AWS 관리형 Microsoft AD로 생성되는 항목

ENI(탄력적 네트워크 인터페이스)를 자동으로 생성하여 각 도메인 컨트롤러에 연결합니다. 이러한 각 ENIs는 VPC와 AWS Directory Service 도메인 컨트롤러 간의 연결에 필수적이며 삭제해서는 안 됩니다. "AWS created network interface for directory directory-id" 설명 AWS Directory Service 으로와 함께 사용하도록 예약된 모든 네트워크 인터페이스를 식별할 수 있습니다. 자세한 내용은 Amazon EC2 사용 설명서의 탄력적 네트워크 인터페이스를 참조하세요. AWS 관리형 Microsoft AD의 기본 DNS 서버는 Classless Inter-Domain Routing(CIDR)+2의 VPC DNS 서버Active Directory입니다. 자세한 내용은 Amazon VPC 사용 설명서의 Amazon DNS 서버를 참조하세요.

참고

도메인 컨트롤러는 기본적으로 한 리전의 두 가용 영역에 배포되며 Amazon VPC (VPC)에 연결됩니다. 백업은 하루에 한 번 자동으로 수행되며 Amazon EBS (EBS) 볼륨이 암호화되어 저장된 데이터를 안전하게 보호합니다. 장애가 발생한 도메인 컨트롤러는 동일한 IP 주소를 사용하여 동일한 가용 영역에서 자동으로 교체되며, 최신 백업을 사용하여 전체 재해 복구를 수행할 수 있습니다.

내결함성 및 고가용성을 위해 두 개의 도메인 컨트롤러를 사용하여 VPC 내에서 Active Directory를 프로비저닝합니다. 디렉터리가 성공적으로 생성되고 활성 상태가 되면 복원력 및 성능을 높이기 위해 더 많은 도메인 컨트롤러를 프로비저닝할 수 있습니다. 자세한 내용은 AWS 관리형 Microsoft AD에 대한 추가 도메인 컨트롤러 배포 단원을 참조하십시오.

참고

AWS 에서는 AWS 관리형 Microsoft AD 도메인 컨트롤러에 모니터링 에이전트를 설치할 수 없습니다.

도메인 컨트롤러 안팎의 트래픽에 대한 네트워크 규칙을 설정하는 AWS 보안 그룹 sg-1234567890abcdef0을 생성합니다. 기본 아웃바운드 규칙은 모든 IPv4 주소에 대한 모든 트래픽을 허용합니다. 기본 인바운드 규칙은 AWS 관리형 Microsoft AD의 VPC 호스팅과 연결된 기본 IPv4 CIDR 블록Active Directory에서에 필요한 포트를 통한 트래픽만 허용합니다. 보안을 강화하기 위해 생성된 ENI에는 탄력적 IP가 연결되어 있지 않으며 사용자에게 해당 ENI에 탄력적 IP를 연결할 수 있는 권한이 없습니다. 따라서 기본적으로 AWS 관리형 Microsoft AD와 통신할 수 있는 유일한 인바운드 트래픽은 로컬 VPC입니다. VPN을 통해 연결할 수 있는 다른 피어링된 VPCs 또는 CIDRs과 같은 추가 트래픽 소스를 허용하도록 보안 그룹 규칙을 변경할 수 있습니다. 이러한 규칙을 변경하면 도메인 컨트롤러와 통신하지 못할 수도 있으므로 특히 주의하세요. 자세한 내용은 AWS 관리형 Microsoft AD 모범 사례 및 AWS 관리형 Microsoft AD 네트워크 보안 구성 개선 섹션을 참조하세요.

접두사 목록을 사용하여 보안 그룹 규칙 내에서 CIDR 블록을 관리할 수 있습니다. 접두사 목록을 사용하면 보안 그룹 및 라우팅 테이블을 더 쉽게 관리하고 구성할 수 있습니다. 여러 CIDR 블록을 동일한 포트 및 프로토콜과 통합하여 네트워크 트래픽을 확장할 수 있습니다.

환경에서 Windows 클라이언트는 종종 SMB(Server Message Block) 또는 포트 445를 통해 통신합니다. 이 프로토콜은 파일 및 프린터 공유, 일반 네트워크 통신과 같은 다양한 작업을 용이하게 합니다. 포트 445에서 AWS 관리형 Microsoft AD 도메인 컨트롤러의 관리 인터페이스로의 클라이언트 트래픽이 표시됩니다.

