AWS Managed Microsoft AD와 자체 관리형 AD 간의 신뢰 관계 생성 - AWS Directory Service
사전 조건신뢰 관계 설정

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Managed Microsoft AD와 자체 관리형 AD 간의 신뢰 관계 생성

Microsoft Active Directory용 AWS Directory Service와 자체 관리형(온프레미스) 디렉터리 간에, 그리고 AWS 클라우드의 여러 AWS 관리형 Microsoft AD 디렉터리 간에 단방향 및 양방향 외부 및 포리스트 신뢰 관계를 구성할 수 있습니다. AWS 관리형 Microsoft AD는 수신, 발신, 양방향(양방향)의 세 가지 신뢰 관계 방향을 모두 지원합니다.

신뢰 관계에 대한 자세한 내용은 AWS Managed Microsoft AD 의 신뢰에 대해 알고 싶은 모든 것을 참조하세요.

참고

신뢰 관계를 설정할 때 자체 관리형 디렉터리가 와 호환되고 호환되는지 확인해야 합니다 AWS Directory Service. 책임 사항에 대한 자세한 내용은 공동 책임 모델을 참조하세요.

AWS Managed Microsoft AD는 외부 및 포리스트 트러스트를 모두 지원합니다. 포리스트 신뢰를 생성하는 방법을 보여주는 예제를 따라가려면 자습서: AWS Managed Microsoft AD 디렉터리와 자체 관리형 Active Directory 도메인 간에 신뢰 관계를 생성합니다을 참조하세요.

Amazon Chime, Amazon Connect, Amazon , , Amazon , Amazon QuickSight, AWS IAM Identity Center Amazon WorkDocs, Amazon WorkMail WorkSpaces, 와 같은 AWS 엔터프라이즈 앱에는 양방향 신뢰가 필요합니다 AWS Management Console. AWS 관리형 Microsoft AD는 자체 관리형 Microsoft AD의 사용자 및 그룹을 쿼리할 수 있어야 합니다.Active Directory.

AWS 애플리케이션별 서비스 계정만 자체 관리형 를 쿼리할 수 있도록 선택적 인증을 활성화할 수 있습니다.Active Directory. 자세한 내용은 AWS Managed Microsoft AD와의 AWS 앱 통합 보안 강화를 참조하세요.

Amazon EC2, Amazon 및 RDSAmazonFSx은 단방향 또는 양방향 신뢰로 작동합니다.

사전 조건

몇 가지 단계만 거치면 신뢰 생성이 가능하지만, 신뢰 설정에 앞서 먼저 몇 가지 선행 단계를 완료해야 합니다.

참고

AWS Managed Microsoft AD는 단일 레이블 도메인 에 대한 신뢰를 지원하지 않습니다.

에 연결 VPC

자체 관리형 디렉터리와 신뢰 관계를 생성하는 경우 먼저 자체 관리형 네트워크를 AWS Managed Microsoft AD가 VPC 포함된 Amazon에 연결해야 합니다. 자체 관리형 및 AWS 관리형 Microsoft AD 네트워크의 방화벽에는 에 나열된 네트워크 포트가 열려 있어야 합니다. Windows 의 Server 2008 이상 버전 Microsoft .

Amazon WorkDocs 또는 Amazon과 같은 AWS 애플리케이션으로 인증하기 위해 전체 도메인 이름 대신 NetBIOS 이름을 사용하려면 포트 9389 QuickSight를 허용해야 합니다. Active Directory 포트 및 프로토콜에 대한 자세한 내용은 에 대한 서비스 개요 및 네트워크 포트 요구 사항을 참조하세요.Windows 의 Microsoft .

이들은 디렉터리 연결 능력이 필요한 최소 포트입니다. 특정 구성에서는 추가 포트를 개방해야 하는 경우도 있습니다.

구성 VPC

AWS Managed Microsoft ADVPC가 포함된 에는 적절한 아웃바운드 및 인바운드 규칙이 있어야 합니다.

