ステップ 3: Amazon EC2 AWS インスタンスをデプロイしてマネージド Microsoft AD アクティブディレクトリを管理する

このラボでは、どこからでも管理インスタンスに簡単にアクセスできるように、パブリック IP アドレスを持つ Amazon EC2 インスタンスを使用しています。本番環境では、VPN AWS Direct Connect またはリンクを介してのみアクセスできるプライベート VPC 内のインスタンスを使用できます。インスタンスでパブリック IP アドレスを使用することは必須条件ではありません。

このセクションでは、デプロイ後の新しい EC2 インスタンスで Windows Server を使用し、クライアントコンピュータからドメインに接続するために必要となる、各種のタスクを実行していきます。次のステップでは、Windows Server を使用し、ラボが正常に機能することを確認します。

オプション: AWS-DS-VPC01 にディレクトリ用の DHCP オプションセットを作成します。

このオプションの手順では、VPC の EC2 AWS インスタンスがマネージド Microsoft AD を自動的に使用して DNS 解決を行うように、DHCP オプションスコープを設定します。詳細については、「DHCP options sets」(DHCP オプションセット) を参照してください。

ディレクトリの DHCP オプションセットを作成するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで [DHCP Options Sets] (DHCP オプションセット) を選択し、[Create DHCP options set] (DHCP オプションセットの作成) を選択します。

3. [Create DHCP options set] (DHCP オプションセットの作成) ページで、ディレクトリ用に以下の値を指定します。

   • [Name] (名前) に、「AWS DS DHCP」と入力します。

   • [Domain Name] (ドメイン名) に、「corp.example.com」と入力します。

   • [Domain name servers] (ドメインネームサーバー) には、 AWS が提供するディレクトリの DNS サーバーの IP アドレスを入力します。

     注記

     これらのアドレスを見つけるには、[ AWS Directory Service ディレクトリ] ページに移動し、該当するディレクトリ ID を選択します。[Details] (詳細) ページで、[DNS address] (DNS アドレス) に表示されている IP から、使用するものを選択します。

     または、 AWS Directory Service の [Directories] (ディレクトリ) ページで、該当するディレクトリ ID を選択することで、これらのアドレスを検索できます。次に、[Scale & share] (スケール & 共有) をクリックします。[Domain controllers] (ドメインコントローラ)で、[IP address] (IP アドレス) に表示されている中から、使用する IP を選択します。

   • [NTP servers] (NTP サーバー)、[NetBIOS name servers] (NetBIOS ネームサーバー)、[NetBIOS node type] (NetBIOS ノードタイプ) は空白のままにします。

4. [Create DHCP options set] (DHCP オプションセットを作成) をクリックし、次に [Close] (閉じる) をクリックします。新しい DHCP オプションのセットが DHCP オプションの一覧に表示されます。

5. 新しい DHCP オプションセットの ID (dopt-xxxxxxxx) を書き留めておきます。この ID は、この手順の最後で新しいオプションセットを VPC と関連付ける際に使用します。

   注記

   シームレスなドメイン参加は、DHCP オプションセットを設定しなくても機能します。

6. ナビゲーションペインで、Your VPCs (お客様の VPC) をクリックします。

7. VPC のリストから [AWS DS VPC] を選択し、[Actions] (アクション)、[Edit DHCP Options Set] (DHCP オプションセットの編集) の順に選択します。

8. [Edit DHCP options set] (DHCP オプションセットの編集) ページで、ステップ 5 で書き留めたオプションセットを選択し、[Save] (保存) をクリックします。

Windows AWS インスタンスを管理対象の Microsoft AD ドメインに参加させるロールを作成します。

この手順を使用して、Amazon EC2 Windows インスタンスをドメインに参加させるロールを設定します。詳細については、「Amazon EC2 Windows AWS インスタンスをマネージド型Microsoft AD にシームレスに参加させる Active Directory」を参照してください。

Windows インスタンスをドメインに結合するように EC2 を設定するには

1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. IAM コンソールのナビゲーションペインで、[Roles] (ロール)、[Create role] (ロールを作成) の順に選択します。

3. [Select type of trusted entity] (信頼されたエンティティの種類を選択) で、[AWS service] (AWS のサービス) を選択します。

