기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Managed Microsoft AD로 생성되는 항목
를 생성할 때 Active Directory AWS Managed Microsoft AD를 사용하면 가 사용자를 대신하여 다음 작업을 AWS Directory Service 수행합니다.
-
탄력적 네트워크 인터페이스(ENI)를 자동으로 생성하고 각 도메인 컨트롤러와 연결합니다. 이들 각각ENIs은 VPC 와 AWS Directory Service 도메인 컨트롤러 간의 연결에 필수적이며 삭제해서는 안 됩니다. '디렉토리 디렉터리 ID에 대해AWS 생성된 네트워크 인터페이스' 설명 AWS Directory Service 에서 와 함께 사용하도록 예약된 모든 네트워크 인터페이스를 식별할 수 있습니다. 자세한 내용은 Amazon EC2 사용 설명서의 탄력적 네트워크 인터페이스를 참조하세요. AWS Managed Microsoft AD의 기본 DNS 서버 Active Directory 는 Classless 도메인 간 라우팅(CIDR)+2의 VPC DNS 서버입니다. 자세한 내용은 Amazon 사용 설명서의 Amazon DNS 서버를 참조하세요. VPC
참고
도메인 컨트롤러는 기본적으로 리전의 두 가용 영역에 배포되고 AmazonVPC()에 연결됩니다VPC. 백업은 하루에 한 번 자동으로 수행되며 AmazonEBS(EBS) 볼륨은 저장 데이터를 보호하기 위해 암호화됩니다. 장애가 발생한 도메인 컨트롤러는 동일한 IP 주소를 사용하여 동일한 가용 영역에서 자동으로 교체되며, 최신 백업을 사용하여 전체 재해 복구를 수행할 수 있습니다.
-
조항 Active Directory 내결함성 및 고가용성을 위해 에서 두 개의 도메인 컨트롤러를 VPC 사용합니다. 디렉터리가 성공적으로 생성되고 활성 상태가 되면 복원력 및 성능을 높이기 위해 더 많은 도메인 컨트롤러를 프로비저닝할 수 있습니다. 자세한 내용은 AWS Managed Microsoft AD에 대한 추가 도메인 컨트롤러 배포 단원을 참조하십시오.
참고
AWS 는 AWS Managed Microsoft AD 도메인 컨트롤러에 모니터링 에이전트를 설치할 수 없습니다.
-
도메인 컨트롤러 안팎의 트래픽에 대한 네트워크 규칙을 설정하는 AWS 보안 그룹을 생성합니다. 기본 아웃바운드 규칙은 생성된 AWS 보안 그룹에 연결된 모든 트래픽 ENIs 또는 인스턴스를 허용합니다. 기본 인바운드 규칙은 에서 요구하는 포트를 통한 트래픽만 허용합니다.Active Directory AWS Managed Microsoft ADVPCCIDR용 에서. 도메인 컨트롤러에 대한 트래픽은 VPC, 다른 피어링된 , 또는 VPCs, AWS Direct Connect AWS 전송 게이트웨이 또는 가상 프라이빗 네트워크를 사용하여 연결한 네트워크로부터의 트래픽으로 제한되므로 이러한 규칙은 보안 취약성을 유발하지 않습니다. 추가 보안을 위해 생성된 에는 ElasticENIs이 IPs 연결되어 있지 않으며 Elastic IP를 해당 에 연결할 권한이 없습니다ENIs. 따라서 AWS Managed Microsoft AD와 통신할 수 있는 유일한 인바운드 트래픽은 로컬 VPC 및 VPC 라우팅된 트래픽입니다. AWS 보안 그룹 규칙을 변경할 수 있습니다. 이러한 규칙을 변경하면 도메인 컨트롤러와 통신하지 못할 수도 있으므로 특히 주의하세요. 자세한 내용은 AWS 관리형 Microsoft AD 모범 사례 단원을 참조하십시오. 기본적으로 다음과 같은 AWS 보안 그룹 규칙이 생성됩니다.
