블로그 릴레이 - AD Connector 디렉토리 모니터링 기능을 사용하여 Active Directory 장애시 통지 받기

블로그 릴레이 - AD Connector 디렉토리 모니터링 기능을 사용하여 Active Directory 장애시 통지 받기

AD Connector 에는 디렉토리 서비스에 장애가 발생했을 경우 바로 통지를 받을 수 있는 디렉토리 모니터링 이라는 기능을 사용할 수 있습니다. 본 블로그에서는 디렉토리 모니터링 기능을 설정하고 어떤 통지가 오는지 직접 확인해보겠습니다.
#한국어블로그
#AWS Directory Service
#AD Connector
NuNu

NuNu

facebook logohatena logotwitter logo
Clock Icon2024.10.20

안녕하세요. AWS 사업본부의 서은우입니다.

본 블로그는 당사의 한국어 블로그 릴레이의 17번째 블로그입니다.

이번 블로그의 주제는 「블로그 릴레이 - AD Connector 모니터링 기능을 사용하여 Active Directory 장애시 통지 받기」 입니다.

개요

AD Connector는 온프레미스의 Active Directory에 EC2를 연결할 수 있게 해주는 서비스입니다.

AD Connector를 사용하면서 Active Directory를 사용할 수 없거나 장애가 발생하는 상황 등을 모니터링 하고 싶은 경우가 있는데요, 이때 CloudWatch 나 Event Bridge 와 같은 서비스를 사용할 필요 없이 AD Connector에서 제공하는 기능으로 간단하게 모니터링을 설정할 수 있습니다.

AD Connector에는 '디렉토리 모니터링'이라는 기능이 제공되고 있으며, 이 기능을 사용하면 매우 간단하게 온프레미스의 Active Directory와 EC2 간에 연결 장애가 발생했을 경우의 통지를 받을 수 있는 설정을 구현할 수 있습니다.

사전 준비

본 블로그에서는 아래와 같은 리소스들을 사용하였습니다.

  • SNS Topic: 장애 발생시 통지 메일 송신합니다.
  • AWS Managed Microsoft AD: 온프레미스의 AD 서버 역할
  • AD Connector

AWS Managed Microsoft AD의 생성 방법은 아래의 블로그를 참고하였습니다.

https://dev.classmethod.jp/articles/try-setting-up-aws-managed-microsoft-ad-with-aws-directory-service/

AD Connector 생성은 AWS 공식 문서를 참고하였습니다.

https://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/ad_connector_getting_started.html#create_ad_connector

직접 해보기

AD Connector의 상태 정보를 통해 현재 디렉터리에 문제가 있는지 성공적으로 연결 중인지 등, 디렉토리의 상태 정보를 확인할 수 있습니다.

AD Connector의 디렉터리 모니터링 기능은 디렉토리의 상태가 "손상됨(Impaired)" 혹은 "작동 불가(Inoperable)" 일 경우 알람을 통지합니다.

디렉토리의 상태 정보에 대해서는 AWS 공식 문서에서 자세하게 확인하실 수 있습니다.

https://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/ad_connector_directory_status.html

모니터링 기능 설정하기

그럼 직접 AD Connector의 디렉토리 모니터링 기능을 설정해보도록 하겠습니다. SNS 토픽이 미리 준비되어 있다면 클릭 몇 번만으로 간단하게 디렉토리 모니터링 기능을 설정할 수 있습니다.

디렉터리 모니터링 기능 설정을 위해서 AD Connector의 콘솔 페이지에 접속합니다.
대상이 되는 AD Connector 를 선택한 후 "유지관리" 항목을 클릭합니다.

ad1

ad2

알람을 수신하기 위한 SNS 토픽을 설정합니다. 미리 생성해둔 SNS 토픽을 선택하고 디렉터리 모니터링 기능 설정을 완료합니다.

ad3

ad4

장애 발생시키기

AD Connector와 연결 중인 AWS Managed Microsoft AD를 삭제하여 장애를 발생시켜 보겠습니다.

AWS Managed Microsoft AD가 완전히 삭제되고 AD Connector의 상태가 갱신되기 까지 기다려주세요.
삭제가 완료되고 시간이 지나면 AD Connector의 상태가 "활성 상태"에서 "작동 불가"로 바뀐 것을 확인할 수 있습니다.

ad5

결과 확인

SNS 토픽에 구독 설정되어 있는 이메일 계정에 접속하여 AD Connector의 모니터링 기능이 제대로 작동하였는지 확인해보도록 하겠습니다.

ad6

"DS Notification Message"라는 제목으로 모니터링 알람 메일이 제대로 통지된 것을 확인할 수 있습니다.

구체적으로는 AD Connector가 DNS 포트(TCP 53)으로 AD 서버의 주소인 10.0.0.121 에 연결할 수 없다는 내용이 담겨져 있습니다.

On-premises issue(s) detected by instance 10.0.0.97: Unable to reach DNS port (TCP 53) of on-premises server 10.0.0.121. On-premises issue(s) detected by instance 10.0.0.137: Unable to reach DNS port (TCP 53) of on-premises server 10.0.0.121.

또한, 통지 메일에는 AD 서버의 상태가 "ACTIVE"에서 "INOPERABLE" 로 바뀌었음을 알 수 있으며 알람이 언제 발생했는지, 대상 AD Connector의 ID, DNS 정보에 대해서 확인할 수 있었습니다.

마무리

AD Connector를 사용하면서 장애 감시 기능을 구현하고 싶은 경우, AD Connector의 디렉토리 모니터링 기능을 사용할 수 있습니다. 모니터링 기능은 클릭 몇 번으로 매우 간단하게 설정할 수 있다는 점이 편리하게 느껴졌습니다.

또한, AD 서버가 삭제 되어 AD Connector에서 대상 AD 서버에 TCP 53 연결이 불가능한 경우 디렉토리의 상태가 "INOPERABLE"이 되는 것을 확인할 수 있었는데요, 이를 통해 AD Connector 사용중에 INOPERABLE 상태 에러가 발생하는 경우 AD 서버와 AD Connector간에 TCP 연결에 문제가 없는지 확인 하는 등의 조치를 생각할 수 있을 것 같습니다.

AD Connector를 사용 중이시라면 디렉토리 모니터링 기능을 사용해 온프레미스의 Active Directory에서 장애가 발생했을 때 바로 대응할 수 있도록 하는 것이 좋을 것 같습니다.

この記事をシェアする

facebook logohatena logotwitter logo

関連記事

AI 초보자의 LLM 공부 기록 네 번째

AI 초보자의 LLM 공부 기록 네 번째

User avatar
Lee Sujae
2024.10.20
GitHub Copilot Workspace 사용해보기

GitHub Copilot Workspace 사용해보기

User avatar
lee.byonghun
2024.10.18
AI 초보자의 LLM 공부 기록 세 번째

AI 초보자의 LLM 공부 기록 세 번째

User avatar
Lee Sujae
2024.10.15
블로그 릴레이 - Amazon Bedrock Prompt Flows의 logic 노드들 알아보기

블로그 릴레이 - Amazon Bedrock Prompt Flows의 logic 노드들 알아보기

User avatar
lee.byonghun
2024.10.14
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.