기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Managed Microsoft AD(하이브리드 에디션) 이해
<a name="aws-hybrid-directory"></a>

*AWS Managed Microsoft AD(하이브리드 에디션)*를 사용하면 AWS Managed Microsoft AD를 사용하여 기존 Active Directory를 AWS 클라우드 로 확장할 수 있습니다. 이 기능을 사용하면 AD 종속 워크로드를 로 더 쉽게 이동 AWS하고, AWS 서비스를 채택하고, Active Directory 중복성을 늘릴 수 있습니다. AWS 는 콘솔에서 Directory Service 볼 수 있는 하이브리드 디렉터리에서 디렉터리 평가를 주기적으로 실행합니다.

의 하이브리드 디렉터리는 기존를 *AWS Microsoft Active Directory용 Directory Service*(AWS 관리형 Microsoft AD)*Microsoft Active Directory*와 Directory Service 연결합니다. 이렇게 하면 온프레미스 AWS및 다중 클라우드 인프라를 아우르는 통합 ID 환경이 생성되므로 디렉터리 서비스를 확장하면서 단일 ID 소스를 유지할 수 있습니다 AWS.

하이브리드 디렉터리 구성은 다음과 같은 몇 가지 중요한 기능을 제공합니다.
+ 신뢰 관계를 설정할 필요 AWS 클라우드 없이 자체 관리형 AD를 로 확장
+ 기존 Active Directory 자격 증명을 사용하여 환경 간에 원활한 인증 및 권한 부여
+ 두 AD 환경 모두에서 일관된 사용자 자격 증명 및 그룹 멤버십
+ AD 액세스 정책 및 권한에 대한 중앙 집중식 관리

**Topics**
+ [하이브리드 디렉터리 사전 조건](create_hybrid_directory_prereqs.md)
+ [하이브리드 디렉터리 생성](hybrid_directory_create.md)
+ [하이브리드 디렉터리 보기 및 편집](hybrid_directory_view_and_edit.md)
+ [하이브리드 디렉터리 삭제](hybrid_directory_delete.md)
+ [하이브리드 디렉터리에 대한 디렉터리 평가](hybrid_directory_assessment.md)
+ [하이브리드 디렉터리 및 디렉터리 평가 문제 해결](hybrid_directory_troubleshooting.md)

# 하이브리드 디렉터리 사전 조건
<a name="create_hybrid_directory_prereqs"></a>

하이브리드 디렉터리는 자체 관리형 Active Directory를 AWS 클라우드로 확장합니다. 하이브리드 디렉터리를 생성하기 전에 환경이 다음 요구 사항을 충족하는지 확인합니다.

## Microsoft Active Directory 도메인 요구 사항
<a name="create_hybrid_directory_prereqs-ad-domain"></a>

하이브리드 디렉터리를 생성하기 전에 자체 관리형 AD 환경 및 인프라가 다음 요구 사항을 충족하는지 확인하고 필요한 정보를 수집합니다.

### 도메인 요구 사항
<a name="domain_requirements"></a>

자체 관리형 AD 환경은 다음 요구 사항을 충족해야 합니다.
+ Windows Server 2012 R2 또는 2016 기능 수준을 사용합니다.
+ 하이브리드 디렉터리 생성을 위해 평가할 표준 도메인 컨트롤러를 사용합니다. 읽기 전용 도메인 컨트롤러(RODC)는 하이브리드 디렉터리 생성에 사용할 수 없습니다.
+ 모든 Active Directory 서비스가 실행되는 두 개의 도메인 컨트롤러가 있습니다.
+ 기본 도메인 컨트롤러(PDC)는 항상 라우팅 가능해야 합니다.

  특히 자체 관리형 AD의 PDC 에뮬레이터 및 RID 마스터 IP는 다음 범위 중 하나에 속해야 합니다.
  + RFC1918 프라이빗 IP 주소 범위의 일부(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
  + VPC CIDR 범위 내
  + 디렉터리에 대한 자체 관리형 인스턴스의 DNS IP가 일치

  하이브리드 디렉터리가 생성된 후 디렉터리에 대한 추가 IP 경로를 추가할 수 있습니다.

### 필수 정보
<a name="required_information"></a>

자체 관리형 AD에 대한 다음 정보를 수집합니다.
+ 디렉터리 DNS 이름
+ 디렉터리 DNS IP
+ 자체 관리형 AD에 대한 관리자 권한이 있는 서비스 계정 자격 증명
+ AWS 서비스 계정 자격 증명을 저장하기 위한 보안 암호 ARN( 참조[AWS 하이브리드 디렉터리의 보안 암호 ARN](#aws_secret_arn_for_hybrid))

### AWS 하이브리드 디렉터리의 보안 암호 ARN
<a name="aws_secret_arn_for_hybrid"></a>

자체 관리형 AD로 하이브리드 디렉터리를 구성하려면 KMS 키를 생성하여 AWS 보안 암호를 암호화한 다음 보안 암호 자체를 생성해야 합니다. 두 리소스 모두 하이브리드 디렉터리가 AWS 계정 포함된 동일한에서 생성해야 합니다.

#### KMS 키 생성
<a name="create_kms_key_for_hybrid"></a>

KMS 키는 AWS 보안 암호를 암호화하는 데 사용됩니다.

**중요**  
**암호화 키**의 경우  AWS  기본 KMS 키를 사용하지 마세요. 자체 관리형 AD와 조인하기 위해 생성하려는 하이브리드 디렉터리 AWS 계정 가 포함된 동일한에서 AWS KMS 키를 생성해야 합니다.

**AWS KMS 키를 생성하려면**

1.  AWS KMS 콘솔에서 **키 생성을** 선택합니다.

1. **키 유형**에 대해 **대칭**을 선택합니다.

1. **키 사용**에서 **암호화 및 암호 해독**을 선택합니다.

1. **고급 옵션**에서 다음을 수행합니다.

   1. **키 구성 요소 오리진**에서 **KMS**를 선택합니다.

   1. **리전 구분**에서 **단일 리전 키**를 선택하고 **다음**을 선택합니다.

1. **별칭**의 경우 KMS 키의 이름을 입력합니다.

1. (선택 사항) **설명**에 KMS 키에 대한 설명을 입력합니다.

1. (선택 사항) **태그**의 경우 KMS 키에 태그를 추가하고 **다음**을 선택합니다.

1. **키 관리자**의 경우 IAM 사용자를 선택합니다.

1. **키 삭제**의 경우 **키 관리자가 이 키를 삭제하도록 허용** 을 기본 선택으로 유지하고 **다음**을 선택합니다.

1. **키 사용자**의 경우 이전 단계와 같은 IAM 사용자를 선택하고 **다음**을 선택합니다.

1. 구성을 검토합니다.

1. **키 정책**의 경우 정책 명령문에 다음을 추가합니다.

1. **마침**을 클릭합니다.

#### AWS 보안 암호 생성
<a name="create_aws_secret_for_hybrid"></a>

Secrets Manager에서 보안 암호를 생성하여 자체 관리형 AD 사용자 계정에 대한 자격 증명을 저장합니다.

**중요**  
자체 관리형 AD와 조인하려는 하이브리드 디렉터리 AWS 계정 가 포함된 동일한에서 보안 암호를 생성합니다.

보안 암호 생성
+ Secrets Manager에서 **새 보안 암호 저장**을 선택합니다.
+ **보안 암호 유형**에서 **다른 유형의 보안 암호**를 선택합니다.
+ **키/값 쌍**의 경우 2개의 키를 추가합니다.

1. <a name="add_username_key"></a>사용자 이름 키 추가

   1. 첫 번째 키에는 `customerAdAdminDomainUsername`를 입력합니다.

   1. 첫 번째 키 값에는 AD 사용자의 사용자 이름(도메인 접두사 제외)만 입력합니다. 도메인 이름을 포함하면 인스턴스 생성이 실패하므로 포함하지 마세요.

1. <a name="add_password_key"></a>암호 키 추가

   1. 두 번째 키에는 `customerAdAdminDomainPassword`를 입력합니다.

   1. 두 번째 키의 값으로 도메인의 AD 사용자에 대해 생성한 암호를 입력합니다.

##### 보안 암호 구성 완료
<a name="complete_secret_configuration"></a>

1. **암호화 키**의 경우 [KMS 키 생성](#create_kms_key_for_hybrid)에서 생성한 KMS 키를 선택하고 **다음**을 선택합니다.

1. **보안 암호 이름**의 경우 보안 암호에 대한 설명을 입력합니다.

1. (선택 사항) **설명**의 경우 보안 암호에 대한 설명을 입력합니다.

1. **다음**을 선택합니다.

1. **교체 설정 구성**에서 기본값을 유지하고 **다음**을 선택합니다.

1. 보안 암호 설정을 검토하고 **저장**을 선택합니다.

1. 생성한 보안 암호를 선택하고 **보안 암호 ARN**의 값을 복사합니다. 이 ARN은 다음 단계에서 자체 관리형 Active Directory를 설정하는 데 사용됩니다.

### 인프라 요구 사항
<a name="infrastructure_requirements"></a>

다음 인프라 구성 요소를 준비합니다.
+ SSM 에이전트에 대한 관리자 권한이 있는 AWS Systems Manager 노드 2개
  + Active Directory가 ** AWS 클라우드외부 자체 관리형**인 경우 하이브리드 및 멀티클라우드 환경을 위해 두 개의 Systems Manager 노드가 필요합니다. 이러한 노드를 프로비저닝하는 방법에 대한 자세한 내용은 [하이브리드 및 멀티클라우드 환경을 위한 Systems Manager 설정](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-hybrid-multicloud.html)을 참조하세요.
  + Active Directory가 **내에서 자체 관리형 AWS 클라우드**인 경우 Systems Manager 관리형 EC2 인스턴스 2개가 필요합니다. 이러한 인스턴스를 프로비저닝하는 방법에 대한 자세한 내용은 [Systems Manager를 사용한 EC2 인스턴스 관리](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html)를 참조하세요.