4. [Choose the service that will use this role] (このロールを使用するサービスを選択) のすぐ下で、[EC2] を選択し、次に [Next: Permissions] (次へ: アクセス許可) を選択します。

5. [Attached permissions policy] (アタッチされているアクセス許可ポリシー) ページで、以下の操作を行います。

   • AmazonSSM ManagedInstanceCore 管理ポリシーの横にあるボックスを選択します。このポリシーは、Systems Manager サービスを使用するために必要な最小限のアクセス許可を付与します。

   • DirectoryServiceAccessAmazonSSM 管理ポリシーの横にあるボックスを選択します。このポリシーでは、 AWS Directory Serviceによって管理されている Active Directory にインスタンスを結合するためのアクセス許可を付与します。

   これらのマネージドポリシーと、Systems Manager の IAM インスタンスプロファイルにアタッチできるその他のポリシーの詳細については、「AWS Systems Manager ユーザーガイド」の「Systems Manager の IAM インスタンスプロファイルを作成する」を参照してください。管理ポリシーの詳細については、「IAM ユーザーガイド」の「AWS 管理ポリシー」を参照してください。

6. [Next: Tags] (次へ: タグ) を選択します。

7. (オプション) 1 つまたは複数のタグキーと値のペアを追加して、このロールのアクセスを整理、追跡、または制御し、[Next: Review] (次へ: 確認) を選択します。

8. Role name には、EC2 などのドメインにインスタンスを結合するために使用されることを説明するロールの名前を入力します。DomainJoin

9. (オプション) [Role description] (ロールの説明) に、説明を入力します。

10. [Create role] (ロールの作成) を選択します。ロールページが再度表示されます。

Amazon EC2 インスタンスを作成し、自動的にディレクトリに参加する

この手順では、EC2 インスタンスに Windows サーバーシステムをセットアップします。このシステムを使用して、後で Active Directory のユーザー、グループ、ポリシーを管理できます。

EC2 インスタンスを作成しディレクトリを自動的に結合するには

1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

2. [Launch Instance] (インスタンスの起動) を選択します。

3. [Step 1] (ステップ 1) ページで、[Microsoft Windows Server 2019 Base - ami-xxxxxxxxxxxxxxxxx] の横にある [Select] (選択) をオンにします。

4. [Step 2] (ステップ 2。 ページで、[t3.micro] を選択します (これより大きいインスタンスタイプも選択できます)。次に、[Next: Configure Instance Details] (次へ: インスタンス詳細の設定) をクリックします。

5. [Step 3] (ステップ 3) ページで、以下の操作を行います。

   • [Network] (ネットワーク) で、AWS-DS-VPC01 で終わる VPC (例: vpc-xxxxxxxxxxxxxxxxx | AWS-DS-VPC01) を選択します。

   • [Subnet] (サブネット) で、該当するアベイラビリティーゾーンに事前設定されている [Public subnet 1] を選択します (例: subnet-xxxxxxxxxxxxxxxxx | AWS-DS-VPC01-Subnet01 | us-west-2a)。

   • Auto-assign Public IP (自動割り当てパブリック IP) で、[Enable] (有効) を選択します (サブネットの設定がデフォルトで有効ではない場合)。

   • [Domain join directory] (ドメイン結合ディレクトリ) で、[corp.example.com (d-xxxxxxxxxx)] を選択します。

   • IAM ロールには、インスタンスロールに付けた名前 (EC2 Windows AWS インスタンスを管理対象の Microsoft AD ドメインに参加させるロールを作成します。 など) を選択します。DomainJoin

   • 残りの設定はデフォルトのままにしておきます。

   • [Next: Add Storage] (次へ: ストレージの追加) をクリックします。

6. [Step 4] (ステップ 4) ページで、デフォルト設定をそのままにして、[Next: Add Tags] (次へ: タグの追加) をクリックします。

7. [Step 5] (ステップ 5) ページで、[Add Tag] (タグを追加) をクリックします。[Key] (キー) に「corp.example.com-mgmt」と入力し、[Next: Configure Security Group] (次へ: セキュリティグループの設定) を選択します。

