기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 1단계: 신뢰 관계 환경 설정
<a name="microsoftadtruststep1"></a>

이 섹션에서는 Amazon EC2 환경을 설정하고, 새 포리스트를 배포하고, 와의 신뢰를 위해 VPC를 준비합니다 AWS.

![Amazon VPC, 서브넷 및 Internet Gateway가 있는 Amazon EC2 환경에서 새 포리스트를 배포하고 신뢰 관계를 설정합니다.](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)


## Windows Server 2019 EC2 인스턴스 생성
<a name="createkeypair1"></a>

다음 절차를 사용하여 Amazon EC2에서 Windows Server 2019 멤버 서버를 생성합니다.

**Windows Server 2019 EC2 인스턴스를 생성하려면**

1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다.

1. Amazon EC2 콘솔에서 **인스턴스 시작**을 선택합니다.

1. **1단계** 페이지의 목록에서 **Microsoft Windows Server 2019 Base - ami-{{xxxxxxxxxxxxxxxxx}}**를 찾습니다. 그런 다음 **선택**을 선택합니다.

1. [**Step 2**] 페이지에서 [**t2.large**]를 선택하고 [**Next: Configure Instance Details**]를 선택합니다.

1. [**Step 3**] 페이지에서 다음을 수행합니다.
   + **네트워크**에서 **vpc-{{xxxxxxxxxxxxxxxxx}} AWS-OnPrem-VPC01**(앞서 [기본 자습서](microsoftadbasestep1.md#createvpc)에서 설정한 항목)을 선택합니다.
   + **서브넷**에서 **subnet-{{xxxxxxxxxxxxxxxxx}} \| AWS-OnPrem-VPC01-Subnet01 \| AWS-OnPrem-VPC01**을 선택합니다.
   + [**Auto-assign Public IP**] 목록에서 [**Enable**]을 선택합니다(서브넷 설정이 기본적으로 [**Enable**]로 설정되지 않은 경우).
   + 나머지 설정은 기본값을 유지합니다.
   + **다음: 스토리지 추가**를 선택합니다.

1. [**Step 4**] 페이지에서 기본 설정을 유지하고 [**Next: Add Tags**]를 선택합니다.

1. [**Step 5**] 페이지에서 [**Add Tag**]를 선택합니다. **키** 아래에서 **example.local-DC01**를 입력하고 **Next: Configure Security Group(다음: 보안 그룹 구성)**을 선택합니다.

1. **Step 6** 페이지에서 **Select an existing security group**을 선택하고 **AWS On-Prem Test Lab Security Group**(앞서 [기본 자습서](microsoftadbasestep1.md#createsecuritygroup)에서 설정한 항목)을 선택한 다음, **Review and Launch**를 선택하여 인스턴스를 검토합니다.

1. [**Step 7**] 페이지에서 페이지를 검토한 다음 [**Launch**]를 선택합니다.

1. [**Select an existing key pair or create a new key pair**] 대화 상자에서 다음을 수행합니다.
   + [**Choose an existing key pair**]를 선택합니다.
   + **Select a key pair** 아래에서 **AWS-DS-KP**(앞서 [기본 자습서](microsoftadbasestep1.md#createkeypair2)에서 설정한 항목)를 선택합니다.
   + [**I acknowledge...**] 확인란을 선택합니다.
   + **인스턴스 시작(Launch Instances)**을 선택합니다.

1. **인스턴스 보기**를 선택하여 Amazon EC2 콘솔로 돌아가 배포 상태를 확인합니다.

## 서버를 도메인 컨트롤러로 승격시킵니다
<a name="promoteserver"></a>

신뢰 관계를 생성하려면 먼저 새 포리스트에 대한 첫 번째 도메인 컨트롤러를 빌드 및 배포해야 합니다. 이 절차에서 새 Active Directory 포리스트를 구성하고, DNS를 설치하고, 이름 확인에 DNS 서버를 사용하도록 이 서버를 설정합니다. 이 절차의 끝부분에서 서버를 다시 부팅해야 합니다.

