信頼関係の作成 - AWS Directory Service
前提条件信頼関係を作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

信頼関係の作成

Microsoft Active Directory AWS 用ディレクトリサービスと自己管理 (オンプレミス) ディレクトリ間、 AWS およびクラウド内の複数の管理対象 Microsoft AD ディレクトリ間で、単方向および双方向の外部信頼関係とフォレスト信頼関係を設定できます。 AWS AWS Managed Microsoft AD は、受信、送信、双方向 (双方向) の 3 つの信頼関係方向すべてをサポートします。

信頼関係について詳しくは、「AWS Managed Microsoft AD の信頼について知りたいことすべて」を参照してください。

注記

信頼関係を設定するときは、自己管理ディレクトリが s AWS Directory Serviceとの互換性を維持していることを確認する必要があります。お客様の責任の詳細については、「責任共有モデル」を参照してください。

AWS マネージド Microsoft AD は、外部信頼とフォレスト信頼の両方をサポートします。フォレスト信頼の作成方法を示すシナリオの例については、「チュートリアル: AWS Managed Microsoft AD と自己管理型 Active Directory ドメイン間で信頼関係を作成する」を参照してください。

Amazon Chime、Amazon Connect、Amazon、、Amazon、Amazon QuickSight、 AWS AWS IAM Identity Centerなどのエンタープライズアプリケーションには WorkDocs、双方向の信頼が必要です。 WorkMail WorkSpaces AWS Management Console AWS 管理対象の Microsoft AD は、Active Directory自己管理型のユーザーとグループにクエリを実行できる必要があります。

Amazon EC2、Amazon RDS、および Amazon FSx は、一方向または双方向のいずれかの信頼で動作します。

前提条件

信頼の作成は数ステップのみで完了しますが、信頼を設定する前に、いくつかの前提条件の手順を完了しておく必要があります。

注記

AWS マネージド Microsoft AD はシングルラベルドメインとの信頼をサポートしていません

VPC に接続する

自己管理型ディレクトリとの信頼関係を構築する場合は、まず自己管理型ネットワークを、管理対象の Microsoft AD を含む Amazon AWS VPC に接続する必要があります。 AWS 自己管理型および管理型の Microsoft AD ネットワークのファイアウォールでは、WindowsServer 2008 Microsoft 以降のバージョンのドキュメントに記載されているネットワークポートが開いている必要があります

Amazon WorkDocs や Amazon AWS などのアプリケーションでの認証にフルドメイン名の代わりに NetBIOS 名を使用するには QuickSight、ポート 9389 を許可する必要があります。Active Directory のポートとプロトコルの詳細については、ドキュメントの「サービスの概要とネットワークポート要件」を参照してください。Windows Microsoft

これらは、ディレクトリに接続するために必要な最小限のポートです。固有の設定によっては、追加ポートが開かれていることが必要です。

VPC の設定

AWS 管理対象の Microsoft AD を含む VPC には、適切なアウトバウンドルールとインバウンドルールが必要です。

VPC のアウトバウンドルールを設定するには

  1. AWS Directory Service コンソールの [ディレクトリの詳細] ページで、 AWS 管理対象の Microsoft AD ディレクトリ ID をメモします。

  2. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  3. [Security Groups] (セキュリティグループ) をクリックします。

  4. AWS 管理対象の Microsoft AD ディレクトリ ID を検索してください。検索結果で、「ディレクトリ ID AWS ディレクトリコントローラ用のセキュリティグループを作成しました」という説明の付いた項目を選択します。

    注記

    選択したセキュリティグループは、最初にディレクトリを作成する際に自動的に作成されるセキュリティグループです。

  5. そのセキュリティグループの [Outbound Rules] (アウトバウンドルール) タブを開きます。[Edit] (編集)、[Add another rule] (別のルールの追加) の順に選択します。新しいルールに、次の値を入力します。

    • [Type] (タイプ): All Traffic

    • [Protocol] (プロトコル): All

    • [Destination] (送信先) は、ドメインコントローラーから発信されるトラフィックと、(自己管理型ネットワーク内にある) そのトラフィックの送信先を指定します。単一の IP アドレスまたは IP アドレス範囲を CIDR 表記で指定します (例: 203.0.113.5/32)。同じリージョン内にある別のセキュリティグループの、名前または ID を指定することもできます。詳細については、「AWS ディレクトリのセキュリティグループの設定と使用方法を理解してください。」を参照してください。

