ステップ 3: EC2 インスタンスをデプロイして AWS Managed Microsoft AD を管理する - AWS Directory Service

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

ステップ 3: EC2 インスタンスをデプロイして AWS Managed Microsoft AD を管理する

このラボでは、パブリック IP アドレスを持つ EC2 インスタンスを使用し、任意の場所から管理インスタンスに簡単にアクセスできるようにしています。本番稼働用の設定では、プライベート VPC 内のインスタンスを使用し、VPN または Amazon Direct Connect リンク経由のアクセスに限定できます。インスタンスでパブリック IP アドレスを使用することは必須条件ではありません。

このセクションでは、新しい EC2 インスタンスで Windows Server を使用し、クライアントコンピュータからドメインに接続するために必要なデプロイ後の各種タスクを示します。次のステップでは、Windows Server を使用し、ラボが正常に機能することを確認します。

オプション: ディレクトリの AWS-DS-VPC01 で DHCP オプションセットを作成する

このオプションの手順では、VPC 内の EC2 インスタンスで DNS 解決に AWS Managed Microsoft AD を自動的に使用するように、DHCP オプションの範囲を設定します。詳細については、「DHCP オプションセット」を参照してください。

ディレクトリの DHCP オプションセットを作成するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [DHCP Options Sets] を選択し、[Create DHCP options set] を選択します。

  3. [Create DHCP options set (DHCP オプションセットの作成)] ページで、ディレクトリに以下の値を指定します。

    • [名前] に「AWS DS DHCP」と入力します。

    • [Domain Name] に、「corp.example.com」と入力します。

    • [Domain name servers] として、AWS が提供するディレクトリの DNS サーバーの IP アドレスを入力します。

      注記

      これらのアドレスを見つけるには、AWS Directory Service の [ディレクトリ] ページに移動し、該当するディレクトリ ID を選択します。次に、[詳細] ページで、[IPsDNS アドレス] に表示される を特定して使用します。

    • [NTP servers]、[NetBIOS name servers]、[NetBIOSnode type] は空白のままにします。

  4. [Create DHCP options set (DHCP オプションセットの作成)] を選択し、次に [Close (閉じる)] を選択します。新しい DHCP オプションのセットが DHCP オプションの一覧に表示されます。

  5. 新しい DHCP オプションセットの ID を書き留めておきます (dopt-xxxxxxxx )。 この ID は、この手順の最後で新しいオプションセットを VPC と関連付けるときに使用します。

    注記

    シームレスなドメイン参加は、DHCP オプションセットを設定しなくても機能します。

  6. ナビゲーションペインで、[Your VPCs (お客様の )] を選択します。

  7. のリストで、[VPCsAWS DS VPC]、[Actions (アクション)]、[Edit DHCP options set (DHCP オプションセットの編集)] の順に選択します。

  8. [Edit DHCP options set (DHCP オプションセットの編集)] ページで、ステップ 5 で書き留めたオプションセットを選択し、[Save (保存)] を選択します。

Windows インスタンスを AWS Managed Microsoft AD ドメインに結合するためのロールを作成する

この手順では、EC2 Windows インスタンスをドメインに結合するためのロールを設定します。詳細については、https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-join-aws-domain.html の「Windows EC2 インスタンスをシームレスに結合するWindows インスタンスの Amazon EC2 ユーザーガイド」を参照してください。

Windows インスタンスをドメインに結合するように EC2 を設定するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. IAM コンソールのナビゲーションペインで、[Roles]、[Create role] の順に選択します。

  3. [信頼されたエンティティの種類を選択] で、[AWS のサービス] を選択します。

  4. [このロールを使用するサービスを選択] のすぐ下で、[EC2]、[次へ:] を選択します。アクセス許可。

  5. [Attached permissions policy (アタッチされているアクセス権限ポリシー)] ページで、以下の操作を行います。

    • [AmazonSSMManagedInstanceCore] 管理ポリシーの横にあるチェックボックスをオンにします。このポリシーでは、Systems Manager サービスを使用するために必要な最小限のアクセス許可が付与されます。

    • [AmazonSSMDirectoryServiceAccess] 管理ポリシーの横にあるチェックボックスをオンにします。このポリシーでは、AWS Directory Service によって管理されている Active Directory にインスタンスを結合するアクセス許可が付与されします。

    これらの管理ポリシーおよび IAM の Systems Manager インスタンスプロファイルにアタッチできるその他のポリシーについては、Systems Managerの「 の IAM インスタンスプロファイルの作成」を参照してください。AWS Systems Manager ユーザーガイド管理ポリシーの詳細については、AWS の「 管理ポリシー」を参照してください。IAM ユーザーガイド

  6. [Next:] を選択します。 タグ

  7. (オプション) 1 つ以上のタグキーと値のペアを追加して、このロールのアクセスを整理、追跡、または制御し、[次へ:] を選択します。 確認.