이 트래픽은 SMB 클라이언트가 DNS(포트 53) 및 NetBIOS(포트 138) 이름 확인을 사용하여 AWS 관리형 Microsoft AD 도메인 리소스를 찾을 때 발생합니다. 이러한 클라이언트는 도메인 리소스를 찾을 때 도메인 컨트롤러에서 사용 가능한 모든 인터페이스로 연결됩니다. 이러한 동작은 예상되며 여러 네트워크 어댑터가 있고 SMB 다중 채널을 통해 클라이언트가 향상된 성능과 중복성을 위해 다양한 인터페이스 간에 연결을 설정할 수 있는 환경에서 자주 발생합니다.

기본적으로 다음과 같은 AWS 보안 그룹 규칙이 생성됩니다.

인바운드 규칙

프로토콜	포트 범위	소스	트래픽 유형	Active Directory 사용
ICMP	N/A	AWS 관리형 Microsoft AD VPC IPv4 CIDR	Ping	LDAP Keep Alive, DFS
TCP 및 UDP	53	AWS 관리형 Microsoft AD VPC IPv4 CIDR	DNS	사용자 및 컴퓨터 인증, 이름 확인, 신뢰
TCP 및 UDP	88	AWS 관리형 Microsoft AD VPC IPv4 CIDR	Kerberos	사용자 및 컴퓨터 인증, 포리스트 수준 신뢰
TCP 및 UDP	389	AWS 관리형 Microsoft AD VPC IPv4 CIDR	LDAP	디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰
TCP 및 UDP	445	AWS 관리형 Microsoft AD VPC IPv4 CIDR	SMB/CIFS	복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰
TCP 및 UDP	464	AWS 관리형 Microsoft AD VPC IPv4 CIDR	Kerberos 암호 변경/설정	복제, 사용자 및 컴퓨터 인증, 신뢰
TCP	135	AWS 관리형 Microsoft AD VPC IPv4 CIDR	복제	RPC, EPM
TCP	636	AWS 관리형 Microsoft AD VPC IPv4 CIDR	LDAP SSL	디렉터리, 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰
TCP	1024~65535	AWS 관리형 Microsoft AD VPC IPv4 CIDR	RPC	복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰
TCP	3268 - 3269	AWS 관리형 Microsoft AD VPC IPv4 CIDR	LDAP GC 및 LDAP GC SSL	디렉터리, 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰
UDP	123	AWS 관리형 Microsoft AD VPC IPv4 CIDR	Windows 시간	Windows 시간, 신뢰
UDP	138	AWS 관리형 Microsoft AD VPC IPv4 CIDR	DFSN 및 NetLogon	DFS, 그룹 정책
모두	모두	AWS 에서 도메인 컨트롤러에 대한 보안 그룹 생성(`sg-1234567890abcdef0`)	모든 트래픽

아웃바운드 규칙

프로토콜	포트 범위	대상	트래픽 유형	Active Directory 사용
모두	모두	0.0.0.0/0	모든 트래픽

Active Directory에서 사용하는 포트 및 프로토콜에 대한 자세한 내용은 Microsoft 설명서의 Windows용 서비스 개요 및 네트워크 포트 요구 사항을 참조하세요.

사용자 이름 Admin과 지정된 암호를 사용하여 디렉터리 관리자 계정을 생성합니다. 이 계정은 Users OU (예: Corp > Users) 아래에 있습니다. 이 계정을 사용하여에서 디렉터리를 관리합니다 AWS 클라우드. 자세한 내용은 AWS 관리형 Microsoft AD 관리자 계정 및 그룹 권한 단원을 참조하십시오.

중요

이 암호를 저장해야 합니다.는이 암호를 저장하지 AWS Directory Service 않으며 검색할 수 없습니다. 그러나 AWS Directory Service 콘솔에서 또는 ResetUserPassword API를 사용하여 암호를 재설정할 수 있습니다.

도메인 루트 아래에 다음 3개의 조직 단위(OU)를 생성합니다.

OU 이름	설명
AWS Delegated Groups	사용자에게 AWS 특정 권한을 위임하는 데 사용할 수 있는 모든 그룹을 저장합니다.
AWS Reserved	모든 AWS 관리별 계정을 저장합니다.
<yourdomainname>	이 OU의 이름은 디렉터리 생성 시 입력한 NetBIOS 이름에 근거를 둡니다. NetBIOS 이름을 지정하지 않을 경우 Directory DNS 이름의 첫 부분으로 기본 설정됩니다. 예를 들어, corp.example.com의 경우 NetBIOS 이름은 corp입니다. 이 OU는에서 소유 AWS 하며 전체 제어 권한이 부여된 모든 AWS관련 디렉터리 객체를 포함합니다. 이 OU에는 기본적으로 컴퓨터와 사용자라는 하위 OU가 있습니다. 예시: Corp 컴퓨터 Users

에서 AWS Delegated Groups OU다음 그룹을 생성합니다.

