

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Managed Microsoft AD 및 온프레미스 Microsoft Active Directory를 사용하여 DNS 확인 중앙 집중화
<a name="centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory"></a>

*Brian Westmoreland, Amazon Web Services*

## 요약
<a name="centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory-summary"></a>

이 패턴은 AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD)와 Amazon Route 53을 모두 사용하여 AWS 다중 계정 환경 내에서 DNS 확인을 중앙 집중화하기 위한 지침을 제공합니다. 이 패턴에서 AWS DNS 네임스페이스는 온프레미스 DNS 네임스페이스의 하위 도메인입니다. 또한이 패턴은 온프레미스 DNS 솔루션이 Microsoft Active Directory를 사용하는 AWS 경우 쿼리를 로 전달하도록 온프레미스 DNS 서버를 구성하는 방법에 대한 지침을 제공합니다. 

## 사전 조건 및 제한 사항
<a name="centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory-prereqs"></a>

**사전 조건 **
+ 를 사용하여 설정된 AWS 다중 계정 환경입니다 AWS Organizations.
+ 사이에 설정된 네트워크 연결입니다 AWS 계정.
+  AWS 와 온프레미스 환경 간에 설정된 네트워크 연결( AWS Direct Connect 또는 모든 유형의 VPN 연결 사용).
+ AWS Command Line Interface 로컬 워크스테이션에 구성된 (AWS CLI)
+ AWS Resource Access Manager 계정 간에 Route 53 규칙을 공유하는 데 사용되는 (AWS RAM)입니다. 따라서 [에픽](#centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory-epics) 섹션에 설명된 대로 AWS Organizations 환경 내에서 공유를 활성화해야 합니다.

**제한 사항 **
+ AWS Managed Microsoft AD Standard Edition의 공유 제한은 5개입니다.
+ AWS Managed Microsoft AD Enterprise Edition의 공유 한도는 125입니다.
+ 이 패턴의 솔루션은를 통한 공유 AWS 리전 를 지원하는 로 제한됩니다 AWS RAM.

**제품 버전**
+ Windows Server 2008, 2012, 2012 R2 또는 2016에서 실행되는 Microsoft Active Directory

## 아키텍처
<a name="centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory-architecture"></a>

**대상 아키텍처**

![AWS에서 중앙 집중식 DNS 확인을 위한 아키텍처](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/images/pattern-img/91430e2a-f7f6-4dbe-9fe7-8abed1f764a7/images/9b5fc51d-590b-468f-80f7-1949f3b3b258.png)


이 설계에서는 AWS Managed Microsoft AD 가 공유 서비스에 설치됩니다 AWS 계정. 필수 사항은 아니지만 이 패턴은 이 구성을 가정합니다. 다른 AWS Managed Microsoft AD 에서를 구성하는 경우 AWS 계정에[픽](#centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory-epics) 섹션의 단계를 적절히 수정해야 할 수 있습니다.

이 설계에서는 Route 53 Resolver를 사용하여 Route 53 규칙 사용을 통한 이름 확인을 지원합니다. 온프레미스 DNS 솔루션에서 Microsoft DNS를 사용하는 경우 회사 DNS 네임스페이스(`company.com`)의 하위 도메인인 AWS 네임스페이스(`aws.company.com`)에 대한 조건부 전달 규칙을 생성하는 것은 간단하지 않습니다. 기존 조건부 전달자를 생성하려고 하면 오류가 발생합니다. Microsoft Active Directory가 이미 `company.com`의 모든 하위 도메인에 대해 신뢰할 수 있는 것으로 간주되기 때문입니다. 이 오류를 해결하려면 먼저 `aws.company.com`에 대한 위임을 생성하여 해당 네임스페이스의 권한을 위임해야 합니다. 그런 다음 조건부 전달자를 생성할 수 있습니다.

