연사: AWS 김민성 솔루션즈 아키텍트

1. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

2. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
김민성, Solutions Architect
2017년 10월 26일
AWS를 활용한 Active Directory
연동 및 이관 방안

3. 오늘 이 시간을 통하여
• AWS Cloud 기반의 Windows Application 및 Workload
구현
• AWS 기반의 Windows Workload들에 Active Directory (AD)가
필요한 이유
• Cloud에서 활용할 수 있는 AD 구성 옵션들
• AWS Directory Service for Microsoft Active Directory
(엔터프라이즈 에디션) – “Microsoft AD”
• 기타 AWS 디렉토리 서비스 구성 옵션들

4. AD가 필요한 이유
•데스크 톱 및 사내 어플리케이션에 대한 Single Sign-on
(SSO) 구현
•어플리케이션 및 주요 컴퓨팅 자원에 대한 그룹 기반의
Access Management
•그룹 정책 이용한 중앙화된 정책 기반의
Computer 및 User 관리

5. 클라우드를 위한 AD 구성 옵션들
•AWS Directory Service
• AWS Microsoft AD (관리형 Active Directory 서비스)
•EC2 상에 직접 Active Directory 서비스 구성 및 운영
•On-Premises상의 Active Directory 활용
• EC2 인스턴스의 On-Premises AD 직접 조인

6. 어플리케이션
가용 영역
프라이빗 서브넷
10.0.2.0/24
SQL
Server
App
Server
IIS
Server
가용 영역
프라이빗 서브넷
10.0.3.0/24
SQL
Server
App
Server
IIS
Server
일반 사용자 /
관리자
예시: 온프라미스 AD에
직접 도메인 조인
도메인 컨트롤러
DC
회사 네트워크 (온프라미스)
VPN 연결
DBAPPWEB
DBAPPWEB
인증/
LDAP
인증/
LDAP

7. 10.0.2.0/24
DBAPPWEB
SQL
Server
App
Server
IIS
Server
10.0.3.0/24
DBAPPWEB
SQL
Server
App
Server
IIS
Server
DC
예시: EC2상에 AD 직접 구성
(기존 도메인 확장, Trust 기반)
DC
Domain
Controller
DC
Domain
Controller
기존 도메인 확장 또는 Trust 구성
인증/
LDAP
인증/
LDAP
인증/
LDAP
어플리케이션
회사 네트워크 (온프라미스)
VPN 연결
도메인 컨트롤러
일반 사용자 /
관리자
가용 영역
가용 영역
프라이빗 서브넷
프라이빗 서브넷

8. 인증/
LDAP
인증/
LDAP
DB
RDS
SQL Server
프라이빗 서브넷
10.0.2.0/24
APPWEB
App
Server
IIS
Server
프라이빗 서브넷
10.0.3.0/24
APPWEB
App
Server
IIS
Server
DC
DB
RDS
SQL Server
AWS 관리 서비스
AWS 관리 서비스
DC
Domain
Controller
DC
Domain
Controller
Trust 구성
어플리케이션
회사 네트워크 (온프라미스)
VPN 연결
도메인 컨트롤러
일반 사용자 /
관리자
가용 영역
가용 영역
예시: AWS Microsoft AD와
On-Premises AD간 Trust 구성

9. 프라이빗 서브넷
가용 영역
프라이빗 서브넷퍼블릭 서브넷
NAT
10.0.0.0/24 10.0.2.0/24
APPWEB
App
Server
IIS
Server
RDGW
가용 영역
퍼블릭 서브넷
NAT
10.0.1.0/24 10.0.3.0/24
APPWEB
App
Server
IIS
Server
RDGW
DC
DB
Microsoft
AD DC
RDS
SQL
Server
DC
AWS 관리 서비스
Microsoft
AD DC
DB
RDS
SQL
Server
AWS 관리 서비스
VDI
WorkSpaces
VDI
WorkSpaces
예시: 모든 리소스를
AWS Microsoft AD
기반으로 구성

