하이브리드 디렉터리 사전 조건 - AWS Directory Service
Microsoft Active Directory 도메인 요구 사항필수 Active Directory 서비스Kerberos지원되는 암호화 유형포트권한Amazon VPC보안 그룹평가 한도

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

하이브리드 디렉터리 사전 조건

하이브리드 디렉터리는 자체 관리형 Active Directory를 로 확장합니다 AWS 클라우드. 하이브리드 디렉터리를 생성하기 전에 환경이 다음 요구 사항을 충족하는지 확인합니다.

Microsoft Active Directory 도메인 요구 사항

하이브리드 디렉터리를 생성하기 전에 자체 관리형 AD 환경 및 인프라가 다음 요구 사항을 충족하는지 확인하고 필요한 정보를 수집합니다.

도메인 요구 사항

자체 관리형 AD 환경은 다음 요구 사항을 충족해야 합니다.

  • Windows Server 2012 R2 또는 2016 기능 수준을 사용합니다.

  • 하이브리드 디렉터리 생성을 위해 평가할 표준 도메인 컨트롤러를 사용합니다. 읽기 전용 도메인 컨트롤러(RODC)는 하이브리드 디렉터리 생성에 사용할 수 없습니다.

  • 모든 Active Directory 서비스가 실행되는 두 개의 도메인 컨트롤러가 있습니다.

  • 기본 도메인 컨트롤러(PDC)는 항상 라우팅 가능해야 합니다.

    특히 자체 관리형 AD의 PDC 에뮬레이터 및 RID 마스터 IPs는 다음 범주 중 하나에 속해야 합니다.

    • RFC1918 프라이빗 IP 주소 범위의 일부(10.0.0.0/8, 172.16.0.0/12 또는 192.168.0.0/16)

    • VPC CIDR 범위 내

    • 디렉터리에 대한 자체 관리형 인스턴스의 DNS IPs 일치

    하이브리드 디렉터리가 생성된 후 디렉터리에 대한 추가 IP 경로를 추가할 수 있습니다.

필수 정보

자체 관리형 AD에 대한 다음 정보를 수집합니다.

  • 디렉터리 DNS 이름

  • 디렉터리 DNS IPs

  • 자체 관리형 AD에 대한 관리자 권한이 있는 서비스 계정 자격 증명

  • AWS 서비스 계정 자격 증명을 저장하기 위한 보안 암호 ARN( 참조AWS 하이브리드 디렉터리의 보안 암호 ARN)

AWS 하이브리드 디렉터리의 보안 암호 ARN

자체 관리형 AD로 하이브리드 디렉터리를 구성하려면 KMS 키를 생성하여 AWS 보안 암호를 암호화한 다음 보안 암호 자체를 생성해야 합니다. 두 리소스 모두 하이브리드 디렉터리가 AWS 계정 포함된 동일한에서 생성해야 합니다.

KMS 키 생성

KMS 키는 AWS 보안 암호를 암호화하는 데 사용됩니다.

중요

암호화 키의 경우 AWS 기본 KMS 키를 사용하지 마십시오. 자체 관리형 AD와 조인하기 위해 생성하려는 하이브리드 디렉터리 AWS 계정 가 포함된 동일한에서 AWS KMS 키를 생성해야 합니다.

AWS KMS 키를 생성하려면

  1. AWS KMS 콘솔에서 키 생성을 선택합니다.

  2. 키 유형에 대해 대칭을 선택합니다.

  3. 키 사용에서 암호화 및 암호 해독을 선택합니다.

  4. 고급 옵션에서 다음을 수행합니다.

    1. 키 구성 요소 오리진에서 KMS를 선택합니다.

    2. 리전에서 단일 리전 키를 선택하고 다음을 선택합니다.

  5. 별칭의 경우 KMS 키의 이름을 입력합니다.

  6. (선택 사항) 설명에 KMS 키에 대한 설명을 입력합니다.

  7. (선택 사항) 태그에서 KMS 키의 태그를 추가하고 다음을 선택합니다.

  8. 키 관리자의 경우 IAM 사용자를 선택합니다.

  9. 키 삭제의 경우 키 관리자가이 키를 삭제하도록 허용의 기본 선택을 유지하고 다음을 선택합니다.

  10. 키 사용자의 경우 이전 단계에서 동일한 IAM 사용자를 선택하고 다음을 선택합니다.

  11. 구성을 검토합니다.

