AWS 관리형 Microsoft AD의 모범 사례 - AWS Directory Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 관리형 Microsoft AD의 모범 사례

여기에는 문제를 방지하고 AWS Managed Microsoft AD를 최대한 활용하기 위해 반드시 고려해야 할 몇 가지 제안과 지침이 나와 있습니다.

AWS 관리형 Microsoft AD 설정의 모범 사례

다음은 AWS 관리형 Microsoft AD를 설정할 때 사용할 수 있는 몇 가지 제안 및 지침입니다.

사전 조건

디렉터리를 생성하기 전에 여기 나온 가이드라인을 고려하세요.

디렉터리 유형이 올바른지 확인

AWS Directory Service는 다른 AWS 서비스와 함께 Microsoft Active Directory를 사용할 수 있는 다양한 방법을 제공합니다. 예산에 맞는 비용으로 필요한 기능을 갖춘 디렉터리 서비스를 선택할 수 있습니다.

  • AWS Microsoft Active Directory용 디렉터리 서비스는 AWS 클라우드에서 호스팅되는 기능이 풍부한 관리형 Microsoft Active Directory입니다. AWS Managed Microsoft AD는 사용자가 5,000명 이상이고 AWS 호스팅 디렉터리와 온프레미스 디렉터리 간에 신뢰 관계가 필요한 경우 가장 적합합니다.

  • AD 커넥터는 단순히 기존 온프레미스 Active Directory를 AWS에 연결합니다. AD Connector는 AWS 서비스와 함께 기존의 온프레미스 디렉터리를 사용하고 싶을 때 가장 적합한 옵션입니다.

  • Simple AD는 기본 Active Directory 호환성을 갖춘 소규모, 저비용 디렉터리입니다. 5,000명 이하의 사용자, Samba 4 호환 애플리케이션, LDAP 인식 애플리케이션을 위한 LDAP 호환성을 지원합니다.

AWS Directory Service 옵션의 세부적인 비교는 무엇을 선택할 것인가 단원을 참조하세요.

VPC와 인스턴스가 올바르게 구성되도록 보장

디렉터리를 연결, 관리 및 사용하려면 디렉터리와 연관이 있는 VPC를 제대로 구성해야 합니다. VPC 보안 및 네트워킹 요건에 대한 자세한 내용은 AWS 관리형 Microsoft AD를 생성하기 위한 사전 조건, AD Connector 사전 조건 또는 간단한 AD 사전 조건 섹션을 참조하세요.

도메인에 인스턴스를 추가하는 경우에는 Amazon EC2 인스턴스를 AWS 관리형 Microsoft AD에 가입하는 방법에 설명된 대로 인스턴스에 대한 연결 및 원격 액세스가 가능한지 확인하세요.

한도에 유의

특정 디렉터리 유형에 대한 다양한 제한에 대해 알아봅니다. 가용 스토리지와 객체의 전체 크기가 디렉터리에 저장할 수 있는 객체 수에 대한 유일한 제한입니다. 선택한 디렉터리에 대한 자세한 내용은 AWS Managed Microsoft AD 할당량, AD Connector 할당량 또는 Simple AD 할당량 섹션을 참조하세요.

