단계 1. 사내구축(On-Premises) 도메인 준비 - AWS Directory Service

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

단계 1. 사내구축(On-Premises) 도메인 준비

먼저 온프레미스 도메인에서 몇 가지 선행 단계를 완료해야 합니다.

온프레미스 방화벽 구성

아래 포트들이 AWS Managed Microsoft AD를 포함하는 VPC가 사용하는 모든 서브넷에서 CIDR에 개방되도록 온프레미스 방화벽을 구성해야 합니다. 이 자습서에서는 아래 포트의 10.0.0.0/16(AWS Managed Microsoft AD의 VPC의 CIDR 블록)에서 트래픽이 들어오고 나갈 수 있도록 허용하고 있습니다.

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 인증

  • TCP/UDP 389 - LDAP

  • TCP 445 - SMB

    참고

    더 이상 SMBv1이 지원되지 않습니다.

참고

이들은 온프레미스 디렉터리에 VPC를 연결하기 위해 필요한 최소 포트입니다. 특정 구성에서는 추가 포트를 개방해야 하는 경우도 있습니다.

Kerberos 사전 인증이 활성화되었는지 확인

두 디렉터리 모두의 사용자 계정이 Kerberos 사전 인증을 활성화해야 합니다. 이것이 기본 설정이지만, 변경되지 않았는지 확인하기 위해 임의 사용자의 속성을 확인합니다.

사용자 Kerberos 설정을 보는 방법

  1. 온프레미스 도메인 컨트롤러에서 Server Manager를 엽니다.

  2. [Tools] 메뉴에서 [Active Directory Users and Computers]를 선택합니다.

  3. 사용자 폴더를 선택해 컨텍스트 메뉴를 엽니다(마우스 오른쪽 버튼 클릭). 오른쪽 창에 나열된 임의의 사용자 계정을 선택합니다. [Properties]를 선택합니다.

  4. [Account] 탭을 선택합니다. [Account options] 목록을 아래로 스크롤해서 [Do not require Kerberos preauthentication]가 선택되지 않았는지 확인합니다.

    
                                Enable Kerberos

온프레미스 도메인을 위한 DNS 조건부 전달자 구성

각 도메인에서 DNS 조건부 전달자를 설정해야 합니다. 온프레미스 도메인에서 이를 수행하기 전에 먼저 AWS Managed Microsoft AD에 관한 몇 가지 정보를 확보합니다.

온프레미스 도메인에서 조건부 전달자를 구성하는 방법

  1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/directoryservicev2/에서 AWS Directory Service console을 엽니다.

  2. 탐색 창에서 [Directories]를 선택합니다.

  3. AWS Managed Microsoft AD에 대한 디렉터리 ID를 선택합니다.

  4. 세부 정보 페이지에 표시된 디렉터리 이름의 값과 디렉터리의 DNS 주소를 적어둡니다.

  5. 이제 온프레미스 도메인 컨트롤러로 돌아갑니다. 서버 관리자를 엽니다.

  6. [Tools] 메뉴에서 [DNS]를 선택합니다.

  7. 콘솔 트리에서 신뢰를 설정 중인 도메인의 DNS 서버를 확장합니다. 서버는 WIN-5V70CN7VJ0.corp.example.com입니다.

  8. 콘솔 트리에서 [Conditional Forwarders]를 선택합니다.

  9. [Action] 메뉴에서 [New conditional forwarder]를 선택합니다.

  10. DNS domain(DNS 도메인)에 앞서 기록한 AWS Managed Microsoft AD의 정규화된 도메인 이름(FQDN)을 입력합니다. 이 예제에서 FQDN은 MyManagedAD.example.com입니다.

  11. IP addresses of the master servers(마스터 서버의 IP 주소)를 선택하고 앞서 기록한 AWS Managed Microsoft AD 디렉터리의 DNS 주소를 입력합니다. 이 예에서는 다음과 같습니다. 10.0.10.246, 10.0.20.121

    DNS 주소를 입력하고 나면 "timeout" 또는 "unable to resolve"라는 오류 메시지가 나타날 수 있습니다. 보통 이러한 오류 메시지는 무시해도 좋습니다.

    
                            새 조건부 전달자
  12. [Store this conditional forwarder in Active Directory, and replicate it as follows]를 선택합니다.

  13. [All DNS servers in this domain]을 선택하고 [OK]를 선택합니다.

다음 단계

단계 2. 준비하기 AWS Managed Microsoft AD