[2017 Windows on AWS] AWS 를 활용한 Active Directory 연동 및 이관 방안
-
Upload
amazon-web-services-korea -
Category
Technology
-
view
426 -
download
5
Transcript of [2017 Windows on AWS] AWS 를 활용한 Active Directory 연동 및 이관 방안
© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
김민성, Solutions Architect
2017년 10월 26일
AWS를활용한Active Directory 연동및이관방안
오늘 이 시간을 통하여
• AWS Cloud 기반의 Windows Application 및 Workload 구현
• AWS 기반의 Windows Workload들에 Active Directory (AD)가필요한 이유
• Cloud에서 활용할 수 있는 AD 구성 옵션들
• AWS Directory Service for Microsoft Active Directory (엔터프라이즈 에디션) – “Microsoft AD”
• 기타 AWS 디렉토리 서비스 구성 옵션들
AD가 필요한 이유
•데스크 톱 및 사내 어플리케이션에 대한 Single Sign-on (SSO) 구현
•어플리케이션 및 주요 컴퓨팅 자원에 대한 그룹 기반의Access Management
•그룹 정책 이용한 중앙화된 정책 기반의Computer 및 User 관리
클라우드를 위한 AD 구성 옵션들
•AWS Directory Service• AWS Microsoft AD (관리형 Active Directory 서비스)
•EC2 상에 직접 Active Directory 서비스 구성 및 운영
•On-Premises상의 Active Directory 활용• EC2 인스턴스의 On-Premises AD 직접 조인
어플리케이션
가용 영역
프라이빗 서브넷
10.0.2.0/24
SQLServer
AppServer
IISServer
가용 영역
프라이빗 서브넷
10.0.3.0/24
SQLServer
AppServer
IISServer
일반 사용자 / 관리자
예시: 온프라미스 AD에직접 도메인 조인
도메인 컨트롤러
DC
회사 네트워크 (온프라미스)
VPN 연결
DBAPPWEB
DBAPPWEB
인증/LDAP
인증/LDAP
10.0.2.0/24
DBAPPWEB
SQLServer
AppServer
IISServer
10.0.3.0/24
DBAPPWEB
SQLServer
AppServer
IISServer
DC
예시: EC2상에 AD 직접 구성(기존 도메인 확장, Trust 기반)
DC
Domain Controller
DC
Domain Controller
기존 도메인 확장 또는 Trust 구성
인증/LDAP
인증/LDAP
인증/LDAP
어플리케이션
회사 네트워크 (온프라미스)
VPN 연결
도메인 컨트롤러
일반 사용자 / 관리자
가용 영역
가용 영역
프라이빗 서브넷
프라이빗 서브넷
인증/LDAP
인증/LDAP
DBRDS
SQL Server
프라이빗 서브넷
10.0.2.0/24
APPWEB
AppServer
IISServer
프라이빗 서브넷
10.0.3.0/24
APPWEB
AppServer
IISServer
DC
DBRDS
SQL Server
AWS 관리 서비스
AWS 관리 서비스
DCDomain
Controller
DCDomain
Controller
Trust 구성
어플리케이션
회사 네트워크 (온프라미스)
VPN 연결
도메인 컨트롤러
일반 사용자 / 관리자
가용 영역
가용 영역예시: AWS Microsoft AD와On-Premises AD간 Trust 구성
프라이빗 서브넷
가용 영역
프라이빗 서브넷퍼블릭 서브넷
NAT
10.0.0.0/24 10.0.2.0/24
APPWEB
AppServer
IISServer
RDGW
가용 영역
퍼블릭 서브넷
NAT
10.0.1.0/24 10.0.3.0/24
APPWEB
AppServer
IISServer
RDGW
DC
DB
MicrosoftAD DC
RDSSQL
Server
DC
AWS 관리 서비스
MicrosoftAD DC
DBRDSSQL
