기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS 관리형 Microsoft AD 테스트 랩 자습서
이 섹션에서는 AWS Managed Microsoft AD를 실험할 수 AWS 있는 테스트 랩 환경을 설정하는 데 도움이 되는 일련의 안내 자습서를 제공합니다.
**Topics**
+ [자습서:에서 기본 AWS Managed Microsoft AD 테스트 랩 설정 AWS](ms_ad_tutorial_test_lab_base.md)
+ [자습서: AWS Managed Microsoft AD에서 Amazon EC2의 자체 관리형 Active Directory 설치로의 신뢰 생성](ms_ad_tutorial_test_lab_trust.md)
# 자습서:에서 기본 AWS Managed Microsoft AD 테스트 랩 설정 AWS
이 자습서에서는 Windows Server 2019를 실행하는 새 Amazon EC2 인스턴스를 사용하는 새 AWS 관리형 Microsoft AD 설치를 준비하도록 AWS 환경을 설정하는 방법을 설명합니다. 그런 다음 일반적인 Active Directory 관리 도구를 사용하여 EC2 Windows 인스턴스에서 AWS 관리형 Microsoft AD 환경을 관리하도록 알려줍니다. 자습서를 완료하면 네트워크 사전 조건을 설정하고 새 AWS Managed Microsoft AD 포리스트를 구성하게 됩니다.
다음 그림과 같이이 자습서에서 생성한 랩은 AWS 관리형 Microsoft AD에 대한 실습 학습의 기본 구성 요소입니다. 더 많은 실무 경험이 필요할 경우 나중에 선택적 자습서를 추가할 수 있습니다. 이 자습서 시리즈는 AWS Managed Microsoft AD를 처음 접하고 평가용으로 테스트 랩을 원하는 사람에게 이상적입니다. 이 자습서는 완료하는데 약 1시간이 걸립니다.
![\[자습서 단계를 보여주는 다이어그램: 1 환경 설정, 2 AWS Managed Microsoft AD 생성, 3 Amazon EC2 배포, 4 랩 테스트.\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase.png)
**[1단계: AWS 관리형 Microsoft AD Active Directory에 대한 AWS 환경 설정](microsoftadbasestep1.md)**
사전 필수 작업을 완료했으면 EC2 인스턴스에서 Amazon VPC를 생성하고 구성합니다.
**[2단계: AWS 관리형 Microsoft AD Active Directory 생성](microsoftadbasestep2.md)**
이 단계에서는에서 AWS 관리형 Microsoft AD AWS 를 처음으로 설정합니다.
**[3단계: Amazon EC2 인스턴스를 배포하여 AWS 관리형 Microsoft AD Active Directory 관리](microsoftadbasestep3.md)**
여기서 클라이언트 컴퓨터가 새 도메인에 연결하고 EC2에서 새 Windows Server 시스템을 설정하는 데 필요한 다양한 배포 후 작업을 살펴보겠습니다.
**[4단계: 기본 테스트 랩이 작동하는지 확인](microsoftadbasestep4.md)**
마지막으로 관리자로서 EC2 내 Windows Server 시스템에 로그인하여 AWS Managed Microsoft AD에 연결할 수 있는지 확인합니다. 테스트에서 랩이 작동하는지 성공적으로 확인되면 계속해서 다른 테스트 랩 가이드 모듈을 추가할 수 있습니다.
# 사전 조건
이 자습서의 UI 단계를 사용하여 테스트 랩을 생성할 계획이면 이 사전 요구 사항 단원을 건너뛰고 1단계로 넘어갈 수 있습니다. 그러나 AWS CLI 명령 또는 AWS Tools for Windows PowerShell 모듈을 사용하여 테스트 랩 환경을 생성하려는 경우 먼저 다음을 구성해야 합니다.
+ **액세스 및 보안 액세스 키가 있는 IAM 사용자** - AWS CLI 또는 AWS Tools for Windows PowerShell 모듈을 사용하려면 액세스 키가 있는 IAM 사용자가 필요합니다. 액세스 키가 없는 경우 [액세스 키 생성, 수정, 확인(AWS Management Console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey) 단원을 참조하세요.
+ **AWS Command Line Interface (선택 사항)** - [Windows AWS CLI 에서를 다운로드하고 설치합니다](https://docs.aws.amazon.com/cli/latest/userguide/install-windows.html). 설치가 완료되면 명령 프롬프트 또는 PowerShell 창을 열고 `aws configure`를 입력합니다. 설정을 완료하려면 액세스 키와 보안 키가 필요합니다. 이렇게 하는 방법은 첫 번째 사전 요구 사항을 참조하세요. 다음과 같은 메시지가 표시됩니다.
+ AWS 액세스 키 ID [없음]: `AKIAIOSFODNN7EXAMPLE`
+ AWS 보안 액세스 키 [없음]: `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`
+ Default Region name [None]: `us-west-2`
+ Default output format [None]: `json`
+ **AWS Tools for Windows PowerShell** **(선택 사항)** — [https://aws.amazon.com/powershell/](https://aws.amazon.com/powershell/)에서 AWS Tools for Windows PowerShell 의 최신 버전을 다운로드하여 설치한 다음 다음 명령을 실행합니다. 설정을 완료하려면 액세스 키와 보안 키가 필요합니다. 이렇게 하는 방법은 첫 번째 사전 요구 사항을 참조하세요.
`Set-AWSCredentials -AccessKey {AKIAIOSFODNN7EXAMPLE} -SecretKey {wJalrXUtnFEMI/K7MDENG/ bPxRfiCYEXAMPLEKEY} -StoreAs {default}`
# 1단계: AWS 관리형 Microsoft AD Active Directory에 대한 AWS 환경 설정
AWS 테스트 랩에서 AWS 관리형 Microsoft AD를 생성하려면 먼저 모든 로그인 데이터가 암호화되도록 Amazon EC2 키 페어를 설정해야 합니다.
## 키 페어 생성
이미 키 페어가 있다면 이 단계를 생략할 수 있습니다. Amazon EC2 키 페어에 대한 자세한 내용은 [키 페어 생성](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/create-key-pairs.html)을 참조하세요.
**키 페어 생성**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) Amazon EC2 콘솔을 엽니다.
1. 탐색 창의 [**Network & Security**]에서 [**Key Pairs**]를 선택하고 [**Create Key Pair**]를 선택합니다.
1. **키 페어 이름**에 **AWS-DS-KP**를 입력합니다. **Key pair file format(키 페어 파일 형식)**에 대해 **pem**을 선택한 다음 **생성**을 선택합니다.
1. 브라우저에서 프라이빗 키 파일이 자동으로 다운로드됩니다. 파일 이름은 키 페어를 생성할 때 지정한 이름이며 확장명은 `.pem`입니다. 안전한 장소에 프라이빗 키 파일을 저장합니다.
**중요**
이때가 사용자가 프라이빗 키 파일을 저장할 수 있는 유일한 기회입니다. 인스턴스를 시작할 때 키 페어의 이름을 제공하고, 인스턴스의 암호를 복호화할 때마다 해당 프라이빗 키를 제공해야 합니다.
## 두 Amazon VPC 생성, 구성, 피어링
다음 그림과 같이 이 다단계 프로세스를 마치면 퍼블릭 VPC 두 개, VPC당 퍼블릭 서브넷 두 개, VPC당 인터넷 게이트웨이 한 개, VPC 간 VPC 피어링 연결 한 개를 생성하고 구성한 것입니다. 단순성 및 비용을 위해 퍼블릭 VPC 및 서브넷을 사용하기로 결정했습니다. 프로덕션 워크로드의 경우 프라이빗 VPC를 사용하는 것이 좋습니다. VPC 보안 향상에 대한 자세한 내용은 [Amazon Virtual Private Cloud의 보안](https://docs.aws.amazon.com/vpc/latest/userguide/security.html)을 참조하세요.
