1단계: 신뢰 관계 환경 설정 - AWS Directory Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

1단계: 신뢰 관계 환경 설정

이 섹션에서는 Amazon EC2 환경을 설정하고, 새 포리스트를 배포하고, VPC를 사용하여 트러스트를 받을 수 있도록 준비합니다. AWS

새 포리스트를 배포하고 신뢰 관계를 구축하기 위한 Amazon VPC, 서브넷 및 인터넷 게이트웨이가 있는 Amazon EC2 환경

Windows Server 2019 EC2 인스턴스 생성

다음 절차를 사용하여 Amazon EC2에서 Windows Server 2019 멤버 서버를 생성합니다.

Windows Server 2019 EC2 인스턴스를 생성하려면
  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. Amazon EC2 콘솔에서 인스턴스 시작을 선택합니다.

  3. 1단계 페이지의 목록에서 Microsoft Windows Server 2019 Base - ami-xxxxxxxxxxxxxxxxx를 찾습니다. 그런 다음 선택을 선택합니다.

  4. [Step 2] 페이지에서 [t2.large]를 선택하고 [Next: Configure Instance Details]를 선택합니다.

  5. [Step 3] 페이지에서 다음을 수행합니다.

  6. [Step 4] 페이지에서 기본 설정을 유지하고 [Next: Add Tags]를 선택합니다.

  7. [Step 5] 페이지에서 [Add Tag]를 선택합니다.  아래에서 example.local-DC01를 입력하고 Next: Configure Security Group(다음: 보안 그룹 구성)을 선택합니다.

  8. Step 6 페이지에서 Select an existing security group을 선택하고 AWS On-Prem Test Lab Security Group(앞서 기본 자습서에서 설정한 항목)을 선택한 다음, Review and Launch를 선택하여 인스턴스를 검토합니다.

  9. [Step 7] 페이지에서 페이지를 검토한 다음 [Launch]를 선택합니다.

  10. [Select an existing key pair or create a new key pair] 대화 상자에서 다음을 수행합니다.

    • [Choose an existing key pair]를 선택합니다.

    • Select a key pair 아래에서 AWS-DS-KP(앞서 기본 자습서에서 설정한 항목)를 선택합니다.

    • [I acknowledge...] 확인란을 선택합니다.

    • 인스턴스 시작(Launch Instances)을 선택합니다.

  11. 인스턴스 보기를 선택하여 Amazon EC2 콘솔로 돌아가 배포 상태를 확인합니다.

서버를 도메인 컨트롤러로 승격시킵니다

신뢰 관계를 생성하려면 먼저 새 포리스트에 대한 첫 번째 도메인 컨트롤러를 빌드 및 배포해야 합니다. 이 절차에서 새 Active Directory 포리스트를 구성하고, DNS를 설치하고, 이름 확인에 DNS 서버를 사용하도록 이 서버를 설정합니다. 이 절차의 끝부분에서 서버를 다시 부팅해야 합니다.

참고

온프레미스 네트워크와 함께 AWS 복제되는 도메인 컨트롤러를 만들려면 먼저 EC2 인스턴스를 온프레미스 도메인에 수동으로 조인해야 합니다. 그런 다음 서버를 도메인 컨트롤러로 승격할 수 있습니다.

서버를 도메인 컨트롤러로 승격하려면
  1. Amazon EC2 콘솔에서 Instances를 선택하고, 방금 생성한 인스턴스를 선택한 다음 Connect를 선택합니다.

  2. [Connect To Your Instance] 대화 상자에서 [Download Remote Desktop File]을 선택합니다.

  3. Windows Security 대화 상자에서 Windows Server 컴퓨터에 대한 로컬 관리자 자격 증명을 입력하여 로그인합니다(예: administrator). 아직 로컬 관리자 암호가 없는 경우 Amazon EC2 콘솔로 돌아가 인스턴스를 마우스 오른쪽 버튼으로 클릭하여 Windows 암호 가져오기를 선택합니다. AWS DS KP.pem 파일 또는 개인 .pem 키로 이동한 다음 [Decrypt Password]를 선택합니다.

  4. [Start] 메뉴에서 [Server Manager]를 선택합니다.

  5. [Dashboard]에서 [Add Roles and Features]를 선택합니다.

  6. [Add Roles and Features Wizard]에서 [Next]를 선택합니다.

  7. [Select installation type] 페이지에서 [Role-based or feature-based installation]을 선택하고 [Next]를 선택합니다.

  8. [Select destination server] 페이지에서 로컬 서버가 선택되어 있는지 확인한 다음 [Next]를 선택합니다.

  9. [Select server roles] 페이지에서 [Active Directory Domain Services]를 선택합니다. [Add Roles and Features Wizard] 대화 상자에서 [Include management tools (if applicable)] 확인란이 선택되어 있는지 확인합니다. [Add Features]를 선택한 다음 [Next]를 선택합니다.

  10. [Select features] 페이지에서 [Next]를 선택합니다.

  11. [Active Directory Domain Services] 페이지에서 [Next]를 선택합니다.

  12. [Confirm installation selections] 페이지에서 [Install]을 선택합니다.

  13. Active Directory 바이너리가 설치되면 [Close]를 선택합니다.

  14. Server Manager가 열리면 Manage 옆의 상단에서 플래그를 찾습니다. 이 플래그가 노란색으로 바뀌면 서버를 승격할 준비가 된 것입니다.

  15. 노란색 플래그를 선택한 다음 [Promote this server to a domain controller]를 선택합니다.