Server
AWS 관리 서비스
VDI
WorkSpaces
VDI
WorkSpaces
예시: 모든 리소스를AWS Microsoft AD기반으로 구성
Active Directory 구성 옵션
1 On-Premises와 Trust 구성인 경우 AWS의 DC에서 On-Premises의 DC로의 Trust를 위한 포트 오픈 필요2 DC간 데이터 복제의 경우 Trust에 비해 보다 많은 포트를 오픈해야 할 수 있음, DC간의 포트만 오픈하면 됨3 도메인 도인, LDAP, 인증등과 관련된 포트 오픈 필요, AWS EC2 연결에 대한 On-Premises의 적절한 방화벽 정책 필요
AWS Microsoft AD EC2 기반 구성 On-Prem AD 활용
운영 및 관리 AWS 고객 고객
가용성기본 지원
(이중화 및 데이터 백업)직접 구현 직접 구현
네트워크Trust1 를 위한포트 오픈 필요(least exposed)
Trust1 또는DC간 복제를2 위한
포트 오픈 필요
On-Premises AD3 연결을위한 포트 오픈 필요
(most exposed)
관리 권한특정 OU의 관리자(일부 APP 미지원)
Full control Full control
Active Directory 구성 옵션의 선택
AWS Microsoft AD EC2 기반 구성 On-Prem AD 활용
• AD 운영 비용 및 관리 부하절감
• AD 스키마 변경에 대한 요구가없는 경우
• RDS SQL Server
• AWS Enterprise Applications
• EC2 기반 Windows 워크로드
• AWS 콘솔 및 리소스에 대한권한 할당
• 다수의 리전을 단일한 AD로관리하고자 하는 경우
• 기존 AD의 단순 확장이필요한 경우
• NetBIOS 이름 풀이 서비스가필요한 경우
• 현재 권한 Delegation을지원하지 않는 AD 기반의어플리케이션을 사용하는경우 (예: Exchange Server)
• 소수의 EC2 인스턴스만이 AD 접근을 필요로 할때
• On-Premises와 AWS간의네트워크 Latency를 용인할 수있는 경우
• 인터넷 또는 AWS와의 연결을위해 오픈해야 되는 포트에대한 정책이 잘 수립 된 경우(AD Site 정책 역시 필요)
• VPN 또는 DX (전용선) 연결에대한 이중화가 잘 구성된 경우
AWS Microsoft AD
AWS Directory Service: Microsoft AD최소의 노력으로 Windows Application을 AWS Cloud로 이행
• Windows 서버 2012 R2 기반의 Enterprise Edition Active Directory• 다수의 가용영역에 DC를 배포하여 고가용성 확보
• 모니터링, 업데이트 및 백업에 대한 자동화를 바탕을 바탕으로 관리 부하 절감
• 사용자, 그룹, 컴퓨터 및 정책에 대한 관리 지원• 기존 AD 관리도구를 활용하여 다양한 리소스 및 그룹 정책 관리 – 친숙한 도구
• 커버로스 기반의 SSO 지원 – 기존 AD와 동일
• EC2의 Seamless한 도메인 조인 지원 – User Data 및 그룹 정책의 병렬 활용
• AWS의 Application들과의 연동 지원• RDS SQL Server, WorkSpaces, WorkDocs, WorkMail
• Trust 구성의 간소화• On-Premises 사용자 SSO 지원 – End User에 별도의 추가 ID할당 필요 없음
• EC2와 On-Premises간의 자원 공유 – 기존의 그룹 정책 유지
Microsoft AD via Trusts
AD AD
회사 네트워크AWS VPC
TRUST
AWSMicrosoft AD
DC
Windows AD DC
• AWS Microsoft AD에서 On-Premises 단방향Trust 구성
• 기존 도메인의 사용자의 경우 추가적인 인증 없이AWS상의 리소스 접근
• EC2 인스턴스 또는 AWS Microsoft AD에서생성한 사용자 계정이 On-Premises의 리소스에대한 접근이 필요한 경우 양방향 Trust 구성
AWS Directory Service 구축
1) AWS 콘솔에서 Directory Service 를 선택 합니다.
3) Create Microsoft AD 를 선택합니다.
