기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 1단계: AWS 관리형 Microsoft AD Active Directory에 대한 AWS 환경 설정
AWS 테스트 랩에서 AWS 관리형 Microsoft AD를 생성하려면 먼저 모든 로그인 데이터가 암호화되도록 Amazon EC2 키 페어를 설정해야 합니다.
## 키 페어 생성
이미 키 페어가 있다면 이 단계를 생략할 수 있습니다. Amazon EC2 키 페어에 대한 자세한 내용은 [키 페어 생성](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/create-key-pairs.html)을 참조하세요.
**키 페어 생성**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) Amazon EC2 콘솔을 엽니다.
1. 탐색 창의 [**Network & Security**]에서 [**Key Pairs**]를 선택하고 [**Create Key Pair**]를 선택합니다.
1. **키 페어 이름**에 **AWS-DS-KP**를 입력합니다. **Key pair file format(키 페어 파일 형식)**에 대해 **pem**을 선택한 다음 **생성**을 선택합니다.
1. 브라우저에서 프라이빗 키 파일이 자동으로 다운로드됩니다. 파일 이름은 키 페어를 생성할 때 지정한 이름이며 확장명은 `.pem`입니다. 안전한 장소에 프라이빗 키 파일을 저장합니다.
**중요**
이때가 사용자가 프라이빗 키 파일을 저장할 수 있는 유일한 기회입니다. 인스턴스를 시작할 때 키 페어의 이름을 제공하고, 인스턴스의 암호를 복호화할 때마다 해당 프라이빗 키를 제공해야 합니다.
## 두 Amazon VPC 생성, 구성, 피어링
다음 그림과 같이 이 다단계 프로세스를 마치면 퍼블릭 VPC 두 개, VPC당 퍼블릭 서브넷 두 개, VPC당 인터넷 게이트웨이 한 개, VPC 간 VPC 피어링 연결 한 개를 생성하고 구성한 것입니다. 단순성 및 비용을 위해 퍼블릭 VPC 및 서브넷을 사용하기로 결정했습니다. 프로덕션 워크로드의 경우 프라이빗 VPC를 사용하는 것이 좋습니다. VPC 보안 향상에 대한 자세한 내용은 [Amazon Virtual Private Cloud의 보안](https://docs.aws.amazon.com/vpc/latest/userguide/security.html)을 참조하세요.
![\[서브넷이 있는 Amazon VPC 환경 및 AWS 관리형 Microsoft AD Active Directory를 생성하기 위한 인터넷 게이트웨이.\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)
모든 AWS CLI 및 PowerShell 예제는 아래의 VPC 정보를 사용하며 us-west-2에 내장되어 있습니다. 환경을 구축할 [지원되는 리전](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html)을 선택할 수 있습니다. 일반적인 내용은 [Amazon VPC란?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)을 참조하세요.
**1단계: 두 개의 VPC 생성**
이 단계에서는 다음 표의 지정된 파라미터를 사용하여 동일한 계정에 두 개의 VPCs를 생성해야 합니다. AWS 관리형 Microsoft AD는 [AWS 관리형 Microsoft AD 공유](ms_ad_directory_sharing.md) 기능과 함께 별도의 계정 사용을 지원합니다. 첫 번째 VPC는 AWS 관리형 Microsoft AD에 사용됩니다. 두 번째 VPC는 나중에 [자습서: AWS Managed Microsoft AD에서 Amazon EC2의 자체 관리형 Active Directory 설치로의 신뢰 생성](ms_ad_tutorial_test_lab_trust.md)에서 사용할 수 있는 리소스에 사용됩니다.
****
| 관리형 Active Directory VPC 정보 | 온프레미스 VPC 정보 |
| --- | --- |
| 이름 태그: AWS-DS-VPC01 IPv4 CIDR 블록: 10.0.0.0/16 IPv6 CIDR block: No IPv6 CIDR Block 테넌시: 기본값 | 이름 태그: AWS-OnPrem-VPC01 IPv4 CIDR 블록: 10.100.0.0/16 IPv6 CIDR block: No IPv6 CIDR Block 테넌시: 기본값 |
자세한 지침은 [VPC 생성](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC)을 참조하세요.
**2단계: VPC당 두 개의 서브넷 생성**
VPC를 생성한 후에는 다음 표의 지정된 파라미터를 사용하여 VPC당 두 개의 서브넷을 생성해야 합니다. 이 테스트 랩의 경우 각 서브넷은 /24가 됩니다. 이렇게 하면 서브넷당 최대 256개의 주소를 발급할 수 있습니다. 각 서브넷은 별도의 AZ에 있어야 합니다. AZ에서 각 서브넷을 별도로 배치하는 것은 [AWS 관리형 Microsoft AD를 생성하기 위한 사전 조건](ms_ad_getting_started.md#ms_ad_getting_started_prereqs) 중 하나입니다.
