기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # AWS 관리형 Microsoft AD로 생성되는 항목 AWS 관리형 Microsoft AD로 Active Directory를 생성할 때는 사용자를 대신하여 다음 작업을 Directory Service 수행합니다. + ENI(탄력적 네트워크 인터페이스)를 자동으로 생성하여 각 도메인 컨트롤러에 연결합니다. 이러한 각 ENIs는 VPC와 Directory Service 도메인 컨트롤러 간의 연결에 필수적이며 삭제해서는 안 됩니다. "AWS created network interface for *directory directory-id*"라는 설명 Directory Service 으로와 함께 사용하도록 예약된 모든 네트워크 인터페이스를 식별할 수 있습니다. 자세한 내용은 *Amazon EC2 사용 설명서*의 [탄력적 네트워크 인터페이스](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)를 참조하세요. AWS 관리형 Microsoft AD Active Directory의 기본 DNS 서버는 Classless Inter-Domain Routing(CIDR)\+2의 VPC DNS 서버입니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 [Amazon DNS 서버](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#AmazonDNS)를 참조하세요. **참고** 도메인 컨트롤러는 기본적으로 한 리전의 두 가용 영역에 배포되며 Amazon VPC (VPC)에 연결됩니다. 백업은 하루에 한 번 자동으로 수행되며 Amazon EBS (EBS) 볼륨이 암호화되어 저장된 데이터를 안전하게 보호합니다. 장애가 발생한 도메인 컨트롤러는 동일한 IP 주소를 사용하여 동일한 가용 영역에서 자동으로 교체되며, 최신 백업을 사용하여 전체 재해 복구를 수행할 수 있습니다. + 내결함성 및 고가용성을 위해 두 개의 도메인 컨트롤러를 사용하여 VPC 내에서 Active Directory를 프로비저닝합니다. 디렉터리가 성공적으로 생성되고 [활성 상태](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_status.html)가 되면 복원력 및 성능을 높이기 위해 더 많은 도메인 컨트롤러를 프로비저닝할 수 있습니다. 자세한 내용은 [AWS 관리형 Microsoft AD에 대한 추가 도메인 컨트롤러 배포](ms_ad_deploy_additional_dcs.md) 단원을 참조하십시오. **참고** AWS 에서는 AWS 관리형 Microsoft AD 도메인 컨트롤러에 모니터링 에이전트를 설치할 수 없습니다. + 도메인 컨트롤러에서 들어오고 나가는 트래픽에 대한 네트워크 규칙을 설정하는 [AWS 보안 그룹](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) {{sg-1234567890abcdef0}}을 생성합니다. 기본 아웃바운드 규칙은 모든 IPv4 주소에 대한 모든 트래픽을 허용합니다. 기본 인바운드 규칙은 AWS Managed Microsoft AD를 호스팅하는 VPC에 연결된 기본 IPv4 CIDR 블록에서 Active Directory에 필요한 포트를 통한 트래픽만 허용합니다. 보안을 강화하기 위해 생성된 ENI에는 탄력적 IP가 연결되어 있지 않으며 사용자에게 해당 ENI에 탄력적 IP를 연결할 수 있는 권한이 없습니다. 따라서 기본적으로 AWS 관리형 Microsoft AD와 통신할 수 있는 유일한 인바운드 트래픽은 로컬 VPC입니다. 보안 그룹 규칙을 변경해 추가 트래픽 소스를 허용할 수 있으며 그 예로, VPN을 통해 연결할 수 있는 다른 피어링된 VPC 또는 CIDR 등이 있습니다. 이러한 규칙을 변경하면 도메인 컨트롤러와 통신하지 못할 수도 있으므로 특히 주의하세요. 자세한 내용은 [AWS 관리형 Microsoft AD 모범 사례](ms_ad_best_practices.md) 및 [AWS 관리형 Microsoft AD 네트워크 보안 구성 개선](ms_ad_network_security.md) 섹션을 참조하세요. [접두사 목록]()을 사용하여 보안 그룹 규칙 내에서 CIDR 블록을 관리할 수 있습니다. 접두사 목록을 사용하면 보안 그룹과 라우팅 테이블을 더욱 쉽게 구성 및 관리할 수 있습니다. 여러 CIDR 블록을 동일한 포트 및 프로토콜과 통합하여 네트워크 트래픽의 규모를 조정할 수 있습니다. + Windows 환경에서 클라이언트는 종종 [SMB(Server Message Block)](https://learn.microsoft.com/en-us/windows/win32/fileio/microsoft-smb-protocol-and-cifs-protocol-overview) 또는 포트 445를 통해 통신합니다. 이 프로토콜은 파일 및 프린터 공유, 일반 네트워크 통신과 같은 다양한 작업을 쉽게 할 수 있도록 지원합니다. 포트 445의 클라이언트 트래픽이 AWS 관리형 Microsoft AD 도메인 컨트롤러의 관리 인터페이스로 표시됩니다. 이 트래픽은 SMB 클라이언트가 DNS(포트 53) 및 NetBIOS(포트 138) 이름 확인을 사용하여 AWS 관리형 Microsoft AD 도메인 리소스를 찾을 때 발생합니다. 도메인 리소스를 찾을 때 이러한 클라이언트는 도메인 컨트롤러의 사용 가능한 인터페이스 중 하나로 연결됩니다. 이는 여러 네트워크 어댑터가 있는 환경과 클라이언트가 성능 향상과 중복성 구현을 위해 [SMB 멀티채널](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn610980(v=ws.11))을 사용하여 여러 인터페이스 간 연결을 설정할 수 있는 환경에서 예상되는 동작이며 자주 발생합니다. 