ステップ 3: AWS Managed Microsoft AD Active Directory を管理するための Amazon EC2 インスタンスをデプロイします。 - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 3: AWS Managed Microsoft AD Active Directory を管理するための Amazon EC2 インスタンスをデプロイします。

このラボでは、管理インスタンスにどこからでも簡単にアクセスできるように、パブリック IP アドレスを持つ Amazon EC2 インスタンスを使用します。本番環境では、VPN や AWS Direct Connect リンクを介してのみアクセス可能なプライベート VPC 内のインスタンスを使用できます。インスタンスでパブリック IP アドレスを使用することは必須条件ではありません。

このセクションでは、デプロイ後の新しい EC2 インスタンスで Windows Server を使用し、クライアントコンピュータからドメインに接続するために必要となる、各種のタスクを実行していきます。次のステップでは、Windows Server を使用し、ラボが正常に機能することを確認します。

オプション: ディレクトリの AWS-DS-VPC01 で DHCP オプションセットを作成する

このオプションの手順では、VPC 内の EC2 インスタンスで DNS 解決に AWS Managed Microsoft AD を自動的に使用するように、DHCP オプションの範囲を設定します。詳細については、「DHCP options sets」(DHCP オプションセット) を参照してください。

ディレクトリの DHCP オプションセットを作成するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [DHCP Options Sets] (DHCP オプションセット) を選択し、[Create DHCP options set] (DHCP オプションセットの作成) を選択します。

  3. [Create DHCP options set] (DHCP オプションセットの作成) ページで、ディレクトリ用に以下の値を指定します。

    • [Name] (名前) に、「AWS DS DHCP」と入力します。

    • [Domain Name] (ドメイン名) に、「corp.example.com」と入力します。

    • [Domain name servers] (ドメインネームサーバー) には、AWS が提供するディレクトリの DNS サーバーの IP アドレスを入力します。

      注記

      これらのアドレスを見つけるには、AWS Directory Service の [Directories] (ディレクトリ) ページで、該当するディレクトリ ID を選択します。[Details] (詳細) ページで、[DNS address] (DNS アドレス) に表示されている IP から、使用するものを選択します。

      または、AWS Directory Service の [Directories] (ディレクトリ) ページで、該当するディレクトリ ID を選択することで、これらのアドレスを検索できます。次に、[Scale & share] (スケール & 共有) をクリックします。[Domain controllers] (ドメインコントローラ)で、[IP address] (IP アドレス) に表示されている中から、使用する IP を選択します。

    • [NTP servers] (NTP サーバー)、[NetBIOS name servers] (NetBIOS ネームサーバー)、[NetBIOS node type] (NetBIOS ノードタイプ) は空白のままにします。

  4. [Create DHCP options set] (DHCP オプションセットを作成) をクリックし、次に [Close] (閉じる) をクリックします。新しい DHCP オプションのセットが DHCP オプションの一覧に表示されます。

  5. 新しい DHCP オプションセットの ID (dopt-xxxxxxxx) を書き留めておきます。この ID は、この手順の最後で新しいオプションセットを VPC と関連付ける際に使用します。

    注記

    シームレスなドメイン参加は、DHCP オプションセットを設定しなくても機能します。

  6. ナビゲーションペインで、Your VPCs (お客様の VPC) をクリックします。

  7. VPC のリストから [AWS DS VPC] を選択し、[Actions] (アクション)、[Edit DHCP Options Set] (DHCP オプションセットの編集) の順に選択します。

  8. [Edit DHCP options set] (DHCP オプションセットの編集) ページで、ステップ 5 で書き留めたオプションセットを選択し、[Save] (保存) をクリックします。

Windows インスタンスを AWS Managed Microsoft AD ドメインに結合するためのロールを作成する

この手順を使用して、Amazon EC2 Windows インスタンスをドメインに結合するためのロールを設定します。詳細については、「Amazon EC2 Windows インスタンスを AWS Managed Microsoft AD に結合する Active Directory」を参照してください。

Windows インスタンスをドメインに結合するように EC2 を設定するには
  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. IAM コンソールのナビゲーションペインで、[Roles] (ロール)、[Create role] (ロールを作成) の順に選択します。

