[2017 Windows on AWS] AWS 를 활용한 Active Directory 연동 및 이관 방안
2 likes3,917 views
연사: AWS 김민성 솔루션즈 아키텍트
![[2017 Windows on AWS] AWS 를 활용한 Active Directory 연동 및 이관 방안](https://image.slidesharecdn.com/4-171027022544/85/2017-Windows-on-AWS-AWS-Active-Directory-23-320.jpg)
[2017 Windows on AWS] AWS 를 활용한 Active Directory 연동 및 이관 방안
- 1. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
- 2. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 김민성, Solutions Architect 2017년 10월 26일 AWS를 활용한 Active Directory 연동 및 이관 방안
- 3. 오늘 이 시간을 통하여 • AWS Cloud 기반의 Windows Application 및 Workload 구현 • AWS 기반의 Windows Workload들에 Active Directory (AD)가 필요한 이유 • Cloud에서 활용할 수 있는 AD 구성 옵션들 • AWS Directory Service for Microsoft Active Directory (엔터프라이즈 에디션) – “Microsoft AD” • 기타 AWS 디렉토리 서비스 구성 옵션들
- 4. AD가 필요한 이유 •데스크 톱 및 사내 어플리케이션에 대한 Single Sign-on (SSO) 구현 •어플리케이션 및 주요 컴퓨팅 자원에 대한 그룹 기반의 Access Management •그룹 정책 이용한 중앙화된 정책 기반의 Computer 및 User 관리
- 5. 클라우드를 위한 AD 구성 옵션들 •AWS Directory Service • AWS Microsoft AD (관리형 Active Directory 서비스) •EC2 상에 직접 Active Directory 서비스 구성 및 운영 •On-Premises상의 Active Directory 활용 • EC2 인스턴스의 On-Premises AD 직접 조인
- 6. 어플리케이션 가용 영역 프라이빗 서브넷 10.0.2.0/24 SQL Server App Server IIS Server 가용 영역 프라이빗 서브넷 10.0.3.0/24 SQL Server App Server IIS Server 일반 사용자 / 관리자 예시: 온프라미스 AD에 직접 도메인 조인 도메인 컨트롤러 DC 회사 네트워크 (온프라미스) VPN 연결 DBAPPWEB DBAPPWEB 인증/ LDAP 인증/ LDAP
- 7. 10.0.2.0/24 DBAPPWEB SQL Server App Server IIS Server 10.0.3.0/24 DBAPPWEB SQL Server App Server IIS Server DC 예시: EC2상에 AD 직접 구성 (기존 도메인 확장, Trust 기반) DC Domain Controller DC Domain Controller 기존 도메인 확장 또는 Trust 구성 인증/ LDAP 인증/ LDAP 인증/ LDAP 어플리케이션 회사 네트워크 (온프라미스) VPN 연결 도메인 컨트롤러 일반 사용자 / 관리자 가용 영역 가용 영역 프라이빗 서브넷 프라이빗 서브넷
- 8. 인증/ LDAP 인증/ LDAP DB RDS SQL Server 프라이빗 서브넷 10.0.2.0/24 APPWEB App Server IIS Server 프라이빗 서브넷 10.0.3.0/24 APPWEB App Server IIS Server DC DB RDS SQL Server AWS 관리 서비스 AWS 관리 서비스 DC Domain Controller DC Domain Controller Trust 구성 어플리케이션 회사 네트워크 (온프라미스) VPN 연결 도메인 컨트롤러 일반 사용자 / 관리자 가용 영역 가용 영역 예시: AWS Microsoft AD와 On-Premises AD간 Trust 구성
- 9. 프라이빗 서브넷 가용 영역 프라이빗 서브넷퍼블릭 서브넷 NAT 10.0.0.0/24 10.0.2.0/24 APPWEB App Server IIS Server RDGW 가용 영역 퍼블릭 서브넷 NAT 10.0.1.0/24 10.0.3.0/24 APPWEB App Server IIS Server RDGW DC DB Microsoft AD DC RDS SQL Server DC AWS 관리 서비스 Microsoft AD DC DB RDS SQL Server AWS 관리 서비스 VDI WorkSpaces VDI WorkSpaces 예시: 모든 리소스를 AWS Microsoft AD 기반으로 구성