## 필수 Active Directory 서비스
<a name="create_hybrid_directory_prereqs-ad-services"></a>

자체 관리형 AD에서 다음 서비스가 실행되고 있는지 확인합니다.
+ Active Directory 도메인 서비스
+ Active Directory 웹 서비스(ADWS)
+ COM\$1 이벤트 시스템
+ 분산 파일 시스템 복제(DFSR)
+ 도메인 이름 시스템(DNS)
+ DNS 서버
+ 그룹 정책 클라이언트
+ 사이트 간 메시징
+ 원격 프로시저 직접 호출(RPC)
+ 보안 계정 관리자
+ Windows 시간 서버
**참고**  
하이브리드 디렉터리는 UDP 포트 123이 열려 있어야 하며 Windows 시간 서버가 활성화되어 정상 작동해야 합니다. 하이브리드 디렉터리 복제가 제대로 작동하는지 확인하기 위해 시간을 도메인 컨트롤러와 동기화합니다.

## Kerberos 인증 요구 사항
<a name="create_hybrid_directory_prereqs-ad-kerberos"></a>

사용자 계정에서 Kerberos 사전 인증이 활성화되어 있어야 합니다. 이 설정을 활성화하는 방법에 대한 자세한 지침은 [Kerberos 사전 인증이 활성화되어 있는지 확인](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms-ad-tutorial-setup-trust-prepare-onprem.html#tutorial-setup-trust-enable-kerberos)을 참조하세요. 이 설정에 대한 일반 정보는 Microsoft TechNet의 [사전 승인](http://technet.microsoft.com/en-us/library/cc961961.aspx)을 참조하세요.

## 지원되는 암호화 유형
<a name="create_hybrid_directory_prereqs-encryption"></a>

하이브리드 디렉터리에서는 Kerberos를 통해 Active Directory 도메인 컨트롤러에 인증할 때 다음과 같은 암호 유형을 지원합니다.
+ AES-256-HMAC

## 네트워크 포트 요구 사항
<a name="create_hybrid_directory_prereqs-ports"></a>

가 자체 관리형 Active Directory 도메인 컨트롤러를 확장 AWS 하려면 기존 네트워크의 방화벽에 Amazon VPC의 두 서브넷 모두에 CIDRs 대해 다음 포트가에 열려 있어야 합니다.
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Kerberos 인증
+ UDP 123 - 시간 서버
+ TCP 135 - 원격 프로시저 직접 호출
+ TCP/UDP 389 - LDAP
+ TCP 445 - SMB
+ TCP 636 - LDAPS(Lightweight Directory Access Protocol Secure)가 있는 환경에만 필요
+ TCP 49152-65535 - RPC에 무작위로 할당된 높은 TCP 포트
+ TCP 3268 및 3269 - 글로벌 카탈로그
+ TCP 9389 Active Directory 웹 서비스(ADWS)

하이브리드 디렉터리를 생성하는 데 필요한 최소 포트입니다. 특정 구성에서는 추가 포트를 개방해야 하는 경우도 있습니다.

**참고**  
도메인 컨트롤러 및 FSMO 역할 소유자에게 제공된 DNS IP는 Amazon VPC 내 두 서브넷의 CIDR에 대해 위 포트가 열려 있어야 합니다.

**참고**  
하이브리드 디렉터리는 UDP 포트 123이 열려 있어야 하며 Windows 시간 서버가 활성화되어 정상 작동해야 합니다. 하이브리드 디렉터리 복제가 제대로 작동하는지 확인하기 위해 시간을 도메인 컨트롤러와 동기화합니다.

## AWS 계정 권한
<a name="hybrid-dir-prereq-perms"></a>

에서 다음 작업에 대한 권한이 필요합니다. AWS 계정
+ ec2:AuthorizeSecurityGroupEgress
+ ec2:AuthorizeSecurityGroupIngress
+ ec2:CreateNetworkInterface
+ ec2:CreateSecurityGroup
+ ec2:DescribeNetworkInterfaces
+ ec2:DescribeSubnets
+ ec2:DescribeVpcs
+ ec2:CreateTags
+ ec2:CreateNetworkInterfacePermission
+ ssm:ListCommands
+ ssm:GetCommandInvocation
+ ssm:GetConnectionStatus
+ ssm:SendCommand
+ secretsmanager:DescribeSecret
+ secretsmanager:GetSecretValue
+ iam:GetRole
+ iam:CreateServiceLinkedRole

## Amazon VPC 네트워크 요구 사항
<a name="hybrid-dir-prereqs-vpc"></a>

다음을 갖춘 VPC
+ 최소 2개의 서브넷. 각 서브넷이 서로 다른 가용 영역에 있어야 합니다.
+ VPC가 기본 테넌시를 가지고 있어야 합니다.

198.18.0.0/15 주소 공간의 주소를 사용해 VPC에서 하이브리드 디렉터리를 생성할 수 없습니다.

Directory Service 는 두 개의 VPC 구조를 사용합니다. 디렉터리를 구성하는 EC2 인스턴스는 외부에서 실행되며 AWS 계정에서 관리합니다 AWS. `ETH0` 및 `ETH1`라는 2개의 어댑터가 있습니다. `ETH0`는 관리 어댑터로써 계정 외부에 위치합니다. `ETH1`는 계정 내부에서 생성됩니다.

디렉터리 ETH0 네트워크의 관리 IP 범위는 `198.18.0.0/15`입니다.

자세한 내용은 *Amazon VPC 사용 설명서*에서 다음 주제를 참조하세요.
+ [Amazon VPC란 무엇인가?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started.html)
+ [Amazon VPC란 무엇인가?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [VPC 및 서브넷](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#how-it-works-subnet)
+ [AWS Site-to-Site VPN란 무엇입니까?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC-VPN.html)

에 대한 자세한 내용은 [란 무엇입니까 AWS Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)를 AWS Direct Connect참조하십시오.

## AWS 보안 그룹 구성
<a name="hybrid-dir-prereqs-security-group"></a>

기본적으로는 VPC의 AWS Systems Manager 관리형 노드에 대한 네트워크 액세스를 허용하는 보안 그룹을 AWS 연결합니다. 선택적으로, VPC 외부에서 자체 관리형 도메인 컨트롤러로 들어오고 나가는 네트워크 트래픽을 허용하는 자체 보안 그룹을 제공할 수 있습니다.

선택적으로, VPC 외부에서 자체 관리형 도메인 컨트롤러로 들어오고 나가는 네트워크 트래픽을 허용하는 자체 보안 그룹을 제공할 수 있습니다. 자체 보안 그룹을 제공하는 경우 다음을 수행해야 합니다.
+ VPC CIDR 범위 및 자체 관리형 범위를 허용 목록에 추가합니다.
+ 이러한 범위가 [AWS 예약 IP 범위](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html)와 겹치지 않도록 합니다.

## 디렉터리 평가 고려 사항
<a name="hybrid-dir-prereqs-assessments"></a>

다음은 디렉터리 평가를 생성할 때 고려할 사항과 AWS 계정에서 보유할 수 있는 평가 수입니다.
+ 하이브리드 디렉터리를 생성하면 디렉터리 평가가 자동으로 생성됩니다. 평가에는 `CUSTOMER` 및 `SYSTEM`의 두 가지 유형이 있습니다. AWS 계정 의 `CUSTOMER` 디렉터리 평가는 100개로 제한됩니다.
+ 하이브리드 디렉터리 생성을 시도할 때 이미 `CUSTOMER` 디렉터리 평가를 100개 보유하고 있는 경우 오류가 발생합니다. 다시 시도하기 전에 평가를 삭제하여 용량을 확보합니다.
+ 기존 CUSTOMER `CUSTOMER` 디렉터리 평가에 문의 지원 하거나 삭제하여 디렉터리 평가 할당량 증가를 요청하여 용량을 확보할 수 있습니다.

# 하이브리드 디렉터리 생성
<a name="hybrid_directory_create"></a>

하이브리드 디렉터리를 생성하기 전에 자체 관리형 Active Directory의 연결성 및 상호 운용성을 확인하는 디렉터리 평가를 생성하여 성공적으로 통과해야 합니다.

## 자체 관리형 AD를 사용하여 하이브리드 디렉터리 생성
<a name="creating_hybrid_directory"></a>

다음 단계에 따라 자체 관리형 AD를 사용하여 하이브리드 디렉터리를 생성합니다.

**하이브리드 디렉터리를 생성하는 방법**

1. 원하는 리전의 Directory Service 콘솔을 엽니다.

1. **디렉터리 유형 선택** 페이지에서 **AWS Managed Microsoft AD**를 선택합니다.

1. ** AWS 관리형 Microsoft AD 시작하기**에서 **하이브리드 디렉터리로 AD 도메인 확장 – 신규**를 선택한 **후 다음을** 선택합니다. 이렇게 하면 **디렉터리 평가 생성** 페이지로 이동합니다.

1. 하이브리드 디렉터리를 생성하기 전에 디렉터리 평가를 수동으로 생성하여 성공적으로 통과해야 합니다. 디렉터리 평가를 생성하려면 [디렉터리 평가 생성](create_directory_assessment.md) 단계를 따릅니다. 디렉터리 평가를 성공적으로 통과한 후에 이 절차를 계속 진행할 수 있습니다.

1. 디렉터리 평가를 성공적으로 통과한 후에 **디렉터리** 페이지로 이동합니다.

