간단한 AD 사전 조건

Simple AD 디렉터리를 생성하려면 다음에서 VPC가 필요합니다.

• 최소 2개의 서브넷. Simple AD를 올바르게 설치하려면, 도메인 컨트롤러 2개를 서로 다른 가용 영역에 있는 개별 서브넷에 설치해야 합니다. 또한 서브넷은 같은 Classless Inter-Domain Routing(CIDR) 범위에 있어야 합니다. 디렉터리의 VPC를 확장하거나 크기를 변경하고 싶다면, 확장된 VPC CIDR 범위에 맞는 도메인 컨트롤러 서브넷 2개를 선택해야 합니다.

• VPC는 기본 하드웨어 테넌시를 가지고 있어야 합니다.

• VPC를 다음 VPC 엔드포인트로 구성해서는 안 됩니다.

  • 비공용 AWS IP 주소로 확인되는 *.amazonaws.com에 대한 DNS 조건부 재정의가 포함된 Route53 VPC 엔드포인트

  • CloudWatch VPC 엔드포인트

  • Systems Manager VPC 엔드포인트

  • 보안 토큰 서비스 VPC 엔드포인트

• Simple AD에서 LDAPS 지원이 필요한 경우 포트 389에 연결된 Network Load Balancer를 사용하여 구성하는 것이 좋습니다. 이 모델에서는 LDAPS 연결 시 강력한 인증서를 사용할 뿐만 아니라 단일 NLB IP 주소를 통해 LDAPS에 간편하게 액세스하고 NLB를 통해 자동 장애 조치를 구현할 수 있습니다. Simple AD는 포트 636에서 자체 서명된 인증서 사용을 지원하지 않습니다. Simple AD를 사용하여 LDAPS를 구성하는 방법에 대한 자세한 내용은 AWS보안 블로그의 Simple AD용 LDAPS 엔드포인트 구성 방법을 참조하세요.

• 디렉터리에서 다음 암호화 유형을 활성화해야 합니다.

  • RC4_HMAC_MD5

  • AES128_HMAC_SHA1

  • AES256_HMAC_SHA1

  • 향후의 암호화 유형

    참고

    위의 암호화 유형을 비활성화하면 RSAT(Remote Server Administration Tools)와 통신 문제를 초래하여 가용성이나 디렉터리에 영향을 끼칠 수 있습니다.

AWS Directory Service는 2개의 VPC 구조를 사용합니다. 디렉터리가 AWS 계정 외부에서 실행되게 하고, AWS에서 관리하는 EC2 인스턴스. ETH0 및 ETH1라는 2개의 어댑터가 있습니다. ETH0는 관리 어댑터로써 계정 외부에 위치합니다. ETH1는 계정 내부에서 생성됩니다.

디렉터리의 ETH0 네트워크에서 관리 IP 범위는 디렉터리를 배포할 경우 VPC와 충돌하지 않도록 보장하기 위해 프로그래밍 방식으로 선택합니다. 이 IP 범위는 다음 페어 중 하나일 수 있습니다(디렉터리가 2개의 서브넷에서 실행되기 때문에).

• 10.0.1.0/24 & 10.0.2.0/24

• 192.168.1.0/24 & 192.168.2.0/24

ETH1 CIDR의 첫 번째 옥텟을 확인하여 충돌을 방지합니다. 10으로 시작할 경우, 192.168.1.0/24 및 192.168.2.0/24 서브넷의 192.168.0.0/16 VPC를 선택합니다. 첫 번째 옥텟이 10 이외의 수일 경우, 10.0.1.0/24 및 10.0.2.0/24 서브넷의 10.0.0.0/16 VPC를 선택합니다.

선택 알고리즘은 VPC 상의 라우팅을 포함하지 않습니다. 따라서 이 시나리오에서 IP 라우팅 충돌 결과가 있을 수 없습니다.