도메인에 조인하지 못하는 WorkSpaces의 문제를 해결하려면 어떻게 해야 합니까?

해결 방법

WorkSpaces는 Active Directory의 도메인 컨트롤러와 통신해야 하는 Active Directory 도메인 구성원입니다. AWS AD Connector를 사용하는 경우 서비스 계정 권한에서 도메인 조인을 허용해야 합니다. 다음 문제 해결 단계를 사용하여 도메인 조인 오류 문제를 해결합니다.

도메인 컨트롤러와 통신

도메인에 조인하고 사용자를 인증하기 위해 WorkSpaces는 Virtual Private Cloud(VPC)의 탄력적 네트워크 인터페이스를 사용하여 도메인 컨트롤러에 연결합니다. 다음 구성 설정을 확인합니다.

1. WorkSpace가 VPC 리소스를 통해 Active Directory와 통신할 수 있는지 확인합니다. 이러한 리소스에는 보안 그룹, 네트워크 액세스 제어 목록(네트워크 ACL) 및 라우팅 테이블이 포함됩니다. 또한 WorkSpaces가 Active Directory의 온프레미스 또는 자체 관리형 도메인 컨트롤러와 통신할 수 있는지 확인합니다.
   TCP/UDP 53: DNS
   TCP/UDP 88: Kerberos 인증
   UDP 123: NTP
   TCP 135: RPC
   TCP/UDP 389: LDAP
   TCP/UDP 445: SMB
   TCP/UDP 464: Kerberos 인증
   TCP 636: TLS/SSL을 통한 LDAP(LDAPS)
   TCP 3268—3269: 글로벌 카탈로그
   TCP/UDP 49152–65535: RPC용 임시 포트
   자세한 내용은 VPC 서브넷 및 보안 그룹 구성을 참조하세요.
2. 각 WorkSpaces 서브넷에 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 시작하여 도메인 컨트롤러에 대한 TCP/UDP 액세스를 테스트합니다.
   예를 들어 DirectoryServicePortTest입니다.
   자세한 내용은 AD Connector 테스트를 참조하세요.

서비스 계정 권한(AD Connector만 해당)

컴퓨터를 도메인에 조인시키려면 유효한 도메인 보안 인증 정보가 필요합니다. 조직에서 AD Connector를 사용하는 경우 서비스 계정을 사용하여 Active Directory와 통신하는 것이 좋습니다. 다음 단계에 따라 AD Connector를 설정합니다.

1. 서비스 계정을 확인합니다.
   서비스 계정이 켜져 있는지 확인합니다.
   계정 암호가 만료되지 않았는지 확인합니다.
   도메인 구성원이 보안 인증 정보를 사용하여 도메인에 성공적으로 로그인할 수 있는지 확인합니다.
2. 서비스 계정에 사용되는 사용자 계정의 도메인 조인 제한을 우회하도록 OU(조직 단위) 관리를 위임합니다.
   권한을 위임할 사용자 그룹을 생성합니다.
   서비스 계정을 사용자 그룹에 구성원으로 추가합니다.
   도메인 구성원 컴퓨터에 대한 OU의 제어를 사용자 그룹에 위임합니다. 기본값은 '컴퓨터'입니다.
   자세한 내용은 서비스 계정에 권한 위임 및 사용자가 도메인에 조인할 수 있는 워크스테이션 수에 대한 기본 제한을 참조하세요.
3. 디렉터리 또는 연결된 디렉터리 구성에서 구성된 사용자 지정 OU가 유효한지 확인합니다.

---

관련 정보

AD Connector를 사용하여 WorkSpace 시작