2) Set up directory 메뉴를선택합니다.
4) 설정 화면에서 Directory 이름과 VPC를 선택 합니다.
AWS Microsoft AD 제약 사항
• 로드맵• LDAPS
• 어플리케이션 추가 지원
• 50,000 유저 이상 지원 (현재 최대 50,000 유저까지 지원)
• 참고 : 미 지원 어플리케이션• 미 지원 기능
- 할당된 권한 이상의 권한을 요구 하는 경우
- 지정된 OU외의 타 OU 및 Container에 접근이 필요한 경우
- 관리 계정의 생성이 필요한 경우
- DC (도메인 컨트롤러)에 실행 파일이 설치되어야 하거나 레지스트리 변경이 필요한 경우
• 예 : Microsoft Exchange, SharePoint, AD Federation Services
AWS Microsoft AD - 요약
• Microsoft AD의 도메인 컨트롤러는 2개의 가용 영역에 분산 배치됨
• 자동화된 업데이트, 데이터복제, 일일 백업이 지원 됨
• 구성 및 관리가 용의하며 관리 도구는 기존의 온프라미스 도구와 동일
• 특정 OU에 대한 관리자 권한을 제공함• 해당 OU내의 사용자 및 그룹에 대한 관리 권한 제공
• DNS에 도메인에 조인된 장비 레코드 추가
• VPC내 고정 아이피 할당
• 그룹 정책 관리 및 배포
• 어플리케이션
• AWS Directory Server는 750시간 동안 무료
기타 AD Solutions
EC2 기반의 Active Directory 구성AWS Microsoft AD가 고객의 시나리오와 맞지 않은 경우
• EC2 위에서 구동되는 Active Directory의 직접 관리구성• 고객이 패치, 모니터링, 스냅샷, 이중화 구성등을 직접 구현
• 현재 지원하지 않는 어플리케이션의 배포• Microsoft Exchange
• Microsoft SharePoint
• 기존 AD의 확장으로 구현되는 경우 고려 사항• AD Site 구성을 통하여 AWS의 인스턴스들은 AWS 상의 DC로 서비스를 요청하도록 구성
• On-Premises의 DC들과 AWS상의 DC들간의 네트워크 연결성 확보가 쉽지 않은 경우 일부 Site Link에 대한 Cost를 설정하거나 또는 Site간 수동으로 복제 Path를 생성해야 할 수 있음
• AWS에 구성된 Site에 대하여 "Try Next Closest Site“ 그룹정책을 통해 인접한 On-Premises의Site에 대한 지정 필요
기타 AD 구성 옵션 – AD ConnectorOn-Premises AD와 AWS의 AD 관련 서비스와의 통합을 위한 프록시 서비스
• WorkSpace, WorkDocs, WorkMail 통합을 위해 주로 사용됨• 인증 및 LDAP 쿼리 발생시 On-Premises로 해당 요청을 전달
• On-Premises 사용자의 기존 Credential 정보의 재사용 가능
• EC2 인스턴스에 대한 Seamless한 도메인 조인 지원
기타 AD 구성 옵션 – Simple ADAWS의 AD 관련 서비스를 위한 AD의 일부 기능만이 필요한 경우 활용
• 일반적으로 AWS Enterprise Application의 번들로 제공됨• WorkSpaces 등의 서비스를 Quick Start로 구성 시 기본 구성되는 형태
• On-Premises 사용자의 기존 Credential 정보의 재사용 가능
• SAMBA 기반의 AD 기능 제공
• Windows 관련 워크로드 또는 어플리케이션이 AD를 필요할 경우 AWS Microsoft AD를 사용해야 함
References
문서• Microsoft AD – http://aws.amazon.com/documentation/directory-service/
• RDS SQL Server – http://aws.amazon.com/documentation/rds/
Quick Starts – http://aws.amazon.com/quickstart/• Active Directory DS (Microsoft AD)
• Exchange Server 2013
• SharePoint 2016 Enterprise
• Lync Server 2013
• SQL Server 2014 AlwaysOn
• PowerShell DSC