  12. 키 정책의 경우 정책에 다음 문을 추가합니다.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::caller-account:role/role_used_to_create_directory"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    { 
       "Sid": "Allow use of the KMS key on behalf of Directory Service", 
       "Effect": "Allow", 
       "Principal": {
         "Service": "ds.amazonaws.com"
       }, 
       "Action": "kms:Decrypt", 
       "Resource": "*"
    }
  ]
}

  13. 마침을 클릭합니다.

AWS 보안 암호 생성

Secrets Manager에서 보안 암호를 생성하여 자체 관리형 AD 사용자 계정의 자격 증명을 저장합니다.

중요

자체 관리형 AD와 조인하려는 하이브리드 디렉터리 AWS 계정 가 포함된 동일한에서 보안 암호를 생성합니다.

보안 암호 생성

  • Secrets Manager에서 새 보안 암호 저장을 선택합니다.

  • 보안 암호 유형에서 기타 보안 암호 유형을 선택합니다.

  • 키/값 쌍의 경우 2개의 키를 추가합니다.

  1. 사용자 이름 키 추가

    1. 첫 번째 키에는 customerAdAdminDomainUsername를 입력합니다.

    2. 첫 번째 키 값에는 AD 사용자의 사용자 이름(도메인 접두사 제외)만 입력합니다. 도메인 이름을 포함하면 인스턴스 생성이 실패하므로 포함하지 마세요.

  2. 암호 키 추가

    1. 두 번째 키에는 customerAdAdminDomainPassword를 입력합니다.

    2. 두 번째 키의 값으로 도메인의 AD 사용자에 대해 생성한 암호를 입력합니다.

보안 암호 구성 완료

  1. 암호화 키에서에서 생성한 KMS 키를 KMS 키 생성 선택하고 다음을 선택합니다.

  2. 보안 암호 이름에 보안 암호에 대한 설명을 입력합니다.

  3. (선택 사항) 설명에 보안 암호에 대한 설명을 입력합니다.

  4. 다음을 선택합니다.

  5. 교체 설정 구성에서 기본값을 유지하고 다음을 선택합니다.

  6. 보안 암호의 설정을 검토하고 저장을 선택합니다.

  7. 생성한 보안 암호를 선택하고 보안 암호 ARN의 값을 복사합니다. 다음 단계에서이 ARN을 사용하여 자체 관리형 Active Directory를 설정합니다.

인프라 요구 사항

다음 인프라 구성 요소를 준비합니다.

  • SSM 에이전트에 대한 관리자 권한이 있는 AWS Systems Manager 노드 2개

필수 Active Directory 서비스

자체 관리형 AD에서 다음 서비스가 실행되고 있는지 확인합니다.

  • Active Directory 도메인 서비스

  • Active Directory 웹 서비스(ADWS)

  • COM+ 이벤트 시스템

  • 분산 파일 시스템 복제(DFSR)

  • 도메인 이름 시스템(DNS)

  • DNS 서버

  • 그룹 정책 클라이언트

  • Intersite 메시징

  • 원격 프로시저 호출(RPC)

  • 보안 계정 관리자

  • Windows Time Server

    참고

    하이브리드 디렉터리를 사용하려면 UDP 포트 123을 열고 Windows Time Server를 활성화하고 작동해야 합니다. 하이브리드 디렉터리 복제가 제대로 작동하는지 확인하기 위해 시간을 도메인 컨트롤러와 동기화합니다.

Kerberos 인증 요구 사항

사용자 계정에서 Kerberos 사전 인증이 활성화되어 있어야 합니다. 이 설정을 활성화하는 방법에 대한 자세한 지침은 Kerberos 사전 인증이 활성화되어 있는지 확인을 참조하세요. 이 설정에 대한 일반 정보는 Microsoft TechNet의 사전 승인을 참조하세요.

지원되는 암호화 유형

하이브리드 디렉터리는 Kerberos를 통해 Active Directory 도메인 컨트롤러에 인증할 때 다음 암호화 유형을 지원합니다.

  • AES-256-HMAC

네트워크 포트 요구 사항

가 자체 관리형 Active Directory 도메인 컨트롤러를 확장 AWS 하려면 기존 네트워크의 방화벽에 Amazon VPC의 두 서브넷 모두에 CIDRs 대해 다음 포트가에 열려 있어야 합니다.

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 인증

  • UDP 123 - 시간 서버

  • TCP 135 - 원격 프로시저 호출

  • TCP/UDP 389 - LDAP

  • TCP 445 - SMB

  • TCP 636 - Lightweight Directory Access Protocol Secure(LDAPS)가 있는 환경에만 필요

  • TCP 49152-65535 - RPC에 무작위로 할당된 높은 TCP 포트

  • TCP 3268 및 3269 - 글로벌 카탈로그

  • TCP 9389 Active Directory 웹 서비스(ADWS)

하이브리드 디렉터리를 생성하는 데 필요한 최소 포트입니다. 특정 구성에서는 추가 포트를 개방해야 하는 경우도 있습니다.

