신뢰 관계 생성 - AWS Directory Service
필수 조건신뢰 관계 설정

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

신뢰 관계 생성

Microsoft Active Directory용 AWS 디렉터리 서비스와 자체 관리형 (온-프레미스) 디렉터리 간뿐만 아니라 클라우드의 여러 관리형 AWS Microsoft AD 디렉터리 간에도 단방향 및 양방향 외부 및 포리스트 트러스트 관계를 구성할 수 있습니다. AWS AWS 관리형 Microsoft AD는 수신, 발신 및 양방향 (양방향) 의 세 가지 신뢰 관계 방향을 모두 지원합니다.

신뢰 관계에 대한 자세한 내용은 AWS 관리형 Microsoft AD를 통한 트러스트에 대해 알고 싶었던 모든 것을 참조하십시오.

참고

신뢰 관계를 설정할 때는 자체 관리형 디렉터리가 s와 호환되고 계속 AWS Directory Service호환되는지 확인해야 합니다. 책임 사항에 대한 자세한 내용은 공동 책임 모델을 참조하세요.

AWS 관리형 Microsoft AD는 외부 트러스트와 포리스트 트러스트를 모두 지원합니다. 포리스트 신뢰를 생성하는 방법을 보여주는 예제를 따라가려면 자습서: AWS Managed Microsoft AD 디렉터리와 자체 관리형 Active Directory 도메인 간에 신뢰 관계를 생성합니다을 참조하세요.

Amazon Chime, Amazon Connect, Amazon, Amazon, Amazon AWS IAM Identity Center WorkDocs WorkMail, QuickSight WorkSpaces Amazon 등과 같은 AWS 엔터프라이즈 앱에는 양방향 신뢰가 필요합니다. AWS Management Console AWS 관리형 Microsoft AD는 자체 Active Directory 관리형의 사용자 및 그룹을 쿼리할 수 있어야 합니다.

Amazon EC2, Amazon RDS, Amazon FSx는 단방향 또는 양방향 신뢰를 사용할 수 있습니다.

필수 조건

몇 가지 단계만 거치면 신뢰 생성이 가능하지만, 신뢰 설정에 앞서 먼저 몇 가지 선행 단계를 완료해야 합니다.

참고

AWS 관리형 Microsoft AD는 단일 레이블 도메인과의 트러스트를 지원하지 않습니다.

VPC 연결

자체 관리형 디렉터리와 신뢰 관계를 만들려면 먼저 자체 관리형 네트워크를 관리형 Microsoft AD가 포함된 Amazon VPC에 연결해야 합니다. AWS 자체 관리형 및 AWS 관리형 Microsoft AD 네트워크용 방화벽에는 Microsoft 설명서의 WindowsServer 2008 이상 버전에 나열된 네트워크 포트가 열려 있어야 합니다.

WorkDocs Amazon QuickSight 또는 Amazon과 AWS 같은 애플리케이션에서 인증할 때 전체 도메인 이름 대신 NetBIOS 이름을 사용하려면 포트 9389를 허용해야 합니다. Active Directory 포트 및 프로토콜에 대한 자세한 내용은 설명서의 서비스 개요 및 네트워크 포트 요구 사항을 참조하십시오. Windows Microsoft

이들은 디렉터리 연결 능력이 필요한 최소 포트입니다. 특정 구성에서는 추가 포트를 개방해야 하는 경우도 있습니다.

VPC 구성

관리형 AWS Microsoft AD가 포함된 VPC에는 적절한 아웃바운드 및 인바운드 규칙이 있어야 합니다.

VPC 아웃바운드 규칙을 구성하는 방법

  1. AWS Directory Service 콘솔의 디렉터리 세부 정보 페이지에서 AWS 관리되는 Microsoft AD 디렉터리 ID를 기록해 둡니다.

  2. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 여세요.

  3. [Security Groups]를 선택합니다.

