Amazon EC2 Windows インスタンスを AWS Managed Microsoft AD に結合する Active Directory - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EC2 Windows インスタンスを AWS Managed Microsoft AD に結合する Active Directory

Amazon を起動して参加できます。 EC2Windows AWS Managed Microsoft AD へのインスタンス。または、既存の EC2 Windows AWS Managed Microsoft AD へのインスタンス。

Seamlessly join EC2 Windows instance

この手順は Amazon をシームレスに結合します。 EC2Windows AWS Managed Microsoft AD へのインスタンス。複数の でシームレスなドメイン結合を実行する必要がある場合は AWS アカウント、「」を参照してくださいチュートリアル: シームレスなEC2ドメイン参加のために AWS Managed Microsoft AD ディレクトリを共有する。Amazon の詳細についてはEC2、「Amazon とはEC2」を参照してください。

Amazon をシームレスに結合するには EC2 Windows インスタンス

  1. にサインイン AWS Management Console し、 で Amazon EC2コンソールを開きますhttps://console.aws.amazon.com/ec2/

  2. ナビゲーションバーで、既存のディレクトリ AWS リージョン と同じ を選択します。

  3. EC2 ダッシュボードインスタンスを起動 セクションで、インスタンスを起動 を選択します。

  4. インスタンスを起動するページの「名前とタグ」セクションで、Windows EC2インスタンスに使用する名前を入力します。

  5. (オプション) 追加タグを選択して、このEC2インスタンスのアクセスを整理、追跡、または制御する 1 つ以上のタグキーと値のペアを追加します。

  6. [アプリケーションと OS イメージ (Amazon マシンイメージ)] セクションの [クイックスタート] ペインで [Windows] を選択します。Windows Amazon マシンイメージ (AMI) のドロップダウンリストから、Windows Amazon マシンイメージ (AMI) を変更できます。

  7. [インスタンスタイプ] セクションで、[インスタンスタイプ] ドロップダウンリストから使用するインスタンスタイプを選択します。

  8. [キーペア (ログイン)] セクションで、新しいキーペアを作成するか、既存のキーペアから選択します。

    1. 新しいキーペアを作成するには、[新しいキーペアの作成] を選択します。

    2. キーペアの名前を入力し、[キーペアタイプ] と [プライベートキーファイル形式] のオプションを選択します。

    3. Open で使用できる形式でプライベートキーを保存するにはSSH、.pem を選択します。Pu で使用できる形式でプライベートキーを保存するにはTTY、.ppk を選択します。

    4. [キーペアの作成] を選択します。

    5. ブラウザによって秘密キーファイルが自動的にダウンロードされます。ダウンロードしたプライベートキーのファイルを安全な場所に保存します。

      重要

      プライベートキーのファイルを保存できるのは、このタイミングだけです。

  9. [インスタンスを起動する] ページの [ネットワーク設定] セクションで、[編集] を選択します。ディレクトリVPCが作成された を VPC- 必要なドロップダウンリストから選択します。

  10. サブネットドロップダウンリストから、 内のパブリックVPCサブネットのいずれかを選択します。選択するサブネットで、すべての外部トラフィックがインターネットゲートウェイにルーティングされるように選択する必要があります。そうでない場合は、インスタンスにリモート接続できません。

    インターネットゲートウェイに接続する方法の詳細については、「Amazon VPCユーザーガイド」の「インターネットゲートウェイを使用してインターネットに接続する」を参照してください。

  11. [自動割り当てパブリック IP] で、[有効化] を選択します。

    パブリック IP アドレス指定とプライベート IP アドレス指定の詳細については、「Amazon ユーザーガイド」の「Amazon EC2インスタンス IP アドレス指定」を参照してください。 EC2

  12. [ファイアウォール (セキュリティグループ)] 設定にはデフォルト設定を使用するか、必要に応じて変更を加えることができます。

  13. [ストレージの設定] 設定にはデフォルト設定を使用するか、必要に応じて変更を加えることができます。

  14. [高度な詳細] セクションを選択し、[ドメイン結合ディレクトリ] ドロップダウンリストからドメインを選択します。

    注記

    ドメイン結合ディレクトリを選択すると、次のようになります。

    ドメイン結合ディレクトリを選択したときのエラーメッセージ。既存のSSMドキュメントにエラーがあります。

    このエラーは、EC2起動ウィザードが予期しないプロパティを持つ既存のSSMドキュメントを識別した場合に発生します。次のいずれかを試すことができます。

    • 以前にSSMドキュメントを編集し、プロパティが予想される場合は、閉じるを選択し、変更なしでEC2インスタンスを起動します。

    • 既存のSSMドキュメントを削除するリンクを選択して、SSMドキュメントを削除します。これにより、正しいプロパティを持つSSMドキュメントを作成できます。SSM ドキュメントは、EC2インスタンスの起動時に自動的に作成されます。

  15. IAM インスタンスプロファイル では、既存のIAMインスタンスプロファイルを選択するか、新しいプロファイルを作成できます。 AWS 管理ポリシー AmazonSSMManagedInstanceCoreA mazonSSMDirectoryServiceAccessがアタッチされているインスタンスIAMプロファイルをインスタンスプロファイルドロップダウンリストから選択します。 IAM 新しいプロファイルリンクを作成するには、新しいIAMプロファイルリンクを作成する を選択し、以下を実行します。

