단계 2. 준비하기 AWS Managed Microsoft AD - AWS Directory Service

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

단계 2. 준비하기 AWS Managed Microsoft AD

이제 신뢰 관계를 위한 AWS Managed Microsoft AD 준비를 시작합니다. 다음 단계들은 온프레미스 도메인에서 완료한 단계들과 거의 동일합니다. 그러나 이번에는 AWS Managed Microsoft AD를 사용하고 있습니다.

VPC 서브넷 및 보안 그룹 생성

온프레미스 네트워크에서 AWS Managed Microsoft AD를 포함하는 VPC로 전송되는 트래픽을 허용해야 합니다. 이렇게 하려면 ACL이 AWS Managed Microsoft AD 배포에 사용한 서브넷 및 도메인 컨트롤러에 구성한 보안 그룹 규칙과 연결되어 있어, 둘 모두가 신뢰 지원에 필요한 트래픽을 허용하도록 만들어야 합니다.

포트 요구 사항은 신뢰 관계를 사용하게 될 서비스나 애플리케이션, 도메인 컨트롤러가 사용하는 Windows Server 버전에 따라 크게 달라집니다. 이 자습서 목적 상 지금은 다음 포트를 엽니다.

인바운드

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 인증

  • UDP 123 - NTP

  • TCP 135 - RPC

  • UDP 137-138 - Netlogon

  • TCP 139 - Netlogon

  • TCP/UDP 389 - LDAP

  • TCP/UDP 445 - SMB

    참고

    더 이상 SMBv1이 지원되지 않습니다.

  • TCP/UDP 464 - Kerberos 인증

  • TCP 636 - LDAPS(LDAP over TLS/SSL)

  • TCP 873 - Rsync

  • TCP 3268-3269 - 글로벌 카탈로그

  • TCP/UDP 1024-65535 - RPC용 휘발성 포트

  • ICMP 모두

아웃바운드

  • 모두

참고

이들은 VPC와 온프레미스 디렉터리를 연결하기 위해 필요한 최소 포트입니다. 특정 구성에서는 추가 포트를 개방해야 하는 경우도 있습니다.

AWS Managed Microsoft AD 도메인 컨트롤러 아웃바운드 및 인바운드 규칙을 구성하려면

  1. AWS Directory Service console로 돌아갑니다. 디렉터리 목록에 표시된 AWS Managed Microsoft AD 디렉터리의 ID를 적어둡니다.

  2. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  3. 탐색 창에서 보안 그룹을 선택합니다.

  4. 검색 상자를 이용해 AWS Managed Microsoft AD 디렉터리 ID를 찾습니다. 검색 결과에서 "AWS created security group for <yourdirectoryID> directory controllers"라는 설명이 붙은 항목을 선택합니다.

    
                                    보안 그룹 검색
  5. 해당 보안 그룹의 [Outbound Rules] 탭으로 이동합니다. [Edit]를 선택한 후 [Add another rule]을 선택합니다. 새 규칙에서 아래 값을 입력합니다.

    • 유형 모든 트래픽

    • 프로토콜 모두

    • [Destination]은 도메인 컨트롤러에서 나가는 트래픽과 트래픽 대상을 결정합니다. 단일 IP 주소 또는 CIDR 표기법으로 된 IP 주소 범위(예: 203.0.113.5/32)를 지정합니다. 또한 동일 리전 내 다른 보안 그룹의 이름이나 ID를 지정할 수도 있습니다. 자세한 정보는 디렉터리의 AWS 보안 그룹 구성 및 사용을 이해 단원을 참조하십시오.

  6. [Save]를 선택합니다.

    
                                    보안 그룹 편집
  7. 동일한 보안 그룹의 [Inbound Rules] 탭으로 이동합니다. [Edit]를 선택한 후 [Add another rule]을 선택합니다. 새 규칙에서 아래 값을 입력합니다.

    • 유형 사용자 지정 UDP 규칙

    • 프로토콜 UDP

    • 포트 범위 445

    • [Source]에서 단일 IP 주소 또는 CIDR 표기법으로 된 IP 주소 범위(예: 203.0.113.5/32)를 지정합니다. 또한 동일 리전 내 다른 보안 그룹의 이름이나 ID를 지정할 수도 있습니다. 이 설정은 도메인 컨트롤러에 도달할 수 있는 트래픽을 판별합니다. 자세한 정보는 디렉터리의 AWS 보안 그룹 구성 및 사용을 이해 단원을 참조하십시오.

  8. [Save]를 선택합니다.

  9. 7단계 및 8단계를 반복하여 아래 규칙을 각각 추가합니다.

    유형 프로토콜 포트 범위 소스
    사용자 지정 UDP 규칙 UDP 88 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    사용자 지정 UDP 규칙 UDP 123 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    사용자 지정 UDP 규칙 UDP 138 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    사용자 지정 UDP 규칙 UDP 389 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    사용자 지정 UDP 규칙 UDP 464 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    사용자 지정 TCP 규칙 TCP 88 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    사용자 지정 TCP 규칙 TCP 135 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    사용자 지정 TCP 규칙 TCP 445 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    사용자 지정 TCP 규칙 TCP 464 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    사용자 지정 TCP 규칙 TCP 636 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    사용자 지정 TCP 규칙 TCP 1024~65535 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    사용자 지정 TCP 규칙 TCP 3268 - 3269 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    DNS (UDP) UDP 53 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    DNS (TCP) TCP 53 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    LDAP TCP 389 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    모든 ICMP 전체 해당 사항 없음 이전 단계에서 사용된 소스 트래픽을 지정합니다.
    모든 트래픽 전체 전체 현재 보안 그룹 (디렉터리에 대한 보안 그룹).

Kerberos 사전 인증이 활성화되었는지 확인

이제, AWS Managed Microsoft AD의 사용자들이 Kerberos 사전 인증도 활성화했는지 확인할 차례입니다. 온프레미스 디렉터리에서 완료한 것과 동일한 프로세스입니다. 이것이 기본 설정이지만, 어떤 것도 변경되지 않았는지 확인합니다.

사용자 Kerberos 설정을 보는 방법

  1. 도메인의 관리자 계정 또는 도메인에서 사용자를 관리하도록 위임된 계정을 사용하여 AWS Managed Microsoft AD 디렉터리의 멤버인 인스턴스에 로그인합니다.

  2. 아직 설치가 되지 않았다면 Microsoft Active Directory 사용자 및 컴퓨터 도구와 DNS 도구를 설치합니다. Active Directory 관리 도구 설치에서 이들 도구를 설치하는 방법을 확인합니다.

  3. 서버 관리자를 엽니다. [Tools] 메뉴에서 [Active Directory Users and Computers]를 선택합니다.

  4. 도메인에서 [Users] 폴더를 선택합니다. 이는 NetBIOS 이름 아래에 있는 사용자 폴더이며 FQDN(정규화된 도메인 이름) 아래에 있는 사용자 폴더가 아니라는 점에 유의하십시오.

    
                                        사용자 폴더 수정
  5. 사용자 목록에서 사용자를 마우스 오른쪽 버튼으로 클릭한 다음 속성을 선택합니다.

  6. [Account] 탭을 선택합니다. [Account options] 목록에서 [Do not require Kerberos preauthentication]가 선택되지 않았는지 확인합니다.

다음 단계

단계 3. 신뢰 관계 생성