VPC 아웃바운드 규칙을 구성하려면

  1. AWS Directory Service 콘솔 디렉터리 세부 정보 페이지에서 AWS Managed Microsoft AD 디렉터리 ID를 기록해 둡니다.

  2. 에서 Amazon VPC 콘솔을 엽니다https://console.aws.amazon.com/vpc/.

  3. [Security Groups]를 선택합니다.

  4. AWS Managed Microsoft AD 디렉터리 ID를 검색합니다. 검색 결과에서 “디렉토리 ID 디렉터리 컨트롤러에 대해AWS 생성된 보안 그룹”이라는 설명이 있는 항목을 선택합니다.

    참고

    선택된 보안 그룹은 처음 디렉터리를 생성할 때 자동으로 생성된 보안 그룹입니다.

  5. 해당 보안 그룹의 [Outbound Rules] 탭으로 이동합니다. [Edit]와 [Add another rule]을 차례로 선택합니다. 새 규칙에서 아래 값을 입력합니다.

    • [Type]: 모든 트래픽

    • [Protocol]: 모두

    • Destination(대상)은 도메인 컨트롤러에서 나가는 트래픽과 자체 관리형 네트워크상의 트래픽 대상을 결정합니다. CIDR 표기법으로 단일 IP 주소 또는 IP 주소 범위를 지정합니다(예: 203.0.113.5/32). 또한 동일 리전 내 다른 보안 그룹의 이름이나 ID를 지정할 수도 있습니다. 자세한 내용은 디렉터리의 AWS 보안 그룹 구성 및 사용 이해 단원을 참조하십시오.

  6. 저장을 선택합니다.

Kerberos 사전 인증 활성화

사용자 계정에서 Kerberos 사전 인증이 활성화되어 있어야 합니다. 이 설정에 대한 자세한 내용은 Microsoft 의 사전 인증을 참조하세요 TechNet.

자체 관리형 도메인에 DNS 조건부 전달자 구성

자체 관리형 도메인에 DNS 조건부 전달자를 설정해야 합니다. 조건부 전달자에 대한 자세한 내용은 Microsoft의 도메인 이름에 조건부 전달자 할당 TechNet 을 참조하세요.

다음 단계를 수행하려면 자체 관리형 도메인에서 아래 Windows Server 도구들에 액세스할 권한이 있어야 합니다.

  • AD DS 및 AD LDS 도구

  • DNS

자체 관리형 도메인에서 조건부 전달자를 구성하려면

  1. 먼저 AWS Managed Microsoft AD에 대한 몇 가지 정보를 얻어야 합니다. AWS Management Console 에 로그인한 다음 AWS Directory Service 콘솔을 엽니다.

  2. 탐색 창에서 [Directories]를 선택합니다.

  3. AWS Managed Microsoft AD의 디렉터리 ID를 선택합니다.

  4. 정규화된 도메인 이름(FQDN)과 디렉터리의 DNS 주소를 기록해 둡니다.

  5. 이제 자체 관리형 도메인 컨트롤러로 돌아갑니다. 서버 관리자를 엽니다.

  6. 도구 메뉴에서 를 선택합니다DNS.

  7. 콘솔 트리에서 신뢰를 설정할 도메인의 DNS 서버를 확장합니다.

  8. 콘솔 트리에서 [Conditional Forwarders]를 선택합니다.

  9. [Action] 메뉴에서 [New conditional forwarder]를 선택합니다.

  10. DNS 도메인 에 앞에서 기록한 AWS Managed Microsoft AD의 정규화된 도메인 이름(FQDN)을 입력합니다.

  11. 기본 서버의 IP 주소를 선택하고 앞에서 기록한 AWS Managed Microsoft AD 디렉터리의 DNS 주소를 입력합니다.

    DNS 주소를 입력한 후 “시간 초과” 또는 “해결할 수 없음” 오류가 발생할 수 있습니다. 보통 이러한 오류 메시지는 무시해도 좋습니다.

