Microsoft Active Directory 인증을 위해 Storage Gateway 파일 게이트웨이를 도메인에 조인할 때 발생하는 문제를 해결하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2020년 2월 3일

AWS Storage Gateway에 파일 게이트웨이를 만들었으며 Microsoft Active Directory(AD)를 인증에 사용하고 싶습니다. 그러나 파일 게이트웨이를 Microsoft AD 도메인에 조인하려고 하면 다음 오류 메시지 중 하나가 표시됩니다.

  • "The specified request timed out(지정된 요청 시간 초과)"
  • "The gateway cannot connect to the specified domain(게이트웨이를 지정된 도메인에 연결할 수 없습니다.)"
  • "Invalid domain name/DNS name cannot be resolved(잘못된 도메인 이름/DNS 이름을 확인할 수 없습니다.)"

게이트웨이를 도메인에 조인할 수 있도록 이러한 오류를 해결하려면 어떻게 해야 합니까?

해결 방법

오류를 해결하려면 다음 확인 또는 구성을 시도해 보십시오.

1.    ping 테스트를 실행하여 게이트웨이가 도메인 컨트롤러에 도달할 수 있는지 확인합니다. 파일 게이트웨이와 동일한 네트워크 구성을 가진 시스템에서 도메인 컨트롤러 IP 주소에 대한 ping 테스트를 실행해야 합니다.

참고: DomainControllerIP를 도메인 컨트롤러의 IP 주소로 바꿉니다.

ping DomainControllerIP

2.    방화벽 내에서 필요한 포트를 열었는지 확인합니다. 파일 게이트웨이와 동일한 서브넷에 있는 서버에서 포트 389(TCP LDAP) 또는 포트 636(TCP LDAPS)의 도메인 컨트롤러 IP 주소로 telnet 명령을 실행하여 이를 확인합니다.

참고: DomainControllerIP를 도메인 컨트롤러의 IP 주소로 바꿉니다.

telnet DomainControllerIP 389
telnet DomainControllerIP 636

3.    파일 게이트웨이가 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에서 실행 중인 경우 DHCP 옵션 세트를 생성한 다음 해당 세트를 인스턴스가 있는 Amazon Virtual Private Cloud(VPC)에 연결해야 합니다. 이렇게 하면 파일 게이트웨이가 조인하려는 도메인을 찾을 수 있습니다. DHCP 옵션 세트를 생성하여 VPC에 연결한 후 파일 게이트웨이가 실행 중인 인스턴스를중지하고 시작하는 것이 가장 좋습니다.

파일 게이트웨이 인스턴스를 온프레미스 도메인 컨트롤러에 조인하고 파일 게이트웨이 인스턴스가 AmazonProvidedDNS를 사용하는 여러 인스턴스 중 하나인 경우에는 DHCP 옵션 세트를 변경할 수 없습니다. 이 사용 사례의 경우 다음 중 하나를 수행할 수 있습니다.

참고: 각 아웃바운드 엔드포인트에는 네트워크에 대한 AWS Direct Connect 연결 또는 VPN 연결이 있어야 합니다.

4.    파일 게이트웨이에서 도메인을 확인할 수 있는지 확인합니다. 게이트웨이 어플라이언스에서 도메인을 확인할 수 없는 경우 도메인에 조인할 수 없습니다. EC2 Linux 인스턴스에 배포된 파일 게이트웨이의 경우 게이트웨이 VM과 동일한 VPC에 있는 다른 인스턴스에 연결하여 이를 테스트할 수 있습니다. 그런 다음 nslookup 명령을 실행하여 DNS를 쿼리합니다. 온프레미스 게이트웨이의 경우 파일 게이트웨이와 네트워크 구성이 동일한 시스템에서 nslookup 명령을 실행합니다.

도메인이 확인되지 않는 경우 DNS에 필요한 레코드를 추가합니다.

5.    도메인 컨트롤러가 읽기 전용으로 설정되지 않았는지, 그리고 도메인 컨트롤러에 컴퓨터가 조인하기에 충분한 역할이 있는지 확인합니다. 이를 확인하려면 게이트웨이 VM과 동일한 VPC 서브넷에 있는 다른 서버를 도메인에 조인하십시오.

6.    파일 게이트웨이를 게이트웨이에 지리적으로 더 가까운 도메인 컨트롤러에 조인하는 것이 가장 좋습니다. 게이트웨이 어플라이언스가 20초 이내에 도메인 컨트롤러에 연결하거나 쿼리할 수 없는 경우 프로세스가 시간 초과될 수 있습니다. 예를 들어 게이트웨이 어플라이언스가 미국 동부(버지니아 북부) 리전에 있고 도메인 컨트롤러가 아시아 태평양(싱가포르) 리전에 있는 경우 도메인 조인 프로세스가 시간 초과될 수 있습니다.

참고: 20초의 기본 제한 시간 값을 늘리려면 AWS 명령줄 인터페이스(AWS CLI)에서 join-domain 명령을 실행하고 -timeout-in-seconds 옵션을 포함하여 시간을 늘릴 수 있습니다. 또는 JoinDomain API 호출을 사용하고 TimeoutInSeconds 파라미터를 포함시켜 시간을 늘릴 수 있습니다. 최대 제한 시간 값은 3,600초입니다.

7.    Microsoft AD의 조직 단위(OU)에 기본 OU가 아닌 위치에 새 컴퓨터 객체를 생성하는 그룹 정책 객체가 있는지 확인합니다. 이 사용 사례에서는 도메인을 파일 게이트웨이에 조인하기 전에 OU에 새 컴퓨터 객체가 있어야 합니다. 일부 환경은 새로 생성된 객체에 대해 다른 OU를 갖도록 사용자 지정됩니다. 특정 OU의 컴퓨터 객체(게이트웨이 VM용)가 도메인에 조인되도록 하려면 파일 게이트웨이를 도메인에 조인하기 전에 도메인 컨트롤러에 컴퓨터 객체를 생성해 보십시오. 또는 AWS CLI를 사용하여 join-domain 명령을 실행하고 -organizational-unit에 대한 옵션을 지정할 수 있습니다.

참고: 컴퓨터 객체를 생성하는 프로세스를 사전 스테이징이라고 합니다.

8.    이전 확인 및 구성을 시도한 후에도 여전히 게이트웨이를 도메인에 조인할 수 없는 경우 도메인 조인에 대한 이벤트 로그가 있는지 확인하십시오. 도메인 컨트롤러의 이벤트 뷰어에서 오류가 있는지 확인합니다. 게이트웨이 쿼리가 도메인 컨트롤러에 도달했는지 확인합니다.


이 문서가 도움이 되었습니까?

AWS에서 개선해야 할 부분이 있습니까?


도움이 필요하십니까?