8. [Step 6] (ステップ 6) ページで、[Select an existing security group] (既存のセキュリティグループを選択する) をクリックし、[AWS DS Test Lab Security Group] ( DS テストラボセキュリティグループ) (入門チュートリアルでセットアップ済み) を選択します。次に [Review and Launch] (確認と作成) をクリックしてインスタンスを確認します。

9. [Step 7] (ステップ) ページで内容を確認した上で、[Launch] (起動) をクリックします。

10. [Select an existing key pair or create a new key pair] (既存のキーペアを選択するか、新しいキーペアを作成します。) ダイアログボックスで、以下の操作を行います。

    • [Choose an existing key pair] (既存のキーペアの選択) をクリックします。

    • [Select a key pair] (キーペアの選択) で、[AWS-DS-KP] を選択します。

    • [I acknowledge...] (...を認識しています) チェックボックスをオンにします。

    • [Launch Instances] (インスタンスを起動) をクリックします。

11. [View Instances] (インスタンスの表示) をクリックして Amazon EC2 コンソールに戻り、デプロイのステータスを確認します。

EC2 インスタンスに Active Directory のツールをインストールする

Active Directory ドメイン管理ツールを EC2 インスタンスにインストールするには、2 つの方法があります。サーバーマネージャー UI (このチュートリアルでは推奨) Windows PowerShell またはを使用できます。

Active Directory のツールを EC2 インスタンスにインストールするには (Server Manager)

1. Amazon EC2 コンソールで [Instances] (インスタンス) をクリックし、先ほど作成したインスタンスを選択して、[Connect] (接続) をクリックします。

2. [Connect To Your Instance] (インスタンスに接続) ダイアログボックスで、[Get Password] (パスワードを取得) をクリックしてパスワードを取得し (まだ取得していない場合)、続いて [Download Remote Desktop File] (リモートデスクトップファイルのダウンロード) をクリックします。

3. [Windows Security] (Windows セキュリティ) ダイアログボックスで、Windows Server コンピュータのログインに使用する、ローカル管理者の認証情報 (「administrator」など) を入力します。

4. [Start] (スタート) メニューで、[Server Manager] (サーバーマネージャー) を選択します。

5. [Dashboard] (ダッシュボード) で、[Add Roles and Features] (ロールと機能の追加) をクリックします。

6. [Add Roles and Features Wizard] (ロールと機能の追加ウィザード) で、[Next] (次へ) をクリックします。

7. [Select installation type] (インストールタイプの選択) ページで、[Role-based or feature-based installation] (ロールベースもしくは機能ベースのインストール) を選択し、[Next] (次へ) をクリックします。

8. Select destination server (送信先サーバーの選択) ページで、ローカルサーバーが選択されていることを確認し、[Next] (次へ) をクリックします。

9. [Select server roles] (サーバーロールの選択) ページで、[Next] (次へ) をクリックします。

10. [Select features] (機能の選択) ページで、以下の操作を行います。

    • [Group Policy Management] (グループポリシー管理) チェックボックスをオンにします。

    • [Remote Server Administration Tools] (リモートサーバー管理ツール)、[Role Administration Tools] (ロール管理ツール) の順に展開します。

    • [AD DS and AD LDS Tools] (AD DS と AD LDS ツール) チェックボックスをオンにします。

    • [DNS Server Tools] (DNS サーバーツール) チェックボックスをオンにします。

    • [Next] (次へ) をクリックします。

11. [Confirm installation selections] (インストール設定の確認) ページで、情報を確認し、[Install] (インストール) をクリックします。機能のインストールが完了すると、[スタート] メニューの [Windows Administrative Tools] フォルダで、以下の新しいツールやスナップインが利用可能になります。

    • Active Directory 管理センター

    • Active Directory のドメインと信頼関係

    • 用の Active Directory モジュール Windows PowerShell

    • Active Directory のサイトとサービス

    • Active Directory のユーザーとコンピュータ

    • ADSI エディター

    • DNS

    • グループポリシーの管理

EC2 インスタンスに Active Directory ツールをインストールするには (Windows PowerShell) (オプション)

1. Windows PowerShell を起動します。

2. 次のコマンドを入力します。

   Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server