디렉터리의 AWS 보안 그룹 구성 및 사용을 이해

AWS는 보안 그룹을 생성하여 이를 디렉터리의 도메인 컨트롤러 탄력적 네트워크 인터페이스에 연결합니다. 이 보안 그룹은 도메인 컨트롤러로의 불필요한 트래픽을 차단하고 Active Directory 통신에 필요한 트래픽을 허용합니다. AWS는 Active Directory 통신에 필요한 포트만 열도록 보안 그룹을 구성합니다. 기본 구성에서 보안 그룹은 AWS 관리형 Microsoft AD VPC IPv4 CIDR 주소에서 이러한 포트로 들어오는 트래픽을 수락합니다. AWS에서는 피어링되거나 크기가 조정된 VPC 내에서 액세스할 수 있는 도메인 컨트롤러의 인터페이스에 보안 그룹을 연결합니다. 이러한 인터페이스는 사용자가 라우팅 테이블을 수정하고, VPC에 대한 네트워크 연결을 변경하고, NAT 게이트웨이 서비스를 구성하더라도 인터넷에서 액세스할 수 없습니다. 따라서 VPC로의 네트워크 경로가 있는 인스턴스 및 컴퓨터만 디렉터리에 액세스할 수 있습니다. 그러면 특정 주소 범위를 구성할 필요가 없어져 설정이 간소화됩니다. 대신, 신뢰할 수 있는 인스턴스 및 컴퓨터에서 전송되는 트래픽만 허용하는 VPC로 라우팅 및 보안 그룹을 구성합니다.

디렉터리 보안 그룹 수정

디렉터리의 보안 그룹에 대한 보안을 개선하려면 보다 제한적 목록의 IP 주소로부터의 트래픽을 수락하도록 보안 그룹을 수정할 수 있습니다. 예를 들어 수락된 주소를 VPC IPv4 CIDR 범위에서 단일 서브넷 또는 컴퓨터에 고유한 CIDR 범위로 변경할 수 있습니다. 또는 도메인 컨트롤러가 통신할 수 있는 대상 주소를 제한하도록 선택할 수도 있습니다. 단, 보안 그룹 필터링이 어떻게 작동하는지 완전히 이해하는 경우에만 이렇게 변경하세요. 자세한 내용은 Amazon EC2 사용 설명서Linux용 Amazon EC2 보안 그룹을 참조하세요. 잘못 변경하면 의도한 컴퓨터 및 인스턴스와의 통신이 끊길 수 있습니다. AWS에서는 도메인 컨트롤러에 포트를 추가로 열려고 하면 디렉터리 보안이 저하되므로 추가로 열려는 시도를 하지 않는 것을 권장합니다. AWS 공동 책임 모델을 자세히 검토하세요.

주의

디렉터리가 사용하는 보안 그룹을 생성하는 EC2 인스턴스에 연결하는 것이 기술적으로 가능합니다. 하지만 AWS에서는 이러한 관행은 권장하지 않습니다. AWS가 관리형 디렉터리의 기능 또는 보안상 필요를 처리하기 위해 통지 없이 보안 그룹을 변경해야 할 수 있기 때문입니다. 이러한 변경은 디렉터리 보안 그룹과 연결된 모든 인스턴스에 영향을 미칩니다. 또한 디렉터리 보안 그룹을 EC2 인스턴스와 연결하면 EC2 인스턴스에 잠재적 보안 위험이 생깁니다. 디렉터리 보안 그룹은 AWS 관리형 Microsoft AD VPC IPv4 CIDR 주소에서 필요한 Active Directory 포트의 트래픽을 수락합니다. 이 보안 그룹을 인터넷에 연결된 퍼블릭 IP 주소를 갖는 EC2 인스턴스와 연결할 경우 인터넷 상의 모든 컴퓨터가 개방된 포트에서 EC2 인스턴스와 통신할 수 있습니다.

AWS 관리형 Microsoft AD 생성

다음은 AWS 관리형 Microsoft AD를 생성할 때 고려해야 할 몇 가지 제안 사항입니다.

관리자 ID 및 암호를 기억

디렉터리를 설정할 때 관리자 계정에 대한 암호를 제시합니다. 해당 계정 ID는 AWS Managed Microsoft AD의 관리자입니다. 이 계정에 대해 생성한 암호를 기억하세요. 그렇지 않으면 디렉터리에 객체를 추가할 수 없습니다.