![\[서브넷이 있는 Amazon VPC 환경 및 AWS 관리형 Microsoft AD Active Directory를 생성하기 위한 인터넷 게이트웨이.\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)
모든 AWS CLI 및 PowerShell 예제는 아래의 VPC 정보를 사용하며 us-west-2에 내장되어 있습니다. 환경을 구축할 [지원되는 리전](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html)을 선택할 수 있습니다. 일반적인 내용은 [Amazon VPC란?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)을 참조하세요.
**1단계: 두 개의 VPC 생성**
이 단계에서는 다음 표의 지정된 파라미터를 사용하여 동일한 계정에 두 개의 VPCs를 생성해야 합니다. AWS 관리형 Microsoft AD는 [AWS 관리형 Microsoft AD 공유](ms_ad_directory_sharing.md) 기능과 함께 별도의 계정 사용을 지원합니다. 첫 번째 VPC는 AWS 관리형 Microsoft AD에 사용됩니다. 두 번째 VPC는 나중에 [자습서: AWS Managed Microsoft AD에서 Amazon EC2의 자체 관리형 Active Directory 설치로의 신뢰 생성](ms_ad_tutorial_test_lab_trust.md)에서 사용할 수 있는 리소스에 사용됩니다.
****
| 관리형 Active Directory VPC 정보 | 온프레미스 VPC 정보 |
| --- | --- |
| 이름 태그: AWS-DS-VPC01 IPv4 CIDR 블록: 10.0.0.0/16 IPv6 CIDR block: No IPv6 CIDR Block 테넌시: 기본값 | 이름 태그: AWS-OnPrem-VPC01 IPv4 CIDR 블록: 10.100.0.0/16 IPv6 CIDR block: No IPv6 CIDR Block 테넌시: 기본값 |
자세한 지침은 [VPC 생성](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC)을 참조하세요.
**2단계: VPC당 두 개의 서브넷 생성**
VPC를 생성한 후에는 다음 표의 지정된 파라미터를 사용하여 VPC당 두 개의 서브넷을 생성해야 합니다. 이 테스트 랩의 경우 각 서브넷은 /24가 됩니다. 이렇게 하면 서브넷당 최대 256개의 주소를 발급할 수 있습니다. 각 서브넷은 별도의 AZ에 있어야 합니다. AZ에서 각 서브넷을 별도로 배치하는 것은 [AWS 관리형 Microsoft AD를 생성하기 위한 사전 조건](ms_ad_getting_started.md#ms_ad_getting_started_prereqs) 중 하나입니다.
****
| AWS-DS-VPC01 서브넷 정보: | AWS-OnPrem-VPC01 서브넷 정보 |
| --- | --- |
| 이름 태그: AWS-DS-VPC01-Subnet01 VPC: vpc-xxxxxxxxxxxxxxxxxxxxx AWS-DS-VPC01 가용 영역: us-west-2a IPv4 CIDR 블록: 10.0.0.0/24 | 이름 태그: AWS-OnPrem-VPC01-Subnet01 VPC: vpc-xxxxxxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 가용 영역: us-west-2a IPv4 CIDR 블록: 10.100.0.0/24 |
| 이름 태그: AWS-DS-VPC01-Subnet02 VPC: vpc-xxxxxxxxxxxxxxxxxxxxx AWS-DS-VPC01 가용 영역: us-west-2b IPv4 CIDR 블록: 10.0.1.0/24 | 이름 태그: AWS-OnPrem-VPC01-Subnet02 VPC: vpc-xxxxxxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 가용 영역: us-west-2b IPv4 CIDR 블록: 10.100.1.0/24 |
자세한 지침은 [VPC에서 서브넷 생성](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet)을 참조하세요.
**3단계: 인터넷 게이트웨이 생성 및 VPC에 연결**
퍼블릭 VPC를 사용하고 있으므로 다음 표의 지정된 파라미터를 사용하여 인터넷 게이트웨이를 생성하고 VPC에 연결해야 합니다. 이렇게 하면 EC2 인스턴스에 연결하고 관리할 수 있습니다.
****
| AWS-DS-VPC01 인터넷 게이트웨이 정보 | AWS-OnPrem-VPC01 인터넷 게이트웨이 정보 |
| --- | --- |
| 이름 태그: AWS-DS-VPC01-IGW VPC: vpc-xxxxxxxxxxxxxxxxxxxxx AWS-DS-VPC01 | 이름 태그: AWS-OnPrem-VPC01-IGW VPC: vpc-xxxxxxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 |
자세한 지침은 [인터넷 게이트웨이](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)를 참조하세요.
**4단계: AWS-DS-VPC01과 - AWS-OnPrem-VPC01 간의 VPC 피어링 연결 구성**
이전에 이미 두 개의 VPC를 생성했으므로 다음 표의 지정된 파라미터를 사용하여 VPC 피어링으로 이 두 VPC를 함께 네트워크로 연결해야 합니다. VPC를 연결하는 방법에는 여러 가지가 있지만이 자습서에서는 VPC 피어링을 사용합니다. AWS 관리형 Microsoft AD는 VPCs를 연결하는 여러 솔루션을 지원하며,이 중 일부에는 [VPC 피어링](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html), [Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 및 [VPN](https://docs.aws.amazon.com/vpc/latest/adminguide/Welcome.html)이 포함됩니다.
****
| |
| --- |
| 피어링 연결 이름 태그: AWS-DS-VPC01&AWS-OnPrem-VPC01-Peer VPC(요청자): vpc-xxxxxxxxxxxxxxxxxxxxx AWS-DS-VPC01 계정: 내 계정 리전: 이 리전 VPC(수락자): vpc-xxxxxxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 |
계정에 있는 다른 VPC와의 VPC 피어링 연결을 생성하는 방법에 대한 지침은 [계정에 있는 다른 VPC와의 VPC 피어링 연결 생성](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#create-vpc-peering-connection-local)을 참조하세요.
**5단계: 각 VPC의 기본 라우팅 테이블에 두 개의 라우팅 추가**
이전 단계에서 생성된 인터넷 게이트웨이 및 VPC 피어링 연결이 작동하려면 다음 표의 지정된 파라미터를 사용하여 두 VPC의 기본 라우팅 테이블을 업데이트해야 합니다. 라우팅 테이블에 명시적으로 알려지지 않은 모든 대상으로 라우팅되는 0.0.0.0/0과 위에 설정된 VPC 피어링 연결을 통해 각 VPC로 라우팅되는 10.0.0.0/16 또는 10.100.0.0/16인 두 라우팅을 추가합니다.
VPC 이름 태그(AWS-DS-VPC01 또는-OnPrem-VPC AWS-OnPrem-VPC01)를 필터링하여 각 VPC에 대한 올바른 라우팅 테이블을 쉽게 찾을 수 있습니다.
****
| AWS-DS-VPC01 라우팅 1 정보 | AWS-DS-VPC01 라우팅 2 정보 | AWS-OnPrem-VPC01 라우팅 1 정보 | AWS-OnPrem-VPC01 라우팅 2 정보 |
| --- | --- | --- | --- |
| 대상 주소: 0.0.0.0/0 대상: igw-xxxxxxxxxxxxxxxxxxxxx AWS-DS-VPC01-IGW | 대상 주소: 10.100.0.0/16 대상: pcx- AWS xxxxxxxxxxxxxxxxxxxxx-DS-VPC01&AWS-OnPrem-VPC01-Peer | 대상 주소: 0.0.0.0/0 대상: igw-xxxxxxxxxxxxxxxxx AWS-Onprem-VPC01 | 대상 주소: 10.0.0.0/16 대상: pcx- AWS xxxxxxxxxxxxxxxxxxxxx-DS-VPC01&AWS-OnPrem-VPC01-Peer |
VPC 라우팅 테이블에 라우팅을 추가하는 방법에 대한 지침은 [라우팅 테이블에서 라우팅 추가 및 제거](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes)를 참조하세요.
