2단계: AWS Managed Microsoft AD 준비 - AWS Directory Service
VPC 서브넷 및 보안 그룹 구성Kerberos 사전 인증이 활성화되었는지 확인

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

2단계: AWS Managed Microsoft AD 준비

이제 신뢰 관계를 위한 AWS Managed Microsoft AD 준비를 시작합니다. 다음 단계들은 자체 관리형 도메인에서 완료한 단계들과 거의 동일합니다. 그러나 이번에는 AWS Managed Microsoft AD를 사용하고 있습니다.

VPC 서브넷 및 보안 그룹 구성

자체 관리형 네트워크에서 AWS Managed Microsoft AD가 포함된 VPC로의 트래픽을 허용해야 합니다. 이렇게 하려면 ACL이 AWS Managed Microsoft AD 배포에 사용한 서브넷 및 도메인 컨트롤러에 구성한 보안 그룹 규칙과 연결되어 있어, 둘 모두가 신뢰 지원에 필요한 트래픽을 허용하도록 만들어야 합니다.

포트 요구 사항은 신뢰 관계를 사용하게 될 서비스나 애플리케이션, 도메인 컨트롤러가 사용하는 Windows Server 버전에 따라 크게 달라집니다. 이 자습서 목적 상 지금은 다음 포트를 엽니다.

인바운드

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 인증

  • UDP 123 - NTP

  • TCP 135 - RPC

  • TCP/UDP 389 - LDAP

  • TCP/UDP 445 - SMB

  • TCP/UDP 464 - Kerberos 인증

  • TCP 636 - LDAPS(LDAP over TLS/SSL)

  • TCP 3268-3269 - 글로벌 카탈로그

  • TCP/UDP 49152-65535 - RPC용 휘발성 포트

참고

더 이상 SMBv1이 지원되지 않습니다.

아웃바운드

  • ALL

참고

이들은 VPC와 자체 관리형 디렉터리를 연결하기 위해 필요한 최소 포트입니다. 특정 구성에서는 추가 포트를 개방해야 하는 경우도 있습니다.

AWS Managed Microsoft AD 도메인 컨트롤러 아웃바운드 및 인바운드 규칙 구성

  1. AWS Directory Service 콘솔로 돌아갑니다. 디렉터리 목록에 표시된 AWS Managed Microsoft AD 디렉터리의 ID를 적어둡니다.

  2. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  3. 탐색 창에서 보안 그룹(Security Groups)을 선택합니다.

  4. 검색 상자를 이용해 AWS Managed Microsoft AD 디렉터리 ID를 찾습니다. 검색 결과에서 설명이 있는 보안 그룹을 선택합니다AWS created security group for yourdirectoryID directory controllers.

    Amazon VPC 콘솔에서 디렉터리 컨트롤러의 보안 그룹에 대한 검색 결과가 강조 표시됩니다.

  5. 해당 보안 그룹의 [Outbound Rules] 탭으로 이동합니다. 아웃바운드 규칙 편집을 선택한 다음 규칙 추가를 선택합니다. 새 규칙에서 아래 값을 입력합니다.

    • [Type]: 모든 트래픽

    • [Protocol]: 모두

    • [Destination]은 도메인 컨트롤러에서 나가는 트래픽과 트래픽 대상을 결정합니다. 단일 IP 주소 또는 CIDR 표기법으로 된 IP 주소 범위(예: 203.0.113.5/32)를 지정합니다. 또한 동일 리전 내 다른 보안 그룹의 이름이나 ID를 지정할 수도 있습니다. 자세히 알아보려면 디렉터리의 AWS 보안 그룹 구성 및 사용에 대해 알아보십시오.의 내용을 참조하세요.

  6. 규칙 저장을 선택합니다.

    Amazon VPC 콘솔에서 디렉터리 컨트롤러의 보안 그룹에 대한 아웃바운드 규칙을 편집합니다.

Kerberos 사전 인증이 활성화되었는지 확인

이제, AWS Managed Microsoft AD의 사용자들이 Kerberos 사전 인증도 활성화했는지 확인할 차례입니다. 자체 관리형 디렉터리에서 완료한 것과 동일한 프로세스입니다. 이것이 기본 설정이지만, 어떤 것도 변경되지 않았는지 확인합니다.

사용자 Kerberos 설정을 보려면

  1. 도메인의 관리자 계정에 대한 권한 또는 도메인에서 사용자를 관리하도록 위임된 계정을 사용하여 AWS Managed Microsoft AD 디렉터리의 멤버인 인스턴스에 로그인합니다.

  2. 아직 설치가 되지 않았다면 Microsoft Active Directory 사용자 및 컴퓨터 도구와 DNS 도구를 설치합니다. AWS 관리형 Microsoft AD용 액티브 디렉터리 관리 도구 설치에서 이들 도구를 설치하는 방법을 확인합니다.

  3. 서버 관리자를 엽니다. [Tools] 메뉴에서 [Active Directory Users and Computers]를 선택합니다.

  4. 도메인에서 [Users] 폴더를 선택합니다. 이는 NetBIOS 이름 아래에 있는 사용자 폴더이며 FQDN(정규화된 도메인 이름) 아래에 있는 사용자 폴더가 아니라는 점에 유의하세요.

    Active Directory 사용자 및 컴퓨터 대화 상자에서 사용자 폴더가 강조 표시됩니다.

  5. 사용자 목록에서 사용자를 마우스 오른쪽 버튼으로 클릭한 다음 속성을 선택합니다.

  6. [Account] 탭을 선택합니다. [Account options] 목록에서 [Do not require Kerberos preauthentication]가 선택되지 않았는지 확인합니다.

다음 단계

3단계: 신뢰 관계 만들기