DHCP 옵션 세트 생성

AWS Directory Service 디렉터리를 위한 DHCP 옵션 세트를 생성하고 디렉터리가 존재하는 VPC에 DHCP 옵션 세트를 할당할 것을 권장합니다. 이렇게 해야 해당 VPC의 모든 인스턴스가 지정된 도메인을 가리키고 DNS 서버가 도메인 이름을 해석할 수 있습니다.

DHCP 옵션 세트에 대한 자세한 내용은 AWS 관리형 Microsoft AD용 DHCP 옵션 세트 생성 또는 변경를 참조하세요.

조건부 전달자 설정 활성화

다음 조건부 전달 설정 이 조건부 전달자를 Active Directory에 저장하고 다음과 같이 복제하세요.를 활성화해야 합니다. 이러한 설정을 활성화하면 인프라 장애 또는 과부하 장애로 인해 노드를 교체할 때 조건부 전달자 설정이 지속됩니다.

이전 설정이 활성화된 하나의 도메인 컨트롤러에서 조건부 전달자를 생성해야 합니다. 이렇게 하면 다른 도메인 컨트롤러로 복제할 수 있습니다.

추가 도메인 컨트롤러 배포

기본적으로 AWS는 별도의 가용 영역에 존재하는 두 개의 도메인 컨트롤러를 만듭니다. 이렇게 하면 소프트웨어 패칭 및 하나의 도메인 컨트롤러를 연결 또는 사용 불가로 만들 수 있는 다른 이벤트 중 결함 복원력이 제공됩니다. 추가 도메인 컨트롤러를 배포하여 도메인 컨트롤러 또는 가용 영역에 대한 액세스에 영향을 미치는 장기 이벤트 발생 시 회복성을 한층 높이고 확장 성능을 확보할 것을 권장합니다.

자세한 내용은 Windows DC 로케이터 서비스 사용 단원을 참조하십시오.

AWS 애플리케이션에 대한 사용자 이름 제한 이해

AWS Directory Service는 사용자 이름 구성에 사용할 수 있는 대부분의 문자 형식을 지원합니다. 하지만 Amazon WorkDocs, Amazon WorkMail, Amazon QuickSight 등 AWS 애플리케이션에 로그인할 때 사용되는 사용자 이름에 적용되는 문자 제한이 있습니다. 이러한 제한 때문에 다음 문자는 사용할 수 없습니다.

  • 공백

  • 멀티바이트 문자

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

참고

@ 기호는 UPN 접미사 앞에서만 허용됩니다.

AWS 관리형 Microsoft AD 디렉터리 사용 시 모범 사례

다음은 AWS 관리형 Microsoft AD를 사용할 때 염두에 두어야 할 몇 가지 제안 사항입니다.

사전 정의된 사용자, 그룹, 조직 단위를 변경하지 말 것

AWS Directory Service를 사용해 디렉터리를 시작하면 AWS가 모든 디렉터리의 객체를 포함하는 조직 단위(OU)를 생성합니다. 디렉터리를 만들 때 입력한 NetBIOS 이름을 가진 이 OU는 도메인 루트에 있습니다. 도메인 루트는 AWS에서 소유하고 관리합니다. 몇몇 그룹 및 관리 사용자도 생성됩니다.

이렇게 사전 정의된 객체들은 어떤 방식으로도 이동, 삭제 또는 변경해서는 안 됩니다. 이 경우, 직접 또는 AWS를 통해 디렉터리를 액세스하는 것이 불가능해질 수 있습니다. 자세한 내용은 AWS 관리형 Microsoft AD로 생성되는 항목 단원을 참조하십시오.

도메인을 자동 조인

AWS Directory Service 도메인에 포함될 Windows 인스턴스를 시작하면 인스턴스를 나중에 수동으로 추가하는 대신 인스턴스 생성 프로세스의 일환으로 도메인을 가장 손쉽게 조인할 수 있습니다. 새로운 인스턴스를 시작할 때 [Domain join directory]에 대한 올바른 디렉터리를 선택하기만 하면 도메인을 자동으로 조인할 수 있습니다. AWS 관리형 Microsoft AD에 Amazon EC2 Windows 인스턴스 조인 Active Directory에서 자세한 내용을 확인할 수 있습니다.

