AWS 관리형 Microsoft AD와 자체 관리형 AD 간의 신뢰 관계 생성 - AWS Directory Service
사전 조건신뢰 관계 설정

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 관리형 Microsoft AD와 자체 관리형 AD 간의 신뢰 관계 생성

Microsoft Active Directory용 AWS 디렉터리 서비스와 자체 관리형 (온프레미스) 디렉터리 간뿐만 아니라 AWS 클라우드의 여러 AWS Managed Microsoft AD 디렉터리 간에도 단방향 및 양방향 외부 및 포리스트 신뢰 관계를 구성할 수 있습니다. AWS Managed Microsoft AD는 수신, 발신, 양방향(Bi-directional)의 세 가지 신뢰 관계 방향을 모두 지원합니다.

신뢰 관계에 대한 자세한 내용은 AWS 관리형 Microsoft AD를 통한 신뢰에 대해 알고 싶었던 모든 것을 참조하세요.

참고

신뢰 관계를 설정할 때는 온프레미스 디렉터리가 존재하며 AWS Directory Service와 호환 가능하고 계속 호환 가능한 상태를 유지하는지 확인해야 합니다. 책임 사항에 대한 자세한 내용은 공동 책임 모델을 참조하세요.

AWS Managed Microsoft AD는 외부 및 포리스트 신뢰를 모두 지원합니다. 포리스트 신뢰를 생성하는 방법을 보여주는 예제를 따라가려면 자습서: AWS Managed Microsoft AD 디렉터리와 자체 관리형 Active Directory 도메인 간에 신뢰 관계를 생성합니다을 참조하세요.

Amazon Chime, Amazon Connect, Amazon QuickSight, AWS IAM Identity Center, Amazon WorkDocs, Amazon WorkMail, Amazon WorkSpaces, AWS Management Console 등의 AWS Enterprise App에는 양방향 신뢰가 필요합니다. AWS Managed Microsoft Active Directory에서는 자체 관리형 AD에서 사용자 및 그룹을 쿼리할 수 있어야 합니다.

AWS 애플리케이션별 서비스 계정만 자체 관리형 Active Directory를 쿼리할 수 있도록 선택적 인증을 활성화할 수 있습니다. 자세한 내용은 AWS 관리형 Microsoft AD와의 AWS 앱 통합 보안 강화를 참조하세요.

Amazon EC2, Amazon RDS, Amazon FSx는 단방향 또는 양방향 신뢰를 사용할 수 있습니다.

사전 조건

몇 가지 단계만 거치면 신뢰 생성이 가능하지만, 신뢰 설정에 앞서 먼저 몇 가지 선행 단계를 완료해야 합니다.

참고

AWS Managed Microsoft AD는 단일 레이블 도메인과의 신뢰를 지원하지 않습니다.

VPC 연결

자체 관리형 디렉터리와 신뢰 관계를 생성하려면 먼저 자체 관리형 네트워크를 AWS Managed Microsoft AD가 포함된 Amazon VPC에 연결해야 합니다. 자체 관리형 및 AWS 관리형 Microsoft AD 네트워크의 방화벽에는 Microsoft 설명서의 Windows Server 2008 이상 버전에 나열된 네트워크 포트가 열려 있어야 합니다.

Amazon WorkDocs 또는 Amazon QuickSight와 같은 AWS 애플리케이션으로 인증하기 위해 전체 도메인 이름 대신 NetBIOS 이름을 사용하려면 포트 9389를 허용해야 합니다. Active Directory 포트 및 프로토콜에 대한 자세한 내용은 Microsoft 설명서의 Windows용 서비스 개요 및 네트워크 포트 요구 사항을 참조하세요.

이들은 디렉터리 연결 능력이 필요한 최소 포트입니다. 특정 구성에서는 추가 포트를 개방해야 하는 경우도 있습니다.

VPC 구성

AWS Managed Microsoft AD를 포함하는 VPC에는 적절한 아웃바운드 및 인바운드 규칙이 있어야 합니다.

