기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 1단계: 자체 관리형 AD 도메인 준비
<a name="ms_ad_tutorial_setup_trust_prepare_onprem"></a>

먼저 자체 관리형(온프레미스) 도메인에서 몇 가지 사전 조건 단계를 완료해야 합니다.

## 자체 관리형 방화벽 구성
<a name="tutorial_setup_trust_connect_vpc"></a>

관리형 Microsoft AD가 포함된 VPC에서 사용하는 모든 서브넷에 대해 다음 포트가 CIDRs에 개방되도록 자체 AWS 관리형 방화벽을 구성해야 합니다. 이 자습서에서는 다음 포트에서 10.0.0.0/16( AWS 관리형 Microsoft AD VPC의 CIDR 블록)의 수신 및 발신 트래픽을 모두 허용합니다.

 
+ TCP/UDP 53 - DNS 
+ TCP/UDP 88 - Kerberos 인증
+ TCP/UDP 389 - Lightweight Directory Access Protocol (LDAP)
+ TCP 445 - Server Message Block (SMB)
+ TCP 9389 - Active Directory Web Services(ADWS)(*선택 사항* - Amazon WorkDocs 또는 Amazon Quick과 같은 AWS 애플리케이션에서 인증에 전체 도메인 이름 대신 NetBIOS 이름을 사용하려면이 포트를 열어야 합니다.)

**참고**  
더 이상 SMBv1이 지원되지 않습니다.  
이들은 자체 관리형 디렉터리에 VPC를 연결하기 위해 필요한 최소 포트입니다. 특정 구성에서는 추가 포트를 개방해야 하는 경우도 있습니다.

## Kerberos 사전 인증이 활성화되었는지 확인
<a name="tutorial_setup_trust_enable_kerberos"></a>

두 디렉터리 모두의 사용자 계정이 Kerberos 사전 인증을 활성화해야 합니다. 이것이 기본 설정이지만, 변경되지 않았는지 확인하기 위해 임의 사용자의 속성을 확인합니다.

**사용자의 Kerberos 설정을 보는 방법**

1. 자체 관리형 도메인 컨트롤러에서 서버 관리자를 엽니다.

1. [**Tools**] 메뉴에서 [**Active Directory Users and Computers**]를 선택합니다.

1. **사용자** 폴더를 선택해 컨텍스트 메뉴를 엽니다(마우스 오른쪽 버튼 클릭). 오른쪽 창에 나열된 임의의 사용자 계정을 선택합니다. **속성**을 선택합니다.

1. [**Account**] 탭을 선택합니다. [**Account options**] 목록을 아래로 스크롤해서 [**Do not require Kerberos preauthentication**]가 선택되지 *않았는지* 확인합니다.  
![계정 옵션이 있는 Corp 사용자 속성 대화 상자에는 Kerberos 사전 인증이 강조 표시되지 않아도 됩니다.](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/kerberos_enabled.png)

## 자체 관리형 도메인을 위한 DNS 조건부 전달자 구성
<a name="tutorial_setup_trust_onprem_forwarder"></a>

각 도메인에서 DNS 조건부 전달자를 설정해야 합니다. 자체 관리형 도메인에서이 작업을 수행하기 전에 먼저 AWS 관리형 Microsoft AD에 대한 몇 가지 정보를 얻게 됩니다.

**자체 관리형 도메인에서 조건부 전달자를 구성하려면**

1. 에 로그인 AWS Management Console 하고 [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/)을 엽니다.

1. 탐색 창에서 [**Directories**]를 선택합니다.

1.  AWS 관리형 Microsoft AD의 디렉터리 ID를 선택합니다.

1. **세부 정보** 페이지에 표시된 **디렉터리 이름**의 값과 디렉터리의 **DNS 주소**를 적어둡니다.

1. 이제 자체 관리형 도메인 컨트롤러로 돌아갑니다. 서버 관리자를 엽니다.

1. [**Tools**] 메뉴에서 [**DNS**]를 선택합니다.

1. 콘솔 트리에서 신뢰를 설정 중인 도메인의 DNS 서버를 확장합니다. 서버는 WIN-5V70CN7VJ0.corp.example.com입니다.

1. 콘솔 트리에서 [**Conditional Forwarders**]를 선택합니다.

1. [**Action**] 메뉴에서 [**New conditional forwarder**]를 선택합니다.

1. **DNS 도메인**에 앞에서 기록한 AWS Managed Microsoft AD의 정규화된 도메인 이름(FQDN)을 입력합니다. 이 예제에서 FQDN은 MyManagedAD.example.com입니다.

1. **기본 서버의 IP 주소를** 선택하고 앞에서 기록한 AWS Managed Microsoft AD 디렉터리의 DNS 주소를 입력합니다. 이 예제에서 DNS 주소는 10.0.10.246, 10.0.20.121입니다.

   DNS 주소를 입력하고 나면 "timeout" 또는 "unable to resolve"라는 오류 메시지가 나타날 수 있습니다. 보통 이러한 오류 메시지는 무시해도 좋습니다.  
![DNS 서버의 IP 주소가 강조 표시된 새 조건부 전달자 대화 상자입니다.](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/new_cond_forwarder_diag_box_2.png)

1. [**Store this conditional forwarder in Active Directory, and replicate it as follows**]를 선택합니다.

1. [**All DNS servers in this domain**]을 선택하고 [**OK**]를 선택합니다.

**다음 단계**

[2단계: AWS 관리형 Microsoft AD 준비](ms_ad_tutorial_setup_trust_prepare_mad.md)