기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 자습서:에서 기본 AWS Managed Microsoft AD 테스트 랩 설정 AWS
<a name="ms_ad_tutorial_test_lab_base"></a>

이 자습서에서는 Windows Server 2019를 실행하는 새 Amazon EC2 인스턴스를 사용하는 새 AWS 관리형 Microsoft AD 설치를 준비하도록 AWS 환경을 설정하는 방법을 설명합니다. 그런 다음 일반적인 Active Directory 관리 도구를 사용하여 EC2 Windows 인스턴스에서 AWS 관리형 Microsoft AD 환경을 관리하도록 알려줍니다. 자습서를 완료하면 네트워크 사전 조건을 설정하고 새 AWS Managed Microsoft AD 포리스트를 구성하게 됩니다.

다음 그림과 같이이 자습서에서 생성한 랩은 AWS 관리형 Microsoft AD에 대한 실습 학습의 기본 구성 요소입니다. 더 많은 실무 경험이 필요할 경우 나중에 선택적 자습서를 추가할 수 있습니다. 이 자습서 시리즈는 AWS Managed Microsoft AD를 처음 접하고 평가용으로 테스트 랩을 원하는 사람에게 이상적입니다. 이 자습서는 완료하는데 약 1시간이 걸립니다.

![\[자습서 단계를 보여주는 다이어그램: 1 환경 설정, 2 AWS Managed Microsoft AD 생성, 3 Amazon EC2 배포, 4 랩 테스트.\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase.png)


**[1단계: AWS 관리형 Microsoft AD Active Directory에 대한 AWS 환경 설정](microsoftadbasestep1.md)**  
사전 필수 작업을 완료했으면 EC2 인스턴스에서 Amazon VPC를 생성하고 구성합니다.

**[2단계: AWS 관리형 Microsoft AD Active Directory 생성](microsoftadbasestep2.md)**  
이 단계에서는에서 AWS 관리형 Microsoft AD AWS 를 처음으로 설정합니다.

**[3단계: Amazon EC2 인스턴스를 배포하여 AWS 관리형 Microsoft AD Active Directory 관리](microsoftadbasestep3.md)**  
여기서 클라이언트 컴퓨터가 새 도메인에 연결하고 EC2에서 새 Windows Server 시스템을 설정하는 데 필요한 다양한 배포 후 작업을 살펴보겠습니다.

**[4단계: 기본 테스트 랩이 작동하는지 확인](microsoftadbasestep4.md)**  
마지막으로 관리자로서 EC2 내 Windows Server 시스템에 로그인하여 AWS Managed Microsoft AD에 연결할 수 있는지 확인합니다. 테스트에서 랩이 작동하는지 성공적으로 확인되면 계속해서 다른 테스트 랩 가이드 모듈을 추가할 수 있습니다.

# 사전 조건
<a name="microsoftadbaseprereq"></a>

이 자습서의 UI 단계를 사용하여 테스트 랩을 생성할 계획이면 이 사전 요구 사항 단원을 건너뛰고 1단계로 넘어갈 수 있습니다. 그러나 AWS CLI 명령 또는 AWS Tools for Windows PowerShell 모듈을 사용하여 테스트 랩 환경을 생성하려는 경우 먼저 다음을 구성해야 합니다.
+ **액세스 및 보안 액세스 키가 있는 IAM 사용자** - AWS CLI 또는 AWS Tools for Windows PowerShell 모듈을 사용하려면 액세스 키가 있는 IAM 사용자가 필요합니다. 액세스 키가 없는 경우 [액세스 키 생성, 수정, 확인(AWS Management Console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey) 단원을 참조하세요.
+ **AWS Command Line Interface (선택 사항)** - [Windows AWS CLI 에서를 다운로드하고 설치합니다](https://docs.aws.amazon.com/cli/latest/userguide/install-windows.html). 설치가 완료되면 명령 프롬프트 또는 PowerShell 창을 열고 `aws configure`를 입력합니다. 설정을 완료하려면 액세스 키와 보안 키가 필요합니다. 이렇게 하는 방법은 첫 번째 사전 요구 사항을 참조하세요. 다음과 같은 메시지가 표시됩니다.
  + AWS 액세스 키 ID [없음]: `AKIAIOSFODNN7EXAMPLE`
  + AWS 보안 액세스 키 [없음]: `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`
  + Default Region name [None]: `us-west-2`
  + Default output format [None]: `json`
+ **AWS Tools for Windows PowerShell** **(선택 사항)** — [https://aws.amazon.com/powershell/](https://aws.amazon.com/powershell/)에서 AWS Tools for Windows PowerShell 의 최신 버전을 다운로드하여 설치한 다음 다음 명령을 실행합니다. 설정을 완료하려면 액세스 키와 보안 키가 필요합니다. 이렇게 하는 방법은 첫 번째 사전 요구 사항을 참조하세요.

