[Tip] AWS FSx 연결 주기적으로 풀린 후, 연결 안되는 Error 해결하기

안녕하세요 서후아빠입니다. ^_^

이번 세션은 클라우드로 마이그레이션한 Windows 서버 2대 중 1대가 아무 이유 없이 한달에 한번 FSx가 풀리는 증상에 발생하였습니다. 장애가 난 인스턴스는 온프레미스에서 사용하는 서버를 이미지를 떠서 AWS 클라우드로 옮긴 상황이었습니다.

---

FSx 장애 원인

Windows 서버 마이그레이션 과정에서 SID 중복 발생

  - AD Domain에 조인/접속된 Windows 서버를 AMI로 생성한 경우 SID가 그대로 등록

  - 이렇게 SID가 등록된 AMI로 인스턴스를 생성하게 되면 SID가 중복 발생

1달에 1회 정도 서버가 AD서버에게 인증하는 과정에서 서버 1번과 2번 중, 후순위로 인증하는 서버가 인증 실패하면서 FSx 해제 발생

조치 방법

Windows 서버 2대의 SID 확인(ex : S-1-5-21-919912956-2300670532-782105837)

# SID 확인하는 명령어
C:\Windows\System32>wmic useraccount where localaccount=true get sid
SID
S-1-5-21-919912956-2300670532-782105837-500
...

2대 중 1대를 재설치하여 SID 중복을 제거하고, AD에 새로 연동(추천하는 방법)

또 다른 방법은 sysprep으로 시스템에 관한 정보를 초기화하는 것입니다.  (AWS 가이드)   - Sysprep을 이용한 표준화된 Amazon Machine Image(AMI) 생성부터 가이드 참고   - 시스템에 다소 시간이 필요하며 정상 동작하지 않을 경우도 존재하므로 추천하지 않습니다.

참고 : SID(Security Identifier, 보안 식별자) 중복 문제

Microsoft는 Windows 설치 프로그램의 GUI 부분에 도달하기 전에 시스템 복제가 지원되는 경우에만 지원한다고 밝혔습니다.
설치가 이 지점에 도달하면 컴퓨터에 이름과 고유한 컴퓨터 SID가 할당됩니다.
이 단계 후에 시스템이 복제되면 복제된 시스템은 모두 동일한 컴퓨터 SID를 갖게 됩니다.
컴퓨터 이름을 변경하거나 다른 도메인에 컴퓨터를 추가하는 것만으로는 컴퓨터 SID가 변경되지 않습니다.
이름이나 도메인을 변경하면 컴퓨터가 이전에 도메인과 연결된 경우에만 도메인 SID가 변경됩니다.
복제로 인해 발생할 수 있는 문제를 이해하려면 먼저 컴퓨터의 개별 로컬 계정에 SID가 할당되는 방식을 이해해야 합니다.
로컬 계정의 SID는 컴퓨터의 SID와 추가된 RID(상대 식별자)로 구성됩니다.

RID는 고정 값에서 시작하며 생성된 각 계정에 대해 하나씩 증가합니다.
이는 예를 들어 한 컴퓨터의 두 번째 계정에 클론의 두 번째 계정과 동일한 RID가 부여됨을 의미합니다.
결과는 두 계정의 SID가 동일하다는 것입니다.
도메인 계정에는 도메인 SID를 기반으로 하는 SID가 있으므로 중복 SID는 도메인 기반 환경에서 문제가 되지 않습니다.
그러나 Microsoft 기술 자료 문서 Q162001, "Windows NT의 설치된 버전을 복제하지 마십시오"에 따르면 작업 그룹 환경에서 보안은 로컬 계정 SID를 기반으로 합니다.
따라서 두 컴퓨터에 동일한 SID를 가진 사용자가 있는 경우 작업 그룹은 사용자를 구별할 수 없습니다.
파일 및 레지스트리 키를 포함하여 한 사용자가 액세스할 수 있는 모든 리소스는 다른 사용자도 액세스할 수 있습니다.