2단계: 신뢰 관계 생성 - AWS Directory Service

2단계: 신뢰 관계 생성

이 단원에서는 2개의 포리스트 신뢰 관계를 생성합니다. EC2 인스턴스의 Active Directory 도메인과 AWS의 AWS Managed Microsoft AD에서 하나씩의 신뢰 관계가 설정됩니다.

corp.example.com 및 example.local 간의 양방향 신뢰
EC2 도메인에서 AWS Managed Microsoft AD으로의 신뢰를 생성하려면

  1. example.local에 로그인합니다.

  2. Server Manager를 열고 콘솔에서 [DNS]를 선택합니다. 서버에 대해 나열된 IPv4 주소를 기록합니다. 다음 단계에서 corp.example.com에서 example.local 디렉터리로 조건부 전달자를 생성할 때 이 값이 필요합니다.

  3. [Tools] 메뉴에서 [Active Directory Domains and Trusts]를 선택합니다.

  4. 콘솔 트리에서 example.local을 마우스 오른쪽 버튼으로 클릭하고 [Properties]를 선택합니다.

  5. [Trusts] 탭에서 [New Trust]를 선택하고 [Next]를 선택합니다.

  6. Trust Name(신뢰 관계 이름) 페이지에서 corp.example.com를 입력하고 다음을 선택합니다.

  7. [Trust Type] 페이지에서 [Forest trust]를 선택하고 [Next]를 선택합니다.

    참고

    AWS Managed Microsoft AD는 외부 신뢰 관계도 지원합니다. 그렇지만 이 자습서의 목적상 여기에서는 양방향 포리스트 신뢰만 구성합니다.

  8. [Direction of Trust] 페이지에서 [Two-way]를 선택하고 [Next]를 선택합니다.

    참고

    나중에 단방향 신뢰를 사용하여 이 작업을 시도하기로 결정한 경우 신뢰 방향이 올바르게 설정되었는지 확인합니다(신뢰하는 도메인에서 발신, 신뢰된 도메인에서 수신). 일반적인 내용은 Microsoft 웹 사이트의 Understanding Trust Direction(신뢰 방향 이해)을 참조하세요.

  9. [Sides of Trust] 페이지에서 [This domain only]를 선택하고 [Next]를 선택합니다.

  10. [Outgoing Trust Authentication Level] 페이지에서 [Forest-wide authentication]을 선택하고 [Next]를 선택합니다.

    참고

    옵션을 선택적으로 인증할 수 있지만 이 자습서의 단순성을 위해 여기서는 사용하지 않는 것이 좋습니다. 이를 구성하면 신뢰하는 도메인이나 포리스트에 있는 컴퓨터 객체(리소스 컴퓨터)에 대한 인증 권한이 명시적으로 부여된 신뢰된 도메인 또는 포리스트의 사용자만 외부 또는 포리스트 신뢰에 액세스할 수 있습니다. 자세한 내용은 선택적 인증 설정 구성을 참조하세요.

  11. [Trust Password] 페이지에서 신뢰 관계 암호를 두 번 입력하고 [Next]를 선택합니다. 다음 절차에서 이 암호를 다시 사용합니다.

  12. [Trust Selections Complete] 페이지에서 결과를 검토한 다음 [Next]를 선택합니다.

  13. [Trust Creation Complete] 페이지에서 결과를 검토한 다음 [Next]를 선택합니다.

  14. [Confirm Outgoing Trust] 페이지에서 [No, do not confirm the outgoing trust]를 선택합니다. 그런 다음 [Next]를 선택합니다

  15. [Confirm Incoming Trust] 페이지에서 [No, do not confirm the incoming trust]를 선택합니다. 그런 다음 [Next]를 선택합니다

  16. [Completing the New Trust Wizard] 페이지에서 [Finish]를 선택합니다.

참고

신뢰 관계는 AWS Managed Microsoft AD의 글로벌 기능입니다. AWS 관리형 Microsoft AD에 대한 다중 리전 복제 구성를 사용하는 경우 기본 리전에서 다음 절차를 수행해야 합니다. 변경은 복제된 모든 리전에 자동으로 적용됩니다. 자세한 내용은 글로벌 기능과 리전별 기능 비교 단원을 참조하십시오.

AWS Managed Microsoft AD에서 EC2 도메인으로의 신뢰 관계를 생성하려면

  1. AWS Directory Service 콘솔을 엽니다.

  2. corp.example.com 디렉터리를 선택합니다.

  3. Directory details(디렉터리 세부 정보) 페이지에서 다음 중 하나를 수행합니다.

    • 다중 리전 복제에 여러 리전이 표시되는 경우 기본 리전을 선택한 다음 네트워킹 및 보안 탭을 선택합니다. 자세한 내용은 기본 리전과 추가 리전의 비교 단원을 참조하십시오.

    • 다중 리전 복제에 리전이 표시되지 않는 경우 네트워킹 및 보안 탭을 선택합니다.

  4. 신뢰 관계 섹션에서 작업을 선택한 후신뢰 관계 추가를 선택합니다.

  5. [Add a trust relationship] 대화 상자에서 다음을 수행합니다.

    • 트러스트 유형에서 Forest trust(포리스트 신뢰)를 선택합니다.

      참고

      여기에서 선택한 신뢰 유형이 이전 절차(EC2 도메인에서 AWS Managed Microsoft AD로의 신뢰를 생성하려면)에서 구성한 동일한 신뢰 유형과 일치하는지 확인합니다.

    • Existing or new remote domain name(기존 또는 새 원격 도메인 이름)example.local을 입력합니다.

    • [Trust password]에서 이전 절차에서 입력한 암호를 입력합니다.

    • 신뢰 방향에서 양방향을 선택합니다.

      참고

      • 나중에 단방향 신뢰를 사용하여 이 작업을 시도하기로 결정한 경우 신뢰 방향이 올바르게 설정되었는지 확인합니다(신뢰하는 도메인에서 발신, 신뢰된 도메인에서 수신). 일반적인 내용은 Microsoft 웹 사이트의 Understanding trust direction(신뢰 방향 이해)을 참조하세요.

      • 옵션을 선택적으로 인증할 수 있지만 이 자습서의 단순성을 위해 여기서는 사용하지 않는 것이 좋습니다. 이를 구성하면 신뢰하는 도메인이나 포리스트에 있는 컴퓨터 객체(리소스 컴퓨터)에 대한 인증 권한이 명시적으로 부여된 신뢰된 도메인 또는 포리스트의 사용자만 외부 또는 포리스트 신뢰에 액세스할 수 있습니다. 자세한 내용은 Configuring selective authentication settings(선택적 인증 설정 구성)을 참조하세요.

    • 조건부 전달자example.local 포리스트 내 DNS 서버의 IP 주소(이전 절차에서 기록한 주소)를 입력합니다.

      참고

      조건부 전달자는 쿼리의 DNS 도메인 이름에 따라 DNS 쿼리를 전달하는 데 사용되는 네트워크의 DNS 서버입니다. 예를 들어 widgets.example.com으로 끝나는 이름에 대해 수신하는 모든 쿼리를 특정 DNS 서버의 IP 주소 또는 여러 DNS 서버의 IP 주소로 전달하도록 DNS 서버를 구성할 수 있습니다.

  6. 추가를 선택합니다.