  4. AWS 관리형 Microsoft AD 디렉터리 ID를 검색하세요. 검색 결과에서 “디렉터리 ID 디렉터리 컨트롤러용으로AWS 생성된 보안 그룹”이라는 설명이 있는 항목을 선택합니다.

    참고

    선택된 보안 그룹은 처음 디렉터리를 생성할 때 자동으로 생성된 보안 그룹입니다.

  5. 해당 보안 그룹의 [Outbound Rules] 탭으로 이동합니다. [Edit]와 [Add another rule]을 차례로 선택합니다. 새 규칙에서 아래 값을 입력합니다.

    • [Type]: 모든 트래픽

    • [Protocol]: 모두

    • Destination(대상)은 도메인 컨트롤러에서 나가는 트래픽과 자체 관리형 네트워크상의 트래픽 대상을 결정합니다. 단일 IP 주소 또는 CIDR 표기법으로 된 IP 주소 범위(예: 203.0.113.5/32)를 지정합니다. 또한 동일 리전 내 다른 보안 그룹의 이름이나 ID를 지정할 수도 있습니다. 자세한 정보는 디렉터리의 AWS 보안 그룹 구성 및 사용에 대해 알아보십시오.을 참조하세요.

  6. 저장을 선택합니다.

Kerberos 사전 인증 활성화

사용자 계정에서 Kerberos 사전 인증이 활성화되어 있어야 합니다. 이 설정에 대한 자세한 내용은 TechNet Microsoft의 사전 인증을 참조하십시오.

자체 관리형 도메인에서의 DNS 조건부 전달자 구성

자체 관리형 도메인에서 DNS 조건부 전달자를 설정해야 합니다. 조건부 전달자에 대한 자세한 내용은 Microsoft의 도메인 이름에 TechNet 대한 조건부 전달자 할당을 참조하십시오.

다음 단계를 수행하려면 자체 관리형 도메인에서 아래 Windows Server 도구들에 액세스할 권한이 있어야 합니다.

  • AD DS 및 AD LDS 도구

  • DNS

자체 관리형 도메인에서 조건부 전달자를 구성하려면

  1. 먼저 AWS 관리형 Microsoft AD에 대한 몇 가지 정보를 얻어야 합니다. AWS Management Console 에 로그인한 다음 AWS Directory Service 콘솔을 엽니다.

  2. 탐색 창에서 [Directories]를 선택합니다.

  3. AWS 관리형 Microsoft AD의 디렉터리 ID를 선택합니다.

  4. 디렉터리의 FQDN(Fully Qualified Domain Name)과 DNS 주소를 기록해 둡니다.

  5. 이제 자체 관리형 도메인 컨트롤러로 돌아갑니다. 서버 관리자를 엽니다.

  6. [Tools] 메뉴에서 [DNS]를 선택합니다.

  7. 콘솔 트리에서 신뢰를 설정 중인 도메인의 DNS 서버를 확장합니다.

  8. 콘솔 트리에서 [Conditional Forwarders]를 선택합니다.

  9. [Action] 메뉴에서 [New conditional forwarder]를 선택합니다.

  10. DNS 도메인에는 앞서 언급한 관리형 AWS Microsoft AD의 FQDN (정규화된 도메인 이름) 을 입력합니다.

  11. 마스터 서버의 IP 주소를 선택하고 앞서 언급한 AWS 관리형 Microsoft AD 디렉터리의 DNS 주소를 입력합니다.

    DNS 주소를 입력하고 나면 "timeout" 또는 "unable to resolve"라는 오류 메시지가 나타날 수 있습니다. 보통 이러한 오류 메시지는 무시해도 좋습니다.

  12. [Store this conditional forwarder in Active Directory and replicate as follows: All DNS servers in this domain]을 선택합니다. 확인을 선택합니다.

