기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
하이브리드 디렉터리 사전 조건
하이브리드 디렉터리는 자체 관리형 Active Directory를 AWS 클라우드로 확장합니다. 하이브리드 디렉터리를 생성하기 전에 환경이 다음 요구 사항을 충족하는지 확인합니다.
Microsoft Active Directory 도메인 요구 사항
하이브리드 디렉터리를 생성하기 전에 자체 관리형 AD 환경 및 인프라가 다음 요구 사항을 충족하는지 확인하고 필요한 정보를 수집합니다.
도메인 요구 사항
자체 관리형 AD 환경은 다음 요구 사항을 충족해야 합니다.
-
Windows Server 2012 R2 또는 2016 기능 수준을 사용합니다.
-
하이브리드 디렉터리 생성을 위해 평가할 표준 도메인 컨트롤러를 사용합니다. 읽기 전용 도메인 컨트롤러(RODC)는 하이브리드 디렉터리 생성에 사용할 수 없습니다.
-
모든 Active Directory 서비스가 실행되는 두 개의 도메인 컨트롤러가 있습니다.
-
기본 도메인 컨트롤러(PDC)는 항상 라우팅 가능해야 합니다.
특히 자체 관리형 AD의 PDC 에뮬레이터 및 RID 마스터 IP는 다음 범위 중 하나에 속해야 합니다.
-
RFC1918 프라이빗 IP 주소 범위의 일부(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
-
VPC CIDR 범위 내
-
디렉터리에 대한 자체 관리형 인스턴스의 DNS IP가 일치
하이브리드 디렉터리가 생성된 후 디렉터리에 대한 추가 IP 경로를 추가할 수 있습니다.
-
필수 정보
자체 관리형 AD에 대한 다음 정보를 수집합니다.
-
디렉터리 DNS 이름
-
디렉터리 DNS IP
-
자체 관리형 AD에 대한 관리자 권한이 있는 서비스 계정 자격 증명
-
AWS서비스 계정 자격 증명을 저장하기 위한 보안 암호 ARN( 참조AWS하이브리드 디렉터리의 보안 암호 ARN)
AWS하이브리드 디렉터리의 보안 암호 ARN
자체 관리형 AD로 하이브리드 디렉터리를 구성하려면 KMS 키를 생성하여 AWS보안 암호를 암호화한 다음 보안 암호 자체를 생성해야 합니다. 두 리소스 모두 하이브리드 디렉터리가 AWS 계정포함된 동일한에서 생성해야 합니다.
KMS 키 생성
KMS 키는 AWS보안 암호를 암호화하는 데 사용됩니다.
중요
암호화 키의 경우 AWS 기본 KMS 키를 사용하지 마세요. 자체 관리형 AD와 조인하기 위해 생성하려는 하이브리드 디렉터리AWS 계정가 포함된 동일한에서 AWSKMS 키를 생성해야 합니다.
AWSKMS 키를 생성하려면
-
AWS KMS콘솔에서 키 생성을 선택합니다.
-
키 유형에 대해 대칭을 선택합니다.
-
키 사용에서 암호화 및 암호 해독을 선택합니다.
-
고급 옵션에서 다음을 수행합니다.
-
키 구성 요소 오리진에서 KMS를 선택합니다.
-
리전 구분에서 단일 리전 키를 선택하고 다음을 선택합니다.
-
-
별칭의 경우 KMS 키의 이름을 입력합니다.
-
(선택 사항) 설명에 KMS 키에 대한 설명을 입력합니다.
-
(선택 사항) 태그의 경우 KMS 키에 태그를 추가하고 다음을 선택합니다.
-
키 관리자의 경우 IAM 사용자를 선택합니다.
-
키 삭제의 경우 키 관리자가 이 키를 삭제하도록 허용 을 기본 선택으로 유지하고 다음을 선택합니다.
-
키 사용자의 경우 이전 단계와 같은 IAM 사용자를 선택하고 다음을 선택합니다.
-
구성을 검토합니다.
-
키 정책의 경우 정책 명령문에 다음을 추가합니다.
-
마침을 클릭합니다.
AWS보안 암호 생성
Secrets Manager에서 보안 암호를 생성하여 자체 관리형 AD 사용자 계정에 대한 자격 증명을 저장합니다.
중요
자체 관리형 AD와 조인하려는 하이브리드 디렉터리AWS 계정가 포함된 동일한에서 보안 암호를 생성합니다.
보안 암호 생성
-
Secrets Manager에서 새 보안 암호 저장을 선택합니다.
-
보안 암호 유형에서 다른 유형의 보안 암호를 선택합니다.