인바운드 규칙
프로토콜 포트 범위 소스 트래픽 유형 Active Directory 사용 ICMP N/A AWS 관리형 Microsoft AD VPC IPv4 CIDR Ping LDAP 연결 유지, DFS TCP & UDP 53 AWS 관리형 Microsoft AD VPC IPv4 CIDR DNS 사용자 및 컴퓨터 인증, 이름 확인, 신뢰 TCP & UDP 88 AWS 관리형 Microsoft AD VPC IPv4 CIDR Kerberos 사용자 및 컴퓨터 인증, 포리스트 수준 신뢰 TCP & UDP 389 AWS 관리형 Microsoft AD VPC IPv4 CIDR LDAP 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 TCP & UDP 445 AWS 관리형 Microsoft AD VPC IPv4 CIDR SMB / CIFS 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰 TCP & UDP 464 AWS 관리형 Microsoft AD VPC IPv4 CIDR Kerberos 암호 변경/설정 복제, 사용자 및 컴퓨터 인증, 신뢰 TCP 135 AWS 관리형 Microsoft AD VPC IPv4 CIDR 복제 RPC, EPM TCP 636 AWS 관리형 Microsoft AD VPC IPv4 CIDR LDAP SSL 디렉터리, 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰 TCP 1024~65535 AWS 관리형 Microsoft AD VPC IPv4 CIDR RPC 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰 TCP 3268 - 3269 AWS 관리형 Microsoft AD VPC IPv4 CIDR LDAP GC 및 LDAP GC SSL 디렉터리, 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰 UDP 123 AWS 관리형 Microsoft AD VPC IPv4 CIDR Windows 시간 Windows 시간, 신뢰 UDP 138 AWS 관리형 Microsoft AD VPC IPv4 CIDR DFSN & NetLogon DFS, 그룹 정책 모두 모두 AWS 관리형 Microsoft AD VPC IPv4 CIDR 모든 트래픽 아웃바운드 규칙
프로토콜 포트 범위 대상 트래픽 유형 Active Directory 사용 모두 모두 0.0.0.0/0 모든 트래픽 -
에서 사용하는 포트 및 프로토콜에 대한 자세한 내용은 Active Directory에서 Windows에 대한 서비스 개요 및 네트워크 포트 요구 사항을
참조하세요.Microsoft . -
사용자 이름 Admin과 지정된 암호를 사용하여 디렉터리 관리자 계정을 생성합니다. 이 계정은 사용자 OU(예: Corp > 사용자) 아래에 있습니다. 이 계정을 사용하여 AWS 클라우드에서 디렉터리를 관리합니다. 자세한 내용은 AWS 관리형 Microsoft AD 관리자 계정 권한 단원을 참조하십시오.
중요
이 암호를 저장해야 합니다. AWS Directory Service 는 이 암호를 저장하지 않으며 검색할 수 없습니다. 그러나 AWS Directory Service 콘솔 또는 ResetUserPassword 를 사용하여 암호를 재설정할 수 있습니다API.
-
도메인 루트 아래에 다음과 같은 3개의 조직 단위(OUs)를 생성합니다.
OU 이름 설명 AWS 위임된 그룹
사용자에게 AWS 특정 권한을 위임하는 데 사용할 수 있는 모든 그룹을 저장합니다. AWS 예약됨 모든 AWS 관리별 계정을 저장합니다. <yourdomainname> 이 OU의 이름은 디렉터리를 생성할 때 입력한 NetBIOS 이름을 기반으로 합니다. NetBIOS 이름을 지정하지 않은 경우 기본적으로 디렉터리 DNS 이름의 첫 번째 부분으로 설정됩니다(예: corp.example.com인 경우 NetBIOS 이름은 corp 임). 이 OU는 에서 소유 AWS 하며 전체 제어 권한이 부여된 모든 AWS관련 디렉터리 객체를 포함합니다. 이 OU에는 기본적으로 컴퓨터와 사용자라는 두 개의 하위 항목이 OUs 있습니다. 예: -
Corp
-
컴퓨터
-
사용자
-
-
-
AWS 위임된 그룹 OU에서 다음 그룹을 생성합니다.
그룹 이름 설명 AWS 위임된 계정 연산자 이 보안 그룹의 멤버는 암호 재설정 등의 제한된 계정 관리 기능을 갖습니다 AWS 위임된 Active Directory 기반 활성화 관리자
이 보안 그룹의 멤버는 Active Directory 볼륨 라이선스 정품 인증 객체를 생성할 수 있습니다. 그러면 기업에서 이 객체를 사용하여 도메인 연결을 통해 컴퓨터를 정품 인증할 수 있습니다.
