기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AD Connector
<a name="directory_ad_connector"></a>

AD 커넥터는 클라우드에서 정보를 캐시 저장하지 않고도 온프레미스 Microsoft Active Directory로 디렉터리 요청을 리디렉션할 수 있는 디렉터리 게이트웨이입니다. AD Connector는 소형 및 대형 두 가지 크기로 제공됩니다. 소형 AD Connector는 소규모 조직을 위해 설계되었으며 초당 적은 수의 작업을 처리하기 위한 것입니다. 대형 AD Connector는 대규모 조직을 위해 설계되었으며 초당 적정 수의 작업에서 많은 수의 작업까지를 처리하기 위한 것입니다. 여러 AD Connector 간에 애플리케이션 로드를 분산하여 성능 필요에 맞게 조정할 수 있습니다. 적용되는 사용자 도는 연결 제한은 없습니다.

AD 커넥터는 Active Directory 전이적 신뢰를 지원하지 않습니다. AD 커넥터와 온프레미스 Active Directory 도메인은 1대1 관계를 가집니다. 따라서 Active Directory 포리스트의 하위 도메인을 포함하여 인증 받고자 하는 각 온프레미스 도메인에서 고유 AD 커넥터를 생성해야 합니다.

**참고**  
AD Connector는 다른 AWS 계정과 공유할 수 없습니다. 이것이 요구 사항인 경우 관리 AWS 형 Microsoft AD를에 사용하는 것이 좋습니다[AWS 관리형 Microsoft AD 공유](ms_ad_directory_sharing.md). 또한 AD Connector는 다중 VPC를 인식하지 않으므로 [WorkSpaces](https://aws.amazon.com/workspaces)와 같은 AWS 애플리케이션을 AD Connector와 동일한 VPC에 프로비저닝해야 합니다.

AD Connector가 설정되면 다음과 같은 이점이 있습니다.
+ 최종 사용자와 IT 관리자는 기존 기업 자격 증명을 사용하여 WorkSpaces, WorkDocs 또는 Amazon WorkMail과 같은 AWS 애플리케이션에 로그인할 수 있습니다.
+ 에 대한 IAM 역할 기반 액세스를 통해 Amazon EC2 인스턴스 또는 Amazon S3 버킷과 같은 AWS 리소스를 관리할 수 있습니다 AWS Management Console.
+ 사용자 또는 IT 관리자가 온프레미스 인프라 또는 AWS 클라우드의 리소스에 액세스하는지 여부에 관계없이 기존 보안 정책(예: 암호 만료, 암호 기록 및 계정 잠금)을 일관되게 적용할 수 있습니다.
+ AD Connector를 사용하면 기존 RADIUS 기반 MFA 인프라와 통합하여 사용자가 AWS 애플리케이션에 액세스할 때 추가 보안 계층을 제공하여 다중 인증을 활성화할 수 있습니다.

본 섹션의 여러 주제 항목을 계속 읽으면서 디렉터리를 연결하고 AD Connector 기능의 대다수를 생성하는 방법을 알아 보세요.

**Topics**
+ [

# AD Connector와의 연결 시작하기
](ad_connector_getting_started.md)
+ [

# AD Connector 모범 사례
](ad_connector_best_practices.md)
+ [

# AD Connector 디렉터리 유지 관리
](ad_connector_maintain.md)
+ [

# AD Connector 디렉터리 보안
](ad_connector_security.md)
+ [

# AD Connector 디렉터리 모니터링
](ad_connector_monitor.md)
+ [

# AD Connector에서 AWS 애플리케이션 및 서비스에 액세스
](ad_connector_manage_apps_services.md)
+ [

# Amazon EC2 인스턴스를 Active Directory에 조인하는 방법
](ad_connector_join_instance.md)
+ [

# AD Connector 할당량
](ad_connector_limits.md)
+ [

# 문제 해결 AD Connector
](ad_connector_troubleshooting.md)

# AD Connector와의 연결 시작하기
<a name="ad_connector_getting_started"></a>

AD Connector를 사용하면 기존 엔터프라이즈 Active Directory Directory Service 에 연결할 수 있습니다. 기존 디렉터리에 연결되면 모든 디렉터리 데이터가 도메인 컨트롤러에 그대로 남게 됩니다. Directory Service 는 디렉터리 데이터를 복제하지 않습니다.

**Topics**
+ [

## AD Connector 사전 조건
](#prereq_connector)
+ [

## AD Connector 생성
](#create_ad_connector)
+ [

# AD 커넥터로 생성되는 항목
](create_details_ad_connector.md)

## AD Connector 사전 조건
<a name="prereq_connector"></a>

AD Connector를 사용하여 기존 디렉터리에 연결하려면 다음 사항이 필요합니다.

**Amazon VPC**  
다음을 통해 VPC 설정:  
+ 최소 2개의 서브넷. 각 서브넷은 서로 다른 가용 영역에 있어야 하며, 네트워크 유형이 같아야 합니다.

  VPC에 IPv6를 사용할 수 있습니다. 자세한 내용은 *Amazon Virtual Private Cloud 사용 설명서*의 [VPC에 IPv6 지원](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html)을 참조하세요.
+ 가상 프라이빗 네트워크(VPN) 연결 또는  Direct Connect을 통해 VPC를 기존 네트워크에 연결해야 합니다.
+ VPC는 기본 하드웨어 테넌시를 가지고 있어야 합니다.
Directory Service 는 두 개의 VPC 구조를 사용합니다. 디렉터리를 구성하는 EC2 인스턴스는 AWS 계정 외부에서 실행되며에서 관리합니다 AWS. `ETH0` 및 `ETH1`라는 2개의 어댑터가 있습니다. `ETH0`는 관리 어댑터로써 계정 외부에 위치합니다. `ETH1`는 계정 내부에서 생성됩니다.  
디렉터리의 `ETH0` 네트워크에서 관리 IP 범위는 디렉터리를 배포할 경우 VPC와 충돌하지 않도록 보장하기 위해 프로그래밍 방식으로 선택합니다. 이 IP 범위는 다음 페어 중 하나일 수 있습니다(디렉터리가 2개의 서브넷에서 실행되기 때문에).  
+ 10.0.1.0/24 & 10.0.2.0/24 
+ 169.254.0.0/16
+ 192.168.1.0/24 & 192.168.2.0/24 
`ETH1` CIDR의 첫 번째 옥텟을 확인하여 충돌을 방지합니다. 10으로 시작할 경우, 192.168.1.0/24 및 192.168.2.0/24 서브넷의 192.168.0.0/16 VPC를 선택합니다. 첫 번째 옥텟이 10 이외의 수일 경우, 10.0.1.0/24 및 10.0.2.0/24 서브넷의 10.0.0.0/16 VPC를 선택합니다.  
선택 알고리즘은 VPC 상의 라우팅을 포함하지 않습니다. 따라서 이 시나리오에서 IP 라우팅 충돌 결과가 있을 수 없습니다.  
자세한 내용은 *Amazon VPC 사용 설명서*에서 다음 주제를 참조하세요.  
+ [Amazon VPC란 무엇인가?](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html)
+ [VPC의 서브넷](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#VPCSubnet)
+ [VPC에 하드웨어 가상 프라이빗 게이트웨이 추가](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_VPN.html)
에 대한 자세한 내용은 [AWS Direct Connect 사용 설명서를](https://docs.aws.amazon.com/directconnect/latest/UserGuide/) AWS Direct Connect참조하세요.

**기존 Active Directory**  
Active Directory 도메인이 있는 기존 네트워크에 연결해야 합니다.  
AD Connector는 [단일 레이블 도메인](https://support.microsoft.com/en-us/help/2269810/microsoft-support-for-single-label-domains)을 지원하지 않습니다.
이 Active Directory 도메인의 기능 수준은 `Windows Server 2003` 이상이어야 합니다. AD Connector는 Amazon EC2 인스턴스에 호스팅된 도메인으로의 연결도 지원합니다.  
AD Connector는 Amazon EC2 도메인 조인 기능과 조합으로 사용될 경우 RODC(읽기 전용 도메인 컨트롤러)를 지원하지 않습니다.

**서비스 계정**  
다음과 같은 권한이 부여된 기존 디렉터리의 서비스 계정에 대한 자격 증명을 가지고 있어야 합니다.  
+ 사용자 및 그룹 읽기 - 필수
+ 도메인에 컴퓨터 조인 - 원활한 도메인 조인 및 WorkSpaces를 사용하는 경우에만 필수
+ 컴퓨터 객체 생성 - 원활한 도메인 조인 및 WorkSpaces를 사용하는 경우에만 필수
+ 서비스 계정 암호는 암호 요구 사항을 준수해야 AWS 합니다. AWS 암호는 다음과 같아야 합니다.
  + 길이는 8자에서 128자 사이입니다.
  + 다음 네 범주 중 세 개에 해당하는 문자를 1자 이상 포함합니다.
    + 소문자(a\$1z)
    + 대문자(A-Z)
    + 숫자(0-9)
    + 영숫자 외의 특수 문자(\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
자세한 내용은 [서비스 계정에 권한 위임](#connect_delegate_privileges) 단원을 참조하십시오.  
AD Connector는 AWS 애플리케이션의 인증 및 권한 부여에 Kerberos를 사용합니다. LDAP는 사용자 및 그룹 객체 조회(읽기 작업)에만 사용됩니다. LDAP 트랜잭션에서는 아무것도 변경할 수 없으며 보안 인증 정보가 일반 텍스트로 전달되지 않습니다. 인증은 Kerberos 티켓을 사용하여 사용자로서 LDAP 작업을 수행하는 AWS 내부 서비스에서 처리됩니다.

**사용자 권한**  
모든 Active Directory 사용자는 자신의 속성을 읽을 수 있는 권한이 있어야 합니다. 다음 속성을 지정합니다.  
+ GivenName
+ SurName
+ Mail
+ SamAccountName
+ UserPrincipalName
+ UserAccountControl
+ MemberOf
기본적으로 Active Directory 사용자는 이러한 속성에 대한 읽기 권한이 부여되어 있습니다. 그러나 관리자가 시간이 지나면 이러한 권한을 수정할 수 있으므로, 처음 AD Connector를 설정하기 전에 사용자가 이러한 읽기 권한을 보유하는지 확인해야 합니다.

**IP 주소**  
기존 디렉터리에서 두 개의 DNS 서버 또는 도메인 컨트롤러의 IP 주소를 가져옵니다.  
AD Connector는 디렉터리를 연결할 때 `_ldap._tcp.<DnsDomainName>` 및 `_kerberos._tcp.<DnsDomainName>` SRV 레코드를 획득하므로 이들 서버에는 SRV 레코드가 포함되어야 합니다. AD Connector는 LDAP와 Kerberos 서비스 모두를 제공하는 공통 도메인 컨트롤러를 찾으려고 시도하므로 이들 SRV 레코드에는 적어도 한 개의 공통 도메인 컨트롤러가 포함되어야 합니다. SRV 레코드에 대한 자세한 내용은 Microsoft TechNet의 [SRV 리소스 레코드](http://technet.microsoft.com/en-us/library/cc961719.aspx)를 참조하세요.

**서브넷용 포트**  
AD Connector가 기존 Active Directory 도메인 컨트롤러로 디렉터리 요청을 리디렉션하려면 기존 네트워크의 방화벽에서 Amazon VPC의 두 서브넷에 대해 CIDR에 다음 포트가 열려 있어야 합니다.  
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Kerberos 인증
+ TCP/UDP 389 - LDAP
이들은 Amazon VPC가 디렉터리에 연결하기 위해 필요한 최소 포트입니다. 특정 구성에서는 추가 포트를 개방해야 하는 경우도 있습니다.  
AD 커넥터 및 Amazon WorkSpaces 사용하려면 도메인 컨트롤러에 대해 DisableVLVSupportLDAP 속성을 0으로 설정해야 합니다. 도메인 컨트롤러의 기본 설정입니다. DisableVLVSupportLDAP 속성이 활성화된 경우 AD 커넥터는 디렉터리의 사용자를 쿼리할 수 없습니다. 이렇게 하면 AD 커넥터가 Amazon WorkSpaces에서 작동하지 않습니다.  
기존 Active Directory 도메인의 DNS 서버 또는 도메인 컨트롤러 서버가 VPC 내에 있는 경우 해당 서버와 연결된 보안 그룹에서 위의 포트를 VPC에 있는 두 서브넷의 CIDR에 개방해야 합니다.
추가 포트 요구 사항은 Microsoft 설명서의 [AD 및 AD DS 포트 요구 사항](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd772723(v=ws.10))을 확인하세요.

**Kerberos 사전 인증**  
사용자 계정에서 Kerberos 사전 인증이 활성화되어 있어야 합니다. 이 설정을 활성화하는 방법에 대한 자세한 지침은 [Kerberos 사전 인증이 활성화되었는지 확인](ms_ad_tutorial_setup_trust_prepare_onprem.md#tutorial_setup_trust_enable_kerberos) 단원을 참조하세요. 이 설정에 대한 일반 정보는 Microsoft TechNet의 [사전 승인](http://technet.microsoft.com/en-us/library/cc961961.aspx)을 참조하세요.

**암호화 유형**  
AD Connector에서는 Kerberos를 통해 Active Directory 도메인 컨트롤러에 인증할 때 다음과 같은 암호 유형을 지원합니다.  
+ AES-256-HMAC
+ AES-128-HMAC
+ RC4-HMAC

### AWS IAM Identity Center 사전 조건
<a name="prereq_aws_sso_ad_connector"></a>

AD Connector와 함께 IAM Identity Center를 사용하려는 경우 다음 사항이 맞는지 확인해야 합니다.
+ AD 커넥터는 AWS 조직의 관리 계정에 설정됩니다.
+ IAM Identity Center의 인스턴스가 AD Connector가 설정된 동일한 리전에 있습니다.

자세한 내용은 AWS IAM Identity Center 사용 설명서의 [IAM Identity Center 사전 조건을 참조하세요](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html).

### 다중 인증 사전 조건
<a name="mfa_prereqs"></a>

AD Connector 디렉터리에서 다중 인증을 지원하려면 다음이 필요합니다.
+ 두 개의 클라이언트 엔드포인트가 있는 기존 네트워크의 [RADIUS(Remote Authentication Dial-In User Service)](https://en.wikipedia.org/wiki/RADIUS) 서버입니다. RADIUS 클라이언트 엔드포인트에 대한 요구 사항은 다음과 같습니다.
  + 엔드포인트를 생성하려면 Directory Service 서버의 IP 주소가 필요합니다. 이 IP 주소는 디렉터리 세부 정보의 [**Directory IP Address**] 필드에서 가져올 수 있습니다.
  + 두 RADIUS 엔드포인트에서 동일한 공유 보안 코드를 사용해야 합니다.
+ 기존 네트워크는 Directory Service 서버의 기본 RADIUS 서버 포트(1812)를 통한 인바운드 트래픽을 허용해야 합니다.
+ RADIUS 서버와 기존 디렉터리 간에 사용자 이름이 동일해야 합니다.

MFA와 AD Connector를 함께 사용하는 방법에 대한 자세한 내용은 [AD Connector에 대한 다중 인증 활성화](ad_connector_mfa.md) 단원을 참조하세요.

### 서비스 계정에 권한 위임
<a name="connect_delegate_privileges"></a>

기존 디렉터리에 연결하려면 특정 권한이 위임된 기존 디렉터리의 AD Connector 서비스 계정에 대한 보안 인증이 있어야 합니다. **Domain Admins(도메인 관리자)** 그룹 멤버라면 이 디렉터리에 연결하기에 충분한 권한이 있지만, 모범 사례에 따르자면 디렉터리 연결에 필요한 최소한의 권한만 가진 서비스 계정을 사용해야 합니다. 다음 절차에서는 라는 새 그룹을 생성하고 `Connectors`이 그룹에 연결하는 데 필요한 권한을 위임한 Directory Service 다음이 그룹에 새 서비스 계정을 추가하는 방법을 보여줍니다.

이 절차는 디렉터리에 조인된 컴퓨터 상에서 수행해야 하며, [**Active Directory User and Computers**] MMC 스냅인이 설치되어 있어야 합니다. 또한 도메인 관리자로 로그인해야 합니다.

**서비스 계정에 권한을 위임하려면**

1. [**Active Directory User and Computers**]를 열고 탐색 트리에서 도메인 루트를 선택합니다.

1. 왼쪽 창의 목록에서 [**Users**]를 마우스 오른쪽 버튼으로 클릭하고 [**New**]와 [**Group**]을 차례로 선택합니다.

1. [**New Object - Group**] 대화 상자에서 다음을 입력하고 [**OK**]를 클릭합니다.  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/ad_connector_getting_started.html)

1. **Active Directory 사용자 및 컴퓨터** 탐색 트리에서 컴퓨터 계정이 생성될 조직 단위(OU) 식별을 선택합니다. 메뉴에서 [**Action**]을 선택한 후 [**Delegate Control**]을 선택합니다. 권한이 하위 OU로 전파될 때 도메인까지 상위 OU를 선택할 수 있습니다. AD Connector가 AWS 관리형 Microsoft AD에 연결된 경우 도메인 루트 수준에서 제어를 위임할 수 있는 액세스 권한이 없습니다. 이 경우 제어를 위임하려면 디렉터리 OU에서 컴퓨터 객체를 만들 OU를 선택하세요.

1. [**Delegation of Control Wizard**] 페이지에서 **Next**를 클릭한 후 [**Add**]를 클릭합니다.

1. [**Select Users, Computers, or Groups**] 대화 상자에서 `Connectors`를 입력하고 [**OK**]를 선택합니다. 객체가 여러 개 있는 경우 위에서 생성한 `Connectors` 그룹을 선택합니다. **다음**을 클릭합니다.

1. [**Tasks to Delegate**] 페이지에서 [**Create a custom task to delegate**]를 선택한 후 [**Next**]를 선택합니다.

1. [**Only the following objects in the folder**]를 선택한 후 [**Computer objects**]와 [**User objects**]를 차례로 선택합니다.

1. [**Create selected objects in this folder**]를 선택한 후 [**Delete selected objects in this folder**]를 선택합니다. 그리고 **다음**을 선택합니다.  
![\[제어 마법사 위임 - 폴더의 다음 객체, 사용자 객체, 이 폴더에서 선택한 객체 생성 및 이 폴더 옵션에서 선택한 객체 삭제만 선택됩니다.\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/aduc_delegate_join_linux.png)

1. **읽기**를 선택한 후 **다음**을 선택합니다.
**참고**  
원활한 도메인 조인 또는 WorkSpaces를 사용할 경우 Active Directory에서 컴퓨터 객체를 만들 수 있도록 **쓰기** 권한도 활성화해야 합니다.  
![\[제어 마법사 위임 - 이러한 권한 표시에서 일반, 속성별 및 읽기가 선택됩니다.\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/aduc_delegate_join_permissions.png)

1. [**Completing the Delegation of Control Wizard**] 페이지에서 정보를 확인하고 [**Finish**]를 클릭합니다.