## Amazon EC2 인스턴스에 대한 보안 그룹 생성
기본적으로 AWS 관리형 Microsoft AD는 도메인 컨트롤러 간의 트래픽을 관리하는 보안 그룹을 생성합니다. 이 단원에서는 다음 표의 지정된 파라미터를 사용하여 EC2 인스턴스의 VPC 내 트래픽을 관리하는 데 사용할 두 개의 보안 그룹(VPC당 하나씩)을 생성해야 합니다. 또한 모든 위치에서 들어오는 RDP(3389) 트래픽을 허용하고 로컬 VPC에서 들어오는 모든 트래픽 유형을 허용하는 규칙도 추가합니다. 자세한 내용은 [Amazon EC2 Windows 인스턴스에 대한 Amazon EC2 보안 그룹](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html) 단원을 참조하세요.
****
| AWS-DS-VPC01 보안 그룹 정보: |
| --- |
| 보안 그룹 이름: AWS DS Test Lab 보안 그룹 설명: AWS DS 테스트 랩 보안 그룹 VPC: vpc-xxxxxxxxxxxxxxxxxxxxx AWS-DS-VPC01 |
** AWS-DS-VPC01에 대한 보안 그룹 인바운드 규칙**
****
| Type | 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 |
| --- | --- | --- | --- | --- |
| 사용자 지정 TCP 규칙 | TCP | 3389 | 내 IP | 원격 데스크톱 |
| 모든 트래픽 | 모두 | 모두 | 10.0.0.0/16 | 모든 로컬 VPC 트래픽 |
** AWS-DS-VPC01용 보안 그룹 아웃바운드 규칙**
****
| Type | 프로토콜 | 포트 범위 | Destination | 트래픽 유형 |
| --- | --- | --- | --- | --- |
| 모든 트래픽 | 모두 | 모두 | 0.0.0.0/0 | 모든 트래픽 |
****
| AWS-OnPrem-VPC01 보안 그룹 정보: |
| --- |
| 보안 그룹 이름: AWS OnPrem 테스트 랩 보안 그룹. 설명: AWS OnPrem 테스트 랩 보안 그룹. VPC: vpc-xxxxxxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 |
** AWS-OnPrem-VPC01에 대한 보안 그룹 인바운드 규칙**
****
| Type | 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 |
| --- | --- | --- | --- | --- |
| 사용자 지정 TCP 규칙 | TCP | 3389 | 내 IP | 원격 데스크톱 |
| 사용자 지정 TCP 규칙 | TCP | 53 | 10.0.0.0/16 | DNS |
| 사용자 지정 TCP 규칙 | TCP | 88 | 10.0.0.0/16 | Kerberos |
| 사용자 지정 TCP 규칙 | TCP | 389 | 10.0.0.0/16 | LDAP |
| 사용자 지정 TCP 규칙 | TCP | 464 | 10.0.0.0/16 | Kerberos 암호 변경/설정 |
| 사용자 지정 TCP 규칙 | TCP | 445 | 10.0.0.0/16 | SMB/CIFS |
| 사용자 지정 TCP 규칙 | TCP | 135 | 10.0.0.0/16 | 복제 |
| 사용자 지정 TCP 규칙 | TCP | 636 | 10.0.0.0/16 | LDAP SSL |
| 사용자 지정 TCP 규칙 | TCP | 49,152\$165,535 | 10.0.0.0/16 | RPC |
| 사용자 지정 TCP 규칙 | TCP | 3268 - 3269 | 10.0.0.0/16 | LDAP GC 및 LDAP GC SSL |
| 사용자 지정 UDP 규칙 | UDP | 53 | 10.0.0.0/16 | DNS |
| 사용자 지정 UDP 규칙 | UDP | 88 | 10.0.0.0/16 | Kerberos |
| 사용자 지정 UDP 규칙 | UDP | 123 | 10.0.0.0/16 | Windows 시간 |
| 사용자 지정 UDP 규칙 | UDP | 389 | 10.0.0.0/16 | LDAP |
| 사용자 지정 UDP 규칙 | UDP | 464 | 10.0.0.0/16 | Kerberos 암호 변경/설정 |
| 모든 트래픽 | 모두 | 모두 | 10.100.0.0/16 | 모든 로컬 VPC 트래픽 |
** AWS-OnPrem-VPC01에 대한 보안 그룹 아웃바운드 규칙**
****
| Type | 프로토콜 | 포트 범위 | Destination | 트래픽 유형 |
| --- | --- | --- | --- | --- |
| 모든 트래픽 | 모두 | 모두 | 0.0.0.0/0 | 모든 트래픽 |
규칙을 생성하고 보안 그룹에 추가하는 방법에 대한 세부 지침은 [보안 그룹 작업](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)을 참조하세요.
# 2단계: AWS 관리형 Microsoft AD Active Directory 생성
디렉터리를 생성할 수 있는 방법은 세 가지가 있습니다. 프로시저(이 자습서에서는 권장)를 AWS Management Console 사용하거나 AWS CLI 또는 AWS Tools for Windows PowerShell 프로시저를 사용하여 디렉터리를 생성할 수 있습니다.
**방법 1: AWS 관리형 Microsoft AD 디렉터리를 생성하려면(AWS Management Console)**
1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택한 후 **디렉터리 설정**을 선택합니다.
1. **Select directory type(디렉터리 유형 선택)** 페이지에서 **AWS Managed Microsoft AD**를 선택하고 **Next(다음)**를 선택합니다.
1. **Enter directory information(디렉터리 정보 입력)** 페이지에서 다음 정보를 입력한 후 **다음**을 선택합니다.
+ **Edition(에디션)**에서 **Standard Edition** 또는 **Enterprise Edition**을 선택합니다. 에디션에 대한 자세한 내용은 [AWS Directory Service for Microsoft Active Directory](what_is.md#microsoftad)를 참조하세요.
+ **Directory DNS name(디렉터리 DNS 이름)**에 **corp.example.com**를 입력합니다.
+ **Directory NetBIOS name(디렉터리 NetBIOS 이름)**에 **corp**를 입력합니다.
+ **Directory description(디렉터리 설명)**에 **AWS DS Managed**를 입력합니다.
+ [**Admin password**]에 이 계정에서 사용할 암호를 입력한 다음 [**Confirm password**]에도 다시 입력합니다. 이 **Admin** 계정은 디렉터리 생성 프로세스 도중 자동으로 생성됩니다. 암호에 *admin*이라는 말을 포함할 수 없습니다. 디렉터리 관리자 암호는 대소문자를 구분하며 길이가 8\$164자 사이여야 합니다. 또한 다음 네 범주 중 세 개에 해당하는 문자를 1자 이상 포함해야 합니다.
+ 소문자(a-z)
+ 대문자(A-Z)
+ 숫자(0-9)
+ 영숫자 외의 특수 문자(\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
1. **VPC 및 서브넷 선택** 페이지에서 다음 정보를 제공한 후 **다음**을 선택합니다.
+ **VPC**에서 **AWS-DS-VPC01**로 시작하고 **(10.0.0.0/16)**으로 끝나는 옵션을 선택합니다.
+ **서브넷**에서 **10.0.0.0/24** 및 **10.0.1.0/24** 퍼블릭 서브넷을 선택합니다.
1. **검토 및 생성** 페이지에서 디렉터리 정보를 검토하고 필요한 사항을 변경합니다. 정보가 올바르면 **디렉터리 생성**을 선택합니다. 디렉터리 생성은 20\$140분 정도 걸립니다. 생성이 완료되면 **상태** 값이 **활성** 상태로 변경됩니다.
**방법 2: AWS 관리형 Microsoft AD 생성(PowerShell)(선택 사항)**
1. PowerShell를 엽니다.
1. 다음 명령을 입력합니다. 이전 AWS Management Console 절차의 4단계에 제공된 값을 사용해야 합니다.
