1단계: 자체 관리형 AD 도메인 준비 - AWS Directory Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

1단계: 자체 관리형 AD 도메인 준비

먼저 자체 관리형(온프레미스) 도메인에서 몇 가지 사전 조건 단계를 완료해야 합니다.

자체 관리형 방화벽 구성

관리형 Microsoft AD가 포함된 VPC에서 사용하는 모든 서브넷의 CIDR에 대해 다음 포트가 열리도록 자체 관리형 방화벽을 구성해야 합니다. AWS 이 자습서에서는 다음 포트에서 10.0.0.0/16 (관리형 AWS Microsoft AD VPC의 CIDR 블록) 에서 들어오는 트래픽과 나가는 트래픽을 모두 허용합니다.

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 인증

  • TCP/UDP 389 - 경량 디렉터리 액세스 프로토콜 (LDAP)

  • TCP 445 - 서버 메시지 블록 (SMB)

  • TCP 9389 - Active Directory 웹 서비스 (ADWS) (선택 사항 - AWS Amazon 또는 Amazon과 같은 애플리케이션에서 인증할 때 전체 도메인 이름 대신 NetBIOS 이름을 사용하려면 이 포트를 열어야 합니다.) WorkDocs QuickSight

참고

더 이상 SMBv1이 지원되지 않습니다.

이들은 자체 관리형 디렉터리에 VPC를 연결하기 위해 필요한 최소 포트입니다. 특정 구성에서는 추가 포트를 개방해야 하는 경우도 있습니다.

Kerberos 사전 인증이 활성화되었는지 확인

두 디렉터리 모두의 사용자 계정이 Kerberos 사전 인증을 활성화해야 합니다. 이것이 기본 설정이지만, 변경되지 않았는지 확인하기 위해 임의 사용자의 속성을 확인합니다.

사용자의 Kerberos 설정을 보려면
  1. 자체 관리형 도메인 컨트롤러에서 서버 관리자를 엽니다.

  2. [Tools] 메뉴에서 [Active Directory Users and Computers]를 선택합니다.

  3. 사용자 폴더를 선택해 컨텍스트 메뉴를 엽니다(마우스 오른쪽 버튼 클릭). 오른쪽 창에 나열된 임의의 사용자 계정을 선택합니다. 속성을 선택합니다.

  4. [Account] 탭을 선택합니다. [Account options] 목록을 아래로 스크롤해서 [Do not require Kerberos preauthentication]가 선택되지 않았는지 확인합니다.

    계정 옵션이 있는 회사 사용자 속성 대화 상자의 경우 Kerberos 사전 인증을 강조 표시하지 않아도 됩니다.

자체 관리형 도메인을 위한 DNS 조건부 전달자 구성

각 도메인에서 DNS 조건부 전달자를 설정해야 합니다. 자체 관리형 도메인에서 이 작업을 수행하기 전에 먼저 관리형 Microsoft AD에 대한 몇 가지 정보를 얻게 됩니다. AWS

자체 관리형 도메인에서 조건부 전달자를 구성하려면
  1. AWS Management Console 로그인하고 AWS Directory Service 콘솔을 엽니다.

  2. 탐색 창에서 [Directories]를 선택합니다.

  3. AWS 관리형 Microsoft AD의 디렉터리 ID를 선택합니다.

  4. 세부 정보 페이지에 표시된 디렉터리 이름의 값과 디렉터리의 DNS 주소를 적어둡니다.

  5. 이제 자체 관리형 도메인 컨트롤러로 돌아갑니다. 서버 관리자를 엽니다.

  6. [Tools] 메뉴에서 [DNS]를 선택합니다.

  7. 콘솔 트리에서 신뢰를 설정 중인 도메인의 DNS 서버를 확장합니다. 서버는 WIN-5V70CN7VJ0.corp.example.com입니다.

  8. 콘솔 트리에서 [Conditional Forwarders]를 선택합니다.

  9. [Action] 메뉴에서 [New conditional forwarder]를 선택합니다.

  10. DNS 도메인에는 앞서 언급한 관리형 AWS Microsoft AD의 FQDN (정규화된 도메인 이름) 을 입력합니다. 이 예시에서는 FQDN이 AD.Example.com입니다. MyManaged

  11. 주 서버의 IP 주소를 선택하고 앞서 언급한 AWS 관리형 Microsoft AD 디렉터리의 DNS 주소를 입력합니다. 이 예제에서 DNS 주소는 10.0.10.246, 10.0.20.121입니다.

    DNS 주소를 입력하고 나면 "timeout" 또는 "unable to resolve"라는 오류 메시지가 나타날 수 있습니다. 보통 이러한 오류 메시지는 무시해도 좋습니다.

    DNS 서버의 IP 주소가 강조 표시된 새 조건부 전달자 대화 상자
  12. [Store this conditional forwarder in Active Directory, and replicate it as follows]를 선택합니다.

  13. [All DNS servers in this domain]을 선택하고 [OK]를 선택합니다.

다음 단계

2단계: AWS Managed Microsoft AD 준비