1. 강력한 암호로 사용자 계정을 만들고 해당 사용자를 `Connectors` 그룹에 추가합니다. 이 사용자는 AD Connector 서비스 계정이라고 하며, 이제 `Connectors` 그룹의 멤버이므로 디렉터리에 연결할 Directory Service 수 있는 충분한 권한을 갖게 됩니다.

### AD 커넥터 테스트
<a name="connect_verification"></a>

AD Connector가 기존 디렉터리에 연결하려면 기존 네트워크의 방화벽에서 특정 포트를 VPC에 있는 두 서브넷의 CIDR에 개방해야 합니다. 이러한 조건이 충족되는지 테스트하려면 다음 단계를 수행하세요.

**연결을 테스트하려면**

1. VPC에서 Windows 인스턴스를 실행하고 RDP를 통해 연결합니다. 인스턴스가 기존 도메인의 멤버여야 합니다. 나머지 단계들은 이 VPC 인스턴스에서 수행됩니다.

1. [DirectoryServicePortTest](samples/DirectoryServicePortTest.zip) 테스트 애플리케이션을 다운로드하여 압축을 해제합니다. 소스 코드 및 Visual Studio 프로젝트 파일이 포함되어 있으므로 원할 경우 테스트 애플리케이션을 수정할 수 있습니다.
**참고**  
이 스크립트는 Windows Server 2003 이하 OS에서는 지원되지 않습니다.

1. Windows 명령 프롬프트에서 다음 옵션을 사용하여 **DirectoryServicePortTest** 테스트 애플리케이션을 실행합니다.
**참고**  
DirectoryServicePortTest 테스트 애플리케이션은 도메인 및 포리스트 기능 수준이 Windows Server 2012 R2 이하로 설정된 경우에만 사용할 수 있습니다.

   ```
   DirectoryServicePortTest.exe -d <domain_name> -ip <server_IP_address> -tcp "53,88,389" -udp "53,88,389"
   ```  
*<domain\$1name>*  
정규화된 도메인 이름이며, 포리스트 및 도메인 기능 수준을 테스트하는 데 사용됩니다. 도메인 이름을 제외하면 기능 수준이 테스트되지 않습니다.  
*<server\$1IP\$1address>*  
기존 도메인에 있는 도메인 컨트롤러의 IP 주소입니다. 포트가 이 IP 주소에 대해 테스트됩니다. IP 주소를 제외하면 포트가 테스트되지 않습니다.

   이 테스트 앱은 VPC에서 도메인까지 필요한 포트들이 열려 있는지 판단하고, 최소한의 포리스트 및 도메인 기능 수준을 확인합니다.

   다음과 같은 결과가 출력됩니다.

   ```
   Testing forest functional level.
   Forest Functional Level = Windows2008R2Forest : PASSED
   
   Testing domain functional level.
   Domain Functional Level = Windows2008R2Domain : PASSED
   
   Testing required TCP ports to <server_IP_address>:
   Checking TCP port 53: PASSED
   Checking TCP port 88: PASSED
   Checking TCP port 389: PASSED
   
   Testing required UDP ports to <server_IP_address>:
   Checking UDP port 53: PASSED
   Checking UDP port 88: PASSED
   Checking UDP port 389: PASSED
   ```

다음은 **DirectoryServicePortTest** 애플리케이션에 대한 소스 코드입니다.

```
using System;
using System.Collections.Generic;
using System.IO;
using System.Linq;
using System.Net;
using System.Net.Sockets;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices.ActiveDirectory;
using System.Threading;
using System.DirectoryServices.AccountManagement;
using System.DirectoryServices;
using System.Security.Authentication;
using System.Security.AccessControl;
using System.Security.Principal;

namespace DirectoryServicePortTest
{
    class Program
    {
        private static List<int> _tcpPorts;
        private static List<int> _udpPorts;

        private static string _domain = "";
        private static IPAddress _ipAddr = null;

        static void Main(string[] args)
        {
            if (ParseArgs(args))
            {
                try
                {
                    if (_domain.Length > 0)
                    {
                        try
                        {
                            TestForestFunctionalLevel();

                            TestDomainFunctionalLevel();
                        }
                        catch (ActiveDirectoryObjectNotFoundException)
                        {
                            Console.WriteLine("The domain {0} could not be found.\n", _domain);
                        }
                    }

                    if (null != _ipAddr)
                    {
                        if (_tcpPorts.Count > 0)
                        {
                            TestTcpPorts(_tcpPorts);
                        }

                        if (_udpPorts.Count > 0)
                        {
                            TestUdpPorts(_udpPorts);
                        }
                    }
                }
                catch (AuthenticationException ex)
                {
                    Console.WriteLine(ex.Message);
                }
            }
            else
            {
                PrintUsage();
            }

            Console.Write("Press <enter> to continue.");
            Console.ReadLine();
        }

        static void PrintUsage()
        {
            string currentApp = Path.GetFileName(System.Reflection.Assembly.GetExecutingAssembly().Location);
            Console.WriteLine("Usage: {0} \n-d <domain> \n-ip \"<server IP address>\" \n[-tcp \"<tcp_port1>,<tcp_port2>,etc\"] \n[-udp \"<udp_port1>,<udp_port2>,etc\"]", currentApp);
        }

        static bool ParseArgs(string[] args)
        {
            bool fReturn = false;
            string ipAddress = "";

            try
            {
                _tcpPorts = new List<int>();
                _udpPorts = new List<int>();

                for (int i = 0; i < args.Length; i++)
                {
                    string arg = args[i];

                    if ("-tcp" == arg | "/tcp" == arg)
                    {
                        i++;
                        string portList = args[i];
                        _tcpPorts = ParsePortList(portList);
                    }

                    if ("-udp" == arg | "/udp" == arg)
                    {
                        i++;
                        string portList = args[i];
                        _udpPorts = ParsePortList(portList);
                    }

                    if ("-d" == arg | "/d" == arg)
                    {
                        i++;
                        _domain = args[i];
                    }

                    if ("-ip" == arg | "/ip" == arg)
                    {
                        i++;
                        ipAddress = args[i];
                    }
                }
            }
            catch (ArgumentOutOfRangeException)
            {
                return false;
            }

            if (_domain.Length > 0 || ipAddress.Length > 0)
            {
                fReturn = true;
            }

            if (ipAddress.Length > 0)
            { 
                _ipAddr = IPAddress.Parse(ipAddress); 
            }
            
            return fReturn;
        }

        static List<int> ParsePortList(string portList)
        {
            List<int> ports = new List<int>();

            char[] separators = {',', ';', ':'};

            string[] portStrings = portList.Split(separators);
            foreach (string portString in portStrings)
            {
                try
                {
                    ports.Add(Convert.ToInt32(portString));
                }
                catch (FormatException)
                {
                }
            }

            return ports;
        }

        static void TestForestFunctionalLevel()
        {
            Console.WriteLine("Testing forest functional level.");

            DirectoryContext dirContext = new DirectoryContext(DirectoryContextType.Forest, _domain, null, null);
            Forest forestContext = Forest.GetForest(dirContext);

            Console.Write("Forest Functional Level = {0} : ", forestContext.ForestMode);

            if (forestContext.ForestMode >= ForestMode.Windows2003Forest)
            {
                Console.WriteLine("PASSED");
            }
            else
            {
                Console.WriteLine("FAILED");
            }

            Console.WriteLine();
        }

        static void TestDomainFunctionalLevel()
        {
            Console.WriteLine("Testing domain functional level.");

            DirectoryContext dirContext = new DirectoryContext(DirectoryContextType.Domain, _domain, null, null);
            Domain domainObject = Domain.GetDomain(dirContext);

            Console.Write("Domain Functional Level = {0} : ", domainObject.DomainMode);

            if (domainObject.DomainMode >= DomainMode.Windows2003Domain)
            {
                Console.WriteLine("PASSED");
            }
            else
            {
                Console.WriteLine("FAILED");
            }

            Console.WriteLine();
        }

        static List<int> TestTcpPorts(List<int> portList)
        {
            Console.WriteLine("Testing TCP ports to {0}:", _ipAddr.ToString());

            List<int> failedPorts = new List<int>();

            foreach (int port in portList)
            {
                Console.Write("Checking TCP port {0}: ", port);

                TcpClient tcpClient = new TcpClient();

                try
                {
                    tcpClient.Connect(_ipAddr, port);

                    tcpClient.Close();
                    Console.WriteLine("PASSED");
                }
                catch (SocketException)
                {
                    failedPorts.Add(port);
                    Console.WriteLine("FAILED");
                }
            }

            Console.WriteLine();

            return failedPorts;
        }

        static List<int> TestUdpPorts(List<int> portList)
        {
            Console.WriteLine("Testing UDP ports to {0}:", _ipAddr.ToString());

            List<int> failedPorts = new List<int>();

            foreach (int port in portList)
            {
                Console.Write("Checking UDP port {0}: ", port);

                UdpClient udpClient = new UdpClient();

                try
                {
                    udpClient.Connect(_ipAddr, port);
                    udpClient.Close();
                    Console.WriteLine("PASSED");
                }
                catch (SocketException)
                {
                    failedPorts.Add(port);
                    Console.WriteLine("FAILED");
                }
            }

            Console.WriteLine();

            return failedPorts;
        }
    }
}
```

## AD Connector 생성
<a name="create_ad_connector"></a>

AD Connector를 사용하여 기존 디렉터리에 연결하려면 다음 단계를 수행합니다. 이 절차를 시작하기 전에 [AD Connector 사전 조건](#prereq_connector)에 나와 있는 선행 조건을 충족했는지 확인합니다.

**참고**  
클라우드 포메이션 템플릿으로는 AD Connector를 만들 수 없습니다.

**AD Connector로 연결하려면**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택한 후 **디렉터리 설정**을 선택합니다.

1. **Select directory type(디렉터리 유형 선택)** 페이지에서 **AD Connector**를 선택하고 **다음**을 선택합니다.

1. **Enter AD Connector information(AD Connector 정보 입력)** 페이지에서 다음 정보를 입력합니다.  
**디렉터리 크기**  
**Small(스몰)** 또는 **Large(라지)** 크기 옵션 중에서 선택합니다. 크기에 대한 자세한 내용은 [AD Connector](directory_ad_connector.md) 단원을 참조하세요.  
**디렉터리 설명**  
디렉터리에 대한 선택적 설명을 입력합니다.

1. **VPC 및 서브넷 선택** 페이지에서 다음 정보를 제공한 후 **다음**을 선택합니다.  
**VPC**  
디렉터리에 대한 VPC입니다.  
**서브넷**  
도메인 컨트롤러에 대한 서브넷을 선택합니다. 두 서브넷이 서로 다른 가용 영역에 있어야 합니다.

1. **Connect to AD(AD에 연결)** 페이지에서 다음 정보를 입력합니다.  
**디렉터리 DNS 이름**  
기존 디렉터리의 정규화된 이름입니다(예:`corp.example.com`).  
**디렉터리 NetBIOS 이름**  
기존 디렉터리의 약식 이름입니다(예: ​`CORP`).  
**DNS IP 주소**  
기존 디렉터리에 있는 최소 한 개의 DNS 서버의 IP 주소입니다. 이 서버는 4단계에서 지정된 각 서브넷에서 액세스할 수 있어야 합니다. 지정된 서브넷과 DNS 서버 IP 주소 간에 네트워크 연결이 있는 AWS한 이러한 서버는 외부에 위치할 수 있습니다.  
**서비스 계정 사용자 이름**  
기존 디렉터리에 있는 사용자의 사용자 이름입니다. 이 계정에 대한 자세한 내용은 [AD Connector 사전 조건](#prereq_connector)을 참조하세요.  
**서비스 계정 암호**  
기존 사용자 계정의 암호입니다. 이 암호는 대소문자를 구분하며 길이가 8\$1128자여야 합니다. 또한 다음 네 범주 중 세 개에 해당하는 문자를 1자 이상 포함해야 합니다.  
   + 소문자(a-z)
   + 대문자(A-Z)
   + 숫자(0-9)
   + 영숫자 외의 특수 문자(\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)  
[**Confirm password**]  
기존 사용자 계정의 암호를 다시 입력합니다.

1. **검토 및 생성** 페이지에서 디렉터리 정보를 검토하고 필요한 사항을 변경합니다. 정보가 올바르면 **디렉터리 생성**을 선택합니다. 디렉터리를 생성하는 데 몇 분 정도 걸립니다. 생성이 완료되면 **상태** 값이 **활성** 상태로 변경됩니다.

AD 커넥터로 생성된 항목에 대한 자세한 내용은 [AD 커넥터로 생성되는 항목](create_details_ad_connector.md)을 참조하세요.

# AD 커넥터로 생성되는 항목
<a name="create_details_ad_connector"></a>

AD 커넥터를 생성할 때는 Directory Service 탄력적 네트워크 인터페이스(ENI)를 자동으로 생성하고 각 AD 커넥터 인스턴스와 연결합니다. 이러한 각 ENIs는 VPC와 Directory Service AD 커넥터 간의 연결에 필수적이며 삭제해서는 안 됩니다. "AWS created network interface for *directory directory-id*"라는 설명 Directory Service 으로와 함께 사용하도록 예약된 모든 네트워크 인터페이스를 식별할 수 있습니다. 자세한 내용은 Amazon EC2 사용 설명서의 [탄력적 네트워크 인터페이스](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)를 참조하십시오.

**참고**  
AD Connector 인스턴스는 기본적으로 한 리전의 두 가용 영역에 걸쳐 배포되며 Amazon Virtual Private Cloud(VPC)에 연결됩니다. 실패한 AD Connector 인스턴스는 동일한 IP 주소를 사용하여 동일한 가용 영역에서 자동으로 교체됩니다.

AD Connector(AWS IAM Identity Center 포함)와 통합된 AWS 애플리케이션 또는 서비스에 로그인하면 앱 또는 서비스가 인증 요청을 AD Connector에 전달한 다음 인증을 위해 자체 관리형 Active Directory의 도메인 컨트롤러에 요청을 전달합니다. 자체 관리형 Active Directory에 성공적으로 인증되면 AD 커넥터는 앱 또는 서비스에 인증 토큰(Kerberos 토큰과 유사)을 반환합니다. 이제 AWS 앱 또는 서비스에 액세스할 수 있습니다.

# AD Connector 모범 사례
<a name="ad_connector_best_practices"></a>

여기에는 문제를 방지하고 AD Connector를 최대한 활용하기 위해 반드시 고려해야 할 몇 가지 제안 및 가이드라인이 나와 있습니다.

## 설정: 사전 조건
<a name="ad_connector_best_practices_prereq"></a>

디렉터리를 생성하기 전에 여기 나온 가이드라인을 고려하세요.

### 디렉터리 유형이 올바른지 확인
<a name="choose_right_type"></a>

Directory Service 는 다른 AWS 서비스와 Microsoft Active Directory 함께를 사용하는 여러 가지 방법을 제공합니다. 예산에 맞는 비용으로 필요한 기능을 갖춘 디렉터리 서비스를 선택할 수 있습니다.
+ **AWS Directory Service for Microsoft Active Directory**는 AWS 클라우드에서 Microsoft Active Directory 호스팅되는 기능이 풍부한 관리형입니다.5,000명 이상의 사용자가 있고 호스팅된 디렉터리와 온프레미스 디렉터리 간에 신뢰 관계를 설정해야 하는 경우 AWS 관리형 Microsoft AD를 AWS 선택하는 것이 가장 좋습니다.
+ **AD Connector**는 기존 온프레미스 Active Directory를에 연결하기만 하면 됩니다 AWS. AD Connector는 AWS 서비스와 함께 기존의 온프레미스 디렉터리를 사용하고 싶을 때 가장 적합한 옵션입니다.
+ **Simple AD**는 기본 Active Directory 호환성을 갖춘 소규모, 저비용 디렉터리입니다. 5,000명 이하의 사용자, Samba 4 호환 애플리케이션, LDAP 인식 애플리케이션을 위한 LDAP 호환성을 지원합니다.

 Directory Service 옵션에 대한 자세한 비교는 섹션을 참조하세요[무엇을 선택할 것인가](what_is.md#choosing_an_option).

### VPC와 인스턴스가 올바르게 구성되도록 보장
<a name="vpc_config"></a>

디렉터리를 연결, 관리 및 사용하려면 디렉터리와 연관이 있는 VPC를 제대로 구성해야 합니다. VPC 보안 및 네트워킹 요건에 대한 자세한 내용은 [AWS 관리형 Microsoft AD를 생성하기 위한 사전 조건](ms_ad_getting_started.md#ms_ad_getting_started_prereqs), [AD Connector 사전 조건](ad_connector_getting_started.md#prereq_connector) 또는 [간단한 AD 사전 조건](simple_ad_getting_started.md#prereq_simple) 섹션을 참조하세요.

도메인에 인스턴스를 추가하는 경우에는 [Amazon EC2 인스턴스를 AWS 관리형 Microsoft AD에 조인하는 방법](ms_ad_join_instance.md)에 설명된 대로 인스턴스에 대한 연결 및 원격 액세스가 가능한지 확인하세요.

### 한도에 유의
<a name="aware_of_limits"></a>

특정 디렉터리 유형에 대한 다양한 제한에 대해 알아봅니다. 가용 스토리지와 객체의 전체 크기가 디렉터리에 저장할 수 있는 객체 수에 대한 유일한 제한입니다. 선택한 디렉터리에 대한 자세한 내용은 [AWS 관리형 Microsoft AD 할당량](ms_ad_limits.md), [AD Connector 할당량](ad_connector_limits.md) 또는 [Simple AD 할당량](simple_ad_limits.md) 섹션을 참조하세요.

### 디렉터리의 AWS 보안 그룹 구성 및 사용 이해
<a name="ad_connector_understandsecgroup"></a>

AWS 는 [보안 그룹을](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule) 생성하여 피어링되거나 크기가 조정된 [VPCs](https://aws.amazon.com/vpc/) 내에서 액세스할 수 있는 디렉터리의 [탄력적 네트워크 인터페이스](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)에 연결합니다.는 디렉터리에 대한 불필요한 트래픽을 차단하고 필요한 트래픽을 허용하도록 보안 그룹을 AWS 구성합니다.

#### 디렉터리 보안 그룹 수정
<a name="ad_connector_modifyingsecgroup"></a>

보안 그룹 디렉터리의 보안을 수정하고 싶다면, 해당 작업을 수행할 수 있습니다. 단, 보안 그룹 필터링이 어떻게 작동하는지 완전히 이해하는 경우에만 이렇게 변경하세요. 자세한 내용은 *Amazon EC2 사용 설명서*의 [Linux 인스턴스용 Amazon EC2 보안 그룹](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)을 참조하세요. 잘못 변경하면 의도한 컴퓨터 및 인스턴스와의 통신이 끊어질 수 있습니다. 디렉터리의 보안이 저하되므로 디렉터리에 대한 추가 포트를 열려고 시도하지 않는 것이 AWS 좋습니다. [AWS 공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)을 자세히 검토하세요.