신뢰 관계 암호

기존 도메인과의 신뢰 관계를 설정 중이라면 Windows Server Administration 도구를 사용해 해당 도메인에서 신뢰 관계를 설정합니다. 이때, 사용한 신뢰 암호를 적어둡니다. AWS 관리형 Microsoft AD에서 신뢰 관계를 설정할 때도 이와 동일한 암호를 사용해야 합니다. 자세한 내용은 TechNet Microsoft에서의 트러스트 관리를 참조하십시오.

이제 AWS 관리형 Microsoft AD에서 신뢰 관계를 만들 준비가 되었습니다.

NetBIOS 및 도메인 이름

NetBIOS와 도메인 이름은 고유해야 하며 신뢰 관계를 설정하기 위해 동일할 수 없습니다.

신뢰 관계의 설정, 확인, 삭제

참고

신뢰 관계는 AWS 관리형 Microsoft AD의 글로벌 기능입니다. 다중 리전 복제를 사용하는 경우 기본 리전에서 다음 절차를 수행해야 합니다. 변경은 복제된 모든 리전에 자동으로 적용됩니다. 자세한 정보는 글로벌 기능과 리전별 기능 비교을 참조하세요.

AWS 관리형 Microsoft AD와 신뢰 관계를 만들려면

  1. AWS Directory Service 콘솔을 엽니다.

  2. 디렉터리 페이지에서 AWS 관리되는 Microsoft AD ID를 선택합니다.

  3. Directory details(디렉터리 세부 정보) 페이지에서 다음 중 하나를 수행합니다.

    • 다중 리전 복제에 여러 리전이 표시되는 경우 기본 리전을 선택한 다음 네트워킹 및 보안 탭을 선택합니다. 자세한 정보는 기본 리전과 추가 리전의 비교을 참조하세요.

    • 다중 리전 복제에 리전이 표시되지 않는 경우 네트워킹 및 보안 탭을 선택합니다.

  4. 신뢰 관계 섹션에서 작업을 선택한 후신뢰 관계 추가를 선택합니다.

  5. 신뢰 관계 추가 페이지에서 신뢰 유형, 신뢰 관계가 설정된 도메인의 FQDN(정규화된 도메인 이름), 신뢰 암호 및 신뢰 방향을 포함한 필수 정보를 제공합니다.

  6. (선택 사항) 인증된 사용자만 AWS Managed Microsoft AD 디렉터리의 리소스에 액세스하도록 허용하려는 경우 선택적 인증 확인란을 선택할 수 있습니다. 선택적 인증에 대한 일반 정보는 TechNet Microsoft의 트러스트에 대한 보안 고려 사항을 참조하십시오.

  7. Conditional forwarder(조건부 전달자)의 경우 자체 관리형 DNS 서버의 IP 주소를 입력합니다. 이미 조건부 전달자를 생성한 경우에는 DNS IP 주소 대신 자체 관리형 도메인의 FQDN을 입력할 수 있습니다.

  8. (선택 사항) Add another IP address(다른 IP 주소 추가)를 선택하고 추가적인 자체 관리형 DNS 서버의 IP 주소를 입력합니다. 해당되는 각 DNS 서버 주소(총 4개의 주소)에 대해 이 단계를 반복할 수 있습니다.

  9. 추가를 선택합니다.

  10. 자체 관리형 도메인에 대한 DNS 서버 또는 네트워크가 퍼블릭(RFC를 제외한 1918) IP 주소 공간을 사용하는 경우에는 IP 라우팅 섹션으로 이동하여 작업을 선택한 후 라우팅 추가를 선택합니다. CIDR 형식을 이용해 DNS 서버 또는 자체 관리형 네트워크의 IP 주소 블록을 입력합니다(예: 203.0.113.0/24). DNS 서버와 자체 관리형 네트워크가 모두 RFC 1918 IP 주소 공간을 사용하는 경우에는 이 단계가 필요하지 않습니다.