각 스포크 계정의 Virtual Private Cloud(VPC)는 루트 네임스페이스를 기반으로 고유한 DNS 네 AWS 임스페이스를 가질 수 있습니다. 이 설계에서는 각 스포크 계정이 계정 이름의 약어를 기본 AWS 네임스페이스에 추가합니다. 스포크 계정의 프라이빗 호스팅 영역이 생성되면 영역은 스포크 계정의 로컬 VPC 및 중앙 AWS 네트워크 계정의 VPC와 연결됩니다. 이렇게 하면 중앙 AWS 네트워크 계정이 스포크 계정과 관련된 DNS 쿼리에 응답할 수 있습니다. 이렇게 하면 Route 53과가 함께 AWS Managed Microsoft AD 협력하여 AWS 네임스페이스() 관리 책임을 공유합니다`aws.company.com`.

**자동화 및 규모 조정**

이 설계는 Route 53 Resolver 엔드포인트를 사용하여 AWS 와 온프레미스 환경 간에 DNS 쿼리를 확장합니다. 각 Route 53 Resolver 엔드포인트는 여러 개의 탄력적 네트워크 인터페이스(여러 가용 영역에 분산되어 있음)로 구성되며, 각 네트워크 인터페이스는 초당 최대 10,000개의 쿼리를 처리할 수 있습니다. Route 53 Resolver는 엔드포인트당 6개까지 IP 주소를 지원하므로 이 설계에서는 고가용성을 위해 DNS 쿼리를 초당 60,000개까지 여러 가용 영역에서 분산 지원합니다. 

또한 이 패턴은 AWS 내 향후 성장을 자동으로 고려합니다. AWS에 추가된 새 VPC 및 관련 프라이빗 호스팅 영역을 지원하도록 온프레미스에 구성된 DNS 전달 규칙을 수정할 필요는 없습니다. 

## 도구
<a name="centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory-tools"></a>

**서비스**
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)를 사용하면 디렉터리 인식 워크로드 및 AWS 리소스가에서 Microsoft Active Directory를 사용할 수 있습니다 AWS 클라우드.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)는 여러을 생성하여 중앙에서 관리하는 조직 AWS 계정 으로 통합하는 데 도움이 되는 계정 관리 서비스입니다.
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)를 사용하면에서 리소스를 안전하게 공유 AWS 계정 하여 운영 오버헤드를 줄이고 가시성 및 감사 가능성을 제공할 수 있습니다.
+ [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)는 가용성과 확장성이 뛰어난 DNS 웹 서비스입니다.

**도구**
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)는 명령줄 셸의 명령을 AWS 서비스 통해와 상호 작용하는 데 도움이 되는 오픈 소스 도구입니다. 이 패턴에서 AWS CLI 는 Route 53 권한 부여를 구성하는 데 사용됩니다.

## 에픽
<a name="centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory-epics"></a>

### AWS Managed Microsoft AD 디렉터리 생성 및 공유
<a name="create-and-share-an-managed-ad-directory"></a>


| 작업 | 설명 | 필요한 기술 | 
| --- | --- | --- | 
| 배포 AWS Managed Microsoft AD. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html) | AWS 관리자 | 
| 디렉터리를 공유합니다. | 디렉터리를 빌드한 후 AWS 계정 AWS 조직의 다른와 공유합니다. 지침은 *AWS Directory Service AWS Directory Service 관리 가이드의* [내 디렉터리 공유](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/step2_share_directory.html)를 참조하세요. AWS Managed Microsoft AD Standard Edition의 공유 제한은 5개입니다. Enterprise Edition의 공유 제한은 125개입니다. | 관리자 | 

### Route 53 구성
<a name="configure-r53"></a>


| 작업 | 설명 | 필요한 기술 | 
| --- | --- | --- | 
| Route 53 Resolver를 생성합니다. | Route 53 Resolver는 AWS 와 온프레미스 데이터 센터 간의 DNS 쿼리 확인을 용이하게 합니다. [See the AWS documentation website for more details](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html)중앙 AWS 네트워크 계정 VPC를 사용할 필요는 없지만 나머지 단계에서는이 구성을 가정합니다. | 관리자 | 
| Route 53 규칙을 생성합니다. | 특정 사용 사례에는 많은 수의 Route 53 규칙이 필요할 수 있지만 다음 규칙을 기준으로 구성해야 합니다.[See the AWS documentation website for more details](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html)<br />자세한 내용은 [Route 53 개발자](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing.html) 안내서의 *전달 규칙 관리*를 참조하세요. | 관리자 | 
| Route 53 Profile을 구성합니다. | Route 53 Profile은 스포크 계정과 규칙을 공유하는 데 사용됩니다.[See the AWS documentation website for more details](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html) | 관리자 | 