VPC 아웃바운드 규칙을 구성하는 방법

  1. AWS Directory Service 콘솔디렉터리 세부 정보 페이지에서 AWS Managed Microsoft AD 디렉터리 ID를 기록합니다.

  2. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  3. [Security Groups]를 선택합니다.

  4. AWS Managed Microsoft AD 디렉터리 ID를 검색합니다. 검색 결과에서 "AWS created security group for directory ID directory controllers"라는 설명이 붙은 항목을 선택합니다.

    참고

    선택된 보안 그룹은 처음 디렉터리를 생성할 때 자동으로 생성된 보안 그룹입니다.

  5. 해당 보안 그룹의 [Outbound Rules] 탭으로 이동합니다. [Edit]와 [Add another rule]을 차례로 선택합니다. 새 규칙에서 아래 값을 입력합니다.

    • [Type]: 모든 트래픽

    • [Protocol]: 모두

    • Destination(대상)은 도메인 컨트롤러에서 나가는 트래픽과 자체 관리형 네트워크상의 트래픽 대상을 결정합니다. 단일 IP 주소 또는 CIDR 표기법으로 된 IP 주소 범위(예: 203.0.113.5/32)를 지정합니다. 또한 동일 리전 내 다른 보안 그룹의 이름이나 ID를 지정할 수도 있습니다. 자세한 내용은 디렉터리의 AWS 보안 그룹 구성 및 사용을 이해 단원을 참조하십시오.

  6. 저장을 선택합니다.

Kerberos 사전 인증 활성화

사용자 계정에서 Kerberos 사전 인증이 활성화되어 있어야 합니다. 이 설정에 대한 자세한 내용은 Microsoft TechNet의 사전 인증을 참조하세요.

자체 관리형 도메인에서의 DNS 조건부 전달자 구성

자체 관리형 도메인에서 DNS 조건부 전달자를 설정해야 합니다. 조건부 전달자에 대한 자세한 내용은 Microsoft TechNet의 도메인 이름에 조건부 전달자 할당을 참조하세요.

다음 단계를 수행하려면 자체 관리형 도메인에서 아래 Windows Server 도구들에 액세스할 권한이 있어야 합니다.

  • AD DS 및 AD LDS 도구

  • DNS

자체 관리형 도메인에서 조건부 전달자를 구성하려면

  1. 먼저 AWS Managed Microsoft AD에 관한 몇 가지 정보를 확보해야 합니다. AWS Management Console에 로그인한 다음 AWS Directory Service 콘솔을 엽니다.

  2. 탐색 창에서 [Directories]를 선택합니다.

  3. AWS Managed Microsoft AD의 디렉터리 ID를 선택합니다.

  4. 디렉터리의 FQDN(Fully Qualified Domain Name)과 DNS 주소를 기록해 둡니다.

  5. 이제 자체 관리형 도메인 컨트롤러로 돌아갑니다. 서버 관리자를 엽니다.

  6. [Tools] 메뉴에서 [DNS]를 선택합니다.

  7. 콘솔 트리에서 신뢰를 설정 중인 도메인의 DNS 서버를 확장합니다.

  8. 콘솔 트리에서 [Conditional Forwarders]를 선택합니다.

  9. [Action] 메뉴에서 [New conditional forwarder]를 선택합니다.

  10. DNS domain(DNS 도메인)에 앞서 기록한 AWS Managed Microsoft AD의 정규화된 도메인 이름(FQDN)을 입력합니다.

  11. 프라이머리 서버의 IP 주소를 선택하고 앞서 기록한 AWS 디렉터리의 DNS 주소를 입력합니다.

    DNS 주소를 입력하고 나면 "timeout" 또는 "unable to resolve"라는 오류 메시지가 나타날 수 있습니다. 보통 이러한 오류 메시지는 무시해도 좋습니다.

  12. [Store this conditional forwarder in Active Directory and replicate as follows: All DNS servers in this domain]을 선택합니다. 확인을 선택합니다.

