FSx에서 Amazon 사용 AWS Directory Service for Microsoft Active Directory - Amazon FSx for Windows 파일 서버
네트워킹 사전 조건리소스 포리스트 격리 모델 사용Active Directory 구성 테스트

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

FSx에서 Amazon 사용 AWS Directory Service for Microsoft Active Directory

AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD)는 클라우드에서 완전 관리형 고가용성의 실제 Active Directory 디렉터리를 제공합니다. 워크로드 배포에 이러한 Active Directory 디렉터리를 사용할 수 있습니다.

조직에서 AWS Managed Microsoft AD 를 사용하여 자격 증명 및 디바이스를 관리하는 경우 Amazon FSx 파일 시스템을와 통합하는 것이 좋습니다 AWS Managed Microsoft AD. 이렇게 하면 Amazon FSx with.를 사용하는 턴키 솔루션을 얻을 수 있습니다 AWS Managed Microsoft AD.는 두 서비스의 배포, 운영, 고가용성, 안정성, 보안 및 원활한 통합을 AWS 처리하므로 워크로드를 효과적으로 운영하는 데 집중할 수 있습니다.

AWS Managed Microsoft AD 설정과 FSx 함께 Amazon을 사용하려면 Amazon FSx 콘솔을 사용할 수 있습니다. 콘솔에서 Windows File ServerFSx용 새 파일 시스템을 생성할 때 Windows 인증 섹션에서 AWS 관리형 Active Directory를 선택합니다. 사용하려는 특정 디렉터리를 선택할 수도 있습니다. 자세한 내용은 5단계. 파일 시스템을 만듭니다. 섹션을 참조하세요.

조직은 자체 관리형 Active Directory 도메인(온프레미스 또는 클라우드에서)에서 ID와 디바이스를 관리할 수 있습니다. 그렇다면 Amazon FSx 파일 시스템을 기존 자체 관리형 Active Directory 도메인에 직접 조인할 수 있습니다. 자세한 내용은 자체 관리형 Microsoft Active Directory 사용 단원을 참조하십시오.

또한 리소스 포리스트 격리 모델을 활용하도록 시스템을 설정할 수도 있습니다. 이 모델에서는 Amazon FSx 파일 시스템을 포함한 리소스를 사용자가 있는 것과 별도의 Active Directory 포리스트로 격리합니다.

중요

단일 AZ 2 및 모든 다중 AZ 파일 시스템의 경우 Active Directory 도메인 이름은 47자를 초과할 수 없습니다.

네트워킹 사전 조건

AWS Microsoft Managed Active Directory 도메인에 조인된 FSx Windows File Server용 파일 시스템을 생성하기 전에 다음 네트워크 구성을 생성하고 설정했는지 확인합니다.

  • VPC 보안 그룹의 경우 기본 Amazon의 기본 보안 그룹이 콘솔의 파일 시스템에 VPC 이미 추가되었습니다. FSx 파일 시스템을 생성하는 ACLs 서브넷(들)의 보안 그룹과 VPC 네트워크가 다음 다이어그램에 표시된 대로 포트 및 방향의 트래픽을 허용하는지 확인하세요.

    FSx 용 파일 시스템이 생성되는 서브넷의 VPC 보안 그룹 및 네트워크에 ACLs 대한 Windows File Server 포트 구성 요구 사항입니다.

    다음 테이블에는 각 포트의 역할이 나와 있습니다.

    프로토콜

    포트

    역할

    TCP/UDP

    53

    도메인 이름 시스템(DNS)

    TCP/UDP

    88

    Kerberos 인증

    TCP/UDP

    464

    암호 변경/설정

    TCP/UDP

    389

    경량 디렉터리 액세스 프로토콜(LDAP)
    UDP 123

    네트워크 시간 프로토콜(NTP)
    TCP 135

    분산 컴퓨팅 환경/엔드 포인트 매퍼(DCE/EPMAP)

    TCP

    445

    디렉터리 서비스 SMB 파일 공유

    TCP

    636

    TLS/SSL를 통한 경량 디렉터리 액세스 프로토콜(LDAPS)

    TCP

    3268

    Microsoft 글로벌 카탈로그

    TCP

    3269

    를 통한 Microsoft Global Catalog SSL

    TCP

    5985

    WinRM 2.0(Microsoft Windows Remote Management)

    TCP

    9389

    Microsoft AD DS 웹 서비스, PowerShell

    TCP

    49,152~65,535

    용 에페멀 포트 RPC
    중요

    TCP 포트 9389에서 아웃바운드 트래픽을 허용하는 것은 단일 AZ 2 및 모든 다중 AZ 파일 시스템 배포에 필요합니다.

    참고

    VPC 네트워크를 사용하는 경우 FSx 파일 시스템에서 동적 포트(49152-65535)의 아웃바운드 트래픽도 허용ACLs해야 합니다.

  • Amazon FSx 파일 시스템을 다른 VPC 또는 계정의 AWS 관리형 Microsoft Active Directory에 연결하는 경우 파일 시스템을 생성VPC하려는 AmazonVPC과 해당 간의 연결을 확인합니다. 자세한 내용은 다른 VPC 또는 계정 AWS Managed Microsoft AD 에서와 FSx 함께 Amazon 사용 단원을 참조하십시오.

    중요

    Amazon VPC 보안 그룹은 네트워크 트래픽이 시작되는 방향으로만 포트를 열어야 하지만 VPC 네트워크는 양방향으로 포트를 열ACLs어야 합니다.

Amazon FSx Network Validation 도구를 사용하여 Active Directory 도메인 컨트롤러에 대한 연결을 검증합니다.

리소스 포리스트 격리 모델 사용

파일 시스템을 AWS Managed Microsoft AD 설정에 조인합니다. 그런 다음 생성한 AWS Managed Microsoft AD 도메인과 기존 자체 관리형 Active Directory 도메인 간에 단방향 포리스트 신뢰 관계를 설정합니다. Amazon의 Windows 인증의 경우 AWS 관리형 포리스트가 기업 도메인 포리스트를 신뢰하는 단방향 포리스트 신뢰FSx만 필요합니다.

기업 도메인은 신뢰할 수 있는 도메인의 역할을 맡으며 관리 AWS Directory Service 형 도메인은 신뢰할 수 있는 도메인의 역할을 맡습니다. 검증된 인증 요청은 도메인 간에 한 방향으로만 전달되며 회사 도메인의 계정이 관리형 도메인에서 공유되는 리소스에 대해 인증합니다. 이 경우 Amazon은 AWS 관리형 도메인과만 FSx 상호 작용합니다. Kerberos 인증 시나리오에서 회사 클라이언트에서 시작된 인증 요청은 회사 도메인에 의해 검증되며,이 도메인은 이를 참조 AWS Managed Microsoft AD하고 결국 클라이언트는 Windows File Server 파일 시스템에 FSx 대한 서비스 티켓을에 제공합니다. 신뢰에 대한 자세한 내용은 AWS 보안 블로그에서 신뢰에 대해 알고 싶은 모든 것을 참조하세요 AWS Managed Microsoft AD.

Active Directory 구성 테스트

Amazon FSx 파일 시스템을 생성하기 전에 Amazon FSx Network Validation 도구를 사용하여 Active Directory 도메인 컨트롤러에 대한 연결을 검증하는 것이 좋습니다. 자세한 내용은 Active Directory 도메인 컨트롤러에 대한 연결 검증 단원을 참조하십시오.

다음 관련 리소스는 Windows File ServerFSx용 AWS Directory Service for Microsoft Active Directory 와 함께를 사용할 때 도움이 될 수 있습니다.