신뢰를 올바르게 설정

AWS Managed Microsoft AD 디렉터리와 또 다른 디렉터리 간에 신뢰 관계를 설정할 때는 이러한 지침에 유의하세요.

  • 신뢰 유형이 양쪽에서 일치해야 합니다(포리스트 또는 외부).

  • 단방향 신뢰를 사용하는 경우 신뢰 방향이 올바르게 설정되었는지 확인합니다(신뢰하는 도메인에서 발신, 신뢰된 도메인에서 수신).

  • FQDN(정규화된 도메인 이름)과 NetBIOS 이름은 모두 포리스트/도메인 간에 고유해야 합니다.

신뢰 관계 설정에 대한 세부적인 내용과 구체적인 지침은 AWS 관리형 Microsoft AD와 자체 관리형 AD 간의 신뢰 관계 생성를 참조하세요.

도메인 컨트롤러 성능 추적

조정 결정을 최적화하고 디렉터리 복원력 및 성능을 개선하려면 CloudWatch 지표를 사용하는 것이 좋습니다. 자세한 내용은 CloudWatch를 사용하여 AWS 관리형 Microsoft AD 도메인 컨트롤러의 성능 모니터링 단원을 참조하십시오.

CloudWatch 콘솔을 사용하여 도메인 컨트롤러 지표를 설정하는 방법에 대한 지침은 AWS 보안 블로그의 사용률 지표를 기반으로 AWS Managed Microsoft AD 조정을 자동화하는 방법을 참조하세요.

스키마 확장을 위한 면밀한 계획

스키마 확장을 신중하게 적용하여 중요하고 빈번한 쿼리에 대한 디렉터리를 인덱싱하세요. 인덱스는 디렉터리 공간을 사용하고 빠르게 변화하는 인덱싱 값으로 인해 성능에 문제가 발생할 수 있으므로 디렉터리를 지나치게 인덱싱하지 않도록 조심하세요. 인덱스를 추가하려면 LDAP(Lightweight Directory Access Protocol) LDIF(Lightweight Directory Interchange Format) 파일을 생성하고 스키마 변경을 확장해야 합니다. 자세한 내용은 AWS 관리형 Microsoft AD 스키마 확장 단원을 참조하십시오.

로드 밸런서 소개

AWS 관리형 Microsoft AD 엔드포인트 앞에 로드 밸런서를 사용하지 마세요. Microsoft 외부 로드 밸런싱 없이 가장 반응성이 높은 작동 DC를 찾는 도메인 컨트롤러(DC) 탐색 알고리즘과 함께 사용할 수 있도록 설계된 Active Directory (AD)입니다. 외부 네트워크 로드 밸런서에서는 활성 DC를 부정확하게 감지하므로 현재 제공되고 있고 있긴 하나 사용할 준비가 안 된 DC로 애플리케이션이 전송되는 일이 발생할 수 있습니다. 자세한 내용은 외부 로드 밸런서를 실행하기보다 Active Directory를 정확하게 사용할 수 있도록 애플리케이션을 수정할 것을 권장하는 Microsoft TechNet의 Load balancers and Active Directory를 참조하세요.

인스턴스의 백업 만들기

기존 AWS Directory Service 도메인에 인스턴스를 수동으로 추가할 생각인 경우에는 먼저 해당 인스턴스에 대한 백업을 생성하거나 스냅샷을 만드세요. 이 기능은 특히 Linux 인스턴스를 조인할 때 중요합니다. 인스턴스 추가에 사용되는 일부 절차들로 인해(올바르게 수행되지 않은 경우) 인스턴스 접속이나 사용이 불가능해질 수 있습니다. 자세한 내용은 스냅샷으로 AWS 관리형 Microsoft AD 복원 단원을 참조하십시오.