    참고

    퍼블릭 IP 주소 공간을 사용하는 경우에는 AWS IP 주소 범위를 사용할 수 없으므로 절대로 사용해서는 안 됩니다.

  11. (선택 사항) 라우팅 추가 페이지에서 Add routes to the security group for this directory's VPC(이 디렉터리의 VPC에 대해 보안 그룹에 라우팅 추가)도 선택할 것을 권장합니다. 이렇게 하면 "Configure your VPC"에서 위에 설명한 보안 그룹이 구성됩니다. 이러한 보안 규칙은 공개되지 않은 내부 네트워크 인터페이스에 영향을 미칩니다. 이 옵션을 사용할 수 없는 경우에는 대신에 보안 그룹을 이미 사용자 지정했음을 알리는 메시지가 표시될 것입니다.

두 도메인 모두에서 신뢰 관계를 설정해야 합니다. 이 관계는 상호 보완적이어야 합니다. 예를 들어 한 도메인에서 아웃바운드 신뢰를 설정했다면 다른 도메인에는 인바운드 신뢰를 설정해야 합니다.

기존 도메인과의 신뢰 관계를 설정 중이라면 Windows Server Administration 도구를 사용해 해당 도메인에서 신뢰 관계를 설정합니다.

AWS 관리형 Microsoft AD와 다양한 Active Directory 도메인 간에 여러 트러스트를 만들 수 있습니다. 그러나 한번에 쌍당 오직 한 개의 신뢰 관계만 존재할 수 있습니다. 예를 들어 이미 "인바운드 방향"의 단방향 신뢰가 있지만 "아웃바운드 방향"의 또 다른 신뢰 관계를 설정하고 싶은 경우에는 기존의 신뢰 관계를 삭제하고 "양방향" 신뢰를 새로 설정해야 합니다.

아웃바운드 신뢰 관계를 확인하는 방법

  1. AWS Directory Service 콘솔을 엽니다.

  2. 디렉터리 페이지에서 AWS 관리되는 Microsoft AD ID를 선택합니다.

  3. Directory details(디렉터리 세부 정보) 페이지에서 다음 중 하나를 수행합니다.

    • 다중 리전 복제에 여러 리전이 표시되는 경우 기본 리전을 선택한 다음 네트워킹 및 보안 탭을 선택합니다. 자세한 정보는 기본 리전과 추가 리전의 비교을 참조하세요.

    • 다중 리전 복제에 리전이 표시되지 않는 경우 네트워킹 및 보안 탭을 선택합니다.

  4. 신뢰 관계 섹션에서 확인하려는 신뢰 관계를 선택하고 작업을 선택한 후신뢰 관계 확인을 선택합니다.

이 프로세스는 양방향 트러스트의 발신 방향만 확인합니다. AWS 들어오는 트러스트의 검증은 지원하지 않습니다. 자체 관리형 Active Directory와의 신뢰 여부를 확인하는 방법에 대한 자세한 내용은 TechNet Microsoft의 신뢰 확인을 참조하십시오.

기존 신뢰 관계를 삭제하는 방법

  1. AWS Directory Service 콘솔을 엽니다.

  2. 디렉터리 페이지에서 AWS 관리되는 Microsoft AD ID를 선택합니다.

  3. Directory details(디렉터리 세부 정보) 페이지에서 다음 중 하나를 수행합니다.

    • 다중 리전 복제에 여러 리전이 표시되는 경우 기본 리전을 선택한 다음 네트워킹 및 보안 탭을 선택합니다. 자세한 정보는 기본 리전과 추가 리전의 비교을 참조하세요.

    • 다중 리전 복제에 리전이 표시되지 않는 경우 네트워킹 및 보안 탭을 선택합니다.

  4. 신뢰 관계 섹션에서 삭제하려는 신뢰 관계를 선택하고 작업을 선택한 후신뢰 관계 삭제를 선택합니다.

  5. 삭제를 선택합니다.