기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon FSx 파일 시스템을 자체 관리형 Microsoft Active Directory 도메인에 연결
Windows 파일 FSx 서버용 파일 시스템을 새로 만들 때 자체 관리되는 Microsoft Active Directory 도메인에 연결되도록 Microsoft Active Directory 통합을 구성할 수 있습니다. 이렇게 하려면 Microsoft Active Directory에 대한 다음 정보를 제공합니다.
-
온-프레미스 Microsoft Active Directory 디렉터리의 정규화된 도메인 이름 (FQDN)
참고
Amazon은 FSx 현재 단일 레이블 도메인 (SLD) 도메인을 지원하지 않습니다.
-
도메인 DNS 서버의 IP 주소.
-
온프레미스 Microsoft Active Directory 도메인의 서비스 계정에 대한 자격 증명. FSxAmazon은 이러한 자격 증명을 사용하여 자체 관리형 Active Directory에 가입합니다.
선택적으로 다음을 지정할 수도 있습니다.
-
Amazon FSx 파일 시스템이 가입하려는 도메인 내의 특정 조직 단위 (OU).
-
Amazon FSx 파일 시스템에 대한 관리 권한이 부여된 구성원이 속한 도메인 그룹의 이름.
참고
제공하는 도메인 그룹 이름은 Active Directory에서 고유해야 합니다. FSxWindows의 경우 다음과 같은 상황에서는 파일 서버가 도메인 그룹을 만들지 않습니다.
지정한 이름을 가진 그룹이 이미 있는 경우
이름을 지정하지 않고 Active Directory에 “도메인 관리자”라는 이름의 그룹이 이미 존재하는 경우
이 정보를 지정하면 Amazon은 FSx 사용자가 제공한 서비스 계정을 사용하여 새 파일 시스템을 자체 관리형 Active Directory 도메인에 연결합니다.
중요
Amazon은 가입하려는 Active Directory 도메인이 DNS Microsoft를 기본값으로 DNS 사용하는 FSx 경우에만 파일 시스템에 대한 DNS 레코드를 등록합니다. DNS타사를 사용하는 경우 파일 시스템을 생성한 후 Amazon FSx 파일 시스템에 대한 DNS 항목을 수동으로 설정해야 합니다. 파일 시스템에 사용할 올바른 IP 주소를 선택하는 방법에 대한 자세한 내용은 수동 DNS 입력에 사용할 올바른 파일 시스템 IP 주소 가져오기 섹션을 참조하세요.
시작하기 전 준비 사항
자체 관리형 Microsoft 액티브 디렉터리 사용에서 설명한 사전 조건을 완료했는지 확인합니다.
-
에서 Amazon FSx 콘솔을 엽니다 https://console.aws.amazon.com/fsx/
. -
대시보드에서 파일 시스템 생성을 선택하여 파일 시스템 생성 마법사를 시작합니다.
Windows 파일 서버를 선택한 후 다음을 선택합니다. FSx 파일 시스템 생성 페이지가 표시됩니다.
-
파일 시스템의 이름을 제공합니다. 최대 256개의 유니코드 문자, 공백 및 숫자와 특수 문자 + - = . _ : /를 사용할 수 있습니다.
-
스토리지 용량에는 파일 시스템의 스토리지 용량을 GiB 단위로 입력합니다. SSD스토리지를 사용하는 경우 32—65,536 범위의 정수를 입력하십시오. HDD스토리지를 사용하는 경우 2,000~65,536 범위 내의 정수를 입력하십시오. 파일 시스템을 생성한 후 언제든지 필요에 따라 스토리지 용량을 늘릴 수 있습니다. 자세한 내용은 스토리지 용량 관리 섹션을 참조하세요.
-
처리량 용량을 기본 설정으로 유지합니다. 처리량 용량은 파일 시스템을 호스팅하는 파일 서버가 데이터를 제공할 수 있는 지속 속도입니다. 권장 처리량 용량 설정은 선택한 스토리지 용량을 기반으로 합니다. 권장 처리량 용량보다 많은 용량이 필요한 경우 처리량 용량 지정을 선택한 다음 값을 선택합니다. 자세한 내용은 FSx윈도우 파일 서버 성능용 단원을 참조하십시오.