그룹 이름	설명
AWS Delegated Account Operators	이 보안 그룹의 멤버는 암호 재설정 등의 제한된 계정 관리 기능을 갖습니다
AWS Delegated Active Directory Based Activation Administrators	이 보안 그룹의 멤버는 Active Directory 볼륨 라이선스 정품 인증 객체를 생성할 수 있습니다. 그러면 기업에서 이 객체를 사용하여 도메인 연결을 통해 컴퓨터를 정품 인증할 수 있습니다.
AWS Delegated Add Workstations To Domain Users	이 보안 그룹의 멤버는 10개의 컴퓨터를 도메인에 조인할 수 있습니다.
AWS Delegated Administrators	이 보안 그룹의 구성원은 AWS 관리형 Microsoft AD를 관리하고, OU의 모든 객체를 완전히 제어하고,에 포함된 그룹을 관리할 수 있습니다AWS Delegated Groups OU.
AWS Delegated Allowed to Authenticate Objects	이 보안 그룹의 멤버에게는의 컴퓨터 리소스에 인증할 수 있는 기능이 제공됩니다AWS Reserved OU(선택적 인증이 활성화된 신뢰가 있는 온프레미스 객체에만 필요).
AWS Delegated Allowed to Authenticate to Domain Controllers	이 보안 그룹의 멤버에게는의 컴퓨터 리소스에 인증할 수 있는 기능이 제공됩니다Domain Controllers OU(선택적 인증이 활성화된 신뢰가 있는 온프레미스 객체에만 필요).
AWS Delegated Deleted Object Lifetime Administrators	이 보안 그룹의 구성원은 삭제된 msDS-DeletedObjectLifetime 객체를 AD 휴지통에서 복구할 수 있는 기간을 정의하는 객체를 수정할 수 있습니다.
AWS Delegated Distributed File System Administrators	이 보안 그룹의 멤버는 FRS, DFS-R 및 DFS 이름 공간을 추가하고 제거할 수 있습니다.
AWS Delegated Domain Name System Administrators	이 보안 그룹의 멤버는 Active Directory 통합 DNS를 관리할 수 있습니다.
AWS Delegated Dynamic Host Configuration Protocol Administrators	이 보안 그룹의 멤버는 기업의 Windows DHCP 서버에 권한을 부여할 수 있습니다.
AWS Delegated Enterprise Certificate Authority Administrators	이 보안 그룹의 멤버는 Microsoft Enterprise Certificate Authority 인프라를 배포하고 관리할 수 있습니다.
AWS Delegated Fine Grained Password Policy Administrators	이 보안 그룹의 멤버는 사전에 생성된 세분화된 암호 정책을 수정할 수 있습니다.
AWS Delegated FSx Administrators	이 보안 그룹의 멤버에게는 Amazon FSx 리소스를 관리하는 기능이 제공됩니다.
AWS Delegated Group Policy Administrators	이 보안 그룹의 멤버는 그룹 정책 관리 작업(생성, 편집, 삭제, 연결)을 수행할 수 있습니다.
AWS Delegated Kerberos Delegation Administrators	이 보안 그룹의 멤버는 컴퓨터 및 사용자 계정 객체에 대한 위임을 활성화할 수 있습니다.
AWS Delegated Managed Service Account Administrators	이 보안 그룹의 멤버는 관리형 서비스 계정을 생성하고 삭제할 수 있습니다.
AWS Delegated MS-NPRC Non-Compliant Devices	이 보안 그룹의 구성원은 도메인 컨트롤러와의 보안 채널 통신 요구 대상에서 제외됩니다. 이 그룹은 컴퓨터 계정용입니다.
AWS Delegated Remote Access Service Administrators	이 보안 그룹의 멤버는 RAS 및 IAS 서버 그룹에서 RAS 서버를 추가하고 제거할 수 있습니다.
AWS Delegated Replicate Directory Changes Administrators	이 보안 그룹의 멤버는 Active Directory의 프로파일 정보를 SharePoint Server와 동기화할 수 있습니다.
AWS Delegated Server Administrators	이 보안 그룹의 멤버는 모든 도메인 조인 컴퓨터의 로컬 관리자 그룹에 포함됩니다.
AWS Delegated Sites and Services Administrators	이 보안 그룹의 멤버는 Active Directory 사이트 및 서비스에서 Default-First-Site-Name 객체의 이름을 변경할 수 있습니다.
AWS Delegated System Management Administrators	이 보안 그룹의 멤버는 시스템 관리 컨테이너에서 객체를 생성하고 관리할 수 있습니다.
AWS Delegated Terminal Server Licensing Administrators	이 보안 그룹의 멤버는 터미널 서버 라이선스 서버 그룹에서 터미널 서버 라이선스 서버를 추가하고 제거할 수 있습니다.
AWS Delegated User Principal Name Suffix Administrators	이 보안 그룹의 멤버는 사용자 보안 주체 이름 접미사를 추가하고 제거할 수 있습니다.