- 10. Active Directory 구성 옵션 1 On-Premises와 Trust 구성인 경우 AWS의 DC에서 On-Premises의 DC로의 Trust를 위한 포트 오픈 필요 2 DC간 데이터 복제의 경우 Trust에 비해 보다 많은 포트를 오픈해야 할 수 있음, DC간의 포트만 오픈하면 됨 3 도메인 도인, LDAP, 인증등과 관련된 포트 오픈 필요, AWS EC2 연결에 대한 On-Premises의 적절한 방화벽 정책 필요 AWS Microsoft AD EC2 기반 구성 On-Prem AD 활용 운영 및 관리 AWS 고객 고객 가용성 기본 지원 (이중화 및 데이터 백업) 직접 구현 직접 구현 네트워크 Trust1 를 위한 포트 오픈 필요 (least exposed) Trust1 또는 DC간 복제를2 위한 포트 오픈 필요 On-Premises AD3 연결을 위한 포트 오픈 필요 (most exposed) 관리 권한 특정 OU의 관리자 (일부 APP 미지원) Full control Full control
- 11. Active Directory 구성 옵션의 선택 AWS Microsoft AD EC2 기반 구성 On-Prem AD 활용 • AD 운영 비용 및 관리 부하 절감 • AD 스키마 변경에 대한 요구가 없는 경우 • RDS SQL Server • AWS Enterprise Applications • EC2 기반 Windows 워크로드 • AWS 콘솔 및 리소스에 대한 권한 할당 • 다수의 리전을 단일한 AD로 관리하고자 하는 경우 • 기존 AD의 단순 확장이 필요한 경우 • NetBIOS 이름 풀이 서비스가 필요한 경우 • 현재 권한 Delegation을 지원하지 않는 AD 기반의 어플리케이션을 사용하는 경우 (예: Exchange Server) • 소수의 EC2 인스턴스만이 AD 접근을 필요로 할때 • On-Premises와 AWS간의 네트워크 Latency를 용인할 수 있는 경우 • 인터넷 또는 AWS와의 연결을 위해 오픈해야 되는 포트에 대한 정책이 잘 수립 된 경우 (AD Site 정책 역시 필요) • VPN 또는 DX (전용선) 연결에 대한 이중화가 잘 구성된 경우
- 12. AWS Microsoft AD
- 13. AWS Directory Service: Microsoft AD 최소의 노력으로 Windows Application을 AWS Cloud로 이행 • Windows 서버 2012 R2 기반의 Enterprise Edition Active Directory • 다수의 가용영역에 DC를 배포하여 고가용성 확보 • 모니터링, 업데이트 및 백업에 대한 자동화를 바탕을 바탕으로 관리 부하 절감 • 사용자, 그룹, 컴퓨터 및 정책에 대한 관리 지원 • 기존 AD 관리도구를 활용하여 다양한 리소스 및 그룹 정책 관리 – 친숙한 도구 • 커버로스 기반의 SSO 지원 – 기존 AD와 동일 • EC2의 Seamless한 도메인 조인 지원 – User Data 및 그룹 정책의 병렬 활용 • AWS의 Application들과의 연동 지원 • RDS SQL Server, WorkSpaces, WorkDocs, WorkMail • Trust 구성의 간소화 • On-Premises 사용자 SSO 지원 – End User에 별도의 추가 ID할당 필요 없음 • EC2와 On-Premises간의 자원 공유 – 기존의 그룹 정책 유지
- 14. Microsoft AD via Trusts AD AD 회사 네트워크AWS VPC TRUST AWS Microsoft AD DC Windows AD DC • AWS Microsoft AD에서 On-Premises 단방향 Trust 구성 • 기존 도메인의 사용자의 경우 추가적인 인증 없이 AWS상의 리소스 접근 • EC2 인스턴스 또는 AWS Microsoft AD에서 생성한 사용자 계정이 On-Premises의 리소스에 대한 접근이 필요한 경우 양방향 Trust 구성
- 15. AWS Directory Service 구축 1) AWS 콘솔에서 Directory Service 를 선택 합니다. 3) Create Microsoft AD 를 선택합니다. 2) Set up directory 메뉴를 선택합니다. 4) 설정 화면에서 Directory 이름과 VPC를 선택 합니다.