  3. [Select type of trusted entity] (信頼されたエンティティの種類を選択) で、[AWS service] (AWS のサービス) を選択します。

  4. [Choose the service that will use this role] (このロールを使用するサービスを選択) のすぐ下で、[EC2] を選択し、次に [Next: Permissions] (次へ: アクセス許可) を選択します。

  5. [Attached permissions policy] (アタッチされているアクセス許可ポリシー) ページで、以下の操作を行います。

    • 管理ポリシー [AmazonSSMManagedInstanceCore] の横にあるボックスをオンにします。このポリシーは、Systems Manager サービスを使用するために必要な最小限のアクセス許可を付与します。

    • 管理ポリシー [AmazonSSMDirectoryServiceAccess] の横にあるボックスをオンにします。このポリシーでは、AWS Directory Service によって管理されている Active Directory にインスタンスを結合するためのアクセス許可を付与します。

    これらのマネージドポリシーと、Systems Manager の IAM インスタンスプロファイルにアタッチできるその他のポリシーの詳細については、「AWS Systems Manager ユーザーガイド」の「Systems Manager の IAM インスタンスプロファイルを作成する」を参照してください。管理ポリシーの詳細については、「IAM ユーザーガイド」の「AWS 管理ポリシー」を参照してください。

  6. [Next: Tags] (次へ: タグ) を選択します。

  7. (オプション) 1 つまたは複数のタグキーと値のペアを追加して、このロールのアクセスを整理、追跡、または制御し、[Next: Review] (次へ: 確認) を選択します。

  8. [Role name] (ロール名) には、「EC2DomainJoin」など、インスタンスをドメインに結合させるために使用されることがわかるような名前を入力します。

  9. (オプション) [Role description] (ロールの説明) に、説明を入力します。

  10. [Create role] (ロールの作成) を選択します。ロールページが再度表示されます。

Amazon EC2 インスタンスを作成し、ディレクトリを自動的に結合する

この手順では、EC2 インスタンス内に Windows Server システムをセットアップし、後に Active Directory でユーザー、グループ、およびポリシーを管理するために使用できるようにします。

EC2 インスタンスを作成しディレクトリを自動的に結合するには
  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. [Launch Instance] (インスタンスの起動) を選択します。

  3. [Step 1] (ステップ 1) ページで、[Microsoft Windows Server 2019 Base - ami-xxxxxxxxxxxxxxxxx] の横にある [Select] (選択) をオンにします。

  4. [Step 2] (ステップ 2。 ページで、[t3.micro] を選択します (これより大きいインスタンスタイプも選択できます)。次に、[Next: Configure Instance Details] (次へ: インスタンス詳細の設定) をクリックします。

  5. [Step 3] (ステップ 3) ページで、以下の操作を行います。

    • [Network] (ネットワーク) で、AWS-DS-VPC01 で終わる VPC (例: vpc-xxxxxxxxxxxxxxxxx | AWS-DS-VPC01) を選択します。

    • [Subnet] (サブネット) で、該当するアベイラビリティーゾーンに事前設定されている [Public subnet 1] を選択します (例: subnet-xxxxxxxxxxxxxxxxx | AWS-DS-VPC01-Subnet01 | us-west-2a)。

    • Auto-assign Public IP (自動割り当てパブリック IP) で、[Enable] (有効) を選択します (サブネットの設定がデフォルトで有効ではない場合)。

    • [Domain join directory] (ドメイン結合ディレクトリ) で、[corp.example.com (d-xxxxxxxxxx)] を選択します。

    • [IAM role] (IAM ロール) で、Windows インスタンスを AWS Managed Microsoft AD ドメインに結合するためのロールを作成する でインスタンスロールを付与した名前 (例: EC2DomainJoin) を選択します。

    • 残りの設定はデフォルトのままにしておきます。

    • [Next: Add Storage] (次へ: ストレージの追加) をクリックします。

  6. [Step 4] (ステップ 4) ページで、デフォルト設定をそのままにして、[Next: Add Tags] (次へ: タグの追加) をクリックします。

  7. [Step 5] (ステップ 5) ページで、[Add Tag] (タグを追加) をクリックします。[Key] (キー) に「corp.example.com-mgmt」と入力し、[Next: Configure Security Group] (次へ: セキュリティグループの設定) を選択します。