파일 시스템을 생성하고 나서 언제든지 필요에 따라 처리량 용량을 수정할 수 있습니다. 자세한 내용은 Windows 파일 서버 파일 시스템의 처리 용량 관리 FSx 단원을 참조하십시오.
-
파일 시스템에 VPC 연결할 항목을 선택합니다. 이 시작하기 연습에서는 AWS Directory Service 디렉터리 및 Amazon EC2 인스턴스와 VPC 동일한 항목을 선택하십시오.
-
가용 영역 및 서브넷에서 원하는 값을 선택합니다.
-
VPC보안 그룹의 경우 기본 VPC Amazon의 기본 보안 그룹이 콘솔의 파일 시스템에 이미 추가되었습니다. FSx파일 시스템을 생성하는 서브넷의 보안 그룹과 VPC ACLs 네트워크가 다음 다이어그램에 표시된 지침과 포트를 통한 트래픽을 허용하는지 확인하십시오.
다음 테이블에는 각 포트의 역할이 나와 있습니다.
프로토콜
포트
역할
TCP/UDP
53
도메인 네임 시스템 () DNS
TCP/UDP
88
Kerberos 인증
TCP/UDP
464
암호 변경/설정
TCP/UDP
389
경량 디렉터리 액세스 프로토콜 (LDAP)
UDP 123 네트워크 타임 프로토콜 (NTP)
TCP 135 분산 컴퓨팅 환경/엔드포인트 매퍼 (DCE/EPMAP)
TCP
445
디렉터리 서비스 SMB 파일 공유
TCP
636
TLS/SSL(LDAPS) 를 통한 경량 디렉터리 액세스 프로토콜
TCP
3268
Microsoft 글로벌 카탈로그
TCP
3269
마이크로소프트 글로벌 카탈로그 커버 SSL
TCP
5985
WinRM 2.0(Microsoft Windows Remote Management)
TCP
9389
마이크로소프트 액티브 디렉터리 DS 웹 서비스, PowerShell
TCP
49,152~65,535
에 대한 임시 포트 RPC
중요
단일 AZ 2 및 모든 다중 AZ 파일 시스템 배포에는 TCP 포트 9389에서 아웃바운드 트래픽을 허용해야 합니다.
참고
VPC네트워크를 사용하는 경우 파일 시스템의 동적 포트 (ACLs49152-65535) 를 통한 아웃바운드 트래픽도 허용해야 합니다. FSx
-
자체 관리형 Microsoft Active Directory 도메인의 DNS 서버 및 도메인 컨트롤러와 연결된 IP 주소로 들어오는 모든 트래픽을 허용하는 아웃바운드 규칙 자세한 내용은 Active Directory 통신을 위한 방화벽 구성에 대한 Microsoft 설명서
를 참조하세요. -
이러한 트래픽 규칙이 각 Active Directory 도메인 컨트롤러, DNS 서버, 클라이언트 및 관리자에게 적용되는 방화벽에도 미러링되는지 확인하십시오. FSx FSx
참고
Active Directory 사이트를 정의한 경우 Amazon FSx 파일 시스템과 VPC 연결된 서브넷이 Active Directory 사이트에 정의되어 있고 사용자 사이트의 서브넷과 다른 사이트의 서브넷 간에 충돌이 없는지 확인해야 합니다. VPC Active Directory 사이트 및 서비스 스냅인을 사용하여 이러한 설정을 보고 변경할 수 있습니다. MMC
중요
Amazon VPC 보안 그룹에서는 네트워크 트래픽이 시작되는 방향으로만 포트를 열도록 요구하지만, 대부분의 Windows 방화벽과 VPC ACLs 네트워크에서는 포트를 양방향으로 열어야 합니다.
-
-
Windows 인증에서 자체 관리형 Microsoft Active Directory를 선택합니다.