**주의**  
이론적으로는 디렉터리의 보안 그룹을 사용자가 생성한 다른 EC2 인스턴스에 연결할 수 있습니다. 그러나 AWS 는이 방법을 권장합니다. AWS 에는 관리형 디렉터리의 기능 또는 보안 요구 사항을 해결하기 위해 예고 없이 보안 그룹을 수정해야 하는 이유가 있을 수 있습니다. 그러한 변경은 디렉터리 보안 그룹과 연결된 모든 인스턴스에 영향을 미치며, 연결된 인스턴스의 작동이 중단될 수 있습니다. 또한 디렉터리 보안 그룹을 EC2 인스턴스와 연결하면 EC2 인스턴스에 잠재적 보안 위험이 생길 수 있습니다.

### AD Connector를 사용할 때 온프레미스 사이트 및 서브넷을 올바르게 구성
<a name="ad_connector_config_onprem"></a>

온프레미스 네트워크에서 Microsoft Active Directory 사이트가 정의되어 있는 경우에는 AD Connector가 상주하는 VPC의 서브넷이 Microsoft Active Directory 사이트에 정의되어 있도록 하고 VPC의 서브넷과 다른 사이트의 서브넷 간에 충돌이 존재하지 않도록 해야 합니다.

도메인 컨트롤러를 검색하기 위해 AD Connector는 서브넷 IP 주소 범위가 AD Connector를 포함하는 VPC의 범위와 근접한 Microsoft Active Directory 사이트를 사용합니다. 사이트에서 서브넷이 VPC과 동일한 IP 주소 범위를 가지고 있는 경우에는 AD Connector가 리전과 물리적으로 근접하지 않을 수 있는 해당 사이트에서 도메인 컨트롤러를 검색합니다.

### AWS 애플리케이션의 사용자 이름 제한 이해
<a name="ad_connector_usernamerestrictions"></a>

Directory Service 는 사용자 이름 구성에 사용할 수 있는 대부분의 문자 형식을 지원합니다. 그러나 WorkSpaces, WorkDocs, Amazon WorkMail 또는 Quick과 같은 AWS 애플리케이션에 로그인하는 데 사용할 사용자 이름에 적용되는 문자 제한이 있습니다. 이러한 제한 때문에 다음 문자는 사용할 수 없습니다.
+ 공백
+ 멀티바이트 문자
+ \$1"\$1\$1%&'()\$1\$1,/:;<=>?@[\$1]^`\$1\$1\$1\$1

**참고**  
@ 기호는 UPN 접미사 앞에서만 허용됩니다.

## 애플리케이션 프로그래밍
<a name="ad_connector_program_apps"></a>

애플리케이션을 프로그래밍하기 전에 다음 사항을 고려하세요.

### 프로덕션 단계로 넘어가기 전에 로드 테스트 실시
<a name="ad_connector_program_load_test"></a>

프로덕션 워크로드를 대표하는 애플리케이션 및 요청에 대해 랩 테스트를 실시하여 디렉터리 규모가 애플리케이션 로드에 맞게 조정되는지 확인해야 합니다. 용량이 더 필요한 경우, AD Connector 디렉터리 여러 개에 로드를 분산하세요.

## 디렉터리 사용
<a name="ad_connector_bp_using_directory"></a>

여기에는 디렉터리를 사용할 때 고려해야 할 몇 가지 제안이 나와 있습니다.

### 정기적으로 Admin 보안 인증 정보 교체
<a name="rotate_admin_creds"></a>

AD Connector 서비스 계정 Admin 암호를 정기적으로 변경하고, 암호가 기존 Active Directory 암호 정책과 일관되는지 확인하세요. 서비스 계정 암호를 변경하는 방법에 대한 지침은 [에서 AD Connector 서비스 계정 자격 증명 업데이트 AWS Management Console](ad_connector_update_creds.md) 단원을 참조하세요.

### 각 도메인에 고유한 AD Connector 사용
<a name="ad_connector_use_unique_connector"></a>

AD Connector와 온프레미스 AD 도메인은 1대1 관계를 가집니다. 따라서 AD 포리스트의 하위 도메인을 포함하여 인증 받으려는 각 온프레미스 도메인에서 고유 AD Connector를 생성해야 합니다. 생성된 각각의 AD Connector는 동일한 디렉터리에 연결이 되더라도 서로 다른 서비스 계정을 사용해야 합니다.

### 호환성 점검
<a name="ad_connector_compatibility"></a>

AD Connector를 사용하는 경우 온프레미스 디렉터리가와 호환되고 계속 호환되는지 확인해야 합니다 Directory Service. 책임 사항에 대한 자세한 내용은 [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model)을 참조하세요.

# AD Connector 디렉터리 유지 관리
<a name="ad_connector_maintain"></a>

를 사용하여 AD Connector AWS Management Console 를 유지 관리하고 day-to-day 관리 작업을 완료할 수 있습니다. 디렉터리를 유지할 수 있는 방법은 다음과 같습니다.
+ [AD Connector에 대한 세부 정보를 봅니다](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_view_directory_info.html).
+ [AD Connector가 가리키는 DNS 주소를 업데이트합니다.](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_update_dns.html)
+ 더 이상 필요하지 않은 경우 [AD 커넥터를 삭제합니다](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_delete.html).

# AD 커넥터 디렉터리 정보 보기
<a name="ad_connector_view_directory_info"></a>

**디렉터리에 대한 세부 정보 보기**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창의 **Active Directory**에서 **디렉터리**를 선택합니다.

1. 디렉터리에 대한 디렉터리 ID 링크를 선택합니다. 디렉터리에 대한 정보가 **디렉터리 세부 정보** 페이지에 표시됩니다.

**상태** 필드에 대한 자세한 내용은 [디렉터리 상태 이해](ad_connector_directory_status.md) 단원을 참조하세요.

# 디렉터리 네트워크 유형 업데이트
<a name="ad_connector_update-directory-type"></a>

 Directory Service 디렉터리의 네트워크 유형을 IPv4에서 듀얼 스택(IPv4 및 IPv6)으로 업데이트할 수 있습니다. IPv6 IP 주소를 포함하도록 네트워크 유형을 업데이트하면 IPv4보다 더 광범위한 주소 공간이 제공됩니다. IPv4 및 IPv6 통신 프로토콜은 상호 독립적입니다.

자세한 내용은 *Amazon Virtual Private Cloud 사용 설명서*의 [IPv4 및 IPv6 비교](https://docs.aws.amazon.com/vpc/latest/userguide/ipv4-ipv6-comparison.html)를 참조하세요.

**중요**  
이는 되돌릴 수 없는 단방향 작업입니다. 비프로덕션 환경에서 테스트합니다.

## 사전 조건
<a name="ad_connector_update-directory-type-prereq"></a>

디렉터리 네트워크 유형을 업데이트하기 전에 다음 요구 사항이 충족되는지 확인합니다.
+ VPC는 IPv6 CIDR 범위로 구성해야 합니다. 자세한 내용은 *Amazon Virtual Private Cloud 사용 설명서*의 [VPC에 IPv6 지원](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html)을 참조하세요.
+  AWS Management Console에 대한 관리 액세스 권한이 있습니다.
+ 디렉터리가 활성 상태여야 합니다.
+  Directory Service 설정을 수정할 수 있는 적절한 IAM 권한이 있습니다.

## 디렉터리 네트워크 유형을 업데이트하는 방법
<a name="ad_connector_update-directory-type-procedure"></a>

**디렉터리를 듀얼 스택 네트워킹으로 업데이트하는 방법**
**참고**  
디렉터리가 여러 리전에 복제된 경우 각 리전에서 이 업데이트를 수행합니다.

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. 대상 디렉터리를 선택합니다.

1. **네트워킹 및 보안** 탭으로 이동합니다.

1. **IPv6 지원 추가**를 선택합니다. 이 옵션은 IPv4 전용 디렉터리에만 사용할 수 있습니다.

1. 업데이트 정보 및 요금 세부 정보를 검토합니다.

1. **추가**를 선택하여 업데이트를 확인합니다.

업데이트를 시작한 후 업데이트 프로세스 중에 디렉터리 상태가 **업데이트 중**으로 변경됩니다. 업데이트를 완료하는 데 일반적으로 15\$130분이 걸립니다. 완료되면 디렉터리 상태가 **활성**으로 전환됩니다.

# AD 커넥터의 DNS 주소 업데이트
<a name="ad_connector_update_dns"></a>

다음 단계에 따라 AD Connector가 가리키고 있는 DNS 주소를 업데이트합니다.

**참고**  
진행 중인 업데이트가 있을 경우, 업데이트가 완료될 때까지 기다렸다가 또 다른 업데이트를 제출하셔야 합니다.  
AD Connector와 함께 WorkSpaces를 사용하는 경우 WorkSpaces의 DNS 주소도 함께 업데이트해야 합니다. 자세한 내용은 [WorkSpaces의 DNS 서버 업데이트](https://docs.aws.amazon.com/workspaces/latest/adminguide/update-dns-server.html)를 참조하세요.

**AD Connector의 DNS 설정을 업데이트하려면**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창의 **Active Directory**에서 **디렉터리**를 선택합니다.

1. 디렉터리에 대한 디렉터리 ID 링크를 선택합니다.

1. **디렉터리 세부 정보** 페이지에서 **네트워킹 및 보안** 탭을 선택합니다.

1. **기존 DNS 설정** 섹션으로 스크롤하여 **업데이트**를 선택합니다.

1. **Update existing DNS addresses(기존 DNS 주소 업데이트)** 대화 상자에 업데이트된 DNS IP 주소를 입력하고 **업데이트**를 선택합니다.

AD Connector 문제 해결에 대한 자세한 내용은 [AD Connector 문제 해결](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_troubleshooting.html)을 참조하세요.

# AD 커넥터 삭제
<a name="ad_connector_delete"></a>

AD Connector가 삭제되어도 온프레미스 디렉터리는 그대로 유지됩니다. 디렉터리에 조인된 모든 인스턴스도 변동 없이 보관되며, 온프레미스 디렉터리에 조인된 상태가 유지됩니다. 여전히 디렉터리 자격 증명을 사용해 이러한 인스턴스에 로그인할 수 있습니다.

**AD Connector를 삭제하려면**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다. AD 커넥터가 배포 AWS 리전 된에 있는지 확인합니다. 자세한 내용은 [리전 선택](https://docs.aws.amazon.com//awsconsolehelpdocs/latest/gsg/select-region.html)을 참조하세요.

1. 삭제하려는 AD 커넥터에 대해 AWS 애플리케이션이 활성화되어 있지 않은지 확인합니다. 활성화된 AWS 애플리케이션을 사용하면 AD 커넥터를 삭제할 수 없습니다.

   1. [**Directories**] 페이지에서 디렉터리 ID를 선택합니다.

   1. **디렉터리 세부 정보** 페이지에서 **애플리케이션 관리** 탭을 선택합니다. **AWS 앱 및 서비스** 섹션에서 AD Connector에 대해 활성화된 AWS 애플리케이션을 확인할 수 있습니다.
      +  AWS Management Console 액세스를 비활성화합니다. 자세한 내용은 [AWS Management Console 액세스 비활성화](ms_ad_management_console_access.md#console_disable) 단원을 참조하십시오.
      + Amazon WorkSpaces를 비활성화하려면 WorkSpaces 콘솔의 디렉터리에서 서비스를 등록 취소해야 합니다. 자세한 내용은 *Amazon WorkSpaces 관리 안내서*의 [디렉터리 삭제](https://docs.aws.amazon.com/workspaces/latest/adminguide/delete-workspaces-directory.html)를 참조하세요.
      + WorkDocs를 비활성화하려면 WorkDocs 콘솔에서 WorkDocs 사이트를 삭제해야 합니다. 자세한 내용은 *Amazon WorkDocs 관리자 안내서*의 [사이트 삭제](https://docs.aws.amazon.com/workdocs/latest/adminguide/delete_site.html)를 참조하세요.
      + Amazon WorkMail을 비활성화하려면 Amazon WorkMail 콘솔에서 Amazon WorkMail 조직을 제거해야 합니다. 자세한 내용은 *Amazon WorkMail 관리자 안내서*의 [조직 제거](https://docs.aws.amazon.com/workmail/latest/adminguide/remove_organization.html)를 참조하세요.
      + Amazon FSx for Windows File Server를 비활성화하려면 도메인에서 Amazon FSx 파일 시스템을 제거해야 합니다. 자세한 정보는 *Amazon FSx for Windows File Server 사용 설명서*의 [FSx for Windows File Server에서 Active Directory로 작업하기](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/aws-ad-integration-fsxW.html)를 참조하세요.
      + Amazon 관계형 데이터베이스 서비스를 비활성화하려면 도메인에서 Amazon RDS 인스턴스를 제거해야 합니다. 자세한 내용은 *Amazon RDS 사용 설명서*의 [도메인에서 DB 인스턴스 관리하기](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_SQLServerWinAuth.html#USER_SQLServerWinAuth.Managing) 단원을 참조하세요.
      +  AWS Client VPN 서비스를 비활성화하려면 Client VPN 엔드포인트에서 디렉터리 서비스를 제거해야 합니다. 자세한 내용은 *AWS Client VPN 관리자 안내서*의 [Client VPN으로 작업하기](https://docs.aws.amazon.com//vpn/latest/clientvpn-admin/cvpn-working.html)를 참조하세요.
      + Amazon Connect를 비활성화하려면 Amazon Connect 인스턴스를 삭제해야 합니다. 자세한 정보는 *Amazon Connect 관리자 안내서*의 [Amazon Connect 인스턴스 삭제하기](https://docs.aws.amazon.com/connect/latest/adminguide/delete-connect-instance.html)를 참조하세요.
      + Amazon Quick을 비활성화하려면 Amazon Quick 구독을 취소해야 합니다. 자세한 내용은 *Amazon 빠른 사용 설명서*의 [Amazon Quick 계정 닫기를 참조하세요](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html).
**참고**  
를 사용 중 AWS IAM Identity Center 이고 삭제하려는 AWS 관리형 Microsoft AD 디렉터리에 이전에 연결한 경우 먼저 자격 증명 소스를 변경해야 삭제할 수 있습니다. 자세한 내용은 *IAM Identity Center 사용 설명서*의 [ID 소스 변경](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-change.html)을 참조하세요.

1. 탐색 창에서 **디렉터리**를 선택합니다.

1. 삭제할 AD Connector 디렉터리만 선택하고 **Delete(삭제)**를 클릭합니다. AD Connector를 삭제하는 데 몇 분 정도 걸립니다. AD Connector가 삭제되면 디렉터리 목록에서 제거됩니다.

# AD Connector 디렉터리 보안
<a name="ad_connector_security"></a>

다중 인증(MFA), 클라이언트 측 SSL(Secure Sockets Layer)/TLS(Transport Layer Security)(LDAPS)를 통한 경량 디렉터리 액세스 프로토콜 및 같은 기능을 사용하여 AD 커넥터를 AWS Private Certificate Authority 보호할 수 있습니다. AD 커넥터를 보호하는 방법은 다음과 같습니다.
+ MFA를 활성화하면 AD 커넥터 보안이 향상됩니다.
+ LDAP를 통한 통신이 암호화되고 보안이 향상되도록 보안 소켓 계층(SSL)/전송 계층 보안(TLS)(LDAPS)을 통한 클라이언트 측 경량 디렉터리 액세스 프로토콜을 활성화합니다.
+ 사용자가 Active Directory 및 AD Connector를 통해 Amazon Web Services에 인증할 수 있는 스마트 카드를 사용하여 인증서 기반 상호 전송 계층 보안(mTLS) 인증을 활성화합니다.
+ AD 커넥터 서비스 계정 자격 증명 업데이트
+ AD AWS Private CA Connector용 인증서를 발급하고 관리할 수 있도록 AD용 커넥터를 설정합니다.

**Topics**
+ [

# AD Connector에 대한 다중 인증 활성화
](ad_connector_mfa.md)
+ [

# AD Connector를 사용하여 클라이언트 측 LDAPS 활성화
](ad_connector_ldap_client_side.md)
+ [

# 스마트 카드와 함께 사용할 수 있도록 AD 커넥터에서 mTLS 인증 활성화
](ad_connector_clientauth.md)
+ [

# 에서 AD Connector 서비스 계정 자격 증명 업데이트 AWS Management Console
](ad_connector_update_creds.md)
+ [

# AD용 AWS Private CA 커넥터 설정
](ad_connector_pca_connector.md)

# AD Connector에 대한 다중 인증 활성화
<a name="ad_connector_mfa"></a>

온프레미스 혹은 Amazon EC2 인스턴스로 Active Directory를 가동하는 경우 AD Connector에 대해 다중 인증을 활성화할 수 있습니다. 에서 멀티 팩터 인증을 사용하는 방법에 대한 자세한 내용은 섹션을 Directory Service참조하세요[AD Connector 사전 조건](ad_connector_getting_started.md#prereq_connector).

**참고**  
Simple AD에는 다중 인증을 사용할 수 없습니다. 그러나 AWS 관리형 Microsoft AD 디렉터리에 대해 MFA를 활성화할 수 있습니다. 자세한 내용은 [AWS 관리형 Microsoft AD에 대한 다중 인증 활성화](ms_ad_mfa.md) 단원을 참조하십시오.

**AD Connector에 대한 다중 인증 활성화**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. AD Connector 디렉터리에 대한 디렉터리 ID 링크를 선택합니다.

1. **디렉터리 세부 정보** 페이지에서 **Networking & security(네트워킹 및 보안)** 탭을 선택합니다.

1. **다중 인증** 섹션에서 **작업**을 선택한 다음 **활성화**를 선택합니다.

1. **Enable multi-factor authentication (MFA)(다중 인증(MFA) 활성화)** 페이지에서 다음 값을 제공합니다.  
**레이블 표시**  
레이블 이름을 제공합니다.  
**RADIUS 서버 DNS 이름 또는 IP 주소**  
RADIUS 서버 엔드포인트의 IP 주소 또는 RADIUS 서버 로드 밸런서의 IP 주소입니다. 쉼표로 구분하여 여러 IP 주소를 입력할 수 있습니다(예: `192.0.0.0,192.0.0.12`).  
RADIUS MFA는 또는 WorkSpaces AWS Management Console, Amazon Quick 또는 Amazon Chime과 같은 Amazon Enterprise 애플리케이션 및 서비스에 대한 액세스를 인증하는 경우에만 적용됩니다. EC2 인스턴스에서 실행되거나 EC2 인스턴스에 로그인하기 위한 Windows 워크로드에는 MFA를 제공하지 않습니다. Directory Service 는 RADIUS 챌린지/응답 인증을 지원하지 않습니다.  
사용자는 사용자 이름과 암호를 입력할 때 MFA 코드를 알고 있어야 합니다. 또는 사용자에 대한 SMS 텍스트 확인 등, MFA 대역 외 작업을 수행하는 솔루션을 사용해야 합니다. 대역 외 MFA 솔루션에서는 RADIUS 제한 시간 값을 솔루션에 적합하게 설정해야 합니다. 대역 외 MFA 솔루션을 사용하는 경우 로그인 페이지에서 MFA 코드를 묻는 메시지가 표시됩니다. 이 경우, 사용자가 암호 필드와 MFA 필드 모두에 암호를 입력하는 것이 모범 사례입니다.  
**포트**  
RADIUS 서버에서 통신용으로 사용 중인 포트입니다. 온프레미스 네트워크는 Directory Service 서버의 기본 RADIUS 서버 포트(UDP:1812)를 통한 인바운드 트래픽을 허용해야 합니다.  
**Shared secret code**  
RADIUS 엔드포인트가 생성될 때 지정된 공유 보안 코드입니다.  
**Confirm shared secret code**  
RADIUS 엔드포인트의 공유 보안 코드를 확인합니다.  
**프로토콜**  
RADIUS 엔드포인트가 생성될 때 지정된 프로토콜을 선택합니다.  
**서버 제한 시간(초)**  
RADIUS 서버에서 응답을 대기할 시간(초)입니다. 이 값은 1\$150이어야 합니다.  
**최대 RADIUS 요청 재시도**  
RADIUS 서버와 통신을 시도하는 횟수입니다. 이 값은 0\$110이어야 합니다.