### 온프레미스 Active Directory DNS 구성
<a name="configure-on-premises-active-directory-dns"></a>


| 작업 | 설명 | 필요한 기술 | 
| --- | --- | --- | 
| 위임을 생성합니다. | Microsoft DNS 스냅인(`dnsmgmt.msc`)을 사용하여 Active Directory 내에서 `company.com` 네임스페이스에 대한 새 위임을 생성합니다. 위임된 도메인의 이름은 `aws`여야 합니다. 이렇게 하면 위임의 정규화된 도메인 이름(FQDN)은 `aws.company.com`이 됩니다. AWS Managed Microsoft AD 이름 서버 IP 값에 도메인 컨트롤러의 IP 주소를 사용하고 이름`server.aws.company.com`에를 사용합니다. (이 위임은 중복성을 위한 것입니다. 위임보다 우선하는이 네임스페이스에 대해 조건부 전달자가 생성되기 때문입니다.) |  Active Directory | 
| 조건부 전달자를 생성합니다. | Microsoft DNS 스냅인(`dnsmgmt.msc`)을 사용하여 `aws.company.com`에 대한 새 조건부 전달자를 생성합니다.  조건부 전달자의 대상에 AWS 계정 대해 중앙 DNS에 AWS 있는 인바운드 Route 53 Resolver의 IP 주소를 사용합니다.   |  Active Directory | 

### 스포크용 Route 53 프라이빗 호스팅 영역 생성 AWS 계정
<a name="create-r53-private-hosted-zones-for-spoke-aws-accounts"></a>


| 작업 | 설명 | 필요한 기술 | 
| --- | --- | --- | 
| Route 53 프라이빗 호스팅 영역을 생성합니다. | 각 스포크 계정에 Route 53 프라이빗 호스팅 영역을 생성합니다. 이 프라이빗 호스팅 영역을 스포크 계정 VPC와 연결합니다. 자세한 단계는 *Route 53 개발자* 안내서의 [프라이빗 호스팅 영역 생성](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html)을 참조하세요. | AWS 관리자 | 
| 권한 부여를 생성합니다. |  AWS CLI 를 사용하여 중앙 AWS 네트워크 계정 VPC에 대한 권한 부여를 생성합니다. 각 스포크 AWS 계정의 컨텍스트에서 다음 명령을 실행합니다.<pre>aws route53 create-vpc-association-authorization --hosted-zone-id <hosted-zone-id> \<br />   --vpc VPCRegion=<region>,VPCId=<vpc-id></pre><br />여기서 각 항목은 다음과 같습니다.[See the AWS documentation website for more details](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html) | 관리자 | 
| 연결을 생성합니다. | 를 사용하여 중앙 AWS 네트워크 계정 VPC에 대한 Route 53 프라이빗 호스팅 영역 연결을 생성합니다 AWS CLI. 중앙 AWS 네트워크 계정의 컨텍스트에서이 명령을 실행합니다.<pre>aws route53 associate-vpc-with-hosted-zone --hosted-zone-id <hosted-zone-id> \<br />   --vpc VPCRegion=<region>,VPCId=<vpc-id></pre><br />여기서 각 항목은 다음과 같습니다.[See the AWS documentation website for more details](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.html) | 관리자 | 

## 관련 리소스
<a name="centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory-resources"></a>
+ [Route 53 Resolver를 사용하여 다중 계정 환경에서 DNS 관리 간소화](https://aws.amazon.com/blogs/security/simplify-dns-management-in-a-multiaccount-environment-with-route-53-resolver/)(AWS 블로그 게시물)
+ [생성 AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html)(AWS Directory Service 문서)
+ [AWS Managed Microsoft AD 디렉터리 공유](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/step2_share_directory.html)(AWS Directory Service 문서)
+ [란 무엇입니까 Amazon Route 53 Resolver?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) (Amazon Route 53 설명서)
+ [Route 53 프라이빗 호스팅 영역 생성](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html)(Amazon Route 53 설명서)
+ [Amazon Route 53 Profiles란 무엇입니까?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/profiles.html) (Amazon Route 53 설명서)