-
키/값 쌍의 경우 2개의 키를 추가합니다.
-
사용자 이름 키 추가
-
첫 번째 키에는
customerAdAdminDomainUsername를 입력합니다. -
첫 번째 키 값에는 AD 사용자의 사용자 이름(도메인 접두사 제외)만 입력합니다. 도메인 이름을 포함하면 인스턴스 생성이 실패하므로 포함하지 마세요.
-
-
암호 키 추가
-
두 번째 키에는
customerAdAdminDomainPassword를 입력합니다. -
두 번째 키의 값으로 도메인의 AD 사용자에 대해 생성한 암호를 입력합니다.
-
보안 암호 구성 완료
-
암호화 키의 경우 KMS 키 생성에서 생성한 KMS 키를 선택하고 다음을 선택합니다.
-
보안 암호 이름의 경우 보안 암호에 대한 설명을 입력합니다.
-
(선택 사항) 설명의 경우 보안 암호에 대한 설명을 입력합니다.
-
다음을 선택합니다.
-
교체 설정 구성에서 기본값을 유지하고 다음을 선택합니다.
-
보안 암호 설정을 검토하고 저장을 선택합니다.
-
생성한 보안 암호를 선택하고 보안 암호 ARN의 값을 복사합니다. 이 ARN은 다음 단계에서 자체 관리형 Active Directory를 설정하는 데 사용됩니다.
인프라 요구 사항
다음 인프라 구성 요소를 준비합니다.
-
SSM 에이전트에 대한 관리자 권한이 있는 AWS Systems Manager노드 2개
-
Active Directory가 AWS 클라우드 외부 자체 관리형인 경우 하이브리드 및 멀티클라우드 환경을 위해 두 개의 Systems Manager 노드가 필요합니다. 이러한 노드를 프로비저닝하는 방법에 대한 자세한 내용은 하이브리드 및 멀티클라우드 환경을 위한 Systems Manager 설정을 참조하세요.
-
Active Directory가 내에서 자체 관리형AWS 클라우드인 경우 Systems Manager 관리형 EC2 인스턴스 2개가 필요합니다. 이러한 인스턴스를 프로비저닝하는 방법에 대한 자세한 내용은 Systems Manager를 사용한 EC2 인스턴스 관리를 참조하세요.
-
필수 Active Directory 서비스
자체 관리형 AD에서 다음 서비스가 실행되고 있는지 확인합니다.
-
Active Directory 도메인 서비스
-
Active Directory 웹 서비스(ADWS)
-
COM+ 이벤트 시스템
-
분산 파일 시스템 복제(DFSR)
-
도메인 이름 시스템(DNS)
-
DNS 서버
-
그룹 정책 클라이언트
-
사이트 간 메시징
-
원격 프로시저 직접 호출(RPC)
-
보안 계정 관리자
-
Windows 시간 서버
참고
하이브리드 디렉터리는 UDP 포트 123이 열려 있어야 하며 Windows 시간 서버가 활성화되어 정상 작동해야 합니다. 하이브리드 디렉터리 복제가 제대로 작동하는지 확인하기 위해 시간을 도메인 컨트롤러와 동기화합니다.
Kerberos 인증 요구 사항
사용자 계정에서 Kerberos 사전 인증이 활성화되어 있어야 합니다. 이 설정을 활성화하는 방법에 대한 자세한 지침은 Kerberos 사전 인증이 활성화되어 있는지 확인을 참조하세요. 이 설정에 대한 일반 정보는 Microsoft TechNet의 사전 승인
지원되는 암호화 유형
하이브리드 디렉터리에서는 Kerberos를 통해 Active Directory 도메인 컨트롤러에 인증할 때 다음과 같은 암호 유형을 지원합니다.
-
AES-256-HMAC
네트워크 포트 요구 사항
가 자체 관리형 Active Directory 도메인 컨트롤러를 확장AWS하려면 기존 네트워크의 방화벽에 Amazon VPC의 두 서브넷 모두에 CIDRs 대해 다음 포트가에 열려 있어야 합니다.
-
TCP/UDP 53 - DNS
-
TCP/UDP 88 - Kerberos 인증
-
UDP 123 - 시간 서버
-
TCP 135 - 원격 프로시저 직접 호출
-
TCP/UDP 389 - LDAP
-
TCP 445 - SMB
-
TCP 636 - LDAPS(Lightweight Directory Access Protocol Secure)가 있는 환경에만 필요
-
TCP 49152-65535 - RPC에 무작위로 할당된 높은 TCP 포트
-
TCP 3268 및 3269 - 글로벌 카탈로그
-
TCP 9389 Active Directory 웹 서비스(ADWS)
하이브리드 디렉터리를 생성하는 데 필요한 최소 포트입니다. 특정 구성에서는 추가 포트를 개방해야 하는 경우도 있습니다.
