ステップ 3: EC2 インスタンスをデプロイして AWS Managed Microsoft AD を管理する - AWS Directory Service
オプション: ディレクトリの AWS-DS-VPC01 で DHCP オプションセットを作成するWindows インスタンスを AWS Managed Microsoft AD ドメインに結合するためのロールを作成するEC2 インスタンスを作成しディレクトリを自動的に結合するEC2 インスタンスに Active Directory のツールをインストールする

ステップ 3: EC2 インスタンスをデプロイして AWS Managed Microsoft AD を管理する

このラボでは、パブリック IP アドレスを持つ EC2 インスタンスを使用し、任意の場所から管理インスタンスに簡単にアクセスできるようにしています。本番稼働用の設定では、プライベート VPC 内のインスタンスを使用することで、アクセスを VPN または Amazon Direct Connect リンク経由に限定できます。インスタンスでパブリック IP アドレスを使用することは必須条件ではありません。

このセクションでは、デプロイ後の新しい EC2 インスタンスで Windows Server を使用し、クライアントコンピュータからドメインに接続するために必要となる、各種のタスクを実行していきます。次のステップでは、Windows Server を使用し、ラボが正常に機能することを確認します。

オプション: ディレクトリの AWS-DS-VPC01 で DHCP オプションセットを作成する

このオプションの手順では、VPC 内の EC2 インスタンスで DNS 解決に AWS Managed Microsoft AD を自動的に使用するように、DHCP オプションの範囲を設定します。詳細については、「DHCP options sets」(DHCP オプションセット) を参照してください。

ディレクトリの DHCP オプションセットを作成するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [DHCP Options Sets] (DHCP オプションセット) を選択し、[Create DHCP options set] (DHCP オプションセットの作成) を選択します。

  3. [Create DHCP options set] (DHCP オプションセットの作成) ページで、ディレクトリ用に以下の値を指定します。

    • [Name] (名前) に、「AWS DS DHCP」と入力します。

    • [Domain Name] (ドメイン名) に、「corp.example.com」と入力します。

    • [Domain name servers] (ドメインネームサーバー) には、AWS が提供するディレクトリの DNS サーバーの IP アドレスを入力します。

      注記

      これらのアドレスを見つけるには、AWS Directory Service の [Directories] (ディレクトリ) ページで、該当するディレクトリ ID を選択します。[Details] (詳細) ページで、[DNS address] (DNS アドレス) に表示されている IP から、使用するものを選択します。

      または、AWS Directory Service の [Directories] (ディレクトリ) ページで、該当するディレクトリ ID を選択することで、これらのアドレスを検索できます。次に、[Scale & share] (スケール & 共有) をクリックします。[Domain controllers] ドメインコントローラで、[IP address] (IP アドレス) に表示されている中から、使用する IP を選択します。

    • [NTP servers] (NTP サーバー)、[NetBIOS name servers] (NetBIOS ネームサーバー)、[NetBIOS node type] (NetBIOS ノードタイプ) は空白のままにします。

  4. [Create DHCP options set] (DHCP オプションセットを作成) をクリックし、次に [Close] (閉じる) をクリックします。新しい DHCP オプションのセットが DHCP オプションの一覧に表示されます。

  5. 新しい DHCP オプションセットの ID (dopt-xxxxxxxx) を書き留めておきます。この ID は、この手順の最後で新しいオプションセットを VPC と関連付ける際に使用します。

    注記

    シームレスなドメイン参加は、DHCP オプションセットを設定しなくても機能します。

  6. ナビゲーションペインで、Your VPCs (お客様の VPC) をクリックします。

  7. VPC のリストから [AWS DS VPC] を選択し、[Actions] (アクション)、[Edit DHCP Options Set] (DHCP オプションセットの編集) の順にクリックします。

  8. [Edit DHCP options set] (DHCP オプションセットの編集) ページで、ステップ 5 で書き留めたオプションセットを選択し、[Save] (保存) をクリックします。

Windows インスタンスを AWS Managed Microsoft AD ドメインに結合するためのロールを作成する

この手順では、EC2 Windows インスタンスをドメインに結合するためのロールを設定します。詳細については、「 Amazon EC2 Windows インスタンス用ユーザーガイド」の「Seamlessly join a Windows EC2 instance」(Windows EC2 インスタンスをシームレスに結合する) を参照してください。