  `Set-AWSCredentials -AccessKey {AKIAIOSFODNN7EXAMPLE} -SecretKey {wJalrXUtnFEMI/K7MDENG/ bPxRfiCYEXAMPLEKEY} -StoreAs {default}`

# 1단계: AWS 관리형 Microsoft AD Active Directory에 대한 AWS 환경 설정
<a name="microsoftadbasestep1"></a>

 AWS 테스트 랩에서 AWS 관리형 Microsoft AD를 생성하려면 먼저 모든 로그인 데이터가 암호화되도록 Amazon EC2 키 페어를 설정해야 합니다.

## 키 페어 생성
<a name="createkeypair2"></a>

이미 키 페어가 있다면 이 단계를 생략할 수 있습니다. Amazon EC2 키 페어에 대한 자세한 내용은 [키 페어 생성](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/create-key-pairs.html)을 참조하세요.

**키 페어 생성**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) Amazon EC2 콘솔을 엽니다.

1. 탐색 창의 [**Network & Security**]에서 [**Key Pairs**]를 선택하고 [**Create Key Pair**]를 선택합니다.

1. **키 페어 이름**에 **AWS-DS-KP**를 입력합니다. **Key pair file format(키 페어 파일 형식)**에 대해 **pem**을 선택한 다음 **생성**을 선택합니다.

1. 브라우저에서 프라이빗 키 파일이 자동으로 다운로드됩니다. 파일 이름은 키 페어를 생성할 때 지정한 이름이며 확장명은 `.pem`입니다. 안전한 장소에 프라이빗 키 파일을 저장합니다.
**중요**  
이때가 사용자가 프라이빗 키 파일을 저장할 수 있는 유일한 기회입니다. 인스턴스를 시작할 때 키 페어의 이름을 제공하고, 인스턴스의 암호를 복호화할 때마다 해당 프라이빗 키를 제공해야 합니다.

## 두 Amazon VPC 생성, 구성, 피어링
<a name="createvpc"></a>

다음 그림과 같이 이 다단계 프로세스를 마치면 퍼블릭 VPC 두 개, VPC당 퍼블릭 서브넷 두 개, VPC당 인터넷 게이트웨이 한 개, VPC 간 VPC 피어링 연결 한 개를 생성하고 구성한 것입니다. 단순성 및 비용을 위해 퍼블릭 VPC 및 서브넷을 사용하기로 결정했습니다. 프로덕션 워크로드의 경우 프라이빗 VPC를 사용하는 것이 좋습니다. VPC 보안 향상에 대한 자세한 내용은 [Amazon Virtual Private Cloud의 보안](https://docs.aws.amazon.com/vpc/latest/userguide/security.html)을 참조하세요.

![\[서브넷이 있는 Amazon VPC 환경 및 AWS 관리형 Microsoft AD Active Directory를 생성하기 위한 인터넷 게이트웨이.\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)


모든 AWS CLI 및 PowerShell 예제는 아래의 VPC 정보를 사용하며 us-west-2에 내장되어 있습니다. 환경을 구축할 [지원되는 리전](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html)을 선택할 수 있습니다. 일반적인 내용은 [Amazon VPC란?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)을 참조하세요.

**1단계: 두 개의 VPC 생성**

이 단계에서는 다음 표의 지정된 파라미터를 사용하여 동일한 계정에 두 개의 VPCs를 생성해야 합니다. AWS 관리형 Microsoft AD는 [AWS 관리형 Microsoft AD 공유](ms_ad_directory_sharing.md) 기능과 함께 별도의 계정 사용을 지원합니다. 첫 번째 VPC는 AWS 관리형 Microsoft AD에 사용됩니다. 두 번째 VPC는 나중에 [자습서: AWS Managed Microsoft AD에서 Amazon EC2의 자체 관리형 Active Directory 설치로의 신뢰 생성](ms_ad_tutorial_test_lab_trust.md)에서 사용할 수 있는 리소스에 사용됩니다.


****  

|  관리형 Active Directory VPC 정보  |  온프레미스 VPC 정보  | 
| --- | --- | 
|  이름 태그: AWS-DS-VPC01 IPv4 CIDR 블록: 10.0.0.0/16 IPv6 CIDR block: No IPv6 CIDR Block 테넌시: 기본값  |  이름 태그: AWS-OnPrem-VPC01 IPv4 CIDR 블록: 10.100.0.0/16 IPv6 CIDR block: No IPv6 CIDR Block 테넌시: 기본값  | 

자세한 지침은 [VPC 생성](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC)을 참조하세요.

**2단계: VPC당 두 개의 서브넷 생성**

VPC를 생성한 후에는 다음 표의 지정된 파라미터를 사용하여 VPC당 두 개의 서브넷을 생성해야 합니다. 이 테스트 랩의 경우 각 서브넷은 /24가 됩니다. 이렇게 하면 서브넷당 최대 256개의 주소를 발급할 수 있습니다. 각 서브넷은 별도의 AZ에 있어야 합니다. AZ에서 각 서브넷을 별도로 배치하는 것은 [AWS 관리형 Microsoft AD를 생성하기 위한 사전 조건](ms_ad_getting_started.md#ms_ad_getting_started_prereqs) 중 하나입니다.


