기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 3단계: Amazon EC2 인스턴스를 배포하여 AWS 관리형 Microsoft AD Active Directory 관리
<a name="microsoftadbasestep3"></a>

이 랩에서는 어디서든 간편하게 관리 인스턴스에 액세스할 수 있도록 퍼블릭 IP 주소를 갖는 Amazon EC2 인스턴스를 사용합니다. 프로덕션 설정에서는 VPN 또는 Direct Connect 링크를 통해서만 액세스할 수 있는 프라이빗 VPC에 위치하는 인스턴스를 사용할 수 있습니다. 인스턴스가 퍼블릭 IP 주소를 가져야 하는 요구 사항은 없습니다.

이 단원에서는 클라이언트 컴퓨터가 새 EC2 인스턴스에서 Windows Server를 사용하여 도메인에 연결하는 데 필요한 다양한 배포 후 작업을 살펴보겠습니다. 다음 단계에서 Windows Server를 사용하여 랩이 작동하는지 확인합니다.

## 선택 사항: 디렉터리에 대해 AWS-DS-VPC01에서 DHCP 옵션 세트 생성
<a name="createdhcpoptionsset"></a>

이 선택적 절차에서는 VPC의 EC2 인스턴스가 DNS 확인에 AWS 관리형 Microsoft AD를 자동으로 사용하도록 DHCP 옵션 범위를 설정합니다. 자세한 내용은 [DHCP 옵션 세트](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html) 단원을 참조하세요.

**디렉터리에 대한 DHCP 옵션 세트를 생성하는 방법**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 [**DHCP Options Sets**]를 선택한 후 [**Create DHCP options set**]를 선택합니다.

1. **Create DHCP options set(DHCP 옵션 세트 생성)** 페이지에서 디렉터리에 대해 다음 값을 입력합니다.
   + **Name**에 **AWS DS DHCP**를 입력합니다.
   + **도메인 이름**에 **corp.example.com**를 입력합니다.
   + **도메인 이름 서버**에 디렉터리의 DNS 서버가 제공하는 AWS 의 IP 주소를 입력합니다.
**참고**  
이러한 주소를 찾으려면 Directory Service **디렉터리** 페이지로 이동한 다음 해당 디렉터리 ID를 선택합니다. **세부 정보** 페이지에서 **DNS 주소**에 표시된 IP를 식별하고 사용합니다.  
또는, 이러한 주소를 찾으려면 Directory Service **디렉터리** 페이지로 이동하여 해당하는 디렉터리 ID를 선택합니다. 그런 다음 **Scale & share(크기 조정 및 공유)**를 선택합니다. **도메인 컨트롤러**에서 **IP 주소**에 표시된 IP를 식별하고 사용합니다.
   + **NTP servers(NTP 서버)**, **NetBIOS name servers(NetBIOS 이름 서버)** 및 **NetBIOS node type(NetBIOS 노드 유형)** 설정은 공란으로 둡니다.

1. **Create DHCP options set(DHCP 옵션 세트 생성)**를 선택하고, **닫기**를 선택합니다. 새 DHCP 옵션 세트가 DHCP 옵션 목록에 나타납니다.

1. 새로운 DHCP 옵션 세트의 ID를 기록해 두세요(**dopt-{{xxxxxxxx}}**). 이 절차의 끝부분에서 새 옵션 세트를 VPC와 연결할 때 이 ID를 사용합니다.
**참고**  
원활한 도메인 조인은 DHCP 옵션 세트를 구성하지 않고도 작동합니다.

1. 탐색 창에서 **Your VPCs**를 선택합니다.

1. VPC 목록에서, **AWS DS VPC**, **작업**, **Edit DHCP Options Set(DHCP 옵션 세트 편집)**를 차례대로 선택합니다.

1. **Edit DHCP Options Set(DHCP 옵션 세트 편집)** 대화 상자에 5단계에서 기록한 옵션 세트를 선택하고 **저장**을 선택합니다.

## Windows 인스턴스를 AWS 관리형 Microsoft AD 도메인에 조인하는 역할 생성
<a name="configureec2"></a>

이 절차를 사용하여 Amazon EC2 Windows 인스턴스를 도메인에 조인하는 역할을 구성합니다. 자세한 내용은 [AWS 관리형 Microsoft AD Active Directory에 Amazon EC2 Windows 인스턴스 조인](launching_instance.md) 단원을 참조하십시오.