****
| AWS-DS-VPC01 서브넷 정보: | AWS-OnPrem-VPC01 서브넷 정보 |
| --- | --- |
| 이름 태그: AWS-DS-VPC01-Subnet01 VPC: vpc-xxxxxxxxxxxxxxxxxxxxx AWS-DS-VPC01 가용 영역: us-west-2a IPv4 CIDR 블록: 10.0.0.0/24 | 이름 태그: AWS-OnPrem-VPC01-Subnet01 VPC: vpc-xxxxxxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 가용 영역: us-west-2a IPv4 CIDR 블록: 10.100.0.0/24 |
| 이름 태그: AWS-DS-VPC01-Subnet02 VPC: vpc-xxxxxxxxxxxxxxxxxxxxx AWS-DS-VPC01 가용 영역: us-west-2b IPv4 CIDR 블록: 10.0.1.0/24 | 이름 태그: AWS-OnPrem-VPC01-Subnet02 VPC: vpc-xxxxxxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 가용 영역: us-west-2b IPv4 CIDR 블록: 10.100.1.0/24 |
자세한 지침은 [VPC에서 서브넷 생성](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet)을 참조하세요.
**3단계: 인터넷 게이트웨이 생성 및 VPC에 연결**
퍼블릭 VPC를 사용하고 있으므로 다음 표의 지정된 파라미터를 사용하여 인터넷 게이트웨이를 생성하고 VPC에 연결해야 합니다. 이렇게 하면 EC2 인스턴스에 연결하고 관리할 수 있습니다.
****
| AWS-DS-VPC01 인터넷 게이트웨이 정보 | AWS-OnPrem-VPC01 인터넷 게이트웨이 정보 |
| --- | --- |
| 이름 태그: AWS-DS-VPC01-IGW VPC: vpc-xxxxxxxxxxxxxxxxxxxxx AWS-DS-VPC01 | 이름 태그: AWS-OnPrem-VPC01-IGW VPC: vpc-xxxxxxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 |
자세한 지침은 [인터넷 게이트웨이](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)를 참조하세요.
**4단계: AWS-DS-VPC01과 - AWS-OnPrem-VPC01 간의 VPC 피어링 연결 구성**
이전에 이미 두 개의 VPC를 생성했으므로 다음 표의 지정된 파라미터를 사용하여 VPC 피어링으로 이 두 VPC를 함께 네트워크로 연결해야 합니다. VPC를 연결하는 방법에는 여러 가지가 있지만이 자습서에서는 VPC 피어링을 사용합니다. AWS 관리형 Microsoft AD는 VPCs를 연결하는 여러 솔루션을 지원하며,이 중 일부에는 [VPC 피어링](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html), [Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 및 [VPN](https://docs.aws.amazon.com/vpc/latest/adminguide/Welcome.html)이 포함됩니다.
****
| |
| --- |
| 피어링 연결 이름 태그: AWS-DS-VPC01&AWS-OnPrem-VPC01-Peer VPC(요청자): vpc-xxxxxxxxxxxxxxxxxxxxx AWS-DS-VPC01 계정: 내 계정 리전: 이 리전 VPC(수락자): vpc-xxxxxxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 |
계정에 있는 다른 VPC와의 VPC 피어링 연결을 생성하는 방법에 대한 지침은 [계정에 있는 다른 VPC와의 VPC 피어링 연결 생성](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#create-vpc-peering-connection-local)을 참조하세요.
**5단계: 각 VPC의 기본 라우팅 테이블에 두 개의 라우팅 추가**
이전 단계에서 생성된 인터넷 게이트웨이 및 VPC 피어링 연결이 작동하려면 다음 표의 지정된 파라미터를 사용하여 두 VPC의 기본 라우팅 테이블을 업데이트해야 합니다. 라우팅 테이블에 명시적으로 알려지지 않은 모든 대상으로 라우팅되는 0.0.0.0/0과 위에 설정된 VPC 피어링 연결을 통해 각 VPC로 라우팅되는 10.0.0.0/16 또는 10.100.0.0/16인 두 라우팅을 추가합니다.
VPC 이름 태그(AWS-DS-VPC01 또는-OnPrem-VPC AWS-OnPrem-VPC01)를 필터링하여 각 VPC에 대한 올바른 라우팅 테이블을 쉽게 찾을 수 있습니다.
****
| AWS-DS-VPC01 라우팅 1 정보 | AWS-DS-VPC01 라우팅 2 정보 | AWS-OnPrem-VPC01 라우팅 1 정보 | AWS-OnPrem-VPC01 라우팅 2 정보 |
| --- | --- | --- | --- |
| 대상 주소: 0.0.0.0/0 대상: igw-xxxxxxxxxxxxxxxxxxxxx AWS-DS-VPC01-IGW | 대상 주소: 10.100.0.0/16 대상: pcx- AWS xxxxxxxxxxxxxxxxxxxxx-DS-VPC01&AWS-OnPrem-VPC01-Peer | 대상 주소: 0.0.0.0/0 대상: igw-xxxxxxxxxxxxxxxxx AWS-Onprem-VPC01 | 대상 주소: 10.0.0.0/16 대상: pcx- AWS xxxxxxxxxxxxxxxxxxxxx-DS-VPC01&AWS-OnPrem-VPC01-Peer |
VPC 라우팅 테이블에 라우팅을 추가하는 방법에 대한 지침은 [라우팅 테이블에서 라우팅 추가 및 제거](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes)를 참조하세요.