****  

|  AWS-DS-VPC01 서브넷 정보:  |  AWS-OnPrem-VPC01 서브넷 정보  | 
| --- | --- | 
|  이름 태그: AWS-DS-VPC01-Subnet01 VPC: vpc-xxxxxxxxxxxxxxxxxxxxx AWS-DS-VPC01 가용 영역: us-west-2a IPv4 CIDR 블록: 10.0.0.0/24  |  이름 태그: AWS-OnPrem-VPC01-Subnet01  VPC: vpc-xxxxxxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 가용 영역: us-west-2a IPv4 CIDR 블록: 10.100.0.0/24  | 
|  이름 태그: AWS-DS-VPC01-Subnet02 VPC: vpc-xxxxxxxxxxxxxxxxxxxxx AWS-DS-VPC01 가용 영역: us-west-2b IPv4 CIDR 블록: 10.0.1.0/24  |  이름 태그: AWS-OnPrem-VPC01-Subnet02 VPC: vpc-xxxxxxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 가용 영역: us-west-2b IPv4 CIDR 블록: 10.100.1.0/24  | 

자세한 지침은 [VPC에서 서브넷 생성](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet)을 참조하세요.

**3단계: 인터넷 게이트웨이 생성 및 VPC에 연결**

퍼블릭 VPC를 사용하고 있으므로 다음 표의 지정된 파라미터를 사용하여 인터넷 게이트웨이를 생성하고 VPC에 연결해야 합니다. 이렇게 하면 EC2 인스턴스에 연결하고 관리할 수 있습니다.


****  

|  AWS-DS-VPC01 인터넷 게이트웨이 정보  |  AWS-OnPrem-VPC01 인터넷 게이트웨이 정보  | 
| --- | --- | 
|  이름 태그: AWS-DS-VPC01-IGW VPC: vpc-xxxxxxxxxxxxxxxxxxxxx AWS-DS-VPC01  |  이름 태그: AWS-OnPrem-VPC01-IGW VPC: vpc-xxxxxxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01  | 

자세한 지침은 [인터넷 게이트웨이](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)를 참조하세요.

**4단계: AWS-DS-VPC01과 - AWS-OnPrem-VPC01 간의 VPC 피어링 연결 구성**

이전에 이미 두 개의 VPC를 생성했으므로 다음 표의 지정된 파라미터를 사용하여 VPC 피어링으로 이 두 VPC를 함께 네트워크로 연결해야 합니다. VPC를 연결하는 방법에는 여러 가지가 있지만이 자습서에서는 VPC 피어링을 사용합니다. AWS 관리형 Microsoft AD는 VPCs를 연결하는 여러 솔루션을 지원하며,이 중 일부에는 [VPC 피어링](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html), [Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 및 [VPN](https://docs.aws.amazon.com/vpc/latest/adminguide/Welcome.html)이 포함됩니다.


****  

|  | 
| --- |
|  피어링 연결 이름 태그: AWS-DS-VPC01&AWS-OnPrem-VPC01-Peer VPC(요청자): vpc-xxxxxxxxxxxxxxxxxxxxx AWS-DS-VPC01 계정: 내 계정 리전: 이 리전 VPC(수락자): vpc-xxxxxxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01  | 

계정에 있는 다른 VPC와의 VPC 피어링 연결을 생성하는 방법에 대한 지침은 [계정에 있는 다른 VPC와의 VPC 피어링 연결 생성](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#create-vpc-peering-connection-local)을 참조하세요.

**5단계: 각 VPC의 기본 라우팅 테이블에 두 개의 라우팅 추가**

이전 단계에서 생성된 인터넷 게이트웨이 및 VPC 피어링 연결이 작동하려면 다음 표의 지정된 파라미터를 사용하여 두 VPC의 기본 라우팅 테이블을 업데이트해야 합니다. 라우팅 테이블에 명시적으로 알려지지 않은 모든 대상으로 라우팅되는 0.0.0.0/0과 위에 설정된 VPC 피어링 연결을 통해 각 VPC로 라우팅되는 10.0.0.0/16 또는 10.100.0.0/16인 두 라우팅을 추가합니다.

VPC 이름 태그(AWS-DS-VPC01 또는-OnPrem-VPC AWS-OnPrem-VPC01)를 필터링하여 각 VPC에 대한 올바른 라우팅 테이블을 쉽게 찾을 수 있습니다.