AWS 위임된 도메인 사용자에 워크스테이션 추가 이 보안 그룹의 멤버는 10개의 컴퓨터를 도메인에 조인할 수 있습니다. AWS 위임된 관리자 이 보안 그룹의 구성원은 AWS Managed Microsoft AD를 관리하고, OU의 모든 객체를 완전히 제어하고 AWS , 위임된 그룹 OU에 포함된 그룹을 관리할 수 있습니다. AWS 객체 인증이 허용된 위임됨 이 보안 그룹의 구성원에게는 AWS 예약 OU의 컴퓨터 리소스에 인증할 수 있는 기능이 제공됩니다(선택 인증이 활성화된 트러스트가 있는 온프레미스 객체에만 필요). AWS 도메인 컨트롤러에 인증할 수 있는 위임됨 이 보안 그룹의 멤버에게는 도메인 컨트롤러 OU의 컴퓨터 리소스에 대해 인증할 수 있는 기능이 제공됩니다(선택적 인증이 설정된 신뢰가 있는 온프레미스 객체에만 필요). AWS 위임된 삭제된 객체 수명 관리자
이 보안 그룹의 구성원은 삭제된 객체를 AD 휴지통에서 복구할 수 있는 시간을 정의하는 msDS -DeletedObjectLifetime 객체를 수정할 수 있습니다.
AWS 위임된 분산 파일 시스템 관리자 이 보안 그룹의 구성원은 FRS, DFS-R 및 DFS 네임 스페이스를 추가하고 제거할 수 있습니다. AWS 위임된 도메인 이름 시스템 관리자 이 보안 그룹의 구성원은 Active Directory 통합 를 관리할 수 있습니다DNS. AWS 위임된 동적 호스트 구성 프로토콜 관리자 이 보안 그룹의 구성원은 엔터프라이즈의 Windows DHCP 서버를 승인할 수 있습니다. AWS 위임된 엔터프라이즈 인증 기관 관리자 이 보안 그룹의 멤버는 Microsoft Enterprise Certificate Authority 인프라를 배포하고 관리할 수 있습니다. AWS 위임된 세분화된 암호 정책 관리자 이 보안 그룹의 멤버는 사전에 생성된 세분화된 암호 정책을 수정할 수 있습니다. AWS 위임된 FSx 관리자 이 보안 그룹의 구성원에게는 Amazon FSx 리소스를 관리할 수 있는 기능이 제공됩니다. AWS 위임된 그룹 정책 관리자 이 보안 그룹의 멤버는 그룹 정책 관리 작업(생성, 편집, 삭제, 연결)을 수행할 수 있습니다. AWS 위임된 Kerberos 위임 관리자 이 보안 그룹의 멤버는 컴퓨터 및 사용자 계정 객체에 대한 위임을 활성화할 수 있습니다. AWS 위임된 관리형 서비스 계정 관리자 이 보안 그룹의 멤버는 관리형 서비스 계정을 생성하고 삭제할 수 있습니다. AWS 위임된 MS -NPRC 규정 미준수 디바이스 이 보안 그룹의 구성원은 도메인 컨트롤러와의 보안 채널 통신 요구 대상에서 제외됩니다. 이 그룹은 컴퓨터 계정용입니다. AWS 위임된 원격 액세스 서비스 관리자 이 보안 그룹의 구성원은 RAS 및 RAS 서버 그룹에서 IAS 서버를 추가하고 제거할 수 있습니다. AWS 위임된 복제 디렉터리 변경 관리자 이 보안 그룹의 구성원은 Active Directory의 프로필 정보를 SharePoint 서버와 동기화할 수 있습니다. AWS 위임된 서버 관리자 이 보안 그룹의 멤버는 모든 도메인 조인 컴퓨터의 로컬 관리자 그룹에 포함됩니다. AWS 위임된 사이트 및 서비스 관리자 이 보안 그룹의 구성원은 Active Directory 사이트 및 서비스에서 객체의 Default-First-Site-Name 이름을 바꿀 수 있습니다. AWS 위임된 시스템 관리 관리자 이 보안 그룹의 멤버는 시스템 관리 컨테이너에서 객체를 생성하고 관리할 수 있습니다. AWS 위임된 터미널 서버 라이선싱 관리자 이 보안 그룹의 멤버는 터미널 서버 라이선스 서버 그룹에서 터미널 서버 라이선스 서버를 추가하고 제거할 수 있습니다. AWS 위임된 사용자 보안 주체 이름 접미사 관리자 이 보안 그룹의 멤버는 사용자 보안 주체 이름 접미사를 추가하고 제거할 수 있습니다. 참고
이러한 AWS 위임된 그룹에 를 추가할 수 있습니다.
