3단계: Amazon EC2 인스턴스를 배포하여 관리형 AWS Microsoft AD 액티브 디렉터리를 관리합니다. - AWS Directory Service
선택 사항: AWS-DS-VPC01에 디렉터리에 대한 DHCP 옵션 세트를 생성합니다.Windows 인스턴스를 AWS 관리형 Microsoft AD 도메인에 조인하는 역할을 생성합니다.Amazon EC2 인스턴스를 생성하고 자동으로 디렉터리에 가입합니다.EC2 인스턴스에 Active Directory 도구 설치

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

3단계: Amazon EC2 인스턴스를 배포하여 관리형 AWS Microsoft AD 액티브 디렉터리를 관리합니다.

이 실습에서는 어디서나 관리 인스턴스에 쉽게 액세스할 수 있도록 퍼블릭 IP 주소가 있는 Amazon EC2 인스턴스를 사용하고 있습니다. 프로덕션 환경에서는 VPN 또는 AWS Direct Connect 링크를 통해서만 액세스할 수 있는 프라이빗 VPC에 있는 인스턴스를 사용할 수 있습니다. 인스턴스가 퍼블릭 IP 주소를 가져야 하는 요구 사항은 없습니다.

이 단원에서는 클라이언트 컴퓨터가 새 EC2 인스턴스에서 Windows Server를 사용하여 도메인에 연결하는 데 필요한 다양한 배포 후 작업을 살펴보겠습니다. 다음 단계에서 Windows Server를 사용하여 랩이 작동하는지 확인합니다.

선택 사항: AWS-DS-VPC01에 디렉터리에 대한 DHCP 옵션 세트를 생성합니다.

이 선택적 절차에서는 VPC의 EC2 인스턴스가 DNS 확인을 위해 관리형 AWS Microsoft AD를 자동으로 사용하도록 DHCP 옵션 범위를 설정합니다. 자세한 내용은 DHCP 옵션 세트 단원을 참조하세요.

디렉터리에 대한 DHCP 옵션 세트를 생성하는 방법

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 여세요.

  2. 탐색 창에서 [DHCP Options Sets]를 선택한 후 [Create DHCP options set]를 선택합니다.

  3. Create DHCP options set(DHCP 옵션 세트 생성) 페이지에서 디렉터리에 대해 다음 값을 입력합니다.

    • NameAWS DS DHCP를 입력합니다.

    • 도메인 이름corp.example.com를 입력합니다.

    • 도메인 이름 서버에 디렉터리의 DNS 서버가 제공하는 AWS 의 IP 주소를 입력합니다.

      참고

      이러한 주소를 찾으려면 AWS Directory Service 디렉터리 페이지로 이동한 다음 해당하는 디렉터리 ID를 선택합니다. 세부 정보 페이지에서 DNS 주소에 표시된 IP를 식별하고 사용합니다.

      또는, 이러한 주소를 찾으려면 AWS Directory Service 디렉터리 페이지로 이동하여 해당하는 디렉터리 ID를 선택합니다. 그런 다음 Scale & share(크기 조정 및 공유)를 선택합니다. 도메인 컨트롤러에서 IP 주소에 표시된 IP를 식별하고 사용합니다.

    • NTP servers(NTP 서버), NetBIOS name servers(NetBIOS 이름 서버)NetBIOS node type(NetBIOS 노드 유형) 설정은 공란으로 둡니다.

  4. Create DHCP options set(DHCP 옵션 세트 생성)를 선택하고, 닫기를 선택합니다. 새 DHCP 옵션 세트가 DHCP 옵션 목록에 나타납니다.

  5. 새로운 DHCP 옵션 세트의 ID를 기록해 두세요(dopt-xxxxxxxx). 이 절차의 끝부분에서 새 옵션 세트를 VPC와 연결할 때 이 ID를 사용합니다.

    참고

    원활한 도메인 조인은 DHCP 옵션 세트를 구성하지 않고도 작동합니다.

  6. 탐색 창에서 사용자 VPC(Your VPCs)를 선택합니다.