참고
도메인 컨트롤러 및 FSMO 역할 소유자에게 제공된 DNS IP는 Amazon VPC 내 두 서브넷의 CIDR에 대해 위 포트가 열려 있어야 합니다.
참고
하이브리드 디렉터리는 UDP 포트 123이 열려 있어야 하며 Windows 시간 서버가 활성화되어 정상 작동해야 합니다. 하이브리드 디렉터리 복제가 제대로 작동하는지 확인하기 위해 시간을 도메인 컨트롤러와 동기화합니다.
AWS 계정권한
에서 다음 작업에 대한 권한이 필요합니다.AWS 계정
-
ec2:AuthorizeSecurityGroupEgress
-
ec2:AuthorizeSecurityGroupIngress
-
ec2:CreateNetworkInterface
-
ec2:CreateSecurityGroup
-
ec2:DescribeNetworkInterfaces
-
ec2:DescribeSubnets
-
ec2:DescribeVpcs
-
ec2:CreateTags
-
ec2:CreateNetworkInterfacePermission
-
ssm:ListCommands
-
ssm:GetCommandInvocation
-
ssm:GetConnectionStatus
-
ssm:SendCommand
-
secretsmanager:DescribeSecret
-
secretsmanager:GetSecretValue
-
iam:GetRole
-
iam:CreateServiceLinkedRole
Amazon VPC 네트워크 요구 사항
다음을 갖춘 VPC
-
최소 2개의 서브넷. 각 서브넷이 서로 다른 가용 영역에 있어야 합니다.
-
VPC가 기본 테넌시를 가지고 있어야 합니다.
198.18.0.0/15 주소 공간의 주소를 사용해 VPC에서 하이브리드 디렉터리를 생성할 수 없습니다.
Directory Service는 두 개의 VPC 구조를 사용합니다. 디렉터리를 구성하는 EC2 인스턴스는 외부에서 실행되며 AWS 계정에서 관리합니다AWS. ETH0 및 ETH1라는 2개의 어댑터가 있습니다. ETH0는 관리 어댑터로써 계정 외부에 위치합니다. ETH1는 계정 내부에서 생성됩니다.
디렉터리 ETH0 네트워크의 관리 IP 범위는 198.18.0.0/15입니다.
자세한 내용은 Amazon VPC 사용 설명서에서 다음 주제를 참조하세요.
에 대한 자세한 내용은 란 무엇입니까AWS Direct Connect?를 AWS Direct Connect참조하십시오.
AWS보안 그룹 구성
기본적으로는 VPC의AWS Systems Manager 관리형 노드에 대한 네트워크 액세스를 허용하는 보안 그룹을 AWS연결합니다. 선택적으로, VPC 외부에서 자체 관리형 도메인 컨트롤러로 들어오고 나가는 네트워크 트래픽을 허용하는 자체 보안 그룹을 제공할 수 있습니다.
선택적으로, VPC 외부에서 자체 관리형 도메인 컨트롤러로 들어오고 나가는 네트워크 트래픽을 허용하는 자체 보안 그룹을 제공할 수 있습니다. 자체 보안 그룹을 제공하는 경우 다음을 수행해야 합니다.
-
VPC CIDR 범위 및 자체 관리형 범위를 허용 목록에 추가합니다.
-
이러한 범위가 AWS 예약 IP 범위와 겹치지 않도록 합니다.
디렉터리 평가 고려 사항
다음은 디렉터리 평가를 생성할 때 고려할 사항과 AWS 계정에서 보유할 수 있는 평가 수입니다.
-
하이브리드 디렉터리를 생성하면 디렉터리 평가가 자동으로 생성됩니다. 평가에는
CUSTOMER및SYSTEM의 두 가지 유형이 있습니다. AWS 계정의CUSTOMER디렉터리 평가는 100개로 제한됩니다. -
하이브리드 디렉터리 생성을 시도할 때 이미
CUSTOMER디렉터리 평가를 100개 보유하고 있는 경우 오류가 발생합니다. 다시 시도하기 전에 평가를 삭제하여 용량을 확보합니다. -
기존 CUSTOMER
CUSTOMER디렉터리 평가에 문의지원하거나 삭제하여 디렉터리 평가 할당량 증가를 요청하여 용량을 확보할 수 있습니다.
