SVM을 자체 관리형 Microsoft AD에 조인하기 위한 사전 조건 - FSx for ONTAP
자체 관리형 액티브 디렉터리 요구 사항네트워크 구성 요구 사항Active Directory 서비스 계정 요구 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

SVM을 자체 관리형 Microsoft AD에 조인하기 위한 사전 조건

FSx for ONTAP SVM을 자체 관리형 Microsoft AD 도메인에 조인하기 전에 Active Directory 및 네트워크가 다음 섹션에 설명된 요구 사항을 충족하는지 확인합니다.

온프레미스 Active Directory 요구 사항

SVM에 조인할 수 있는 온프레미스 또는 기타 자체 관리형 Microsoft AD가 이미 있어야 합니다. 이 Active Directory에는 다음과 같은 구성이 있어야 합니다.

  • 액티브 디렉터리 도메인 컨트롤러 도메인 기능 수준은 Windows Server 2000 이상입니다.

  • Active Directory는 단일 레이블 도메인 (SLD) 형식이 아닌 도메인 이름을 사용합니다. Amazon FSx는 현재 SLD 도메인을 지원하지 않습니다.

  • Active Directory 사이트를 정의한 경우 ONTAP용 FSx 파일 시스템에 연결된 VPC의 서브넷이 동일한 Active Directory 사이트에 정의되어 있고 VPC 서브넷과 Active Directory 사이트의 서브넷 간에 충돌이 없는지 확인하십시오.

참고

를 사용하는 AWS Directory Service 경우 ONTAP용 FSx는 SVM을 단순 Active Directory에 가입하는 것을 지원하지 않습니다.

네트워크 구성 요구 사항

다음 네트워크 구성이 준비되었고 관련 정보를 사용할 수 있는지 확인합니다.

중요

SVM이 Active Directory에 조인하려면 이 주제에 설명된 포트가 모든 Active Directory 도메인 컨트롤러와 SVM의 iSCSI IP 주소(iscsi_1 및 iscsi_2 논리 인터페이스(LIF)) 간의 트래픽을 허용하는지 확인해야 합니다.

  • DNS 서버 및 액티브 디렉터리 도메인 컨트롤러 IP 주소

  • AWS Direct Connect, AWS VPN 또는 AWS Transit Gateway를 사용하는, 파일 시스템이 생성될 Amazon VPC와 자체 관리형 Active Directory 간의 연결.

  • 파일 시스템이 생성될 서브넷의 보안 그룹 및 VPC 네트워크 ACL이 다음 다이어그램에 표시된 방향으로 포트를 통한 트래픽을 허용해야 합니다.

    VPC 보안 그룹에 대한 FSx for ONTAP 포트 구성 요구 사항과, FSx for ONTAP 파일 시스템이 생성될 서브넷의 네트워크 ACL을 보여주는 다이어그램.

    다음 표에서는 각 포트의 역할을 설명합니다.

    프로토콜

    포트

    역할

    TCP/UDP

    53

    도메인 이름 시스템(DNS)

    TCP/UDP

    88

    Kerberos 인증

    TCP/UDP

    389

    Lightweight Directory Access Protocol(LDAP)

    TCP

    445

    디렉터리 서비스 SMB 파일 공유

    TCP/UDP

    464

    암호 변경/설정

    TCP

    636

    Lightweight Directory Access Protocol over TLS/SSL(LDAPS)

  • 이러한 트래픽 규칙은 각 Active Directory 도메인 컨트롤러, DNS 서버, FSx 클라이언트 및 FSx 관리자에게 적용되는 방화벽에도 미러링되어야 합니다.

    중요

    Amazon VPC 보안 그룹에서는 네트워크 트래픽이 시작되는 방향으로만 포트를 열어야 하지만, 대부분의 Windows 방화벽과 VPC 네트워크 ACL에서는 포트가 양방향으로 열려 있어야 합니다.

Active Directory 서비스 계정 요구 사항

자체 관리형 Microsoft AD에는 컴퓨터를 도메인에 조인할 수 있는 권한이 위임된 서비스 계정이 있어야 합니다. 서비스 계정은 자체 관리형 Active Directory에서 특정 작업을 위임받은 사용자 계정입니다.

최소한 SVM에 조인하려는 OU에서 서비스 계정에 다음 권한을 위임해야 합니다.

  • 암호 재설정 기능

  • 계정의 데이터 읽기 및 쓰기 제한 기능

  • 컴퓨터 개체에 msDS-SupportedEncryptionTypes 속성을 설정할 수 있습니다.

  • 검증된 DNS 호스트 이름 쓰기 기능

  • 검증된 서비스 보안 주체 이름 쓰기 기능

  • 컴퓨터 객체를 생성하고 삭제할 수 있는 기능

  • 계정 제한 사항을 읽고 쓸 수 있는 검증된 기능

이는 컴퓨터 객체를 Active Directory에 조인하는 데 필요한 최소 권한 집합을 나타냅니다. 자세한 내용은 Windows Server 설명서의 오류: 제어를 위임받은 관리자가 아닌 사용자가 컴퓨터를 도메인 컨트롤러에 조인하려고 하면 액세스가 거부됨 항목을 참조하세요.

올바른 권한으로 서비스 계정을 생성하는 방법에 대해 자세히 알아보려면 Amazon FSx 서비스 계정에 권한 위임 섹션을 참조하세요.

중요

Amazon FSx를 사용하려면 Amazon FSx 파일 시스템의 수명 주기 동안 유효한 서비스 계정이 필요합니다. Amazon FSx는 파일 시스템을 완벽하게 관리하고 리소스를 Active Directory 도메인에 연결 해제했다가 다시 조인하는 데 필요한 작업을 수행할 수 있어야 합니다. 이러한 작업에는 장애가 발생한 파일 시스템 또는 SVM 교체 또는 ONTAP 소프트웨어 패치 작업이 포함됩니다. NetApp Amazon FSx를 사용하여 서비스 계정 자격 증명을 포함하여 Active Directory 구성 정보를 최신 상태로 유지하십시오. 자세한 내용은 Amazon FSx를 사용하여 Active Directory 구성을 최신 상태로 유지을 참조하세요.

ONTAP용 FSx를 처음 사용하는 AWS 경우 Active Directory 통합을 시작하기 전에 초기 설정 단계를 완료해야 합니다. 자세한 설명은 FSx for ONTAP 설정 섹션을 참조하세요.

중요

SVM이 생성된 후 Amazon FSx가 OU에 생성한 컴퓨터 객체를 이동하거나 SVM이 연결된 상태에서 Active Directory를 삭제하지 마십시오. 그러면 SVM이 잘못 구성될 수 있습니다.