   [**RADIUS Status**]가 [**Enabled**]로 변경되면 다중 인증을 사용할 수 있습니다.

1. **활성화**를 선택합니다.

# AD Connector를 사용하여 클라이언트 측 LDAPS 활성화
<a name="ad_connector_ldap_client_side"></a>

AD Connector의 클라이언트 측 LDAPS 지원은 Microsoft Active Directory(AD)와 AWS 애플리케이션 간의 통신을 암호화합니다. 이러한 애플리케이션의 예로는 WorkSpaces, AWS IAM Identity Center, Quick 및 Amazon Chime이 있습니다. 이 암호화를 통해 조직의 자격 증명 데이터에 대한 보안을 강화하고 보안 요구 사항을 충족할 수 있습니다.

클라이언트 측 LDAPS의 등록을 취소하고 비활성화할 수도 있습니다.

**Topics**
+ [

## 사전 조건
](#prereqs-ldap-client-side)
+ [

## 클라이언트 측 LDAPS 활성화
](#enable-ldap-client-side)
+ [

# 클라이언트 측 LDAPS 관리
](manage-ldap-client-side.md)

## 사전 조건
<a name="prereqs-ldap-client-side"></a>

클라이언트 측 LDAPS를 활성화하려면 먼저 다음 요구 사항을 충족해야 합니다.

**Topics**
+ [

### Active Directory에 서버 인증서 배포
](#deploy_server_certs_ldap_client_side)
+ [

### CA 인증서 요구 사항
](#cert_requirements_ldap_client_side)
+ [

### 네트워킹 요구 사항
](#networking_requirements_ldap_client_side)

### Active Directory에 서버 인증서 배포
<a name="deploy_server_certs_ldap_client_side"></a>

클라이언트 측 LDAPS를 활성화하려면 Active Directory의 각 도메인 컨트롤러에 대한 서버 인증서를 가져와 설치해야 합니다. LDAP 서비스에서는 이러한 인증서를 사용하여 LDAP 클라이언트로부터의 SSL 연결을 수신하고 자동으로 수락합니다. 사내 Active Directory 인증서 서비스(ADCS) 배포에서 발급하거나 상업용 발급자로부터 구매한 SSL 인증서를 사용할 수 있습니다. Active Directory 서버 인증서 요구 사항에 대한 자세한 내용은 Microsoft 웹 사이트의 [LDAP over SSL (LDAPS) Certificate](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx)를 참조하세요.

### CA 인증서 요구 사항
<a name="cert_requirements_ldap_client_side"></a>

클라이언트 측 LDAPS 작업에는 서버 인증서의 발급자를 나타내는 인증 기관(CA) 인증서가 필요합니다. CA 인증서는 LDAP 통신을 암호화하기 위해 Active Directory 도메인 컨트롤러에서 제공하는 서버 인증서와 일치합니다. 다음 CA 인증서 요구 사항에 유의하세요.
+  인증서를 등록하려면 만료일까지 90일 이상 남아 있어야 합니다.
+ 인증서는 PEM(Privacy-Enhanced Mail) 형식이어야 합니다. Active Directory 내부에서 CA 인증서를 내보내는 경우 내보내기 파일 형식으로 base64로 인코딩된 X.509(.CER)를 선택합니다.
+ AD Connector 디렉터리당 최대 5개의 CA 인증서를 저장할 수 있습니다.
+ RSASSA-PSS 서명 알고리즘을 사용하는 인증서는 지원되지 않습니다.

### 네트워킹 요구 사항
<a name="networking_requirements_ldap_client_side"></a>

AWS 애플리케이션 LDAP 트래픽은 TCP 포트 636에서만 실행되며 LDAP 포트 389로 대체되지 않습니다. 그러나 복제, 신뢰 등을 지원하는 Windows LDAP 통신은 Windows 기본 보안과 함께 LDAP 포트 389를 계속 사용합니다. AD Connector(아웃바운드) 및 자체 관리형 Active Directory(인바운드)의 포트 636에서 TCP 통신을 허용하도록 AWS 보안 그룹 및 네트워크 방화벽을 구성합니다.

## 클라이언트 측 LDAPS 활성화
<a name="enable-ldap-client-side"></a>

클라이언트 측 LDAPS를 활성화하려면 인증 기관(CA) 인증서를 AD Connector로 가져온 다음 디렉터리에서 LDAPS를 활성화합니다. 활성화하면 AWS 애플리케이션과 자체 관리형 Active Directory 간의 모든 LDAP 트래픽이 SSL(Secure Sockets Layer) 채널 암호화로 흐릅니다.

두 가지 방법을 사용하여 디렉터리에 대해 클라이언트 측 LDAPS를 활성화할 수 있습니다. AWS Management Console 메서드 또는 AWS CLI 메서드를 사용할 수 있습니다.

### 에 인증서 등록 Directory Service
<a name="step1-register-cert-ldap-client-side"></a>

다음 방법 중 하나를 사용하여 인증서를 등록합니다 Directory Service.

**방법 1:에 인증서를 등록하려면 Directory Service (AWS Management Console)**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. 디렉터리에 대한 디렉터리 ID 링크를 선택합니다.

1. **디렉터리 세부 정보** 페이지에서 **네트워킹 및 보안** 탭을 선택합니다.

1. **클라이언트 측 LDAPS** 섹션에서 **작업** 메뉴를 선택한 다음 **인증서 등록**을 선택합니다.

1. **CA 인증서 등록** 대화 상자에서 **찾아보기**를 선택한 다음 인증서를 선택하고 **열기**를 선택합니다.

1. **인증서 등록**을 선택합니다.

**방법 2:에 인증서를 등록하려면 Directory Service (AWS CLI)**
+ 다음 명령을 실행합니다. 인증서 데이터의 경우 CA 인증서 파일의 위치를 가리킵니다. 응답에 인증서 ID가 제공됩니다.

  ```
  aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
  ```

### 등록 상태 확인
<a name="step2-check-registration-status-ldap-client-side"></a>

인증서 등록 상태 또는 등록된 인증서 목록을 보려면 다음 명령을 사용합니다.

**방법 1: Directory Service (AWS Management Console)에서 인증서 등록 상태를 확인하는 방법**

1. **Directory details(디렉터리 세부 정보)** 페이지의 **클라이언트측 LDAPS** 섹션으로 이동합니다.

1. **등록 상태** 열 아래 표시되는 현재 인증서 등록 상태를 검토합니다. 등록 상태 값이 **등록됨**으로 변경되면 인증서가 성공적으로 등록된 것입니다.

**방법 2: Directory Service (AWS CLI)에서 인증서 등록 상태를 확인하는 방법**
+ 다음 명령을 실행합니다. 상태 값이 `Registered`를 반환하면 인증서가 성공적으로 등록된 것입니다.

  ```
  aws ds list-certificates --directory-id your_directory_id
  ```

### 클라이언트 측 LDAPS 활성화
<a name="step3-enable-ldap-client-side"></a>

다음 방법 중 하나를 사용하여 클라이언트 측 LDAPS를 활성화합니다 Directory Service.

**참고**  
클라이언트 측 LDAPS를 활성화하려면 인증서를 하나 이상 등록해야 합니다.

**방법 1: Directory Service (AWS Management Console)에서 클라이언트 측 LDAPS를 활성화하려면**

1. **Directory details(디렉터리 세부 정보)** 페이지의 **클라이언트측 LDAPS** 섹션으로 이동합니다.

1. **활성화**를 선택합니다. 이 옵션을 사용할 수 없는 경우, 유효한 인증서가 성공적으로 등록되었는지 확인한 다음 다시 시도하세요.

1. **클라이언트 측 LDAPS 활성화** 대화 상자에서 **활성화**를 선택합니다.

**방법 2: Directory Service (AWS CLI)에서 클라이언트 측 LDAPS를 활성화하려면**
+ 다음 명령을 실행합니다.

  ```
  aws ds enable-ldaps --directory-id your_directory_id --type Client
  ```

### LDAPS 상태 확인
<a name="step4-check-status-ldap-client-side"></a>

다음 방법 중 하나를 사용하여 LDAPS 상태를 확인합니다 Directory Service.

**방법 1: Directory Service (AWS Management Console)에서 LDAPS 상태 확인**

1. **Directory details(디렉터리 세부 정보)** 페이지의 **클라이언트측 LDAPS** 섹션으로 이동합니다.

1. 상태 값이 **활성화됨**으로 표시되면 LDAPS가 성공적으로 구성된 것입니다.

**방법 2: Directory Service (AWS CLI)에서 LDAPS 상태 확인**
+ 다음 명령을 실행합니다. 상태 값이 `Enabled`을 반환하면 LDAPS가 성공적으로 구성된 것입니다.

  ```
  aws ds describe-ldaps-settings –directory-id your_directory_id
  ```

클라이언트 측 LDAPS 인증서 보기, LDAPS 인증서 등록 취소 또는 비활성화에 대한 자세한 내용은 [클라이언트 측 LDAPS 관리](manage-ldap-client-side.md)을 참조하세요.

# 클라이언트 측 LDAPS 관리
<a name="manage-ldap-client-side"></a>

LDAPS 구성을 관리하려면 다음 명령을 사용합니다.

두 가지 방법을 사용하여 클라이언트 측 LDAPS 설정을 관리할 수 있습니다. AWS Management Console 메서드 또는 AWS CLI 메서드를 사용할 수 있습니다.

## 인증서 세부 정보 보기
<a name="describe-a-certificate-ldap-client-side"></a>

다음 방법 중 하나를 사용하여 인증서가 만료되도록 설정된 시기를 확인합니다.

**방법 1: Directory Service (AWS Management Console)에서 인증서 세부 정보를 보는 방법**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. 디렉터리에 대한 디렉터리 ID 링크를 선택합니다.

1. **디렉터리 세부 정보** 페이지에서 **네트워킹 및 보안** 탭을 선택합니다.

1. **클라이언트 측 LDAPS** 섹션의 **CA 인증서** 아래에 인증서에 대한 정보가 표시됩니다.

**방법 2: Directory Service (AWS CLI)에서 인증서 세부 정보를 보는 방법**
+ 다음 명령을 실행합니다. 인증서 ID의 경우 `register-certificate` 또는 `list-certificates`에서 반환한 식별자를 사용합니다.

  ```
  aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
  ```

## 인증서 등록 취소
<a name="dergister-a-certificate-ldap-client-side"></a>

다음 방법 중 하나를 사용하여 인증서 등록을 취소합니다.

**참고**  
인증서가 하나만 등록된 경우 먼저 LDAPS를 비활성화해야 인증서의 등록을 취소할 수 있습니다.

**방법 1: Directory Service (AWS Management Console)에서 인증서 등록 취소**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. 디렉터리에 대한 디렉터리 ID 링크를 선택합니다.

1. **디렉터리 세부 정보** 페이지에서 **네트워킹 및 보안** 탭을 선택합니다.

1. **클라이언트 측 LDAPS** 섹션에서 **작업**을 선택한 다음 **인증서 등록 취소**를 선택합니다.

1. **CA 인증서 등록 취소** 대화 상자에서 **등록 취소**를 선택합니다.

**방법 2: Directory Service (AWS CLI)에서 인증서 등록 취소**
+ 다음 명령을 실행합니다. 인증서 ID의 경우 `register-certificate` 또는 `list-certificates`에서 반환한 식별자를 사용합니다.

  ```
  aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
  ```

## 클라이언트 측 LDAPS 비활성화
<a name="disable-client-side-ldaps"></a>

다음 방법 중 하나를 사용하여 클라이언트 측 LDAPS를 비활성화합니다.

**방법 1: Directory Service (AWS Management Console)에서 클라이언트 측 LDAPS를 비활성화하려면**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. 디렉터리에 대한 디렉터리 ID 링크를 선택합니다.

1. **디렉터리 세부 정보** 페이지에서 **네트워킹 및 보안** 탭을 선택합니다.

1. **클라이언트 측 LDAPS** 섹션에서 **비활성화**를 선택합니다.

1. **클라이언트 측 LDAPS 비활성화** 대화 상자에서 **비활성화**를 선택합니다.

**방법 2: Directory Service (AWS CLI)에서 클라이언트 측 LDAPS를 비활성화하려면**
+ 다음 명령을 실행합니다.

  ```
  aws ds disable-ldaps --directory-id your_directory_id --type Client
  ```

# 스마트 카드와 함께 사용할 수 있도록 AD 커넥터에서 mTLS 인증 활성화
<a name="ad_connector_clientauth"></a>

스마트 카드를 이용한 인증서 기반 상호 전송 계층 보안(MTL) 인증을 사용하여 자체 관리형 Active Directory(AD) 및 AD Connector를 통해 Amazon WorkSpaces에 사용자를 인증할 수 있습니다. 활성화되면 사용자는 WorkSpaces 로그인 화면에서 스마트 카드를 선택하고 사용자 이름과 암호를 사용하는 대신 PIN을 입력하여 인증합니다. 여기에서 Windows 또는 Linux 가상 데스크톱은 스마트 카드를 사용하여 기본 데스크톱 OS에서 AD에 인증합니다.

**참고**  
AD Connector의 스마트 카드 인증은 다음 AWS 리전에서만 사용할 수 있으며 WorkSpaces와 함께만 사용할 수 있습니다. 현재 다른 AWS 애플리케이션은 지원되지 않습니다.  
미국 동부(버지니아 북부)
미국 서부(오레곤)
아시아 태평양(시드니)
아시아 태평양(도쿄)
유럽(아일랜드)
AWS GovCloud(미국 서부)
AWS GovCloud(미국 동부)

인증서를 등록 취소하고 비활성화할 수도 있습니다.

**Topics**
+ [

## 사전 조건
](#prereqs-clientauth)
+ [

## 스마트 카드 인증 활성화
](#enable-clientauth)
+ [

# 스마트 카드 인증 설정 관리
](manage-clientauth.md)

## 사전 조건
<a name="prereqs-clientauth"></a>

Amazon WorkSpaces 클라이언트용 스마트 카드를 사용하여 인증서 기반 상호 전송 계층 보안(mTLS) 인증을 활성화하려면 자체 관리형 Active Directory와 통합된 운영 스마트 카드 인프라가 필요합니다. Amazon WorkSpaces 및 Active Directory를 사용하여 스마트 카드 인증을 설정하는 방법에 대한 자세한 내용은 [Amazon WorkSpaces 관리 설명서](https://docs.aws.amazon.com/workspaces/latest/adminguide/smart-cards.html)를 참조하세요.

WorkSpaces에 스마트 카드 인증을 활성화하기 전에 다음 전제 조건을 검토하세요.
+ [CA 인증서 요구 사항](#ca-cert)
+ [사용자 인증서 요구 사항](#user-cert)
+ [인증서 해지 확인 프로세스](#ocsp)
+ [고려 사항](#other)

### CA 인증서 요구 사항
<a name="ca-cert"></a>

AD Connector에는 스마트 카드 인증을 위해 사용자 인증서 발급자를 나타내는 인증 기관(CA) 인증서가 필요합니다. AD Connector는 CA 인증서를 사용자가 스마트 카드로 제시한 인증서와 일치시킵니다. 다음 CA 인증서 요구 사항에 유의하세요.
+ CA 인증서를 등록할 수 있으려면 만료일까지 90일 이상 남아 있어야 합니다.
+  CA 인증서는 PEM(Privacy-Enhanced Mail) 형식이어야 합니다. Active Directory 내부에서 CA 인증서를 내보내는 경우 내보내기 파일 형식으로 Base64로 인코딩된 X.509(.CER)를 선택합니다.
+ 스마트 카드 인증이 성공하려면 발급하는 CA에서 사용자 인증서로 연결되는 모든 루트 및 중간 CA 인증서를 업로드해야 합니다.
+ AD Connector 디렉터리당 최대 100개의 CA 인증서를 저장할 수 있습니다
+ AD Connector는 CA 인증서에 대한 RSASSA-PSS 서명 알고리즘을 지원하지 않습니다.
+ 인증서 전파 서비스가 자동 및 실행으로 설정되어 있는지 확인합니다.

### 사용자 인증서 요구 사항
<a name="user-cert"></a>

다음은 사용자 인증서에 대한 몇 가지 요구 사항입니다.
+  사용자의 스마트 카드 인증서에는 사용자 userPrincipalName(UPN)의 주체 대체 이름(SAN)이 있습니다.
+ 사용자의 스마트 카드 인증서에는 스마트 카드 로그온(1.3.6.1.4.1.311.20.2.2) 클라이언트 인증(1.3.6.1.5.5.7.3.2)을 위한 향상된 키 사용이 포함되어 있습니다.
+ 사용자의 스마트 카드 인증서에 대한 온라인 인증서 상태 프로토콜(OCSP) 정보는 기관 정보 액세스에서 ‘액세스 방법=온라인 인증서 상태 프로토콜(1.3.6.1.5.5.7.48.1)’로 되어 있어야 합니다.

AD 커넥터 및 스마트 카드 인증 요구 사항에 대한 자세한 내용은 *Amazon WorkSpaces 관리 안내서*의 [요구 사항](https://docs.aws.amazon.com//workspaces/latest/adminguide/smart-cards.html#smart-cards-requirements)을 참조하세요. Amazon WorkSpaces 문제를 해결하는 데 도움이 필요하면 *Amazon WorkSpaces 사용 설명서*의 [WorkSpaces 클라이언트 문제 해결을](https://docs.aws.amazon.com//workspaces/latest/userguide/client_troubleshooting.html) 참조하세요.

### 인증서 해지 확인 프로세스
<a name="ocsp"></a>

스마트 카드 인증을 수행하려면 AD Connector가 OCSP(온라인 인증서 상태 프로토콜)를 사용하여 사용자 인증서의 해지 상태를 확인해야 합니다. 인증서 해지 확인을 수행하려면 OCSP 응답자 URL이 인터넷에서 액세스할 수 있어야 합니다. DNS 이름을 사용하는 경우 OCSP 응답자 URL은 IANA([인터넷 할당 번호 기관) 루트 영역 데이터베이스)](https://www.iana.org/domains/root/db)에 있는 최상위 도메인을 사용해야 합니다.