신뢰 관계 암호

기존 도메인과의 신뢰 관계를 설정 중이라면 Windows Server Administration 도구를 사용해 해당 도메인에서 신뢰 관계를 설정합니다. 이때, 사용한 신뢰 암호를 적어둡니다. AWS Managed Microsoft AD에서 신뢰 관계를 설정할 때 이와 동일한 암호를 사용해야 합니다. 자세한 내용은 Microsoft TechNet의 신뢰 관리를 참조하세요.

이제, AWS Managed Microsoft AD에서 신뢰 관계를 설정할 준비가 되었습니다.

NetBIOS 및 도메인 이름

NetBIOS와 도메인 이름은 고유해야 하며 신뢰 관계를 설정하기 위해 동일할 수 없습니다.

신뢰 관계의 설정, 확인, 삭제

참고

신뢰 관계는 AWS Managed Microsoft AD의 글로벌 기능입니다. AWS 관리형 Microsoft AD에 대한 다중 리전 복제 구성를 사용하는 경우 기본 리전에서 다음 절차를 수행해야 합니다. 변경은 복제된 모든 리전에 자동으로 적용됩니다. 자세한 내용은 글로벌 기능과 리전별 기능 비교 단원을 참조하십시오.

AWS Managed Microsoft AD와 신뢰 관계를 설정하려면

  1. AWS Directory Service 콘솔을 엽니다.

  2. 디렉터리 페이지에서 AWS Managed Microsoft AD ID를 선택합니다.

  3. Directory details(디렉터리 세부 정보) 페이지에서 다음 중 하나를 수행합니다.

    • 다중 리전 복제에 여러 리전이 표시되는 경우 기본 리전을 선택한 다음 네트워킹 및 보안 탭을 선택합니다. 자세한 내용은 기본 리전과 추가 리전의 비교 단원을 참조하십시오.

    • 다중 리전 복제에 리전이 표시되지 않는 경우 네트워킹 및 보안 탭을 선택합니다.

  4. 신뢰 관계 섹션에서 작업을 선택한 후신뢰 관계 추가를 선택합니다.

  5. 신뢰 관계 추가 페이지에서 신뢰 유형, 신뢰 관계가 설정된 도메인의 FQDN(정규화된 도메인 이름), 신뢰 암호 및 신뢰 방향을 포함한 필수 정보를 제공합니다.

  6. (선택 사항) 승인된 사용자만 AWS Managed Microsoft AD 디렉터리 리소스에 액세스 할 수 있도록 허용하려면 Selective authentication(선택적 인증) 확인란을 선택할 수 있습니다. Selective authentication(선택적 인증)에 대한 일반 정보는 Microsoft TechNet의 신뢰 관계에서 보안 고려 사항을 참조하세요.

  7. Conditional forwarder(조건부 전달자)의 경우 자체 관리형 DNS 서버의 IP 주소를 입력합니다. 이미 조건부 전달자를 생성한 경우에는 DNS IP 주소 대신 자체 관리형 도메인의 FQDN을 입력할 수 있습니다.

  8. (선택 사항) Add another IP address(다른 IP 주소 추가)를 선택하고 추가적인 자체 관리형 DNS 서버의 IP 주소를 입력합니다. 해당되는 각 DNS 서버 주소(총 4개의 주소)에 대해 이 단계를 반복할 수 있습니다.

  9. 추가를 선택합니다.

  10. 자체 관리형 도메인에 대한 DNS 서버 또는 네트워크가 퍼블릭(RFC를 제외한 1918) IP 주소 공간을 사용하는 경우에는 IP 라우팅 섹션으로 이동하여 작업을 선택한 후 라우팅 추가를 선택합니다. CIDR 형식을 이용해 DNS 서버 또는 자체 관리형 네트워크의 IP 주소 블록을 입력합니다(예: 203.0.113.0/24). DNS 서버와 자체 관리형 네트워크가 모두 RFC 1918 IP 주소 공간을 사용하는 경우에는 이 단계가 필요하지 않습니다.

