기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Simple AD로 시작하기
Simple AD는 AWS 클라우드에 완전관리형 Samba 기반 디렉터리를 생성합니다. Simple AD로 디렉터리를 생성하면가 사용자를 대신하여 두 개의 도메인 컨트롤러와 DNS 서버를 Directory Service 생성합니다. 도메인 컨트롤러는 Amazon VPC 내의 서로 다른 서브넷에 생성됩니다. 이 중복으로 인해 장애가 발생하더라도 디렉터리에 액세스할 수 있습니다.
**Topics**
+ [간단한 AD 사전 조건](#prereq_simple)
+ [Simple AD 생성](#how_to_create_simple_ad)
+ [Simple AD로 생성되는 항목](simple_ad_what_gets_created.md)
## 간단한 AD 사전 조건
Simple AD Active Directory를 생성하려면 다음을 갖춘 Amazon VPC가 필요합니다.
+ VPC는 기본 하드웨어 테넌시를 가지고 있어야 합니다.
VPC에 IPv6를 사용할 수 있습니다. 자세한 내용은 *Amazon Virtual Private Cloud 사용 설명서*의 [VPC에 IPv6 지원](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html)을 참조하세요.
+ 최소 두 개의 서브넷이 서로 다른 두 개의 가용 영역에 있어야 하며, 네트워크 유형이 같아야 합니다. 서브넷은 같은 Classless Inter-Domain Routing(CIDR) 범위에 있어야 합니다. 디렉터리의 VPC를 확장하거나 크기를 변경하고 싶다면, 확장된 VPC CIDR 범위에 맞는 도메인 컨트롤러 서브넷 2개를 선택해야 합니다. Simple AD를 생성하면 Directory Service 가 사용자를 대신하여 자동으로 두 개의 도메인 컨트롤러와 DNS 서버를 생성합니다.
+ CIDR 범위에 대한 자세한 내용은 *Amazon VPC 사용자 가이드*에서 [VPC 및 서브넷의 IP 주소 지정](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-ip-addressing.html)을 참조하세요.
+ Simple AD에서 LDAPS 지원이 필요한 경우 포트 389에 연결된 Network Load Balancer를 사용하여 구성하는 것이 좋습니다. 이 모델에서는 LDAPS 연결 시 강력한 인증서를 사용할 뿐만 아니라 단일 NLB IP 주소를 통해 LDAPS에 간편하게 액세스하고 NLB를 통해 자동 장애 조치를 구현할 수 있습니다. Simple AD는 포트 636에서 자체 서명된 인증서 사용을 지원하지 않습니다. Simple AD를 사용하여 LDAPS를 구성하는 방법에 대한 자세한 내용은 *AWS 보안 블로그*의 [Simple AD용 LDAPS 엔드포인트 구성 방법](https://aws.amazon.com/blogs/security/how-to-configure-ldaps-endpoint-for-simple-ad/)을 참조하세요.
+ 디렉터리에서 다음 암호화 유형을 활성화해야 합니다.
+ RC4\$1HMAC\$1MD5
+ AES128\$1HMAC\$1SHA1
+ AES256\$1HMAC\$1SHA1
+ 향후의 암호화 유형
**참고**
위의 암호화 유형을 비활성화하면 RSAT(Remote Server Administration Tools)와 통신 문제를 초래하여 가용성이나 디렉터리에 영향을 끼칠 수 있습니다.
+ 자세한 내용은 *Amazon VPC 사용 설명서*의 [Amazon VPC란 무엇인가요?](https://docs.aws.amazon.com//vpc/latest/userguide/what-is-amazon-vpc.html)를 참조하세요.
Directory Service 는 두 개의 VPC 구조를 사용합니다. 디렉터리를 구성하는 EC2 인스턴스는 AWS 계정 외부에서 실행되며에서 관리합니다 AWS. `ETH0` 및 `ETH1`라는 2개의 어댑터가 있습니다. `ETH0`는 관리 어댑터로써 계정 외부에 위치합니다. `ETH1`는 계정 내부에서 생성됩니다.
디렉터리의 `ETH0` 네트워크에서 관리 IP 범위는 디렉터리를 배포할 경우 VPC와 충돌하지 않도록 보장하기 위해 프로그래밍 방식으로 선택합니다. 이 IP 범위는 다음 페어 중 하나일 수 있습니다(디렉터리가 2개의 서브넷에서 실행되기 때문에).
+ 10.0.1.0/24 & 10.0.2.0/24
+ 169.254.0.0/16
+ 192.168.1.0/24 & 192.168.2.0/24
`ETH1` CIDR의 첫 번째 옥텟을 확인하여 충돌을 방지합니다. 10으로 시작할 경우, 192.168.1.0/24 및 192.168.2.0/24 서브넷의 192.168.0.0/16 VPC를 선택합니다. 첫 번째 옥텟이 10 이외의 수일 경우, 10.0.1.0/24 및 10.0.2.0/24 서브넷의 10.0.0.0/16 VPC를 선택합니다.
