© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

김민성, Solutions Architect

2017년 10월 26일

AWS를활용한Active Directory 연동및이관방안

오늘 이 시간을 통하여

• AWS Cloud 기반의 Windows Application 및 Workload 구현

• AWS 기반의 Windows Workload들에 Active Directory (AD)가필요한 이유

• Cloud에서 활용할 수 있는 AD 구성 옵션들

• AWS Directory Service for Microsoft Active Directory (엔터프라이즈 에디션) – “Microsoft AD”

• 기타 AWS 디렉토리 서비스 구성 옵션들

AD가 필요한 이유

•데스크 톱 및 사내 어플리케이션에 대한 Single Sign-on (SSO) 구현

•어플리케이션 및 주요 컴퓨팅 자원에 대한 그룹 기반의Access Management

•그룹 정책 이용한 중앙화된 정책 기반의Computer 및 User 관리

클라우드를 위한 AD 구성 옵션들

•AWS Directory Service• AWS Microsoft AD (관리형 Active Directory 서비스)

•EC2 상에 직접 Active Directory 서비스 구성 및 운영

•On-Premises상의 Active Directory 활용• EC2 인스턴스의 On-Premises AD 직접 조인

어플리케이션

가용 영역

프라이빗 서브넷

10.0.2.0/24

SQLServer

AppServer

IISServer

가용 영역

프라이빗 서브넷

10.0.3.0/24

SQLServer

AppServer

IISServer

일반 사용자 / 관리자

예시: 온프라미스 AD에직접 도메인 조인

도메인 컨트롤러

DC

회사 네트워크 (온프라미스)

VPN 연결

DBAPPWEB

DBAPPWEB

인증/LDAP

인증/LDAP

10.0.2.0/24

DBAPPWEB

SQLServer

AppServer

IISServer

10.0.3.0/24

DBAPPWEB

SQLServer

AppServer

IISServer

DC

예시: EC2상에 AD 직접 구성(기존 도메인 확장, Trust 기반)

DC

Domain Controller

DC

Domain Controller

기존 도메인 확장 또는 Trust 구성

인증/LDAP

인증/LDAP

인증/LDAP

어플리케이션

회사 네트워크 (온프라미스)

VPN 연결

도메인 컨트롤러

일반 사용자 / 관리자

가용 영역

가용 영역

프라이빗 서브넷

프라이빗 서브넷

인증/LDAP

인증/LDAP

DBRDS

SQL Server

프라이빗 서브넷

10.0.2.0/24

APPWEB

AppServer

IISServer

프라이빗 서브넷

10.0.3.0/24

APPWEB

AppServer

IISServer

DC

DBRDS

SQL Server

AWS 관리 서비스

AWS 관리 서비스

DCDomain

Controller

DCDomain

Controller

Trust 구성

어플리케이션

회사 네트워크 (온프라미스)

VPN 연결

도메인 컨트롤러

일반 사용자 / 관리자

가용 영역

가용 영역예시: AWS Microsoft AD와On-Premises AD간 Trust 구성

프라이빗 서브넷

가용 영역

프라이빗 서브넷퍼블릭 서브넷

NAT

10.0.0.0/24 10.0.2.0/24

APPWEB

AppServer

IISServer

RDGW

가용 영역

퍼블릭 서브넷

NAT

10.0.1.0/24 10.0.3.0/24

APPWEB

AppServer

IISServer

RDGW

DC

DB

MicrosoftAD DC

RDSSQL

Server

DC

AWS 관리 서비스

MicrosoftAD DC

DBRDSSQL

Server

AWS 관리 서비스

VDI

WorkSpaces

VDI

WorkSpaces

예시: 모든 리소스를AWS Microsoft AD기반으로 구성

Active Directory 구성 옵션

1 On-Premises와 Trust 구성인 경우 AWS의 DC에서 On-Premises의 DC로의 Trust를 위한 포트 오픈 필요2 DC간 데이터 복제의 경우 Trust에 비해 보다 많은 포트를 오픈해야 할 수 있음, DC간의 포트만 오픈하면 됨3 도메인 도인, LDAP, 인증등과 관련된 포트 오픈 필요, AWS EC2 연결에 대한 On-Premises의 적절한 방화벽 정책 필요

