ステップ 3: EC2 インスタンスをデプロイし、AWSManaged Microsoft AD - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 3: EC2 インスタンスをデプロイし、AWSManaged Microsoft AD

このラボでは、パブリック IP アドレスを持つ EC2 インスタンスを使用し、任意の場所から管理インスタンスに簡単にアクセスできるようにしています。本番稼働用の設定では、プライベート VPC 内のインスタンスを使用し、VPN または Amazon Direct Connect リンク経由のアクセスに限定できます。インスタンスでパブリック IP アドレスを使用することは必須条件ではありません。

このセクションでは、新しい EC2 インスタンスで Windows Server を使用し、クライアントコンピュータからドメインに接続するために必要なデプロイ後の各種タスクを示します。次のステップでは、Windows Server を使用し、ラボが正常に機能することを確認します。

オプション: [] で DHCP オプションセットを作成するAWS-DS-VPC01

このオプションの手順では、DHCP オプションの範囲を設定し、VPC 内の EC2 インスタンスでAWSDNS 解決のためにMicrosoft ADを管理しました。詳細については、「DHCP オプションセット」を参照してください。

ディレクトリの DHCP オプションセットを作成するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [DHCP Options Sets] を選択し、[Create DHCP options set] を選択します。

  3. [Create DHCP options set (DHCP オプションセットの作成)] ページで、ディレクトリに以下の値を指定します。

    • [Name (名前)] に、「AWS DS DHCP」と入力します。

    • [Domain Name] に、「corp.example.com」と入力します。

    • [Domain name servers] として、AWS が提供するディレクトリの DNS サーバーの IP アドレスを入力します。

      注記

      これらのアドレスを見つけるには、AWS Directory Service の [Directories (ディレクトリ)] ページに移動し、該当するディレクトリ ID を選択します。次に、[Details (詳細)] ページで、[DNS address (DNS アドレス)] に表示されている IP アドレスを特定して使用します。

    • [NTP servers]、[NetBIOS name servers]、[NetBIOS node type] は空白のままにします。

  4. [Create DHCP options set (DHCP オプションセットの作成)] を選択し、次に [Close (閉じる)] を選択します。新しい DHCP オプションのセットが DHCP オプションの一覧に表示されます。

  5. 新しい DHCP オプションセットの ID (dopt-xxxxxxxx) を書き留めます。この ID は、この手順の最後で新しいオプションセットを VPC と関連付けるときに使用します。

    注記

    シームレスなドメイン参加は、DHCP オプションセットを設定しなくても機能します。

  6. 画面左枠のナビゲーションペインで、[VPC] を選択します。

  7. VPC のリストで、AWSDS VPCで、アクション[] を選択してから、DHCP オプションセットの編集

  8. [Edit DHCP options set (DHCP オプションセットの編集)] ページで、ステップ 5 で書き留めたオプションセットを選択し、[Save (保存)] を選択します。

Windows インスタンスをに結合するロールを作成します。AWSManaged Microsoft AD ドメイン

この手順では、EC2 Windows インスタンスをドメインに結合するためのロールを設定します。詳細については、「」を参照してください。Windows EC2 インスタンスをシームレスに統合するWindows インスタンス用 Amazon EC2 ユーザーガイド

Windows インスタンスをドメインに結合するように EC2 を設定するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. IAM コンソールのナビゲーションペインで、[Roles]、[Create role] の順に選択します。

  3. [Select type of trusted entity ] (信頼されたエンティティの種類を選択) の下で、[AWS service ] (AWS サービス) を選択します。

  4. すぐ下このロールを使用するサービスを選択で、EC2[] を選択してから、次へ: アクセス許可.

  5. [Attached permissions policy (アタッチされているアクセス権限ポリシー)] ページで、以下の操作を行います。

    • [AmazonSSMManagedInstanceCore] 管理ポリシーの横にあるボックスを選択します。このポリシーでは、Systems Manager サービスを使用するために必要な最小限のアクセス許可が付与されます。

    • [AmazonSSMDirectoryServiceAccess] 管理ポリシーの横にあるチェックボックスをオンにします。このポリシーでは、AWS Directory Service によって管理されている Active Directory にインスタンスを結合するアクセス許可が付与されします。

    Systems Manager の IAM インスタンスプロファイルにアタッチできるこれらの管理ポリシーおよびその他のポリシーの詳細については、を参照してください。Systems Manager の IAM インスタンスプロファイルを作成するAWS Systems Managerユーザーガイド。管理ポリシーについては、「」を参照してください。AWS管理ポリシーIAM ユーザーガイド

  6. [Next: (次へ:)] を選択します タグ

  7. (オプション) 1 つ以上のタグキーと値のペアを追加して、このロールのアクセスを整理、追跡、または制御し、次へ: 確認.

