자체 관리형 Microsoft Active Directory를 사용하기 위한 사전 요구 사항 - Amazon FSx for Windows File Server
온프레미스 구성네트워크 구성서비스 계정 권한

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

자체 관리형 Microsoft Active Directory를 사용하기 위한 사전 요구 사항

자체 관리형 Microsoft Active Directory 도메인에 연결된 Amazon FSx 파일 시스템을 생성하기 전에 다음 사전 요구 사항을 검토합니다.

온프레미스 구성

Amazon FSx 파일 시스템을 조인할 수 있는 온프레미스 또는 기타 자체 관리형 Microsoft Active Directory가 있어야 합니다. 온프레미스 Active Directory 구성이 다음과 같아야 합니다.

  • Active Directory 도메인 컨트롤러의 도메인 기능 수준은 Windows Server 2008 R2 이상입니다.

  • DNS 서버 IP 주소 및 Active Directory 도메인 컨트롤러 IP 주소는 파일 시스템이 생성된 시기에 따라 다음과 같습니다.

    2020년 12월 17일 이전에 생성된 파일 시스템의 경우 2020년 12월 17일 이후에 생성된 파일 시스템의 경우

    IP 주소는 RFC 1918 프라이빗 IP 주소 범위 내에 있어야 합니다.

    • 10.0.0.0/8

    • 172.16.0.0/12

    • 192.168.0.0/16

    IP 주소는 다음을 제외한 모든 범위에 속할 수 있습니다.

    • 해당 AWS 지역의 Amazon Web Services 소유 IP 주소와 충돌하는 IP 주소 지역별 AWS 소유 IP 주소 목록은 AWS IP 주소 범위를 참조하십시오.

    • 다음 CIDR 블록 범위의 IP 주소: 198.19.0.0/16

    프라이빗 IP 주소 범위 밖의 2020년 12월 17일 이전에 생성된 FSx for Windows File Server 파일 시스템에 액세스해야 하는 경우, 파일 시스템의 백업을 복원하여 새 파일 시스템을 생성할 수 있습니다. 자세한 정보는 백업 작업을 참조하세요.

  • 도메인 이름 단일 레이블 도메인(SLD) 형식이 아닙니다. Amazon FSx는 현재 SLD 도메인을 지원하지 않습니다.

  • 단일 AZ 2 및 모든 다중 AZ 파일 시스템의 경우 Active Directory 도메인 이름은 47자를 초과할 수 없습니다.

  • Microsoft Active Directory 사이트가 정의되어 있는 경우에는 Amazon FSx 파일 시스템과 연결된 VPC의 서브넷이 Microsoft Active Directory 사이트에 정의되어 있도록 하고 VPC의 서브넷과 다른 사이트의 서브넷 간에 충돌이 존재하지 않도록 해야 합니다.

  • Active Directory 도메인 컨트롤러와 Amazon FSx 간의 ICMP 트래픽을 허용하려면 방화벽에 규칙을 추가해야 할 수 있습니다.

네트워크 구성

이 섹션에서는 파일 시스템을 자체 관리형 Active Directory에 연결하는 데 필요한 네트워크 구성을 설명합니다.

파일 시스템을 자체 관리형 Active Directory에 연결하기 전에 Amazon FSx Active Directory 검증 도구를 사용하여 네트워크 설정을 테스트하는 것이 좋습니다.

  • 파일 시스템을 생성하려는 Amazon VPC와 자체 관리형 Active Directory 간에 연결성이 있어야 합니다. AWS Direct Connect, AWS Virtual Private Network, VPC 피어링 또는 를 사용하여 이 연결을 설정할 수 있습니다. AWS Transit Gateway

  • VPC 보안 그룹의 경우 기본 Amazon VPC의 기본 보안 그룹이 콘솔의 파일 시스템에 추가되어 있어야 합니다. FSx 파일 시스템을 만드는 서브넷의 보안 그룹과 VPC 네트워크 ACL이 다음 다이어그램에 표시된 방향으로 포트를 통한 트래픽을 허용하는지 확인합니다.

    VPC 보안 그룹에 대한 FSx for Windows File Server 포트 구성 요구 사항 및 파일 시스템이 생성되는 서브넷의 네트워크 ACL에 대한 구성 요구 사항

    다음 테이블에는 각 포트의 역할이 나와 있습니다.