참고

이러한에를 추가할 수 있습니다AWS Delegated Groups.

다음 GPO(그룹 정책 객체)를 생성하고 적용합니다.

참고

사용자는 이러한 GPO를 삭제, 수정, 연결 해제할 권한이 없습니다. 이는 AWS 사용을 위해 예약되어 있으므로 설계에 따른 것입니다. 필요한 경우 제어하는 OU에 연결할 수 있습니다.

그룹 정책 이름	적용 대상	설명
Default Domain Policy	도메인	도메인 암호 및 Kerberos 정책을 포함합니다.
ServerAdmins	모든 비도메인 컨트롤러 컴퓨터 계정	를의 멤버'AWS Delegated Server Administrators'로 추가합니다BUILTIN\Administrators Group.
AWS Reserved Policy:User	AWS Reserved user accounts	의 모든 사용자 계정에 대한 권장 보안 설정을 지정합니다AWS Reserved OU.
AWS Managed Active Directory Policy	모든 도메인 컨트롤러	모든 도메인 컨트롤러에 대해 권장되는 보안 설정을 지정합니다.
TimePolicyNT5DS	모든 비PDCe 도메인 컨트롤러	모든 비PDCe 도메인 컨트롤러 시간 정책에서 Windows 시간(NT5DS)을 사용하도록 설정합니다.
TimePolicyPDC	PDCe 도메인 컨트롤러	PDCe 도메인 컨트롤러의 시간 정책에서 NTP(Network Time Protocol)를 사용하도록 설정합니다.
Default Domain Controllers Policy	사용되지 않습니다	도메인 생성 중에 프로비저닝된 AWS 관리형 Active Directory 정책이 대신 사용됩니다.

각 GPO의 설정을 보려면 GPMC(그룹 정책 관리 콘솔)를 활성화한 상태에서 도메인에 조인된 Windows 인스턴스에서 해당 설정을 볼 수 있습니다.

AWS 관리형 Microsoft AD 관리를 default local accounts 위해 다음을 생성합니다.

중요

관리자 암호를 저장해야 합니다.는이 암호를 저장하지 AWS Directory Service 않으며 검색할 수 없습니다. 그러나 AWS Directory Service 콘솔에서 또는 ResetUserPassword API를 사용하여 암호를 재설정할 수 있습니다. ResetUserPassword

Admin

Admin는 AWS 관리형 Microsoft AD가 처음 directory administrator account 생성될 때 생성되는 입니다. AWS 관리형 Microsoft AD를 생성할 때이 계정의 암호를 제공합니다. 이 계정은 Users OU (예: Corp > Users) 아래에 있습니다. AWS에서 이 계정을 사용하여 Active Directory를 관리할 수 있습니다. 자세한 내용은 AWS 관리형 Microsoft AD 관리자 계정 및 그룹 권한 단원을 참조하십시오.

AWS_11111111111

로 시작하고 밑줄 AWS 이 붙은에 있는 모든 계정 이름은 서비스 관리형 계정AWS Reserved OU입니다. 이 서비스 관리형 계정은에서와 상호 작용하는 AWS 데 사용됩니다Active Directory. 이러한 계정은 AWS 디렉터리 서비스 데이터가 활성화되고에서 승인된 각 새 AWS 애플리케이션을 사용하여 생성됩니다Active Directory. 이러한 계정은 AWS 서비스에서만 액세스할 수 있습니다.

krbtgt account

krbtgt account는 AWS 관리형 Microsoft AD에서 사용하는 Kerberos 티켓 교환에서 중요한 역할을 합니다. krbtgt account는 Kerberos 티켓 부여 티켓(TGT) 암호화에 사용되는 특수 계정이며 Kerberos 인증 프로토콜의 보안에 중요한 역할을 합니다. 자세한 설명은 Microsoft 설명서를 참조하세요.

AWS 는 90일마다 두 번 AWS Managed Microsoft AD의 krbtgt account 암호를 자동으로 교체합니다. 90일마다 2회 연속 교체 사이에는 24시간의 대기 시간이 있습니다.