翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ステップ 1: 自己管理型 AD ドメインを準備する
まず、自己管理型 (オンプレミス) ドメインで、前提条件のための手順をいくつか完了する必要があります。
自己管理型ファイアウォールを設定する
管理対象の Microsoft AD を含む VPC が使用するすべてのサブネットの CIDR に対して次のポートが開くように、セルフマネージドファイアウォールを設定する必要があります。 AWS このチュートリアルでは、10.0.0.0/16 ( AWS 管理対象の Microsoft AD の VPC の CIDR ブロック) からの受信トラフィックと送信トラフィックの両方を次のポートで許可します。
-
TCP/UDP 53-ドメインネームシステム (DNS)
-
TCP/UDP 88 - Kerberos 認証
-
TCP/UDP 389-ライトウェイトディレクトリアクセスプロトコル (LDAP)
-
TCP 445-サーバーメッセージブロック (SMB)
-
TCP 9389-Active Directory Web サービス (ADWS) (オプション-Amazon WorkDocs や Amazon AWS などのアプリケーションでの認証にフルドメイン名の代わりに NetBIOS 名を使用する場合は、このポートを開く必要があります) QuickSight
注記
SMBv1 のサポートは終了しました。
これらは、VPC を自己管理型のディレクトリに接続するために最低限必要となるポートです。固有の設定によっては、追加ポートが開かれていることが必要です。
Kerberos の事前認証が有効化されていることを確認する
Kerberos の事前認証は、両方のディレクトリのユーザアカウントで有効にする必要があります。これはデフォルト設定ですが、いずれかのユーザーのプロパティをチェックして、何も変更されていないことを確認します。
ユーザーの Kerberos 設定を表示するには
-
自己管理型ドメインコントローラーで、サーバーマネージャーを開きます。
-
[Tools] (ツール) メニューで、[Active Directory Users and Computers] (Active Directory ユーザーとコンピュータ) を選択します。
-
[Users] フォルダを選択し、右クリックによりコンテキストメニューを開きます。右側のペインに表示されるユーザーアカウントを無作為に選択します。[Properties] (プロパティ) をクリックします。
-
[Account] (アカウント) タブを開きます。[Account options] (アカウントオプション) リストで下にスクロールし、[Do not require Kerberos preauthentication] (Kerberos 事前認証を要求しない) がオンになっていないことを確認します。
自己管理型ドメインのための DNS 条件付きフォワーダーを設定する
DNS の条件付きフォワーダーは、各ドメインで設定する必要があります。自己管理ドメインでこれを行う前に、まず管理対象の Microsoft AD に関する情報を取得します AWS 。
自己管理型ドメインで DNS の条件付きフォワーダーを設定するには
-
AWS Management Console にサインインし、AWS Directory Service コンソールを開きます
。 -
ナビゲーションペインで [Directories] (ディレクトリ) をクリックします。
-
AWS 管理対象の Microsoft AD のディレクトリ ID を選択します。
-
[Details] (詳細) ページで、ディレクトリの [Directory name] (ディレクトリ名) と [DNS address] (DNS アドレス) の値をメモします。
-
次に、自己管理型ドメインコントローラーに戻ります。サーバーマネージャーを開きます。
-
[Tools] (ツール) メニューで、[DNS] を選択します。
-
信頼関係を設定するドメインの DNS サーバーを、コンソールのツリーから展開します。ここで使用するサーバーは、WWIN-5V70CN7VJ0.corp.example.com です。
-
コンソールのツリー内で、[Conditional Forwarders] (条件付きフォワーダー) を選択します。
-
[Action] (アクション) メニューから、[New conditional forwarder] (新規の条件付きフォワーダー) を選択します。
-
[DNS ドメイン] に、 AWS 先にメモしておいた管理対象の Microsoft AD の完全修飾ドメイン名 (FQDN) を入力します。この例では、完全修飾ドメインは ad.example.com です。 MyManaged
-
マスターサーバーの IP アドレスを選択し、 AWS 先にメモした管理対象の Microsoft AD ディレクトリの DNS アドレスを入力します。この例では、これらのDNS アドレスは 10.0.10.246 と、10.0.20.121 です。
DNS アドレスの入力後に、「timeout」または「unable」というエラーが表示される場合があります。通常、このエラーは無視できます。
-
[Store this conditional forwarder in Active Directory, and replicate it as follows] (この条件付きフォワーダーを Active Directory に保存し次に従いレプリケートします) をクリックします。
-
[All DNS servers in this domain] (このドメイン内のすべての DNS サーバー)、[OK] の順に選択します。
次のステップ
ステップ 2: AWS Managed Microsoft AD を準備する