  7. VPC 목록에서, AWS DS VPC, 작업, Edit DHCP Options Set(DHCP 옵션 세트 편집)를 차례대로 선택합니다.

  8. Edit DHCP Options Set(DHCP 옵션 세트 편집) 대화 상자에 5단계에서 기록한 옵션 세트를 선택하고 저장을 선택합니다.

Windows 인스턴스를 AWS 관리형 Microsoft AD 도메인에 조인하는 역할을 생성합니다.

이 절차를 사용하여 Amazon EC2 Windows 인스턴스를 도메인에 조인하는 역할을 구성할 수 있습니다. 자세한 정보는 Amazon EC2 윈도우 인스턴스를 AWS 관리형 Microsoft AD에 원활하게 조인합니다. Active Directory을 참조하세요.

Windows 인스턴스를 도메인에 조인하기 위해 EC2를 구성하려면

  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. IAM 콘솔의 탐색 창에서 역할을 선택하고 역할 생성을 선택합니다.

  3. 신뢰할 수 있는 엔티티 유형 선택 아래에서 AWS 서비스를 선택합니다.

  4. 이 역할을 사용할 서비스 선택에서 EC2다음: 권한을 차례대로 선택합니다.

  5. 연결된 권한 정책 페이지에서 다음을 수행합니다.

    • ManagedInstanceCoreAmazonSSM 관리형 정책 옆의 상자를 선택합니다. 이 정책에서는 Systems Manager 서비스 사용에 필요한 최소 권한을 제공합니다.

    • DirectoryServiceAccessAmazonSSM 관리형 정책 옆의 상자를 선택합니다. 이 정책은 AWS Directory Service에 의해 관리되는 Active Directory에 인스턴스를 조인할 수 있는 권한을 제공합니다.

    Systems Manager에 대한 IAM 인스턴스 프로파일에 연결할 수 있는 관리형 정책 및 기타 정책에 대한 정보는 AWS Systems Manager 사용 설명서Systems Manager에 대한 IAM 인스턴스 프로파일 생성을 참조하세요. 관리형 정책에 대한 정보는 IAM 사용 설명서에서 AWS 관리형 정책을 참조하세요.

  6. 다음: 태그를 선택합니다.

  7. (선택 사항) 이 역할에 대한 액세스를 구성, 추적 또는 제어할 태그-키 값 페어를 하나 이상 추가한 후 다음: 검토를 선택합니다.

  8. 역할 이름에 인스턴스를 도메인에 조인하는 데 사용된다고 설명하는 역할 이름 (예: EC2) 을 입력합니다. DomainJoin

  9. (선택 사항)역할 설명에 설명을 입력합니다.

  10. 역할 생성을 선택합니다. 그러면 역할 페이지로 돌아갑니다.

Amazon EC2 인스턴스를 생성하고 자동으로 디렉터리에 가입합니다.

이 절차에서는 나중에 Active Directory에서 사용자, 그룹 및 정책을 관리하는 데 사용할 수 있는 EC2 인스턴스에 Windows Server 시스템을 설정합니다.

EC2 인스턴스를 생성하고 자동으로 디렉터리를 조인하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 인스턴스 시작을 선택합니다.

  3. 1단계 페이지의 Microsoft Windows Server 2019 Base - ami-xxxxxxxxxxxxxxxxx 옆에서 선택을 선택합니다.

  4. 2단계 페이지에서 t3.micro(이보다 더 큰 인스턴스 유형을 선택할 수 있음)를 선택한 다음 Next: Configure Instance Details(다음: 인스턴스 세부 정보 구성)를 선택합니다.

  5. [Step 3] 페이지에서 다음을 수행합니다.

    • 네트워크에서 AWS-DS-VPC01로 끝나는 VPC(예: vpc-xxxxxxxxxxxxxxxxx | AWS-DS-VPC01)를 선택합니다.

    • 서브넷에서 Public subnet 1(퍼블릭 서브넷 1)을 선택합니다. 이 서브넷은 선호하는 가용 영역용으로 미리 구성되어야 합니다(예: subnet-xxxxxxxxxxxxxxxxx | AWS-DS-VPC01-Subnet01 | us-west-2a).

    • [Auto-assign Public IP]에서 [Enable]을 선택합니다(서브넷 설정이 기본적으로 [Enable]로 설정되지 않은 경우).

    • 도메인 조인 디렉터리에서 corp.example.com (d-xxxxxxxxxx)을 선택합니다.