Windows インスタンスをドメインに結合するように EC2 を設定するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. IAM コンソールのナビゲーションペインで、[Roles] (ロール)、[Create role] (ロールを作成) の順にクリックします。

  3. [Select type of trusted entity] (信頼されたエンティティの種類を選択) の下で、[AWS Service] (AWS のサービ) を選択します。

  4. [Choose the service that will use this role] (このロールを使用するサービスを選択) のすぐ下で、[EC2] を選択し、次に [Next: Permissions] (次へ: アクセス許可) をクリックします。

  5. [Attached permissions policy] (アタッチされているアクセス許可ポリシー) ページで、以下の操作を行います。

    • 管理ポリシー [AmazonSSMManagedInstanceCore] の横にあるボックスをオンにします。このポリシーは、Systems Manager サービスを使用するために必要な最小限のアクセス許可を付与します。

    • 管理ポリシー [AmazonSSMDirectoryServiceAccess] の横にあるボックスをオンにします。このポリシーでは、AWS Directory Service によって管理されている Active Directory にインスタンスを結合するためのアクセス許可を付与します。

    これらのマネージドポリシーと、Systems Manager の IAM インスタンスプロファイルにアタッチできるその他のポリシーの詳細については、「AWS Systems Manager ユーザーガイド」の「Systems Manager の IAM インスタンスプロファイルを作成する」を参照してください。管理ポリシーの詳細については、「IAM ユーザーガイド」の「AWS 管理ポリシー」を参照してください。

  6. [Next: Tags] (次へ: タグ) を選択します。

  7. (オプション) 1 つまたは複数のタグキーと値のペアを追加して、このロールのアクセスを整理、追跡、または制御し、[Next: Review] (次へ: 確認) を選択します。

  8. [Role name] (ロール名) には、「EC2DomainJoin」など、インスタンスをドメインに結合させるために使用されることがわかるような名前を入力します。

  9. (オプション) [Role description] (ロールの説明) に、説明を入力します。

  10. [Create role] (ロールの作成) を選択します。[Roles] (ロール) ページが再度表示されます。

EC2 インスタンスを作成しディレクトリを自動的に結合する

この手順では、Amazon EC2 内に Windows Server システムをセットアップします。このシステムは、後に Active Directory でユーザー、グループ、ポリシーを管理する際に使用できます。

EC2 インスタンスを作成しディレクトリを自動的に結合するには

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. [Launch Instance] (インスタンスの起動) を選択します。

  3. [Step 1] (ステップ 1) ページで、[Microsoft Windows Server 2019 Base - ami-xxxxxxxxxxxxxxxxx] の横にある [Select] (選択) をオンにします。

  4. [Step 2] (ステップ 2) ページで、[t3.micro] を選択します (これより大きいインスタンスタイプも選択できます)。次に、[Next: Configure Instance Details] (次へ: インスタンス詳細の設定) をクリックします。

  5. [Step 3] (ステップ 3) ページで、以下の操作を行います。

    • [Network] (ネットワーク) で、AWS-DS-VPC01 で終わる VPC (例: vpc-xxxxxxxxxxxxxxxxx | AWS-DS-VPC01) を選択します。

    • [Subnet] (サブネット) で、該当するアベイラビリティーゾーンに事前設定されている [Public subnet 1] を選択します (例: subnet-xxxxxxxxxxxxxxxxx | AWS-DS-VPC01-Subnet01 | us-west-2a)。

    • Auto-assign Public IP (自動割り当てパブリック IP) で、[Enable] (有効) を選択します (サブネットの設定がデフォルトで有効ではない場合)。

    • [Domain join directory] (ドメイン結合ディレクトリ) で、[corp.example.com (d-xxxxxxxxxx)] を選択します。

    • [IAM role] (IAM ロール) で、Windows インスタンスを AWS Managed Microsoft AD ドメインに結合するためのロールを作成する でインスタンスロールを付与した名前 (例: EC2DomainJoin) を選択します。

    • 残りの設定はデフォルトのままにしておきます。

    • [Next: Add Storage] (次へ: ストレージの追加) をクリックします。

  6. [Step 4] (ステップ 4) ページで、デフォルト設定をそのままにして、[Next: Add Tags] (次へ: タグの追加) をクリックします。

  7. [Step 5] (ステップ 5) ページで、[Add Tag] (タグを追加) をクリックします。[Key] (キー) に「corp.example.com-mgmt」と入力した上で、[Next: Configure Security Group] (次へ: セキュリティグループセキュリティグループの設定) をクリックします。