1. **디렉터리** 페이지의 **평가판 하이브리드 디렉터리 평가**에서 **상태**가 `SUCCESS`인 **평가 ID**를 선택합니다. 그런 다음 **하이브리드 디렉터리 생성**을 선택하여 평가 세부 정보 페이지로 이동합니다.

1. 평가 세부 정보 페이지에서 **하이브리드 디렉터리 생성**을 선택하여 이 작업을 확인합니다. 이렇게 하면 **assessment-id를 사용하여 하이브리드 디렉터리 생성** 페이지가 열립니다.

1. **assessment-id를 사용하여 하이브리드 디렉터리 생성** 페이지에서 **자체 관리형 Active Directory 정보를 검토**합니다. 정보를 확인한 후 **하이브리드 디렉터리 생성**을 선택합니다.

   **하이브리드 디렉터리 생성을** 선택한 후는이 정보를 기반으로 다른 디렉터리 평가를 AWS 실행하여 자체 관리형 AD 구성이 여전히 유효한지 확인합니다. 디렉터리 평가를 성공적으로 통과하면 하이브리드 디렉터리가 생성됩니다.

1. **하이브리드 디렉터리 생성**을 선택하면 **디렉터리** 페이지로 돌아갑니다.

   1. 하이브리드 디렉터리가 성공적으로 생성되면 녹색 배너가 나타납니다.

   1. 하이브리드 디렉터리 생성에 실패하면 적색 배너가 나타납니다. 다음을 완료하여 하이브리드 디렉터리 생성 실패를 정리합니다.

      1. 콘솔에서 실패한 하이브리드 디렉터리를 삭제합니다.

      1. 자체 관리형 AD에서 나머지 AWS 예약 OUs 삭제합니다.

   **추가 정보**
   + [하이브리드 디렉터리 삭제](hybrid_directory_delete.md)
   + [문제 해결](hybrid_directory_troubleshooting.md)

# 하이브리드 디렉터리 보기 및 편집
<a name="hybrid_directory_view_and_edit"></a>

하이브리드 디렉터리를 보거나 편집하려면 다음 절차를 따르세요.

## 하이브리드 디렉터리 편집
<a name="viewing_hybrid_dir"></a>

 Directory Service 콘솔에서 하이브리드 디렉터리를 볼 수 있습니다.

**디렉터리에 대한 세부 정보 보기**

1. [Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. 디렉터리에 대한 디렉터리 ID 링크를 선택합니다. 디렉터리에 대한 정보가 **디렉터리 세부 정보** 페이지에 표시됩니다.

### 자체 관리형 Active Directory 정보
<a name="self-managed-active-directory-information"></a>

이 섹션에서는 AWS 인프라와 조인된 자체 관리형 Active Directory에 대한 정보를 제공합니다.
+ 디렉터리 유형
+ 디렉터리 ID
+ 디렉터리 상태
+ 자체 관리형 AD의 네트워킹 세부 정보는 다음과 같습니다.
  + VPC
  + 서브넷
  + DNS 주소
+ Systems Manager 관리형 노드

### 하이브리드 디렉터리 탭
<a name="hybrid_directory_tabs"></a>

 AWS 관리형 Microsoft AD에 대한 다음 정보를 찾을 수 있습니다.
+ **공유 및 공유** 탭에서 AWS 관리형 Microsoft AD를 다른 AWS 계정과 공유하고 도메인 컨트롤러의 네트워킹 세부 정보를 볼 수 있습니다.
+ **애플리케이션 관리** 탭에서 AWS 관리형 Microsoft AD에 대한 애플리케이션 액세스 URL을 활성화하고 AWS 관리형 Microsoft AD에 대한 애플리케이션 및 서비스를 활성화 AWS 할 수 있습니다.
+ **유지 관리** 탭에서 SNS가 AWS 관리형 Microsoft AD 상태에 대한 알림을 수신하고 AWS 관리형 Microsoft AD의 스냅샷을 검토하도록 할 수 있습니다.
+ **상태** 필드에 대한 자세한 내용은 [AWS Managed Microsoft AD 디렉터리 상태 이해](ms_ad_directory_status.md) 단원을 참조하세요.

## 하이브리드 디렉터리 업데이트
<a name="editing_hybrid_dir"></a>

 Directory Service 콘솔에서 하이브리드 디렉터리를 업데이트하여 DNS 설정을 수정하거나 관리자 계정 액세스를 복구할 수 있습니다.

**하이브리드 디렉터리 정보를 업데이트하는 방법**

1. [Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2) 탐색 창에서 **디렉터리**를 선택합니다.

1. 디렉터리의 디렉터리 ID 링크를 선택하여 **디렉터리 세부 정보** 페이지를 엽니다.

1. **작업**을 선택한 다음 **하이브리드 디렉터리 정보 업데이트**를 선택합니다.

1. **하이브리드 디렉터리 정보 업데이트** 페이지에서 DNS 설정을 업데이트하거나 관리자 계정을 복구할 수 있습니다.

   **DNS 설정 업데이트(선택 사항)**

   **자체 관리형 Active Directory 정보**에서 다음을 변경할 수 있습니다.

   1. **디렉터리 DNS 이름**

   1. **DNS IP 주소**

   두 설정을 함께 또는 개별적으로 업데이트할 수 있습니다. 업데이트 프로세스를 진행하려면 최소한 하나 이상의 변경 사항이 필요합니다.

1. **하이브리드 디렉터리 관리자 계정 복구**

   하이브리드 디렉터리 관리자 계정을 복구하려면 사용자에 대한 임시 액세스 권한이 필요합니다. 이 액세스는 Secrets Manager의 보안 암호를 통해 제공됩니다. 이러한 자격 증명은 복구 중에 한 번 사용되며 저장되지 않습니다. 하이브리드 디렉터리 관리자 계정이 있는 경우 자체 관리형 Active Directory 관리자 사용자를 업데이트했더라도 이 보안 암호를 업데이트할 필요가 없습니다.

   1. **관리자 자격 증명 보안 암호** - 하이브리드 디렉터리를 생성할 때 하이브리드 디렉터리 관리자 계정을 생성합니다. 이 보안 암호를 삭제한 경우 자체 관리형 AD 관리자 사용자의 Secrets Manager 보안 암호를 입력합니다.

# 하이브리드 디렉터리 삭제
<a name="hybrid_directory_delete"></a>

하이브리드 디렉터리를 삭제하면 모든 디렉터리 데이터와 스냅샷이 삭제되어 복구가 불가능합니다. 디렉터리가 삭제된 후에도 디렉터리에 조인된 모든 인스턴스는 변동 없이 유지됩니다. 그러나 디렉터리 자격 증명을 사용해서는 이러한 인스턴스에 로그인할 수 없습니다. 로컬 사용자 계정으로 이러한 인스턴스에 로그인해야 합니다.

**디렉터리를 삭제하는 방법**

1. [Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다. 하이브리드 디렉터리가 배포 AWS 리전 된에 있는지 확인합니다. 자세한 내용은 [리전 선택](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/select-region.html)을 참조하세요.

1. 삭제하려는 디렉터리에 대해 AWS 애플리케이션이 활성화되어 있지 않은지 확인합니다. 활성화된 AWS 애플리케이션을 사용하면 하이브리드 디렉터리를 삭제할 수 없습니다.

1. [**Directories**] 페이지에서 디렉터리 ID를 선택합니다.

1. **디렉터리 세부 정보** 페이지에서 **애플리케이션 관리** 탭을 선택합니다. **AWS 앱 및 서비스** 섹션에서 디렉터리에 대해 활성화된 AWS 애플리케이션을 확인할 수 있습니다.

   1.  AWS Management Console 액세스를 비활성화합니다. 자세한 내용은 [AWS Management Console 액세스 비활성화](https://docs.aws.amazon.com/ms_ad_management_console_access.xml)를 참조하세요.

   1. Amazon FSx for Windows File Server를 비활성화하려면 도메인에서 Amazon FSx 파일 시스템을 제거해야 합니다. 자세한 정보는 *Amazon FSx for Windows File Server 사용 설명서*의 [FSx for Windows File Server에서 Active Directory로 작업하기](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/aws-ad-integration-fsxW.html)를 참조하세요.

   1. Amazon 관계형 데이터베이스 서비스를 비활성화하려면 도메인에서 Amazon RDS 인스턴스를 제거해야 합니다. 자세한 내용은 *Amazon RDS 사용 설명서*의 [도메인에서 DB 인스턴스 관리하기](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_SQLServerWinAuth.html#USER_SQLServerWinAuth.Managing) 단원을 참조하세요.

1. 탐색 창에서 **디렉터리**를 선택합니다.

1. 삭제할 디렉터리만 선택하고 **삭제**를 클릭합니다. 디렉터리를 삭제하는 데 몇 분 정도 걸립니다. 삭제된 디렉터리는 디렉터리 목록에서 제거됩니다.

1. 모든 AWS 예약 OU를 포함하여 남아 있는 도메인 컨트롤러 개체를 수동으로 삭제합니다. 전체 AWS 예약 디렉터리를 삭제하여 환경 정리를 완료할 수 있습니다.

# 하이브리드 디렉터리에 대한 디렉터리 평가
<a name="hybrid_directory_assessment"></a>

디렉터리 평가를 통해 자체 관리형 Active Directory 환경이 하이브리드 디렉터리를 생성하기 위한 요구 사항을 충족하는지 확인합니다. 이 평가에서는 자체 관리형 AD와 Directory Service간에 연결을 설정하기 전에 잠재적 문제를 식별하고 해결하는 데 도움이 되도록 네트워크 연결, 도메인 컨트롤러 구성, 필수 서비스를 확인합니다.