****  

|  AWS-DS-VPC01 라우팅 1 정보  |  AWS-DS-VPC01 라우팅 2 정보  |  AWS-OnPrem-VPC01 라우팅 1 정보  |  AWS-OnPrem-VPC01 라우팅 2 정보  | 
| --- | --- | --- | --- | 
|  대상 주소: 0.0.0.0/0 대상: igw-xxxxxxxxxxxxxxxxxxxxx AWS-DS-VPC01-IGW  |  대상 주소: 10.100.0.0/16 대상: pcx- AWS xxxxxxxxxxxxxxxxxxxxx-DS-VPC01&AWS-OnPrem-VPC01-Peer  |  대상 주소: 0.0.0.0/0 대상: igw-xxxxxxxxxxxxxxxxx AWS-Onprem-VPC01  |  대상 주소: 10.0.0.0/16 대상: pcx- AWS xxxxxxxxxxxxxxxxxxxxx-DS-VPC01&AWS-OnPrem-VPC01-Peer  | 

VPC 라우팅 테이블에 라우팅을 추가하는 방법에 대한 지침은 [라우팅 테이블에서 라우팅 추가 및 제거](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes)를 참조하세요.

## Amazon EC2 인스턴스에 대한 보안 그룹 생성
<a name="createsecuritygroup"></a>

기본적으로 AWS 관리형 Microsoft AD는 도메인 컨트롤러 간의 트래픽을 관리하는 보안 그룹을 생성합니다. 이 단원에서는 다음 표의 지정된 파라미터를 사용하여 EC2 인스턴스의 VPC 내 트래픽을 관리하는 데 사용할 두 개의 보안 그룹(VPC당 하나씩)을 생성해야 합니다. 또한 모든 위치에서 들어오는 RDP(3389) 트래픽을 허용하고 로컬 VPC에서 들어오는 모든 트래픽 유형을 허용하는 규칙도 추가합니다. 자세한 내용은 [Amazon EC2 Windows 인스턴스에 대한 Amazon EC2 보안 그룹](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html) 단원을 참조하세요.


****  

|  AWS-DS-VPC01 보안 그룹 정보:  | 
| --- | 
|  보안 그룹 이름: AWS DS Test Lab 보안 그룹 설명: AWS DS 테스트 랩 보안 그룹 VPC: vpc-xxxxxxxxxxxxxxxxxxxxx AWS-DS-VPC01  | 

** AWS-DS-VPC01에 대한 보안 그룹 인바운드 규칙**


****  

| Type | 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 | 
| --- | --- | --- | --- | --- | 
| 사용자 지정 TCP 규칙  | TCP | 3389 | 내 IP | 원격 데스크톱 | 
| 모든 트래픽 | 모두 | 모두 | 10.0.0.0/16 | 모든 로컬 VPC 트래픽 | 

** AWS-DS-VPC01용 보안 그룹 아웃바운드 규칙**


****  

| Type | 프로토콜 | 포트 범위 | Destination | 트래픽 유형 | 
| --- | --- | --- | --- | --- | 
| 모든 트래픽 | 모두 | 모두 | 0.0.0.0/0 | 모든 트래픽 | 


****  

| AWS-OnPrem-VPC01 보안 그룹 정보: | 
| --- | 
|  보안 그룹 이름: AWS OnPrem 테스트 랩 보안 그룹. 설명: AWS OnPrem 테스트 랩 보안 그룹. VPC: vpc-xxxxxxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01  | 

** AWS-OnPrem-VPC01에 대한 보안 그룹 인바운드 규칙**


****  

| Type | 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 | 
| --- | --- | --- | --- | --- | 
| 사용자 지정 TCP 규칙  | TCP | 3389 | 내 IP | 원격 데스크톱 | 
| 사용자 지정 TCP 규칙  | TCP | 53 | 10.0.0.0/16 | DNS | 
| 사용자 지정 TCP 규칙  | TCP  | 88 | 10.0.0.0/16 | Kerberos | 
| 사용자 지정 TCP 규칙  | TCP  | 389 | 10.0.0.0/16 | LDAP | 
| 사용자 지정 TCP 규칙  | TCP | 464 | 10.0.0.0/16 | Kerberos 암호 변경/설정 | 
| 사용자 지정 TCP 규칙  | TCP | 445 | 10.0.0.0/16 | SMB/CIFS | 
| 사용자 지정 TCP 규칙  | TCP | 135 | 10.0.0.0/16 | 복제 | 
| 사용자 지정 TCP 규칙  | TCP | 636 | 10.0.0.0/16 | LDAP SSL | 
| 사용자 지정 TCP 규칙  | TCP | 49,152\$165,535 | 10.0.0.0/16 | RPC | 
| 사용자 지정 TCP 규칙  | TCP | 3268 - 3269 | 10.0.0.0/16 | LDAP GC 및 LDAP GC SSL | 
| 사용자 지정 UDP 규칙  | UDP | 53 | 10.0.0.0/16 | DNS | 
| 사용자 지정 UDP 규칙  | UDP | 88 | 10.0.0.0/16 | Kerberos | 
| 사용자 지정 UDP 규칙  | UDP | 123 | 10.0.0.0/16 | Windows 시간 | 
| 사용자 지정 UDP 규칙  | UDP | 389 | 10.0.0.0/16 | LDAP | 
| 사용자 지정 UDP 규칙  | UDP | 464 | 10.0.0.0/16 | Kerberos 암호 변경/설정 | 
| 모든 트래픽 | 모두 | 모두 | 10.100.0.0/16 | 모든 로컬 VPC 트래픽 | 

** AWS-OnPrem-VPC01에 대한 보안 그룹 아웃바운드 규칙**


****  

| Type | 프로토콜 | 포트 범위 | Destination | 트래픽 유형 | 
| --- | --- | --- | --- | --- | 
| 모든 트래픽 | 모두 | 모두 | 0.0.0.0/0 | 모든 트래픽 | 

규칙을 생성하고 보안 그룹에 추가하는 방법에 대한 세부 지침은 [보안 그룹 작업](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)을 참조하세요.