    1. [ロールの作成] を選択します。

    2. [Select trusted entity] (信頼されたエンティティを選択) で、[AWS サービス] を選択します。

    3. [Use case] (ユースケース) で、[EC2] を選択します。

    4. アクセス許可の追加 で、ポリシーのリストで A mazonSSMManagedInstanceCoreおよび A mazonSSMDirectoryServiceAccessポリシーを選択します。リストを絞り込むため、検索ボックスに SSM と入力します。[Next (次へ)] を選択します。

      注記

      mazonSSMDirectoryServiceAccess は、インスタンスを に結合するアクセス許可を提供します。Active Directory によって管理されます AWS Directory Service。mazonSSMManagedInstanceCore は、 AWS Systems Manager サービスを使用するために必要な最小限のアクセス許可を提供します。これらのアクセス許可を持つロールの作成、およびロールに割り当てることができるその他のアクセス許可とポリシーの詳細については、AWS Systems Manager 「 ユーザーガイド」の「Systems Manager のIAMインスタンスプロファイルを作成するIAM」を参照してください。

    5. [名前、確認、作成] ページで、[ロール名] を入力します。EC2 インスタンスにアタッチするには、このロール名が必要です。

    6. (オプション) IAMインスタンスプロファイルの説明は、 説明 フィールドに指定できます。

    7. [ロールの作成] を選択します。

    8. インスタンスの起動ページに戻り、IAMインスタンスプロファイル の横にある更新アイコンを選択します。新しいIAMインスタンスプロファイルは、IAMインスタンスプロファイルのドロップダウンリストに表示されます。新しいプロファイルを選択し、残りの設定はデフォルト値のままにします。

  16. Launch instance (インスタンスの起動) を選択します。

Manually join EC2 Windows instance

既存の Amazon を手動で結合するには EC2 Windows AWS Managed Microsoft AD へのインスタンス Active Directory、インスタンスは で指定されたパラメータを使用して起動する必要がありますAmazon EC2 Windows インスタンスを AWS Managed Microsoft AD に結合する Active Directory。

AWS Managed Microsoft AD DNSサーバーの IP アドレスが必要です。この情報は、お使いのディレクトリ > [ディレクトリの詳細] セクションと [ネットワークとセキュリティ] セクションの、[ディレクトリサービス] > [ディレクトリ] > [ディレクトリ ID] リンクの下にあります。

ディレクトリの詳細ページの AWS Directory Service コンソールで、 AWS Directory Service 提供されたDNSサーバーの IP アドレスが強調表示されます。
Windows インスタンスを AWS Managed Microsoft AD に結合するには Active Directory
  1. リモートデスクトッププロトコルクライアントを使用してインスタンスに接続します。

  2. インスタンスで TCP/IPv4 プロパティダイアログボックスを開きます。

    1. ネットワーク接続を開きます。

      ヒント

      インスタンスのコマンドプロンプトから以下のコマンドを実行すると、[Network Connections] (ネットワーク接続) を直接開くことができます。

      %SystemRoot%\system32\control.exe ncpa.cpl
    2. 有効になっているネットワーク接続のコンテキストメニュー (右クリック) を開き、[Properties] (プロパティ) を選択します。

    3. 接続のプロパティダイアログボックスで、[Internet Protocol Version 4] をダブルクリックして開きます。

  3. 次のDNSサーバーアドレス を使用し、優先DNSサーバー代替DNSサーバーアドレスを AWS Managed Microsoft AD 提供DNSサーバーの IP アドレスに変更し、OK を選択します。

    優先DNSサーバーフィールドと代替DNSサーバーフィールドが強調表示された Internet Protocol Version 4 (TCP/IPv4) Properties ダイアログボックス。
  4. インスタンスの [System Properties] (システムプロパティ) ダイアログボックスを開き、[Computer Name] (コンピュータ名) タブを選択して、[Change] (変更) をクリックします。

    ヒント

    インスタンスのコマンドプロンプトから以下のコマンドを実行すると、[System Properties] (システムプロパティ) ダイアログボックスを直接開くことができます。

    %SystemRoot%\system32\control.exe sysdm.cpl
  5. フィールドのメンバーで、ドメイン を選択し、 AWS マネージド Microsoft AD アクティブディレクトリの完全修飾名を入力し、OK を選択します。

  6. ドメイン管理者の名前とパスワードの入力を求められたら、ドメイン結合権限を持つアカウントのユーザー名とパスワードを入力します。これらの権限の委任に関する詳細については、「AWS Managed Microsoft AD のディレクトリ結合権限の委任」を参照してください。

    注記

    ドメインの完全修飾名または NetBIOS 名のいずれかを入力し、その後にバックスラッシュ (\) とユーザー名を入力します。ユーザー名は管理者 になります。例えば、corp.example.com\admincorp\admin などです。

  7. ドメインへのアクセスを歓迎するメッセージを受け取ったら、インスタンスを再起動して変更を有効にします。

インスタンスが AWS Managed Microsoft AD Active Directory ドメインに結合されたので、そのインスタンスにリモートでログインし、ユーティリティをインストールして、ユーザーやグループの追加など、ディレクトリを管理できます。Active Directory 管理ツールを使用して、ユーザーとグループを作成できます。詳細については、「AWS Managed Microsoft AD 用の Active Directory 管理ツールのインストール」を参照してください。

注記

Amazon Route 53 を使用して、Amazon EC2インスタンスのDNSアドレスを手動で変更するのではなく、DNSクエリを処理することもできます。詳細については、「Directory Service のDNS解決を と統合 Amazon Route 53 Resolverする」および「アウトバウンドDNSクエリをネットワーク に転送する」を参照してください。