    참고

    퍼블릭 IP 주소 공간을 사용하는 경우에는 AWS IP 주소 범위를 사용할 수 없으므로 절대로 사용해서는 안 됩니다.

  11. (선택 사항) 라우팅 추가 페이지에서 Add routes to the security group for this directory's VPC(이 디렉터리의 VPC에 대해 보안 그룹에 라우팅 추가)도 선택할 것을 권장합니다. 이렇게 하면 "Configure your VPC"에서 위에 설명한 보안 그룹이 구성됩니다. 이러한 보안 규칙은 공개되지 않은 내부 네트워크 인터페이스에 영향을 미칩니다. 이 옵션을 사용할 수 없는 경우에는 대신에 보안 그룹을 이미 사용자 지정했음을 알리는 메시지가 표시될 것입니다.

두 도메인 모두에서 신뢰 관계를 설정해야 합니다. 이 관계는 상호 보완적이어야 합니다. 예를 들어 한 도메인에서 아웃바운드 신뢰를 설정했다면 다른 도메인에는 인바운드 신뢰를 설정해야 합니다.

기존 도메인과의 신뢰 관계를 설정 중이라면 Windows Server Administration 도구를 사용해 해당 도메인에서 신뢰 관계를 설정합니다.

AWS Managed Microsoft AD와 다양한 Active Directory 도메인 간에 여러 신뢰 관계를 설정할 수 있습니다. 그러나 한번에 쌍당 오직 한 개의 신뢰 관계만 존재할 수 있습니다. 예를 들어 이미 "인바운드 방향"의 단방향 신뢰가 있지만 "아웃바운드 방향"의 또 다른 신뢰 관계를 설정하고 싶은 경우에는 기존의 신뢰 관계를 삭제하고 "양방향" 신뢰를 새로 설정해야 합니다.

아웃바운드 신뢰 관계를 확인하는 방법

  1. AWS Directory Service 콘솔을 엽니다.

  2. 디렉터리 페이지에서 AWS Managed Microsoft AD ID를 선택합니다.

  3. Directory details(디렉터리 세부 정보) 페이지에서 다음 중 하나를 수행합니다.

    • 다중 리전 복제에 여러 리전이 표시되는 경우 기본 리전을 선택한 다음 네트워킹 및 보안 탭을 선택합니다. 자세한 내용은 기본 리전과 추가 리전의 비교 단원을 참조하십시오.

    • 다중 리전 복제에 리전이 표시되지 않는 경우 네트워킹 및 보안 탭을 선택합니다.

  4. 신뢰 관계 섹션에서 확인하려는 신뢰 관계를 선택하고 작업을 선택한 후신뢰 관계 확인을 선택합니다.

이 프로세스는 양방향 신뢰의 발신 방향만 확인합니다. AWS에서는 들어오는 신뢰의 검증은 지원하지 않습니다. 자체 관리형 Active Directory와의 상호 신뢰 관계를 확인하는 방법에 대한 자세한 내용은 Microsoft TechNet의 Verify a Trust(신뢰 확인)을 참조하세요.

기존 신뢰 관계를 삭제하는 방법

  1. AWS Directory Service 콘솔을 엽니다.

  2. 디렉터리 페이지에서 AWS Managed Microsoft AD ID를 선택합니다.

  3. Directory details(디렉터리 세부 정보) 페이지에서 다음 중 하나를 수행합니다.

    • 다중 리전 복제에 여러 리전이 표시되는 경우 기본 리전을 선택한 다음 네트워킹 및 보안 탭을 선택합니다. 자세한 내용은 기본 리전과 추가 리전의 비교 단원을 참조하십시오.

    • 다중 리전 복제에 리전이 표시되지 않는 경우 네트워킹 및 보안 탭을 선택합니다.

  4. 신뢰 관계 섹션에서 삭제하려는 신뢰 관계를 선택하고 작업을 선택한 후신뢰 관계 삭제를 선택합니다.

  5. Delete(삭제)를 선택합니다.