디렉터리 평가에는 두 가지 유형이 있습니다.
+ *`CUSTOMER` 평가* - 하이브리드 디렉터리 설정을 시작할 때 콘솔에서 사용자가 시작합니다. 진행 중인 평가를 포함하여 고객 디렉터리 평가를 삭제할 수 있습니다. 최대 100개의 고객 평가를 받을 수 있습니다.
+ *`SYSTEM` 평가* - AWS 에서 자동으로 생성되고 생성 성공 후 주기적으로 실행됩니다. `SYSTEM` 평가는 삭제할 수 없습니다.

디렉터리 평가는 환경 준비 상태에 대한 다음과 같은 중요한 정보를 제공합니다.
+ 자체 관리형 AD와 간의 연결 AWS
+ 도메인 컨트롤러에 필요한 서비스의 가용성
+  AWS Directory Service 요구 사항과의 구성 호환성
+ 하이브리드 디렉터리 생성 성공을 방해할 수 있는 잠재적 문제

하이브리드 디렉터리를 생성하려면 먼저 디텍터리 평가를 성공적으로 완료(통과)해야 합니다. 평가가 실패하면 세부 보고서를 보고 문제를 식별하고 해결한 후 다시 시도할 수 있습니다. AWS 는 30일 후에 `SYSTEM` 평가를 삭제합니다.

**Topics**
+ [디렉터리 평가 생성](create_directory_assessment.md)
+ [디렉터리 평가 보기](viewing_hybrid_dir_assessment.md)
+ [디렉터리 평가 삭제](deleting_hybrid_dir_assessment.md)

# 디렉터리 평가 생성
<a name="create_directory_assessment"></a>

하이브리드 디렉터리를 생성하는 과정에서 디렉터리 평가를 함께 생성하거나 수동으로 생성할 수 있습니다. 평가를 수동으로 생성하려면 [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) Directory Service 콘솔을 엽니다. **디렉터리** 페이지의 **디렉터리 평가** 섹션에서 **평가 생성을** 선택합니다.

**디렉터리 평가를 생성하는 방법**

1. **디렉터리 평가 생성** 페이지의 **디렉터리 DNS 이름**에 자체 관리형 Active Directory DNS 이름을 입력합니다.

1. **DNS IP 주소**에 자체 관리형 AD의 DNS IP 주소 2개를 입력합니다.

1. 하이브리드 디렉터리에는 서브넷이 최소 2개 이상인 Amazon VPC가 필요합니다. 아직 없는 경우 이를 생성하면 됩니다. **네트워킹** 섹션에서 다음을 제공합니다.

   1. **VPC**에서 VPC의 식별자를 선택합니다.

   1. **서브넷**에서 두 서브넷 각각에 대한 식별자를 선택합니다. 각 서브넷은 서로 다른 가용 영역에 있어야 합니다. 자세한 내용은 [Amazon VPC 네트워크 요구 사항](create_hybrid_directory_prereqs.md#hybrid-dir-prereqs-vpc) 단원을 참조하십시오.

   1. **보안 그룹**에서 보안 그룹 식별자를 선택합니다. 기본적으로는 Amazon VPC의 AWS Secrets Manager 관리형 노드에 대한 네트워크 액세스를 허용하는 보안 그룹을 AWS 연결합니다. 선택적으로, Amazon VPC 외부에서 자체 관리형 도메인 컨트롤러로 들어오고 나가는 네트워크 트래픽을 허용하는 자체 보안 그룹을 제공할 수 있습니다.

1. **AWS Systems Manager 노드** 섹션에서 다음 요구 사항에 따라 두 개의 Systems Manager 노드 또는 인스턴스를 선택합니다.
   + Active Directory가 ** AWS 클라우드외부 자체 관리형**인 경우 하이브리드 및 멀티클라우드 환경을 위해 두 개의 Systems Manager 노드가 필요합니다. 이러한 노드를 프로비저닝하는 방법에 대한 자세한 내용은 [하이브리드 및 멀티클라우드 환경을 위한 Systems Manager 설정](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-hybrid-multicloud.html)을 참조하세요.
   + Active Directory가 **내에서 자체 관리형 AWS 클라우드**인 경우 Systems Manager 관리형 EC2 인스턴스 2개가 필요합니다. 이러한 인스턴스를 프로비저닝하는 방법에 대한 자세한 내용은 [Systems Manager를 사용한 EC2 인스턴스 관리](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html)를 참조하세요.

1. **다음**을 선택하여 **디렉터리 평가 검토 및 생성** 페이지를 엽니다.

1. **디렉터리 평가 검토 및 생성** 페이지에서 디렉터리 평가 정보를 검토하고 필요한 사항을 변경합니다. 정보가 올바르면 **평가 생성**을 선택합니다. 디렉터리 평가를 생성하는 데 약 30분이 걸립니다. 디렉터리 세부 정보 페이지로 돌아갑니다. 디렉터리 평가가 성공하면 녹색 배너가 나타납니다.
**주의**  
하이브리드 디렉터리를 생성하려면 디렉터리 평가가 성공 상태로 전환되어야 합니다. 먼저 디렉터리 평가를 성공적으로 통과하지 않으면 하이브리드 디렉터리를 생성할 수 없습니다.

# 디렉터리 평가 보기
<a name="viewing_hybrid_dir_assessment"></a>

에서 디렉터리 평가를 보고 평가 결과를 AWS Management Console 검토하고 평가 보고서를 관리할 수 있습니다.

**디렉터리 평가를 보는 방법**

1. [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) Directory Service 콘솔을 엽니다.

1. **디렉터리** 페이지의 **평가판 디렉터리 평가** 섹션에서 보려는 평가를 선택합니다. 이렇게 하면 평가 세부 정보 페이지가 열립니다.

1. 평가 세부 정보 페이지에서 다음을 선택할 수 있습니다.
   + **다운로드**를 선택하여 디렉터리 평가 보고서를 CSV 파일로 다운로드합니다.
   + **삭제**를 선택하여 디렉터리 평가 보고서를 삭제합니다.
   + **평가 생성**을 선택하여 새 디렉터리 평가를 생성합니다.

1. 평가 세부 정보 페이지에서는 다음 정보를 검토할 수 있습니다.

   1. 평가 ID, 상태, 생성자(고객 또는 시스템), 최종 업데이트한 날짜 등의 평가 정보.

   1. DNS 이름, VPC 및 서브넷 등의 자체 관리형 AD 세부 정보.

   1. AWS IP 주소, 평가 상태, 통과 및 실패한 평가 테스트 수와 같은 Systems Manager 관리형 노드 정보입니다.

   1. 도메인 컨트롤러의 평가 상태. 도메인 컨트롤러를 선택하여 평가 테스트 세부 정보를 검토할 수도 있습니다. 오류 코드는 실패한 평가 테스트의 **상태** 열에 나타납니다.

# 디렉터리 평가 삭제
<a name="deleting_hybrid_dir_assessment"></a>

 AWS Management Console에서 고객이 생성한 디렉터리 평가를 삭제할 수 있습니다. 가 자동으로 AWS 생성하는 시스템 시작 평가는 삭제할 수 없습니다.

**고객 디렉터리 평가를 삭제하는 방법**

1. [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) Directory Service 콘솔을 엽니다.

1. **디렉터리** 페이지의 **디렉터리 평가** 섹션에서 삭제할 고객 평가를 선택합니다. 또는 삭제하려는 디렉터리 평가 옆의 확인란을 선택한 다음 **작업** 메뉴에서 **삭제**를 선택합니다.

1. **평가** 세부 정보 페이지로 이동합니다. **작업**을 선택한 다음 **평가 삭제**를 선택합니다. **디렉터리 평가 삭제** 대화 상자가 나타납니다. **삭제**를 선택합니다.

# 하이브리드 디렉터리 및 디렉터리 평가 문제 해결
<a name="hybrid_directory_troubleshooting"></a>

하이브리드 디렉터리를 생성하려면 디렉터리 평가를 수행해야 합니다. 평가 테스트는 각 도메인 컨트롤러에서 실행합니다. 평가 테스트는 다양한 영역을 검사하며, 그 결과는 통과 또는 실패 상태로 나타납니다. 디렉터리 평가에 실패하면 도메인 컨트롤러의 평가 테스트를 확인하여 실패의 원인이 된 문제를 식별할 수 있습니다.

**중요**  
디렉터리 평가 상태가 경고와 함께 통과인 경우 하이브리드 디렉터리를 생성할 수 있습니다. 하이브리드 디렉터리를 생성하기 전에 경고를 유발하는 문제를 해결하는 것이 좋습니다.

**Topics**
+ [실패한 하이브리드 디렉터리 평가 문제 해결](#hybrid_directory_troubleshooting_steps)
+ [디렉터리 상태 오류](hybrid_directory_status_errors.md)
+ [디렉터리 평가 오류 메시지](da-error-msgs.md)
+ [평가 테스트 오류 메시지](assessment_test_error-msgs.md)
+ [평가 테스트 경고 메시지](assessment_test_warning-msgs.md)

## 실패한 하이브리드 디렉터리 평가 문제 해결
<a name="hybrid_directory_troubleshooting_steps"></a>

 AWS Management Console의 **디렉터리** 페이지에서 실패한 디렉터리 평가 문제를 해결할 수 있습니다.

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/) Directory Service 콘솔을 엽니다.

1. **디렉터리 평가** 섹션에서 실패한 하이브리드 디렉터리 평가를 선택합니다.

1. **평가 세부 정보** 페이지에서 디렉터리 평가를 검토하고 실패한 테스트를 식별합니다.

   1. 도메인 컨트롤러의 평가 테스트에는 성공 또는 실패한 테스트에 대한 자세한 정보가 있습니다. **상태** 열은 테스트 실패 원인에 대한 자세한 내용을 제공합니다. 도메인 컨트롤러의 평가 테스트를 보려면 [디렉터리 평가 보기](viewing_hybrid_dir_assessment.md)를 참조하세요.