    • IAM 역할의 경우 인스턴스 역할에 부여한 이름 (예: EC2) 을 Windows 인스턴스를 AWS 관리형 Microsoft AD 도메인에 조인하는 역할을 생성합니다. 선택합니다. DomainJoin

    • 나머지 설정은 기본값을 유지합니다.

    • 다음: 스토리지 추가를 선택합니다.

  6. [Step 4] 페이지에서 기본 설정을 유지하고 [Next: Add Tags]를 선택합니다.

  7. [Step 5] 페이지에서 [Add Tag]를 선택합니다.  아래에서 corp.example.com-mgmt를 입력하고 Next: Configure Security Group(다음: 보안 그룹 구성)을 선택합니다.

  8. Step 6 페이지에서 Select an existing security group을 선택하고 AWS DS RDP Security Group(앞서 기본 자습서에서 설정한 항목)을 선택한 다음, Review and Launch를 선택하여 인스턴스를 검토합니다.

  9. [Step 7] 페이지에서 페이지를 검토한 다음 [Launch]를 선택합니다.

  10. [Select an existing key pair or create a new key pair] 대화 상자에서 다음을 수행합니다.

    • [Choose an existing key pair]를 선택합니다.

    • Select a key pair에서 AWS-DS-KP를 선택합니다.

    • [I acknowledge...] 확인란을 선택합니다.

    • 인스턴스 시작(Launch Instances)을 선택합니다.

  11. 인스턴스 보기를 선택하여 Amazon EC2 콘솔로 돌아가 배포 상태를 확인합니다.

EC2 인스턴스에 Active Directory 도구 설치

EC2 인스턴스에 Active Directory 도메인 관리 도구를 설치하는 방법은 두 가지가 있습니다. 서버 관리자 UI (이 자습서에서는 권장) 또는 을 사용할 수 있습니다. Windows PowerShell

EC2 인스턴스에 Active Directory 도구를 설치하려면(Server Manager)

  1. Amazon EC2 콘솔에서 Instances를 선택하고, 방금 생성한 인스턴스를 선택한 다음 Connect를 선택합니다.

  2. 사용자 인스턴스에 연결 대화 상자에서 암호 가져오기를 선택하여 아직 암호를 검색하지 않은 경우 암호를 검색한 다음 원격 데스크톱 파일 다운로드를 선택합니다.

  3. Windows Security 대화 상자에서 Windows Server 컴퓨터에 대한 로컬 관리자 자격 증명을 입력하여 로그인합니다(예: administrator).

  4. [Start] 메뉴에서 [Server Manager]를 선택합니다.

  5. [Dashboard]에서 [Add Roles and Features]를 선택합니다.

  6. [Add Roles and Features Wizard]에서 [Next]를 선택합니다.

  7. [Select installation type] 페이지에서 [Role-based or feature-based installation]을 선택하고 [Next]를 선택합니다.

  8. [Select destination server] 페이지에서 로컬 서버가 선택되어 있는지 확인한 다음 [Next]를 선택합니다.

  9. [Select server roles] 페이지에서 [Next]를 선택합니다.

  10. [Select features] 페이지에서 다음을 수행합니다.

    • [Group Policy Management] 확인란을 선택합니다.

    • [Remote Server Administration Tools]를 확장한 다음 [Role Administration Tools]를 확장합니다.

    • [AD DS and AD LDS Tools] 확인란을 선택합니다.

    • [DNS Server Tools] 확인란을 선택합니다.

    • 다음을 선택합니다.

  11. [Confirm installation selections] 페이지에서 정보를 검토하고 [Install]을 선택합니다. 기능 설치가 완료되면 [Start] 메뉴의 [Windows Administrative Tools] 폴더에서 다음과 같은 새 도구 또는 스냅인을 사용할 수 있습니다.

    • Active Directory Administrative Center

    • Active Directory Domains and Trusts

    • 액티브 디렉터리 모듈: Windows PowerShell

    • Active Directory 사이트 및 서비스

    • Active Directory Users and Computers

    • ADSI Edit

    • DNS

    • 그룹 정책 관리

EC2 인스턴스에 Active Directory 도구를 설치하려면 (Windows PowerShell) (선택 사항)

  1. Start Windows PowerShell.

  2. 다음 명령을 입력합니다.

    Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server