Simple AD 사전 조건 - AWS Directory Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Simple AD 사전 조건

Simple AD 디렉터리를 생성하려면 다음에서 VPC가 필요합니다.

  • 최소 2개의 서브넷. Simple AD를 올바르게 설치하려면, 도메인 컨트롤러 2개를 서로 다른 가용 영역에 있는 개별 서브넷에 설치해야 합니다. 또한 서브넷은 같은 클래스 없는 도메인 간 라우팅(CIDR) 범위에 있어야 합니다. 디렉터리의 VPC를 확장하거나 크기를 변경하고 싶다면, 확장된 VPC CIDR 범위에 맞는 도메인 컨트롤러 서브넷 2개를 선택해야 합니다.

  • VPC는 기본 하드웨어 테넌시를 가지고 있어야 합니다.

  • VPC는 아님 다음과 같이 구성되어야 합니다. VPC 끝점:

  • Simple AD에서 LDAPS 지원이 필요하다면 Simple AD를 구성할 때 EC2 인스턴스에서 실행되는 탄력적 로드 밸런서와 HA 프록시를 사용하는 것이 좋습니다. 이러한 모델에서는 LDAPS 연결 시 강력한 인증서를 사용할 뿐만 아니라 단일 ELB IP 주소를 통해 LDAPS에 간편하게 액세스하고 HA 프록시를 통해 자동 장애 조치를 구현할 수 있습니다. Simple AD를 사용하여 LDAPS를 구성하는 방법에 대한 자세한 내용은 다음을 참조하십시오. 단순 AD를 위해 LDAPS 끝점을 구성하는 방법 에서 AWS 보안 블로그.

  • 디렉터리에서 다음 암호화 유형을 활성화해야 합니다.

    • RC4_HMAC_MD5

    • AES128_HMAC_SHA1

    • AES256_HMAC_SHA1

    • 향후의 암호화 유형

      참고

      위의 암호화 유형을 비활성화하면 RSAT(Remote Server Administration Tools)와 통신 문제를 초래하여 가용성이나 디렉터리에 영향을 끼칠 수 있습니다.

AWS Directory Service는 2개의 VPC 구조를 사용합니다. 디렉터리가 AWS 계정 외부에서 실행되게 하고, AWS에서 관리하는 EC2 인스턴스. ETH0ETH1라는 2개의 어댑터가 있습니다. ETH0는 관리 어댑터로써 계정 외부에 위치합니다. ETH1는 계정 내부에서 생성됩니다.

디렉터리의 ETH0 네트워크에서 관리 IP 범위는 디렉터리를 배포할 경우 VPC와 충돌하지 않도록 보장하기 위해 프로그래밍 방식으로 선택합니다. 이 IP 범위는 다음 페어 중 하나일 수 있습니다(디렉터리가 2개의 서브넷에서 실행되기 때문에).

  • 10.0.1.0/24 & 10.0.2.0/24

  • 192.168.1.0/24 & 192.168.2.0/24

ETH1 CIDR의 첫 번째 옥텟을 확인하여 충돌을 방지합니다. 10으로 시작할 경우, 192.168.1.0/24 및 192.168.2.0/24 서브넷의 192.168.0.0/16 VPC를 선택합니다. 첫 번째 옥텟이 10 이외의 수일 경우, 10.0.1.0/24 및 10.0.2.0/24 서브넷의 10.0.0.0/16 VPC를 선택합니다.

선택 알고리즘은 VPC 상의 라우팅을 포함하지 않습니다. 따라서 이 시나리오에서 IP 라우팅 충돌 결과가 있을 수 없습니다.