1. 자체 관리형 Active Directory 또는 AWS Managed Microsoft AD에서 실패를 일으키는 문제를 해결합니다. 자세한 내용은 [디렉터리 평가 오류 메시지](da-error-msgs.md) 및 [평가 테스트 오류 메시지](assessment_test_error-msgs.md) 섹션을 참조하세요.

1.  Directory Service 콘솔에서 실패한 평가로 돌아갑니다. 빨간색 경고 메시지에서 **평가 생성**을 선택합니다. 디렉터리 평가 생성에 대한 자세한 내용은 [자체 관리형 AD를 사용하여 하이브리드 디렉터리 생성](hybrid_directory_create.md#creating_hybrid_directory)를 참조하세요.

# 디렉터리 상태 오류
<a name="hybrid_directory_status_errors"></a>

Directory Service 디렉터리에는 다양한 유형의 문제를 나타내는 다양한 상태가 발생할 수 있습니다. 이러한 상태를 이해하면 적절한 문제 해결 단계를 결정하는 데 도움이 됩니다.


**디렉터리 상태 유형**  

| Status | 설명 | 필요 작업 | 
| --- | --- | --- | 
| 활성 | 디렉터리 생성이 성공적으로 완료되었으며 정상적으로 작동합니다. | 작업이 필요하지 않습니다. | 
| [Impaired] | 디렉터리가 성공적으로 생성되었지만 이후 도메인 컨트롤러에 문제가 발생했습니다. 시스템에서 자동 복구를 시도합니다. | 디렉터리 상태를 모니터링합니다. 문제가 지속되면 AWS Support에 문의하십시오. | 
| 실패 | 디렉터리 생성에 실패하여 복구할 수 없습니다. | 실패한 디렉터리를 삭제하고 새로 생성합니다. | 
| 작동 불가(하이브리드 AD만 해당) | AWS 에서 보안 문제를 감지하고 보호를 위해 디렉터리를 자동으로 격리했습니다. 디렉터리는 복원될 때까지 완전히 사용할 수 없게 됩니다. |  즉시 [AWS Support 센터에](https://console.aws.amazon.com/support/home#/) 문의하세요. 디렉터리를 조사하고 복원하려면이 상태에 지원 개입이 필요합니다. | 

# 디렉터리 평가 오류 메시지
<a name="da-error-msgs"></a>

하이브리드 디렉터리를 생성하려면 디렉터리 평가에 통과해야 합니다. 디렉터리 평가는 다양한 이유로 실패할 수 있습니다.

다음 표에는 디렉터리 평가 오류 메시지와 이를 해결하는 방법이 나와 있습니다.


**디렉터리 평가 오류 메시지 및 해결 방법**  

| 디렉터리 평가 오류 메시지 | 해결 방법 | 
| --- | --- | 
|  이 평가는 두 관리형 인스턴스 모두에 대한 여러 테스트에 실패했습니다. 각 관리형 인스턴스를 선택하여 실패한 테스트를 조사하고 온프레미스 디렉터리에서 해결합니다. 그런 다음 새 평가를 생성합니다.  |  자체 관리형 AD에 대한 디렉터리 평가 테스트 중 하나 이상이 실패했습니다. 특정 테스트 실패 및 해결 방법에 대한 자세한 내용은 [평가 테스트 오류 메시지](assessment_test_error-msgs.md)를 검토하세요.  | 
|  이 평가는 내부 서비스 예외로 인해 실패했습니다. 새 평가를 생성하여 다시 시도하거나 문제 해결을 위해 서비스에 문의하세요.  |  새 디렉터리 평가를 생성하세요. 그래도 이 오류가 지속되면 [지원](https://aws.amazon.com/premiumsupport/)에 문의하세요.  | 
|  이 평가는 `ec2:CreateSecurityGroup`, `ec2:DeleteSecurityGroup`, `ec2:CreateNetworkInterface`, `ec2:DeleteNetworkInterface`, `ec2:DescribeSubnets`, `ec2:DescribeNetworkInterface` 등의 작업을 수행할 수 있는 권한이 누락되어 실패했습니다.  |  디렉터리 평가를 생성하려면에 필요한이 AWS 계정 필요합니다[AWS 계정 권한](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms).  | 
|  이 평가는 `ssm:GetConnectionStatus`, `ssm:GetCommandInvocation`, `ssm:ListCommands`, `ssm:SendCommand` 등의 작업을 수행할 수 있는 권한이 누락되어 실패했습니다.  |  디렉터리 평가를 생성하려면 필요한 [AWS 계정 권한](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms)이 있는 두 개의 Systems Manager 노드가 필요합니다.  | 
|  이 평가는 생성할 수 있는 네트워크 인터페이스 수 제한에 도달하여 실패했습니다. 자세한 내용은 [Amazon VPC할당량](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)을 참조하세요.  |  디렉터리 평가를 생성하려면 네트워크 인터페이스와 보안 그룹을 생성해야 합니다. 생성할 수 있는 VPC 리소스 수에는 제한이 있지만 이러한 제한 중 일부를 조정할 수 있습니다. 자세한 내용은 [Amazon VPC할당량](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)을 참조하세요.  | 
|  이 평가는 생성하거나 인스턴스에 할당할 수 있는 보안 그룹 수 제한에 도달하여 실패했습니다. 자세한 내용은 [Amazon VPC할당량](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)을 참조하세요.  |  디렉터리 평가를 생성하려면 네트워크 인터페이스와 보안 그룹을 생성해야 합니다. 생성할 수 있는 VPC 리소스 수에는 제한이 있지만 이러한 제한 중 일부를 조정할 수 있습니다. 자세한 내용은 [Amazon VPC할당량](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.htmll)을 참조하세요.  | 
|  이 평가는 실패했습니다. 에서 고객 인스턴스에 연결할 수 없습니다 AWS Systems Manager.  |  디렉터리 평가를 생성하려면 연결된 상태의 AWS Systems Manager 노드 2개가 필요합니다. [SSM 에이전트 문제 해결](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-ssm-agent.html)을 확인하세요.  | 
|  이 평가는 여러 중요 테스트에 실패했습니다. 각 관리형 인스턴스를 선택하여 실패한 테스트를 조사하고 온프레미스 디렉터리에서 해결합니다. 그런 다음 새 평가를 생성합니다.  |  자체 관리형 AD에 대한 디렉터리 평가 테스트 중 하나 이상이 실패했습니다. 자세한 내용은 [평가 테스트 오류 메시지](assessment_test_error-msgs.md)를 검토하세요.  | 

# 평가 테스트 오류 메시지
<a name="assessment_test_error-msgs"></a>

다음 표는 평가 테스트 중에 발생할 수 있는 오류 메시지를 설명합니다. 이러한 오류는 하이브리드 디렉터리 설정을 진행하기 전에 해결해야 하는 차단 문제를 나타냅니다.