## Amazon EC2 인스턴스에 대한 보안 그룹 생성
기본적으로 AWS 관리형 Microsoft AD는 도메인 컨트롤러 간의 트래픽을 관리하는 보안 그룹을 생성합니다. 이 단원에서는 다음 표의 지정된 파라미터를 사용하여 EC2 인스턴스의 VPC 내 트래픽을 관리하는 데 사용할 두 개의 보안 그룹(VPC당 하나씩)을 생성해야 합니다. 또한 모든 위치에서 들어오는 RDP(3389) 트래픽을 허용하고 로컬 VPC에서 들어오는 모든 트래픽 유형을 허용하는 규칙도 추가합니다. 자세한 내용은 [Amazon EC2 Windows 인스턴스에 대한 Amazon EC2 보안 그룹](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html) 단원을 참조하세요.
****
| AWS-DS-VPC01 보안 그룹 정보: |
| --- |
| 보안 그룹 이름: AWS DS Test Lab 보안 그룹 설명: AWS DS 테스트 랩 보안 그룹 VPC: vpc-xxxxxxxxxxxxxxxxxxxxx AWS-DS-VPC01 |
** AWS-DS-VPC01에 대한 보안 그룹 인바운드 규칙**
****
| Type | 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 |
| --- | --- | --- | --- | --- |
| 사용자 지정 TCP 규칙 | TCP | 3389 | 내 IP | 원격 데스크톱 |
| 모든 트래픽 | 모두 | 모두 | 10.0.0.0/16 | 모든 로컬 VPC 트래픽 |
** AWS-DS-VPC01용 보안 그룹 아웃바운드 규칙**
****
| Type | 프로토콜 | 포트 범위 | Destination | 트래픽 유형 |
| --- | --- | --- | --- | --- |
| 모든 트래픽 | 모두 | 모두 | 0.0.0.0/0 | 모든 트래픽 |
****
| AWS-OnPrem-VPC01 보안 그룹 정보: |
| --- |
| 보안 그룹 이름: AWS OnPrem 테스트 랩 보안 그룹. 설명: AWS OnPrem 테스트 랩 보안 그룹. VPC: vpc-xxxxxxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 |
** AWS-OnPrem-VPC01에 대한 보안 그룹 인바운드 규칙**
****
| Type | 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 |
| --- | --- | --- | --- | --- |
| 사용자 지정 TCP 규칙 | TCP | 3389 | 내 IP | 원격 데스크톱 |
| 사용자 지정 TCP 규칙 | TCP | 53 | 10.0.0.0/16 | DNS |
| 사용자 지정 TCP 규칙 | TCP | 88 | 10.0.0.0/16 | Kerberos |
| 사용자 지정 TCP 규칙 | TCP | 389 | 10.0.0.0/16 | LDAP |
| 사용자 지정 TCP 규칙 | TCP | 464 | 10.0.0.0/16 | Kerberos 암호 변경/설정 |
| 사용자 지정 TCP 규칙 | TCP | 445 | 10.0.0.0/16 | SMB/CIFS |
| 사용자 지정 TCP 규칙 | TCP | 135 | 10.0.0.0/16 | 복제 |
| 사용자 지정 TCP 규칙 | TCP | 636 | 10.0.0.0/16 | LDAP SSL |
| 사용자 지정 TCP 규칙 | TCP | 49,152\$165,535 | 10.0.0.0/16 | RPC |
| 사용자 지정 TCP 규칙 | TCP | 3268 - 3269 | 10.0.0.0/16 | LDAP GC 및 LDAP GC SSL |
| 사용자 지정 UDP 규칙 | UDP | 53 | 10.0.0.0/16 | DNS |
| 사용자 지정 UDP 규칙 | UDP | 88 | 10.0.0.0/16 | Kerberos |
| 사용자 지정 UDP 규칙 | UDP | 123 | 10.0.0.0/16 | Windows 시간 |
| 사용자 지정 UDP 규칙 | UDP | 389 | 10.0.0.0/16 | LDAP |
| 사용자 지정 UDP 규칙 | UDP | 464 | 10.0.0.0/16 | Kerberos 암호 변경/설정 |
| 모든 트래픽 | 모두 | 모두 | 10.100.0.0/16 | 모든 로컬 VPC 트래픽 |
** AWS-OnPrem-VPC01에 대한 보안 그룹 아웃바운드 규칙**
****
| Type | 프로토콜 | 포트 범위 | Destination | 트래픽 유형 |
| --- | --- | --- | --- | --- |
| 모든 트래픽 | 모두 | 모두 | 0.0.0.0/0 | 모든 트래픽 |
규칙을 생성하고 보안 그룹에 추가하는 방법에 대한 세부 지침은 [보안 그룹 작업](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)을 참조하세요.