1단계: 자체 관리형 AD 도메인 준비 - AWS Directory Service
자체 관리형 방화벽 구성Kerberos 사전 인증이 활성화되었는지 확인자체 관리형 도메인을 위한 DNS 조건부 전달자 구성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

1단계: 자체 관리형 AD 도메인 준비

먼저 자체 관리형(온프레미스) 도메인에서 몇 가지 사전 조건 단계를 완료해야 합니다.

자체 관리형 방화벽 구성

아래 포트들이 AWS Managed Microsoft AD를 포함하는 VPC가 사용하는 모든 서브넷에서 CIDR에 개방되도록 자체 관리형 방화벽을 구성해야 합니다. 이 자습서에서는 다음 포트의 10.0.0.0/16(AWS Managed Microsoft AD의 VPC의 CIDR 블록)에서 트래픽이 들어오고 나갈 수 있도록 허용하고 있습니다.

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 인증

  • TCP/UDP 389 - Lightweight Directory Access Protocol (LDAP)

  • TCP 445 - Server Message Block (SMB)

  • TCP 9389 - Active Directory Web Services(ADWS)(선택 사항 - Amazon WorkDocs 또는 Amazon QuickSight와 같은 AWS 애플리케이션에서 인증을 위해 전체 도메인 이름 대신 NetBIOS 이름을 사용하려면 이 포트를 열어야 합니다.)

참고

더 이상 SMBv1이 지원되지 않습니다.

이들은 자체 관리형 디렉터리에 VPC를 연결하기 위해 필요한 최소 포트입니다. 특정 구성에서는 추가 포트를 개방해야 하는 경우도 있습니다.

Kerberos 사전 인증이 활성화되었는지 확인

두 디렉터리 모두의 사용자 계정이 Kerberos 사전 인증을 활성화해야 합니다. 이것이 기본 설정이지만, 변경되지 않았는지 확인하기 위해 임의 사용자의 속성을 확인합니다.

사용자의 Kerberos 설정을 보는 방법

  1. 자체 관리형 도메인 컨트롤러에서 서버 관리자를 엽니다.

  2. [Tools] 메뉴에서 [Active Directory Users and Computers]를 선택합니다.

  3. 사용자 폴더를 선택해 컨텍스트 메뉴를 엽니다(마우스 오른쪽 버튼 클릭). 오른쪽 창에 나열된 임의의 사용자 계정을 선택합니다. 속성을 선택합니다.

  4. [Account] 탭을 선택합니다. [Account options] 목록을 아래로 스크롤해서 [Do not require Kerberos preauthentication]가 선택되지 않았는지 확인합니다.

    계정 옵션이 있는 Corp 사용자 속성 대화 상자에는 Kerberos 사전 인증이 강조 표시되지 않아도 됩니다.

자체 관리형 도메인을 위한 DNS 조건부 전달자 구성

각 도메인에서 DNS 조건부 전달자를 설정해야 합니다. 자체 관리형 도메인에서 이를 수행하기 전에 먼저 AWS Managed Microsoft AD에 관한 몇 가지 정보를 확보합니다.

자체 관리형 도메인에서 조건부 전달자를 구성하려면

  1. AWS Management Console에 로그인한 다음 AWS Directory Service 콘솔을 엽니다.

  2. 탐색 창에서 [Directories]를 선택합니다.

  3. AWS Managed Microsoft AD의 디렉터리 ID를 선택합니다.

  4. 세부 정보 페이지에 표시된 디렉터리 이름의 값과 디렉터리의 DNS 주소를 적어둡니다.

  5. 이제 자체 관리형 도메인 컨트롤러로 돌아갑니다. 서버 관리자를 엽니다.

  6. [Tools] 메뉴에서 [DNS]를 선택합니다.

  7. 콘솔 트리에서 신뢰를 설정 중인 도메인의 DNS 서버를 확장합니다. 서버는 WIN-5V70CN7VJ0.corp.example.com입니다.

  8. 콘솔 트리에서 [Conditional Forwarders]를 선택합니다.

  9. [Action] 메뉴에서 [New conditional forwarder]를 선택합니다.

  10. DNS domain(DNS 도메인)에 앞서 기록한 AWS Managed Microsoft AD의 정규화된 도메인 이름(FQDN)을 입력합니다. 이 예제에서 FQDN은 MyManagedAD.example.com입니다.

  11. 프라이머리 서버의 IP 주소를 선택하고 앞서 기록한 AWS 디렉터리의 DNS 주소를 입력합니다. 이 예제에서 DNS 주소는 10.0.10.246, 10.0.20.121입니다.

    DNS 주소를 입력하고 나면 "timeout" 또는 "unable to resolve"라는 오류 메시지가 나타날 수 있습니다. 보통 이러한 오류 메시지는 무시해도 좋습니다.

    DNS 서버의 IP 주소가 강조 표시된 새 조건부 전달자 대화 상자입니다.

  12. [Store this conditional forwarder in Active Directory, and replicate it as follows]를 선택합니다.

  13. [All DNS servers in this domain]을 선택하고 [OK]를 선택합니다.

다음 단계

2단계: AWS Managed Microsoft AD 준비