되는 Horizon Universal Console이 표시될 수 있습니다.

필드를 완료하면 마법사는 저장 작업을 사용하여 시스템에 도메인 정보 저장을 완료할 수 있도록 합니다.

마법사에서 제공한 모든 정보 저장을 완료하려면 저장을 클릭합니다.

결과

Horizon Edge를 사용한 Active Directory 구성이 완료되었습니다. 그러나 배포를 계속 구성할 때 Active Directory 연결 관련 문제가 감지되면 Horizon Edge 진단 - Microsoft Azure 배포에 대한 Active Directory 연결 항목을 참조하십시오.

다음에 수행할 작업

이전 단계가 완료되면 서비스에는 Horizon Cloud on Microsoft Azure 배포에 필요한 Active Directory 도메인 정보가 있습니다.

최종 사용자가 데스크톱 및 애플리케이션에 액세스할 때 SSO(Single Sign-On)를 사용할 수 있는 기능을 추가하는 방법을 알아보려면 Microsoft Azure의 Horizon Edge에서 SSO를 사용하기 위해 지원되는 인증 기관 유형 항목을 참조하십시오.