Simple AD로 시작하기 - AWS Directory Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Simple AD로 시작하기

Simple AD는 다음과 같은 위치에 완전히 관리되는 Samba 기반 디렉토리를 생성합니다. AWS 클라우드. Simple AD를 사용하여 디렉터리를 만들 때 AWS Directory Service 사용자를 대신하여 두 개의 도메인 컨트롤러와 DNS 서버를 생성합니다. 도메인 컨트롤러는 Amazon의 여러 서브넷에 생성됩니다. VPC 이러한 이중화는 장애가 발생하더라도 디렉터리에 계속 액세스할 수 있도록 하는 데 도움이 됩니다.

간단한 AD 사전 조건

Simple AD를 만들려면 Active Directory, 다음을 VPC 갖춘 Amazon이 필요합니다.

  • 기본 하드웨어 테넌시가 VPC 있어야 합니다.

  • 는 다음 VPC엔드포인트로 VPC 구성해서는 안 됩니다.

  • 서로 다른 두 가용 영역에 있는 최소 두 개의 서브넷 서브넷은 동일한 클래스 없는 도메인 간 라우팅 () 범위에 있어야 합니다. CIDR 디렉터리의 크기를 확장하거나 크기를 조정하려면 확장 범위에 해당하는 두 도메인 컨트롤러 서브넷을 모두 선택해야 합니다. VPC VPC CIDR Simple AD를 만들 때 AWS Directory Service 사용자를 대신하여 두 개의 도메인 컨트롤러와 DNS 서버를 생성합니다.

    • CIDR범위에 대한 자세한 내용은 Amazon VPC 사용 설명서의 사용자 VPCs 및 서브넷의 IP 주소 지정을 참조하십시오.

  • Simple AD에 대한 LDAPS 지원이 필요한 경우 포트 389에 연결된 Network Load Balancer를 사용하여 구성하는 것이 좋습니다. 이 모델을 사용하면 LDAPS 연결에 강력한 인증서를 사용하고, 단일 NLB IP 주소를 LDAPS 통한 액세스를 단순화하고, 를 통해 자동 장애 조치를 수행할 수 있습니다. NLB Simple AD는 포트 636에서 자체 서명된 인증서 사용을 지원하지 않습니다. Simple AD를 LDAPS 사용하여 구성하는 방법에 대한 자세한 내용은 Simple AD용 LDAPS 엔드포인트를 구성하는 방법을 참조하십시오. AWS 보안 블로그.

  • 디렉터리에서 다음 암호화 유형을 활성화해야 합니다.

    • RC4_HMAC_MD5

    • AES128_HMAC_SHA1

    • AES256_HMAC_SHA1

    • 향후의 암호화 유형

      참고

      이러한 암호화 유형을 사용하지 않도록 설정하면 RSAT (원격 서버 관리 도구) 와의 통신 문제가 발생하고 디렉터리의 가용성에 영향을 미칠 수 있습니다.

  • 자세한 내용은 Amazon이란 무엇입니까VPC? 를 참조하십시오. Amazon VPC 사용 설명서에서 확인할 수 있습니다.

AWS Directory Service 두 가지 VPC 구조를 사용합니다. 디렉터리를 구성하는 EC2 인스턴스는 디렉터리의 외부에서 실행됩니다. AWS 계정 및 관리 담당자 AWS. 네트워크 어댑터가 두 개 ETH0 있고ETH1. ETH0관리 어댑터이며 계정 외부에 존재합니다. ETH1계정 내에서 생성됩니다.

디렉터리 ETH0 네트워크의 관리 IP 범위는 디렉터리가 배포된 VPC 위치와 충돌하지 않도록 프로그래밍 방식으로 선택됩니다. 이 IP 범위는 다음 페어 중 하나일 수 있습니다(디렉터리가 2개의 서브넷에서 실행되기 때문에).