**참고**  
온프레미스 네트워크와 복제 AWS 되는에서 도메인 컨트롤러를 생성하려면 먼저 EC2 인스턴스를 온프레미스 도메인에 수동으로 조인해야 합니다. 그런 다음 서버를 도메인 컨트롤러로 승격할 수 있습니다.

**서버를 도메인 컨트롤러로 승격하려면**

1. Amazon EC2 콘솔에서 **Instances**를 선택하고, 방금 생성한 인스턴스를 선택한 다음 **Connect**를 선택합니다.

1. [**Connect To Your Instance**] 대화 상자에서 [**Download Remote Desktop File**]을 선택합니다.

1. **Windows Security** 대화 상자에서 Windows Server 컴퓨터에 대한 로컬 관리자 자격 증명을 입력하여 로그인합니다(예: **administrator**). 아직 로컬 관리자 암호가 없는 경우 Amazon EC2 콘솔로 돌아가 인스턴스를 마우스 오른쪽 버튼으로 클릭하여 **Windows 암호 가져오기**를 선택합니다. `AWS DS KP.pem` 파일 또는 개인 `.pem` 키로 이동한 다음 [**Decrypt Password**]를 선택합니다.

1. [**Start**] 메뉴에서 [**Server Manager**]를 선택합니다.

1. [**Dashboard**]에서 [**Add Roles and Features**]를 선택합니다.

1. [**Add Roles and Features Wizard**]에서 [**Next**]를 선택합니다.

1. [**Select installation type**] 페이지에서 [**Role-based or feature-based installation**]을 선택하고 [**Next**]를 선택합니다.

1. [**Select destination server**] 페이지에서 로컬 서버가 선택되어 있는지 확인한 다음 [**Next**]를 선택합니다.

1. [**Select server roles**] 페이지에서 [**Active Directory Domain Services**]를 선택합니다. [**Add Roles and Features Wizard**] 대화 상자에서 [**Include management tools (if applicable)**] 확인란이 선택되어 있는지 확인합니다. [**Add Features**]를 선택한 다음 [**Next**]를 선택합니다.

1. [**Select features**] 페이지에서 [**Next**]를 선택합니다.

1. [**Active Directory Domain Services**] 페이지에서 [**Next**]를 선택합니다.

1. [**Confirm installation selections**] 페이지에서 [**Install**]을 선택합니다.

1. Active Directory 바이너리가 설치되면 [**Close**]를 선택합니다.

1. Server Manager가 열리면 **Manage** 옆의 상단에서 플래그를 찾습니다. 이 플래그가 노란색으로 바뀌면 서버를 승격할 준비가 된 것입니다.

1. 노란색 플래그를 선택한 다음 [**Promote this server to a domain controller**]를 선택합니다.

1. [**Deployment Configuration**] 페이지에서 [**Add a new forest**]를 선택합니다. **Root domain name(루트 도메인 이름)**에 **example.local**를 입력하고 **다음**을 선택합니다.

1. [**Domain Controller Options**] 페이지에서 다음을 수행합니다.
   + [**Forest functional level**] 및 [**Domain functional level**] 모두에서 [**Windows Server 2016**]을 선택합니다.
   + [**Specify domain controller capabilities**] 아래에서 [**DNS server**] 및 [**Global Catalog (GC)**]가 모두 선택되어 있는지 확인합니다.
   + DSRM(Directory Services Restore Mode) 암호를 입력하고 확인합니다. 그리고 **다음**을 선택합니다.

1. [**DNS Options**] 페이지에서 위임에 대한 경고를 무시하고 [**Next**]를 선택합니다.

1. **추가 옵션** 페이지에서 **EXAMPLE**이 NetBios 도메인 이름으로 나열되어 있는지 확인합니다.

1. [**Paths**] 페이지에서 기본값을 그대로 두고 [**Next**]를 선택합니다.

1. [**Review Options**] 페이지에서 [**Next**]를 선택합니다. 이제 서버가 도메인 컨트롤러 전제 조건이 모두 충족되었는지 확인합니다. 일부 경고가 표시될 수 있지만 무시해도 무방합니다.

1. **설치**를 선택합니다. 설치가 완료되면 서버가 다시 부팅한 후 도메인 컨트롤러가 동작 상태가 됩니다.

## VPC 구성
<a name="configurevpc1"></a>

다음 세 절차에서 AWS와 연결을 위해 VPC를 구성하는 단계를 안내합니다.