    프로토콜

    포트

    역할

    TCP/UDP

    53

    도메인 이름 시스템(DNS)

    TCP/UDP

    88

    Kerberos 인증

    TCP/UDP

    464

    암호 변경/설정

    TCP/UDP

    389

    LDAP(Lightweight Directory Access Protocol)
    UDP 123

    NTP(Network Time Protocol)
    TCP 135

    분산 컴퓨팅 환경/엔드포인트 매퍼(DCE/EPMAP)

    TCP

    445

    디렉터리 서비스 SMB 파일 공유

    TCP

    636

    Lightweight Directory Access Protocol over TLS/SSL(LDAPS)

    TCP

    3268

    Microsoft 글로벌 카탈로그

    TCP

    3269

    SSL을 통한 Microsoft 글로벌 카탈로그

    TCP

    5985

    WinRM 2.0(Microsoft Windows Remote Management)

    TCP

    9389

    마이크로소프트 액티브 디렉터리 DS 웹 서비스, PowerShell

    TCP

    49,152~65,535

    RPC용 임시 포트

    이러한 트래픽 규칙이 각 Active Directory 도메인 컨트롤러, DNS 서버 및 FSx 클라이언트, FSx 관리자에 적용되는 방화벽에도 반영되는지 확인하세요.

중요

단일 AZ 2 및 다중 AZ 파일 시스템 배포에는 TCP 포트 9389에서 아웃바운드 트래픽을 허용해야 합니다.

참고

VPC 네트워크 ACL을 사용하는 경우 FSx 파일 시스템의 동적 포트(49152~65535)를 통한 아웃바운드 트래픽도 허용해야 합니다.

중요

Amazon VPC 보안 그룹에서는 네트워크 트래픽이 시작되는 방향으로만 포트를 열어야 하지만, 대부분의 Windows 방화벽과 VPC 네트워크 ACL에서는 포트가 양방향으로 열려 있어야 합니다.

서비스 계정 권한

자체 관리형 Microsoft Active Directory에는 컴퓨터를 도메인에 조인할 수 있는 권한이 위임된 서비스 계정이 있어야 합니다. 서비스 계정은 특정 작업을 수행할 권한이 위임된 자체 관리형 Active Directory의 사용자 계정입니다.

서비스 계정은 파일 시스템에 조인하려는 OU에서 최소한 다음 권한을 위임받아야 합니다.

  • 암호 재설정 기능

  • 계정의 데이터 읽기 및 쓰기 제한 기능

  • 검증된 DNS 호스트 이름 쓰기 기능

  • 검증된 서비스 보안 주체 이름 쓰기 기능

  • 컴퓨터 객체의 생성 및 삭제 기능(위임 가능)

  • 검증된 계정 제한 사항의 읽기 및 쓰기 기능

  • 권한 수정 기능

이는 컴퓨터 객체를 Active Directory에 조인하는 데 필요한 최소 권한 집합을 나타냅니다. 자세한 내용은 Microsoft Windows Server 설명서의 오류: 제어를 위임받은 관리자가 아닌 사용자가 컴퓨터를 도메인 컨트롤러에 조인하려고 하면 액세스가 거부됨 항목을 참조하세요.

올바른 권한이 있는 서비스 계정을 생성하는 방법에 대한 자세한 내용은 Amazon FSx 서비스 계정에 권한 위임 섹션을 참조하세요.

Amazon FSx를 사용하려면 Amazon FSx 파일 시스템의 수명 주기 동안 유효한 서비스 계정이 필요합니다. Amazon FSx는 파일 시스템을 완벽하게 관리할 수 있어야 하며, 서비스 계정을 사용하여 Active Directory 도메인에 가입을 취소했다가 다시 가입해야 하는 작업을 수행할 수 있어야 합니다. 이러한 작업에는 장애가 발생한 파일 서버 교체 또는 Windows Server 소프트웨어 패치 적용이 포함됩니다. 반드시 Amazon FSx를 사용하여 서비스 계정 자격 증명을 포함한 Active Directory 구성을 업데이트해야 합니다. 자세한 정보는 Active Directory 구성을 최신 상태로 유지을 참조하세요.

Amazon FSx는 Active Directory 환경의 모든 도메인 컨트롤러에 연결해야 합니다. 도메인 컨트롤러가 여러 개 있는 경우 모든 도메인 컨트롤러가 위의 요구 사항을 충족하는지 확인하고, 서비스 계정 변경 사항이 모든 도메인 컨트롤러에 전파되는지 확인하세요.

Amazon FSx Active Directory 검증 도구를 사용하여 여러 도메인 컨트롤러의 연결성 테스트 등 Active Directory 구성을 검증할 수 있습니다. 연결이 필요한 도메인 컨트롤러의 수를 제한하기 위해 온프레미스 도메인 컨트롤러와 AWS Managed Microsoft AD사이에 신뢰 관계를 구축할 수도 있습니다. 자세한 정보는 리소스 포리스트 격리 모델 사용을 참조하세요.

중요

파일 시스템이 생성된 후 Amazon FSx가 OU에 생성한 컴퓨터 객체를 옮기지 마세요. 이렇게 하면 파일 시스템 구성이 잘못될 수 있습니다.