# 2단계: AWS 관리형 Microsoft AD Active Directory 생성
<a name="microsoftadbasestep2"></a>

디렉터리를 생성할 수 있는 방법은 세 가지가 있습니다. 프로시저(이 자습서에서는 권장)를 AWS Management Console 사용하거나 AWS CLI 또는 AWS Tools for Windows PowerShell 프로시저를 사용하여 디렉터리를 생성할 수 있습니다.

**방법 1: AWS 관리형 Microsoft AD 디렉터리를 생성하려면(AWS Management Console)**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택한 후 **디렉터리 설정**을 선택합니다.

1. **Select directory type(디렉터리 유형 선택)** 페이지에서 **AWS Managed Microsoft AD**를 선택하고 **Next(다음)**를 선택합니다.

1. **Enter directory information(디렉터리 정보 입력)** 페이지에서 다음 정보를 입력한 후 **다음**을 선택합니다.
   + **Edition(에디션)**에서 **Standard Edition** 또는 **Enterprise Edition**을 선택합니다. 에디션에 대한 자세한 내용은 [AWS Directory Service for Microsoft Active Directory](what_is.md#microsoftad)를 참조하세요.
   + **Directory DNS name(디렉터리 DNS 이름)**에 **corp.example.com**를 입력합니다.
   + **Directory NetBIOS name(디렉터리 NetBIOS 이름)**에 **corp**를 입력합니다.
   + **Directory description(디렉터리 설명)**에 **AWS DS Managed**를 입력합니다.
   + [**Admin password**]에 이 계정에서 사용할 암호를 입력한 다음 [**Confirm password**]에도 다시 입력합니다. 이 **Admin** 계정은 디렉터리 생성 프로세스 도중 자동으로 생성됩니다. 암호에 *admin*이라는 말을 포함할 수 없습니다. 디렉터리 관리자 암호는 대소문자를 구분하며 길이가 8\$164자 사이여야 합니다. 또한 다음 네 범주 중 세 개에 해당하는 문자를 1자 이상 포함해야 합니다.
     + 소문자(a-z)
     + 대문자(A-Z)
     + 숫자(0-9)
     + 영숫자 외의 특수 문자(\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)

1. **VPC 및 서브넷 선택** 페이지에서 다음 정보를 제공한 후 **다음**을 선택합니다.
   + **VPC**에서 **AWS-DS-VPC01**로 시작하고 **(10.0.0.0/16)**으로 끝나는 옵션을 선택합니다.
   + **서브넷**에서 **10.0.0.0/24** 및 **10.0.1.0/24** 퍼블릭 서브넷을 선택합니다.

1. **검토 및 생성** 페이지에서 디렉터리 정보를 검토하고 필요한 사항을 변경합니다. 정보가 올바르면 **디렉터리 생성**을 선택합니다. 디렉터리 생성은 20\$140분 정도 걸립니다. 생성이 완료되면 **상태** 값이 **활성** 상태로 변경됩니다.

**방법 2: AWS 관리형 Microsoft AD 생성(PowerShell)(선택 사항)**

1. PowerShell를 엽니다.

1. 다음 명령을 입력합니다. 이전 AWS Management Console 절차의 4단계에 제공된 값을 사용해야 합니다.

   ```
   New-DSMicrosoftAD -Name corp.example.com –ShortName corp –Password P@ssw0rd –Description "AWS DS Managed" - VpcSettings_VpcId vpc-xxxxxxxx -VpcSettings_SubnetId subnet-xxxxxxxx, subnet-xxxxxxxx
   ```

**방법 3: AWS 관리형 Microsoft AD를 생성하려면(AWS CLI)(선택 사항)**

1. 를 엽니다 AWS CLI.

1. 다음 명령을 입력합니다. 이전 AWS Management Console 절차의 4단계에 제공된 값을 사용해야 합니다.