**Windows 인스턴스를 도메인에 조인하기 위해 EC2를 구성하려면**

1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.

1. IAM 콘솔의 탐색 창에서 **역할**을 선택하고 **역할 생성**을 선택합니다.

1. **신뢰할 수 있는 엔티티 유형 선택** 아래에서 **AWS 서비스**를 선택합니다.

1. **이 역할을 사용할 서비스 선택**에서 **EC2**와 **다음: 권한**을 차례대로 선택합니다.

1. **연결된 권한 정책** 페이지에서 다음을 수행합니다.
   + **AmazonSSMManagedInstanceCore** 관리형 정책 옆의 확인란을 선택하세요. 이 정책에서는 Systems Manager 서비스 사용에 필요한 최소 권한을 제공합니다.
   + **AmazonSSMDirectoryServiceAccess** 관리형 정책 옆의 확인란를 선택하세요. 이 정책은 Directory Service에 의해 관리되는 Active Directory에 인스턴스를 조인할 수 있는 권한을 제공합니다.

   Systems Manager에 대한 IAM 인스턴스 프로파일에 연결할 수 있는 관리형 정책 및 기타 정책에 대한 정보는 *AWS Systems Manager 사용 설명서*의 [Systems Manager에 대한 IAM 인스턴스 프로파일 생성](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html)을 참조하세요. 관리형 정책에 대한 정보는 *IAM 사용 설명서*에서 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.

1. **다음: 태그**를 선택합니다.

1. (선택 사항) 이 역할에 대한 액세스를 구성, 추적 또는 제어할 태그-키 값 페어를 하나 이상 추가한 후 **다음: 검토**를 선택합니다.

1. **역할 이름**에 **EC2DomainJoin**과 같이 인스턴스를 도메인에 조인하는 데 사용되는 역할임을 설명하는 이름을 입력하세요.

1. (선택 사항)**역할 설명**에 설명을 입력합니다.

1. **역할 생성**을 선택합니다. 그러면 **역할** 페이지로 돌아갑니다.

## Amazon EC2 인스턴스를 생성하고 자동으로 디렉터리를 조인
<a name="deployec2instance"></a>

이 절차에서는 나중에 Active Directory에서 사용자, 그룹, 정책을 관리하는 데 사용할 수 있는 Windows Server 시스템을 EC2 인스턴스에서 설정합니다.

**EC2 인스턴스를 생성하고 자동으로 디렉터리를 조인하려면**

1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다.

1. **인스턴스 시작**을 선택합니다.

1. **1단계** 페이지의 **Microsoft Windows Server 2019 Base - ami-{{xxxxxxxxxxxxxxxxx}}** 옆에서 **선택**을 선택합니다.

1. **2단계** 페이지에서 **t3.micro**(이보다 더 큰 인스턴스 유형을 선택할 수 있음)를 선택한 다음 **Next: Configure Instance Details(다음: 인스턴스 세부 정보 구성)**를 선택합니다.

1. [**Step 3**] 페이지에서 다음을 수행합니다.
   + **네트워크**에서 **AWS-DS-VPC01**로 끝나는 VPC(예: **vpc-{{xxxxxxxxxxxxxxxxx}} \| AWS-DS-VPC01**)를 선택합니다.
   + **서브넷**에서 **Public subnet 1(퍼블릭 서브넷 1)**을 선택합니다. 이 서브넷은 선호하는 가용 영역용으로 미리 구성되어야 합니다(예: **subnet-{{xxxxxxxxxxxxxxxxx}} \| AWS-DS-VPC01-Subnet01 \| {{us-west-2a}}**).
   + [**Auto-assign Public IP**]에서 [**Enable**]을 선택합니다(서브넷 설정이 기본적으로 [Enable]로 설정되지 않은 경우).
   + **도메인 조인 디렉터리**에서 **corp.example.com (d-{{xxxxxxxxxx}})**을 선택합니다.
   + **IAM 역할**의 경우 [Windows 인스턴스를 AWS 관리형 Microsoft AD 도메인에 조인하는 역할 생성](#configureec2)에서 인스턴스 역할에 부여한 이름 (예: **EC2DomainJoin**)을 선택합니다.
   + 나머지 설정은 기본값을 유지합니다.
   + **다음: 스토리지 추가**를 선택합니다.

