AWS announces preview of AWS Interconnect - multicloud

AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.

Systems Manager에서 Amazon EC2 Windows 인스턴스를 AWS 관리형 Microsoft AD에 원활하게 조인할 수 없는 이유는 무엇입니까?

3분 분량

Amazon Elastic Compute Cloud(Amazon EC2) Windows 인스턴스를 AWS Systems Manager의 AWS 관리형 Microsoft Active Directory(AWS 관리형 AD)에 원활하게 조인하려고 합니다.

간략한 설명

다음 문제로 인해 Amazon EC2 Windows 인스턴스와 AWS 관리형 Microsoft AD가 원활하게 조인되지 않을 수 있습니다.

Windows 인스턴스가 Systems Manager의 최소 요구 사항을 충족하지 않습니다. 자세한 내용은 ssm-cli를 사용한 관리형 노드 가용성 문제 해결의 최소 요구 사항을 참조하십시오.
AWS Identity and Access Management(IAM) 인스턴스 프로파일에 필요한 정책이 없습니다. 자세한 내용은 Systems Manager에 필요한 인스턴스 권한 구성을 참조하십시오.
Windows 인스턴스 트래픽이 AWS Directory Service 엔드포인트에 액세스할 수 없습니다.
Windows 인스턴스가 도메인 컨트롤러에 액세스할 수 없습니다. 또는 보안 그룹 또는 네트워크 액세스 제어 목록(ACL)이 필요한 포트를 통과하는 트래픽을 허용하지 않습니다.
도메인 컨트롤러에 중복된 컴퓨터 개체 이름이 이미 있습니다.
AD Connector 사용에 필요한 AWS 서비스 계정의 전제 조건을 완료하지 않았습니다.

해결 방법

인스턴스가 최소 요구 사항을 충족하는지 확인

인스턴스가 Systems Manager의 최소 요구 사항을 충족하는 경우 관리형 노드의 AWS Systems Manager Agent(SSM Agent) ping 상태는 Online입니다.

SSM 에이전트 핑 상태를 확인하려면 AWS Systems Manager 콘솔을 열고, 탐색 창에서 Fleet Manager를 선택합니다. 관리형 인스턴스가 Fleet Manager에 표시되지 않는 경우, Amazon EC2 인스턴스가 관리형 인스턴스 요구 사항을 충족하는지 확인합니다.

IAM 인스턴스 프로파일 정책 확인

AmazonSSMDirectoryServiceAccess IAM 정책을 인스턴스 프로파일에 연결해야 합니다.

IAM 역할 정책을 보려면 다음 단계를 완료합니다.

Amazon EC2 콘솔을 엽니다.
탐색 창에서 인스턴스를 선택합니다.
세부 정보 탭에서 IAM 역할을 선택합니다.

AmazonSSMDirectoryServiceAccess IAM 정책을 연결하지 않은 경우 인스턴스 권한을 구성합니다. 지침은 Amazon EC2 인스턴스 권한에 대한 대체 구성의 Systems Manager 관리형 인스턴스용 인스턴스 프로파일 생성(콘솔) 섹션을 참조하십시오.

AWS Directory Service 엔드포인트에 액세스

Windows 인스턴스에서 AWS Directory Service 엔드포인트를 통해 트래픽이 흐르는지 확인합니다. 자세한 내용은 Amazon 가상 프라이빗 클라우드(VPC) 엔드포인트 제약 및 제한을 참조하십시오. 그런 다음 aws:domainJoin 플러그인을 사용하여 AWS Directory Service 엔드포인트에 액세스합니다.

도메인 컨트롤러에 대한 액세스 권한 제공

DirectoryServicePortTest 애플리케이션을 사용하여 Windows 운영 체제(OS)가 Windows 인스턴스에서 도메인 컨트롤러와 통신할 수 있는지 확인합니다. 지침은 AD Connector 테스트를 참조하십시오. 필요한 포트 목록은 Microsoft 웹사이트에서 Active Directory 및 Active Directory 도메인 서비스 포트 요구 사항을 참조하십시오.

동일한 서브넷에 있는 인스턴스가 도메인에 수동으로 조인할 수 있는지 확인할 수도 있습니다. 인스턴스가 동일한 서브넷에서 도메인 컨트롤러에 액세스할 수 없는 경우 원활한 도메인 조인이 실패합니다.

컴퓨터 개체 이름 중복 방지

여러 개의 Windows 인스턴스를 원활하게 조인해야 하는 경우에는 Windows 이미지를 만들기 전에 Sysprep을 사용합니다.

서비스 계정 권한 검토

AD Connector가 사용하는 서비스 계정을 사용하여 Windows 인스턴스에 수동으로 조인합니다.

Windows 인스턴스에 조인할 수 없는 경우 디렉터리에 연결할 수 있는 올바른 권한을 위임하십시오. 지침은 서비스 계정에 대한 권한 위임을 참조하십시오.

참고: AD Connector에서 사용하는 서비스 계정 이름은 15자 미만이어야 합니다.

변경 사항 확인

위와 같이 변경한 후 Amazon EC2 Windows 인스턴스에 원활하게 조인할 수 있는지 확인합니다.