  12. 이 조건부 전달자를 Active Directory에 저장을 선택하고 다음과 같이 복제합니다. 이 도메인의 모든 DNS 서버 . 확인을 선택합니다.

신뢰 관계 암호

기존 도메인과의 신뢰 관계를 설정 중이라면 Windows Server Administration 도구를 사용해 해당 도메인에서 신뢰 관계를 설정합니다. 이때, 사용한 신뢰 암호를 적어둡니다. AWS Managed Microsoft AD에서 신뢰 관계를 설정할 때 동일한 암호를 사용해야 합니다. 자세한 내용은 Microsoft 에서 신뢰 관리를 참조하세요 TechNet.

이제 AWS Managed Microsoft AD에서 신뢰 관계를 생성할 준비가 되었습니다.

네트워크BIOS 및 도메인 이름

NetBIOS 및 도메인 이름은 고유해야 하며 신뢰 관계를 설정하기 위해 같을 수 없습니다.

신뢰 관계의 설정, 확인, 삭제

참고

신뢰 관계는 AWS Managed Microsoft AD의 글로벌 기능입니다. AWS Managed Microsoft AD에 대한 다중 리전 복제 구성를 사용하는 경우 기본 리전에서 다음 절차를 수행해야 합니다. 변경은 복제된 모든 리전에 자동으로 적용됩니다. 자세한 내용은 글로벌 기능과 리전별 기능 비교 단원을 참조하십시오.

AWS Managed Microsoft AD와 신뢰 관계를 생성하려면

  1. AWS Directory Service 콘솔을 엽니다.

  2. 디렉터리 페이지에서 AWS Managed Microsoft AD ID를 선택합니다.

  3. Directory details(디렉터리 세부 정보) 페이지에서 다음 중 하나를 수행합니다.

    • 다중 리전 복제에 여러 리전이 표시되는 경우 기본 리전을 선택한 다음 네트워킹 및 보안 탭을 선택합니다. 자세한 내용은 기본 리전과 추가 리전의 비교 단원을 참조하십시오.

    • 다중 리전 복제에 리전이 표시되지 않는 경우 네트워킹 및 보안 탭을 선택합니다.

  4. 신뢰 관계 섹션에서 작업을 선택한 후신뢰 관계 추가를 선택합니다.

  5. 신뢰 관계 추가 페이지에서 신뢰 유형, 신뢰할 수 있는 도메인의 정규화된 도메인 이름(FQDN), 신뢰 암호 및 신뢰 방향 등 필요한 정보를 제공합니다.

  6. (선택 사항) 권한이 있는 사용자만 AWS Managed Microsoft AD 디렉터리의 리소스에 액세스하도록 허용하려면 선택적으로 선택적 인증 확인란을 선택할 수 있습니다. 선택적 인증에 대한 일반 정보는 Microsoft 의 신뢰에 대한 보안 고려 사항을 참조하세요 TechNet.

  7. 조건부 전달자 에 자체 관리형 DNS 서버의 IP 주소를 입력합니다. 이전에 조건부 전달자를 생성한 경우 DNS IP 주소 대신 자체 관리형 도메인FQDN의 를 입력할 수 있습니다.

  8. (선택 사항) 다른 IP 주소 추가를 선택하고 추가 자체 관리형 DNS 서버의 IP 주소를 입력합니다. 해당하는 각 DNS 서버 주소에 대해 이 단계를 반복하여 총 4개의 주소를 지정할 수 있습니다.

  9. 추가를 선택합니다.

  10. 자체 관리형 도메인의 DNS 서버 또는 네트워크가 퍼블릭(1918이RFC 아닌) IP 주소 공간을 사용하는 경우 IP 라우팅 섹션으로 이동하여 작업 을 선택한 다음 경로 추가 를 선택합니다. 203.0.113.0/24와 같은 CIDR 형식을 사용하여 DNS 서버 또는 자체 관리형 네트워크의 IP 주소 블록을 입력합니다. DNS 서버와 자체 관리형 네트워크가 모두 RFC 1918 IP 주소 공간을 사용하는 경우에는 이 단계가 필요하지 않습니다.