   ```
   aws ds create-microsoft-ad --name corp.example.com --short-name corp --password P@ssw0rd --description "AWS DS Managed" --vpc-settings VpcId= vpc-xxxxxxxx,SubnetIds= subnet-xxxxxxxx, subnet-xxxxxxxx
   ```

# 3단계: Amazon EC2 인스턴스를 배포하여 AWS 관리형 Microsoft AD Active Directory 관리
<a name="microsoftadbasestep3"></a>

이 랩에서는 어디서든 간편하게 관리 인스턴스에 액세스할 수 있도록 퍼블릭 IP 주소를 갖는 Amazon EC2 인스턴스를 사용합니다. 프로덕션 설정에서는 VPN 또는 Direct Connect 링크를 통해서만 액세스할 수 있는 프라이빗 VPC에 위치하는 인스턴스를 사용할 수 있습니다. 인스턴스가 퍼블릭 IP 주소를 가져야 하는 요구 사항은 없습니다.

이 단원에서는 클라이언트 컴퓨터가 새 EC2 인스턴스에서 Windows Server를 사용하여 도메인에 연결하는 데 필요한 다양한 배포 후 작업을 살펴보겠습니다. 다음 단계에서 Windows Server를 사용하여 랩이 작동하는지 확인합니다.

## 선택 사항: 디렉터리에 대해 AWS-DS-VPC01에서 DHCP 옵션 세트 생성
<a name="createdhcpoptionsset"></a>

이 선택적 절차에서는 VPC의 EC2 인스턴스가 DNS 확인에 AWS 관리형 Microsoft AD를 자동으로 사용하도록 DHCP 옵션 범위를 설정합니다. 자세한 내용은 [DHCP 옵션 세트](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html) 단원을 참조하세요.

**디렉터리에 대한 DHCP 옵션 세트를 생성하는 방법**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 [**DHCP Options Sets**]를 선택한 후 [**Create DHCP options set**]를 선택합니다.

1. **Create DHCP options set(DHCP 옵션 세트 생성)** 페이지에서 디렉터리에 대해 다음 값을 입력합니다.
   + **Name**에 **AWS DS DHCP**를 입력합니다.
   + **도메인 이름**에 **corp.example.com**를 입력합니다.
   + **도메인 이름 서버**에 디렉터리의 DNS 서버가 제공하는 AWS 의 IP 주소를 입력합니다.
**참고**  
이러한 주소를 찾으려면 Directory Service **디렉터리** 페이지로 이동한 다음 해당 디렉터리 ID를 선택합니다. **세부 정보** 페이지에서 **DNS 주소**에 표시된 IP를 식별하고 사용합니다.  
또는, 이러한 주소를 찾으려면 Directory Service **디렉터리** 페이지로 이동하여 해당하는 디렉터리 ID를 선택합니다. 그런 다음 **Scale & share(크기 조정 및 공유)**를 선택합니다. **도메인 컨트롤러**에서 **IP 주소**에 표시된 IP를 식별하고 사용합니다.
   + **NTP servers(NTP 서버)**, **NetBIOS name servers(NetBIOS 이름 서버)** 및 **NetBIOS node type(NetBIOS 노드 유형)** 설정은 공란으로 둡니다.

1. **Create DHCP options set(DHCP 옵션 세트 생성)**를 선택하고, **닫기**를 선택합니다. 새 DHCP 옵션 세트가 DHCP 옵션 목록에 나타납니다.

1. 새로운 DHCP 옵션 세트의 ID를 기록해 두세요(**dopt-*xxxxxxxx***). 이 절차의 끝부분에서 새 옵션 세트를 VPC와 연결할 때 이 ID를 사용합니다.
**참고**  
원활한 도메인 조인은 DHCP 옵션 세트를 구성하지 않고도 작동합니다.

1. 탐색 창에서 **Your VPCs**를 선택합니다.

1. VPC 목록에서, **AWS DS VPC**, **작업**, **Edit DHCP Options Set(DHCP 옵션 세트 편집)**를 차례대로 선택합니다.

1. **Edit DHCP Options Set(DHCP 옵션 세트 편집)** 대화 상자에 5단계에서 기록한 옵션 세트를 선택하고 **저장**을 선택합니다.

## Windows 인스턴스를 AWS 관리형 Microsoft AD 도메인에 조인하는 역할 생성
<a name="configureec2"></a>

이 절차를 사용하여 Amazon EC2 Windows 인스턴스를 도메인에 조인하는 역할을 구성합니다. 자세한 내용은 [AWS 관리형 Microsoft AD Active Directory에 Amazon EC2 Windows 인스턴스 조인](launching_instance.md) 단원을 참조하십시오.

**Windows 인스턴스를 도메인에 조인하기 위해 EC2를 구성하려면**

1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.

1. IAM 콘솔의 탐색 창에서 **역할**을 선택하고 **역할 생성**을 선택합니다.

1. **신뢰할 수 있는 엔티티 유형 선택** 아래에서 **AWS 서비스**를 선택합니다.

1. **이 역할을 사용할 서비스 선택**에서 **EC2**와 **다음: 권한**을 차례대로 선택합니다.

