기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
FSxAmazon과 함께 사용하기 AWS Directory Service for Microsoft Active Directory
AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) 는 클라우드에서 완전히 관리되고 가용성이 높은 실제 Active Directory 디렉터리를 제공합니다. 워크로드 배포에 이러한 Active Directory 디렉터리를 사용할 수 있습니다.
조직에서 ID 및 디바이스를 관리하는 AWS Managed Microsoft AD 데 사용하는 경우 Amazon FSx 파일 시스템을 다음과 통합하는 것이 좋습니다. AWS Managed Microsoft AD이렇게 하면 FSx Amazon을 사용하여 턴키 솔루션을 얻을 수 있습니다. AWS Managed Microsoft AD AWS 두 서비스의 배포, 운영, 고가용성, 안정성, 보안 및 원활한 통합을 처리하므로 사용자는 자신의 워크로드를 효과적으로 운영하는 데 집중할 수 있습니다.
Amazon FSx 콘솔을 사용하여 FSx AWS Managed Microsoft AD 설정과 함께 Amazon을 사용할 수 있습니다. 콘솔에서 Windows 파일 FSx 서버용 파일 시스템을 새로 만들 때는 Windows 인증 섹션 아래에서 AWS 관리형 Active Directory를 선택합니다. 사용하려는 특정 디렉터리를 선택할 수도 있습니다. 자세한 내용은 단계 1. 파일 시스템 생성 섹션을 참조하세요.
조직은 자체 관리형 Active Directory 도메인(온프레미스 또는 클라우드에서)에서 ID와 디바이스를 관리할 수 있습니다. 그렇다면 Amazon FSx 파일 시스템을 기존의 자체 관리형 Active Directory 도메인에 직접 가입할 수 있습니다. 자세한 내용은 자체 관리형 Microsoft 액티브 디렉터리 사용 단원을 참조하십시오.
또한 리소스 포리스트 격리 모델을 활용하도록 시스템을 설정할 수도 있습니다. 이 모델에서는 Amazon FSx 파일 시스템을 포함한 리소스를 사용자가 있는 곳과 별도의 Active Directory 포리스트로 분리합니다.
중요
단일 AZ 2 및 모든 다중 AZ 파일 시스템의 경우 Active Directory 도메인 이름은 47자를 초과할 수 없습니다.
네트워킹 사전 조건
AWS Microsoft 관리형 Active Directory 도메인에 가입된 Windows 파일 FSx 서버용 파일 시스템을 만들기 전에 다음 네트워크 구성을 만들고 설정했는지 확인하십시오.
-
VPC보안 그룹의 경우 기본 VPC Amazon의 기본 보안 그룹이 콘솔의 파일 시스템에 이미 추가되었습니다. FSx파일 시스템을 생성하는 서브넷의 보안 그룹과 VPC ACLs 네트워크가 다음 다이어그램에 표시된 지침과 포트를 통한 트래픽을 허용하는지 확인하십시오.
다음 테이블에는 각 포트의 역할이 나와 있습니다.
프로토콜
포트
역할
TCP/UDP
53
도메인 네임 시스템 () DNS
TCP/UDP
88
Kerberos 인증
TCP/UDP
464
암호 변경/설정
TCP/UDP
389
경량 디렉터리 액세스 프로토콜 (LDAP)
UDP 123 네트워크 타임 프로토콜 (NTP)
TCP 135 분산 컴퓨팅 환경/엔드포인트 매퍼 (DCE/EPMAP)
TCP
445
디렉터리 서비스 SMB 파일 공유
TCP
636
TLS/SSL(LDAPS) 를 통한 경량 디렉터리 액세스 프로토콜
TCP
3268
Microsoft 글로벌 카탈로그
TCP
3269
마이크로소프트 글로벌 카탈로그 커버 SSL
TCP
5985
WinRM 2.0(Microsoft Windows Remote Management)
TCP
9389
마이크로소프트 AD DS 웹 서비스, PowerShell
TCP
49,152~65,535
에 대한 임시 포트 RPC
중요
단일 AZ 2 및 모든 다중 AZ 파일 시스템 배포에는 TCP 포트 9389에서 아웃바운드 트래픽을 허용해야 합니다.
참고
VPC네트워크를 사용하는 경우 파일 시스템의 동적 포트 (ACLs49152-65535) 를 통한 아웃바운드 트래픽도 허용해야 합니다. FSx
-
Amazon FSx 파일 시스템을 다른 계정 VPC 또는 계정의 AWS 관리형 Microsoft Active Directory에 연결하는 경우, 해당 파일 시스템을 VPC 생성하려는 VPC Amazon과 이 파일 시스템을 연결해야 합니다. 자세한 내용은 다른 계정 VPC 또는 AWS Managed Microsoft AD 계정에서 Amazon FSx 사용 단원을 참조하십시오.
중요
Amazon VPC 보안 그룹에서는 네트워크 트래픽이 시작되는 방향으로만 포트를 열어야 하지만 VPC ACLs 네트워크에서는 포트를 양방향으로 열어야 합니다.
Amazon FSx 네트워크 검증 도구를 사용하여 Active Directory 도메인 컨트롤러에 대한 연결을 검증할 수 있습니다.
리소스 포리스트 격리 모델 사용
파일 시스템을 AWS Managed Microsoft AD 설정에 조인합니다. 그런 다음 생성한 도메인과 기존의 자체 관리형 Active Directory AWS Managed Microsoft AD 도메인 간에 단방향 포리스트 트러스트 관계를 설정합니다. FSxAmazon의 Windows 인증에는 AWS 관리형 포리스트가 기업 도메인 포리스트를 신뢰하는 단방향 포리스트 트러스트만 필요합니다.
기업 도메인은 신뢰할 수 있는 도메인의 역할을 하고, AWS Directory Service 관리형 도메인은 트러스팅 도메인의 역할을 합니다. 검증된 인증 요청은 도메인 간에 한 방향으로만 전달되며 회사 도메인의 계정이 관리형 도메인에서 공유되는 리소스에 대해 인증합니다. 이 경우 Amazon은 AWS 관리형 도메인과만 FSx 상호 작용합니다. Kerberos 인증 시나리오에서는 기업 클라이언트에서 시작된 인증 요청의 유효성을 검사한 후 회사 도메인이 이를 참조하고 결국 클라이언트가 Windows File FSx Server용 파일 시스템에 서비스 티켓을 제공합니다. AWS Managed Microsoft AD트러스트에 대한 자세한 내용은 보안 블로그의 트러스트에 대해 알고 싶었던 모든 것
Active Directory 구성 테스트
Amazon FSx 파일 시스템을 생성하기 전에 Amazon FSx 네트워크 검증 도구를 사용하여 Active Directory 도메인 컨트롤러에 대한 연결을 검증하는 것이 좋습니다. 자세한 내용은 Active Directory 도메인 컨트롤러에 대한 연결 검증 단원을 참조하십시오.
Windows 파일 서버를 사용할 AWS Directory Service for Microsoft Active Directory 때 다음과 같은 관련 리소스가 도움이 될 수 있습니다. FSx
-
AWS Directory Service 관리 안내서의 AWS Directory Service란?
-
AWS Directory Service 관리 가이드에서 AWS 관리형 Active Directory를 생성하십시오.
-
AWS Directory Service 관리 안내서의 신뢰 관계 생성 시기
