기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Simple AD 모범 사례
<a name="simple_ad_best_practices"></a>

여기에는 문제를 방지하고 Simple AD를 최대한 활용하기 위해 반드시 고려해야 할 몇 가지 제안 및 가이드라인이 나와 있습니다.

## 설정: 사전 조건
<a name="simple_ad_best_practices_prereq"></a>

디렉터리를 생성하기 전에 여기 나온 가이드라인을 고려하세요.

### 디렉터리 유형이 올바른지 확인
<a name="choose_right_type"></a>

Directory Service 는 다른 AWS 서비스와 Microsoft Active Directory 함께 사용할 수 있는 여러 가지 방법을 제공합니다. 예산에 맞는 비용으로 필요한 기능을 갖춘 디렉터리 서비스를 선택할 수 있습니다.
+ **AWS Directory Service for Microsoft Active Directory**는 AWS 클라우드에서 Microsoft Active Directory 호스팅되는 기능이 풍부한 관리형입니다.5,000명 이상의 사용자가 있고 호스팅된 디렉터리와 온프레미스 디렉터리 간에 신뢰 관계를 설정해야 하는 경우 AWS 관리형 Microsoft AD가 AWS 가장 적합합니다.
+ **AD Connector**는 기존 온프레미스 Active Directory를에 연결하기만 하면 됩니다 AWS. AD Connector는 AWS 서비스와 함께 기존의 온프레미스 디렉터리를 사용하고 싶을 때 가장 적합한 옵션입니다.
+ **Simple AD**는 기본 Active Directory 호환성을 갖춘 소규모, 저비용 디렉터리입니다. 5,000명 이하의 사용자, Samba 4 호환 애플리케이션, LDAP 인식 애플리케이션을 위한 LDAP 호환성을 지원합니다.

 Directory Service 옵션에 대한 자세한 비교는 섹션을 참조하세요[무엇을 선택할 것인가](what_is.md#choosing_an_option).

### VPC와 인스턴스가 올바르게 구성되도록 보장
<a name="vpc_config"></a>

디렉터리를 연결, 관리 및 사용하려면 디렉터리와 연관이 있는 VPC를 제대로 구성해야 합니다. VPC 보안 및 네트워킹 요건에 대한 자세한 내용은 [AWS 관리형 Microsoft AD를 생성하기 위한 사전 조건](ms_ad_getting_started.md#ms_ad_getting_started_prereqs), [AD Connector 사전 조건](ad_connector_getting_started.md#prereq_connector) 또는 [간단한 AD 사전 조건](simple_ad_getting_started.md#prereq_simple) 섹션을 참조하세요.

도메인에 인스턴스를 추가하는 경우에는 [Amazon EC2 인스턴스를 AWS 관리형 Microsoft AD에 조인하는 방법](ms_ad_join_instance.md)에 설명된 대로 인스턴스에 대한 연결 및 원격 액세스가 가능한지 확인하세요.

### 한도에 유의
<a name="aware_of_limits"></a>

특정 디렉터리 유형에 대한 다양한 제한에 대해 알아봅니다. 가용 스토리지와 객체의 전체 크기가 디렉터리에 저장할 수 있는 객체 수에 대한 유일한 제한입니다. 선택한 디렉터리에 대한 자세한 내용은 [AWS 관리형 Microsoft AD 할당량](ms_ad_limits.md), [AD Connector 할당량](ad_connector_limits.md) 또는 [Simple AD 할당량](simple_ad_limits.md) 섹션을 참조하세요.

### 디렉터리의 AWS 보안 그룹 구성 및 사용 이해
<a name="simple_ad_understandsecgroup"></a>

AWS 는 [보안 그룹을](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule) 생성하여 디렉터리의 도메인 컨트롤러 [탄력적 네트워크 인터페이스](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)에 연결합니다.는 디렉터리에 대한 불필요한 트래픽을 차단하고 필요한 트래픽을 허용하도록 보안 그룹을 AWS 구성합니다.

#### 디렉터리 보안 그룹 수정
<a name="simple_ad_modifyingsecgroup"></a>

디렉터리의 보안 그룹을 수정할 수 있지만 보안 그룹 필터링을 완전히 이해하는 경우에만 가능합니다. 자세한 내용은 *Amazon EC2 사용 설명서*의 [Linux 인스턴스용 Amazon EC2 보안 그룹](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)을 참조하세요. 잘못 변경하면 의도한 컴퓨터 및 인스턴스와의 통신이 중단될 수 있습니다. AWS 는 보안을 저하시키기 때문에 디렉터리에 추가 포트를 열지 않도록 권장합니다. 변경하기 전에 [AWS 공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)을 검토합니다.