  16. [Deployment Configuration] 페이지에서 [Add a new forest]를 선택합니다. Root domain name(루트 도메인 이름)example.local를 입력하고 다음을 선택합니다.

  17. [Domain Controller Options] 페이지에서 다음을 수행합니다.

    • [Forest functional level] 및 [Domain functional level] 모두에서 [Windows Server 2016]을 선택합니다.

    • 도메인 컨트롤러 기능 지정에서 DNS 서버와 글로벌 카탈로그 (GC) 가 모두 선택되어 있는지 확인합니다.

    • DSRM(Directory Services Restore Mode) 암호를 입력하고 확인합니다. 다음을 선택합니다.

  18. [DNS Options] 페이지에서 위임에 대한 경고를 무시하고 [Next]를 선택합니다.

  19. 추가 옵션 페이지에서 EXAMPLE이 NetBios 도메인 이름으로 나열되어 있는지 확인합니다.

  20. [Paths] 페이지에서 기본값을 그대로 두고 [Next]를 선택합니다.

  21. [Review Options] 페이지에서 [Next]를 선택합니다. 이제 서버가 도메인 컨트롤러 전제 조건이 모두 충족되었는지 확인합니다. 일부 경고가 표시될 수 있지만 무시해도 무방합니다.

  22. 설치를 선택합니다. 설치가 완료되면 서버가 다시 부팅한 후 도메인 컨트롤러가 동작 상태가 됩니다.

VPC 구성

다음 세 절차에서 AWS와 연결을 위해 VPC를 구성하는 단계를 안내합니다.

VPC 아웃바운드 규칙을 구성하는 방법
  1. AWS Directory Service 콘솔에서 이전에 기본 자습서에서 만든 corp.example.com의 AWS 관리형 Microsoft AD 디렉터리 ID를 기록해 둡니다.

  2. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  3. 탐색 창에서 보안 그룹(Security Groups)을 선택합니다.

  4. AWS 관리형 Microsoft AD 디렉터리 ID를 검색하세요. 검색 결과에서 "AWS created security group for d-xxxxxx directory controllers"라는 설명이 붙은 항목을 선택합니다.

    참고

    이 보안 그룹은 처음 디렉터리를 생성할 때 자동으로 생성된 것입니다.

  5. 해당 보안 그룹 아래에서 [Outbound Rules] 탭을 선택합니다. [Edit]를 선택하고 [Add another rule]을 선택한 후 다음 값을 추가합니다.

    • [Type]에서 [All Traffic]을 선택합니다.

    • [Destination]에 0.0.0.0/0을 입력합니다.

    • 나머지 설정은 기본값을 유지합니다.

    • 저장을 선택합니다.

Kerberos 사전 인증이 활성화되었는지 확인하려면
  1. [example.local] 도메인 컨트롤러에서 Server Manager를 엽니다.

  2. [Tools] 메뉴에서 [Active Directory Users and Computers]를 선택합니다.

  3. Users 디렉터리로 이동하여 임의의 사용자를 마우스 오른쪽 버튼으로 클릭하고 속성을 선택한 후 계정 탭을 선택합니다. [Account options] 목록을 아래로 스크롤해서 [Do not require Kerberos preauthentication]가 선택되지 않았는지 확인합니다.

  4. corp.example.com-mgmt 인스턴스corp.example.com 도메인에 대해서도 동일한 단계를 수행합니다.

DNS 조건부 전달자를 구성하려면
참고

조건부 전달자는 쿼리의 DNS 도메인 이름에 따라 DNS 쿼리를 전달하는 데 사용되는 네트워크의 DNS 서버입니다. 예를 들어 widgets.example.com으로 끝나는 이름에 대해 수신하는 모든 쿼리를 특정 DNS 서버의 IP 주소 또는 여러 DNS 서버의 IP 주소로 전달하도록 DNS 서버를 구성할 수 있습니다.

  1. AWS Directory Service 콘솔을 엽니다.

  2. 탐색 창에서 디렉터리를 선택합니다.

  3. AWS 관리형 Microsoft AD의 디렉터리 ID를 선택합니다.

  4. 디렉터리의 정규화된 도메인 이름(FQDN) "corp.example.com"과 DNS 주소를 기록해 둡니다.

  5. 이제 [example.local] 도메인 컨트롤러로 돌아가 Server Manager를 엽니다.

  6. [Tools] 메뉴에서 [DNS]를 선택합니다.

  7. 콘솔 트리에서 신뢰 관계를 설정 중인 도메인의 DNS 서버를 확장하고 [Conditional Forwarders]로 이동합니다.

  8. [Conditional Forwarders]를 마우스 오른쪽 버튼으로 클릭하고 [New Conditional Forwarder]를 선택합니다.

  9. DNS 도메인에 corp.example.com를 입력합니다.

  10. 마스터 서버의 IP 주소에서 <추가하려면 여기를 클릭하십시오... 를 선택합니다. >, 이전 절차에서 기록해 둔 AWS 관리형 Microsoft AD 디렉터리의 첫 번째 DNS 주소를 입력한 다음 Enter 키를 누릅니다. 두 번째 DNS 주소에 대해서도 똑같이 합니다. DNS 주소를 입력하고 나면 "timeout" 또는 "unable to resolve"라는 오류 메시지가 나타날 수 있습니다. 보통 이러한 오류 메시지는 무시해도 좋습니다.

  11. [Store this conditional forwarder in Active Directory, and replicate as follows] 확인란을 선택합니다. 드롭다운 메뉴에서 [All DNS servers in this Forest]를 선택한 다음 [OK]를 선택하세요.