Simple AD로 시작하기

Simple AD는 클라우드에 완전히 관리되는 Samba 기반 디렉터리를 생성합니다. AWS Simple AD로 디렉터리를 만들면 사용자를 대신하여 두 개의 도메인 컨트롤러와 DNS 서버가 AWS Directory Service 생성됩니다. 도메인 컨트롤러는 Amazon VPC의 여러 서브넷에 생성됩니다. 이러한 중복성은 장애가 발생하더라도 디렉터리에 계속 액세스할 수 있도록 합니다.

간단한 AD 사전 조건

Simple AD Active Directory를 생성하려면 다음과 같은 기능을 갖춘 Amazon VPC가 필요합니다.

• VPC는 기본 하드웨어 테넌시를 가지고 있어야 합니다.

• VPC를 다음 VPC 엔드포인트로 구성해서는 안 됩니다.

  • *.amazonaws.com에 대한 DNS 조건부 재정의를 포함하는 Route53 VPC 엔드포인트는 퍼블릭 IP 주소가 아닌 주소로 확인됩니다. AWS

  • CloudWatch VPC 엔드포인트

  • Systems Manager VPC 엔드포인트

  • 보안 토큰 서비스 VPC 엔드포인트

• 서로 다른 두 가용 영역에 있는 최소 두 개의 서브넷. 서브넷은 동일한 클래스 없는 도메인 간 라우팅 (CIDR) 범위에 있어야 합니다. 디렉터리의 VPC를 확장하거나 크기를 변경하고 싶다면, 확장된 VPC CIDR 범위에 맞는 도메인 컨트롤러 서브넷 2개를 선택해야 합니다. Simple AD를 만들면 사용자를 대신하여 두 개의 도메인 컨트롤러와 DNS 서버를 AWS Directory Service 생성합니다.

  • CIDR 범위에 대한 자세한 내용은 Amazon VPC 사용 설명서의 VPC 및 서브넷의 IP 주소 지정을 참조하십시오.

• Simple AD에서 LDAPS 지원이 필요한 경우 포트 389에 연결된 Network Load Balancer를 사용하여 구성하는 것이 좋습니다. 이 모델에서는 LDAPS 연결 시 강력한 인증서를 사용할 뿐만 아니라 단일 NLB IP 주소를 통해 LDAPS에 간편하게 액세스하고 NLB를 통해 자동 장애 조치를 구현할 수 있습니다. Simple AD는 포트 636에서 자체 서명된 인증서 사용을 지원하지 않습니다. Simple AD를 사용하여 LDAPS를 구성하는 방법에 대한 자세한 내용은 AWS 보안 블로그의 Simple AD용 LDAPS 엔드포인트 구성 방법을 참조하세요.

• 디렉터리에서 다음 암호화 유형을 활성화해야 합니다.

  • RC4_HMAC_MD5

  • AES128_HMAC_SHA1

  • AES256_HMAC_SHA1

  • 향후의 암호화 유형

    참고

    위의 암호화 유형을 비활성화하면 RSAT(Remote Server Administration Tools)와 통신 문제를 초래하여 가용성이나 디렉터리에 영향을 끼칠 수 있습니다.

• 자세한 내용은 Amazon VPC 사용 설명서의 Amazon VPC란 무엇인가요?를 참조하세요.

AWS Directory Service 두 개의 VPC 구조를 사용합니다. 디렉터리를 구성하는 EC2 인스턴스는 AWS 계정 외부에서 실행되며 에서 관리합니다. AWSETH0 및 ETH1라는 2개의 어댑터가 있습니다. ETH0는 관리 어댑터로써 계정 외부에 위치합니다. ETH1는 계정 내부에서 생성됩니다.

디렉터리의 ETH0 네트워크에서 관리 IP 범위는 디렉터리를 배포할 경우 VPC와 충돌하지 않도록 보장하기 위해 프로그래밍 방식으로 선택합니다. 이 IP 범위는 다음 페어 중 하나일 수 있습니다(디렉터리가 2개의 서브넷에서 실행되기 때문에).