  8. [Role name (ロール名)] には、「EC2DomainJoin」 など、インスタンスをドメインに結合させるために使用されることがわかるような名前を入力します。

  9. (オプション) [ロールの説明] に、説明を入力します。

  10. [ロールの作成] を選択します。[ロール] ページが再度表示されます。

EC2 インスタンスを作成し、自動的にディレクトリを結合する

この手順では、Amazon EC2 で Windows Server システムをセットアップし、後で Active Directory でユーザー、グループ、ポリシーを管理できるようにします。

EC2 インスタンスを作成し、自動的にディレクトリを結合するには

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. [インスタンスの作成] を選択します。

  3. [Step 1] ページで、[Microsoft Windows Server 2019 Base - ami-xxxxxxxxxxxxxxxxx] の横にある [Select] を選択します。

  4. リポジトリの []ステップ 2ページで [] を選択します。t3.micro(これより大きいインスタンスタイプも選択できます)。次に、次へ: インスタンスの詳細の設定

  5. [Step 3] ページで、以下の操作を行います。

    • を使用する場合ネットワーク[] で終了する VPC を選択します。AWS-DS-VPC01(たとえば、vpc-xxxxxxxxxxxxxxxxxx|AWS-DS-VPC01).

    • を使用する場合サブネット選ぶパブリックサブネット 1。これは、優先するアベイラビリティーゾーンに対して事前に構成する必要があります(たとえば、サブネット-xxxxxxxxxxxxxxxxxx|AWS-DS-VPC01-Subnet01 |us-west-2a).

    • [Auto-assign Public IP] で、[Enable] を選択します (サブネットのデフォルト設定が [Enable] でない場合)。

    • [Domain join directory] で、[corp.example.com (d-xxxxxxxxxx)] を選択します。

    • を使用する場合IAM ロールインスタンスロールを付与した名前を選択します。Windows インスタンスをに結合するロールを作成します。AWSManaged Microsoft AD ドメインまたはec2domainJoin

    • 残りの設定はデフォルトのままにしておきます。

    • [Next: (次へ:)] を選択します ストレージの追加

  6. リポジトリの []ステップ 4ページで、デフォルト設定を変更せず、[]次へ: タグの追加

  7. [Step 5] ページで、[Add Tag] を選択します。[]キーtypecorp.example.com-mgmt[] を選択してから、次へ: セキュリティグループの設定

  8. リポジトリの []ステップ 6[] ページで、既存のセキュリティグループを選択するを選択し、AWSDS テストラボセキュリティグループ(これは、以前に設定した基本チュートリアル) を選択してから、[] を選択します。Review and Launch[] でインスタンスを確認します。

  9. [Step 7] ページで、ページの内容を確認し、[Launch] を選択します。

  10. [Select an existing key pair or create a new key pair] ダイアログボックスで、以下の操作を行います。

    • [Choose an existing key pair] を選択します。

    • []キーペアの選択で、AWS-DS-KP

    • [I acknowledge...] チェックボックスをオンにします。

    • [Launch Instances] を選択します。

  11. 選択インスタンスを表示するをクリックして Amazon EC2 コンソールに戻り、デプロイのステータスを確認します。

EC2 インスタンスに Active Directory ツールをインストールする

Active Directory ドメイン管理ツールを EC2 インスタンスにインストールするには、2 つの方法があります。Server Manager UI (このチュートリアルでの推奨) または Windows PowerShell を使用できます。

Active Directory ツールを EC2 インスタンスにインストールするには (Server Manager)

  1. Amazon EC2 コンソールで、[] を選択します。インスタンスで、先ほど作成したインスタンスを選択して、[]接続

  2. [Connect To Your Instance (インスタンスに接続)] ダイアログボックスで、まだ取得していない場合は [Get Password (パスワードを取得)] を選択してパスワードを取得し、続いて [Download Remote Desktop File (リモートデスクトップファイルのダウンロード)]を選択します。

  3. [Windows Security] ダイアログボックスで、Windows Server コンピュータのローカル管理者の認証情報 (「administrator」など) を入力してログインします。

  4. [Start] メニューで、[Server Manager] を選択します。

  5. [Dashboard] で、[Add Roles and Features] をクリックします。

  6. [Add Roles and Features Wizard] で、[Next] をクリックします。

  7. [Select installation type] ページで、[Role-based or feature-based installation] を選択して、[Next] をクリックします。

  8. [Select destination server] ページで、ローカルサーバーが選択されていることを確認し、[Next] を選択します。

  9. [Select server roles] ページで、[Next] を選択します。

  10. [Select features] ページで、以下の操作を行います。

    • [Group Policy Management] チェックボックスをオンにします。

    • [Remote Server Administration Tools]、[Role Administration Tools] の順に展開します。

    • [AD DS and AD LDS Tools] チェックボックスをオンにします。

    • [DNS Server Tools] チェックボックスをオンにします。

    • [次へ] を選択します。

  11. [Confirm installation selections] ページで、情報を確認し、[Install] を選択します。機能のインストールが完了すると、[スタート] メニューの [Windows 管理ツール] フォルダで、以下の新しいツールやスナップインが利用可能になります。

    • Active Directory 管理センター

    • Active Directory ドメインと信頼関係

    • Windows PowerShell の Active Directory モジュール

    • Active Directory サイトとサービス

    • Active Directory ユーザーとコンピュータ

    • ADSI エディター

    • DNS

    • グループポリシーの管理

Active Directory ツールを EC2 インスタンスにインストールするには (Windows PowerShell) (オプション)

  1. Windows PowerShell を起動します。

  2. 次のコマンドを入力します。

    Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server