10. Active Directory 구성 옵션
1 On-Premises와 Trust 구성인 경우 AWS의 DC에서 On-Premises의 DC로의 Trust를 위한 포트 오픈 필요
2 DC간 데이터 복제의 경우 Trust에 비해 보다 많은 포트를 오픈해야 할 수 있음, DC간의 포트만 오픈하면 됨
3 도메인 도인, LDAP, 인증등과 관련된 포트 오픈 필요, AWS EC2 연결에 대한 On-Premises의 적절한 방화벽 정책 필요
AWS Microsoft AD EC2 기반 구성 On-Prem AD 활용
운영 및 관리 AWS 고객 고객
가용성
기본 지원
(이중화 및 데이터 백업)
직접 구현 직접 구현
네트워크
Trust1 를 위한
포트 오픈 필요
(least exposed)
Trust1 또는
DC간 복제를2 위한
포트 오픈 필요
On-Premises AD3 연결을
위한 포트 오픈 필요
(most exposed)
관리 권한
특정 OU의 관리자
(일부 APP 미지원)
Full control Full control

11. Active Directory 구성 옵션의 선택
AWS Microsoft AD EC2 기반 구성 On-Prem AD 활용
• AD 운영 비용 및 관리 부하
절감
• AD 스키마 변경에 대한 요구가
없는 경우
• RDS SQL Server
• AWS Enterprise Applications
• EC2 기반 Windows 워크로드
• AWS 콘솔 및 리소스에 대한
권한 할당
• 다수의 리전을 단일한 AD로
관리하고자 하는 경우
• 기존 AD의 단순 확장이
필요한 경우
• NetBIOS 이름 풀이 서비스가
필요한 경우
• 현재 권한 Delegation을
지원하지 않는 AD 기반의
어플리케이션을 사용하는
경우 (예: Exchange Server)
• 소수의 EC2 인스턴스만이 AD
접근을 필요로 할때
• On-Premises와 AWS간의
네트워크 Latency를 용인할 수
있는 경우
• 인터넷 또는 AWS와의 연결을
위해 오픈해야 되는 포트에
대한 정책이 잘 수립 된 경우
(AD Site 정책 역시 필요)
• VPN 또는 DX (전용선) 연결에
대한 이중화가 잘 구성된 경우

12. AWS Microsoft AD

13. AWS Directory Service: Microsoft AD
최소의 노력으로 Windows Application을 AWS Cloud로 이행
• Windows 서버 2012 R2 기반의 Enterprise Edition Active Directory
• 다수의 가용영역에 DC를 배포하여 고가용성 확보
• 모니터링, 업데이트 및 백업에 대한 자동화를 바탕을 바탕으로 관리 부하 절감
• 사용자, 그룹, 컴퓨터 및 정책에 대한 관리 지원
• 기존 AD 관리도구를 활용하여 다양한 리소스 및 그룹 정책 관리 – 친숙한 도구
• 커버로스 기반의 SSO 지원 – 기존 AD와 동일
• EC2의 Seamless한 도메인 조인 지원 – User Data 및 그룹 정책의 병렬 활용
• AWS의 Application들과의 연동 지원
• RDS SQL Server, WorkSpaces, WorkDocs, WorkMail
• Trust 구성의 간소화
• On-Premises 사용자 SSO 지원 – End User에 별도의 추가 ID할당 필요 없음
• EC2와 On-Premises간의 자원 공유 – 기존의 그룹 정책 유지

14. Microsoft AD via Trusts
AD AD
회사 네트워크AWS VPC
TRUST
AWS
Microsoft AD
DC
Windows AD
DC
• AWS Microsoft AD에서 On-Premises 단방향
Trust 구성
• 기존 도메인의 사용자의 경우 추가적인 인증 없이
AWS상의 리소스 접근
• EC2 인스턴스 또는 AWS Microsoft AD에서
생성한 사용자 계정이 On-Premises의 리소스에
대한 접근이 필요한 경우 양방향 Trust 구성

15. AWS Directory Service 구축
1) AWS 콘솔에서 Directory
Service 를 선택 합니다.
3) Create Microsoft AD
를 선택합니다.
2) Set up directory 메뉴를
선택합니다.
4) 설정 화면에서 Directory
이름과 VPC를 선택 합니다.

