AWS Systems Manager를 사용하여 실행 중인 EC2 Windows 인스턴스를 내 AWS 디렉터리 서비스 도메인에 조인하려면 어떻게 해야 합니까?

간략한 설명

AWS Systems Manager를 사용하여 실행 중인 인스턴스를 도메인에 자동으로 조인시킬 수 있습니다. AWS Directory Service for Microsoft Active Directory or Simple AD를 사용하여 AWS Directory Service에서 도메인을 호스팅할 수 있습니다. AD Connector 디렉터리 게이트웨이를 사용하여 온프레미스 네트워크를 통해 도메인을 찾을 수도 있습니다.

해결 방법

실행 명령을 AWS에서 제공한 문서인 ** AWS-JoinDirectoryServiceDomain**과 함께 사용하여 실행 중인 Windows EC2 인스턴스를 AWS Directory Service 디렉터리에 조인합니다.

전제조건

• AWS Directory Service 디렉터리
• Windows EC2 인스턴스
• 시스템 관리자 설정
• 시스템 관리자 및 디렉터리 조인 액세스에 대한 권한 정책이 다음과 같이 첨부된 AWS Identity and Access Management (IAM) 인스턴스 프로파일 역할 
  AmazonSSMManagedInstanceCore
  AmazonSSMDirectoryServiceAccess

참고: 프라이빗 서브넷에서 Amazon EC2 인스턴스를 시작하는 경우 인스턴스에서 퍼블릭 AWS Directory Service 엔드포인트로의 트래픽을 허용해야 합니다. 자세한 내용은 VPC 엔드포인트 제한 및 한도를 참조하세요.

Amazon EC2 Windows 인스턴스를 AWS Directory Service 디렉터리에 조인

중요: 대상 인스턴스가 자동으로 재부팅되어 도메인 조인이 완료됩니다. 시작하기 전에 인스턴스 재부팅이 인프라에 안전한지 확인하세요.

1. Amazon EC2 콘솔을 열고 AWS 리전을 선택한 다음 탐색 창에서 인스턴스를 선택합니다.
2. 대상 인스턴스를 선택합니다. 세부 정보 탭에서 IAM 역할에 대해 시스템 관리자 및 디렉터리 조인 액세스를 위해 구성된 역할이 연결되었는지 확인합니다. 자세한 내용은 시스템 관리자의 인스턴스 권한 구성을 참조하세요.
   참고: 연결된 IAM 역할을 업데이트하려면 작업, 보안, IAM 역할 수정을 선택합니다.
3. AWS Systems Manager 콘솔을 열고 리전을 선택한 다음 탐색 창에서 명령 실행을 선택합니다.
4. 명령 실행을 선택합니다.
5. 문서 AWS-JoinDirectoryServiceDomain을 검색합니다. 그런 다음 검색 결과에서 AWS-JoinDirectoryServiceDomain을 선택합니다.
6. 명령 파라미터에 다음을 입력합니다.
   디렉터리 ID에 AWS Directory Service 디렉터리의 ID를 입력합니다.
   디렉터리 이름에 디렉터리의 DNS 이름을 입력합니다.
   (선택 사항) DNS IP 주소에 디렉터리에 있는 DNS 서버의 IP 주소를 줄마다 하나씩 입력합니다. DHCP 옵션 세트에서 도메인 DNS 서버를 구성한 경우에는 이 단계가 필요하지 않습니다. 
   참고: 6단계에서 입력한 디렉터리 값을 찾으려면 AWS Directory Service 콘솔을 엽니다. 그런 다음 탐색 창에서 디렉터리를 선택합니다. 디렉터리의 디렉터리 ID 링크를 선택한 다음 디렉터리 세부 정보 섹션에서 값을 찾습니다.
7. 대상 선택에서 수동으로 인스턴스 선택을 선택한 다음 도메인에 조인할 인스턴스를 선택합니다.
8. 실행을 선택합니다.
9. 명령 상태가 성공으로 보고되면 대상 및 출력 섹션에서 인스턴스 ID를 선택합니다. 명령 출력을 검토하고 인스턴스가 도메인에 성공적으로 조인되었는지 확인합니다.

문제 해결

인스턴스가 디렉터리 도메인에 조인하지 못할 경우 다음 단계를 완료하세요.

1. DirectoryServicePortTest 애플리케이션을 사용하여 인스턴스가 디렉터리 서비스와 통신할 수 있는지 확인합니다. 도메인에 조인하는 데 필요한 포트 번호 목록은 Microsoft 웹 사이트의 Active Directory 및 Active Directory 도메인 서비스 포트 요구 사항을 참조하세요.
2. 동일한 서브넷의 인스턴스가 도메인에 수동으로 조인할 수 있는지 확인합니다. 수동 조인 시도가 실패하면 대상 서브넷에서 도메인 컨트롤러에 액세스할 수 있는지 확인하세요.
3. AD 커넥터를 사용하여 AWS 관리형 Microsoft AD에 연결하는 경우 디렉터리 조직 단위(OU) 파라미터가 지정되었는지 확인하세요. 디렉터리 OU 파라미터를 지정하지 않으면 도메인 조인이 실패합니다. AWS 관리형 Microsoft AD를 사용하면 기본 OU에 컴퓨터 객체를 생성할 수 없습니다.

AWS Systems Manager 에이전트 사용 및 기타 문제 해결 단계에 대한 자세한 내용은 관리형 노드를 참조하세요.

자세한 문제 해결 전략은 ](https://support.microsoft.com/en-us/help/4341920/troubleshoot-errors-when-you-join-windows-based-computers-to-domain)Windows 기반 컴퓨터를 Microsoft 웹 사이트의 도메인에 조인시킬 때 발생하는 오류를 해결하는 방법[을 참조하세요.

관련 정보

AWS Directory Service란 무엇인가요?

Amazon EC2 Windows 인스턴스에서 AWS 관리형 Microsoft AD 또는 Simple AD 디렉터리를 관리하려면 어떻게 해야 합니까?

AWS Systems Manager를 사용하여 새 EC2 Windows 인스턴스를 내 AWS 디렉터리 서비스 도메인에 조인하려면 어떻게 해야 합니까?