```
New-DSMicrosoftAD -Name corp.example.com –ShortName corp –Password P@ssw0rd –Description "AWS DS Managed" - VpcSettings_VpcId vpc-xxxxxxxx -VpcSettings_SubnetId subnet-xxxxxxxx, subnet-xxxxxxxx
```
**방법 3: AWS 관리형 Microsoft AD를 생성하려면(AWS CLI)(선택 사항)**
1. 를 엽니다 AWS CLI.
1. 다음 명령을 입력합니다. 이전 AWS Management Console 절차의 4단계에 제공된 값을 사용해야 합니다.
```
aws ds create-microsoft-ad --name corp.example.com --short-name corp --password P@ssw0rd --description "AWS DS Managed" --vpc-settings VpcId= vpc-xxxxxxxx,SubnetIds= subnet-xxxxxxxx, subnet-xxxxxxxx
```
# 3단계: Amazon EC2 인스턴스를 배포하여 AWS 관리형 Microsoft AD Active Directory 관리
이 랩에서는 어디서든 간편하게 관리 인스턴스에 액세스할 수 있도록 퍼블릭 IP 주소를 갖는 Amazon EC2 인스턴스를 사용합니다. 프로덕션 설정에서는 VPN 또는 Direct Connect 링크를 통해서만 액세스할 수 있는 프라이빗 VPC에 위치하는 인스턴스를 사용할 수 있습니다. 인스턴스가 퍼블릭 IP 주소를 가져야 하는 요구 사항은 없습니다.
이 단원에서는 클라이언트 컴퓨터가 새 EC2 인스턴스에서 Windows Server를 사용하여 도메인에 연결하는 데 필요한 다양한 배포 후 작업을 살펴보겠습니다. 다음 단계에서 Windows Server를 사용하여 랩이 작동하는지 확인합니다.
## 선택 사항: 디렉터리에 대해 AWS-DS-VPC01에서 DHCP 옵션 세트 생성
이 선택적 절차에서는 VPC의 EC2 인스턴스가 DNS 확인에 AWS 관리형 Microsoft AD를 자동으로 사용하도록 DHCP 옵션 범위를 설정합니다. 자세한 내용은 [DHCP 옵션 세트](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html) 단원을 참조하세요.
**디렉터리에 대한 DHCP 옵션 세트를 생성하는 방법**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 [**DHCP Options Sets**]를 선택한 후 [**Create DHCP options set**]를 선택합니다.
1. **Create DHCP options set(DHCP 옵션 세트 생성)** 페이지에서 디렉터리에 대해 다음 값을 입력합니다.
+ **Name**에 **AWS DS DHCP**를 입력합니다.
+ **도메인 이름**에 **corp.example.com**를 입력합니다.
+ **도메인 이름 서버**에 디렉터리의 DNS 서버가 제공하는 AWS 의 IP 주소를 입력합니다.
**참고**
이러한 주소를 찾으려면 Directory Service **디렉터리** 페이지로 이동한 다음 해당 디렉터리 ID를 선택합니다. **세부 정보** 페이지에서 **DNS 주소**에 표시된 IP를 식별하고 사용합니다.
또는, 이러한 주소를 찾으려면 Directory Service **디렉터리** 페이지로 이동하여 해당하는 디렉터리 ID를 선택합니다. 그런 다음 **Scale & share(크기 조정 및 공유)**를 선택합니다. **도메인 컨트롤러**에서 **IP 주소**에 표시된 IP를 식별하고 사용합니다.
+ **NTP servers(NTP 서버)**, **NetBIOS name servers(NetBIOS 이름 서버)** 및 **NetBIOS node type(NetBIOS 노드 유형)** 설정은 공란으로 둡니다.
1. **Create DHCP options set(DHCP 옵션 세트 생성)**를 선택하고, **닫기**를 선택합니다. 새 DHCP 옵션 세트가 DHCP 옵션 목록에 나타납니다.
1. 새로운 DHCP 옵션 세트의 ID를 기록해 두세요(**dopt-*xxxxxxxx***). 이 절차의 끝부분에서 새 옵션 세트를 VPC와 연결할 때 이 ID를 사용합니다.
**참고**
원활한 도메인 조인은 DHCP 옵션 세트를 구성하지 않고도 작동합니다.
1. 탐색 창에서 **Your VPCs**를 선택합니다.
1. VPC 목록에서, **AWS DS VPC**, **작업**, **Edit DHCP Options Set(DHCP 옵션 세트 편집)**를 차례대로 선택합니다.
1. **Edit DHCP Options Set(DHCP 옵션 세트 편집)** 대화 상자에 5단계에서 기록한 옵션 세트를 선택하고 **저장**을 선택합니다.
## Windows 인스턴스를 AWS 관리형 Microsoft AD 도메인에 조인하는 역할 생성
이 절차를 사용하여 Amazon EC2 Windows 인스턴스를 도메인에 조인하는 역할을 구성합니다. 자세한 내용은 [AWS 관리형 Microsoft AD Active Directory에 Amazon EC2 Windows 인스턴스 조인](launching_instance.md) 단원을 참조하십시오.
**Windows 인스턴스를 도메인에 조인하기 위해 EC2를 구성하려면**
1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.
1. IAM 콘솔의 탐색 창에서 **역할**을 선택하고 **역할 생성**을 선택합니다.
1. **신뢰할 수 있는 엔티티 유형 선택** 아래에서 **AWS 서비스**를 선택합니다.
1. **이 역할을 사용할 서비스 선택**에서 **EC2**와 **다음: 권한**을 차례대로 선택합니다.
1. **연결된 권한 정책** 페이지에서 다음을 수행합니다.
+ **AmazonSSMManagedInstanceCore** 관리형 정책 옆의 확인란을 선택하세요. 이 정책에서는 Systems Manager 서비스 사용에 필요한 최소 권한을 제공합니다.
+ **AmazonSSMDirectoryServiceAccess** 관리형 정책 옆의 확인란를 선택하세요. 이 정책은 Directory Service에 의해 관리되는 Active Directory에 인스턴스를 조인할 수 있는 권한을 제공합니다.
Systems Manager에 대한 IAM 인스턴스 프로파일에 연결할 수 있는 관리형 정책 및 기타 정책에 대한 정보는 *AWS Systems Manager 사용 설명서*의 [Systems Manager에 대한 IAM 인스턴스 프로파일 생성](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html)을 참조하세요. 관리형 정책에 대한 정보는 *IAM 사용 설명서*에서 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.
1. **다음: 태그**를 선택합니다.
1. (선택 사항) 이 역할에 대한 액세스를 구성, 추적 또는 제어할 태그-키 값 페어를 하나 이상 추가한 후 **다음: 검토**를 선택합니다.
1. **역할 이름**에 **EC2DomainJoin**과 같이 인스턴스를 도메인에 조인하는 데 사용되는 역할임을 설명하는 이름을 입력하세요.
1. (선택 사항)**역할 설명**에 설명을 입력합니다.
1. **역할 생성**을 선택합니다. 그러면 **역할** 페이지로 돌아갑니다.
## Amazon EC2 인스턴스를 생성하고 자동으로 디렉터리를 조인
이 절차에서는 나중에 Active Directory에서 사용자, 그룹, 정책을 관리하는 데 사용할 수 있는 Windows Server 시스템을 EC2 인스턴스에서 설정합니다.
**EC2 인스턴스를 생성하고 자동으로 디렉터리를 조인하려면**
1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다.
1. **인스턴스 시작**을 선택합니다.
1. **1단계** 페이지의 **Microsoft Windows Server 2019 Base - ami-*xxxxxxxxxxxxxxxxx*** 옆에서 **선택**을 선택합니다.
1. **2단계** 페이지에서 **t3.micro**(이보다 더 큰 인스턴스 유형을 선택할 수 있음)를 선택한 다음 **Next: Configure Instance Details(다음: 인스턴스 세부 정보 구성)**를 선택합니다.