SNS 메시징 설정

Amazon Simple Notification Service (Amazon SNS)에서는 디렉터리 상태가 바뀔 때 이메일 또는 텍스트(SMS) 메시지를 수신할 수 있습니다. 디렉터리가 [Active] 상태에서 [Impaired] 또는 [Inoperable] 상태로 바뀔 경우 알림을 받게 됩니다. 디렉터리가 Active 상태로 돌아갈 때도 알림을 받게 됩니다.

또한 Amazon SNS 콘솔에서 주제를 삭제하기 전에 AWS Directory Service에서 메시지를 수신하는 SNS 주제가 있을 경우, 다른 SNS 주제와 디렉터리를 연결해야 한다는 사실을 기억하세요. 그렇지 않으면 중요한 디렉터리 상태 메시지가 누락될 위험이 있습니다. Amazon SNS 설정 방법에 대한 자세한 내용은 Amazon Simple Notification Service를 사용하여 AWS 관리형 Microsoft AD 디렉터리 상태 알림 활성화 단원을 참조하세요.

디렉터리 서비스 설정 적용

AWS Managed Microsoft AD를 사용하면 규정 준수 및 보안 요구 사항에 맞게 보안 구성을 조정할 수 있습니다. AWS Managed Microsoft AD는 새 리전이나 도메인 컨트롤러를 추가하는 경우를 포함하여 디렉터리의 모든 도메인 컨트롤러에 구성을 배포하고 유지 관리합니다. 모든 새 디렉터리와 기존 디렉터리에 대해 이러한 보안 설정을 구성하고 적용할 수 있습니다. 콘솔에서 디렉터리 보안 설정 편집의 단계를 따르거나 UpdateSettings API를 통해 이 작업을 수행할 수 있습니다.

자세한 내용은 AWS 관리형 Microsoft AD 디렉터리 보안 설정 편집 단원을 참조하십시오.

디렉터리를 삭제하기 전에 Amazon 엔터프라이즈 애플리케이션을 제거

WorkSpaces, Amazon WorkSpaces Application Manager, Amazon WorkDocs, Amazon WorkMail, AWS Management Console, Amazon Relational Database Service (Amazon RDS) 등 하나 이상의 Amazon 엔터프라이즈 애플리케이션과 연결된 디렉터리를 삭제하기 전에 먼저 각 애플리케이션을 제거해야 합니다. 애플리케이션 제거 방법에 관한 자세한 내용은 AWS 관리형 Microsoft AD 삭제 단원을 참조하세요.

SYSVOL 및 NETLOGON 공유에 액세스할 때 SMB 2.x 클라이언트 사용

클라이언트 컴퓨터는 SMB(Server Message Block)를 사용하여 그룹 정책, 로그인 스크립트, 기타 파일에 대한 AWS Managed Microsoft AD 도메인 컨트롤러의 SYSVOL 및 NETLOGON 공유에 액세스합니다. AWS Managed Microsoft AD는 SMB 버전 2.0(SMBv2) 이상만 지원합니다.

SMBv2 및 최신 버전 프로토콜에는 클라이언트 성능을 개선하고 도메인 컨트롤러와 클라이언트의 보안을 향상시키는 여러 가지 기능이 추가되었습니다. 이러한 변경 사항은 SMBv1을 비활성화하라는 미국 컴퓨터 비상 준비 팀Microsoft의 권장 사항을 따릅니다.

중요

현재 SMBv1 클라이언트를 사용하여 도메인 컨트롤러의 SYSVOL 및 NETLOGON 공유에 액세스하고 있는 경우에는 SMBv2 이상을 사용하도록 해당 클라이언트를 업데이트해야 합니다. 디렉터리는 계속 제대로 작동하지만, SMBv1 클라이언트가 AWS Managed Microsoft AD 도메인 컨트롤러의 SYSVOL 및 NETLOGON 공유에 연결하지 못해서 그룹 정책을 처리할 수 없게 됩니다.

