신뢰 관계를 생성해야 하는 경우 - AWS Directory Service

신뢰 관계를 생성해야 하는 경우

AWS Directory Service for Microsoft Active Directory와 온프레미스 디렉터리 간에, 그리고 AWS 클라우드의 여러 AWS Managed Microsoft AD 디렉터리들 간에 단방향 및 양방향 외부, 포리스트 신뢰 관계를 구성할 수 있습니다. AWS Managed Microsoft AD는 인바운드, 아웃바운드, 양방향 등 세 가지 신뢰 관계 방향을 모두 지원합니다.

참고

신뢰 관계를 설정할 때는 온프레미스 디렉터리가 존재하고 AWS 디렉터리 서비스와 호환 가능한 상태를 유지하고 있는지 확인해야 합니다. 책임 사항에 대한 자세한 내용은 공동 책임 모델을 참조하십시오.

AWS Managed Microsoft AD는 외부 및 포리스트 신뢰를 모두 지원합니다. 포리스트 신뢰를 생성하는 방법을 보여주는 예제를 따라가려면 자습서: AWS Managed Microsoft AD와 온프레미스 도메인 간에 신뢰 관계를 생성을 참조하십시오.

사전 조건

몇 가지 단계만 거치면 신뢰 생성이 가능하지만, 신뢰 설정에 앞서 먼저 몇 가지 선행 단계를 완료해야 합니다.

참고

AWS Managed Microsoft AD는 단일 레이블 도메인과의 트러스트를 지원하지 않습니다.

VPC 연결

온프레미스 디렉터리와의 신뢰 관계를 설정 중이라면 먼저 AWS Managed Microsoft AD를 포함한 VPC에 온프레미스 네트워크를 연결해야 합니다. 온프레미스 네트워크의 방화벽에서 VPC에 있는 두 서브넷의 CIDR에 대해 다음 포트를 개방해야 합니다.

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 인증

  • TCP/UDP 389 - LDAP

  • TCP 445 - SMB

    참고

    더 이상 SMBv1이 지원되지 않습니다.

이들은 디렉터리 연결 능력이 필요한 최소 포트입니다. 특정 구성에서는 추가 포트를 개방해야 하는 경우도 있습니다.

VPC 구성

AWS Managed Microsoft AD를 포함하는 VPC는 적절한 아웃바운드 및 인바운드 규칙을 가지고 있어야 합니다.

VPC 아웃바운드 규칙을 구성하는 방법

  1. AWS Directory Service console디렉터리 세부 정보 페이지에서 AWS Managed Microsoft AD 디렉터리 ID를 기록합니다.

  2. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  3. [Security Groups]를 선택합니다.

  4. AWS Managed Microsoft AD 디렉터리 ID를 검색합니다. 검색 결과에서 "AWS created security group for directory ID directory controllers"라는 설명이 붙은 항목을 선택합니다.

    참고

    선택된 보안 그룹은 처음 디렉터리를 생성할 때 자동으로 생성된 보안 그룹입니다.

  5. 해당 보안 그룹의 [Outbound Rules] 탭으로 이동합니다. [Edit]와 [Add another rule]을 차례로 선택합니다. 새 규칙에서 아래 값을 입력합니다.

    • [Type]: 모든 트래픽

    • [Protocol]: 모두

    • [Destination]은 도메인 컨트롤러에서 나가는 트래픽과 온프레미스 네트워크 상의 트래픽 대상을 결정합니다. 단일 IP 주소 또는 CIDR 표기법으로 된 IP 주소 범위(예: 203.0.113.5/32)를 지정합니다. 또한 동일 리전 내 다른 보안 그룹의 이름이나 ID를 지정할 수도 있습니다. 자세한 내용은 디렉터리의 AWS 보안 그룹 구성 및 사용을 이해 단원을 참조하십시오.

  6. [Save]를 선택합니다.

VPC 인바운드 규칙을 구성하는 방법

  1. AWS Directory Service console디렉터리 세부 정보 페이지에서 AWS Managed Microsoft AD 디렉터리 ID를 기록합니다.

  2. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  3. [Security Groups]를 선택합니다.

  4. AWS Managed Microsoft AD 디렉터리 ID를 검색합니다. 검색 결과에서 "AWS created security group for directory ID directory controllers"라는 설명이 붙은 항목을 선택합니다.

    참고

    선택된 보안 그룹은 처음 디렉터리를 생성할 때 자동으로 생성된 보안 그룹입니다.

  5. 해당 보안 그룹의 [Inbound Rules] 탭으로 이동합니다. [Edit]와 [Add another rule]을 차례로 선택합니다. 새 규칙에서 아래 값을 입력합니다.

    • [Type]: 사용자 지정 UDP 규칙

    • [Protocol]: UDP

    • [Port Range]: 445

    • [Source]에서 단일 IP 주소 또는 CIDR 표기법으로 된 IP 주소 범위(예: 203.0.113.5/32)를 지정합니다. 또한 동일 리전 내 다른 보안 그룹의 이름이나 ID를 지정할 수도 있습니다. 이 설정은 온프레미스 네트워크에서 도메인 컨트롤러에 도달할 수 있는 트래픽을 결정합니다. 자세한 내용은 디렉터리의 AWS 보안 그룹 구성 및 사용을 이해 단원을 참조하십시오.