  6. [Save] (保存) をクリックします。

Kerberos 事前認証を有効にする

お客様のユーザーは、アカウント内で Kerberos 事前認証を有効にしておく必要があります。この設定について詳しくは、「Microsoft での事前認証」を参照してください TechNet。

自己管理型ドメインで DNS 条件付きフォワーダーを設定する

自己管理型ドメインでは、DNS 条件付きフォワーダーを設定する必要があります。条件付きフォワーダーの詳細については、「Microsoft TechNet のドメイン名への条件付きフォワーダーの割り当て」を参照してください。

以下の手順を実行するには、以下の自己管理型ドメイン用 Windows Server ツールに対するアクセス権限が必要です。

  • AD DS ツールと AD LDS ツール

  • DNS

自己管理型ドメインで DNS の条件付きフォワーダーを設定するには

  1. まず、 AWS 管理対象の Microsoft AD に関する情報を入手する必要があります。 AWS Management Console にサインインして AWS Directory Service コンソールを開きます。

  2. ナビゲーションペインで [Directories] (ディレクトリ) をクリックします。

  3. AWS 管理対象の Microsoft AD のディレクトリ ID を選択します。

  4. 完全修飾ドメイン名 (FQDN) とディレクトリの DNS アドレスを書き留めます。

  5. 次に、自己管理型ドメインコントローラーに戻ります。サーバーマネージャーを開きます。

  6. [Tools] (ツール) メニューで、[DNS] を選択します。

  7. 信頼関係を設定するドメインの DNS サーバーを、コンソールのツリーから展開します。

  8. コンソールのツリー内で、[Conditional Forwarders] (条件付きフォワーダー) を選択します。

  9. [Action] (アクション) メニューから、[New conditional forwarder] (新規の条件付きフォワーダー) を選択します。

  10. [DNS ドメイン] に、 AWS 先にメモしておいた管理対象の Microsoft AD の完全修飾ドメイン名 (FQDN) を入力します。

  11. マスターサーバーの IP アドレスを選択し、 AWS 先にメモした管理対象の Microsoft AD ディレクトリの DNS アドレスを入力します。

    DNS アドレスの入力後に、「timeout」または「unable」というエラーが表示される場合があります。通常、このエラーは無視できます。

  12. [Store this conditional forwarder in Active Directory and replicate as follows: All DNS servers in this domain] (この条件付きフォワーダーを Active Directory 内に保存し次のようにレプリケートします: このドメインのすべての DNS サーバー) を選択します。[OK] をクリックします。

信頼関係のパスワード

既存のドメインとの間の信頼関係を作成している場合は、Windows Server 管理ツールを使用して、そのドメインに対する信頼関係を設定します。その際に、使用する信頼のパスワードを書き留めます。 AWS 管理対象の Microsoft AD で信頼関係を設定するときには、これと同じパスワードを使用する必要があります。詳細については、「Microsoft TechNetでの信頼の管理」を参照してください。

これで、 AWS 管理対象の Microsoft AD に信頼関係を作成する準備ができました。

NetBIOS とドメイン名

信頼関係を確立するには、NetBIOS とドメインの名前は異なる一意のものである必要があります。

信頼関係を作成、検証、または削除する

注記

AWS 信頼関係はマネージド Microsoft AD のグローバルな機能です。マルチリージョンレプリケーション を使用している場合、プライマリリージョン で次の手順を実行する必要があります。変更した内容は、レプリケートされたすべてのリージョンで自動的に適用されます。詳細については、「グローバル機能とリージョン機能」を参照してください。

AWS 管理対象の Microsoft AD との信頼関係を構築するには

  1. AWS Directory Service コンソールを開きます。

  2. ディレクトリ」ページで、 AWS 管理対象の Microsoft AD ID を選択します。

  3. [Directory details] (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。

    • [Multi-Region replication] (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、プライマリリージョンを選択した上で、[Networking & security] (ネットワークとセキュリティ) タブを開きます。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。

    • [Multi-Region replication] (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、[Networking & security] (ネットワークとセキュリティ) タブを選択します。

  4. [Trust relationships] (信頼関係) セクションで、[Actions] (アクション)、[Add trust relationship] (信頼関係の追加) の順に選択します。

  5. [Add a trust relationship] (信頼関係の追加) ページで、信頼タイプ、信頼されたドメインの完全修飾ドメイン名 (FQDN)、信頼パスワード、信頼の方向など、必要な情報を入力します。