  • 10.0.1.0/24 & 10.0.2.0/24

  • 169.254.0.0/16

  • 192.168.1.0/24 & 192.168.2.0/24

첫 번째 8진수를 검사하여 충돌을 방지합니다. ETH1 CIDR 10으로 시작하는 경우 192.168.1.0/24 및 192.168.2.0/24 서브넷이 있는 VPC 192.168.0.0/16을 선택합니다. 첫 번째 옥텟 값이 10이 아닌 경우 10.0.1.0/24 및 10.0.2.0/24 서브넷이 포함된 10.0.0.0/16을 선택합니다. VPC

선택 VPC 알고리즘에는 사용자의 경로가 포함되지 않습니다. 따라서 이 시나리오에서 IP 라우팅 충돌 결과가 있을 수 없습니다.

중요

Simple AD를 만든 후 Simple AD 사전 요구 사항 중 하나라도 변경되면 Simple AD에 장애가 발생할 수 있습니다. Simple AD 장애 상태를 해결하려면 다음 연락처로 문의해야 합니다. AWS Support.

나만의 Simple AD 만들기 Active Directory

새 Simple AD를 만들려면 Active Directory다음 단계를 수행하십시오. 이 절차를 시작하기 전에 간단한 AD 사전 조건에 나와 있는 선행 조건을 충족했는지 확인합니다.

Simple AD를 만들려면 Active Directory
  1. 에서AWS Directory Service 콘솔 탐색 창에서 디렉터리를 선택한 다음 디렉터리 설정을 선택합니다.

  2. Select directory type(디렉터리 유형 선택) 페이지에서 Simple AD를 선택하고 다음을 선택합니다.

  3. 디렉터리 정보 입력 페이지에서 다음 정보를 제공합니다.

    디렉터리 크기

    Small(스몰) 또는 Large(라지) 크기 옵션 중에서 선택합니다. 크기에 대한 자세한 내용은 Simple AD 단원을 참조하세요.

    조직 이름

    클라이언트 장치를 등록하는 데 사용할 디렉터리에 대한 고유한 조직 이름입니다.

    이 필드는 실행 WorkSpaces 과정에서 디렉토리를 생성하는 경우에만 사용할 수 있습니다.

    디렉터리 DNS 이름

    디렉터리를 위한 정규화된 이름(예: corp.example.com)입니다.

    디렉터리 넷 BIOS 이름

    디렉터리의 짧은 이름(예: CORP)입니다.

    관리자 암호

    디렉터리 관리자의 암호입니다. 디렉터리 생성 프로세스에서는 사용자 이름 Administrator와 이 암호를 사용하여 관리자 계정을 생성합니다.

    디렉터리 관리자 암호는 대소문자를 구분하며 길이가 8~64자 사이여야 합니다. 또한 다음 네 범주 중 세 개에 해당하는 문자를 1자 이상 포함해야 합니다.

    • 소문자(a-z)

    • 대문자(A-Z)

    • 숫자(0-9)

    • 영숫자 외의 특수 문자(~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    [Confirm password]

    관리자 암호를 다시 입력합니다.

    디렉터리 설명

    디렉터리에 대한 선택적 설명을 입력합니다.

  4. 서브넷 선택 VPC 페이지에서 다음 정보를 제공하고 다음을 선택합니다.

    VPC

    VPC디렉터리용.

    서브넷

    도메인 컨트롤러에 대한 서브넷을 선택합니다. 두 서브넷이 서로 다른 가용 영역에 있어야 합니다.

  5. 검토 및 생성 페이지에서 디렉터리 정보를 검토하고 필요한 사항을 변경합니다. 정보가 올바르면 디렉터리 생성을 선택합니다. 디렉터리를 생성하는 데 몇 분 정도 걸립니다. 생성이 완료되면 상태 값이 활성 상태로 변경됩니다.

Simple AD로 생성되는 콘텐츠 Active Directory

생성할 때 Active Directory Simple AD를 사용하면 AWS Directory Service 사용자를 대신하여 다음 작업을 수행합니다.

  • 내에 Samba 기반 디렉토리를 설정합니다. VPC

  • 사용자 이름 Administrator 과 지정된 암호를 사용하여 디렉터리 관리자 계정을 생성합니다. 이 계정을 사용하여 디렉터리를 관리할 수 있습니다.

    중요

    이 비밀번호는 반드시 저장해 두세요. AWS Directory Service 이 암호는 저장되지 않으며 검색할 수 없습니다. 하지만 다음에서 비밀번호를 재설정할 수 있습니다. AWS Directory Service 콘솔 또는 ResetUserPasswordAPI를 사용하여

  • 디렉터리 컨트롤러에 대한 보안 그룹을 만듭니다.