• 10.0.1.0/24 & 10.0.2.0/24

• 169.254.0.0/16

• 192.168.1.0/24 & 192.168.2.0/24

ETH1 CIDR의 첫 번째 옥텟을 확인하여 충돌을 방지합니다. 10으로 시작할 경우, 192.168.1.0/24 및 192.168.2.0/24 서브넷의 192.168.0.0/16 VPC를 선택합니다. 첫 번째 옥텟이 10 이외의 수일 경우, 10.0.1.0/24 및 10.0.2.0/24 서브넷의 10.0.0.0/16 VPC를 선택합니다.

선택 알고리즘은 VPC 상의 라우팅을 포함하지 않습니다. 따라서 이 시나리오에서 IP 라우팅 충돌 결과가 있을 수 없습니다.

Simple AD 액티브 디렉터리 만들기

새 Simple Active Directory AD를 만들려면 다음 단계를 수행하십시오. 이 절차를 시작하기 전에 간단한 AD 사전 조건에 나와 있는 선행 조건을 충족했는지 확인합니다.

Simple AD를 만들려면 Active Directory

1. AWS Directory Service 콘솔 탐색 창에서 디렉터리를 선택한 후 디렉터리 설정을 선택합니다.

2. Select directory type(디렉터리 유형 선택) 페이지에서 Simple AD를 선택하고 다음을 선택합니다.

3. 디렉터리 정보 입력 페이지에서 다음 정보를 제공합니다.

   디렉터리 크기

   Small(스몰) 또는 Large(라지) 크기 옵션 중에서 선택합니다. 크기에 대한 자세한 내용은 Simple AD 단원을 참조하세요.

   조직 이름

   클라이언트 장치를 등록하는 데 사용할 디렉터리에 대한 고유한 조직 이름입니다.

   이 필드는 시작 과정에서 디렉터리를 만드는 경우에만 사용할 수 WorkSpaces 있습니다.

   디렉터리 DNS 이름

   디렉터리를 위한 정규화된 이름(예: corp.example.com)입니다.

   디렉터리 NetBIOS 이름

   디렉터리의 짧은 이름(예: CORP)입니다.

   관리자 암호

   디렉터리 관리자의 암호입니다. 디렉터리 생성 프로세스에서는 사용자 이름 Administrator와 이 암호를 사용하여 관리자 계정을 생성합니다.

   디렉터리 관리자 암호는 대소문자를 구분하며 길이가 8~64자 사이여야 합니다. 또한 다음 네 범주 중 세 개에 해당하는 문자를 1자 이상 포함해야 합니다.

   • 소문자(a-z)

   • 대문자(A-Z)

   • 숫자(0-9)

   • 영숫자 외의 특수 문자(~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

   [Confirm password]

   관리자 암호를 다시 입력합니다.

   디렉터리 설명

   디렉터리에 대한 선택적 설명을 입력합니다.

4. VPC 및 서브넷 선택 페이지에서 다음 정보를 제공한 후 다음을 선택합니다.

   VPC

   디렉터리에 대한 VPC입니다.

   서브넷

   도메인 컨트롤러에 대한 서브넷을 선택합니다. 두 서브넷이 서로 다른 가용 영역에 있어야 합니다.

5. 검토 및 생성 페이지에서 디렉터리 정보를 검토하고 필요한 사항을 변경합니다. 정보가 올바르면 디렉터리 생성을 선택합니다. 디렉터리를 생성하는 데 몇 분 정도 걸립니다. 생성이 완료되면 상태 값이 활성 상태로 변경됩니다.

Simple AD Active Directory로 생성되는 항목

Simple AD를 사용하여 Active Directory를 만들 때는 사용자를 대신하여 다음 작업을 AWS Directory Service 수행합니다.

• VPC 내에서 Samba 기반 디렉터리를 설정합니다.

• 사용자 이름 Administrator 과 지정된 암호를 사용하여 디렉터리 관리자 계정을 생성합니다. 이 계정을 사용하여 디렉터리를 관리할 수 있습니다.

  중요

  이 비밀번호는 반드시 저장해 두십시오. AWS Directory Service 이 암호는 저장되지 않으며 검색할 수 없습니다. 하지만 AWS Directory Service 콘솔에서 또는 ResetUserPasswordAPI를 사용하여 비밀번호를 재설정할 수 있습니다.