  6. [Save]를 선택합니다.

  7. 이러한 단계들을 반복하여 아래 규칙을 각각 추가합니다.

    Type 프로토콜 포트 범위 소스
    사용자 지정 UDP 규칙 UDP 88 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    사용자 지정 UDP 규칙 UDP 123 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    사용자 지정 UDP 규칙 UDP 138 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    사용자 지정 UDP 규칙 UDP 389 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    사용자 지정 UDP 규칙 UDP 464 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    사용자 지정 TCP 규칙 TCP 88 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    사용자 지정 TCP 규칙 TCP 135 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    사용자 지정 TCP 규칙 TCP 445 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    사용자 지정 TCP 규칙 TCP 464 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    사용자 지정 TCP 규칙 TCP 636 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    사용자 지정 TCP 규칙 TCP 1024~65535 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    사용자 지정 TCP 규칙 TCP 3268 - 3269 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    DNS (UDP) UDP 53 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    DNS (TCP) TCP 53 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    LDAP TCP 389 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    모든 ICMP 모두 해당 사항 없음 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    모든 트래픽 모두 모두 현재 보안 그룹 (디렉터리에 대한 보안 그룹).

    이러한 보안 규칙은 공개되지 않은 내부 네트워크 인터페이스에 영향을 미칩니다.

Kerberos 사전 인증 활성화

사용자 계정에서 Kerberos 사전 인증이 활성화되어 있어야 합니다. 이 설정에 대한 자세한 내용은 Microsoft TechNet의 사전 인증을 참조하십시오.

온프레미스 도메인에서 DNS 조건부 전달자를 구성

온프레미스 도메인에서 DNS 조건부 전달자를 설정해야 합니다. 조건부 전달자에 대한 자세한 내용은 Microsoft TechNet의 도메인 이름에 조건부 전달자 할당을 참조하십시오.

다음 절차를 수행하려면 온프레미스 도메인에서 아래 Windows Server 도구들에 액세스할 수 있는 권한이 있어야 합니다.

  • AD DS 및 AD LDS 도구

  • DNS

온프레미스 도메인에서 조건부 전달자를 구성하는 방법

  1. 먼저 AWS Managed Microsoft AD에 관한 몇 가지 정보를 확보해야 합니다. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/directoryservicev2/에서 AWS Directory Service console을 엽니다.

  2. 탐색 창에서 [Directories]를 선택합니다.

  3. AWS Managed Microsoft AD에 대한 디렉터리 ID를 선택합니다.

  4. 디렉터리의 FQDN(Fully Qualified Domain Name)과 DNS 주소를 기록해 둡니다.

  5. 이제 온프레미스 도메인 컨트롤러로 돌아갑니다. 서버 관리자를 엽니다.

  6. [Tools] 메뉴에서 [DNS]를 선택합니다.

  7. 콘솔 트리에서 신뢰를 설정 중인 도메인의 DNS 서버를 확장합니다.

  8. 콘솔 트리에서 [Conditional Forwarders]를 선택합니다.

  9. [Action] 메뉴에서 [New conditional forwarder]를 선택합니다.

  10. DNS domain(DNS 도메인)에 앞서 기록한 AWS Managed Microsoft AD의 정규화된 도메인 이름(FQDN)을 입력합니다.

  11. IP addresses of the master servers(마스터 서버의 IP 주소)를 선택하고 앞서 기록한 AWS Managed Microsoft AD 디렉터리의 DNS 주소를 입력합니다.

    DNS 주소를 입력하고 나면 "timeout" 또는 "unable to resolve"라는 오류 메시지가 나타날 수 있습니다. 보통 이러한 오류 메시지는 무시해도 좋습니다.

  12. [Store this conditional forwarder in Active Directory and replicate as follows: All DNS servers in this domain]을 선택합니다. 확인을 선택합니다.

신뢰 관계 암호

기존 도메인과의 신뢰 관계를 설정 중이라면 Windows Server Administration 도구를 사용해 해당 도메인에서 신뢰 관계를 설정합니다. 이때, 사용한 신뢰 암호를 적어둡니다. AWS Managed Microsoft AD에서 신뢰 관계를 설정할 때 이와 동일한 암호를 사용해야 하기 때문입니다. 자세한 내용은 Microsoft TechNet의 신뢰 관리를 참조하십시오.

이제, AWS Managed Microsoft AD에서 신뢰 관계를 설정할 준비가 되었습니다.

신뢰 관계를 설정, 확인 또는 삭제

AWS Managed Microsoft AD와 신뢰 관계를 설정하려면

  1. AWS Directory Service console을 엽니다.

  2. 디렉터리 페이지에서 AWS Managed Microsoft AD ID를 선택합니다.

  3. 디렉터리 세부 정보 페이지에서 Networking & security(네트워킹 및 보안) 탭을 선택합니다.

  4. 신뢰 관계 섹션에서 작업을 선택한 후신뢰 관계 추가를 선택합니다.

