Systems Manager에서 Windows 인스턴스의 원활한 도메인 조인 문제를 해결하려면 어떻게 해야 하나요?
AWS Systems Manager에서 Windows 인스턴스에 대한 원활한 도메인 조인을 성공적으로 완료할 수 없습니다.
간략한 설명
다음은 Windows에서 원활한 도메인 조인이 실패할 수 있는 가장 일반적인 이유입니다.
-
시스템 관리자 필수 구성 요소가 완료되지 않았습니다.
-
원활한 도메인 조인에 대한 정책이 AWS IAM(ID 및 액세스 관리) 인스턴스 프로파일에 누락되었습니다.
-
Windows 인스턴스 트래픽이 퍼블릭 AWS Directory Service 엔드포인트에 액세스할 수 없습니다.
-
Windows 인스턴스가 도메인 컨트롤러에 액세스할 수 없거나 도메인에 조인하는 데 필요한 포트가 보안 그룹 또는 네트워크 ACL에 의해 허용되지 않습니다.
-
도메인 컨트롤러에 중복된 컴퓨터 개체 이름이 이미 있습니다.
-
서비스 계정에 AD 커넥터를 사용하는 데 필요한 권한이 없습니다.
Windows 인스턴스에 대한 원활한 도메인 조인이 실패하면 다음을 검토하여 문제를 해결하세요.
해결 방법
Systems Manager 필수 구성 요소 확인
Windows 인스턴스에서 원활한 도메인 조인을 수행하려면 System Manager 필수 구성 요소를 완료합니다. System Manager 필수 구성 요소가 완료되면 관리형 노드의 AWS Systems Manager Agent(SSM Agent) 핑 상태는 Online입니다. SSM 에이전트 핑 상태를 확인하려면 AWS Systems Manager 콘솔을 연 다음 탐색 창에서 Fleet Manager를 선택합니다. 관리형 인스턴스가 Fleet Manager에 나타나지 않는 경우, Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스가 관리형 인스턴스 요구 사항을 충족하는지 확인합니다.
IAM 인스턴스 프로필 정책 확인
Windows 인스턴스에서 도메인 조인을 원활하게 하려면 AmazonSSMDirectoryServiceAccess IAM 정책을 할당해야 합니다. IAM 역할 정책을 보려면 Amazon EC2 콘솔을 연 다음 탐색 창에서 인스턴스를 선택합니다. 그런 다음, 세부 정보 탭에 있는 IAM 역할을 선택합니다.
AmazonSSMDirectoryServiceAccess IAM 정책이 누락된 경우, 권한을 추가하려면 Systems Manager에 대한 인스턴스 권한 구성을 참조하세요.
AWS Directory Service 엔드포인트에 대한 트래픽 액세스 허용
Windows 인스턴스에서 AWS Directory Service 엔드포인트에 액세스하려면 aws:domainJoin 플러그인을 사용하세요.
aws:domainJoin 플러그인을 사용하여 AWS Directory Service 엔드포인트에 원활하게 도메인 조인을 하려면 Windows 인스턴스에서 트래픽 액세스를 허용해야 합니다. Windows 인스턴스의 트래픽이 퍼블릭 AWS Directory Service 엔드포인트에 액세스할 수 있도록 허용해야 합니다. 자세한 내용은 VPC 엔드포인트 제한 및 한계를 참조하세요.
도메인 컨트롤러에 대한 액세스 권한 제공
Windows 인스턴스에 원활한 도메인 조인을 수행하려면, 원활한 도메인 조인을 수행할 때 Windows OS가 도메인 컨트롤러와 통신해야 합니다. DirectoryServicePortTest 테스트 애플리케이션을 사용하여 Windows 인스턴스에서 도메인 컨트롤러와 통신이 설정되었는지 확인합니다.
도메인 조인에 필요한 포트 번호 목록은 Microsoft 웹사이트에서 Active Directory 및 Active Directory 도메인 서비스 포트 요구 사항을 참조하세요.
동일한 서브넷에 있는 인스턴스가 도메인에 수동으로 조인할 수 있는지 확인할 수도 있습니다. 인스턴스가 동일한 서브넷에서 도메인 컨트롤러에 액세스할 수 없는 경우 원활한 도메인 조인이 실패합니다.
컴퓨터 개체 이름 중복 방지
도메인 컨트롤러에 동일한 이름의 컴퓨터 개체가 이미 존재하면 도메인 조인이 실패합니다. 사용자 지정 Windows 이미지를 사용하여 여러 Windows 인스턴스에서 원활하게 도메인 조인을 하려면 이미지를 만들기 전에 Sysprep을 사용하세요. Sysprep 사용에 대한 지침은 사용자를 위해 재사용 가능한 사용자 지정 Windows AMI를 만들고 설치하려면 어떻게 해야 하나요?를 참조하세요.
AD 커넥터 서비스 계정 권한 검토
AD 커넥터를 사용하려면, 서비스 계정에 충분한 권한이 필요합니다. 서비스 계정에 컴퓨터 계정을 만들 수 있는 권한이 없는 경우, 원활한 도메인 조인에 실패합니다. 서비스 계정 권한을 확인하려면, 서비스 계정을 사용하여 Windows 인스턴스에 수동으로 조인하세요.
관련 정보
관련 콘텐츠
- 질문됨 2달 전
- 질문됨 일 년 전
- AWS 공식업데이트됨 2년 전
