기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
아마존 FSx를 다음과 함께 사용하기 AWS Directory Service for Microsoft Active Directory
AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) 는 클라우드에서 완전히 관리되고 가용성이 높은 실제 Active Directory 디렉터리를 제공합니다. 워크로드 배포에 이러한 Active Directory 디렉터리를 사용할 수 있습니다.
조직에서 ID 및 디바이스를 관리하는 AWS Managed Microsoft AD 데 사용하는 경우 Amazon FSx 파일 시스템을 과 통합하는 것이 좋습니다. AWS Managed Microsoft AD이렇게 하면 Amazon FSx를 사용하여 턴키 솔루션을 얻을 수 있습니다. AWS Managed Microsoft AD AWS 두 서비스의 배포, 운영, 고가용성, 안정성, 보안 및 원활한 통합을 처리하므로 사용자는 자신의 워크로드를 효과적으로 운영하는 데 집중할 수 있습니다.
Amazon FSx를 설정과 함께 AWS Managed Microsoft AD 사용하려면 Amazon FSx 콘솔을 사용하면 됩니다.AWS 콘솔에서 Windows File Server용 FSx 파일 시스템을 새로 만드는 경우 Windows 인증 섹션에서 관리형 Active Directory를 선택합니다. 사용하려는 특정 디렉터리를 선택할 수도 있습니다. 자세한 내용은 단계 1. 파일 시스템 생성 섹션을 참조하세요.
조직은 자체 관리형 Active Directory 도메인(온프레미스 또는 클라우드에서)에서 ID와 디바이스를 관리할 수 있습니다. 그렇다면 Amazon FSx 파일 시스템을 기존의 자체 관리형 Active Directory 도메인에 직접 가입할 수 있습니다. 자세한 정보는 자체 관리형 Microsoft Active Directory와 함께 Amazon FSx 사용을 참조하세요.
또한 리소스 포리스트 격리 모델을 활용하도록 시스템을 설정할 수도 있습니다. 이 모델에서는 Amazon FSx 파일 시스템을 비롯한 리소스를 사용자가 있는 Active Directory 포리스트와 별도의 Active Directory 포리스트로 분리합니다.
중요
단일 AZ 2 및 모든 다중 AZ 파일 시스템의 경우 Active Directory 도메인 이름은 47자를 초과할 수 없습니다.
네트워킹 사전 조건
Microsoft 관리형 Active Directory 도메인에 가입된 Windows File Server용 FSx 파일 시스템을 생성하기 AWS 전에 다음 네트워크 구성을 만들고 설정했는지 확인하십시오.
-
VPC 보안 그룹의 경우 기본 Amazon VPC의 기본 보안 그룹이 콘솔의 파일 시스템에 이미 추가되었습니다. FSx 파일 시스템을 만드는 서브넷의 보안 그룹과 VPC 네트워크 ACL이 다음 다이어그램에 표시된 방향으로 포트를 통한 트래픽을 허용하는지 확인합니다.
다음 테이블에는 각 포트의 역할이 나와 있습니다.
프로토콜
포트
역할
TCP/UDP
53
도메인 이름 시스템(DNS)
TCP/UDP
88
Kerberos 인증
TCP/UDP
464
암호 변경/설정
TCP/UDP
389
LDAP(Lightweight Directory Access Protocol)
UDP 123 NTP(Network Time Protocol)
TCP 135 분산 컴퓨팅 환경/엔드포인트 매퍼(DCE/EPMAP)
TCP
445
디렉터리 서비스 SMB 파일 공유
TCP
636
Lightweight Directory Access Protocol over TLS/SSL(LDAPS)
TCP
3268
Microsoft 글로벌 카탈로그
TCP
3269
SSL을 통한 Microsoft 글로벌 카탈로그
TCP
5985
WinRM 2.0(Microsoft Windows Remote Management)
TCP
9389
마이크로소프트 AD DS 웹 서비스, PowerShell
TCP
49,152~65,535
RPC용 임시 포트
중요
단일 AZ 2 및 모든 다중 AZ 파일 시스템 배포에는 TCP 포트 9389에서 아웃바운드 트래픽을 허용해야 합니다.
참고
VPC 네트워크 ACL을 사용하는 경우 FSx 파일 시스템의 동적 포트(49152~65535)를 통한 아웃바운드 트래픽도 허용해야 합니다.
-
Amazon FSx 파일 시스템을 다른 VPC 또는 계정의 AWS 관리형 Microsoft Active Directory에 연결하는 경우, 파일 시스템을 생성하려는 Amazon VPC와 해당 VPC가 연결되어 있는지 확인하십시오. 자세한 정보는 다른 VPC 또는 계정에서 Amazon FSx AWS Managed Microsoft AD 사용하기을 참조하세요.
중요
Amazon VPC 보안 그룹에서는 네트워크 트래픽이 시작되는 방향으로만 포트를 열어야 하지만, VPC 네트워크 ACL에서는 포트가 양방향으로 열려 있어야 합니다.
Amazon FSx 네트워크 검증 도구를 사용하여 Active Directory 도메인 컨트롤러에 대한 연결을 검증합니다.
리소스 포리스트 격리 모델 사용
파일 시스템을 AWS Managed Microsoft AD 설정에 조인합니다. 그런 다음 생성한 도메인과 기존의 자체 관리형 Active AWS Managed Microsoft AD Directory 도메인 간에 단방향 포리스트 신뢰 관계를 설정합니다. Amazon FSx의 Windows 인증에는 관리형 포리스트가 기업 도메인 포리스트를 신뢰하는 단방향 포리스트 트러스트만 필요합니다. AWS
기업 도메인은 신뢰할 수 있는 도메인의 역할을 하고, AWS Directory Service 관리형 도메인은 트러스팅 도메인의 역할을 합니다. 검증된 인증 요청은 도메인 간에 한 방향으로만 전달되며 회사 도메인의 계정이 관리형 도메인에서 공유되는 리소스에 대해 인증합니다. 이 경우 Amazon FSx는 관리형 도메인과만 상호 작용합니다. 그러면 관리형 도메인은 인증 요청을 기업 도메인으로 전달합니다.
Active Directory 구성 테스트
Amazon FSx 파일 시스템을 생성하기 전에 Amazon FSx 네트워크 검증 도구를 사용하여 Active Directory 도메인 컨트롤러에 대한 연결을 검증하는 것이 좋습니다. 자세한 정보는 Active Directory 도메인 컨트롤러에 대한 연결 검증을 참조하세요.
Windows File Server용 FSx를 사용할 AWS Directory Service for Microsoft Active Directory 때 다음과 같은 관련 리소스가 도움이 될 수 있습니다.
-
AWS Directory Service 관리 안내서의 AWS Directory Service란?
-
AWS Directory Service 관리 가이드에서 AWS 관리형 Active Directory를 생성하십시오.
-
AWS Directory Service 관리 안내서의 신뢰 관계 생성 시기