**참고**  
2025년 10월 7일 이후에 생성된 디렉터리에서는 SmartCard 인증서 검증에 사용되는 OCSP 서버를 VPC의 네트워크 구성을 통해 라우팅할 수 있어야 합니다. VPC의 라우팅 테이블, 보안 그룹 및 네트워크 ACLs을 통해 OCSP 서버에 액세스할 수 없는 경우 인증서 해지 확인 중에 SmartCard 인증이 실패합니다. 이 문제를 해결하려면 다음을 확인하세요.  
네트워크 라우팅: VPC 라우팅 테이블을 사용하면 AD Connector 디렉터리 인스턴스가 배포된 서브넷에서 트래픽이 OCSP 서버에 도달할 수 있습니다.
보안 그룹: 디렉터리의 네트워크 인터페이스와 연결된 보안 그룹은 포트 80(HTTP)에서 OCSP 서버로의 아웃바운드 트래픽을 허용합니다.
네트워크 ACLs: 서브넷 네트워크 ACLs OCSP 서버와의 양방향 트래픽을 허용합니다.
인터넷 게이트웨이/NAT: OCSP 서버가 인터넷에 연결되어 있는 경우 VPC에 디렉터리 서브넷에 대한 적절한 인터넷 게이트웨이 또는 NAT 게이트웨이 구성이 있는지 확인합니다. 네트워크 유형이 IPv4인 경우 VPC로 NAT 및 인터넷 게이트웨이를 구성해야 합니다.

AD Connector 인증서 해지 확인에서는 다음 프로세스를 사용합니다.
+ AD Connector는 OCSP 응답자 URL에 대한 사용자 인증서의 AIA(기관 정보 액세스) 확장을 확인해야 합니다. 그러면 AD Connector는 URL을 사용하여 해지를 확인합니다.
+ AD Connector가 사용자 인증서 AIA 확장에 있는 URL을 확인할 수 없거나 사용자 인증서에서 OCSP 응답자 URL을 찾을 수 없는 경우 AD Connector는 루트 CA 인증서 등록 중에 제공된 선택적 OCSP URL을 사용합니다.

  사용자 인증서 AIA 확장의 URL이 확인되지만 응답하지 않는 경우 사용자 인증이 실패합니다.
+ 루트 CA 인증서 등록 중에 제공된 OCSP 응답자 URL이 확인되지 않거나 응답하지 않거나 제공된 OCSP 응답자 URL이 없는 경우 사용자 인증이 실패합니다.
+ OCSP 서버는 [RFC 6960](https://datatracker.ietf.org/doc/html/rfc6960)을 준수해야 합니다. 또한 OCSP 서버는 GET 메서드를 사용하여 총 255바이트 이하의 요청을 지원해야 합니다.

**참고**  
AD Connector에는 OCSP 응답자 URL에 대한 **HTTP** URL이 필요합니다.

### 고려 사항
<a name="other"></a>

AD Connector에서 스마트 카드 인증을 사용하도록 설정하기 전에 다음 항목을 고려하세요.
+ AD Connector는 인증서 기반 상호 전송 계층 보안 인증(상호 TLS)을 사용하여 하드웨어 또는 소프트웨어 기반 스마트 카드 인증서를 사용하여 Active Directory에 사용자를 인증합니다. 현재는 CAC(일반 액세스 카드) 및 PIV(개인 신원 확인) 카드만 지원됩니다. 다른 유형의 하드웨어 또는 소프트웨어 기반 스마트 카드는 작동할 수 있지만, WorkSpaces 스트리밍 프로토콜과 함께 사용할 수 있도록 테스트되지는 않았습니다.
+ 스마트 카드 인증은 WorkSpaces에 대한 사용자 이름 및 암호 인증을 대체합니다.

  스마트 카드 인증이 활성화된 AD Connector 디렉터리에 다른 AWS 애플리케이션이 구성된 경우 해당 애플리케이션에는 여전히 사용자 이름 및 암호 입력 화면이 표시됩니다.
+ 스마트 카드 인증을 활성화하면 사용자 세션 길이가 Kerberos 서비스 티켓의 최대 수명으로 제한됩니다. 그룹 정책을 사용하여 이 설정을 구성할 수 있으며 기본적으로 10시간으로 설정되어 있습니다. 이 설정에 대한 자세한 내용은 [Microsoft 설명서](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-lifetime-for-service-ticket)를 참조하세요.
+ AD Connector 서비스 계정의 지원되는 Kerberos 암호화 유형은 도메인 컨트롤러에서 지원하는 각 Kerberos 암호화 유형과 일치해야 합니다.

## 스마트 카드 인증 활성화
<a name="enable-clientauth"></a>

AD Connector의 WorkSpaces에 대한 스마트 카드 인증을 활성화하려면 먼저 CA(인증 기관) 인증서를 AD Connector로 가져와야 합니다. AWS Directory Service 콘솔, [API](https://docs.aws.amazon.com/directoryservice/latest/devguide/welcome.html) 또는 [CLI](https://docs.aws.amazon.com/cli/latest/reference/ds/index.html)를 사용하여 CA 인증서를 AD Connector로 가져올 수 있습니다. 다음과 같은 단계를 사용하여 CA 인증서를 가져온 다음 스마트 카드 인증을 활성화합니다.

**Topics**
+ [

### AD 커넥터 서비스 계정에 대해 Kerberos 제한된 위임 활성화
](#step1)
+ [

### AD 커넥터에 CA 인증서 등록
](#step2)
+ [

### 지원되는 AWS 애플리케이션 및 서비스에 스마트 카드 인증 활성화
](#step3)

### AD 커넥터 서비스 계정에 대해 Kerberos 제한된 위임 활성화
<a name="step1"></a>

AD Connector를 통한 스마트 카드 인증을 사용하려면 자체 관리형 AD 디렉터리의 LDAP 서비스에 대한 AD Connector 서비스 계정에 대해 **Kerberos 제한된 위임(KCD)**을 사용하도록 설정해야 합니다.

Kerberos 제한된 위임은 Windows Server의 새 기능입니다. 이 기능은 관리자에게 애플리케이션 서비스가 사용자 대신 작동할 수 있는 범위를 제한하도록 하여 애플리케이션의 신뢰 경계를 지정하고 시행하도록 지원합니다. 자세한 내용은 [Kerbero 제한된 위임](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_key_concepts_kerberos.html)을 참조하세요.
**참고**  
**Kerberos 제한된 위임(KCD)**을 사용하려면 AD Connector 서비스 계정의 사용자 이름 부분이 동일한 사용자의 SAMAccountName과 일치해야 합니다. SAMAccountName은 20자로 제한됩니다. samAccountName은 이전 버전의 Windows 클라이언트 및 서버의 로그인 이름으로 사용되는 Microsoft Active Directory 속성입니다.

1. `SetSpn` 명령을 사용하여 자체 관리형 AD에서 AD Connector 서비스 계정의 SPN(서비스 보안 주체 이름)을 설정합니다. 이렇게 하면 서비스 계정을 위임 구성에 사용할 수 있습니다.

   SPN은 모든 서비스 또는 이름 조합일 수 있지만, 기존 SPN과 중복될 수는 없습니다. `-s`에서는 중복이 있는지 확인합니다.

   ```
   setspn -s my/spn service_account
   ```

1. **AD 사용자 및 컴퓨터**에서 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 연 다음 AD Connector 서비스 계정을 선택하고 **Properties(속성)**을 선택합니다.

1. **Delegation(위임)** 탭을 선택합니다.

1. **지정된 서비스에만 위임할 수 있도록 이 사용자를 신뢰**를 선택하고 **모든 인증 프로토콜 사용** 옵션을 선택합니다.

1. **추가**를 선택한 다음 **사용자 또는 컴퓨터**를 선택하여 도메인 컨트롤러를 찾습니다.

1. **확인**을 선택하면 위임에 사용할 수 있는 서비스 목록이 표시됩니다.

1. **ldap** 서비스 역할 유형을 선택한 후 **확인**을 선택합니다.

1. **확인**을 선택하여 새 구성을 저장합니다.

1. Active Directory의 다른 도메인 컨트롤러에 대해서도 이 프로세스를 반복합니다. PowerShell을 사용하여 프로세스를 자동화할 수도 있습니다.

### AD 커넥터에 CA 인증서 등록
<a name="step2"></a>

다음 방법 중 하나를 사용하여 AD Connector 디렉터리의 CA 인증서를 등록합니다.

**방법 1: AD Connector(AWS Management Console)에서 인증서를 등록하려면**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. 디렉터리에 대한 디렉터리 ID 링크를 선택합니다.

1. **디렉터리 세부 정보** 페이지에서 **네트워킹 및 보안** 탭을 선택합니다.

1. **스마트 카드 인증** 섹션에서 **작업**을 선택한 다음 **인증서 등록을** 선택합니다.

1. **인증서 등록** 대화 상자에서 **파일 선택**을 선택한 다음 인증서를 선택하고 **열기**를 선택합니다. OCSP(온라인 인증서 상태 프로토콜) 응답자 URL을 제공하여 이 인증서에 대한 해지 확인을 수행하도록 선택할 수도 있습니다. OCSP에 대한 자세한 내용은 [인증서 해지 확인 프로세스](#ocsp) 단원을 참조하세요.

1. **인증서 등록**을 선택합니다. 인증서 상태가 **등록**으로 변경되면 등록 프로세스가 성공적으로 완료된 것입니다.

**방법 2: AD Connector(AWS CLI)에서 CA 인증서를 등록하려면**
+ 다음 명령을 실행합니다. 인증서 데이터의 경우 CA 인증서 파일의 위치를 가리킵니다. 보조 OCSP 응답자 주소를 제공하려면 선택적 `ClientCertAuthSettings` 객체를 사용합니다.

  ```
  aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path --type ClientCertAuth --client-cert-auth-settings OCSPUrl=http://your_OCSP_address
  ```

  성공하면 응답은 인증서 ID를 제공합니다. 다음 CLI 명령을 실행하여 CA 인증서가 성공적으로 등록되었는지 확인할 수도 있습니다.

  ```
  aws ds list-certificates --directory-id your_directory_id
  ```

  상태 값이 `Registered`를 반환하면 인증서가 성공적으로 등록된 것입니다.

### 지원되는 AWS 애플리케이션 및 서비스에 스마트 카드 인증 활성화
<a name="step3"></a>

다음 방법 중 하나를 사용하여 AD Connector 디렉터리의 CA 인증서를 등록할 수 있습니다.

**방법 1: AD Connector(AWS Management Console) 에서 스마트 카드 인증을 활성화하려면**

1. **디렉터리 세부 정보** 페이지의 **스마트 카드 인증** 섹션으로 이동한 다음 **활성화**를 선택합니다. 이 옵션을 사용할 수 없는 경우, 유효한 인증서가 성공적으로 등록되었는지 확인한 다음 다시 시도하세요.

1. **스마트 카드 인증 활성화** 대화 상자에서 **활성화**를 선택합니다.

**방법 2: AD Connector(AWS CLI)에서 스마트 카드 인증을 활성화하려면**
+ 다음 명령을 실행합니다.

  ```
  aws ds enable-client-authentication --directory-id your_directory_id --type SmartCard
  ```

  성공하면 AD Connector는 HTTP 본문이 비어 있는 `HTTP 200` 응답을 반환합니다.

인증서 보기, 인증서 등록 취소 또는 비활성화에 대한 자세한 내용은 [스마트 카드 인증 설정 관리](manage-clientauth.md)을 참조하세요.

# 스마트 카드 인증 설정 관리
<a name="manage-clientauth"></a>

두 가지 방법을 사용하여 스마트 카드 설정을 관리할 수 있습니다. AWS Management Console 메서드 또는 AWS CLI 메서드를 사용할 수 있습니다.

**Topics**
+ [

## 인증서 세부 정보 보기
](#describe-a-certificate-clientauth)
+ [

## 인증서 등록 취소
](#dergister-a-certificate-clientauth)
+ [

## 스마트 카드 인증 비활성화
](#disable-smart-card-clientauth)

## 인증서 세부 정보 보기
<a name="describe-a-certificate-clientauth"></a>

다음 방법 중 하나를 사용하여 인증서가 만료되도록 설정된 시기를 확인합니다.

**방법 1: Directory Service (AWS Management Console)에서 인증서 세부 정보를 보는 방법**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. AD Connector 디렉터리에 대한 디렉터리 ID 링크를 선택합니다.

1. **디렉터리 세부 정보** 페이지에서 **네트워킹 및 보안** 탭을 선택합니다.

1. **스마트 카드 인증** 섹션의 **CA 인증서**에서 인증서 ID를 선택하여 해당 인증서에 대한 세부 정보를 표시합니다.

**방법 2: Directory Service (AWS CLI)에서 인증서 세부 정보를 보는 방법**
+ 다음 명령을 실행합니다. 인증서 ID의 경우 `register-certificate` 또는 `list-certificates`에서 반환한 식별자를 사용합니다.

  ```
  aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
  ```

## 인증서 등록 취소
<a name="dergister-a-certificate-clientauth"></a>

다음 방법 중 하나를 사용하여 인증서 등록을 취소합니다.

**참고**  
인증서가 하나만 등록된 경우 먼저 스마트 카드 인증을 비활성화해야 인증서의 등록을 취소할 수 있습니다.

**방법 1: Directory Service (AWS Management Console)에서 인증서 등록 취소**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. AD Connector 디렉터리에 대한 디렉터리 ID 링크를 선택합니다.

1. **디렉터리 세부 정보** 페이지에서 **네트워킹 및 보안** 탭을 선택합니다.

1. **스마트 카드 인증** 섹션의 **CA 인증서**에서 등록 취소하려는 인증서를 선택하고 **작업**을 선택한 다음 **인증서 등록 취소**를 선택합니다.
**중요**  
등록 취소하려는 인증서가 활성 상태가 아니거나 현재 스마트 카드 인증을 위한 CA 인증서 체인의 일부로 사용되고 있는지 확인하세요.

1. **CA 인증서 등록 취소** 대화 상자에서 **등록 취소**를 선택합니다.

**방법 2: Directory Service (AWS CLI)에서 인증서 등록 취소**
+ 다음 명령을 실행합니다. 인증서 ID의 경우 `register-certificate` 또는 `list-certificates`에서 반환한 식별자를 사용합니다.

  ```
  aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
  ```

## 스마트 카드 인증 비활성화
<a name="disable-smart-card-clientauth"></a>

다음 방법 중 하나를 사용하여 스마트 카드 인증을 비활성화합니다.

**방법 1: Directory Service (AWS Management Console)에서 스마트 카드 인증을 비활성화하려면**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. AD Connector 디렉터리에 대한 디렉터리 ID 링크를 선택합니다.

1. **디렉터리 세부 정보** 페이지에서 **네트워킹 및 보안** 탭을 선택합니다.

1. **스마트 카드 인증** 섹션에서 **비활성화**를 선택합니다.

1. **스마트 카드 인증 비활성화** 대화 상자에서 **비활성화**를 선택합니다.

**방법 2: Directory Service (AWS CLI)에서 스마트 카드 인증을 비활성화하려면**
+ 다음 명령을 실행합니다.

  ```
  aws ds disable-client-authentication --directory-id your_directory_id --type SmartCard
  ```

# 에서 AD Connector 서비스 계정 자격 증명 업데이트 AWS Management Console
<a name="ad_connector_update_creds"></a>

에서 제공하는 AD Connector 자격 증명은 기존 온프레미스 디렉터리에 액세스하는 데 사용되는 서비스 계정을 Directory Service 나타냅니다. 다음 단계를 Directory Service 수행하여에서 서비스 계정 자격 증명을 수정할 수 있습니다.

**참고**  
디렉터리에 AWS IAM Identity Center 가 활성화된 경우 현재 서비스 계정에서 새 서비스 계정으로 서비스 보안 주체 이름(SPN)을 전송해야 Directory Service 합니다. 현재 서비스 계정에 SPN을 삭제할 수 있는 권한이 없거나 새 서비스 계정에 SPN을 추가할 수 있는 권한이 없는 경우에는 두 작업을 수행하기 위한 권한을 가진 디렉터리 계정에 대한 자격 증명이 화면에 나타납니다. 이 자격 증명은 SPN을 전달하는 용도로만 사용되며, 서비스에 저장되지 않습니다.

**에서 AD Connector 서비스 계정 자격 증명을 업데이트하려면 Directory Service**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창의 **Active Directory**에서 **디렉터리**를 선택합니다.

1. 디렉터리에 대한 디렉터리 ID 링크를 선택합니다.

1. **디렉터리 세부 정보** 페이지에서 아래로 스크롤하여 **서비스 계정 보안 인증** 섹션으로 이동합니다.

1. **서비스 계정 자격 증명** 섹션에서 **업데이트**를 선택합니다.

1. **서비스 계정 보안 인증 정보 업데이트** 대화 상자에 서비스 계정 사용자 이름과 암호를 입력합니다. 암호를 다시 입력하여 확인한 다음 **업데이트를** 선택합니다.

# AD용 AWS Private CA 커넥터 설정
<a name="ad_connector_pca_connector"></a>

AD Connector를 AWS Private Certificate Authority 사용하여 자체 관리형 Active Directory를와 통합하여 AD 도메인에 조인된 사용자, 그룹 및 시스템에 대한 인증서를 발급하고 관리할 수 있습니다. AWS Private CA AD용 커넥터는 로컬 에이전트 또는 프록시 서버를 배포, 패치 또는 업데이트할 필요 없이 자체 관리형 엔터프라이즈 CAs에 대한 드롭인 대체 AWS Private CA 로 완전 관리형를 제공합니다.

콘솔, AD용 AWS Private CA 커넥터 콘솔 또는 [https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API-CreateTemplate.html](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API-CreateTemplate.html) API를 호출하여이 통합을 Directory Service 설정할 수 있습니다. Active Directory용 AWS Private CA 커넥터 콘솔을 사용하려면 [AWS Private CA Active Directory용 커넥터를](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad.html) 참조하세요. 다음 섹션에서는 Directory Service 콘솔에서 이 통합을 설정하는 방법을 설명합니다.

## 사전 조건
<a name="ad_connector_pca_connector_pre-reqs"></a>

설정 지침은 [AD용 커넥터 사용 설명서의 AD용 커넥터 설정을](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad-getting-started-prerequisites.html) 참조하세요. AWS Private CA 

## AD용 AWS Private CA 커넥터 설정
<a name="ad_connector_pca_connector_set_up"></a>

**Active Directory용 프라이빗 CA 커넥터를 생성하는 방법**

1. 에 로그인 AWS Management Console 하고에서 Directory Service 콘솔을 엽니다[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).

1. [**Directories**] 페이지에서 디렉터리 ID를 선택합니다.

1. **애플리케이션 관리** 탭과 **AWS 앱 및 서비스** 섹션에서 **AD용AWS Private CA 커넥터를** 선택합니다.

1. **Active Directory용 프라이빗 CA 인증서 생성** 페이지에서 Active Directory Connector용 프라이빗 CA 생성 단계를 완료합니다.

자세한 내용은 [커넥터 생성](https://docs.aws.amazon.com/privateca/latest/userguide/create-connector-for-ad.html)을 참조하세요.

## AD용 AWS Private CA 커넥터 보기
<a name="ad_connector_pca_connector_view"></a>

**프라이빗 CA 커넥터 세부 정보를 보는 방법**

1. 에 로그인 AWS Management Console 하고에서 Directory Service 콘솔을 엽니다[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).