기본적으로 다음과 같은 AWS 보안 그룹 규칙이 생성됩니다. **인바운드 규칙** **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) **아웃바운드 규칙** **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) + Active Directory에서 사용하는 포트 및 프로토콜에 대한 자세한 내용은 Microsoft 설명서의[ Windows용 서비스 개요 및 네트워크 포트 요구 사항](https://learn.microsoft.com/en-US/troubleshoot/windows-server/networking/service-overview-and-network-port-requirements#system-services-ports)을 참조하세요. + 사용자 이름 Admin과 지정된 암호를 사용하여 디렉터리 관리자 계정을 생성합니다. 이 계정은 Users OU(예: Corp > Users) 아래에 있습니다. AWS 클라우드에서 이 계정을 사용하여 디렉터리를 관리할 수 있습니다. 자세한 내용은 [AWS 관리형 Microsoft AD 관리자 계정 및 그룹 권한](ms_ad_getting_started_admin_account.md) 단원을 참조하십시오. **중요** 이 암호를 저장해야 합니다.는이 암호를 저장하지 Directory Service 않으며 검색할 수 없습니다. 그러나 Directory Service 콘솔에서 또는 [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html) API를 사용하여 암호를 재설정할 수 있습니다. + 도메인 루트 아래에 다음 3개의 조직 단위(OU)를 생성합니다. **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) + AWS Delegated Groups OU에서 다음 그룹을 생성합니다. **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) **참고** 이러한 AWS Delegated Groups에 추가할 수 있습니다. + 다음 GPO(그룹 정책 객체)를 생성하고 적용합니다. **참고** 사용자는 이러한 GPO를 삭제, 수정, 연결 해제할 권한이 없습니다. 이는 AWS 사용을 위해 예약되어 있으므로 설계에 따른 것입니다. 필요한 경우 제어하는 OU에 연결할 수 있습니다. **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) 각 GPO의 설정을 보려면 [GPMC(그룹 정책 관리 콘솔)](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753298(v=ws.10))를 활성화한 상태에서 도메인에 조인된 Windows 인스턴스에서 해당 설정을 볼 수 있습니다. + AWS 관리형 Microsoft AD 관리를 default local accounts 위해 다음을 생성합니다. **중요** 관리자 암호를 저장해야 합니다.는이 암호를 저장하지 Directory Service 않으며 검색할 수 없습니다. 그러나 [Directory Service 콘솔에서 또는 ResetUserPassword API를 사용하여 암호를 재설정할 수](ms_ad_manage_users_groups_reset_password.md) 있습니다. [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html) **Admin** Admin는 AWS 관리형 Microsoft AD가 처음 directory administrator account 생성될 때 생성되는 입니다. AWS 관리형 Microsoft AD를 생성할 때이 계정의 암호를 제공합니다. 이 계정은 Users OU(예: Corp > Users) 아래에 있습니다. AWS에서 이 계정을 사용하여 Active Directory를 관리할 수 있습니다. 자세한 내용은 [AWS 관리형 Microsoft AD 관리자 계정 및 그룹 권한](ms_ad_getting_started_admin_account.md) 단원을 참조하십시오. **AWS*\_{{11111111111}}*** 로 시작하고 밑줄 AWS 이 붙은에 있는 모든 계정 이름은 서비스 관리형 계정AWS Reserved OU입니다. 이 서비스 관리형 계정은에서 Active Directory와 상호 작용하는 AWS 데 사용됩니다. 이러한 계정은 AWS 디렉터리 서비스 데이터가 활성화되고 Active Directory에서 승인된 각 새 AWS 애플리케이션을 사용하여 생성됩니다. 이러한 계정은 AWS 서비스에서만 액세스할 수 있습니다. **krbtgt account** krbtgt account는 AWS 관리형 Microsoft AD에서 사용하는 Kerberos 티켓 교환에서 중요한 역할을 합니다. krbtgt account은 Kerberos 티켓 부여 티켓(TGT) 암호화에 사용하는 특수 계정이며 Kerberos 인증 프로토콜의 보안에 중요한 역할을 합니다. 자세한 설명은 [Microsoft 설명서](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn745899(v=ws.11)#krbtgt-account)를 참조하세요. AWS 는 90일마다 두 번 AWS Managed Microsoft AD의 krbtgt account 암호를 자동으로 교체합니다. 90일마다 2회 연속 교체 사이에는 24시간의 대기 시간이 있습니다. Active Directory에서 생성한 관리자 계정 및 기타 계정에 대한 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-default-user-accounts)를 참조하세요.