참고

도메인 컨트롤러 및 FSMO 역할 소유자에게 제공된 DNS IPs에는 Amazon VPC의 두 서브넷 모두에 대한 CIDRs에 위 포트가 열려 있어야 합니다.

참고

하이브리드 디렉터리를 사용하려면 UDP 포트 123을 열고 Windows Time Server를 활성화하고 작동해야 합니다. 하이브리드 디렉터리 복제가 제대로 작동하는지 확인하기 위해 시간을 도메인 컨트롤러와 동기화합니다.

AWS 계정 권한

에서 다음 작업에 대한 권한이 필요합니다. AWS 계정

  • ec2:AuthorizeSecurityGroupEgress

  • ec2:AuthorizeSecurityGroupIngress

  • ec2:CreateNetworkInterface

  • ec2:CreateSecurityGroup

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribeSubnets

  • ec2:DescribeVpcs

  • ec2:CreateTags

  • ec2:CreateNetworkInterfacePermission

  • ssm:ListCommands

  • ssm:GetCommandInvocation

  • ssm:GetConnectionStatus

  • ssm:SendCommand

  • secretsmanager:DescribeSecret

  • secretsmanager:GetSecretValue

  • iam:GetRole

  • iam:CreateServiceLinkedRole

Amazon VPC 네트워크 요구 사항

다음과 같은 VPC:

  • 최소 2개의 서브넷. 각 서브넷은 서로 다른 가용 영역에 있어야 합니다.

  • VPC에는 기본 테넌시가 있어야 합니다.

198.18.0.0/15 주소 공간의 주소를 사용하여 VPC에 하이브리드 디렉터리를 생성할 수 없습니다.

AWS Directory Service 는 두 개의 VPC 구조를 사용합니다. 디렉터리를 구성하는 EC2 인스턴스는 외부에서 실행되며 AWS 계정에서 관리합니다 AWS. ETH0ETH1라는 2개의 어댑터가 있습니다. ETH0는 관리 어댑터로써 계정 외부에 위치합니다. ETH1는 계정 내부에서 생성됩니다.

디렉터리에 대한 ETH0 네트워크의 관리 IP 범위는 입니다198.18.0.0/15.

자세한 내용은 Amazon VPC 사용 설명서에서 다음 주제를 참조하세요.

에 대한 자세한 내용은 란 무엇입니까 AWS Direct Connect?를 AWS Direct Connect참조하십시오.

AWS 보안 그룹 구성

기본적으로는 VPC의 AWS Systems Manager 관리형 노드에 대한 네트워크 액세스를 허용하는 보안 그룹을 AWS 연결합니다. VPC 외부의 자체 관리형 도메인 컨트롤러와의 네트워크 트래픽을 허용하는 자체 보안 그룹을 선택적으로 제공할 수 있습니다.

VPC 외부의 자체 관리형 도메인 컨트롤러와의 네트워크 트래픽을 허용하는 자체 보안 그룹을 선택적으로 제공할 수 있습니다. 자체 보안 그룹을 제공하는 경우 다음을 수행해야 합니다.

  • VPC CIDR 범위 및 자체 관리형 범위를 허용 목록에 추가합니다.

  • 이러한 범위가 AWS 예약된 IP 범위와 겹치지 않도록 합니다.

디렉터리 평가 고려 사항

다음은 디렉터리 평가를 생성할 때 고려할 사항과에서 수행할 수 있는 평가 수입니다. AWS 계정

  • 하이브리드 디렉터리를 생성하면 디렉터리 평가가 자동으로 생성됩니다. 평가에는 CUSTOMER 및의 두 가지 유형이 있습니다SYSTEM. AWS 계정 의 CUSTOMER 디렉터리 평가는 100개로 제한됩니다.

  • 하이브리드 디렉터리를 생성하려고 하는데 이미 CUSTOMER 디렉터리 평가가 100개 있는 경우 오류가 발생합니다. 다시 시도하기 전에 평가를 삭제하여 용량을 확보합니다.

  • 기존 CUSTOMER CUSTOMER 디렉터리 평가에 문의 지원 하거나 삭제하여 디렉터리 평가 할당량 증가를 요청하여 용량을 확보할 수 있습니다.