-
다음 그룹 정책 객체(GPOs)를 생성하고 적용합니다.
참고
이러한 를 삭제, 수정 또는 연결 해제할 수 있는 권한이 없습니다GPOs. 이는 AWS 사용을 위해 예약되어 있으므로 설계에 따른 것입니다. 필요한 경우 제어하는 OUs 에 연결할 수 있습니다.
그룹 정책 이름 적용 대상 설명 기본 도메인 정책 도메인 도메인 암호 및 Kerberos 정책을 포함합니다. ServerAdmins 모든 비도메인 컨트롤러 컴퓨터 계정 'AWS 위임된 서버 관리자'를 BUILTIN\Administrators 그룹의 멤버로 추가합니다. AWS 예약 정책:사용자 AWS 예약된 사용자 계정 AWS 예약 OU의 모든 사용자 계정에 대한 권장 보안 설정을 설정합니다. AWS 관리형 Active Directory 정책 모든 도메인 컨트롤러 모든 도메인 컨트롤러에 대해 권장되는 보안 설정을 지정합니다. TimePolicyNT5DS 모든 비 PDCe 도메인 컨트롤러 Windows Time()을 사용하도록 모든 비 PDCe 도메인 컨트롤러 시간 정책을 설정합니다NT5DS. TimePolicyPDC PDCe 도메인 컨트롤러 Network Time Protocol()을 사용하도록 PDCe 도메인 컨트롤러의 시간 정책을 설정합니다NTP. 기본 도메인 컨트롤러 정책 사용되지 않습니다 도메인 생성 중에 프로비저닝되는 AWS 관리형 Active Directory 정책이 그 자리에 사용됩니다. 각 의 설정을 보려면 그룹 정책 관리 콘솔(GPMC)
이 활성화된 상태에서 도메인에 조인된 Windows 인스턴스에서 볼 GPO수 있습니다. -
AWS Managed Microsoft AD 관리를 위해 다음과 같은 기본 로컬 계정을 생성합니다.
중요
관리자 암호를 저장해야 합니다. 는 이 암호를 저장하지 AWS Directory Service 않으며 검색할 수 없습니다. 그러나 AWS Directory Service 콘솔에서 또는 를 사용하여 암호를 재설정할 수 있습니다API. ResetUserPassword
- 관리자
-
관리자는 AWS Managed Microsoft AD가 처음 생성될 때 생성된 디렉터리 관리자 계정입니다. AWS Managed Microsoft AD를 생성할 때 이 계정의 암호를 제공합니다. 이 계정은 사용자 OU(예: Corp > 사용자) 아래에 있습니다. 이 계정을 사용하여 Active Directory 의 AWS. 자세한 내용은 AWS 관리형 Microsoft AD 관리자 계정 권한 단원을 참조하십시오.
- AWS_
11111111111 -
로 시작하고 밑줄이 AWS 나며 AWS 예약 OU에 있는 모든 계정 이름은 서비스 관리형 계정입니다. 이 서비스 관리형 계정은 에서 와 상호 작용하는 AWS 데 사용됩니다.Active Directory. 이러한 계정은 AWS 디렉터리 서비스 데이터가 활성화되고 에 승인된 각 새 AWS 애플리케이션이 있을 때 생성됩니다.Active Directory. 이러한 계정은 AWS 서비스에서만 액세스할 수 있습니다.
- krbtgt 계정 암호
-
krbtgt 계정은 AWS Managed Microsoft AD에서 사용하는 Kerberos 티켓 교환에서 중요한 역할을 합니다. krbtgt 계정은 Kerberos 티켓 부여 티켓(TGT) 암호화에 사용되는 특수 계정이며 Kerberos 인증 프로토콜의 보안에 중요한 역할을 합니다. 자세한 내용은 Microsoft 설명서 섹션을
참조하세요. AWS 는 AWS Managed Microsoft AD의 krbtgt 계정 암호를 90일마다 두 번 자동으로 교체합니다. 90일마다 2회 연속 교체 사이에는 24시간의 대기 시간이 있습니다.
관리자 계정 및 에서 생성한 기타 계정에 대한 자세한 내용은 Active Directory, 참조 Microsoft 설명서