| 테스트 이름 | 짧은 이름 | 오류 코드 | 오류 메시지 | 설명 | 해결 방법 | 
| --- | --- | --- | --- | --- | --- | 
| Active Directory Services 테스트 | `testActiveDirectoryServices` | `AD_CRITICAL_SERVICES_NOT_RUNNING` | `Critical AD Services: [service_list] not running on hostname`. | 필요한 AD 서비스가 자체 관리형 AD에서 실행되지 않는 경우 발생합니다. | 특정 필수 AD 서비스는 자체 관리형 AD에서 실행되어야 합니다. 자세한 내용은 [필수 Active Directory 서비스](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-services) 단원을 참조하십시오. | 
| Active Directory Services 테스트 | `testActiveDirectoryServices` | `DOMAIN_CONTROLLER_NOT_FOUND` | `No domain controllers found for testActiveDirectoryServices.` | `Occurs if your self-managed AD domain controllers could not be both detected and queried during AD service validation.` | 자체 관리형 AD 도메인 컨트롤러가 작동하며 접근 가능한 상태인지 확인합니다. 자체 관리형 AD 도메인 컨트롤러의 네트워크 연결 및 DNS 확인을 확인합니다. | 
| AD 암호 정책 테스트 | `testPasswordPolicies` | `PASSWORD_POLICY_VIOLATIONS` | *`ErrorMessage`* | 자체 관리형 AD 암호 정책이 AWS 관리형 Microsoft AD 요구 사항을 충족하지 않는 경우 발생합니다. | 자체 관리형 AD 암호 정책은 AWS Managed Microsoft AD 암호 요구 사항을 충족해야 합니다. 자세한 내용은 [AWS 관리형 Microsoft AD 암호 정책 이해를](https://docs.aws.amazon.com/irectoryservice/latest/admin-guide/ms_ad_password_policies.html) 참조하세요. | 
| AWS 관리자 사용자 기존 테스트 | `testAwsAdminUserExist` | `ADMINISTRATOR_ACCOUNT_MISSING` | `AWS Admin user not found or invalid.` | 하이브리드 디렉터리 관리자 사용자가 자체 관리형 AD의 AWS 예약 OU에 없는 경우 발생합니다. | 하이브리드 디렉터리 관리자 사용자가 자체 관리형 AD의 AWS 예약 OU에 존재하는지 확인합니다. 사용자가 누락된 경우 하이브리드 디렉터리 설정 프로세스 과정에서 계정이 올바르게 생성되었는지 확인합니다. [하이브리드 디렉터리 업데이트](hybrid_directory_view_and_edit.md#editing_hybrid_dir). 하이브리드 디렉터리가 작동 불가 상태인 경우 [지원](https://console.aws.amazon.com/support/home#/)에 문의하세요. | 
| AWS 관리자 사용자 SPN 테스트 | `testNoSpnOnAwsAdminAccount` | `SPN_FOUND_ON_AWS_ADMIN` | `Found spnCount Service Principal Names (SPNs) set on AWS admin user Username. Please remove all SPNs from this account.` | 하이브리드 디렉터리 관리자 사용자에게 자체 관리형 AD에 구성된 SPNs이 있는 경우 발생합니다. |  AWS 하이브리드 디렉터리 관리자 사용자 계정에서 모든 서비스 보안 주체 이름(SPNs)을 제거합니다. 하이브리드 디렉터리 관리자 사용자는 하이브리드 디렉터리 인증을 방해할 수 있으므로 구성된 SPNs이 없어야 합니다. | 
| AWS 도메인 컨트롤러 FSMO 소유자가 아닌 테스트 | `testAwsDcNotFsmoOwner` | `AWS_DC_HOLDS_FSMO_ROLE` | `AWS Domain Controller owns FSMO roles: rolesList. Please remove these roles.` | 자체 관리형 AD에서 하이브리드 디렉터리 도메인 컨트롤러로 FSMO 역할(PDC Emulator, RID Master, Infrastructure Master)을 이전한 경우 발생합니다. | 계속하기 전에 모든 FSMO 역할(PDC Emulator, RID Master, Infrastructure Master)을 자체 관리형 AD 도메인 컨트롤러로 다시 전송합니다. 자세한 내용은 [FSMO 역할 이전에 대한 Microsoft 설명서](https://learn.microsoft.com/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles)를 참조하세요. | 
| AWS 예약 그룹 멤버십 테스트 | `testValidateAwsReservedGroupMembership` | `AWS_RESERVED_OU_NOT_FOUND` | `AWS Reserved OU not found.` | 자체 관리형 ADOU의 AWS 예약이 없는 경우 발생합니다. | 그룹 멤버십을 검증하려면 자체 관리형 AD에 AWS 예약이 있어야 OU 합니다. [지원](https://console.aws.amazon.com/support/home#/)에 문의하세요. | 
| AWS 예약 그룹 멤버십 테스트 | `testValidateAwsReservedGroupMembership` | `GROUP_MEMBERSHIP_MISMATCH` | `AWS Reserved OU Group [GroupNameA]: Missing User(s) [ Object1 ], [ Object2] and Extra user(s) [ Object3 ].` | 자체 관리형 AD의 AWS 예약 OU 그룹에 권한이 없는 사용자가 포함된 경우 발생합니다. | 자체 관리형 AD의 AWS 예약 OU 그룹에서 권한이 없는 사용자를 제거합니다. | 
| AWS 예약 OU ACLs 테스트 | `testReservedOuAclsPermissions` | `RESERVED_OU_NON_COMPLIANT_AC` | `AWS Reserved OU ACLs permissions are invalid.` | 자체 관리형 AD의 AWS 예약가 비관리형 AWS리소스OUACLs에 대한 무단 액세스를 방지하지 않고 엔터티에 대한 읽기 전용 권한을 적용하지AWS 않는 경우에 발생합니다. | 자체 관리형 AD의 AWS 예약OUACLs에 대한 권한을 검토하고 수정합니다. 비AWS 엔터티에 읽기 권한(`ListChildren`, `ReadProperty`, `ListObject`, `ReadControl`, `GenericRead`, `Synchronize`)만 있는지 확인하고 과도한 권한을 제거합니다. | 
| AWS 예약 OU GPO 연결 테스트 | `testReservedOuGPOs` | `AWS_RESERVED_OU_NON_RESERVED_GPO_FOUND` | `Found non-AWS GPOs attached to the AWS Reserved OU: AWS Reserved OU (count unauthorized). Allowed GPOs: [allowedAwsGpos]. Domain Controllers OU (count unauthorized). Allowed GPOs: [allowedDcGpos]. Please, remove extra GPOs from the AWS Reserved OU.` | 자체 관리형 AD의 AWS 예약 OU 및 도메인 컨트롤러가 승인되지 않은 OU에 연결된 경우 발생합니다GPOs. | ( AWS 관리형 그룹 정책 객체(GPOs)만 이러한에 연결할 수 있습니다OUs. 자체 관리형 AD에서 AWS 예약 OU 및 도메인 컨트롤러OU에 무단으로 GPOs 연결된 모든를 제거합니다. | 
| AWS 예약 OU 리소스 테스트 | `testAwsReservedOUResources` | `AWS_RESERVED_OU_NOT_FOUND` | `The AWS Reserved OU does not exist. Please contact AWS Support.` |  AWS 관리형 Microsoft AD 디렉터리 기능에 필요한 자체 관리형 AD에 AWS 예약이 OU 없는 경우 발생합니다. |  AWS 예약은 하이브리드 디렉터리 설정 중에 자동으로 생성OU되어야 하며 삭제해서는 안 됩니다. 오류가 지속될 경우 [지원](https://console.aws.amazon.com/support/home#/)에 문의하세요. | 
| AWS 예약 OU 리소스 테스트 | `testAwsReservedOUResources` | `AWS_RESERVED_OU_RESOURCES_MISMATCH` | `The following required resources are missing from AWS Reserved OU - Objects: missing objects, GPOs: missing GPOs. The following resources should not exist but were found in AWS Reserved OU: Objects: unexpected objects, GPOs: unexpected GPOs` | 자체 관리형 AD에서 OU 생성된 AWS 예약에 적절한 하이브리드 디렉터리 작업을 GPOs 위해 필요한 객체 및가 포함되어 있지 않은 경우에 발생합니다. | 아무도 AWS 예약를 편집하지 않도록 합니다OU. 필수 AWS관리형 리소스가 포함되어야 합니다. 승인되지 않은 객체 또는 GPOs를 제거하고 필요한 리소스가 누락된 경우 [지원](https://console.aws.amazon.com/support/home#/)에 문의하세요. | 
| AWS 예약 OU 테스트 | `testCleanAwsReservedOU` | `AWS_RESERVED_RESOURCES_STILL_EXIST` | `AWS Reserved OU or AWS Reserved GPO still exists, please delete.` | 이전 하이브리드 디렉터리 설정의 자체 관리형 AD에 있는 AWS 예약 리소스가 여전히 존재하는 경우 발생합니다. | 콘솔에서 기존의 실패한 하이브리드 디렉터리를 삭제합니다. 그런 다음 진행하기 전에 자체 관리형 ADGPOs에서 AWS 예약 OU 및 관련 항목을 삭제합니다. | 
| Bridgehead 이름 지정 컨텍스트 테스트 | `testBridgeheadNamingContext` | `NAMING_CONTEXT_INCONSISTENT` | *`failureDetails`* | Bridgehead를 사용하는 사이트 간 자체 관리형 AD 복제가 예상대로 작동하지 않는 경우 발생합니다. 이름 지정 컨텍스트가 사이트 간에 동기화되지 않은 경우에도 발생할 수 있습니다. | 자체 관리형 AD bridgehead 사이트가 성공적으로 작동해야 합니다. `repadmin /bridgeheads /verbose`를 사용하여 추가로 진단할 수 있습니다. 계속하기 전에 해당 평가의 문제를 해결합니다. | 
| 하위 도메인 테스트 | `testChildDomain` | `CHILD_DOMAIN_NOT_SUPPORTED` | `Child Domains are not supported for Hybrid Directory.` | 자체 관리형 AD 포리스트에 AWS 관리형 Microsoft AD 디렉터리에서 지원되지 않는 하위 도메인이 포함된 경우 발생합니다. | AWS 관리형 Microsoft AD 디렉터리는 하위 도메인을 지원하지 않습니다. 자체 관리형 AD에는 단일 도메인 포리스트를 사용해야 합니다. 자세한 내용은 [Microsoft Active Directory 도메인 요구 사항](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain) 단원을 참조하십시오. | 
| DcDiag 테스트 | `testDcDiag` | `DCDIAG_TEST_FAILED` | `DCDiag test failed due to issue from [formatedFailedTests].` | 자체 관리형 AD에서 Microsoft DCDiag 테스트 중 하나라도 실패할 경우 발생합니다. | AWS 는 DCDiag를 사용하여 자체 관리형 AD를 테스트합니다. 오류가 있는 경우 하이브리드 디렉터리를 생성할 수 없습니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/troubleshoot-domain-controller-deployment#tools-and-commands-for-troubleshooting-domain-controller-configuration)를 참조하세요. | 
| DNS IP 일치 테스트 | `testDnsIpMatch` | `DNS_IP_MISMATCH` | `DNS IP address does not match expected IP addresses.` | 자체 관리형 AD에 제공된 DNS IP 주소가 AWS Systems Manager에서 활성화된 자체 관리형 AD 도메인 컨트롤러의 DNS IP 주소와 일치하지 않는 경우 발생합니다. | 올바른 DNS IP 주소를 제공합니다. | 
| DNS 이름 일치 테스트 | `testDnsNameMatch` | `DOMAIN_DNS_NAME_MISMATCH` | `DNS name does not match expected domain name.` | 자체 관리형 AD에 제공된 DNS 이름이 AWS Systems Manager에서 활성화된 자체 관리형 AD 도메인 컨트롤러의 DNS 이름과 일치하지 않는 경우 발생합니다. | 올바른 DNS 이름을 제공합니다. | 