1. **연결된 권한 정책** 페이지에서 다음을 수행합니다.
   + **AmazonSSMManagedInstanceCore** 관리형 정책 옆의 확인란을 선택하세요. 이 정책에서는 Systems Manager 서비스 사용에 필요한 최소 권한을 제공합니다.
   + **AmazonSSMDirectoryServiceAccess** 관리형 정책 옆의 확인란를 선택하세요. 이 정책은 Directory Service에 의해 관리되는 Active Directory에 인스턴스를 조인할 수 있는 권한을 제공합니다.

   Systems Manager에 대한 IAM 인스턴스 프로파일에 연결할 수 있는 관리형 정책 및 기타 정책에 대한 정보는 *AWS Systems Manager 사용 설명서*의 [Systems Manager에 대한 IAM 인스턴스 프로파일 생성](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html)을 참조하세요. 관리형 정책에 대한 정보는 *IAM 사용 설명서*에서 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.

1. **다음: 태그**를 선택합니다.

1. (선택 사항) 이 역할에 대한 액세스를 구성, 추적 또는 제어할 태그-키 값 페어를 하나 이상 추가한 후 **다음: 검토**를 선택합니다.

1. **역할 이름**에 **EC2DomainJoin**과 같이 인스턴스를 도메인에 조인하는 데 사용되는 역할임을 설명하는 이름을 입력하세요.

1. (선택 사항)**역할 설명**에 설명을 입력합니다.

1. **역할 생성**을 선택합니다. 그러면 **역할** 페이지로 돌아갑니다.

## Amazon EC2 인스턴스를 생성하고 자동으로 디렉터리를 조인
<a name="deployec2instance"></a>

이 절차에서는 나중에 Active Directory에서 사용자, 그룹, 정책을 관리하는 데 사용할 수 있는 Windows Server 시스템을 EC2 인스턴스에서 설정합니다.

**EC2 인스턴스를 생성하고 자동으로 디렉터리를 조인하려면**

1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다.

1. **인스턴스 시작**을 선택합니다.

1. **1단계** 페이지의 **Microsoft Windows Server 2019 Base - ami-*xxxxxxxxxxxxxxxxx*** 옆에서 **선택**을 선택합니다.

1. **2단계** 페이지에서 **t3.micro**(이보다 더 큰 인스턴스 유형을 선택할 수 있음)를 선택한 다음 **Next: Configure Instance Details(다음: 인스턴스 세부 정보 구성)**를 선택합니다.

1. [**Step 3**] 페이지에서 다음을 수행합니다.
   + **네트워크**에서 **AWS-DS-VPC01**로 끝나는 VPC(예: **vpc-*xxxxxxxxxxxxxxxxx* \$1 AWS-DS-VPC01**)를 선택합니다.
   + **서브넷**에서 **Public subnet 1(퍼블릭 서브넷 1)**을 선택합니다. 이 서브넷은 선호하는 가용 영역용으로 미리 구성되어야 합니다(예: **subnet-*xxxxxxxxxxxxxxxxx* \$1 AWS-DS-VPC01-Subnet01 \$1 *us-west-2a***).
   + [**Auto-assign Public IP**]에서 [**Enable**]을 선택합니다(서브넷 설정이 기본적으로 [Enable]로 설정되지 않은 경우).
   + **도메인 조인 디렉터리**에서 **corp.example.com (d-*xxxxxxxxxx*)**을 선택합니다.
   + **IAM 역할**의 경우 [Windows 인스턴스를 AWS 관리형 Microsoft AD 도메인에 조인하는 역할 생성](#configureec2)에서 인스턴스 역할에 부여한 이름 (예: **EC2DomainJoin**)을 선택합니다.
   + 나머지 설정은 기본값을 유지합니다.
   + **다음: 스토리지 추가**를 선택합니다.

1. [**Step 4**] 페이지에서 기본 설정을 유지하고 [**Next: Add Tags**]를 선택합니다.

1. [**Step 5**] 페이지에서 [**Add Tag**]를 선택합니다. **키** 아래에서 **corp.example.com-mgmt**를 입력하고 **Next: Configure Security Group(다음: 보안 그룹 구성)**을 선택합니다.

1. **6단계** 페이지에서 **기존 보안 그룹 선택**을 선택하고 **AWS DS Test Lab 보안 그룹**(이전에 [기본 자습서](microsoftadbasestep1.md#createsecuritygroup)에서 설정한 항목)을 선택한 다음, **검토 및 시작**을 선택하여 인스턴스를 검토합니다.

1. [**Step 7**] 페이지에서 페이지를 검토한 다음 [**Launch**]를 선택합니다.

1. [**Select an existing key pair or create a new key pair**] 대화 상자에서 다음을 수행합니다.
   + [**Choose an existing key pair**]를 선택합니다.
   + **Select a key pair**에서 **AWS-DS-KP**를 선택합니다.
   + [**I acknowledge...**] 확인란을 선택합니다.
   + **인스턴스 시작(Launch Instances)**을 선택합니다.

1. **인스턴스 보기**를 선택하여 Amazon EC2 콘솔로 돌아가 배포 상태를 확인합니다.