-
자체 관리형 Microsoft Active Directory 디렉터리의 정규화된 도메인 이름에 값을 입력합니다.
참고
도메인 이름은 단일 레이블 도메인 (SLD) 형식이 아니어야 합니다. Amazon은 FSx 현재 SLD 도메인을 지원하지 않습니다.
중요
단일 AZ 2 및 모든 다중 AZ 파일 시스템의 경우 Active Directory 도메인 이름은 47자를 초과할 수 없습니다.
-
자체 관리형 Microsoft Active Directory 디렉터리의 조직 단위에 값을 입력합니다.
참고
제공한 서비스 계정에 여기서 지정하는 OU 또는 기본 OU(지정하지 않은 경우)에 위임된 권한이 있는지 확인합니다.
-
자체 관리형 Microsoft Active Directory 디렉터리의 DNS서버 IP 주소 값을 하나 이상, 두 개 이하로 입력합니다.
-
자체 관리형 Active Directory 도메인의 계정에 대한 서비스 계정 사용자 이름의 문자열 값(예:
ServiceAcct)을 입력합니다. FSxAmazon은 이 사용자 이름을 사용하여 Microsoft Active Directory 도메인에 가입합니다.중요
서비스 계정 사용자 이름을 입력할 때 도메인 접두사 (
corp.com\ServiceAcct) 또는 도메인 접미사 (ServiceAcct@corp.com) 를 NOT 포함하십시오.서비스 계정 사용자 이름 () 을 입력할 때는 고유 이름 (DN) 을 NOT 사용하지 마세요.
CN=ServiceAcct,OU=example,DC=corp,DC=com -
자체 관리형 Active Directory 도메인의 계정에 대한 서비스 계정 암호의 값을 입력합니다. FSxAmazon은 이 암호를 사용하여 사용자의 Microsoft Active Directory 도메인에 가입합니다.
-
암호 확인에서 암호를 다시 입력하여 확인합니다.
-
위임된 파일 시스템 관리자 그룹에서
Domain Admins그룹 또는 사용자 지정 위임 파일 시스템 관리자 그룹(생성한 경우)을 지정합니다. 지정하는 그룹에는 파일 시스템에서 관리 작업을 수행할 수 있는 위임된 권한이 있어야 합니다. 값을 제공하지 않으면 FSx Amazon은 빌트인Domain Admins그룹을 사용합니다. 단, FSx Amazon은 빌트인 컨테이너에 위치Delegated file system administrators group(사용자가 지정하는Domain Admins그룹 또는 사용자 지정 그룹) 를 지원하지 않습니다.중요
위임 파일 시스템 관리자 그룹을 제공하지 않는 경우 Amazon은 기본적으로 Active Directory 도메인의 기본 제공
Domain Admins그룹을 FSx 사용하려고 합니다. 이 기본 제공 그룹의 이름이 변경되었거나 도메인 관리에 다른 그룹을 사용하는 경우 여기에 해당 그룹 이름을 입력해야 합니다.중요
그룹 이름 NOT 매개 변수를 제공할 때 도메인 접두사 (corp.com\FSxAdmins) 또는 도메인 접미사 (FSxAdmins@corp .com) 를 포함하지 마십시오.
그룹에는 DN (고유 이름) 을 NOT 사용하지 마십시오. 고유 이름의 예로는 CN=FSxAdmins, OU=Example, DC=Corp, DC=com 등이 있습니다.
다음 예제에서는 FSx 가용 us-east-2 영역에 SelfManagedActiveDirectoryConfiguration a를 사용하여 Windows 파일 서버용 파일 시스템을 만듭니다.
aws fsx --region us-east-2 \ create-file-system \ --file-system-type WINDOWS \ --storage-capacity 300 \ --security-group-idssecurity-group-id\ --subnet-idssubnet-id\ --windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \ OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \ UserName="FSxService",Password="password", \ DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
중요
파일 시스템이 생성된 후 Amazon이 OU에 FSx 생성한 컴퓨터 객체를 이동하지 마십시오. 이렇게 하면 파일 시스템 구성이 잘못될 수 있습니다.