  8. [Step 6] (ステップ 6) ページで、[Select an existing security group] (既存のセキュリティグループを選択する) をクリックし、[AWS DS Test Lab Security Group] ( DS テストラボセキュリティグループ) (入門チュートリアルでセットアップ済み) を選択します。次に [Review and Launch] (確認と作成) をクリックしてインスタンスを確認します。

  9. [Step 7] (ステップ) ページで内容を確認した上で、[Launch] (起動) をクリックします。

  10. [Select an existing key pair or create a new key pair] (既存のキーペアを選択するか、新しいキーペアを作成します。) ダイアログボックスで、以下の操作を行います。

    • [Choose an existing key pair] (既存のキーペアの選択) をクリックします。

    • [Select a key pair] (キーペアの選択) で、[AWS-DS-KP] を選択します。

    • [I acknowledge...] (...を認識しています) チェックボックスをオンにします。

    • [Launch Instances] (インスタンスを起動) をクリックします。

  11. [View Instances] (インスタンスの表示) をクリックして Amazon EC2 コンソールに戻り、デプロイのステータスを確認します。

EC2 インスタンスに Active Directory のツールをインストールする

Active Directory ドメイン管理ツールを EC2 インスタンスにインストールするには、2 つの方法があります。Server Manager UI (このチュートリアルでの推奨) または Windows PowerShell を使用できます。

Active Directory のツールを EC2 インスタンスにインストールするには (Server Manager)
  1. Amazon EC2 コンソールで [Instances] (インスタンス) をクリックし、先ほど作成したインスタンスを選択して、[Connect] (接続) をクリックします。

  2. [Connect To Your Instance] (インスタンスに接続) ダイアログボックスで、[Get Password] (パスワードを取得) をクリックしてパスワードを取得し (まだ取得していない場合)、続いて [Download Remote Desktop File] (リモートデスクトップファイルのダウンロード) をクリックします。

  3. [Windows Security] (Windows セキュリティ) ダイアログボックスで、Windows Server コンピュータのログインに使用する、ローカル管理者の認証情報 (「administrator」など) を入力します。

  4. [Start] (スタート) メニューで、[Server Manager] (サーバーマネージャー) を選択します。

  5. [Dashboard] (ダッシュボード) で、[Add Roles and Features] (ロールと機能の追加) をクリックします。

  6. [Add Roles and Features Wizard] (ロールと機能の追加ウィザード) で、[Next] (次へ) をクリックします。

  7. [Select installation type] (インストールタイプの選択) ページで、[Role-based or feature-based installation] (ロールベースもしくは機能ベースのインストール) を選択し、[Next] (次へ) をクリックします。

  8. Select destination server (送信先サーバーの選択) ページで、ローカルサーバーが選択されていることを確認し、[Next] (次へ) をクリックします。

  9. [Select server roles] (サーバーロールの選択) ページで、[Next] (次へ) をクリックします。

  10. [Select features] (機能の選択) ページで、以下の操作を行います。

    • [Group Policy Management] (グループポリシー管理) チェックボックスをオンにします。

    • [Remote Server Administration Tools] (リモートサーバー管理ツール)、[Role Administration Tools] (ロール管理ツール) の順に展開します。

    • [AD DS and AD LDS Tools] (AD DS と AD LDS ツール) チェックボックスをオンにします。

    • [DNS Server Tools] (DNS サーバーツール) チェックボックスをオンにします。

    • [Next] (次へ) をクリックします。

  11. [Confirm installation selections] (インストール設定の確認) ページで、情報を確認し、[Install] (インストール) をクリックします。機能のインストールが完了すると、[スタート] メニューの [Windows Administrative Tools] フォルダで、以下の新しいツールやスナップインが利用可能になります。

    • Active Directory 管理センター

    • Active Directory のドメインと信頼関係

    • Windows PowerShell の Active Directory モジュール

    • Active Directory のサイトとサービス

    • Active Directory のユーザーとコンピュータ

    • ADSI エディター

    • DNS

    • グループポリシーの管理

EC2 インスタンスに Active Directory ツールをインストールするには (Windows PowerShell) (選択可能)
  1. Windows PowerShell を起動します。

  2. 次のコマンドを入力します。

    Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server