선택 알고리즘은 VPC 상의 라우팅을 포함하지 않습니다. 따라서 이 시나리오에서 IP 라우팅 충돌 결과가 있을 수 없습니다.
**중요**
Simple AD가 생성된 후 Simple AD 사전 조건이 변경되면 Simple AD가 **손상** 상태가 될 수 있습니다. Simple AD **손상** 상태를 해결하려면 [AWS Support](https://aws.amazon.com/premiumsupport/)에 문의해야 합니다.
## Simple AD 생성
이 절차에서는 Simple AD를 생성하는 데 필요한 모든 단계를 안내합니다. 이 자습서는 Simple AD를 빠르고 쉽게 시작하도록 돕기 위한 것이며, 대규모 프로덕션 환경에서 사용하기 위한 것이 아닙니다.
**Topics**
+ [사전 조건](#gsg_prereqs)
+ [Simple AD용 Amazon VPC 생성 및 구성](#gsg_create_vpc)
+ [Simple AD 생성](#gsg_create_directory)
### 사전 조건
이 절차는 다음과 같이 가정합니다.
+ 활성 AWS 계정이 있습니다.
+ 계정이 Simple AD를 사용하려는 리전에 대한 Amazon VPC 한도에 도달하지 않았습니다. VPC에 대한 자세한 내용은 *Amazon VPC 사용 설명서*의 [Amazon VPC가 무엇인가요?](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html) 및 [VPC의 서브넷](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#VPCSubnet)을 참조하세요.
+ CIDR이 `10.0.0.0/16`인 리전에 기존 VPC가 없습니다.
+ Simple AD를 사용할 수 있는 리전에 있습니다. 자세한 내용은 [의 리전 가용성 Directory Service](regions.md) 단원을 참조하십시오.
자세한 내용은 [간단한 AD 사전 조건](#prereq_simple) 단원을 참조하십시오.
### Simple AD용 Amazon VPC 생성 및 구성
먼저 Simple AD와 함께 사용할 Amazon VPC를 생성하고 구성합니다. 이 절차를 시작하기 전에 [사전 조건](#gsg_prereqs)를 작성했는지 확인합니다.
생성할 VPC에는 두 개의 퍼블릭 서브넷이 있습니다.는 VPC에 두 개의 서브넷이 Directory Service 필요하며 각 서브넷은 서로 다른 가용 영역에 있어야 합니다.
**VPC 생성**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. **VPC 대시보드**에서 **Create VPC(VPC 생성)**을 선택합니다.
1. **VPC 설정**에서 **VPC 등**을 선택합니다.
1. 이 필드를 다음과 같이 작성합니다.
+ **이름 태그 자동 생성**에서 **자동 생성**을 선택한 상태로 유지합니다. **프로젝트**를 `ADS VPC`로 변경합니다.
+ **IPv4 CIDR 블록**은 `10.0.0.0/16`이어야 합니다.
+ **No IPv6 CIDR block** 옵션을 선택한 상태로 유지합니다.
+ **테넌시는** **기본값**으로 유지되어야 합니다.
+ 그런 다음 **Number of Availability Zones(AZs)**에서 **2**를 선택합니다.
+ **퍼블릭 서브넷 수**로 **2**를 선택합니다. **프라이빗 서브넷 수**는 0으로 변경할 수 있습니다.
+ **서브넷 CIDR 블록 사용자 지정**을 선택하여 퍼블릭 서브넷 IP 주소 범위를 구성합니다. 퍼블릭 서브넷 CIDR 블록은 `10.0.0.0/20` 및 `10.0.16.0/20`이어야 합니다.
1. **VPC 생성**을 선택합니다. VPC가 생성되는 데 몇 분 정도 걸립니다.
### Simple AD 생성
Simple AD를 새로 생성하려면 다음 단계를 수행합니다. 이 절차를 시작하기 전에 [사전 조건](#gsg_prereqs) 및 [Simple AD용 Amazon VPC 생성 및 구성](#gsg_create_vpc)를 작성했는지 확인합니다.
**Simple AD 생성**
1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택한 후 **디렉터리 설정**을 선택합니다.
1. **Select directory type(디렉터리 유형 선택)** 페이지에서 **Simple AD**를 선택하고 **다음**을 선택합니다.
1. **디렉터리 정보 입력** 페이지에서 다음 정보를 제공합니다.
**디렉터리 크기**
**Small(스몰)** 또는 **Large(라지)** 크기 옵션 중에서 선택합니다. 크기에 대한 자세한 내용은 [Simple AD](directory_simple_ad.md) 단원을 참조하세요.
**조직 이름**
클라이언트 장치를 등록하는 데 사용할 디렉터리에 대한 고유한 조직 이름입니다.
