Microsoft Active Directory 인증을 위해 Storage Gateway 파일 게이트웨이를 도메인에 조인할 때 발생하는 문제를 해결하려면 어떻게 해야 합니까?

해결 방법

오류를 해결하려면 다음 확인 또는 구성을 시도해 보십시오.

1.    nping 테스트를 실행하여 게이트웨이가 도메인 컨트롤러에 연결할 수 있는지 확인합니다. nping 테스트를 실행하려면 Amazon Elastic Compute Cloud(Amazon EC2)의 경우 ssh를 사용하여 AWS Storage Gateway 콘솔에 연결하고 VMware, Hyper-V 또는 KVM의 경우 콘솔을 사용하여 AWS Storage Gateway 콘솔에 연결합니다. 명령 프롬프트(Command Prompt) 옵션을 선택한 다음 h를 입력하여 콘솔에서 사용 가능한 모든 명령을 나열합니다. Storage Gateway 가상 머신과 도메인 사이의 연결을 테스트하려면 다음 명령을 실행합니다.

참고:

을 도메인 DNS 이름으로 바꾸고, <389>를 사용된 LDAP 포트로 바꿉니다. 또한 방화벽 내에서 필요한 포트를 열었는지 확인합니다.

nping -d <corp.domain.com> -p <389> -c 1 -t tcp

다음은 게이트웨이가 도메인 컨트롤러에 연결할 수 있었던 성공적인 nping 테스트의 예입니다.

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:24 UTC
SENT (0.0553s) TCP 10.10.10.21:9783 > 10.10.10.10:389 S ttl=64 id=730 iplen=40  seq=2597195024 win=1480 
RCVD (0.0556s) TCP 10.10.10.10:389 > 10.10.10.21:9783 SA ttl=128 id=22332 iplen=44  seq=4170716243 win=8192 <mss 8961>

Max rtt: 0.310ms | Min rtt: 0.310ms | Avg rtt: 0.310ms
Raw packets sent: 1 (40B) | Rcvd: 1 (44B) | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 1.09 seconds<br>

연결이 없는 경우 nping 명령의 응답은 아래 출력과 비슷합니다. 아래 명령에는 대상 'corp.domain.com'에 대한 응답이 없습니다.

nping -d <corp.domain.com> -p <389> -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:26 UTC
SENT (0.0421s) TCP 10.10.10.21:47196 > 10.10.10.10:389  S ttl=64 id=30318 iplen=40 seq=1762671338 win=1480

Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A
Raw packets sent: 1 (40B) | Rcvd: 0 (0B) | Lost: 1 (100.00%)
Nping done: 1 IP address pinged in 1.07 seconds

2.    파일 게이트웨이가 Amazon EC2 인스턴스에서 실행 중인 경우, DHCP 옵션 세트를 생성해서 해당 인스턴스가 있는 Amazon Virtual Private Cloud(VPC)에 연결해야 합니다(아직 설정되지 않은 경우). 

3.    파일 게이트웨이에서 도메인을 확인할 수 있는지 확인합니다. 게이트웨이 어플라이언스에서 도메인을 확인할 수 없는 경우 도메인에 조인할 수 없습니다. 게이트웨이가 도메인의 DNS를 확인하고 있는지 확인하려면 다음 명령을 실행합니다.

참고:

을 도메인 DNS 이름으로 바꿉니다.

dig -d <corp.domain.com>

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> corp.domain.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24817
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;corp.domain.com.        IN    A

;; ANSWER SECTION:
corp.domain.com.    600    IN    A    10.10.10.10
corp.domain.com.    600    IN    A    10.10.20.10

;; Query time: 0 msec
;; SERVER: 10.10.20.228#53(10.10.20.228)
;; WHEN: Thu Jun 30 16:36:32 UTC 2022
;; MSG SIZE  rcvd: 78

4.    도메인 컨트롤러가 읽기 전용으로 설정되지 않았는지, 그리고 도메인 컨트롤러에 컴퓨터가 조인하기에 충분한 역할이 있는지 확인합니다. 이를 확인하려면 게이트웨이 VM과 동일한 VPC 서브넷에 있는 다른 서버를 도메인에 조인합니다.

5.    파일 게이트웨이를 게이트웨이에 지리적으로 더 가까운 도메인 컨트롤러에 조인하는 것이 가장 좋습니다. 게이트웨이 어플라이언스가 20초 이내에 도메인 컨트롤러에 연결하거나 쿼리할 수 없는 경우 프로세스가 시간 초과될 수 있습니다. 예를 들어 게이트웨이 어플라이언스가 미국 동부(버지니아 북부) 리전에 있고 도메인 컨트롤러가 아시아 태평양(싱가포르) 리전에 있는 경우 도메인 조인 프로세스가 시간 초과될 수 있습니다.

참고: 20초의 기본 제한 시간 값을 늘리려면 AWS Command Line Interface(AWS CLI)에서 join-domain 명령을 실행하고 --timeout-in-seconds 옵션을 포함하여 시간을 늘릴 수 있습니다. JoinDomain API 호출을 사용하고 TimeoutInSeconds 파라미터를 포함시켜 시간을 늘릴 수도 있습니다. 최대 제한 시간 값은 3,600초입니다.

AWS CLI 명령을 실행할 때 오류가 발생하는 경우, 최신 버전의 AWS CLI를 사용하고 있는지 확인합니다.

6.    Microsoft AD의 조직 단위(OU)에 기본 OU가 아닌 위치에 새 컴퓨터 객체를 생성하는 그룹 정책 객체가 있는지 확인합니다. 이 사용 사례에서는 도메인을 파일 게이트웨이에 조인하기 전에 OU에 새 컴퓨터 객체가 있어야 합니다. 일부 환경은 새로 생성된 객체에 대해 다른 OU를 갖도록 사용자 지정됩니다. 특정 OU의 컴퓨터 객체(게이트웨이 VM용)가 도메인에 조인되도록 하려면 파일 게이트웨이를 도메인에 조인하기 전에 도메인 컨트롤러에 컴퓨터 객체를 생성해 보세요. 또는 AWS CLI를 사용하여 join-domain 명령을 실행할 수 있습니다. 그런 다음 --organizational-unit에 대한 옵션을 지정합니다.

참고: 컴퓨터 객체를 생성하는 프로세스를 사전 스테이징이라고 합니다.

7.    이전 확인 및 구성을 시도한 후에도 여전히 게이트웨이를 도메인에 조인할 수 없는 경우, 관련된 이벤트 로그가 있는지 확인합니다. 도메인 컨트롤러의 이벤트 뷰어에서 오류가 있는지 확인합니다. 게이트웨이 쿼리가 도메인 컨트롤러에 도달했는지 확인합니다.

---