AWS Microsoft AD EC2 기반 구성 On-Prem AD 활용

운영 및 관리 AWS 고객 고객

가용성기본 지원

(이중화 및 데이터 백업)직접 구현 직접 구현

네트워크Trust1 를 위한포트 오픈 필요(least exposed)

Trust1 또는DC간 복제를2 위한

포트 오픈 필요

On-Premises AD3 연결을위한 포트 오픈 필요

(most exposed)

관리 권한특정 OU의 관리자(일부 APP 미지원)

Full control Full control

Active Directory 구성 옵션의 선택

AWS Microsoft AD EC2 기반 구성 On-Prem AD 활용

• AD 운영 비용 및 관리 부하절감

• AD 스키마 변경에 대한 요구가없는 경우

• RDS SQL Server

• AWS Enterprise Applications

• EC2 기반 Windows 워크로드

• AWS 콘솔 및 리소스에 대한권한 할당

• 다수의 리전을 단일한 AD로관리하고자 하는 경우

• 기존 AD의 단순 확장이필요한 경우

• NetBIOS 이름 풀이 서비스가필요한 경우

• 현재 권한 Delegation을지원하지 않는 AD 기반의어플리케이션을 사용하는경우 (예: Exchange Server)

• 소수의 EC2 인스턴스만이 AD 접근을 필요로 할때

• On-Premises와 AWS간의네트워크 Latency를 용인할 수있는 경우

• 인터넷 또는 AWS와의 연결을위해 오픈해야 되는 포트에대한 정책이 잘 수립 된 경우(AD Site 정책 역시 필요)

• VPN 또는 DX (전용선) 연결에대한 이중화가 잘 구성된 경우

AWS Microsoft AD

AWS Directory Service: Microsoft AD최소의 노력으로 Windows Application을 AWS Cloud로 이행

• Windows 서버 2012 R2 기반의 Enterprise Edition Active Directory• 다수의 가용영역에 DC를 배포하여 고가용성 확보

• 모니터링, 업데이트 및 백업에 대한 자동화를 바탕을 바탕으로 관리 부하 절감

• 사용자, 그룹, 컴퓨터 및 정책에 대한 관리 지원• 기존 AD 관리도구를 활용하여 다양한 리소스 및 그룹 정책 관리 – 친숙한 도구

• 커버로스 기반의 SSO 지원 – 기존 AD와 동일

• EC2의 Seamless한 도메인 조인 지원 – User Data 및 그룹 정책의 병렬 활용

• AWS의 Application들과의 연동 지원• RDS SQL Server, WorkSpaces, WorkDocs, WorkMail

• Trust 구성의 간소화• On-Premises 사용자 SSO 지원 – End User에 별도의 추가 ID할당 필요 없음

• EC2와 On-Premises간의 자원 공유 – 기존의 그룹 정책 유지

Microsoft AD via Trusts

AD AD

회사 네트워크AWS VPC

TRUST

AWSMicrosoft AD

DC

Windows AD DC

• AWS Microsoft AD에서 On-Premises 단방향Trust 구성

• 기존 도메인의 사용자의 경우 추가적인 인증 없이AWS상의 리소스 접근

• EC2 인스턴스 또는 AWS Microsoft AD에서생성한 사용자 계정이 On-Premises의 리소스에대한 접근이 필요한 경우 양방향 Trust 구성

AWS Directory Service 구축

1) AWS 콘솔에서 Directory Service 를 선택 합니다.

3) Create Microsoft AD 를 선택합니다.

2) Set up directory 메뉴를선택합니다.

4) 설정 화면에서 Directory 이름과 VPC를 선택 합니다.