1. [**Directories**] 페이지에서 디렉터리 ID를 선택합니다.

1. **애플리케이션 관리** 탭과 **AWS 앱 및 서비스** 섹션에서 프라이빗 CA 커넥터 및 연결된 프라이빗 CA를 확인합니다. 다음 필드가 표시됩니다.

   1. **AWS Private CA 커넥터 ID** - AWS Private CA 커넥터의 고유 식별자입니다. 세부 정보 페이지를 보려면 선택합니다.

   1. **AWS Private CA 제목** - CA의 고유 이름에 대한 정보입니다. 세부 정보 페이지를 보려면 선택합니다.

   1. **상태** - AWS Private CA 커넥터 및 AWS Private CA다음에 대한 상태 확인 결과입니다.
      + **활성** - 두 검사 모두 통과
      + **1/2 검사 실패** - 하나의 검사 실패
      + **실패** - 두 검사 모두 실패

      실패 상태의 세부 정보를 보려면 하이퍼링크에 마우스를 대고 실패한 검사를 확인합니다.

   1. **DC 인증서 등록 상태** - 도메인 컨트롤러 인증서 상태 검사:
      + **활성화됨** - 인증서 등록이 활성화됨
      + **비활성화됨** - 인증서 등록이 비활성화됨

   1. **생성 날짜** - AWS Private CA 커넥터가 생성된 시간입니다.

자세한 내용은 [커넥터 세부 정보 보기](https://docs.aws.amazon.com/privateca/latest/userguide/view-connector-for-ad.html)를 참조하세요.

## AD 사용자에게 인증서 발급 확인
<a name="ms_ad_pca_connector_confirm"></a>

다음 단계를 완료하여 AWS Private CA 가 자체 관리형 Active Directory에 인증서를 발급하는지 확인합니다.
+ 온프레미스 도메인 컨트롤러를 다시 시작합니다.
+ Microsoft Management Console을 사용하여 인증서를 봅니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in)를 참조하세요.

# AD Connector 디렉터리 모니터링
<a name="ad_connector_monitor"></a>

다양한 AD 커넥터 상태와 AD 커넥터의 의미에 대해 자세히 알아봄으로써 AD 커넥터를 최대한 활용할 수 있습니다. Amazon Simple Notification Service를 사용하여 AD 커넥터 상태에 대한 알림을 받을 수도 있습니다.

**Topics**
+ [

# 디렉터리 상태 이해
](ad_connector_directory_status.md)
+ [

# Amazon SNS를 사용하여 AD 커넥터 디렉터리 상태 알림 활성화
](ad_connector_enable_notifications.md)

# 디렉터리 상태 이해
<a name="ad_connector_directory_status"></a>

다음은 디렉터리에 대한 다양한 상태입니다.

**활성**  
디렉터리가 정상적으로 작동하고 있습니다. 디렉터리에서 Directory Service 가 어떤 문제도 탐지하지 않았습니다.

**생성 중**  
디렉터리가 현재 생성되는 중입니다. 디렉터리 생성에는 보통 20\$145분이 소요되지만, 시스템 로드에 따라 달라질 수 있습니다.

**Deleted**  
디렉터리가 삭제되었습니다. 디렉터리를 위한 모든 리소스들이 해제되었습니다. 디렉터리가 이 상태에 들어오면 복구가 불가능합니다.

**삭제 중**  
디렉터리가 현재 삭제되는 중입니다. 디렉터리는 완전히 삭제될 때까지 이 상태를 유지하게 됩니다. 디렉터리가 이 상태에 들어가면 삭제 작업을 취소할 수 없고 디렉터리를 복구할 수 없습니다.

**실패**  
디렉터리 생성이 불가능했습니다. 이 디렉터리를 삭제하세요. 이 문제가 계속되면 [AWS Support 센터](https://console.aws.amazon.com/support/home#/)에 문의하세요.

[**Impaired**]  
디렉터리가 성능 저하 상태에서 실행 중입니다. 1개 이상의 문제가 탐지되었고, 모든 디렉터리 작업이 전체 운영 용량에서 실행되지 못할 수 있습니다. 디렉터리가 이 상태가 되는 가능한 이유는 여러 가지입니다. 여기에는 패치 적용 또는 EC2 인스턴스 교체와 같은 정상적인 운영 유지 관리 활동, 도메인 컨트롤러 중 하나에서 애플리케이션에 의한 일시적 핫스팟 발생 또는 사용자가 네트워크를 변경하는 과정에서 잘못 발생한 디렉터리 통신 중단이 포함됩니다. 자세한 내용은 [AWS 관리형 Microsoft AD 문제 해결](ms_ad_troubleshooting.md), [문제 해결 AD Connector](ad_connector_troubleshooting.md) 또는 [Simple AD 문제 해결](simple_ad_troubleshooting.md) 단원을 참조하세요. 일반적인 유지 관리 관련 문제의 경우는 40분 이내에 이러한 문제를 AWS 해결합니다. 문제 해결 주제를 검토한 후 디렉터리가 40분 이상 Impaired 상태를 지속할 경우 [AWS Support 센터](https://console.aws.amazon.com/support/home#/)에 문의하는 것이 좋습니다.  
디렉터리가 Impaired 상태일 동안에는 스냅샷을 복원하지 마세요. 장애를 해결하기 위해 스냅샷 복원이 필요한 경우는 드뭅니다. 자세한 내용은 [스냅샷을 사용하여 AWS 관리형 Microsoft AD 복원](ms_ad_snapshots.md) 단원을 참조하십시오.

**Inoperable**  
디렉터리가 작동하지 않습니다. 모든 디렉터리 엔드포인트가 문제를 보고했습니다.

[**Requested**]  
디렉터리를 생성하라는 요청이 현재 보류 중입니다.

# Amazon SNS를 사용하여 AD 커넥터 디렉터리 상태 알림 활성화
<a name="ad_connector_enable_notifications"></a>

Amazon Simple Notification Service(Amazon SNS)를 사용하면 디렉터리 상태가 바뀔 때 이메일 또는 텍스트(SMS) 메시지를 수신할 수 있습니다. 디렉터리 상태가 활성 상태에서 [손상됨 또는 작동 불가 상태](ad_connector_directory_status.md)로 바뀌면 알림을 받게 됩니다. 디렉터리가 Active 상태로 돌아갈 때도 알림을 받게 됩니다.

## 작동 방식
<a name="ds_sns_overview"></a>

Amazon SNS는 "주제"를 사용해 메시지를 수집 및 배포합니다. 각 주제마다 1명 이상의 구독자가 해당 주제에 게시된 메시지를 수신합니다. 아래 단계를 사용하여 Amazon SNS 주제에 Directory Service 게시자로를 추가할 수 있습니다. 가 디렉터리의 상태 변경을 Directory Service 감지하면 해당 주제에 메시지를 게시한 다음 주제의 구독자에게 전송됩니다.

여러 디렉터리를 게시자로서 단일 주제에 연결할 수 있습니다. Amazon SNS에서 이전에 생성했던 주제에 디렉터리 상태 메시지를 추가할 수도 있습니다. 주제를 게시하거나 구독할 수 있는 사람을 세부적으로 제어할 수 있습니다. Amazon SNS에 대한 전체 내용은 [Amazon SNS란 무엇인가요?](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) 단원을 참조하세요.

**디렉터리에 대해 SNS 메시지를 활성화하는 방법**

1. 에 로그인 AWS Management Console 하고 [Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/)을 엽니다.

1.  [**Directories**] 페이지에서 디렉터리 ID를 선택합니다.

1. **유지 관리** 탭을 선택합니다.

1. **디렉터리 모니터링** 섹션에서 **작업**을 선택한 후 **알림 생성**을 선택합니다.

1. **알림 생성** 페이지에서 **Choose a notification type(알림 유형 선택)**을 선택한 후 **새 알림 생성**을 선택합니다. 또는, 기존 SNS 주제를 이미 가지고 있는 경우 **기존 SNS 주제 연결**을 선택하여 이 디렉터리에서 해당 주제로 상태 메시지를 전송할 수 있습니다.
**참고**  
**새 알림 생성**을 선택하지만, 이미 존재하는 SNS 주제에 대해 동일한 주제 이름을 사용하는 경우에는 Amazon SNS가 새 주제를 생성하지 않고 기존 주제에 새 구독 정보를 추가만 합니다.  
**기존 SNS 주제 연결**을 선택하는 경우 디렉터리와 동일한 리전에 있는 SNS 주제만 선택할 수 있습니다.

1. **수신자 유형**을 선택하고 **수신자** 연락처 정보를 입력합니다. SMS에 사용할 전화 번호를 입력할 때는 숫자만 사용합니다. 대시, 공백, 괄호를 사용하지 마세요.

1. (선택 사항) 주제 이름과 SNS 표시 이름을 제공합니다. 표시 이름은 이 주제에서 모든 SMS 메시지에 포함시킬 짧은 이름(최대 10자)입니다. SMS 옵션을 사용할 때 표시 이름이 필요합니다.
**참고**  
[DirectoryServiceFullAccess](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/role_ds_full_access.html) 관리형 정책만 가진 IAM 사용자나 역할을 이용해 로그인하는 경우 주제 이름이 "DirectoryMonitoring"으로 시작해야 합니다. 사용자가 주제 이름을 추가로 정의하고 싶으면 SNS에 대한 추가 권한이 필요합니다.

1. **생성(Create)**을 선택합니다.

추가 이메일 주소, Amazon SQS 대기열 또는 같은 추가 SNS 구독자를 지정하려는 경우 [Amazon SNS 콘솔](https://console.aws.amazon.com//sns/v3/home.)에서이 작업을 수행할 AWS Lambda수 있습니다.

**주제에서 디렉터리 상태 메시지를 삭제하는 방법**

1. 에 로그인 AWS Management Console 하고 [Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/)을 엽니다.

1.  [**Directories**] 페이지에서 디렉터리 ID를 선택합니다.

1. **유지 관리** 탭을 선택합니다.

1. **디렉터리 모니터링** 섹션의 목록에서 SNS 주제 이름을 선택하고 **작업**을 선택한 후 **제거**를 선택합니다.

1. **** 제거를 선택합니다.

이렇게 하면 선택한 SNS 주제에 대한 게시자 역할을 하는 디렉터리가 삭제됩니다. 전체 주제를 삭제하려면 [Amazon SNS 콘솔](https://console.aws.amazon.com/sns/v3/home.)에서 이를 수행할 수 있습니다.

**참고**  
디렉터리가 해당 주제에 상태 메시지를 전송하고 있지 않아야만 SNS 콘솔을 이용해 Amazon SNS 주제를 삭제할 수 있습니다.  
SNS 콘솔을 사용해 Amazon SNS 주제를 삭제하면 이러한 변경이 Directory Services 콘솔 내에 즉각 반영되지 않습니다. 디렉터리의 **모니터링** 탭에서 주제를 찾을 수 없음을 알리는 상태 업데이트를 확인한 경우에는 다음 번에 디렉터리가 삭제된 주제에 알림을 게시할 때만 알림을 받게 됩니다.  
따라서 중요한 디렉터리 상태 메시지가 누락되지 않도록 하려면 메시지를 수신하는 주제를 삭제하기 전에 디렉터리를 다른 Amazon SNS 주제와 Directory Service연결합니다.

# AD Connector에서 AWS 애플리케이션 및 서비스에 액세스
<a name="ad_connector_manage_apps_services"></a>

연결된 Active Directory의 AWS 애플리케이션 및 서비스에 대한 AD Connector 액세스를 허용할 수 있습니다. 지원되는 애플리케이션 AWS 및 서비스는 다음과 같습니다.
+ Amazon Chime
+ Amazon WorkSpaces
+ IAM Identity Center
+ AWS Management Console

AD Connector와 연동되는 타사 애플리케이션은 없습니다.

**Topics**
+ [

# AD Connector의 애플리케이션 호환성 정책
](ad_connector_app_compatibility.md)
+ [

# AD Connector에서 AWS 애플리케이션 및 서비스에 대한 액세스 활성화
](ad_connector_enable_apps_services.md)

# AD Connector의 애플리케이션 호환성 정책
<a name="ad_connector_app_compatibility"></a>

 AWS Directory Service for Microsoft Active Directory([AWS 관리형 Microsoft AD](directory_microsoft_ad.md))의 대안으로 AD Connector는 AWS 생성된 애플리케이션 및 서비스 전용 Active Directory 프록시입니다. 지정된 Active Directory 도메인을 사용하도록 프록시를 구성합니다. 애플리케이션에서 Active Directory의 사용자 또는 그룹을 검색할 때 AD Connector에서는 디렉터리에 요청을 위임합니다. 이와 마찬가지로 사용자가 애플리케이션에 로그인하면 AD Connector에서는 디렉터리에 인증 요청을 위임합니다. AD Connector와 연동되는 타사 애플리케이션은 없습니다.

다음은 호환되는 AWS 애플리케이션 및 서비스 목록입니다.
+ Amazon Chime - 세부 지침은 [Active Directory 연결](https://docs.aws.amazon.com/chime/latest/ag/active_directory.html)을 참조하세요.
+ Amazon Connect - 자세한 내용은 [How Amazon Connect works](https://docs.aws.amazon.com/connect/latest/adminguide/what-is-amazon-connect.html#amazon-connect-fundamentals)를 참조하세요.
+ Windows 또는 Linux용 Amazon EC2 – Amazon EC2 Windows 또는 Linux의 매끄러운 Active Directory 도메인 조인 기능을 사용하여 인스턴스를 자체 관리형 Active Directory(온프레미스)에 조인할 수 있습니다. 조인되면 해당 인스턴스는 Active Directory와 직접 통신하고 AD Connector를 우회합니다. 자세한 내용은 [Amazon EC2 인스턴스를 Active Directory에 조인하는 방법](ad_connector_join_instance.md) 단원을 참조하십시오.
+ AWS Management Console - AD Connector를 사용하면 SAML 인프라를 설정하지 않고도 Active Directory 자격 증명으로 AWS Management Console 사용자를 인증할 수 있습니다. 자세한 내용은 [AWS 관리형 Microsoft AD 자격 증명을 사용하여 AWS Management Console 액세스 활성화](ms_ad_management_console_access.md) 단원을 참조하십시오.
+ 빠른 - 자세한 내용은 [Quick Enterprise Edition의 사용자 계정 관리를](https://docs.aws.amazon.com/quicksight/latest/user/managing-users-enterprise.html) 참조하세요.
+ AWS IAM Identity Center - 자세한 지침은 [IAM Identity Center를 온프레미스 Active Directory에 연결을](https://docs.aws.amazon.com/singlesignon/latest/userguide/connectawsad.html) 참조하세요.
+ AWS Transfer Family - 자세한 지침은 [Microsoft Active Directory Directory Service 용 작업을](https://docs.aws.amazon.com/transfer/latest/userguide/directory-services-users.html) 참조하세요.
+ AWS Client VPN - 자세한 지침은 [클라이언트 인증 및 권한 부여](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/authentication-authorization.html)를 참조하세요.
+ WorkDocs - 세부 지침은 [AD Connector를 사용해 온프레미스 디렉터리에 연결](https://docs.aws.amazon.com/workdocs/latest/adminguide/connect_directory_connector.html)을 참조하세요.
+ Amazon WorkMail - 세부 지침은 [Amazon WorkMail을 기존 디렉터리와 통합(표준 설정)](https://docs.aws.amazon.com/workmail/latest/adminguide/premises_directory.html)을 참조하세요.
+ WorkSpaces - 세부 지침은 [AD Connector를 사용하여 WorkSpace 시작](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspace-ad-connector.html)을 참조하세요.

**참고**  
Amazon RDS는 AWS 관리형 Microsoft AD와만 호환되며 AD 커넥터와는 호환되지 않습니다. 자세한 내용은 FAQ 페이지의 AWS 관리형 Microsoft AD 섹션을 참조하세요. [Directory Service FAQs](https://aws.amazon.com/directoryservice/faqs/#microsoft-ad) 

# AD Connector에서 AWS 애플리케이션 및 서비스에 대한 액세스 활성화
<a name="ad_connector_enable_apps_services"></a>

사용자는 AD Connector에 Amazon WorkSpaces와 같은 AWS 애플리케이션 및 서비스에 Active Directory에 대한 액세스 권한을 부여할 수 있습니다. 다음 AWS 애플리케이션 및 서비스는 AD Connector에서 작동하도록 활성화하거나 비활성화할 수 있습니다.


| AWS 애플리케이션/서비스 | 추가 정보... | 
| --- | --- | 
| Amazon Chime | 자세한 내용은 [Active Directory에 연결](https://docs.aws.amazon.com/chime/latest/ag/active_directory.html)을 참조하세요. | 
| Amazon Connect | 자세한 내용은 [Amazon Connect 관리 안내서](https://docs.aws.amazon.com/connect/latest/adminguide/what-is-amazon-connect.html)를 참조하세요. | 
| Amazon WorkDocs | 자세한 설명은 [Amazon WorkDocs 시작하기](https://docs.aws.amazon.com/workdocs/latest/adminguide/getting_started.html)를 참조하세요. | 
| Amazon WorkMail |  자세한 내용은 [조직 생성](https://docs.aws.amazon.com/workmail/latest/adminguide/add_new_organization.html)을 참조하세요.  | 
| Amazon WorkSpaces |  WorkSpaces에서 직접 Simple AD, AWS Managed Microsoft AD, AD Connector를 만들 수 있습니다. Workspace를 생성할 때 **고급 설정**을 시작하면 됩니다. 자세한 내용은 [Amazon WorkSpaces 관리 안내서](https://docs.aws.amazon.com/workspaces/latest/adminguide/)를 참조하세요.  | 
| AWS Client VPN | 자세한 내용은 [AWS Client VPN 사용 설명서](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/)를 참조하십시오. | 
| AWS IAM Identity Center | 자세한 내용은 [AWS IAM Identity Center 사용 설명서](https://docs.aws.amazon.com/singlesignon/latest/userguide/)를 참조하십시오. | 
| AWS Management Console | 자세한 내용은 [AWS 관리형 Microsoft AD 자격 증명을 사용하여 AWS Management Console 액세스 활성화](ms_ad_management_console_access.md) 단원을 참조하십시오. | 
| AWS Transfer Family | 자세한 내용은 [AWS Transfer Family 사용 설명서](https://docs.aws.amazon.com/transfer/latest/userguide/what-is-aws-transfer-family.html)를 참조하십시오. | 

일단 활성화가 되면 디렉터리에 대한 액세스 권한을 부여하고자 하는 애플리케이션 또는 서비스의 콘솔에서 디렉터리에 대한 액세스를 관리합니다. Directory Service 콘솔에서 위에 설명된 AWS 애플리케이션 및 서비스 링크를 찾으려면 다음 단계를 수행합니다.

**디렉터리에서 애플리케이션 및 서비스를 표시하는 방법**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. [**Directories**] 페이지에서 디렉터리 ID를 선택합니다.

1. **디렉터리 세부 정보** 페이지에서 **애플리케이션 관리** 탭을 선택합니다.

1. **AWS apps & services(앱 및 서비스)** 섹션에서 목록을 검토합니다.