| DNS 레코드 테스트 | `testDnsRecords` | `DNS_RECORD_MISSING` | `Unable to resolve the following DNS queries: [missingRecordsString`]. | Windows DNS 레코드가 A, NS, SOA, SRV 유형에 대해 설정되지 않고 쿼리할 수 없을 경우 발생합니다. | 주소(A), 네임스페이스(NS), 권한 상태(SOA) 및 서비스 레코드(SRV)에 대한 DNS 레코드를 설정해야 하며 쿼리할 수 있도록 해야 합니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/azure/dns/dns-zones-records)를 참조하세요. | 
| 도메인 포리스트 기능 수준 테스트 | `testDomainForestFunctionalLevel` | `UNSUPPORTED_FUNCTIONAL_LEVEL` | `Detected unsupported domain functional level: DomainFunctionalLevel, we require minimum of MinimumDomainMode. Detected unsupported forest functional level: ForestFunctionalLevel, we require minimum of MinimumForestMode.` | 자체 관리형 AD 도메인 및 포리스트 기능 수준이 최소 요구 사항을 충족하지 않는 경우 발생합니다. | 자체 관리형 AD는 Windows 2012 R2 또는 2016 기능 수준을 사용해야 합니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/ad-ds-deployment)를 참조하세요. | 
| 도메인 상태 테스트 | `testOnPremDcNumber` | `DC_NUMBER_BELOW_LIMIT` | `On-Prem DC count is lower than required number. DC count is NumberOfDc, AWS required number is DcMinimum.` | 자체 관리형 AD에 필요한 최소 도메인 컨트롤러 수가 없는 경우 발생합니다. | 자체 관리형 AD에 로 활성화된 도메인 컨트롤러가 두 개 이상 있는지 확인합니다 AWS Systems Manager. 자세한 내용은 [Microsoft Active Directory 도메인 요구 사항](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain) 단원을 참조하십시오. | 
| 기존 도메인 테스트 | `testDomainAlreadyJoined` | `DOMAIN_ALREADY_JOINED` | `Instance is already joined to a domain.` | 자체 관리형 AD 도메인이 기존 하이브리드 디렉터리에 이미 조인된 경우 발생합니다. | 자체 관리형 AD 도메인이 기존 하이브리드 디렉터리에 이미 조인되어 있습니다. 하이브리드 디렉터리와 조인된 각 자체 관리형 AD 도메인은 고유해야 합니다. 새 자체 관리형 AD 도메인을 생성하거나 조인된 하이브리드 디렉터리 구성에서 해당 도메인을 제거하세요. | 
| FSMO 연결 테스트 | `testFsmoConnectivity` | `FSMO_ROLE_HOLDER_NOT_ROUTABLE` | `(PDCEmulator Ip: 1.1.1.1, RIDMaster Ip: 1.1.1.1) is not in routable ranges: [2.2.0.0/16, 3.3.0.0/16, 4.4.0.0/16, 5.5.0.0/16, 6.6.0.0/16].` | 자체 관리형 AD의 FSMO 역할, PDC Emulator, RID Master IP를 라우팅할 수 없는 경우 발생합니다. | 기본 도메인 컨트롤러(PDC)는 항상 라우팅 가능해야 합니다. 특히 자체 관리형 AD의 PDC Emulator 및 RID Master IP는 더욱 그렇습니다. 자세한 내용은 [Microsoft Active Directory 도메인 요구 사항](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain) 단원을 참조하십시오. | 
| FSMO 연결 테스트 | `testFsmoConnectivity` | `FSMO_ROLE_MISSING` | `FSMO role(s): [missingRolesString] missing or DNS Record not found.` | 자체 관리형 AD 도메인 컨트롤러가 FSMO 역할에 액세스할 수 없는 경우 발생합니다. | 자체 관리형 AD의 유연한 단일 마스터 작업(FSMO) 역할은 자체 관리형 AD 도메인 컨트롤러에 연결되어야 합니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles)를 참조하세요. | 
| IP 충돌 테스트 | `testIpConflict` | `IP_RANGE_CONFLICT` | `Conflicting IP address detected: ipOverlaps` | 자체 관리형 AD IP 범위가 AWS 예약 범위와 겹치는 경우 발생합니다. | 자체 관리형 AD는 예약 IP 범위와 겹치는 AWS IP 주소 범위를 사용할 수 없습니다. 자세한 내용은 [Microsoft Active Directory 도메인 요구 사항](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ad-domain) 단원을 참조하십시오. | 
| Kerberos 테스트 | `testKerberos` | `KERBEROS_AUTHENTICATION_FAILED` | `Unable to get kerberos TGT.` | Kerberos가 올바르게 구성되지 않고 사용 중이 아닐 경우 발생합니다. | Kerberos는 자체 관리형 AD에서 활성화되어야 합니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview)를 참조하세요. | 
| LDAP 연결 테스트 | `testLdapConnectivity` | `LDAP_TEST_FAILED` | `Unable to query LDAP with rootDSE call.` | LDAP가 작동하지 않는 경우 발생합니다. | LDAP(Lightweight Directory Access Protocol)는 자체 관리형 AD에서 활성화되고 작동해야 합니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/previous-versions/windows/desktop/ldap/lightweight-directory-access-protocol-ldap-api)를 참조하세요. | 
| FSMO 테스트를 위한 읽기 전용이 아닌 도메인 컨트롤러 | `testNotRodcForFsmo` | `FSMO_FOUND_ON_RODC` | `FSMO Role Found on RODC` | 자체 관리형 AD 도메인 컨트롤러 FSMO 역할이 RODC인 경우 발생합니다. | 자체 관리형 AD의 도메인 컨트롤러는 읽기 전용 도메인 컨트롤러(RODC) 유연한 단일 마스터 작업(FSMO) 역할을 사용해서는 안 됩니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles)를 참조하세요. | 
| 읽기 전용 도메인 컨트롤러 암호 복제 테스트 | `testRodcPasswordReplication` | `RODC_REPLICATE_ADMIN_PASSWORD` | `ReadOnly Domain Controller password replication is not explicitly denied for following groups: [missingGroupsString].` | RODC에 관리자 암호를 복제할 수 있는 권한이 있는 경우 발생합니다. | 자체 관리형 AD의 RODC는 관리자 암호를 복제할 수 있는 권한을 명시적으로 거부해야 합니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions)를 참조하세요. | 
| 읽기 전용 도메인 컨트롤러 테스트 | `testIsDCRodc` | `DC_READONLY_MODE` | `Provided Domain Controller is set to Read-Only mode.` | 자체 관리형 AD 도메인 컨트롤러가 ReadOnlyDC 모드인 경우 발생합니다. | 자체 관리형 AD는 읽기-쓰기 도메인 컨트롤러여야 합니다. 도메인 컨트롤러 유형에 대한 자세한 내용은 [Microsoft 설명서를](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-special-identities-groups#enterprise-domain-controllers) 참조하세요. | 
| 원격 포트 연결 테스트 | `testPortConnectivity` | `PORT_TEST_FAILED` | `Connection to TargetDestination failed for TCP ports [failed TCP ports]. UDP ports [failed UDP ports].` |  AWS 서브넷의 필수 포트와 자체 관리형 AD 도메인 컨트롤러가 열려 있지 않은 경우에 발생합니다. |  AWS 서브넷과 자체 관리형 AD 간에 필요한 모든 포트가 열려 있는지 확인합니다. 자세한 정보는 [네트워크 포트 요구 사항](create_hybrid_directory_prereqs.md#create_hybrid_directory_prereqs-ports)을 참조하세요. | 
| 복제 테스트 | `testReplication` | `REPLICATION_FAILED` | `Replication failed for [failedDSAsString].` | 자체 관리형 AD 도메인 컨트롤러 복제에 실패한 경우 발생합니다. | 자체 관리형 AD 도메인 컨트롤러 복제가 성공 상태여야 합니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/dfs-replication-overview)를 참조하세요. | 
| SMBV1 테스트 | `testSMBV1` | `INSECURE_SETTING_SMB` | `SMBv1 is enabled on the system.` | 자체 관리형 AD가 현재 인증에 SMBv1을 사용하는 경우 발생합니다. | SMBv1은 안전하지 않은 것으로 알려져 있으므로 자체 관리형 AD에서 비활성화해야 합니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3?tabs=server)를 참조하세요. | 
| SSM 사용자 권한 테스트 | `testSSMUserPermissions` | `INSUFFICIENT_PERMISSIONS` | `Systems Manager user does not have required elevated privileges.` | SSM에서 사용하는 Windows 사용자에게 권한이 충분하지 않은 경우 발생합니다. | 자체 관리형 AD의 AWS System Manager(SSM) 에이전트에 대한 Windows 관리자 권한이 필요합니다. 자세한 내용은 [AWS 계정 권한](create_hybrid_directory_prereqs.md#hybrid-dir-prereq-perms) 단원을 참조하십시오. | 
| Sysvol 복제 테스트 | `testSysvolReplication` | `DFSR_FAILURE_DETECTED` | `Failed DFSR event logs: failedLogsString.` | 자체 관리형 AD에 올바른 sysvol 복제 방법(DFSR)이 없고 DFSR 복제 이벤트 중 DCs가 하나라도 실패한 경우 발생합니다. | 자체 관리형 AD sysvol 복제 방법(DFSR)이 성공적으로 작동해야 합니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr)를 참조하세요. | 
| 최상위 GPO 테스트 | `testTopLevelEnforcedGPO` | `TOP_LEVEL_ENFORCED_GPO_FOUND` | `GroupPolicy cannot be set to Enforced at the Domain Root, Found GPOs: [GposEnforced] set as Enforced.` | 자체 관리형 AD에 최상위 GPOs가 적용됨으로 설정된 경우 발생합니다. | 자체 관리형 AD 도메인 최상위 그룹 정책 객체(GPO)가 적용됨으로 설정되지 않았는지 확인합니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/group-policy/group-policy-processing)를 참조하세요. | 
| 신뢰 유형 테스트 | `testTrustTypes` | `INVALID_TRUST_TYPE` | `Invalid trust types detected: [InvalidTrustString], only Uplevel (Microsoft AD) is currently supported. ` | 자체 관리형 AD에 지원되지 않는 신뢰 유형이 있는 경우 발생합니다. | Uplevel은 하이브리드 디렉터리에서 지원하는 유일한 신뢰 유형입니다. 자체 관리형 AD는 DCE, MIT, Downlevel 신뢰 유형을 가질 수 없습니다. 신뢰 유형에 대한 자세한 설명은 [Microsoft설명서](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/rodc-replicates-passwords-grant-incorrect-permissions)를 참조하세요. | 
| 유효한 도메인 컨트롤러 테스트 | `testValidDC` | `COMPUTER_NOT_DC` | `Provided instance is not a domain controller.` | 제공된 자체 관리형 AD 인스턴스가 도메인 컨트롤러가 아니거나 이미 다른 하이브리드 디렉터리의 일부인 경우 발생합니다. | 이 하이브리드 디렉터리에 고유한 자체 관리형 AD 도메인 컨트롤러를 제공합니다. 새 디렉터리로 재시도합니다. 실패한 하이브리드 디렉터리와 자체 관리형 AD의 모든를 AWS OU 삭제했는지 확인합니다. | 