**주의**  
이론적으로는 디렉터리의 보안 그룹을 사용자가 생성한 다른 EC2 인스턴스에 연결할 수 있습니다. 그러나 AWS 는이 방법을 권장합니다. AWS 에는 관리형 디렉터리의 기능 또는 보안 요구 사항을 해결하기 위해 예고 없이 보안 그룹을 수정해야 하는 이유가 있을 수 있습니다. 그러한 변경은 디렉터리 보안 그룹과 연결된 모든 인스턴스에 영향을 미치며, 연결된 인스턴스의 작동이 중단될 수 있습니다. 또한 디렉터리 보안 그룹을 EC2 인스턴스와 연결하면 EC2 인스턴스에 잠재적 보안 위험이 생길 수 있습니다.

### 신뢰가 필요한 경우 AWS 관리형 Microsoft AD 사용
<a name="use_mad_for_trusts"></a>

Simple AD는 신뢰 관계를 지원하지 않습니다. Directory Service 디렉터리와 다른 디렉터리 간에 신뢰를 설정해야 하는 경우 AWS Directory Service for Microsoft Active Directory를 사용해야 합니다.

## 설정: 디렉터리 생성
<a name="simple_ad_best_practices_create"></a>

여기에는 디렉터리를 생성할 때 고려해야 할 몇 가지 제안이 나와 있습니다.

### 관리자 ID 및 암호를 기억
<a name="simple_ad_remember_pw"></a>

디렉터리를 설정할 때 관리자 계정에 대한 암호를 제시합니다. 해당 계정 ID는 Simple AD의 *관리자*입니다. 이 계정에 대해 생성한 암호를 기억하세요. 그렇지 않으면 디렉터리에 객체를 추가할 수 없습니다.

### AWS 애플리케이션의 사용자 이름 제한 이해
<a name="simple_ad_usernamerestrictions"></a>

Directory Service 는 사용자 이름 구성에 사용할 수 있는 대부분의 문자 형식을 지원합니다. 그러나 WorkSpaces, WorkDocs, Amazon WorkMail 또는 Quick과 같은 AWS 애플리케이션에 로그인하는 데 사용할 사용자 이름에 적용되는 문자 제한이 있습니다. 이러한 제한 때문에 다음 문자는 사용할 수 없습니다.
+ 공백
+ 멀티바이트 문자
+ \$1"\$1\$1%&'()\$1\$1,/:;<=>?@[\$1]^`\$1\$1\$1\$1

**참고**  
@ 기호는 UPN 접미사 앞에서만 허용됩니다.

## 애플리케이션 프로그래밍
<a name="simple_ad_program_apps"></a>

애플리케이션을 프로그래밍하기 전에 다음 사항을 고려하세요.

### Windows DC 로케이터 서비스 사용
<a name="simple_ad_program_dc_locator"></a>

애플리케이션을 개발할 때 Windows DC 로케이터 서비스를 사용하거나 AWS 관리형 Microsoft AD의 동적 DNS(DDNS) 서비스를 사용하여 도메인 컨트롤러(DCs)를 찾습니다. 애플리케이션을 DC의 주소로 하드 코딩해서는 안 됩니다. DC 로케이터 서비스를 사용하면 디렉터리 로드를 확실히 분산할 수 있고 도메인 컨트롤러를 해당 배포에 추가하여 수평 조정을 활용할 수 있습니다. 애플리케이션을 고정 DC에 결합하고 이 DC가 패치 적용 또는 복구 과정을 거치는 경우, 애플리케이션은 남은 DC 중 하나를 사용하는 대신에 DC에 액세스할 수 있는 권한을 상실하게 됩니다. 뿐만 아니라 DC를 하드 코딩하면 단일 DC에 핫스폿이 발생할 수 있습니다. 심한 경우에는 핫스폿으로 인해 DC가 반응하지 않을 수 있습니다. 이러한 경우 AWS 디렉터리 자동화로 인해 디렉터리에 손상된 것으로 플래그가 지정되고 응답하지 않는 DC를 대체하는 복구 프로세스가 트리거될 수도 있습니다.

### 프로덕션 단계로 넘어가기 전에 로드 테스트 실시
<a name="simple_ad_program_load_test"></a>

프로덕션 워크로드를 대표하는 객체 및 요청에 대해 랩 테스트를 실시하여 디렉터리가 애플리케이션의 로드에 맞게 조정되는지 확인해야 합니다. 추가 용량이 필요한 경우 고성능을 위해 도메인 컨트롤러를 추가할 수 있는 Microsoft Active Directory Directory Service 용를 사용해야 합니다. 자세한 내용은 [AWS 관리형 Microsoft AD에 대한 추가 도메인 컨트롤러 배포](ms_ad_deploy_additional_dcs.md) 단원을 참조하십시오.

### 효율적인 LDAP 쿼리 사용
<a name="simple_ad_program_ldap_query"></a>

수천 개의 객체에 대해 도메인 컨트롤러에 광범위한 LDAP 쿼리를 수행하면 DC 하나에서 상당히 많은 CPU 주기가 사용되면서 핫스폿이 발생할 수 있습니다. 이는 쿼리 중에 동일한 DC를 공유하는 애플리케이션에 부정적인 영향을 미칠 수 있습니다.