  • 도메인 관리 권한을 가진 AWSAdminD-xxxxxxxx라는 이름의 계정을 생성합니다. 이 계정은 다음에 의해 사용됩니다. AWS Directory Service 디렉터리 스냅샷 생성 및 FSMO 역할 이전과 같은 디렉터리 유지 관리 작업을 위한 자동화된 작업을 수행하는 데 사용됩니다. 이 계정의 자격 증명은 다음에 의해 안전하게 저장됩니다. AWS Directory Service.

  • Elastic Network Interface (ENI) 를 자동으로 생성하여 각 도메인 컨트롤러에 연결합니다. 이들 ENIs 각각은 사용자와 사용자 VPC 간의 연결에 필수적입니다. AWS Directory Service 도메인 컨트롤러이며 절대 삭제해서는 안 됩니다. 에서 사용하도록 예약된 모든 네트워크 인터페이스를 식별할 수 있습니다. AWS Directory Service 설명에 따르면:”AWS 디렉토리 id"에 대한 네트워크 인터페이스를 생성했습니다. 자세한 내용은 Amazon EC2 사용 설명서의 엘라스틱 네트워크 인터페이스를 참조하십시오. 의 기본 DNS 서버 AWS 매니지드 마이크로소프트 AD Active Directory VPCDNS서버는 클래스 없는 도메인 간 라우팅 (CIDR) +2에 있습니다. 자세한 내용은 Amazon VPC사용 설명서의 Amazon DNS 서버를 참조하십시오.

    참고

    도메인 컨트롤러는 기본적으로 한 지역의 두 가용 영역에 배포되며 Amazon Virtual Private Cloud (VPC) 에 연결됩니다. 백업은 하루에 한 번 자동으로 수행되며 Amazon Elastic Block Store (EBS) 볼륨은 암호화되어 저장된 데이터를 안전하게 보호합니다. 장애가 발생한 도메인 컨트롤러는 동일한 IP 주소를 사용하여 동일한 가용 영역에서 자동으로 교체되며, 최신 백업을 사용하여 전체 재해 복구를 수행할 수 있습니다.

Simple DNS AD용으로 구성

Simple AD는 아마존에서 제공하는 아마존 DNS 서버의 IP 주소로 DNS 요청을 전달합니다. VPC 이러한 DNS 서버는 Amazon Route 53 프라이빗 호스팅 영역에 구성된 이름을 확인합니다. 온프레미스 컴퓨터를 Simple AD로 가리키면 이제 프라이빗 호스팅 영역에 DNS 대한 요청을 해결할 수 있습니다. Route 53에 대한 자세한 내용은 Route 53이란 무엇입니까?를 참조하세요.

Simple AD가 외부 DNS 쿼리에 응답할 수 있도록 하려면 Simple AD를 VPC 포함하는 네트워크 액세스 제어 목록 (ACL) 을 외부에서 오는 트래픽을 허용하도록 구성해야 합니다VPC.

  • Route 53 프라이빗 호스팅 영역을 사용하지 않는 경우 DNS 요청이 퍼블릭 DNS 서버로 전달됩니다.

  • 외부에 있는 사용자 지정 DNS 서버를 사용 중인데 비공개를 VPC 사용하려는 경우DNS, 내부 EC2 인스턴스에서 사용자 지정 DNS 서버를 사용하도록 재구성해야 합니다. VPC 자세한 내용은 프라이빗 호스팅 영역 작업을 참조하세요.

  • Simple AD에서 내부 DNS VPC 서버와 외부 사설 DNS 서버 모두를 사용하여 이름을 확인하도록 VPC 하려면 DHCP 옵션 세트를 사용하여 이 작업을 수행할 수 있습니다. 세부적인 예제는 본 기사를 참조하세요.

참고

DNSSimple AD 도메인에서는 동적 업데이트가 지원되지 않습니다. 대신 도메인에 조인된 인스턴스의 DNS Manager를 사용하여 디렉터리에 연결하여 직접 변경할 수 있습니다.