16. AWS Microsoft AD 제약 사항
• 로드맵
• LDAPS
• 어플리케이션 추가 지원
• 50,000 유저 이상 지원 (현재 최대 50,000 유저까지 지원)
• 참고 : 미 지원 어플리케이션
• 미 지원 기능
- 할당된 권한 이상의 권한을 요구 하는 경우
- 지정된 OU외의 타 OU 및 Container에 접근이 필요한 경우
- 관리 계정의 생성이 필요한 경우
- DC (도메인 컨트롤러)에 실행 파일이 설치되어야 하거나 레지스트리 변경이 필요한 경우
• 예 : Microsoft Exchange, SharePoint, AD Federation Services

17. AWS Microsoft AD - 요약
• Microsoft AD의 도메인 컨트롤러는 2개의 가용 영역에 분산 배치됨
• 자동화된 업데이트, 데이터복제, 일일 백업이 지원 됨
• 구성 및 관리가 용의하며 관리 도구는 기존의 온프라미스 도구와 동일
• 특정 OU에 대한 관리자 권한을 제공함
• 해당 OU내의 사용자 및 그룹에 대한 관리 권한 제공
• DNS에 도메인에 조인된 장비 레코드 추가
• VPC내 고정 아이피 할당
• 그룹 정책 관리 및 배포
• 어플리케이션
• AWS Directory Server는 750시간 동안 무료

18. 기타 AD Solutions

19. EC2 기반의 Active Directory 구성
AWS Microsoft AD가 고객의 시나리오와 맞지 않은 경우
• EC2 위에서 구동되는 Active Directory의 직접 관리구성
• 고객이 패치, 모니터링, 스냅샷, 이중화 구성등을 직접 구현
• 현재 지원하지 않는 어플리케이션의 배포
• Microsoft Exchange
• Microsoft SharePoint
• 기존 AD의 확장으로 구현되는 경우 고려 사항
• AD Site 구성을 통하여 AWS의 인스턴스들은 AWS 상의 DC로 서비스를 요청하도록 구성
• On-Premises의 DC들과 AWS상의 DC들간의 네트워크 연결성 확보가 쉽지 않은 경우 일부 Site
Link에 대한 Cost를 설정하거나 또는 Site간 수동으로 복제 Path를 생성해야 할 수 있음
• AWS에 구성된 Site에 대하여 "Try Next Closest Site“ 그룹정책을 통해 인접한 On-Premises의
Site에 대한 지정 필요

20. 기타 AD 구성 옵션 – AD Connector
On-Premises AD와 AWS의 AD 관련 서비스와의 통합을 위한 프록시 서비스
• WorkSpace, WorkDocs, WorkMail 통합을 위해 주로 사용됨
• 인증 및 LDAP 쿼리 발생시 On-Premises로 해당 요청을 전달
• On-Premises 사용자의 기존 Credential 정보의 재사용 가능
• EC2 인스턴스에 대한 Seamless한 도메인 조인 지원

21. 기타 AD 구성 옵션 – Simple AD
AWS의 AD 관련 서비스를 위한 AD의 일부 기능만이 필요한 경우 활용
• 일반적으로 AWS Enterprise Application의 번들로 제공됨
• WorkSpaces 등의 서비스를 Quick Start로 구성 시 기본 구성되는 형태
• On-Premises 사용자의 기존 Credential 정보의 재사용 가능
• SAMBA 기반의 AD 기능 제공
• Windows 관련 워크로드 또는 어플리케이션이 AD를 필요할 경우 AWS
Microsoft AD를 사용해야 함

22. References
문서
• Microsoft AD – http://aws.amazon.com/documentation/directory-service/
• RDS SQL Server – http://aws.amazon.com/documentation/rds/
Quick Starts – http://aws.amazon.com/quickstart/
• Active Directory DS (Microsoft AD)
• Exchange Server 2013
• SharePoint 2016 Enterprise
• Lync Server 2013
• SQL Server 2014 AlwaysOn
• PowerShell DSC