AWS Microsoft AD 제약 사항

• 로드맵• LDAPS

• 어플리케이션 추가 지원

• 50,000 유저 이상 지원 (현재 최대 50,000 유저까지 지원)

• 참고 : 미 지원 어플리케이션• 미 지원 기능

- 할당된 권한 이상의 권한을 요구 하는 경우

- 지정된 OU외의 타 OU 및 Container에 접근이 필요한 경우

- 관리 계정의 생성이 필요한 경우

- DC (도메인 컨트롤러)에 실행 파일이 설치되어야 하거나 레지스트리 변경이 필요한 경우

• 예 : Microsoft Exchange, SharePoint, AD Federation Services

AWS Microsoft AD - 요약

• Microsoft AD의 도메인 컨트롤러는 2개의 가용 영역에 분산 배치됨

• 자동화된 업데이트, 데이터복제, 일일 백업이 지원 됨

• 구성 및 관리가 용의하며 관리 도구는 기존의 온프라미스 도구와 동일

• 특정 OU에 대한 관리자 권한을 제공함• 해당 OU내의 사용자 및 그룹에 대한 관리 권한 제공

• DNS에 도메인에 조인된 장비 레코드 추가

• VPC내 고정 아이피 할당

• 그룹 정책 관리 및 배포

• 어플리케이션

• AWS Directory Server는 750시간 동안 무료

기타 AD Solutions

EC2 기반의 Active Directory 구성AWS Microsoft AD가 고객의 시나리오와 맞지 않은 경우

• EC2 위에서 구동되는 Active Directory의 직접 관리구성• 고객이 패치, 모니터링, 스냅샷, 이중화 구성등을 직접 구현

• 현재 지원하지 않는 어플리케이션의 배포• Microsoft Exchange

• Microsoft SharePoint

• 기존 AD의 확장으로 구현되는 경우 고려 사항• AD Site 구성을 통하여 AWS의 인스턴스들은 AWS 상의 DC로 서비스를 요청하도록 구성

• On-Premises의 DC들과 AWS상의 DC들간의 네트워크 연결성 확보가 쉽지 않은 경우 일부 Site Link에 대한 Cost를 설정하거나 또는 Site간 수동으로 복제 Path를 생성해야 할 수 있음

• AWS에 구성된 Site에 대하여 "Try Next Closest Site“ 그룹정책을 통해 인접한 On-Premises의Site에 대한 지정 필요

기타 AD 구성 옵션 – AD ConnectorOn-Premises AD와 AWS의 AD 관련 서비스와의 통합을 위한 프록시 서비스

• WorkSpace, WorkDocs, WorkMail 통합을 위해 주로 사용됨• 인증 및 LDAP 쿼리 발생시 On-Premises로 해당 요청을 전달

• On-Premises 사용자의 기존 Credential 정보의 재사용 가능

• EC2 인스턴스에 대한 Seamless한 도메인 조인 지원

기타 AD 구성 옵션 – Simple ADAWS의 AD 관련 서비스를 위한 AD의 일부 기능만이 필요한 경우 활용

• 일반적으로 AWS Enterprise Application의 번들로 제공됨• WorkSpaces 등의 서비스를 Quick Start로 구성 시 기본 구성되는 형태

• On-Premises 사용자의 기존 Credential 정보의 재사용 가능

• SAMBA 기반의 AD 기능 제공

• Windows 관련 워크로드 또는 어플리케이션이 AD를 필요할 경우 AWS Microsoft AD를 사용해야 함

References

문서• Microsoft AD – http://aws.amazon.com/documentation/directory-service/

• RDS SQL Server – http://aws.amazon.com/documentation/rds/

Quick Starts – http://aws.amazon.com/quickstart/• Active Directory DS (Microsoft AD)

• Exchange Server 2013

• SharePoint 2016 Enterprise

• Lync Server 2013

• SQL Server 2014 AlwaysOn

• PowerShell DSC