AWS에서 AWS Managed Microsoft AD 설정

참고 문서

• AWS Managed Microsoft AD 테스트 랩 자습서

1. AWS Directory Service란?

다른 AWS 서비스에서 Microsoft Active Directory를 사용할 수 있는 몇 가지 방법을 제공합니다.
디렉토리는 사용자, 그룹 및 디바이스에 대한 정보를 저장하고 관리자는 이를 사용하여 정보 및 리소스에 대한 접근 관리를 합니다.

2. AWS Managed Microsoft AD Directory 생성

경로: AWS Admin console > Directory Service > Set up directory

AWS Managed Microsoft AD를 선택한 뒤, 'Next'를 클릭합니다.

1. Edition: 에디션은 회사 규머에 따라 선택이 가능하며 자세한 사항은 해당 페이지로 이동하여 확인할 수 있습니다.
2. Directory DNS name: 디렉토리 DNS 이름을 정해서 기입합니다.

• Admin 계정에 대한 비밀번호를 생성합니다.
• Admin 계정은 디렉토리 생성 프로세스 도중에 자동으로 생성됩니다.

• VPC생성에 대한 자세한 사항은 해당 페이지로 이동하여 확인할 수 있습니다.
• 생성된 VPC를 선택하여 서브넷은 가용영역이 다른 2개의 서브넷을 선택합니다.

• 설정한 디렉토리 정보를 확인하고 필요한 사항을 변경합니다.
• 정보가 올바르면 "Create directory"를 클릭합니다.
• 디렉토리 생성은 20~40분 정도 소요됩니다.

• 디렉토리 생성이 완료되면 상태 값이 활성 상태로 변경됩니다.

3. EC2 인스턴스 배포

3.1 (옵션) 디렉토리에 대해 DHCP Option Sets 생성

경로: AWS Admin console > VPC > DHCP OPtion Sets > Create DHCP options set

• DHCP란?
  TCP/IP 네트워크의 모든 디바이스는 네트워크를 통해 통신하기 위해 IP 주소가 필요합니다. 이전에는 네트워크의 각 디바이스에 수동으로 IP 주소를 할당했는데 오늘날에는 DHCP(동적 호스트 구성 프로토콜) 서버에서 동적으로 IP 주소가 할당됩니다.

1. DHCP option set name: DHCP 옵션 세트에 대한 이름을 입력합니다.
2. Domain name: 디렉토리 도메인 이름을 입력합니다.
3. Domain name servers: 디렉토리 DNS 서버가 제공하는 AWS IP 주소를 입력합니다.

3.2 Windows 인스턴스를 AWS Managed Microsoft AD 도메인에 조인할 역할 생성

경로: AWS Admin console > IAM > Roles > Creat role

1. Trusted entity type: AWS service 선택합니다.
2. Use case: EC2를 선택하고 'Next'를 클릭합니다.

• 아래 2개의 정책 선택 후, 'Next'를 클릭합니다.

1. AmazonSSMManagedInstanceCore 정책을 선택합니다. 이 정책에서는 Systems Manager 서비스 사용에 필요한 최소 권한을 제공합니다.
2. AmazonSSMDirectoryServiceAccess 정책을 선택합니다. 이 정책은 AWS Directory Service에 의해 관리되는 Active Directory에 인스턴스를 조인할 수 있는 권한을 제공합니다.

Role 이름을 설정한 뒤 설정한 역할 정보를 확인하고 변경사항이 없을 시, 'Create role'을 클릭합니다.

3.3 EC2 인스턴스 생성하고 자동으로 디렉토리 조인

경로: AWS Admin console > EC2 > Launch instances

• Microsoft Window Server 2019 Base를 선택합니다.
• 실습으로 인한 낮은 버전 선택으로 환경에 맞게 높은 버전의 서버를 선택할 수 있습니다.

• instance type: 원하는 유형 선택합니다.
• key pair: instance와 연결할 때 사용할 key pair를 선택합니다. 기존 key pair를 선택할 수도 있고 해당 인스턴스를 위한 key pair를 생성할 수도 있습니다.

1. VPC & Subnet: 이전에 생성한 VPC 및 서브넷을 선택합니다.
2. Auto -assign public IP: Enable을 선택합니다.
3. Security group: 생성한 보안 그룹을 사용해도 되고, 현재 인스턴스를 위해 보안 그룹을 생성해도 됩니다. 보안 그룹 설정에 대한 자세한 사항은 해당 페이지로 이동하여 확인할 수 있습니다.

1. Domain join directory: 생성한 디렉토리의 도메인을 선택합니다.
2. IAM instance profile: AD 도메인에 조인하기 위해 생성한 역할을 선택합니다.

인스턴스에 대한 설정이 완료되었다면 "Launch instance"를 클릭합니다.

4. EC2 인스턴스에 Active Directory 도구 설치

• 설치한 인스턴스의 상태가 활성화가 되면 "Connect"를 클릭합니다.

• Download remote desktop file를 클릭합니다.
• 'Get password'를 통해서 인스턴스를 생성할 때 선택했던 Key pair의 파일을 통해 Administartor의 암호를 획득합니다.

원격 데스크톱을 진입하기 위해 'Get password'에서 얻은 암호를 입력합니다.

Start 메뉴에서 Server Manager를 클릭합니다.

Dashboard에서 Add roles and features를 선택합니다.

• Select installation type 페이지에서 Role-based or feature-based installation을 선택합니다.
• Select destination server 페이지에서 로컬 서버가 선택되었는지 확인합니다.
• 특별한 지시사항이 없는 페이지의 경우 설정 변경 없이 'Next'를 클릭합니다.

Select feature 페이지에서 아래 기능을 선택합니다.

• Global Policy Management
• Remote Server Administatration Tools를 확장한 다음 Role Administrator Tools를 확장합니다.
  - AD DS and AD LDS Tools와 DNS Server Tools를 선택합니다.
• 기능을 모두 선택했다면 'Install'를 클릭합니다.

• 로컬 관리자로 로그인한 EC2 인스턴스에서 로그아웃합니다.
• Username에 user@domain 또는 domain/user를 입력하고, Password에 디렉토리를 생성할 때 입력했던 admin의 비밀번호를 입력합니다.

새 도메인에 연결된 모든 기본 OU 및 계정과 함께 [디렉토리 도메인 이름]이 표시됩니다.