AWS Directory Service는 다른 AWS 서비스에서 Microsoft Active Directory(AD)를 사용할 수 있는 몇 가지 방법을 제공합니다. 디렉터리는 사용자, 그룹 및 디바이스에 대한 정보를 저장하고, 관리자는 이를 사용하여 정보 및 리소스에 대한 액세스를 관리합니다. AWS Directory Service는 클라우드에서 기존 Microsoft AD 또는 LDAP (Lightweight Directory Access Protocol) 인식 애플리케이션을 사용하려는 고객에게 다양한 디렉터리 선택 옵션을 제공합니다. 또한 사용자, 그룹, 디바이스 및 액세스 권한을 관리하기 위해 디렉터리가 필요한 개발자에게도 동일한 선택 옵션을 제공합니다.
AWS Management Console 에서 Directory Service 로 검색하여 이동합니다. 이후 그림과 같이 디렉터리 설정을 AWS Managed Microsoft AD 로 선택 후 [디렉터리 설정] 버튼을 클릭합니다.
디렉터리 유형 선택은 [AWS Managed Microsoft AD]를 선택하시고 [다음] 버튼을 클릭합니다.
에디션 : Standard Edition
디렉터리 DNS 이름 : corp.example.com
(원하는 도메인을 입력하시면 됩니다.)
디렉터리 NetBIOS 이름 - 선택사항 : corp
(도메인에 대한 짧은 식별자)
디렉터리 설명 - 선택사항 : 원하는 설명 텍스트 입력
관리자 암호 : 원하는 비밀번호 입력
이후 [다음] 버튼 클릭.
본 실습에서는 기본적인 네트워크에 대한 개념은 알고 있다는 전제하에 진행합니다.
수동으로 생성한 VPC 및 Internet Gateway(IGW), Public Subnet 이 구성되어 있으며 해당 VPC 와 Public Subnet 을 선택한 이후 [다음] 버튼 클릭.
설정한 정보들에 이상이 없는지 확인한 이후 [디렉터리 생성] 버튼을 클릭하여 생성을 완료합니다.
이후 약 20~40분 정도 이후 생성이 완료되며, 상태 값이 활성 상태로 변경됩니다.
이 선택적 절차에서는 VPC의 EC2 인스턴스가 DNS 확인을 위해 AWS Managed Microsoft AD를 자동으로 사용하도록 DHCP 옵션 범위를 설정합니다.
아래 그림과 같이 VPC 서비스에서 DHCP 옵션 세트 를 선택 후 [DHCP 옵션 세트 생성] 버튼을 클릭합니다.
태그 설정
DHCP 옵션 세트 이름 - 선택사항 : 원하는 값 입력
DHCP 옵션
도메인 이름 : corp.example.com
도메인 이름 서버 :
이전에 생성한 Active Directory 의 조정 및 공유 탭 -> 도메인 컨트롤러의 IP 주소 선택
나머지는 비워두고, 이후 우측 하단의 [DHCP 옵션 세트 생성] 버튼을 클릭합니다.
이후 조금 전 생성한 DHCP 옵션 세트를 변경해 주기 위해 VPC의 [DHCP 옵션 세트 편집]을 클릭하여 변경합니다.
DHCP 옵션 세트 변경 후 [변경 사항 저장] 버튼을 클릭하여 완료.
이 절차를 사용하여 EC2 Windows 인스턴스를 도메인에 조인하는 역할을 구성합니다.
IAM 서비스로 이동 후 [역할] -> [역할 만들기] 버튼 클릭.
신뢰할 수 있는 엔티티 유형 : AWS 서비스
사용 사례 : EC2
[다음] 버튼 클릭.
권한 추가 화면에서 다음 2개의 정책을 선택합니다.
역할 세부 정보
역할 이름 : 원하는 값 입력
2단계: 권한 추가
우측 하단의 [역할 생성] 버튼을 클릭하여 생성합니다.
이 절차에서는 나중에 Active Directory에서 사용자, 그룹 및 정책을 관리하는데 사용할 수 있는 Windows Server 시스템을 Amazon EC2에 설정합니다.
이름 : 원하는 값 입력
애플리케이션 및 OS 이미지(Amazon Machine Image)
Windows / Microsoft Windows Server 2022 Base
인스턴스 유형 : 원하는 유형 선택
키 페어(로그인) : 원하는 키페어 선택
네트워크 설정
- VPC : DHCP 옵션 설정한 VPC 선택
- 서브넷 : 본 실습에서는 Public Subnet 선택
- 퍼블릭 IP 자동 할당 : 활성화
- 방화벽(보안 그룹) : 신규 생성 보안그룹
고급 세부 정보
도메인 조인 디렉터리 : DHCP 옵션에서 생성한 도메인 선택(corp.example.com)
IAM 인스턴스 프로파일 : 조금 전 생성한 IAM 역할 선택(EC2DomainJoin)
이후 [인스턴스 시작] 버튼 클릭하여 생성.
EC2 Windows 인스턴스 보안그룹 인바운드 규칙 정보
EC2 인스턴스에 Active Directory 도메인 관리 도구를 설치하는 방법은 Server Manager UI 또는 Windows PowerShell 두가지가 있습니다.
본 실습에서는 Server Manager UI 로 진행하겠습니다.
조금 전 생성한 EC2 Windows 생성 후 상단 [연결] 버튼 클릭.
[RDP 클라이언트] 탭 클릭 후 [암호 가져오기] 텍스트 클릭하여 .pem 형식의 키페어 파일 입력하여 암호 가져오기
퍼블릭 IPv4 주소 입력 후 다음 그림과 같이 사용자 자격 증명 입력
사용자 이름 : Administrator
비밀번호 : 암호 가져오기로 얻은 텍스트 입력
[Start] 메뉴에서 [Server Manager] 선택
[Server Manager] Dashboard 에서 [Add roles and features] 선택
[Before you begin]
[Select installation type]
[Select destination server]
[Select server roles]
[Select features]
[Confirm installation selections]
기존 접속한 EC2 Windows 인스턴스에서 로그아웃 한 이후, 다음 그림과 같이 ActiveDirectory 에서 설정한 사용자 이름을 CORP 도메인에 대한 관리자 자격 증명을 입력하여 로그인합니다.
ActiveDirectory 생성시 설정한 비밀번호를 사용합니다.
[Start] 메뉴의 [Windows Administrative Tools] 선택
[Active Directory Users and Computers] 를 클릭하면 새 도메인과 연결된 모든 기본 OU 및 계정과 함께 [corp.example.com] 이 추가된 것을 확인 할 수 있습니다.
위에서 간략히 실습한 것과 같이 ActiveDirectory 를 활용한 EC2 Windows 인스턴스 연동을 진행할 수 있습니다.
실습은 여기서 마치겠습니다.
AWS 와 관련된 기술질문 및 인프라 구축문의 는 hyunjin@cloocus.com 메일로 언제든지 말씀해 주시기 바랍니다.
감사합니다!