1. [**Step 3**] 페이지에서 다음을 수행합니다.
+ **네트워크**에서 **AWS-DS-VPC01**로 끝나는 VPC(예: **vpc-*xxxxxxxxxxxxxxxxx* \$1 AWS-DS-VPC01**)를 선택합니다.
+ **서브넷**에서 **Public subnet 1(퍼블릭 서브넷 1)**을 선택합니다. 이 서브넷은 선호하는 가용 영역용으로 미리 구성되어야 합니다(예: **subnet-*xxxxxxxxxxxxxxxxx* \$1 AWS-DS-VPC01-Subnet01 \$1 *us-west-2a***).
+ [**Auto-assign Public IP**]에서 [**Enable**]을 선택합니다(서브넷 설정이 기본적으로 [Enable]로 설정되지 않은 경우).
+ **도메인 조인 디렉터리**에서 **corp.example.com (d-*xxxxxxxxxx*)**을 선택합니다.
+ **IAM 역할**의 경우 [Windows 인스턴스를 AWS 관리형 Microsoft AD 도메인에 조인하는 역할 생성](#configureec2)에서 인스턴스 역할에 부여한 이름 (예: **EC2DomainJoin**)을 선택합니다.
+ 나머지 설정은 기본값을 유지합니다.
+ **다음: 스토리지 추가**를 선택합니다.
1. [**Step 4**] 페이지에서 기본 설정을 유지하고 [**Next: Add Tags**]를 선택합니다.
1. [**Step 5**] 페이지에서 [**Add Tag**]를 선택합니다. **키** 아래에서 **corp.example.com-mgmt**를 입력하고 **Next: Configure Security Group(다음: 보안 그룹 구성)**을 선택합니다.
1. **6단계** 페이지에서 **기존 보안 그룹 선택**을 선택하고 **AWS DS Test Lab 보안 그룹**(이전에 [기본 자습서](microsoftadbasestep1.md#createsecuritygroup)에서 설정한 항목)을 선택한 다음, **검토 및 시작**을 선택하여 인스턴스를 검토합니다.
1. [**Step 7**] 페이지에서 페이지를 검토한 다음 [**Launch**]를 선택합니다.
1. [**Select an existing key pair or create a new key pair**] 대화 상자에서 다음을 수행합니다.
+ [**Choose an existing key pair**]를 선택합니다.
+ **Select a key pair**에서 **AWS-DS-KP**를 선택합니다.
+ [**I acknowledge...**] 확인란을 선택합니다.
+ **인스턴스 시작(Launch Instances)**을 선택합니다.
1. **인스턴스 보기**를 선택하여 Amazon EC2 콘솔로 돌아가 배포 상태를 확인합니다.
## EC2 인스턴스에 Active Directory 도구 설치
EC2 인스턴스에 Active Directory 도메인 관리 도구를 설치하는 방법은 두 가지가 있습니다. Server Manager UI(이 자습서에서 권장하는 방법) 또는 PowerShell을 사용할 수 있습니다.
**EC2 인스턴스에 Active Directory 도구를 설치하려면(Server Manager)**
1. Amazon EC2 콘솔에서 **Instances**를 선택하고, 방금 생성한 인스턴스를 선택한 다음 **Connect**를 선택합니다.
1. **사용자 인스턴스에 연결** 대화 상자에서 **암호 가져오기**를 선택하여 암호를 검색(아직 암호를 검색하지 않은 경우)한 다음 **원격 데스크톱 파일 다운로드**를 선택합니다.
1. **Windows Security** 대화 상자에서 Windows Server 컴퓨터에 대한 로컬 관리자 자격 증명을 입력하여 로그인합니다(예: **administrator**).
1. [**Start**] 메뉴에서 [**Server Manager**]를 선택합니다.
1. [**Dashboard**]에서 [**Add Roles and Features**]를 선택합니다.
1. [**Add Roles and Features Wizard**]에서 [**Next**]를 선택합니다.
1. [**Select installation type**] 페이지에서 [**Role-based or feature-based installation**]을 선택하고 [**Next**]를 선택합니다.
1. [**Select destination server**] 페이지에서 로컬 서버가 선택되어 있는지 확인한 다음 [**Next**]를 선택합니다.
1. [**Select server roles**] 페이지에서 [**Next**]를 선택합니다.
1. [**Select features**] 페이지에서 다음을 수행합니다.
+ [**Group Policy Management**] 확인란을 선택합니다.
+ [**Remote Server Administration Tools**]를 확장한 다음 [**Role Administration Tools**]를 확장합니다.
+ [**AD DS and AD LDS Tools**] 확인란을 선택합니다.
+ [**DNS Server Tools**] 확인란을 선택합니다.
+ **다음**을 선택합니다.
1. [**Confirm installation selections**] 페이지에서 정보를 검토하고 [**Install**]을 선택합니다. 기능 설치가 완료되면 [Start] 메뉴의 [Windows Administrative Tools] 폴더에서 다음과 같은 새 도구 또는 스냅인을 사용할 수 있습니다.
+ Active Directory Administrative Center
+ Active Directory Domains and Trusts
+ PowerShell에 대한 Active Directory 모듈
+ Active Directory 사이트 및 서비스
+ Active Directory Users and Computers
+ ADSI Edit
+ DNS
+ 그룹 정책 관리
**EC2 인스턴스에 Active Directory 도구를 설치하려면(PowerShell)(선택 사항)**
1. Start PowerShell.
1. 다음 명령을 입력합니다.
```
Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
```
# 4단계: 기본 테스트 랩이 작동하는지 확인
추가 테스트 랩 가이드 모듈을 설치하기 전에 다음 절차를 사용하여 테스트 랩이 성공적으로 설정되었는지 확인합니다. 이 절차는 Windows Server가 적절하게 구성되어 있고, corp.example.com 도메인에 연결할 수 있으며, AWS 관리형 Microsoft AD 포리스트를 관리하는 데 사용할 수 있는지 확인합니다.
**테스트 랩이 작동하는지 확인하려면**
1. 로컬 관리자로 로그인한 EC2 인스턴스에서 로그아웃합니다.
1. Amazon EC2 콘솔로 돌아가 탐색 창에서 **Instances**를 선택합니다. 그럼 다음 방금 생성한 인스턴스를 선택합니다. **연결**을 선택합니다.
1. [**Connect To Your Instance**] 대화 상자에서 [**Download Remote Desktop File**]을 선택합니다.
1. **Windows Security** 대화 상자에서 CORP 도메인에 대한 관리자 자격 증명을 입력하여 로그인합니다(예: **corp\$1admin**).
1. 로그인 후 [**Start**] 메뉴의 [**Windows Administrative Tools**] 아래에서 [**Active Directory Users and Computers**]를 선택합니다.
1. 새 도메인과 연결된 모든 기본 OU 및 계정과 함께 [**corp.example.com**]이 표시될 것입니다. **도메인 컨트롤러**에서이 자습서의 2단계에서 AWS 관리형 Microsoft AD를 다시 생성할 때 자동으로 생성된 도메인 컨트롤러의 이름을 확인합니다.
축하합니다\$1 이제 AWS 관리형 Microsoft AD 기본 테스트 랩 환경이 구성되었습니다. 이 시리즈의 다음 테스트 랩을 추가할 준비가 되었습니다.