    참고

    퍼블릭 IP 주소 공간을 사용하는 경우에는 AWS IP 주소 범위를 사용할 수 없으므로 절대로 사용해서는 안 됩니다.

  11. (선택 사항) 경로 추가 페이지에 있는 동안 이 디렉터리의 에 대해 보안 그룹에 경로 추가VPC를 선택하는 것이 좋습니다. 이렇게 하면 위의 '구성'에 자세히 설명된 대로 보안 그룹이 구성됩니다VPC. 이러한 보안 규칙은 공개되지 않은 내부 네트워크 인터페이스에 영향을 미칩니다. 이 옵션을 사용할 수 없는 경우에는 대신에 보안 그룹을 이미 사용자 지정했음을 알리는 메시지가 표시될 것입니다.

두 도메인 모두에서 신뢰 관계를 설정해야 합니다. 이 관계는 상호 보완적이어야 합니다. 예를 들어 한 도메인에서 아웃바운드 신뢰를 설정했다면 다른 도메인에는 인바운드 신뢰를 설정해야 합니다.

기존 도메인과의 신뢰 관계를 설정 중이라면 Windows Server Administration 도구를 사용해 해당 도메인에서 신뢰 관계를 설정합니다.

AWS Managed Microsoft AD와 다양한 Active Directory 도메인 간에 여러 신뢰를 생성할 수 있습니다. 그러나 한번에 쌍당 오직 한 개의 신뢰 관계만 존재할 수 있습니다. 예를 들어 이미 "인바운드 방향"의 단방향 신뢰가 있지만 "아웃바운드 방향"의 또 다른 신뢰 관계를 설정하고 싶은 경우에는 기존의 신뢰 관계를 삭제하고 "양방향" 신뢰를 새로 설정해야 합니다.

아웃바운드 신뢰 관계를 확인하는 방법

  1. AWS Directory Service 콘솔을 엽니다.

  2. 디렉터리 페이지에서 AWS Managed Microsoft AD ID를 선택합니다.

  3. Directory details(디렉터리 세부 정보) 페이지에서 다음 중 하나를 수행합니다.

    • 다중 리전 복제에 여러 리전이 표시되는 경우 기본 리전을 선택한 다음 네트워킹 및 보안 탭을 선택합니다. 자세한 내용은 기본 리전과 추가 리전의 비교 단원을 참조하십시오.

    • 다중 리전 복제에 리전이 표시되지 않는 경우 네트워킹 및 보안 탭을 선택합니다.

  4. 신뢰 관계 섹션에서 확인하려는 신뢰 관계를 선택하고 작업을 선택한 후신뢰 관계 확인을 선택합니다.

이 프로세스는 양방향 신뢰의 발신 방향만 확인합니다. AWS 는 수신 신뢰 확인을 지원하지 않습니다. 자체 관리형 Active Directory를 통해 또는 자체 관리형 Active Directory에서 신뢰를 확인하는 방법에 대한 자세한 내용은 Microsoft에서 신뢰 확인을 참조하세요 TechNet.

기존 신뢰 관계를 삭제하는 방법

  1. AWS Directory Service 콘솔을 엽니다.

  2. 디렉터리 페이지에서 AWS Managed Microsoft AD ID를 선택합니다.

  3. Directory details(디렉터리 세부 정보) 페이지에서 다음 중 하나를 수행합니다.

    • 다중 리전 복제에 여러 리전이 표시되는 경우 기본 리전을 선택한 다음 네트워킹 및 보안 탭을 선택합니다. 자세한 내용은 기본 리전과 추가 리전의 비교 단원을 참조하십시오.

    • 다중 리전 복제에 리전이 표시되지 않는 경우 네트워킹 및 보안 탭을 선택합니다.

  4. 신뢰 관계 섹션에서 삭제하려는 신뢰 관계를 선택하고 작업을 선택한 후신뢰 관계 삭제를 선택합니다.

  5. Delete(삭제)를 선택합니다.