  8. [Role name] に、インスタンスをドメインに結合するために使用することを示すロール名 (EC2DomainJoin など) を入力します。

  9. (オプション) [ロールの説明] に、説明を入力します。

  10. [Create role (ロールの作成)] を選択します。システムでは、[Roles] ページが返されます。

EC2 インスタンスを作成し、自動的にディレクトリを結合する

この手順では、Amazon EC2 で Windows Server システムをセットアップし、後で Active Directory でユーザー、グループ、ポリシーを管理できるようにします。

EC2 インスタンスを作成し、自動的にディレクトリを結合するには

  1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

  2. [インスタンスの作成] を選択します。

  3. [Step 1] ページで、[Microsoft Windows Server 2019 Base - ami-xxxxxxxxxxxxxxxxx [選択] を選択します。

  4. [Step 2] ページで、[t3.micro] を選択します (これより大きいインスタンスタイプも選択できます)。次に、[Next:] を選択します。インスタンスの詳細の設定

  5. [Step 3] ページで、以下の操作を行います。

    • [Network] で、AWS-DS-VPC01 で終わる VPC を選択します (例: vpc-xxxxxxxxxxxxxxxxx | AWS-DS-VPC01)。

    • [サブネット] で、[パブリックサブネット 1] を選択します。これは、任意のアベイラビリティーゾーン (例: subnet-) 用に事前設定されている必要があります。xxxxxxxxxxxxxxxxx | AWS-DS-VPC01-Subnet01 | us-west-2a).

    • [Auto-assign Public IP] で、[Enable] を選択します (サブネットのデフォルト設定が [Enable] でない場合)。

    • [Domain join directory] で、[corp.example.com(d-xxxxxxxxxx).

    • [IAM ロール] で、「Windows インスタンスを AWS Managed Microsoft AD ドメインに結合するためのロールを作成する」など、EC2DomainJoin でインスタンスロールに付けた名前を選択します。

    • 残りの設定はデフォルトのままにしておきます。

    • [Next:] を選択します。ストレージを追加します。

  6. [Step 4] ページで、デフォルト設定を変更せずに、[Next:] を選択します。タグの追加

  7. [Step 5] ページで、[Add Tag] を選択します。[キー] に「corp.example.com-mgmt」と入力し、[次へ:] を選択します。セキュリティグループの設定

  8. [Step 6] ページで、[Select an existing security group]、[AWS DS RDP Security Group]、[Review and Launch] の順に選択し、インスタンスを確認します。

  9. [Step 7] ページで、ページの内容を確認し、[Launch] を選択します。

  10. [Select an existing key pair or create a new key pair] ダイアログボックスで、以下の操作を行います。

    • [Choose an existing key pair] を選択します。

    • [Select a key pair] で、[AWS-DS-KP] を選択します。

    • [I acknowledge...] チェックボックスをオンにします。

    • [Launch Instances] を選択します。

  11. [View Instances] を選択して Amazon EC2 コンソールに戻り、デプロイのステータスを確認します。

EC2 インスタンスに Active Directory ツールをインストールする

Active Directory ドメイン管理ツールを EC2 インスタンスにインストールするには、2 つの方法があります。Server Manager UI (このチュートリアルでの推奨) または Windows PowerShell を使用できます。

Active Directory ツールを EC2 インスタンスにインストールするには (Server Manager)

  1. Amazon EC2 コンソールで [Instances] を選択し、先ほど作成したインスタンスを選択して、[Connect] を選択します。

  2. [Connect To Your Instance (インスタンスに接続)] ダイアログボックスで、まだ取得していない場合は [Get Password (パスワードを取得)] を選択してパスワードを取得し、続いて [Download Remote Desktop File (リモートデスクトップファイルのダウンロード)]を選択します。

  3. [Windows Security] ダイアログボックスで、Windows Server コンピュータのローカル管理者の認証情報 (「administrator」など) を入力してログインします。

  4. [Start] メニューで、[Server Manager] を選択します。

  5. [Dashboard] で、[Add Roles and Features] をクリックします。

  6. [Add Roles and Features Wizard] で、[Next] をクリックします。

  7. [Select installation type] ページで、[Role-based or feature-based installation] を選択して、[Next] をクリックします。

  8. [Select destination server] ページで、ローカルサーバーが選択されていることを確認し、[Next] を選択します。

  9. [Select server roles] ページで、[Next] を選択します。

  10. [Select features] ページで、以下の操作を行います。

    • [Group Policy Management] チェックボックスをオンにします。

    • [Remote Server Administration Tools]、[Role Administration Tools] の順に展開します。

    • [AD DS and AD LDS Tools] チェックボックスをオンにします。

    • [DNS Server Tools] チェックボックスをオンにします。

    • [次へ] を選択します。

  11. [Confirm installation selections] ページで、情報を確認し、[Install] を選択します。機能のインストールが完了すると、[スタート] メニューの [Windows 管理ツール] フォルダで、以下の新しいツールやスナップインが利用可能になります。

    • Active Directory 管理センター

    • Active Directory ドメインと信頼関係

    • Windows PowerShell 用 Active Directory モジュール

    • Active Directory サイトとサービス

    • Active Directory ユーザーとコンピュータ

    • ADSI エディター

    • DNS

    • グループポリシーの管理

Active Directory ツールを EC2 インスタンスにインストールするには (Windows PowerShell) (オプション)

  1. Windows PowerShell を起動します。

  2. 次のコマンドを入力します。

    Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server