를 사용하여 AWS 애플리케이션 및 서비스에 권한을 부여하거나 권한을 취소하는 방법에 대한 자세한 내용은 섹션을 Directory Service참조하세요[를 사용하여 AWS 애플리케이션 및 서비스에 대한 권한 부여 Directory Service](ad_manage_apps_services_authorization.md).

# Amazon EC2 인스턴스를 Active Directory에 조인하는 방법
<a name="ad_connector_join_instance"></a>

AD Connector는 클라우드에서 정보를 캐시 저장하지 않고도 온프레미스 Microsoft Active Directory로 디렉터리 요청을 리디렉션할 수 있는 디렉터리 게이트웨이입니다. Amazon EC2를 Active Directory 도메인에 조인하는 방법에 대한 자세한 내용은 다음과 같습니다.
+ 인스턴스를 시작할 경우 Amazon EC2 인스턴스를 Active Directory 도메인에 원활하게 조인할 수 있습니다. EC2 Windows 인스턴스를 AWS 관리형 Microsoft AD에 조인하는 방법에 대한 자세한 내용은 섹션을 참조하세요[AWS 관리형 Microsoft AD Active Directory에 Amazon EC2 Windows 인스턴스 조인](launching_instance.md).
+ EC2 인스턴스를 Active Directory 도메인에 수동으로 조인해야 하는 경우 적절한 AWS 리전 보안 그룹 또는 서브넷에서 인스턴스를 시작한 다음 인스턴스를 Active Directory 도메인에 조인해야 합니다.
+ 이러한 인스턴스에 원격 연결이 가능하려면 연결 중인 네트워크에서 인스턴스로의 IP 연결이 있어야 합니다. 대부분의 경우, 이를 위해서는 인터넷 게이트웨이가 Amazon VPC에 연결되고 인스턴스가 퍼블릭 IP 주소를 가지고 있어야 합니다. 인터넷 게이트웨이를 사용하여 인터넷에 연결하는 것에 대한 자세한 내용은 Amazon VPC 사용 설명서의 [인터넷 게이트웨이를 사용하여 인터넷에 연결](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html)을 참조하세요.

**참고**  
인스턴스를 자체 관리형 Active Directory (온프레미스) 에 조인하면 인스턴스가 Active Directory와 직접 통신하고 AD Connector를 우회합니다.

# AD Connector 할당량
<a name="ad_connector_limits"></a>

다음은 AD Connector의 기본 할당량입니다. 별도로 명시되지 않는 한 각 할당량은 리전별입니다.


**AD Connector 할당량**  

| Resource | 기본 할당량 | 
| --- | --- | 
| AD Connector 디렉터리 | 10 | 
| 디렉터리당 등록된 인증 기관(CA) 인증서의 최대 수 | 5 | 

# 문제 해결 AD Connector
<a name="ad_connector_troubleshooting"></a>

다음은 AD 커넥터를 생성 또는 사용할 때 발생할 수 있는 일부 일반적인 문제를 해결하는 데 도움이 될 수 있습니다.

**Topics**
+ [

## 생성 문제
](#ad_connector_creation_issues)
+ [

## 연결 문제
](#ad_connector_connectivity_issues)
+ [

## 인증 문제
](#ad_connector_auth_issues)
+ [

## 유지 관리 문제
](#ad_connector_maintenance_issues)
+ [

## AD Connector를 삭제할 수 없는 경우
](#delete_ad_connector)
+ [

## AD Connector 발행자를 조사하기 위한 일반 도구
](#ad_connector_troubleshooting_tools)

## 생성 문제
<a name="ad_connector_creation_issues"></a>

**다음은 AD 커넥터 생성 시 일반적인 문제입니다.**
+ [디렉터리를 생성할 때 "AZ Constrained" 오류 메시지가 표시됩니다.](#contrained_az2)
+ [AD 커넥터를 생성하려고 할 때 “연결 문제가 감지됨” 오류가 발생합니다.](#ad_creation_connectivity_issues)

### 디렉터리를 생성할 때 "AZ Constrained" 오류 메시지가 표시됩니다.
<a name="contrained_az2"></a>

2012년 이전에 생성된 일부 AWS 계정은 Directory Service 디렉터리를 지원하지 않는 미국 동부(버지니아 북부), 미국 서부(캘리포니아 북부) 또는 아시아 태평양(도쿄) 리전의 가용 영역에 액세스할 수 있습니다. Active Directory를 생성할 때 이와 같은 오류 메시지가 표시되면 다른 가용 영역의 서브넷을 선택하고 디렉터리를 다시 생성하세요.

### AD 커넥터를 생성하려고 할 때 “연결 문제가 감지됨” 오류가 발생합니다.
<a name="ad_creation_connectivity_issues"></a>

AD 커넥터를 생성하려고 할 때 “연결 문제 감지” 오류가 발생한 경우, 포트 가용성 또는 AD 커넥터 암호 복잡성으로 인해 오류가 발생할 수 있습니다. AD 커넥터의 연결을 테스트하여 다음 포트를 사용할 수 있는지 확인할 수 있습니다.
+ 53(DNS)
+ 88(Kerberos)
+ 389(LDAP)

 연결을 테스트하려면 [AD 커넥터 테스트](ad_connector_getting_started.md#connect_verification)을 참조하세요. 연결 테스트는 AD 커넥터의 IP 주소가 연결된 두 서브넷에 조인된 인스턴스에서 수행해야 합니다.

연결 테스트에 성공하고 인스턴스가 도메인에 조인하는 경우 AD Connector의 암호를 확인합니다. AD Connector는 AWS 암호 복잡성 요구 사항을 충족해야 합니다. 자세한 내용을 알아보려면 [AD Connector 사전 조건](ad_connector_getting_started.md#prereq_connector)의 서비스 계정을 참조하세요.

AD 커넥터가 이러한 요구 사항을 충족하지 않는 경우 이러한 요구 사항을 준수하는 암호로 AD 커넥터를 다시 생성합니다.

### ‘디렉터리를 연결하는 동안 내부 서비스 오류가 발생했습니다. 복원 작업을 다시 시도하세요.’ 수신 AD Connector 생성 시 오류 발생
<a name="internal_svc_error"></a>

이 오류는 일반적으로 AD Connector 생성에 실패하고 자체 관리형 Active Directory 도메인의 유효한 도메인 컨트롤러에 연결할 수 없는 경우 발생합니다.

**참고**  
자체 관리형 네트워크에 Active Directory 사이트가 정의된 경우 [모범 사례](ad_connector_best_practices.md#ad_connector_config_onprem)로서 다음을 확인해야 합니다.  
AD Connector가 있는 VPC 서브넷이 Active Directory 사이트에 정의됩니다.
VPC 서브넷과 다른 사이트의 서브넷 간 충돌이 없습니다.

AD Connector는 사용자의 AD 도메인 컨트롤러를 검색하기 위해 AD Connector를 포함하는 VPC의 서브넷 IP 주소 범위와 근접한 Active Directory 사이트를 사용합니다. 사이트에서 서브넷이 VPC와 동일한 IP 주소 범위를 가진 경우, AD Connector가 해당 사이트에서 도메인 컨트롤러를 검색합니다. 도메인 컨트롤러가 AD Connector가 있는 리전에 물리적으로 근접하지 않을 수 있습니다.
+ 고객 관리형 Active Directory 도메인에 생성된 DNS SRV 레코드의 불일치(이러한 레코드는 `_ldap._tcp.<DnsDomainName>` 및 `_kerberos._tcp.<DnsDomainName>` 구문 사용). 이는 AD Connector가 해당 SRV 레코드를 기반으로 유효한 도메인 컨트롤러를 찾아 연결할 수 없을 때 발생할 수 있습니다.
+ AD Connector와 고객 관리형 AD(예: 방화벽 디바이스) 간의 네트워킹 문제.

도메인 컨트롤러, DNS 서버 및 디렉터리 네트워크 인터페이스의 VPC 흐름 로그에서 [네트워크 패킷 캡처](https://techcommunity.microsoft.com/blog/iis-support-blog/capture-a-network-trace-without-installing-anything--capture-a-network-trace-of-/376503)를 사용하여 이 문제를 조사할 수 있습니다. 추가 지원이 필요한 경우 [AWS Support](https://docs.aws.amazon.com//awssupport/latest/user/case-management.html)에 문의하세요.

## 연결 문제
<a name="ad_connector_connectivity_issues"></a>

**다음은 AD 커넥터 연결 시 일반적인 문제입니다.**
+ [내 온프레미스 디렉터리에 연결할 때 "연결 이슈 감지됨" 오류가 표시되는 경우](#connectivity_issues_detected)
+ [온프레미스 디렉터리에 연결할 때 "DNS 사용 불가" 오류가 표시되는 경우](#dns_unavailable)
+ [내 온프레미스 디렉터리에 연결할 때 "SRV 레코드" 오류가 표시되는 경우](#srv_record_not_found)

### 내 온프레미스 디렉터리에 연결할 때 "연결 이슈 감지됨" 오류가 표시되는 경우
<a name="connectivity_issues_detected"></a>

온프레미스 디렉터리에 연결할 때 다음과 비슷한 오류 메시지가 표시됩니다. 연결 문제가 감지됨: IP *<IP 주소>*에서 LDAP 사용 불가(TCP 포트 389), IP *<IP 주소>*에서 Kerberos/인증 불가(TCP 포트 88). 나열된 포트를 사용할 수 있는지 확인하고 작업을 다시 시도하세요.

AD Connector에서 다음 포트를 통해 TCP 및 UDP를 경유하여 온프레미스 도메인 컨트롤러와 통신할 수 있어야 합니다. 보안 그룹 및 온프레미스 방화벽에서 이러한 포트를 통한 TCP 및 UDP 통신을 허용하는지 확인합니다. 자세한 내용은 [AD Connector 사전 조건](ad_connector_getting_started.md#prereq_connector) 단원을 참조하십시오.
+ 88(Kerberos)
+ 389(LDAP)

필요에 따라 추가 TCP/UDP 포트가 필요할 수 있습니다. 이러한 포트 중 일부는 다음 목록을 참조하세요. Active Directory에서 사용하는 포트에 대한 자세한 내용은 Microsoft 설명서의 [Active Directory 도메인 및 신뢰를 위한 방화벽을 구성하는 방법](https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts)을 참조하세요.
+ 135 (RPC 엔드포인트 매퍼)
+ 646 (LDAP SSL)
+ 3268 (LDAP GC)
+ 3269 (LDAP GC SSL)

### 온프레미스 디렉터리에 연결할 때 "DNS 사용 불가" 오류가 표시되는 경우
<a name="dns_unavailable"></a>

온프레미스 디렉터리에 연결할 때 다음과 비슷한 오류 메시지가 표시됩니다.

```
DNS unavailable (TCP port 53) for IP: <DNS IP address>
```

AD Connector에서 포트 53을 통해 TCP 및 UDP를 경유하여 온프레미스 DNS 서버와 통신할 수 있어야 합니다. 보안 그룹 및 온프레미스 방화벽에서 이 포트를 통한 TCP 및 UDP 통신을 허용하는지 확인합니다. 자세한 내용은 [AD Connector 사전 조건](ad_connector_getting_started.md#prereq_connector) 단원을 참조하십시오.

### 내 온프레미스 디렉터리에 연결할 때 "SRV 레코드" 오류가 표시되는 경우
<a name="srv_record_not_found"></a>

온프레미스 디렉터리에 연결할 때 다음 중 하나 이상과 비슷한 오류 메시지가 표시됩니다.

```
SRV record for LDAP does not exist for IP: <DNS IP address> SRV record for Kerberos does not exist for IP: <DNS IP address>
```

AD Connector는 디렉터리에 연결할 때 `_ldap._tcp.<DnsDomainName>` 및 `_kerberos._tcp.<DnsDomainName>` SRV 레코드를 가져와야 합니다. 서비스에서 디렉터리에 연결할 때 지정한 DNS 서버로부터 이러한 레코드를 가져올 수 없는 경우에 이 오류가 표시됩니다. 이러한 SRV 레코드에 대한 자세한 내용은 [SRV record requirements](ad_connector_getting_started.md#srv_records)을 참조하세요.

## 인증 문제
<a name="ad_connector_auth_issues"></a>

**AD 커넥터와 관련된 몇 가지 일반적인 인증 문제는 다음과 같습니다.**
+ [Amazon WorkSpaces 스마트 카드로에 로그인하려고 하면 "인증서 검증 실패" 오류가 발생합니다.](#cert_validation_failure)
+ [AD Connector에서 사용되는 서비스 계정이 인증을 시도할 때 "Invalid Credentials" 오류가 표시되는 경우](#invalid_creds)
+ [AWS 애플리케이션을 사용하여 사용자 또는 그룹을 검색할 때 "인증할 수 없음" 오류가 발생합니다.](#fails_when_searching)
+ [AD 커넥터 서비스 계정을 업데이트하려고 할 때 디렉터리 자격 증명에 대한 오류가 발생합니다.](#error_with_ad_creds)
+ [일부 사용자들이 내 디렉터리를 통해 인증을 할 수 없는 경우](#kerberos_preauth2)

### Amazon WorkSpaces 스마트 카드로에 로그인하려고 하면 "인증서 검증 실패" 오류가 발생합니다.
<a name="cert_validation_failure"></a>

스마트 카드로 WorkSpaces에 로그인하려는 경우 다음과 비슷한 오류 메시지가 표시됩니다. **오류**:인증서 검증 실패 브라우저 또는 애플리케이션을 재시작하여 다시 시도하고 올바른 인증서를 선택했는지 확인하세요. 이 오류는 인증서를 사용하는 클라이언트에 스마트 카드 인증서가 제대로 저장되지 않은 경우 발생합니다. AD 커넥터 및 스마트 카드 요구 사항에 대한 자세한 내용은 [사전 조건](ad_connector_clientauth.md#prereqs-clientauth)을 참조하세요.

**스마트 카드가 사용자의 인증서 스토어에 인증서를 저장하는 기능을 해결하려면 다음 절차를 따릅니다.**

1. 인증서에 액세스하는 데 문제가 있는 디바이스에서 Microsoft Management Console (MMC)에 액세스합니다.
**중요**  
계속 진행하기 전에 스마트 카드의 인증서 사본을 생성합니다.

1. MMC의 인증서 스토어로 이동합니다. 인증서 스토어에서 사용자의 스마트 카드 인증서를 삭제합니다. MMC에서 인증서 스토어를 보는 방법에 대한 자세한 내용은 Microsoft 설명서에서 [MMC 스냅인을 사용하여 인증서를 보는 방법](https://learn.microsoft.com/en-us/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in)을 참조하세요.

1. 스마트 카드를 제거합니다.

1. 사용자의 인증서 스토어에 스마트 카드 인증서를 다시 채울 수 있도록 스마트 카드를 다시 삽입합니다.
**주의**  
스마트 카드가 User Store에 인증서를 다시 채우지 않는 경우 WorkSpaces 스마트 카드 인증에 사용할 수 없습니다.

AD 커넥터의 서비스 계정에는 다음이 있어야 합니다.
+ 서비스 원칙 이름에 `my/spn` 추가됨
+ LDAP 서비스에 위임됨

인증서가 스마트 카드에 다시 채워지면 온프레미스 도메인 컨트롤러를 확인하여 주체 대체 이름에 대한 사용자 보안 주체 이름(UPN) 매핑에서 차단되었는지 확인해야 합니다. 이 변경 사항에 대한 자세한 내용은 Microsoft 설명서의 [UPN 매핑에 대한 주체 대체 이름을 비활성화하는 방법](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/disable-subject-alternative-name-upn-mapping)을 참조하세요.

**다음 절차에 따라 도메인 컨트롤러의 레지스트리 키를 확인합니다.**
+ **레지스트리 편집기**에서 다음 하이브 키로 이동합니다.

  **HKEY\$1LOCAL\$1MACHINE\$1SYSTEM\$1CurrentControlSet\$1Services\$1Kdc\$1UseSubjectAltName**

  1. UseSubjectAltName의 값을 검사합니다.

    1. 값이 **0**으로 설정된 경우 **주체 대체 이름** 매핑이 **비활성화**되며 지정된 인증서를 1명의 사용자에게만 명시적으로 매핑해야 합니다. 인증서가 여러 사용자에게 매핑되고 이 값이 0인 경우 해당 인증서를 사용한 로그인은 실패합니다.

    1. 값이 **설정되지 않았거나 1로 설정**된 경우 지정된 인증서를 1명의 사용자에게만 명시적으로 매핑하거나 **주체 대체 이름** 필드를 사용하여 로그인해야 합니다.

       1. 인증서에 **주체 대체 이름** 필드가 있는 경우 우선 순위가 지정됩니다.

       1. 인증서에 **주체 대체 이름** 필드가 없고 인증서가 둘 이상의 사용자에게 명시적으로 매핑된 경우 해당 인증서를 사용한 로그인은 실패합니다.

**참고**  
레지스트리 키가 온프레미스 도메인 컨트롤러에 설정된 경우 AD Connector가 Active Directory에서 사용자를 찾을 수 없게 되어 앞서 언급한 오류 메시지가 표시됩니다.

인증 기관(CA) 인증서는 AD 커넥터 스마트 카드 인증서에 업로드해야 합니다. 인증서에는 OCSP 정보가 포함되어야 합니다. 다음은 CA에 대한 추가 요구 사항 목록입니다.
+ 인증서는 도메인 컨트롤러, 인증 기관 서버 및 WorkSpaces 의 신뢰할 수 있는 루트 권한에 있어야 합니다.
+ 오프라인 및 루트 CA 인증서에는 OSCP 정보가 포함되지 않습니다. 이러한 인증서에는 해지에 대한 정보가 포함되어 있습니다.
+ 스마트 카드 인증에 타사 CA 인증서를 사용하는 경우 CA 및 중간 인증서를 Active Directory NTAuth 스토어에 게시해야 합니다. 모든 도메인 컨트롤러, 인증서 기관 서버 및 WorkSpaces 에 대해 신뢰할 수 있는 루트 권한에 설치해야 합니다.
  + 다음 명령을 사용하여 Active Directory NTAuth 스토어에 인증서를 게시할 수 있습니다.

    

    ```
    certutil -dspublish -f Third_Party_CA.cer NTAuthCA
    ```

NTAuth 스토어에 인증서를 게시하는 방법에 대한 자세한 내용은 *공통 액세스 카드로 Amazon WorkSpaces 액세스 설치 안내서*의 [Enterprise NTAuth 스토어로 발급 CA 인증서 가져오기](https://docs.aws.amazon.com//whitepapers/latest/access-workspaces-with-access-cards/import-the-issuing-ca-certificate-into-the-enterprise-ntauth-store.html)를 참조하세요.

**다음 절차에 따라 사용자 인증서 또는 CA 체인 인증서가 OCSP에 의해 확인되는지 확인할 수 있습니다.**

1. 스마트 카드 인증서를 C: 드라이브와 같은 로컬 시스템의 위치로 내보냅니다.

1. 명령줄 프롬프트를 열고 내보낸 스마트 카드 인증서가 저장된 위치로 이동합니다.

1. 다음 명령을 입력합니다.