# 평가 테스트 경고 메시지
<a name="assessment_test_warning-msgs"></a>

다음 표는 평가 테스트 중에 발생할 수 있는 경고 메시지를 설명합니다. 이러한 경고는 최적의 구성을 위한 권장 사항을 표시하지만 하이브리드 디렉터리 설정을 제한하지는 않습니다.


| 테스트 이름 | 짧은 이름 | 경고 코드 | 경고 메시지 | 설명 | 해결 방법 | 
| --- | --- | --- | --- | --- | --- | 
| 도메인 상태 테스트 | `testDisabledStaleUserNumber` | `STALE_USERS_FOUND` | `StaleUserCount users were found to be stale, they have not logged in for StaleThresholdInDays days.` | 자체 관리형 AD에 장기간 로그인하지 않고, 기한 경과 또는 비활성으로 간주될 수 있는 사용자 계정이 있는 경우 발생합니다. | 기한이 경과한 사용자 계정을 정리합니다. | 
| 도메인 컨트롤러 시간 소스 테스트 | `testDCTimeSource` | `DC_BAD_TIMESOURCE` | `Time sources not properly configured for PDC, should using an authoritative source. Time sources not properly configured for dcHostName, should using PDC as source` | 자체 관리형 AD에 올바른 시간 소스가 설정되어 있고 AWS 시간 소스와 비교하여 시간 왜곡이 크지 않은 경우 발생합니다. | 기본 도메인 컨트롤러(PDC) 시간 서버가 `169.254.169.123`로 지정되어 있습니다. 기본 도메인 컨트롤러가 아닌 도메인 컨트롤러는 PDC를 소스로 지 합니다. 자세한 내용은 [Amazon Time Sync Service를 사용하여 시간 유지](https://aws.amazon.com/blogs/aws/keeping-time-with-amazon-time-sync-service/)를 참조하세요. | 
| 여유 공간 테스트 | `testFreeSpace` | `DISK_SPACE_EXCEEDED` | `Supported service max capacity of 7 GB exceeded; SysVol + NTDS is currently using: 24 GB)` | 자체 관리형 AD 통합 NTDS 및 Sysvol 사용량이 지원되는 할당량을 초과한 경우 발생합니다. | 자체 관리형 AD에는 하이브리드 디렉터리를 위한 24GB의 디스크 공간이 있어야 합니다. | 
| FSMO Roles 테스트 | `testFSMORoles` | `FSMO_ROLE_TEST_FAILED` | `PDC Emulator (dc1.example.com) is not among the provided domain controllers.` `RID Master (dc1.example.com) is not among the provided domain controllers.` | 하이브리드 디렉터리를 생성할 때 제공된 두 도메인 컨트롤러에 FSMO 역할(PDC 에뮬레이터 및 RID 마스터)이 없는 경우 발생합니다. | 하이브리드 디렉터리를 생성할 때 사용자가 제공하는 두 도메인 컨트롤러에는 FSMO 역할(PDC 에뮬레이터 및 RID 마스터)이 모두 포함되어 있어야 합니다. 자세한 내용은 [FSMO 역할을 보고 이전하는 방법](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-transfer-fsmo-roles)을 참조하세요. | 
| S 채널 SSP 테스트 | `testSchannelSSP` | `TLS_1_2_NOT_ENABLED` | `Disabled protocol DisabledProtocol is still enabled.` | 자체 관리형 AD가 TLS1.2 및 AES256 암호화를 사용하지 않는 경우 발생합니다. | 자체 관리형 AD는 하이브리드 디렉터리에 TLS 1.2 및 AES256을 사용해야 합니다. | 
| 디스크 손상 테스트 | `testDiskCorruption` | `DISK_CORRUPT` | `Disk corruption detected on Drive.` | 자체 관리형 AD에 디스크 손상이 있는 경우 발생합니다. | 자체 관리형 AD 디스크는 손상되지 않아야 합니다. | 
| 도메인 컨트롤러 사양 테스트 | `testDcSpecs` | `INSUFFICIENT_RESOURCES` | `numAvailableCores cores detected when requiredCores cores recommended. gbAvailableRam GB ram detected when requiredRam GB recommended.` | 자체 관리형 AD 도메인 컨트롤러가 필수 사양을 충족하지 않는 경우 발생합니다. | 자체 관리형 AD 도메인 컨트롤러에는 하이브리드 디렉터리용 최소 7GB RAM과 2개의 CPU 코어가 있어야 합니다. | 
| 서버 수준 플러그인 Dll 테스트 | `testServerLevelPluginDll` | `SERVER_LEVEL_PLUGIN_DLL_IS_SET` | `ServerLevelPluginDll registry configuration is not permitted.` | ServerLevelPluginDll이 자체 관리형 AD 도메인 컨트롤러에 설정된 경우 발생합니다. | 자체 관리형 AD 도메인 컨트롤러에 ServerLevelPluginDII이 구성되면 안 됩니다. | 
| NT4 암호화 허용 테스트 | `testAllowNT4Crypto` | `NT4_CRYPTO_NOT_ALLOWED` | `Registry key AllowNt4Crypto is not allowed.` | 자체 관리형 AD가 NT4 암호화를 허용하는 경우 발생합니다. | 자체 관리형 AD는 NT4 암호화를 사용해서는 안 됩니다. 자세한 내용은 Microsoft 설명서를 참조하세요. | 
| 분리된 관리자 사용자 테스트 | `testOrphanedAdminUsers` | `ORPHANED_ADMIN_USER_FOUND` | `OrphanedUsersCount Orphaned Admin Users Found: [OrphanedUserNames].` | 분리된 관리자 사용자가 자체 관리형 AD에 존재하는 경우 발생합니다. | 계속하기 전에 자체 관리형 AD에서 분리된 사용자를 제거합니다. | 
| 권한 있는 사용자 수 테스트 | `testPrivilegedUserCount` | `DOMAIN_ADMIN_COUNT_EXCEEDED` | `Number of Domain Admins (daCount) exceeded allowance of (allowedDomainAdminCount).` | 자체 관리형 AD의 기본 제공 관리자, 도메인 관리자 및 엔터프라이즈 관리자의 총 수가 5보다 큰 경우 발생합니다. | 자체 관리형 AD 환경에는 권한 있는 계정이 여러 개여서는 안 됩니다. 계속하기 전에 초과된 관리자 계정을 제거해야 합니다. | 
| 권한 있는 사용자 수 테스트 | `testPrivilegedUserCount` | `ENTERPRISE_ADMIN_COUNT_EXCEEDED` | `Number of Enterprise Admins (eaCount) exceeded allowance of (allowedEnterpriseAdminCount).` | 자체 관리형 AD의 기본 제공 관리자, 도메인 관리자 및 엔터프라이즈 관리자의 총 수가 5보다 큰 경우 발생합니다. | 자체 관리형 AD 환경에는 권한 있는 계정이 여러 개여서는 안 됩니다. 계속하기 전에 초과된 관리자 계정을 제거해야 합니다. | 
| 권한 있는 사용자 수 테스트 | `testPrivilegedUserCount` | `BUILTIN_ADMIN_COUNT_EXCEEDED` | `Number of Built-in Admins (baCount) exceeded allowance of (allowedAdminCount).` | 자체 관리형 AD의 기본 제공 관리자, 도메인 관리자 및 엔터프라이즈 관리자의 총 수가 5보다 큰 경우 발생합니다. | 자체 관리형 AD 환경에는 권한 있는 계정이 여러 개여서는 안 됩니다. 계속하기 전에 초과된 관리자 계정을 제거해야 합니다. | 
| NTLM 테스트 | `testNTLM` | `INSECURE_SETTING_NTLM` | `NTLMv1 is enabled.` | NTLMv1이 자체 관리형 AD에서 인증에 대해 활성화된 경우 발생합니다. | NT LAN Manager 버전 1(NTLMv1)에는 알려진 보안 취약성이 있으므로 이를 사용해서는 안 됩니다. 자체 관리형 AD에서 NTLMv1을 비활성화합니다. 자세한 내용은 [Microsoft 설명서](https://support.microsoft.com/en-us/topic/security-guidance-for-ntlmv1-and-lm-network-authentication-da2168b6-4a31-0088-fb03-f081acde6e73)를 참조하세요. | 
| Tombstone 수명 테스트 | `testTombstoneLifetime` | `TOMBSTONE_LIFETIME_ABOVE_LIMIT` | `Tombstone Lifetime is too long. DC Tombstone Lifetime is TombstoneLifeTime, AWS suggested number is TombstoneMaximum days.` | 자체 관리형 AD의 Tombstone 수명이 180일을 초과한 경우 발생합니다. | Tombstone 수명은 삭제된 객체가 AD에서 제거되기까지의 일수입니다. 자체 관리형 AD의 Tombstone 수명 값은 180일 이하여야 합니다. 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/1887de08-2a9e-4694-95e2-898cde411180)를 참조하세요. |