1. [**Step 4**] 페이지에서 기본 설정을 유지하고 [**Next: Add Tags**]를 선택합니다.

1. [**Step 5**] 페이지에서 [**Add Tag**]를 선택합니다. **키** 아래에서 **corp.example.com-mgmt**를 입력하고 **Next: Configure Security Group(다음: 보안 그룹 구성)**을 선택합니다.

1. **6단계** 페이지에서 **기존 보안 그룹 선택**을 선택하고 **AWS DS Test Lab 보안 그룹**(이전에 [기본 자습서](microsoftadbasestep1.md#createsecuritygroup)에서 설정한 항목)을 선택한 다음, **검토 및 시작**을 선택하여 인스턴스를 검토합니다.

1. [**Step 7**] 페이지에서 페이지를 검토한 다음 [**Launch**]를 선택합니다.

1. [**Select an existing key pair or create a new key pair**] 대화 상자에서 다음을 수행합니다.
   + [**Choose an existing key pair**]를 선택합니다.
   + **Select a key pair**에서 **AWS-DS-KP**를 선택합니다.
   + [**I acknowledge...**] 확인란을 선택합니다.
   + **인스턴스 시작(Launch Instances)**을 선택합니다.

1. **인스턴스 보기**를 선택하여 Amazon EC2 콘솔로 돌아가 배포 상태를 확인합니다.

## EC2 인스턴스에 Active Directory 도구 설치
<a name="installadtools"></a>

EC2 인스턴스에 Active Directory 도메인 관리 도구를 설치하는 방법은 두 가지가 있습니다. Server Manager UI(이 자습서에서 권장하는 방법) 또는 PowerShell을 사용할 수 있습니다.

**EC2 인스턴스에 Active Directory 도구를 설치하려면(Server Manager)**

1. Amazon EC2 콘솔에서 **Instances**를 선택하고, 방금 생성한 인스턴스를 선택한 다음 **Connect**를 선택합니다.

1. **사용자 인스턴스에 연결** 대화 상자에서 **암호 가져오기**를 선택하여 암호를 검색(아직 암호를 검색하지 않은 경우)한 다음 **원격 데스크톱 파일 다운로드**를 선택합니다.

1. **Windows Security** 대화 상자에서 Windows Server 컴퓨터에 대한 로컬 관리자 자격 증명을 입력하여 로그인합니다(예: **administrator**).

1. [**Start**] 메뉴에서 [**Server Manager**]를 선택합니다.

1. [**Dashboard**]에서 [**Add Roles and Features**]를 선택합니다.

1. [**Add Roles and Features Wizard**]에서 [**Next**]를 선택합니다.

1. [**Select installation type**] 페이지에서 [**Role-based or feature-based installation**]을 선택하고 [**Next**]를 선택합니다.

1. [**Select destination server**] 페이지에서 로컬 서버가 선택되어 있는지 확인한 다음 [**Next**]를 선택합니다.

1. [**Select server roles**] 페이지에서 [**Next**]를 선택합니다.

1. [**Select features**] 페이지에서 다음을 수행합니다.
   + [**Group Policy Management**] 확인란을 선택합니다.
   + [**Remote Server Administration Tools**]를 확장한 다음 [**Role Administration Tools**]를 확장합니다.
   + [**AD DS and AD LDS Tools**] 확인란을 선택합니다.
   + [**DNS Server Tools**] 확인란을 선택합니다.
   + **다음**을 선택합니다.

1. [**Confirm installation selections**] 페이지에서 정보를 검토하고 [**Install**]을 선택합니다. 기능 설치가 완료되면 [Start] 메뉴의 [Windows Administrative Tools] 폴더에서 다음과 같은 새 도구 또는 스냅인을 사용할 수 있습니다.
   + Active Directory Administrative Center
   + Active Directory Domains and Trusts
   + PowerShell에 대한 Active Directory 모듈
   + Active Directory 사이트 및 서비스
   + Active Directory Users and Computers
   + ADSI Edit
   + DNS
   + 그룹 정책 관리

**EC2 인스턴스에 Active Directory 도구를 설치하려면(PowerShell)(선택 사항)**

1. Start PowerShell.

1. 다음 명령을 입력합니다.

   ```
   Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
   ```