   ```
   certutil -URL Certficate_name.cer
   ```

1. 명령 다음에 팝업 창이 나타나야 합니다. 오른쪽 모서리에서 **OCSP 옵션**을 선택하고 **검색**을 선택합니다. 상태는 확인된 대로 반환되어야 합니다.

certutil을 실행하는 방법에 대한 자세한 내용은 Microsoft 설명서의 [certutil](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/certutil)을 참조하세요.

### AD Connector에서 사용되는 서비스 계정이 인증을 시도할 때 "Invalid Credentials" 오류가 표시되는 경우
<a name="invalid_creds"></a>

도메인 컨트롤러 상의 하드 드라이브에 공간이 부족할 경우 이러한 오류가 발생할 수 있습니다. 도메인 컨트롤러의 하드 드라이브가 가득 차지 않았는지 확인합니다.

### AD Connector 서비스 계정 업데이트 시 ‘오류가 발생했습니다’ 또는 ‘예상치 못한 오류’ 수신
<a name="error_unexpected_error"></a>

 [Amazon WorkSpaces Console Launch Wizard](https://docs.aws.amazon.com//workspaces/latest/adminguide/launch-workspace-ad-connector.html#create-workspace-ad-connector)와 같은 AWS 엔터프라이즈 애플리케이션에서 사용자를 검색하는 동안 다음과 같은 오류 또는 증상이 발생합니다.
+ 오류가 발생했습니다. 문제가 계속 발생하면 커뮤니티 포럼 및 AWS Premium Support를 통해 AWS Support 팀에 문의하세요.
+ 오류가 발생했습니다. 디렉터리에 자격 증명 업데이트가 필요합니다. 디렉터리 자격 증명을 업데이트하세요.

 AD Connector에서 AD Connector 서비스 계정 자격 증명을 업데이트하려는 경우 다음과 같은 오류 메시지가 표시될 수 있습니다.
+ 예상치 못한 오류. 예기치 않은 오류가 발생했습니다.
+ 오류가 발생했습니다. 서비스 계정/암호 조합에 오류가 발생했습니다. 다시 시도하세요.

AD Connector 디렉터리의 서비스 계정은 고객 관리형 Active Directory에 있습니다. 해당 계정은 AWS 엔터프라이즈 애플리케이션을 대신하여 AD Connector를 통해 고객 관리형 Active Directory 도메인에 대한 쿼리 및 작업을 수행하는 자격 증명으로 사용됩니다. AD Connector는 Kerberos 및 LDAP를 사용하여 이러한 작업을 수행합니다.

**다음 목록은 이러한 오류 메시지의 의미를 설명합니다.**
+ 시간 동기화 및 Kerberos에 문제가 있을 수 있습니다. AD Connector는 Kerberos 인증 요청을 Active Directory로 전송합니다. 이러한 요청은 시간에 민감하며 요청이 지연되면 실패합니다. 고객 관리형 도메인 컨트롤러 간에 시간 동기화 문제가 없는지 확인합니다. 이 문제를 해결하려면 Microsoft 설명서의 [권장 사항 - 신뢰할 수 있는 시간 소스를 사용하여 루트 PDC 구성 및 광범위 시간 왜곡 방지](https://learn.microsoft.com/en-us/services-hub/unified/health/remediation-steps-ad/configure-the-root-pdc-with-an-authoritative-time-source-and-avoid-widespread-time-skew)를 참조하세요. 시간 서비스 및 동기화에 대한 자세한 내용은 아래를 참조하세요.
  +  [Windows 시간 서비스 작동 방식](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/how-the-windows-time-service-works)
  + [컴퓨터 클럭 동기화에 대한 최대 허용 오차](https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-tolerance-for-computer-clock-synchronization)
  + [Windows 시간 서비스 도구 및 설정](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings?tabs=config)
+ 방화벽 또는 VPN 하드웨어 구성과 같이 네트워크 [MTU](https://support.microsoft.com/en-us/topic/the-default-mtu-sizes-for-different-network-topologies-b25262c5-d90f-456d-7647-e09192eeeef4) 제한이 있는 중간 네트워크 디바이스가 AD Connector와 고객 관리형 도메인 컨트롤러 사이에 있는 경우 [네트워크 조각화](https://en.wikipedia.org/wiki/IP_fragmentation)로 인해 이 오류가 발생할 수 있습니다.
  + MTU 제한을 확인하려면 AD Connector를 통해 연결된 디렉터리 서브넷 중 하나에서 시작된 Amazon EC2 인스턴스와 고객 관리형 도메인 컨트롤러 간에 [Ping 테스트](https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/mtu-size-matters/1025286)를 수행할 수 있습니다. 프레임 크기는 기본 크기인 1,500바이트보다 크지 않아야 합니다.
  + Ping 테스트는 프레임 크기가 1,500바이트를 초과하는지(점보 프레임이라고도 함), 조각화 없이 AD Connector VPC 및 서브넷에 도달할 수 있는지를 확인하는 데 도움이 됩니다. 네트워크 팀에 추가로 확인하여 점보 프레임이 중간 네트워크 디바이스에서 허용되는지 확인합니다.
+ AD Connector에서 [클라이언트 측 LDAPS](ad_connector_ldap_client_side.md)가 활성화되어 있고 인증서가 만료된 경우 이 문제가 발생할 수 있습니다. 서버 측 인증서와 CA 인증서가 모두 유효하고 만료되지 않았으며 [LDAP 설명서](ad_connector_ldap_client_side.md#prereqs-ldap-client-side)에 따른 요구 사항을 충족하는지 확인합니다.
+ 고객 관리형 Active Directory 도메인에서 [가상 목록 보기 지원이](https://learn.microsoft.com/en-us/windows/win32/controls/use-virtual-list-view-controls) 비활성화된 경우 AD Connector는 LDAP 쿼리에서 VLV 검색을 사용하기 때문에 AWS 애플리케이션은 사용자를 검색할 수 없습니다. DisableVLVSupport가 0이 아닌 값으로 설정된 경우 가상 목록 보기 지원이 비활성화됩니다. 다음 단계를 사용하여 Active Directory에서 [가상 목록 보기(VLV) 지원](https://learn.microsoft.com/en-us/previous-versions/office/exchange-server-analyzer/cc540446(v=exchg.80)?redirectedfrom=MSDN)이 활성화되어 있는지 확인합니다.

  1.  스키마 관리자 자격 증명이 있는 계정을 사용하여 스키마 마스터 역할 소유자로 도메인 컨트롤러에 로그인합니다.

  1. **시작**을 선택한 다음 **실행**을 선택하고 **Adsiedit.msc**를 입력합니다.

  1.  ADSI 편집 도구에서 **구성 파티션**에 연결하고 **구성[DomainController] **노드를 확장합니다.

  1. **CN=Configuration, DC=DomainName** 컨테이너를 확장합니다.

  1.  **CN=Services** 객체를 확장합니다.

  1.  **CN=Windows NT** 객체를 확장합니다.

  1. **CN=Directory Service** 객체를 선택합니다. **속성**을 선택합니다.

  1. 속성 목록에서 **msds-Other-Settings** 선택합니다. **편집**을 선택합니다.

  1.  값 목록에서 **DisableVLVSupport=x**의 인스턴스를 선택합니다. 여기서 x는 **0**이 아니며, 이후 **제거**를 선택합니다.

  1.  제거 후 **DisableVLVSupport=0**을 입력합니다. **추가**를 선택합니다.

  1. **확인**을 선택합니다. ADSI 편집 도구를 닫을 수 있습니다. 다음 이미지는 ADSI 편집 창의 다중 값 문자열 편집기 대화 상자를 보여줍니다.  
![\[다중 값 문자열 편집기와 DisableVLVSupport=0이 강조 표시된 ADSI 편집 대화 상자.\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/DisableVLVSupport.png)
**참고**  
사용자가 100,000명 이상인 대규모 Active Directory 인프라에서는 특정 사용자만 검색할 수 있습니다. 그러나 모든 사용자를 한 번에 나열하려고 하면(예: ** WorkSpaces Launch Wizard에서 모든 사용자 표시**) VLV 지원이 활성화된 경우에도 동일한 오류가 발생할 수 있습니다. AD Connector에서는 하위 트리 인덱스를 사용하여 속성 ‘CN’에 대한 결과를 정렬해야 합니다. 하위 트리 인덱스는 도메인 컨트롤러가 가상 목록 보기(LDAP) 검색 작업을 수행하도록 준비하는 인덱스 유형으로, AD Connector가 정렬된 검색 결과를 제공하도록 허용합니다. 이 인덱스는 VLV 검색 성능을 개선하고 [MaxTempTableSize](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-set-ldap-policy-using-ntdsutil)라는 임시 데이터베이스 테이블의 사용을 방지합니다. 이 테이블의 크기는 다를 수 있지만 기본적으로 최대 항목 수는 10,000개(기본 쿼리 정책의 MaxTempTableSize 설정)입니다. MaxTempTableSize를 늘리는 것은 하위 트리 인덱싱을 사용하는 것보다 덜 효율적입니다. 대규모 AD 환경에서 이러한 오류를 방지하려면 하위 트리 인덱싱을 사용하는 것이 좋습니다.

다음 단계에 따라 ADSEdit을 사용하여 Active Directory 스키마의 속성 정의에서 값이 65(0x41)인 [Searchflags](https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/mcm-active-directory-indexing-for-the-masses/ba-p/255867) 속성을 수정하여 하위 트리 인덱스를 활성화할 수 있습니다.

1. 스키마 관리자 자격 증명이 있는 계정을 사용하여 스키마 마스터 역할 소유자로 도메인 컨트롤러에 로그인합니다.

1.  **시작** 및 **실행**을 선택하고 **Adsiedit.msc**를 입력합니다.

1. ADSI 편집 도구에서** 스키마 파티션**에 연결합니다.

1. **CN=Schema,CN=Configuration,DC=DomainName** 컨테이너를 확장합니다.

1. ‘**Common-Name**’ 속성을 찾은 다음 마우스 오른쪽 버튼을 클릭하여 **속성**을 선택합니다.

1. 정상 인덱스와 함께 하위 트리 인덱싱을 활성화하려면 **searchFlags **속성을 찾아 해당 값을 **65 (0x41)**로 변경합니다.

   다음 이미지는 ADSI 편집 창의 CN=Common-Name 속성 대화 상자를 보여줍니다.  
![\[searchFlags 속성이 강조 표시된 ADSI 편집 대화 상자가 열립니다.\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/SUBTREE_INDEX.png)

1. **확인**을 선택합니다. ADSI 편집 도구를 닫을 수 있습니다.

1. 확인을 위해 AD가 지정된 속성에 대한 새 인덱스를 성공적으로 생성했음을 나타내는 이벤트 ID 1137(소스: Active Directory\$1DomainServices)을 확인할 수 있어야 합니다.

자세한 내용은 [Microsoft 설명서](https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/mcm-active-directory-indexing-for-the-masses/ba-p/255867)를 참조하세요.

### AWS 애플리케이션을 사용하여 사용자 또는 그룹을 검색할 때 "인증할 수 없음" 오류가 발생합니다.
<a name="fails_when_searching"></a>

AD Connector 상태가 활성 상태인 동안에도 사용자를 검색하거나 WorkSpaces 또는 Quick과 같은 애플리케이션에 로그인할 AWS 때 오류가 발생할 수 있습니다. AD Connector의 서비스 계정 암호가 변경되었거나 만료된 경우 AD Connector는 Active Directory 도메인을 더는 쿼리할 수 없습니다. AD 관리자에게 문의하여 다음을 확인합니다.
+ AD Connector 서비스 계정 암호가 만료되지 않았는지 확인합니다.
+ AD Connector 서비스 계정에 **사용자가 다음에 로그온할 때 암호를 변경해야 함** 옵션이 활성화되어 있지 않은지 확인합니다.
+ AD Connector 서비스 계정이 잠기지 않았는지 확인합니다.
+ 암호의 만료 또는 변경 여부가 확실하지 않은 경우 서비스 계정 암호를 재설정하고 AD Connector에서 동일한 암호를 [업데이트할](ad_connector_update_creds.md) 수 있습니다.

### AD 커넥터 서비스 계정을 업데이트하려고 할 때 디렉터리 자격 증명에 대한 오류가 발생합니다.
<a name="error_with_ad_creds"></a>

AD 커넥터 서비스 계정을 업데이트하려고 할 때 다음 중 하나 이상과 비슷한 오류 메시지가 표시됩니다.

메시지: 오류가 발생했습니다. 디렉터리에 자격 증명 업데이트가 필요합니다. 디렉터리 자격 증명을 업데이트하세요. 오류가 발생했습니다. 디렉터리에 자격 증명 업데이트가 필요합니다. 다음에 따라 디렉터리 자격 증명을 업데이트하세요. AD Connector 서비스 계정 자격 증명 업데이트 메시지: 오류가 발생했습니다. 요청에 문제가 있습니다. 다음 세부 정보를 참조하세요. 서비스 계정/암호 조합에 오류가 발생했습니다

시간 동기화 및 Kerberos에 문제가 있을 수 있습니다. AD Connector는 Kerberos 인증 요청을 Active Directory로 전송합니다. 이러한 요청은 시간에 민감하며 요청이 지연되면 실패합니다. 이 문제를 해결하려면 Microsoft 설명서의 [권장 사항 - 신뢰할 수 있는 시간 소스를 사용하여 루트 PDC 구성 및 광범위 시간 왜곡 방지](https://learn.microsoft.com/en-us/services-hub/unified/health/remediation-steps-ad/configure-the-root-pdc-with-an-authoritative-time-source-and-avoid-widespread-time-skew)를 참조하세요. 시간 서비스 및 동기화에 대한 자세한 내용은 아래를 참조하세요.
+ [Windows 시간 서비스 작동 방식](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/how-the-windows-time-service-works)
+ [컴퓨터 클럭 동기화에 대한 최대 허용 오차](https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-tolerance-for-computer-clock-synchronization)
+ [Windows 시간 서비스 도구 및 설정](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings?tabs=config)

### 일부 사용자들이 내 디렉터리를 통해 인증을 할 수 없는 경우
<a name="kerberos_preauth2"></a>

사용자 계정에서 Kerberos 사전 인증이 활성화되어 있어야 합니다. 이것이 새 사용자 계정에 대한 기본 설정이며 이를 변경해서는 안 됩니다. 이 설정에 대한 자세한 정보는 Microsoft TechNet의 [사전 인증](http://technet.microsoft.com/en-us/library/cc961961.aspx)을 참조하세요.

## 유지 관리 문제
<a name="ad_connector_maintenance_issues"></a>

**다음은 AD 커넥터의 일반적인 유지 관리 문제입니다.**
+ 디렉터리가 "Requested" 상태에 멈춰있는 경우
+ Amazon EC2 인스턴스의 원활한 도메인 조인 작동 중지됨

### 디렉터리가 "Requested" 상태에 멈춰있는 경우
<a name="troubleshoot_stuck_in_requested"></a>

"Requested" 상태에 5분 이상 멈춰있는 디렉터리가 있으면 이를 삭제하고 다시 생성해보세요. 문제가 지속될 경우 [AWS Support](https://aws.amazon.com/contact-us/)에 문의하세요.

### Amazon EC2 인스턴스의 원활한 도메인 조인 작동 중지됨
<a name="seamless_stops"></a>

AD Connector가 활성 상태인데 EC2 인스턴스의 원활한 도메인 조인이 잘 작동하다가 멈췄다면 AD Connector 서비스 계정의 자격 증명이 만료되었을 수 있습니다. 보안 인증이 만료되면 AD Connector가 Active Directory에 컴퓨터 객체를 생성하지 못하게 될 수 있습니다.

**이 문제를 해결하려면 서비스 계정 암호를 다음 순서로 업데이트하여 암호가 서로 일치하게 하세요.**

1. Active Directory에서 서비스 계정 암호 업데이트

1. ​ Directory Service에서 AD 커넥터​의 서비스 계정 암호 업데이트 자세한 내용은 [에서 AD Connector 서비스 계정 자격 증명 업데이트 AWS Management Console](ad_connector_update_creds.md) 단원을 참조하십시오.

**중요**  
에서만 암호를 업데이트 Directory Service 하면 기존 온프레미스 Active Directory로 암호 변경이 푸시되지 않으므로 이전 절차에 표시된 순서대로 업데이트하는 것이 중요합니다.

## AD Connector를 삭제할 수 없는 경우
<a name="delete_ad_connector"></a>

AD Connector가 작동 불가능 상태로 전환되면 도메인 컨트롤러에 더 이상 액세스할 수 없습니다. AD Connector에 연결된 애플리케이션이 있는 경우 해당 애플리케이션 중 하나가 여전히 디렉터리를 사용하고 있을 수 있으므로 AD Connector의 삭제를 차단합니다. AD 커넥터를 삭제하기 위해 비활성화해야 하는 애플리케이션 목록은 [AD 커넥터 삭제](ad_connector_delete.md)을 참조하세요. 그래도 AD Connector를 삭제할 수 없는 경우 [AWS Support](https://aws.amazon.com/contact-us/)에 도움을 요청할 수 있습니다.

## AD Connector 발행자를 조사하기 위한 일반 도구
<a name="ad_connector_troubleshooting_tools"></a>

다음 도구를 사용하여 생성, 인증, 연결과 관련된 다양한 AD Connector 문제를 해결할 수 있습니다.

**DirectoryServicePortTest 도구**  
[DirectoryServicePortTest](samples/DirectoryServicePortTest.zip) 테스트 도구는 AD Connector와 고객 관리형 Active Directory 또는 DNS 서버 간의 연결 문제를 해결할 때 유용할 수 있습니다. 해당 도구를 사용하는 방법에 대한 자세한 내용은 [AD 커넥터 테스트](ad_connector_getting_started.md#connect_verification)을 참조하세요.

**패킷 캡처 도구**  
기본 제공 Windows 패키지 캡처 유틸리티([netsh](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/jj129382(v=ws.11)))를 사용하여 잠재적 네트워크 또는 Active Directory 통신(ldap 및 kerberos) 문제를 조사하고 해결할 수 있습니다. 자세한 내용은 [아무것도 설치하지 않은 채로 네트워크 추적 캡처](https://techcommunity.microsoft.com/t5/iis-support-blog/capture-a-network-trace-without-installing-anything-amp-capture/ba-p/376503)를 참조하세요.

**VPC 흐름 로그**  
AD Connector에서 수신 및 전송되는 요청을 더 잘 이해하기 위해 디렉터리 네트워크 인터페이스에 대한 [VPC 흐름 로그](https://docs.aws.amazon.com//vpc/latest/userguide/working-with-flow-logs.html)를 구성할 수 있습니다. 설명 Directory Service 으로와 함께 사용하도록 예약된 모든 네트워크 인터페이스를 식별할 수 있습니다`AWS created network interface for directory your-directory-id`.  
간단한 사용 사례로는 많은 수의 도메인 컨트롤러가 있는 고객 관리형 Active Directory 도메인을 사용하여 AD Connector를 생성하는 경우가 있습니다. VPC 흐름 로그를 사용하고 Kerberos 포트(88)를 기준으로 필터링하여 고객 관리형 Active Directory에서 인증을 위해 어떤 도메인 컨트롤러에 연락하는지 확인할 수 있습니다.