이 필드는 WorkSpaces를 시작하는 과정에서 디렉터리를 생성하는 경우에만 사용할 수 있습니다.
**디렉터리 DNS 이름**
디렉터리를 위한 정규화된 이름(예: `corp.example.com`)입니다.
**디렉터리 NetBIOS 이름**
디렉터리의 짧은 이름(예: `CORP`)입니다.
**관리자 암호**
디렉터리 관리자의 암호입니다. 디렉터리 생성 프로세스에서는 사용자 이름 `Administrator`과 이 암호를 사용하여 관리자 계정을 생성합니다.
디렉터리 관리자 암호는 대소문자를 구분하며 길이가 8\$164자 사이여야 합니다. 또한 다음 네 범주 중 세 개에 해당하는 문자를 1자 이상 포함해야 합니다.
+ 소문자(a-z)
+ 대문자(A-Z)
+ 숫자(0-9)
+ 영숫자 외의 특수 문자(\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
[**Confirm password**]
관리자 암호를 다시 입력합니다.
이 암호를 저장해야 합니다.는이 암호를 저장하지 Directory Service 않으며 검색할 수 없습니다. 그러나 Directory Service 콘솔에서 또는 [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html) API를 사용하여 암호를 재설정할 수 있습니다.
**디렉터리 설명**
디렉터리에 대한 선택적 설명을 입력합니다.
1. **VPC 및 서브넷 선택** 페이지에서 다음 정보를 제공한 후 **다음**을 선택합니다.
**VPC**
디렉터리에 대한 VPC입니다.
**서브넷**
도메인 컨트롤러에 대한 서브넷을 선택합니다. 두 서브넷이 서로 다른 가용 영역에 있어야 합니다.
1. **검토 및 생성** 페이지에서 디렉터리 정보를 검토하고 필요한 사항을 변경합니다. 정보가 올바르면 **디렉터리 생성**을 선택합니다. 디렉터리를 생성하는 데 몇 분 정도 걸립니다. 생성이 완료되면 **상태** 값이 **활성** 상태로 변경됩니다.
Simple AD로 생성된 항목에 대한 자세한 내용은 [Simple AD로 생성되는 항목](simple_ad_what_gets_created.md) 섹션을 참조하세요.
# Simple AD로 생성되는 항목
Simple AD를 사용하여 Active Directory를 생성할 때는 사용자를 대신하여 다음 작업을 Directory Service 수행합니다.
+ VPC 내에서 Samba 기반 디렉터리를 설정합니다.
+ 사용자 이름 `Administrator` 과 지정된 암호를 사용하여 디렉터리 관리자 계정을 생성합니다. 이 계정을 사용하여 디렉터리를 관리할 수 있습니다.
**중요**
이 암호를 저장해야 합니다.는이 암호를 저장하지 Directory Service 않으며 검색할 수 없습니다. 그러나 Directory Service 콘솔에서 또는 [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html) API를 사용하여 암호를 재설정할 수 있습니다.
+ 디렉터리 컨트롤러에 대한 보안 그룹을 만듭니다.
+ 도메인 관리 권한을 가진 `AWSAdminD-xxxxxxxx`라는 이름의 계정을 생성합니다. 이 계정은에서 디렉터리 스냅샷 생성 및 FSMO 역할 전송과 같은 디렉터리 유지 관리 작업에 대한 자동 작업을 수행하는 Directory Service 데 사용됩니다. 이 계정에 대한 자격 증명은 Directory Service에서 안전하게 저장됩니다.
+ ENI(탄력적 네트워크 인터페이스)를 자동으로 생성하여 각 도메인 컨트롤러에 연결합니다. 이러한 각 ENIs는 VPC와 Directory Service 도메인 컨트롤러 간의 연결에 필수적이며 삭제해서는 안 됩니다. "AWS created network interface for *directory directory-id*"라는 설명 Directory Service 으로와 함께 사용하도록 예약된 모든 네트워크 인터페이스를 식별할 수 있습니다. 자세한 내용은 *Amazon EC2 사용 설명서*의 [탄력적 네트워크 인터페이스](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)를 참조하세요. AWS 관리형 Microsoft AD Active Directory의 기본 DNS 서버는 Classless Inter-Domain Routing(CIDR)\$12의 VPC DNS 서버입니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 [Amazon DNS 서버](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#AmazonDNS)를 참조하세요.
**참고**
도메인 컨트롤러는 기본적으로 한 리전의 두 가용 영역에 배포되며 Amazon Virtual Private Cloud(VPC)에 연결됩니다. 백업은 하루에 한 번 자동으로 수행되며 Amazon Elastic Block Store(EBS) 볼륨이 암호화되어 저장된 데이터를 안전하게 보호합니다. 장애가 발생한 도메인 컨트롤러는 동일한 IP 주소를 사용하여 동일한 가용 영역에서 자동으로 교체되며, 최신 백업을 사용하여 전체 재해 복구를 수행할 수 있습니다.