**VPC 아웃바운드 규칙을 구성하는 방법**

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/)에서 [기본 자습](microsoftadbasestep2.md)서에서 이전에 생성한 corp.example.com용 AWS 관리형 Microsoft AD 디렉터리 ID를 기록해 둡니다.

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **Security Groups**를 선택합니다.

1.  AWS 관리형 Microsoft AD 디렉터리 ID를 검색합니다. 검색 결과에서 "**AWS created security group for d-{{xxxxxx}} directory controllers**"라는 설명이 붙은 항목을 선택합니다.
**참고**  
이 보안 그룹은 처음 디렉터리를 생성할 때 자동으로 생성된 것입니다.

1. 해당 보안 그룹 아래에서 [**Outbound Rules**] 탭을 선택합니다. [**Edit**]를 선택하고 [**Add another rule**]을 선택한 후 다음 값을 추가합니다.
   + [**Type**]에서 [**All Traffic**]을 선택합니다.
   + [**Destination**]에 **0.0.0.0/0**을 입력합니다.
   + 나머지 설정은 기본값을 유지합니다.
   + **저장**을 선택합니다.

**Kerberos 사전 인증이 활성화되었는지 확인하려면**

1. [**example.local**] 도메인 컨트롤러에서 **Server Manager**를 엽니다.

1. [**Tools**] 메뉴에서 [**Active Directory Users and Computers**]를 선택합니다.

1. **Users** 디렉터리로 이동하여 임의의 사용자를 마우스 오른쪽 버튼으로 클릭하고 **속성**을 선택한 후 **계정** 탭을 선택합니다. [**Account options**] 목록을 아래로 스크롤해서 [**Do not require Kerberos preauthentication**]가 선택되지 **않았는지** 확인합니다.

1. **corp.example.com-mgmt 인스턴스**의 **corp.example.com** 도메인에 대해서도 동일한 단계를 수행합니다.

**DNS 조건부 전달자를 구성하려면**
**참고**  
조건부 전달자는 쿼리의 DNS 도메인 이름에 따라 DNS 쿼리를 전달하는 데 사용되는 네트워크의 DNS 서버입니다. 예를 들어 widgets.example.com으로 끝나는 이름에 대해 수신하는 모든 쿼리를 특정 DNS 서버의 IP 주소 또는 여러 DNS 서버의 IP 주소로 전달하도록 DNS 서버를 구성할 수 있습니다.

1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/)을 엽니다.

1. 탐색 창에서 **디렉터리**를 선택합니다.

1.  AWS 관리형 Microsoft AD의 **디렉터리 ID**를 선택합니다.

1. 디렉터리의 정규화된 도메인 이름(FQDN) "**corp.example.com**"과 DNS 주소를 기록해 둡니다.

1. 이제 [**example.local**] 도메인 컨트롤러로 돌아가 **Server Manager**를 엽니다.

1. [**Tools**] 메뉴에서 [**DNS**]를 선택합니다.

1. 콘솔 트리에서 신뢰 관계를 설정 중인 도메인의 DNS 서버를 확장하고 [**Conditional Forwarders**]로 이동합니다.

1. [**Conditional Forwarders**]를 마우스 오른쪽 버튼으로 클릭하고 [**New Conditional Forwarder**]를 선택합니다.

1. DNS 도메인에 **corp.example.com**를 입력합니다.

1. **기본 서버의 IP 주소**에서 **<Click here to add ...>**를 선택하고 AWS 관리형 Microsoft AD 디렉터리의 첫 번째 DNS 주소(이전 절차에서 기록한 주소)를 입력한 다음 **Enter** 키를 누릅니다. 두 번째 DNS 주소에 대해서도 똑같이 합니다. DNS 주소를 입력하고 나면 "timeout" 또는 "unable to resolve"라는 오류 메시지가 나타날 수 있습니다. 보통 이러한 오류 메시지는 무시해도 좋습니다.

1. [**Store this conditional forwarder in Active Directory, and replicate as follows**] 확인란을 선택합니다. 드롭다운 메뉴에서 [**All DNS servers in this Forest**]를 선택한 다음 [**OK**]를 선택하세요.