## EC2 인스턴스에 Active Directory 도구 설치
<a name="installadtools"></a>

EC2 인스턴스에 Active Directory 도메인 관리 도구를 설치하는 방법은 두 가지가 있습니다. Server Manager UI(이 자습서에서 권장하는 방법) 또는 PowerShell을 사용할 수 있습니다.

**EC2 인스턴스에 Active Directory 도구를 설치하려면(Server Manager)**

1. Amazon EC2 콘솔에서 **Instances**를 선택하고, 방금 생성한 인스턴스를 선택한 다음 **Connect**를 선택합니다.

1. **사용자 인스턴스에 연결** 대화 상자에서 **암호 가져오기**를 선택하여 암호를 검색(아직 암호를 검색하지 않은 경우)한 다음 **원격 데스크톱 파일 다운로드**를 선택합니다.

1. **Windows Security** 대화 상자에서 Windows Server 컴퓨터에 대한 로컬 관리자 자격 증명을 입력하여 로그인합니다(예: **administrator**).

1. [**Start**] 메뉴에서 [**Server Manager**]를 선택합니다.

1. [**Dashboard**]에서 [**Add Roles and Features**]를 선택합니다.

1. [**Add Roles and Features Wizard**]에서 [**Next**]를 선택합니다.

1. [**Select installation type**] 페이지에서 [**Role-based or feature-based installation**]을 선택하고 [**Next**]를 선택합니다.

1. [**Select destination server**] 페이지에서 로컬 서버가 선택되어 있는지 확인한 다음 [**Next**]를 선택합니다.

1. [**Select server roles**] 페이지에서 [**Next**]를 선택합니다.

1. [**Select features**] 페이지에서 다음을 수행합니다.
   + [**Group Policy Management**] 확인란을 선택합니다.
   + [**Remote Server Administration Tools**]를 확장한 다음 [**Role Administration Tools**]를 확장합니다.
   + [**AD DS and AD LDS Tools**] 확인란을 선택합니다.
   + [**DNS Server Tools**] 확인란을 선택합니다.
   + **다음**을 선택합니다.

1. [**Confirm installation selections**] 페이지에서 정보를 검토하고 [**Install**]을 선택합니다. 기능 설치가 완료되면 [Start] 메뉴의 [Windows Administrative Tools] 폴더에서 다음과 같은 새 도구 또는 스냅인을 사용할 수 있습니다.
   + Active Directory Administrative Center
   + Active Directory Domains and Trusts
   + PowerShell에 대한 Active Directory 모듈
   + Active Directory 사이트 및 서비스
   + Active Directory Users and Computers
   + ADSI Edit
   + DNS
   + 그룹 정책 관리

**EC2 인스턴스에 Active Directory 도구를 설치하려면(PowerShell)(선택 사항)**

1. Start PowerShell.

1. 다음 명령을 입력합니다.

   ```
   Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
   ```

# 4단계: 기본 테스트 랩이 작동하는지 확인
<a name="microsoftadbasestep4"></a>

추가 테스트 랩 가이드 모듈을 설치하기 전에 다음 절차를 사용하여 테스트 랩이 성공적으로 설정되었는지 확인합니다. 이 절차는 Windows Server가 적절하게 구성되어 있고, corp.example.com 도메인에 연결할 수 있으며, AWS 관리형 Microsoft AD 포리스트를 관리하는 데 사용할 수 있는지 확인합니다.

**테스트 랩이 작동하는지 확인하려면**

1. 로컬 관리자로 로그인한 EC2 인스턴스에서 로그아웃합니다.

1. Amazon EC2 콘솔로 돌아가 탐색 창에서 **Instances**를 선택합니다. 그럼 다음 방금 생성한 인스턴스를 선택합니다. **연결**을 선택합니다.

1. [**Connect To Your Instance**] 대화 상자에서 [**Download Remote Desktop File**]을 선택합니다.

1. **Windows Security** 대화 상자에서 CORP 도메인에 대한 관리자 자격 증명을 입력하여 로그인합니다(예: **corp\$1admin**).

1. 로그인 후 [**Start**] 메뉴의 [**Windows Administrative Tools**] 아래에서 [**Active Directory Users and Computers**]를 선택합니다.

1. 새 도메인과 연결된 모든 기본 OU 및 계정과 함께 [**corp.example.com**]이 표시될 것입니다. **도메인 컨트롤러**에서이 자습서의 2단계에서 AWS 관리형 Microsoft AD를 다시 생성할 때 자동으로 생성된 도메인 컨트롤러의 이름을 확인합니다.

축하합니다\$1 이제 AWS 관리형 Microsoft AD 기본 테스트 랩 환경이 구성되었습니다. 이 시리즈의 다음 테스트 랩을 추가할 준비가 되었습니다.

다음 자습서: [자습서: AWS Managed Microsoft AD에서 Amazon EC2의 자체 관리형 Active Directory 설치로의 신뢰 생성](ms_ad_tutorial_test_lab_trust.md)