SMBv1 클라이언트는 사용 중인 다른 SMBv1 호환 파일 서버에서 작동합니다. 하지만 AWS에서는 모든 SMB 서버와 클라이언트를 SMBv2 이상으로 업데이트할 것을 권장합니다. 시스템에서 SMBv1을 비활성화하고 최신 SMB 버전으로 업데이트하는 방법에 대한 자세한 내용은 Microsoft TechNetMicrosoft설명서의 게시물을 참조하세요.

SMBv1 원격 연결 추적

AWS Managed Microsoft AD 도메인 컨트롤러에 원격으로 연결하는 Microsoft-Windows-SMBServer/Audit Windows 이벤트 로그를 검토할 수 있습니다. 이 로그의 모든 이벤트는 SMBv1 연결을 나타냅니다. 다음은 이러한 로그 중 하나에서 볼 수 있는 정보의 예입니다.

SMB1 액세스

클라이언트 주소: ###.###.###.###

지침:

이 이벤트는 클라이언트가 SMB1을 사용하여 서버 액세스를 시도했음을 나타냅니다. SMB1 액세스 감사를 중지하려면 Windows PowerShell cmdlet Set-SmbServerConfiguration을 사용합니다.

AWS 관리형 Microsoft AD용 애플리케이션을 프로그래밍할 때의 모범 사례

AWS 관리형 Microsoft AD와 함께 작동하도록 애플리케이션을 프로그래밍하기 전에 다음 사항을 고려하세요.

Windows DC 로케이터 서비스 사용

애플리케이션을 개발할 때는 Windows DC 로케이터 서비스를 사용하거나 AWS 관리형 Microsoft AD의 DDNS(동적 DNS) 서비스를 사용하여 도메인 컨트롤러(DC)를 검색합니다. 애플리케이션을 DC의 주소로 하드 코딩해서는 안 됩니다. DC 로케이터 서비스를 사용하면 디렉터리 로드를 확실히 분산할 수 있고 도메인 컨트롤러를 해당 배포에 추가하여 수평 조정을 활용할 수 있습니다. 애플리케이션을 고정 DC에 결합하고 이 DC가 패치 적용 또는 복구 과정을 거치는 경우, 애플리케이션은 남은 DC 중 하나를 사용하는 대신에 DC에 액세스할 수 있는 권한을 상실하게 됩니다. 뿐만 아니라 DC를 하드 코딩하면 단일 DC에 핫스폿이 발생할 수 있습니다. 심한 경우에는 핫스폿으로 인해 DC가 반응하지 않을 수 있습니다. 또한 AWS 디렉터리 자동화에서 해당 디렉터리를 손상된 것으로 플래그 지정하여 응답하지 않는 DC를 교체하는 복구 프로세스가 트리거될 수도 있습니다.

프로덕션 단계로 넘어가기 전에 로드 테스트 실시

프로덕션 워크로드를 대표하는 객체 및 요청에 대해 랩 테스트를 실시하여 디렉터리가 애플리케이션의 로드에 맞게 조정되는지 확인해야 합니다. 추가 용량이 필요하다면 DC 간에 요청을 분배하는 중에 추가 DC를 테스트합니다. 자세한 내용은 AWS 관리형 Microsoft AD에 대한 추가 도메인 컨트롤러 배포 단원을 참조하십시오.

효율적인 LDAP 쿼리 사용

수십만 개의 객체에서 도메인 컨트롤러에 광범위한 LDAP 쿼리를 수행하면 단일 DC에서 상당히 많은 CPU 주기가 사용되면서 핫스폿이 발생할 수 있습니다. 이는 쿼리 중에 동일한 DC를 공유하는 애플리케이션에 부정적인 영향을 미칠 수 있습니다.