• 디렉터리 컨트롤러에 대한 보안 그룹을 만듭니다.

• 도메인 관리 권한을 가진 AWSAdminD-xxxxxxxx라는 이름의 계정을 생성합니다. 이 계정은 디렉터리 스냅샷 생성 및 FSMO 역할 전송과 같은 디렉터리 유지 관리 작업을 위한 자동화된 작업을 수행하는 데 사용됩니다. AWS Directory Service 이 계정에 대한 자격 증명은 AWS Directory Service에서 안전하게 저장됩니다.

• ENI(탄력적 네트워크 인터페이스)를 자동으로 생성하여 각 도메인 컨트롤러에 연결합니다. 각 ENI는 AWS Directory Service VPC와 도메인 컨트롤러 간의 연결에 필수적이며 절대 삭제해서는 안 됩니다. “디렉터리 id에 대해AWS 생성된 네트워크 인터페이스”라는 AWS Directory Service 설명으로 사용하도록 예약된 모든 네트워크 인터페이스를 식별할 수 있습니다. 자세한 내용은 Windows 인스턴스용 Amazon EC2 사용 설명서의 엘라스틱 네트워크 인터페이스를 참조하십시오. AWS 관리형 Microsoft AD의 기본 DNS 서버는 클래스 없는 도메인 간 라우팅 (CIDR) +2에 있는 VPC DNS Active Directory 서버입니다. 자세한 내용은 Amazon VPC의 Amazon DNS 서버 사용 설명서를 참조하십시오.

  참고

  도메인 컨트롤러는 기본적으로 한 리전의 두 가용 영역에 배포되며 Amazon Virtual Private Cloud(VPC)에 연결됩니다. 백업은 하루에 한 번 자동으로 수행되며 Amazon Elastic Block Store(EBS) 볼륨이 암호화되어 저장된 데이터를 안전하게 보호합니다. 장애가 발생한 도메인 컨트롤러는 동일한 IP 주소를 사용하여 동일한 가용 영역에서 자동으로 교체되며, 최신 백업을 사용하여 전체 재해 복구를 수행할 수 있습니다.

Simple AD용 DNS 구성

Simple AD는 VPC에서 Amazon이 제공하는 DNS 서버의 IP 주소에 대한 DNS 요청을 Amazon VPC에 전달합니다. 이러한 DNS 서버는 Amazon Route 53 프라이빗 호스팅 영역에서 구성된 이름을 해석하게 됩니다. 이제, Simple AD로 온프레미스 컴퓨터를 지정하여 프라이빗 호스팅 영역에 대한 DNS 요청을 해석할 수 있게 되었습니다. Route 53에 대한 자세한 내용은 Route 53이란 무엇입니까?를 참조하세요.

Simple AD가 외부 DNS 쿼리에 응답하도록 하려면 VPC 밖에서 트래픽이 허용하도록 Simple AD를 포함한 VPC에 대한 네트워크 액세스 제어 목록(ACL)을 구성해야 합니다.

• Route 53 프라이빗 호스팅 영역을 사용하고 있지 않은 경우에는 퍼블릭 DNS 서버로 DNS 요청이 전달됩니다.

• VPC 외부에 있는 사용자 지정 DNS 서버를 사용 중일 때 프라이빗 DNS를 사용하려면 VPC 내의 EC2 인스턴스에서 사용자 지정 DNS 서버를 사용하도록 재구성해야 합니다. 자세한 내용은 프라이빗 호스팅 영역 작업을 참조하세요.

• VPC 내부에 있는 DNS 서버와 VPC 외부에 있는 사용자 지정 DNS 서버를 모두 사용하여 Simple AD에서 이름을 해석하고 싶은 경우에는 DHCP 옵션 세트를 이용하면 이것이 가능합니다. 세부적인 예제는 본 기사를 참조하세요.

참고

Simple AD 도메인에서 DNS 동적 업데이트가 지원되지 않습니다. 도메인에 조인된 인스턴스에서 DNS Manager를 사용해 디렉터리를 연결하는 방식으로 직접 변경을 수행할 수 있습니다.