다음 자습서: [자습서: AWS Managed Microsoft AD에서 Amazon EC2의 자체 관리형 Active Directory 설치로의 신뢰 생성](ms_ad_tutorial_test_lab_trust.md)
# 자습서: AWS Managed Microsoft AD에서 Amazon EC2의 자체 관리형 Active Directory 설치로의 신뢰 생성
이 자습서에서는 [기본 자습서](ms_ad_tutorial_test_lab_base.md)에서 생성한 Microsoft Active Directory 포리스트용 AWS 디렉터리 서비스 간에 신뢰를 생성하는 방법을 알아봅니다. 또한 Amazon EC2 내 Windows Server에서 새 네이티브 Active Directory 포리스트를 생성하는 방법도 알아봅니다. 다음 그림과 같이이 자습서에서 생성한 랩은 전체 AWS Managed Microsoft AD 테스트 랩을 설정할 때 필요한 두 번째 구성 요소입니다. 테스트 랩을 사용하여 순수 클라우드 또는 하이브리드 클라우드 기반 AWS 솔루션을 테스트할 수 있습니다.
이 자습서는 한 번만 생성해야 합니다. 그런 다음 더 많은 환경이 필요할 경우 선택적 자습서를 추가할 수 있습니다.
![\[Microsoft Active Directory에서 자체 관리형 Active Directory로 신뢰를 생성하는 단계: 환경 설정, Microsoft Active Directory 생성, Amazon EC2 인스턴스 배포 및 랩 테스트.\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust.png)
**[1단계: 신뢰 관계 환경 설정](microsoftadtruststep1.md)**
새 Active Directory 포리스트와 [기본 자습서](ms_ad_tutorial_test_lab_base.md)에서 만든 AWS Managed Microsoft AD 포리스트 간에 신뢰 관계를 설정하려면 먼저 Amazon EC2 환경을 준비해야 합니다. 그러려면 먼저 Windows Server 2019 서버를 생성하고, 해당 서버를 도메인 컨트롤러로 승격한 다음 이에 따라 VPC를 구성합니다.
**[2단계: 신뢰 관계 생성](microsoftadtruststep2.md)**
이 단계에서는 Amazon EC2에서 호스팅되는 새로 생성된 Active Directory 포리스트와 AWS Managed Microsoft AD 포리스트 간에 양방향 포리스트 신뢰 관계를 생성합니다 AWS.
**[3단계: 신뢰 관계 확인](microsoftadtruststep3.md)**
마지막으로 관리자는 Directory Service 콘솔을 사용하여 새 신뢰가 작동하는지 확인합니다.
# 1단계: 신뢰 관계 환경 설정
이 섹션에서는 Amazon EC2 환경을 설정하고, 새 포리스트를 배포하고, 와의 신뢰를 위해 VPC를 준비합니다 AWS.
![\[Amazon VPC, 서브넷 및 Internet Gateway가 있는 Amazon EC2 환경에서 새 포리스트를 배포하고 신뢰 관계를 설정합니다.\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)
## Windows Server 2019 EC2 인스턴스 생성
다음 절차를 사용하여 Amazon EC2에서 Windows Server 2019 멤버 서버를 생성합니다.
**Windows Server 2019 EC2 인스턴스를 생성하려면**
1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다.
1. Amazon EC2 콘솔에서 **인스턴스 시작**을 선택합니다.
1. **1단계** 페이지의 목록에서 **Microsoft Windows Server 2019 Base - ami-*xxxxxxxxxxxxxxxxx***를 찾습니다. 그런 다음 **선택**을 선택합니다.
1. [**Step 2**] 페이지에서 [**t2.large**]를 선택하고 [**Next: Configure Instance Details**]를 선택합니다.
1. [**Step 3**] 페이지에서 다음을 수행합니다.
+ **네트워크**에서 **vpc-*xxxxxxxxxxxxxxxxx* AWS-OnPrem-VPC01**(앞서 [기본 자습서](microsoftadbasestep1.md#createvpc)에서 설정한 항목)을 선택합니다.
+ **서브넷**에서 **subnet-*xxxxxxxxxxxxxxxxx* \$1 AWS-OnPrem-VPC01-Subnet01 \$1 AWS-OnPrem-VPC01**을 선택합니다.
+ [**Auto-assign Public IP**] 목록에서 [**Enable**]을 선택합니다(서브넷 설정이 기본적으로 [**Enable**]로 설정되지 않은 경우).
+ 나머지 설정은 기본값을 유지합니다.
+ **다음: 스토리지 추가**를 선택합니다.
1. [**Step 4**] 페이지에서 기본 설정을 유지하고 [**Next: Add Tags**]를 선택합니다.
1. [**Step 5**] 페이지에서 [**Add Tag**]를 선택합니다. **키** 아래에서 **example.local-DC01**를 입력하고 **Next: Configure Security Group(다음: 보안 그룹 구성)**을 선택합니다.
1. **Step 6** 페이지에서 **Select an existing security group**을 선택하고 **AWS On-Prem Test Lab Security Group**(앞서 [기본 자습서](microsoftadbasestep1.md#createsecuritygroup)에서 설정한 항목)을 선택한 다음, **Review and Launch**를 선택하여 인스턴스를 검토합니다.
1. [**Step 7**] 페이지에서 페이지를 검토한 다음 [**Launch**]를 선택합니다.
1. [**Select an existing key pair or create a new key pair**] 대화 상자에서 다음을 수행합니다.
+ [**Choose an existing key pair**]를 선택합니다.
+ **Select a key pair** 아래에서 **AWS-DS-KP**(앞서 [기본 자습서](microsoftadbasestep1.md#createkeypair2)에서 설정한 항목)를 선택합니다.
+ [**I acknowledge...**] 확인란을 선택합니다.
+ **인스턴스 시작(Launch Instances)**을 선택합니다.
1. **인스턴스 보기**를 선택하여 Amazon EC2 콘솔로 돌아가 배포 상태를 확인합니다.
## 서버를 도메인 컨트롤러로 승격시킵니다
신뢰 관계를 생성하려면 먼저 새 포리스트에 대한 첫 번째 도메인 컨트롤러를 빌드 및 배포해야 합니다. 이 절차에서 새 Active Directory 포리스트를 구성하고, DNS를 설치하고, 이름 확인에 DNS 서버를 사용하도록 이 서버를 설정합니다. 이 절차의 끝부분에서 서버를 다시 부팅해야 합니다.
**참고**
온프레미스 네트워크와 복제 AWS 되는에서 도메인 컨트롤러를 생성하려면 먼저 EC2 인스턴스를 온프레미스 도메인에 수동으로 조인해야 합니다. 그런 다음 서버를 도메인 컨트롤러로 승격할 수 있습니다.
**서버를 도메인 컨트롤러로 승격하려면**
1. Amazon EC2 콘솔에서 **Instances**를 선택하고, 방금 생성한 인스턴스를 선택한 다음 **Connect**를 선택합니다.
1. [**Connect To Your Instance**] 대화 상자에서 [**Download Remote Desktop File**]을 선택합니다.
1. **Windows Security** 대화 상자에서 Windows Server 컴퓨터에 대한 로컬 관리자 자격 증명을 입력하여 로그인합니다(예: **administrator**). 아직 로컬 관리자 암호가 없는 경우 Amazon EC2 콘솔로 돌아가 인스턴스를 마우스 오른쪽 버튼으로 클릭하여 **Windows 암호 가져오기**를 선택합니다. `AWS DS KP.pem` 파일 또는 개인 `.pem` 키로 이동한 다음 [**Decrypt Password**]를 선택합니다.
1. [**Start**] 메뉴에서 [**Server Manager**]를 선택합니다.
1. [**Dashboard**]에서 [**Add Roles and Features**]를 선택합니다.
1. [**Add Roles and Features Wizard**]에서 [**Next**]를 선택합니다.
1. [**Select installation type**] 페이지에서 [**Role-based or feature-based installation**]을 선택하고 [**Next**]를 선택합니다.
1. [**Select destination server**] 페이지에서 로컬 서버가 선택되어 있는지 확인한 다음 [**Next**]를 선택합니다.
1. [**Select server roles**] 페이지에서 [**Active Directory Domain Services**]를 선택합니다. [**Add Roles and Features Wizard**] 대화 상자에서 [**Include management tools (if applicable)**] 확인란이 선택되어 있는지 확인합니다. [**Add Features**]를 선택한 다음 [**Next**]를 선택합니다.