- 16. AWS Microsoft AD 제약 사항 • 로드맵 • LDAPS • 어플리케이션 추가 지원 • 50,000 유저 이상 지원 (현재 최대 50,000 유저까지 지원) • 참고 : 미 지원 어플리케이션 • 미 지원 기능 - 할당된 권한 이상의 권한을 요구 하는 경우 - 지정된 OU외의 타 OU 및 Container에 접근이 필요한 경우 - 관리 계정의 생성이 필요한 경우 - DC (도메인 컨트롤러)에 실행 파일이 설치되어야 하거나 레지스트리 변경이 필요한 경우 • 예 : Microsoft Exchange, SharePoint, AD Federation Services
- 17. AWS Microsoft AD - 요약 • Microsoft AD의 도메인 컨트롤러는 2개의 가용 영역에 분산 배치됨 • 자동화된 업데이트, 데이터복제, 일일 백업이 지원 됨 • 구성 및 관리가 용의하며 관리 도구는 기존의 온프라미스 도구와 동일 • 특정 OU에 대한 관리자 권한을 제공함 • 해당 OU내의 사용자 및 그룹에 대한 관리 권한 제공 • DNS에 도메인에 조인된 장비 레코드 추가 • VPC내 고정 아이피 할당 • 그룹 정책 관리 및 배포 • 어플리케이션 • AWS Directory Server는 750시간 동안 무료
- 18. 기타 AD Solutions
- 19. EC2 기반의 Active Directory 구성 AWS Microsoft AD가 고객의 시나리오와 맞지 않은 경우 • EC2 위에서 구동되는 Active Directory의 직접 관리구성 • 고객이 패치, 모니터링, 스냅샷, 이중화 구성등을 직접 구현 • 현재 지원하지 않는 어플리케이션의 배포 • Microsoft Exchange • Microsoft SharePoint • 기존 AD의 확장으로 구현되는 경우 고려 사항 • AD Site 구성을 통하여 AWS의 인스턴스들은 AWS 상의 DC로 서비스를 요청하도록 구성 • On-Premises의 DC들과 AWS상의 DC들간의 네트워크 연결성 확보가 쉽지 않은 경우 일부 Site Link에 대한 Cost를 설정하거나 또는 Site간 수동으로 복제 Path를 생성해야 할 수 있음 • AWS에 구성된 Site에 대하여 "Try Next Closest Site“ 그룹정책을 통해 인접한 On-Premises의 Site에 대한 지정 필요
- 20. 기타 AD 구성 옵션 – AD Connector On-Premises AD와 AWS의 AD 관련 서비스와의 통합을 위한 프록시 서비스 • WorkSpace, WorkDocs, WorkMail 통합을 위해 주로 사용됨 • 인증 및 LDAP 쿼리 발생시 On-Premises로 해당 요청을 전달 • On-Premises 사용자의 기존 Credential 정보의 재사용 가능 • EC2 인스턴스에 대한 Seamless한 도메인 조인 지원
- 21. 기타 AD 구성 옵션 – Simple AD AWS의 AD 관련 서비스를 위한 AD의 일부 기능만이 필요한 경우 활용 • 일반적으로 AWS Enterprise Application의 번들로 제공됨 • WorkSpaces 등의 서비스를 Quick Start로 구성 시 기본 구성되는 형태 • On-Premises 사용자의 기존 Credential 정보의 재사용 가능 • SAMBA 기반의 AD 기능 제공 • Windows 관련 워크로드 또는 어플리케이션이 AD를 필요할 경우 AWS Microsoft AD를 사용해야 함
- 22. References 문서 • Microsoft AD – http://aws.amazon.com/documentation/directory-service/ • RDS SQL Server – http://aws.amazon.com/documentation/rds/ Quick Starts – http://aws.amazon.com/quickstart/ • Active Directory DS (Microsoft AD) • Exchange Server 2013 • SharePoint 2016 Enterprise • Lync Server 2013 • SQL Server 2014 AlwaysOn • PowerShell DSC