  8. [Step 6] (ステップ 6) ページで、[Select an existing security group] (既存のセキュリティグループを選択する) をクリックし、[AWS DS Test Lab Security Group] ( DS テストラボセキュリティグループ) (入門チュートリアルでセットアップ済み) を選択します。次に [Review and Launch] (確認と作成) をクリックしてインスタンスを確認します。

  9. [Step 7] (ステップ) ページで内容を確認した上で、[Launch] (起動) をクリックします。

  10. [Select an existing key pair or create a new key pair] (既存のキーペアを選択するか、新しいキーペアを作成します。) ダイアログボックスで、以下の操作を行います。

    • [Choose an existing key pair] (既存のキーペアの選択) をクリックします。

    • [Select a key pair] (キーペアの選択) で、[AWS-DS-KP] を選択します。

    • [I acknowledge...] (...を認識しています) チェックボックスをオンにします。

    • [Launch Instances] (インスタンスを起動) をクリックします。

  11. [View Instances] (インスタンスの表示) をクリックして Amazon EC2 コンソールに戻り、デプロイのステータスを確認します。

EC2 インスタンスに Active Directory のツールをインストールする

Active Directory ドメイン管理ツールを EC2 インスタンスにインストールするには、2 つの方法があります。使用できるのは、Server Manager UI (このチュートリアルでの推奨) または Windows PowerShell です。

Active Directory のツールを EC2 インスタンスにインストールするには (Server Manager)

  1. Amazon EC2 コンソールで [Instances] (インスタンス) をクリックし、先ほど作成したインスタンスを選択して、[Connect] (接続) をクリックします。

  2. [Connect To Your Instance] (インスタンスに接続) ダイアログボックスで、[Get Password] (パスワードを取得) をクリックしてパスワードを取得し (まだ取得していない場合)、続いて [Download Remote Desktop File] (リモートデスクトップファイルのダウンロード) をクリックします。

  3. [Windows Security] (Windows セキュリティ) ダイアログボックスで、Windows Server コンピュータのログインに使用する、ローカル管理者の認証情報 (「administrator」など) を入力します。

  4. [Start] (スタート) メニューで、[Server Manager] (サーバーマネージャー) を選択します。

  5. [Dashboard] (ダッシュボード) で、[Add Roles and Features] (ロールと機能の追加) をクリックします。

  6. [Add Roles and Features Wizard] (ロールと機能の追加ウィザード) で、[Next] (次へ) をクリックします。

  7. [Select installation type] (インストールタイプの選択) ページで、[Role-based or feature-based installation] (ロールベースもしくは機能ベースのインストール) を選択し、[Next] (次へ) をクリックします。

  8. Select destination server (送信先サーバーの選択) ページで、ローカルサーバーが選択されていることを確認し、[Next] (次へ) をクリックします。

  9. [Select server roles] (サーバーロールの選択) ページで、[Next] (次へ) をクリックします。

  10. [Select features] (機能の選択) ページで、以下の操作を行います。

    • [Group Policy Management] (グループポリシー管理) チェックボックスをオンにします。

    • [Remote Server Administration Tools] (リモートサーバー管理ツール)、[Role Administration Tools] (ロール管理ツール) の順に展開します。

    • [AD DS and AD LDS Tools] (AD DS と AD LDS ツール) チェックボックスをオンにします。

    • [DNS Server Tools] (DNS サーバーツール) チェックボックスをオンにします。

    • [Next] (次へ) をクリックします。

  11. [Confirm installation selections] (インストール設定の確認) ページで、情報を確認し、[Install] (インストール) をクリックします。機能のインストールが完了すると、[スタート] メニューの [Windows Administrative Tools] フォルダで、以下の新しいツールやスナップインが利用可能になります。

    • Active Directory 管理センター

    • Active Directory のドメインと信頼関係

    • Windows PowerShell 用 Active Directory モジュール

    • Active Directory のサイトとサービス

    • Active Directory のユーザーとコンピュータ

    • ADSI エディター

    • DNS

    • グループポリシーの管理

Active Directory のツールを EC2 インスタンスにインストールするには (Windows PowerShell) (オプション)

  1. Windows PowerShell を起動します。

  2. 次のコマンドを入力します。

    Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server