  6. (オプション) AWS 管理対象の Microsoft AD ディレクトリ内のリソースへのアクセスを許可されたユーザーのみに許可する場合は、オプションで [選択的認証] チェックボックスを選択できます。選択的認証に関する一般的な情報については、「Microsoft の信頼に関するセキュリティ上の考慮事項」を参照してください。 TechNet

  7. [Conditional forwarder] (条件付きフォワーダー) に、自己管理型 DNS サーバーの IP アドレスを入力します。すでに条件付きフォワーダを作成済みな場合は、DNS IP アドレスではなく、自己管理型ドメインの FQDN を入力できます。

  8. (オプション) [Add another IP address] (別の IP アドレスの追加) をクリックした後、追加する自己管理型 DNS サーバーの IP アドレスを入力します。このステップは、適用可能な DNS サーバーアドレスごとに、合計 4 つのアドレスまで繰り返すことができます。

  9. [Add] (追加) を選択します。

  10. 自己管理型ドメインの DNS サーバーまたはネットワークで、パブリックな (RFC 1918 を除く) IP アドレススペースを使用している場合は、[IP routing] (IP ルーティング) セクションで、[Actions] (アクション)、[Add route] (ルートの追加) の順に選択します。CIDR 形式 (例: 203.0.113.0/24) を使用して、DNS サーバーまたは自己管理型ネットワークの IP アドレスブロックを入力します。このステップは、DNS サーバーと自己管理型ネットワークの両方で、RFC 1918 IP アドレススペースを使用している場合は必要ありません。

    注記

    パブリック IP アドレススペースを使用している場合、AWS の IP アドレス範囲を指定しないようにしてください。これらの範囲は使用できません。

  11. (オプション) [Add routes] (ルートの追加) ページを表示している際は、同時に [Add routes to the security group for this directory's VPC] (このディレクトリの VPC のセキュリティグループにルートを追加します) も選択することを推奨します。これにより、上記の「VPC を設定する」に記述したセキュリティグループが設定されます。これらのセキュリティルールは、パブリックに公開されていない内部ネットワークインターフェイスに影響します。このオプションを使用できない場合は、セキュリティグループをすでにカスタマイズしていることを示すメッセージが表示されます。

信頼関係は、双方のドメインで設定する必要があります。この関係は、補完的であることが必要です。例えば、片側のドメインで送信の信頼を作成した場合は、もう一方のドメインでは受信の信頼を作成します。

既存のドメインとの間の信頼関係を作成している場合は、Windows Server 管理ツールを使用して、そのドメインに対する信頼関係を設定します。

AWS 管理対象の Microsoft AD とさまざまな Active Directory ドメインとの間に複数の信頼関係を作成できます。ただし、各ペアが一度に保持できる信頼関係は 1 つのみです。例えば、既に一方向の「受信の信頼」が存在し、その上で「送信方向」で別の信頼関係の設定が必要な場合は、まず既存の信頼関係を削除してから、新たに「双方向」の信頼を作成します。

送信の信頼関係を確認するには

  1. AWS Directory Service コンソールを開きます。

  2. ディレクトリ」ページで、 AWS 管理対象の Microsoft AD ID を選択します。

  3. [Directory details] (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。

    • [Multi-Region replication] (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、プライマリリージョンを選択した上で、[Networking & security] (ネットワークとセキュリティ) タブを開きます。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。

    • [Multi-Region replication] (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、[Networking & security] (ネットワークとセキュリティ) タブを選択します。

  4. [Trust relationships] (信頼関係) セクションで検証する信頼を選択した後、[Actions] (アクション)、[Verify trust relationship] (信頼関係の検証) の順に選択します。

このプロセスでは、双方向の信頼の送信方向のみが検証されます。 AWS 受信信託の検証はサポートしていません。自己管理型Active Directoryとの間の信頼を確認する方法の詳細については、「Microsoft TechNetでの信頼の検証」を参照してください。

既存の信頼関係を削除するには

  1. AWS Directory Service コンソールを開きます。

  2. ディレクトリ」ページで、 AWS 管理対象の Microsoft AD ID を選択します。

  3. [Directory details] (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。

    • [Multi-Region replication] (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、プライマリリージョンを選択した上で、[Networking & security] (ネットワークとセキュリティ) タブを開きます。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。

    • [Multi-Region replication] (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、[Networking & security] (ネットワークとセキュリティ) タブを選択します。

  4. [Trust relationships] (信頼関係) セクションで、削除する信頼を選択した上で、[Actions] (アクション)、[Delete trust relationship] (信頼関係の削除) の順に選択します。

  5. [Delete] (削除) をクリックします。