  5. 신뢰 관계 추가 페이지에서 신뢰 유형, 신뢰 관계가 설정된 도메인의 FQDN(정규화된 도메인 이름), 신뢰 암호 및 신뢰 방향을 포함한 필수 정보를 제공합니다.

  6. (선택 사항) 승인된 사용자만 AWS Managed Microsoft AD 디렉터리 리소스에 액세스 할 수 있도록 만들기 위해 Selective authentication(선택적 인증) 확인란을 선택할 수 있습니다. Selective authentication(선택적 인증)에 대한 일반 정보는 Microsoft TechNet의 신뢰 관계에서 보안 고려 사항을 참조하십시오.

  7. [Conditional forwarder]에서 온프레미스 DNS 서버의 IP 주소를 입력합니다. 이미 조건부 전달자를 생성한 경우에는 DNS IP 주소 대신 온프레미스 도메인의 FQDN을 입력할 수 있습니다.

  8. (선택 사항) Add another IP address(다른 IP 주소 추가)를 선택하고 추가적인 온프레미스 DNS 서버의 IP 주소를 입력합니다. 해당되는 각 DNS 서버 주소(총 4개의 주소)에 대해 이 단계를 반복할 수 있습니다.

  9. [추가]를 선택합니다.

  10. 온프레미스 도메인에 대한 DNS 서버 또는 네트워크가 퍼블릭(RFC를 제외한 1918) IP 주소 공간을 사용하는 경우에는 IP 라우팅 섹션으로 이동하여 작업을 선택한 후 라우팅 추가를 선택합니다. CIDR 형식을 이용해 DNS 서버 또는 온프레미스 네트워크의 IP 주소 블록을 입력합니다(예: 203.0.113.0/24). DNS 서버와 온프레미스 네트워크가 모두 RFC 1918 IP 주소 공간을 사용하는 경우에는 이 단계가 필요하지 않습니다.

    참고

    퍼블릭 IP 주소 공간을 사용하는 경우에는 AWS IP 주소 범위를 사용할 수 없으므로 절대로 사용해서는 안 됩니다.

  11. (선택 사항) 라우팅 추가 페이지에서 Add routes to the security group for this directory's VPC(이 디렉터리의 VPC에 대해 보안 그룹에 라우팅 추가)도 선택할 것을 권장합니다. 이렇게 하면 "Configure your VPC"에서 위에 설명한 보안 그룹이 구성됩니다. 이러한 보안 규칙은 공개되지 않은 내부 네트워크 인터페이스에 영향을 미칩니다. 이 옵션을 사용할 수 없는 경우에는 대신에 보안 그룹을 이미 사용자 지정했음을 알리는 메시지가 표시될 것입니다.

두 도메인 모두에서 신뢰 관계를 설정해야 합니다. 이 관계는 상호 보완적이어야 합니다. 예를 들어 한 도메인에서 아웃바운드 신뢰를 설정했다면 다른 도메인에는 인바운드 신뢰를 설정해야 합니다.

기존 도메인과의 신뢰 관계를 설정 중이라면 Windows Server Administration 도구를 사용해 해당 도메인에서 신뢰 관계를 설정합니다.

AWS Managed Microsoft AD와 다양한 Active Directory 도메인 간에 여러 신뢰를 설정할 수 있습니다. 그러나 한번에 쌍당 오직 한 개의 신뢰 관계만 존재할 수 있습니다. 예를 들어 이미 "인바운드 방향"의 단방향 신뢰가 있지만 "아웃바운드 방향"의 또 다른 신뢰 관계를 설정하고 싶은 경우에는 기존의 신뢰 관계를 삭제하고 "양방향" 신뢰를 새로 설정해야 합니다.

아웃바운드 신뢰 관계를 확인하는 방법

  1. AWS Directory Service console을 엽니다.

  2. 디렉터리 페이지에서 AWS Managed Microsoft AD ID를 선택합니다.

  3. 디렉터리 세부 정보 페이지에서 Networking & security(네트워킹 및 보안) 탭을 선택합니다.

  4. 신뢰 관계 섹션에서 확인하려는 신뢰 관계를 선택하고 작업을 선택한 후신뢰 관계 확인을 선택합니다.

이 프로세스는 양방향 신뢰의 아웃바운드 방향만 확인합니다. AWS는 인바운드 신뢰에 대한 확인은 지원하지 않습니다. 온프레미스 Active Directory와의 신뢰 관계를 확인하는 방법에 대한 자세한 내용은 Microsoft TechNet의 신뢰 확인을 참조하십시오.

기존 신뢰 관계를 삭제하는 방법

  1. AWS Directory Service console을 엽니다.

  2. 디렉터리 페이지에서 AWS Managed Microsoft AD ID를 선택합니다.

  3. 디렉터리 세부 정보 페이지에서 Networking & security(네트워킹 및 보안) 탭을 선택합니다.

  4. 신뢰 관계 섹션에서 삭제하려는 신뢰 관계를 선택하고 작업을 선택한 후신뢰 관계 삭제를 선택합니다.

  5. 삭제를 선택합니다.