1. [**Select features**] 페이지에서 [**Next**]를 선택합니다.
1. [**Active Directory Domain Services**] 페이지에서 [**Next**]를 선택합니다.
1. [**Confirm installation selections**] 페이지에서 [**Install**]을 선택합니다.
1. Active Directory 바이너리가 설치되면 [**Close**]를 선택합니다.
1. Server Manager가 열리면 **Manage** 옆의 상단에서 플래그를 찾습니다. 이 플래그가 노란색으로 바뀌면 서버를 승격할 준비가 된 것입니다.
1. 노란색 플래그를 선택한 다음 [**Promote this server to a domain controller**]를 선택합니다.
1. [**Deployment Configuration**] 페이지에서 [**Add a new forest**]를 선택합니다. **Root domain name(루트 도메인 이름)**에 **example.local**를 입력하고 **다음**을 선택합니다.
1. [**Domain Controller Options**] 페이지에서 다음을 수행합니다.
+ [**Forest functional level**] 및 [**Domain functional level**] 모두에서 [**Windows Server 2016**]을 선택합니다.
+ [**Specify domain controller capabilities**] 아래에서 [**DNS server**] 및 [**Global Catalog (GC)**]가 모두 선택되어 있는지 확인합니다.
+ DSRM(Directory Services Restore Mode) 암호를 입력하고 확인합니다. 그리고 **다음**을 선택합니다.
1. [**DNS Options**] 페이지에서 위임에 대한 경고를 무시하고 [**Next**]를 선택합니다.
1. **추가 옵션** 페이지에서 **EXAMPLE**이 NetBios 도메인 이름으로 나열되어 있는지 확인합니다.
1. [**Paths**] 페이지에서 기본값을 그대로 두고 [**Next**]를 선택합니다.
1. [**Review Options**] 페이지에서 [**Next**]를 선택합니다. 이제 서버가 도메인 컨트롤러 전제 조건이 모두 충족되었는지 확인합니다. 일부 경고가 표시될 수 있지만 무시해도 무방합니다.
1. **설치**를 선택합니다. 설치가 완료되면 서버가 다시 부팅한 후 도메인 컨트롤러가 동작 상태가 됩니다.
## VPC 구성
다음 세 절차에서 AWS와 연결을 위해 VPC를 구성하는 단계를 안내합니다.
**VPC 아웃바운드 규칙을 구성하는 방법**
1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/)에서 [기본 자습](microsoftadbasestep2.md)서에서 이전에 생성한 corp.example.com용 AWS 관리형 Microsoft AD 디렉터리 ID를 기록해 둡니다.
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Security Groups**를 선택합니다.
1. AWS 관리형 Microsoft AD 디렉터리 ID를 검색합니다. 검색 결과에서 "**AWS created security group for d-*xxxxxx* directory controllers**"라는 설명이 붙은 항목을 선택합니다.
**참고**
이 보안 그룹은 처음 디렉터리를 생성할 때 자동으로 생성된 것입니다.
1. 해당 보안 그룹 아래에서 [**Outbound Rules**] 탭을 선택합니다. [**Edit**]를 선택하고 [**Add another rule**]을 선택한 후 다음 값을 추가합니다.
+ [**Type**]에서 [**All Traffic**]을 선택합니다.
+ [**Destination**]에 **0.0.0.0/0**을 입력합니다.
+ 나머지 설정은 기본값을 유지합니다.
+ **저장**을 선택합니다.
**Kerberos 사전 인증이 활성화되었는지 확인하려면**
1. [**example.local**] 도메인 컨트롤러에서 **Server Manager**를 엽니다.
1. [**Tools**] 메뉴에서 [**Active Directory Users and Computers**]를 선택합니다.
1. **Users** 디렉터리로 이동하여 임의의 사용자를 마우스 오른쪽 버튼으로 클릭하고 **속성**을 선택한 후 **계정** 탭을 선택합니다. [**Account options**] 목록을 아래로 스크롤해서 [**Do not require Kerberos preauthentication**]가 선택되지 **않았는지** 확인합니다.
1. **corp.example.com-mgmt 인스턴스**의 **corp.example.com** 도메인에 대해서도 동일한 단계를 수행합니다.
**DNS 조건부 전달자를 구성하려면**
**참고**
조건부 전달자는 쿼리의 DNS 도메인 이름에 따라 DNS 쿼리를 전달하는 데 사용되는 네트워크의 DNS 서버입니다. 예를 들어 widgets.example.com으로 끝나는 이름에 대해 수신하는 모든 쿼리를 특정 DNS 서버의 IP 주소 또는 여러 DNS 서버의 IP 주소로 전달하도록 DNS 서버를 구성할 수 있습니다.
1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/)을 엽니다.
1. 탐색 창에서 **디렉터리**를 선택합니다.
1. AWS 관리형 Microsoft AD의 **디렉터리 ID**를 선택합니다.
1. 디렉터리의 정규화된 도메인 이름(FQDN) "**corp.example.com**"과 DNS 주소를 기록해 둡니다.
1. 이제 [**example.local**] 도메인 컨트롤러로 돌아가 **Server Manager**를 엽니다.
1. [**Tools**] 메뉴에서 [**DNS**]를 선택합니다.
1. 콘솔 트리에서 신뢰 관계를 설정 중인 도메인의 DNS 서버를 확장하고 [**Conditional Forwarders**]로 이동합니다.
1. [**Conditional Forwarders**]를 마우스 오른쪽 버튼으로 클릭하고 [**New Conditional Forwarder**]를 선택합니다.
1. DNS 도메인에 **corp.example.com**를 입력합니다.
1. **기본 서버의 IP 주소**에서 ****를 선택하고 AWS 관리형 Microsoft AD 디렉터리의 첫 번째 DNS 주소(이전 절차에서 기록한 주소)를 입력한 다음 **Enter** 키를 누릅니다. 두 번째 DNS 주소에 대해서도 똑같이 합니다. DNS 주소를 입력하고 나면 "timeout" 또는 "unable to resolve"라는 오류 메시지가 나타날 수 있습니다. 보통 이러한 오류 메시지는 무시해도 좋습니다.
1. [**Store this conditional forwarder in Active Directory, and replicate as follows**] 확인란을 선택합니다. 드롭다운 메뉴에서 [**All DNS servers in this Forest**]를 선택한 다음 [**OK**]를 선택하세요.
# 2단계: 신뢰 관계 생성
이 단원에서는 2개의 포리스트 신뢰 관계를 생성합니다. 한 신뢰는 EC2 인스턴스의 Active Directory 도메인에서 생성되고 다른 신뢰는의 AWS 관리형 Microsoft AD에서 생성됩니다 AWS.
![\[corp.example.com 및 example.local 간의 양방향 신뢰\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust_twoway.png)
**EC2 도메인에서 AWS 관리형 Microsoft AD로의 신뢰 관계를 생성하려면**
1. **example.local**에 로그인합니다.
1. **Server Manager**를 열고 콘솔에서 [**DNS**]를 선택합니다. 서버에 대해 나열된 IPv4 주소를 기록합니다. 다음 단계에서 **corp.example.com**에서 **example.local** 디렉터리로 조건부 전달자를 생성할 때 이 값이 필요합니다.
1. [**Tools**] 메뉴에서 [**Active Directory Domains and Trusts**]를 선택합니다.
1. 콘솔 트리에서 **example.local**을 마우스 오른쪽 버튼으로 클릭하고 [**Properties**]를 선택합니다.
1. [**Trusts**] 탭에서 [**New Trust**]를 선택하고 [**Next**]를 선택합니다.
1. **Trust Name(신뢰 관계 이름)** 페이지에서 **corp.example.com**를 입력하고 **다음**을 선택합니다.
1. [**Trust Type**] 페이지에서 [**Forest trust**]를 선택하고 [**Next**]를 선택합니다.
**참고**
AWS 관리형 Microsoft AD는 외부 신뢰도 지원합니다. 그렇지만 이 자습서의 목적상 여기에서는 양방향 포리스트 신뢰만 구성합니다.
1. [**Direction of Trust**] 페이지에서 [**Two-way**]를 선택하고 [**Next**]를 선택합니다.
**참고**
나중에 단방향 신뢰를 사용하여 이 작업을 시도하기로 결정한 경우 신뢰 방향이 올바르게 설정되었는지 확인합니다(신뢰하는 도메인에서 발신, 신뢰된 도메인에서 수신). 일반적인 내용은 Microsoft 웹 사이트의 [Understanding Trust Direction(신뢰 방향 이해)](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11))을 참조하세요.
1. [**Sides of Trust**] 페이지에서 [**This domain only**]를 선택하고 [**Next**]를 선택합니다.
1. [**Outgoing Trust Authentication Level**] 페이지에서 [**Forest-wide authentication**]을 선택하고 [**Next**]를 선택합니다.
**참고**
옵션을 **선택적으로 인증**할 수 있지만 이 자습서의 단순성을 위해 여기서는 사용하지 않는 것이 좋습니다. 이를 구성하면 신뢰하는 도메인이나 포리스트에 있는 컴퓨터 객체(리소스 컴퓨터)에 대한 인증 권한이 명시적으로 부여된 신뢰된 도메인 또는 포리스트의 사용자만 외부 또는 포리스트 신뢰에 액세스할 수 있습니다. 자세한 내용은 [선택적 인증 설정 구성](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10))을 참조하세요.
1. [**Trust Password**] 페이지에서 신뢰 관계 암호를 두 번 입력하고 [**Next**]를 선택합니다. 다음 절차에서 이 암호를 다시 사용합니다.
1. [**Trust Selections Complete**] 페이지에서 결과를 검토한 다음 [**Next**]를 선택합니다.
1. [**Trust Creation Complete**] 페이지에서 결과를 검토한 다음 [**Next**]를 선택합니다.
1. [**Confirm Outgoing Trust**] 페이지에서 [**No, do not confirm the outgoing trust**]를 선택합니다. 그런 다음 [**Next**]를 선택합니다
1. [**Confirm Incoming Trust**] 페이지에서 [**No, do not confirm the incoming trust**]를 선택합니다. 그런 다음 [**Next**]를 선택합니다
1. [**Completing the New Trust Wizard**] 페이지에서 [**Finish**]를 선택합니다.
**참고**
신뢰 관계는 AWS Managed Microsoft AD의 글로벌 기능입니다. [AWS 관리형 Microsoft AD에 대한 다중 리전 복제 구성](ms_ad_configure_multi_region_replication.md)를 사용하는 경우 [기본 리전](multi-region-global-primary-additional.md#multi-region-primary)에서 다음 절차를 수행해야 합니다. 변경은 복제된 모든 리전에 자동으로 적용됩니다. 자세한 내용은 [글로벌 기능과 리전별 기능 비교](multi-region-global-region-features.md) 단원을 참조하십시오.
**AWS 관리형 Microsoft AD에서 EC2 도메인으로 신뢰를 생성하려면**
1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/)을 엽니다.
1. **corp.example.com** 디렉터리를 선택합니다.
1. **Directory details(디렉터리 세부 정보)** 페이지에서 다음 중 하나를 수행합니다.
+ **다중 리전 복제**에 여러 리전이 표시되는 경우 기본 리전을 선택한 다음 **네트워킹 및 보안** 탭을 선택합니다. 자세한 내용은 [기본 리전과 추가 리전의 비교](multi-region-global-primary-additional.md) 단원을 참조하십시오.
+ **다중 리전 복제**에 리전이 표시되지 않는 경우 **네트워킹 및 보안** 탭을 선택합니다.
1. **신뢰 관계** 섹션에서 **작업**을 선택한 후**신뢰 관계 추가**를 선택합니다.
1. [**Add a trust relationship**] 대화 상자에서 다음을 수행합니다.
+ **트러스트 유형**에서 **Forest trust(포리스트 신뢰)**를 선택합니다.
**참고**
여기에서 선택한 **신뢰 유형이** 이전 절차에서 구성한 것과 동일한 신뢰 유형과 일치하는지 확인합니다(EC2 도메인에서 AWS 관리형 Microsoft AD로 신뢰를 생성하려면).
+ **Existing or new remote domain name(기존 또는 새 원격 도메인 이름)**에 **example.local**을 입력합니다.
+ [**Trust password**]에서 이전 절차에서 입력한 암호를 입력합니다.
+ **신뢰 방향**에서 **양방향**을 선택합니다.
**참고**
나중에 단방향 신뢰를 사용하여 이 작업을 시도하기로 결정한 경우 신뢰 방향이 올바르게 설정되었는지 확인합니다(신뢰하는 도메인에서 발신, 신뢰된 도메인에서 수신). 일반적인 내용은 Microsoft 웹 사이트의 [Understanding trust direction(신뢰 방향 이해)](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11))을 참조하세요.
옵션을 **선택적으로 인증**할 수 있지만 이 자습서의 단순성을 위해 여기서는 사용하지 않는 것이 좋습니다. 이를 구성하면 신뢰하는 도메인이나 포리스트에 있는 컴퓨터 객체(리소스 컴퓨터)에 대한 인증 권한이 명시적으로 부여된 신뢰된 도메인 또는 포리스트의 사용자만 외부 또는 포리스트 신뢰에 액세스할 수 있습니다. 자세한 내용은 [Configuring selective authentication settings(선택적 인증 설정 구성)](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10))을 참조하세요.
+ **조건부 전달자**에 **example.local** 포리스트 내 DNS 서버의 IP 주소(이전 절차에서 기록한 주소)를 입력합니다.
**참고**
조건부 전달자는 쿼리의 DNS 도메인 이름에 따라 DNS 쿼리를 전달하는 데 사용되는 네트워크의 DNS 서버입니다. 예를 들어 widgets.example.com으로 끝나는 이름에 대해 수신하는 모든 쿼리를 특정 DNS 서버의 IP 주소 또는 여러 DNS 서버의 IP 주소로 전달하도록 DNS 서버를 구성할 수 있습니다.
1. **추가**를 선택합니다.
# 3단계: 신뢰 관계 확인
이 단원에서는 AWS 와 Amazon EC2의 Active Directory 사이에 신뢰 관계가 성공적으로 설정되었는지 여부를 테스트합니다.
**신뢰 관계를 확인하려면**
1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/)을 엽니다.
1. **corp.example.com** 디렉터리를 선택합니다.
1. **Directory details(디렉터리 세부 정보)** 페이지에서 다음 중 하나를 수행합니다.
+ **다중 리전 복제**에 여러 리전이 표시되는 경우 기본 리전을 선택한 다음 **네트워킹 및 보안** 탭을 선택합니다. 자세한 내용은 [기본 리전과 추가 리전의 비교](multi-region-global-primary-additional.md) 단원을 참조하십시오.
+ **다중 리전 복제**에 리전이 표시되지 않는 경우 **네트워킹 및 보안** 탭을 선택합니다.
1. **신뢰 관계** 섹션에서 방금 생성한 신뢰 관계를 선택합니다.
1. [**Actions**]를 선택하고 [**Verify trust relationship**]을 선택합니다.
확인이 완료되면 **상태** 열에 **Verified**가 표시됩니다.
축하합니다\$1 이 자습서를 완료했습니다. 이제 완전히 동작하는 다중 포리스트 Active Directory 환경에서 다양한 시나리오를 테스트할 수 있습니다. 추가 테스트 랩 자습서는 2018에 예정되어 있으니 때때로 새 소식을 확인하시기 바랍니다.