ステップ 1: 信頼の環境セットアップ - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 1: 信頼の環境セットアップ

このセクションでは、Amazon EC2 環境をセットアップし、新しいフォレストをデプロイし、VPC を信頼できるように準備します。 AWS

Amazon VPC、サブネット、インターネットゲートウェイを備えた Amazon EC2 環境で、新しいフォレストをデプロイして信頼関係を確立します。

Windows Server 2019 の EC2 インスタンスを作成する

Amazon EC2 で Windows Server 2019 のメンバーサーバーを作成するには、次の手順に従います。

Windows Server 2019 の EC2 インスタンスを作成するには
  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. Amazon EC2 コンソールで、[Launch Instance] (インスタンスを起動) を選択します。

  3. [Step 1] (ステップ 1) ページのリストで、[Microsoft Windows Server 2019 Base - ami-xxxxxxxxxxxxxxxxx] を見つけます。続いて、[Select] (選択) を選択します。

  4. [Step 2] (ステップ 2。 ページで、[t2.large][Next: Configure Instance Details] (次へ: インスタンスの詳細の設定) の順に選択します。

  5. [Step 3] (ステップ 3) ページで、以下の操作を行います。

  6. [Step 4] (ステップ 4) ページで、デフォルト設定をそのままにして、[Next: Add Tags] (次へ: タグの追加) をクリックします。

  7. [Step 5] (ステップ 5) ページで、[Add Tag] (タグを追加) をクリックします。[Key] (キー) に「example.local-DC01」と入力し、[Next: Configure Security Group] (次へ: セキュリティグループの設定) を選択します。

  8. [ステップ 6] ページで、[既存のセキュリティグループを選択する] を選択し、[AWS オンプレミステストラボセキュリティグループ] (基本のチュートリアルでセットアップ済み) を選択します。次に [確認と作成] を選択してインスタンスを確認します。

  9. [Step 7] (ステップ) ページで内容を確認した上で、[Launch] (起動) をクリックします。

  10. [Select an existing key pair or create a new key pair] (既存のキーペアを選択するか、新しいキーペアを作成します。) ダイアログボックスで、以下の操作を行います。

    • [Choose an existing key pair] (既存のキーペアの選択) をクリックします。

    • [Select a key pair] (キーペアの選択) で、[AWS-DS-KP] (基本のチュートリアルでセットアップ済み) を選択します。

    • [I acknowledge...] (...を認識しています) チェックボックスをオンにします。

    • [Launch Instances] (インスタンスを起動) をクリックします。

  11. [View Instances] (インスタンスの表示) をクリックして Amazon EC2 コンソールに戻り、デプロイのステータスを確認します。

サーバーをドメインコントローラーに昇格する

信頼を作成する前に、新しいフォレスト用に最初のドメインコントローラーを構築してデプロイする必要があります。このプロセスでは、新しい Active Directory フォレストを設定し、DNS をインストールして、名前の解決にローカル DNS サーバーを使用するようにこのサーバーを設定します。この手順の最後にサーバーを再起動する必要があります。

注記

オンプレミスネットワークとレプリケートするドメインコントローラーを作成する場合は、まず EC2 AWS インスタンスをオンプレミスドメインに手動で結合します。その後、サーバーをドメインコントローラーに昇格できます。

サーバーをドメインコントローラーに昇格するには
  1. Amazon EC2 コンソールで [Instances] (インスタンス) をクリックし、先ほど作成したインスタンスを選択して、[Connect] (接続) をクリックします。

  2. [Connect To Your Instance] (インスタンスへの接続) ダイアログボックスで、[Download Remote Desktop File] (リモートデスクトップファイルのダウンロード) をクリックします。

  3. [Windows Security] ダイアログボックスで、Windows Server コンピュータのローカル管理者の認証情報 (「administrator」など) を入力してログインします。ローカル管理者のパスワードがない場合は、Amazon EC2 コンソールに戻り、インスタンスを右クリックして [Get Windows Password] (Windows パスワードを取得) を選択します。AWS DS KP.pem ファイルまたは個人用の .pem キーに移動して、[Decrypt Password] (パスワードの復号) を選択します。

  4. [Start] (スタート) メニューで、[Server Manager] (サーバーマネージャー) を選択します。

  5. [Dashboard] (ダッシュボード) で、[Add Roles and Features] (ロールと機能の追加) をクリックします。

  6. [Add Roles and Features Wizard] (ロールと機能の追加ウィザード) で、[Next] (次へ) をクリックします。

  7. [Select installation type] (インストールタイプの選択) ページで、[Role-based or feature-based installation] (ロールベースもしくは機能ベースのインストール) を選択し、[Next] (次へ) をクリックします。

  8. Select destination server (送信先サーバーの選択) ページで、ローカルサーバーが選択されていることを確認し、[Next] (次へ) をクリックします。

  9. [Select server roles] (サーバーロールの選択) ページで、[Active Directory Domain Services] (Active Directory ドメインサービス) を選択します。[Add Roles and Features Wizard] (ロールと機能の追加ウィザード) ダイアログボックスで、[Include management tools] (管理ツールを含める (該当する場合)) チェックボックスがオンになっていることを確認します。[Add Features] (機能を追加)、[Next] (次へ) の順に選択します。

  10. [Select features] (機能を選択) ページで、[Next] (次へ) を選択します。

  11. [Active Directory Domain Services] (Active Directory ドメインサービス) ページで、[Next] (次へ) を選択します。

  12. [Confirm installation selections] (インストールの選択を確認) ページで、[Install] (インストール) を選択します。

  13. Active Directory バイナリがインストールされたら、[Close] (閉じる) をクリックします。

  14. Server Manager (サーバーマネージャー) が表示されたら、上部の [Manage] (管理) の横にあるフラグを確認します。このフラグが黄色に変われば、サーバーを昇格する準備は完了です。

  15. 黄色のフラグを選択し、[Promote this server to a domain controller] (このサーバーをドメインコントローラーに昇格) を選択します。

  16. [Deployment Configuration] (デプロイ設定) ページで、[Add a new forest] (新しいフォレストを追加) を選択します。[Root domain name] (ルートドメイン名) に「example.local」と入力し、[Next] (次へ) を選択します。

  17. [Domain Controller Options] (ドメインコントローラーのオプション) ページで、次の操作を行います。

    • [Forest functional level] (フォレストの機能レベル) と [Domain functional level] (ドメインの機能レベル) の両方で、[Windows Server 2016] を選択します。

    • [ドメインコントローラーの機能を指定] で、[DNS サーバー] と [グローバルカタログ (GC)] の両方が選択されていることを確認します。

    • Directory Services Restore Mode (DSRM) のパスワードを入力し、確認します。続いて、[Next] (次へ) をクリックします。

  18. [DNS Options] (DNS のオプション) ページで、委任に関する警告を無視し、[Next] (次へ) を選択します。

  19. [追加オプション] ページで、 NetBios ドメイン名として EXAMPLE が表示されていることを確認します。

  20. [Paths] (パス) ページで、デフォルト値のまま [Next] (次へ) を選択します。

  21. [Review Options] (オプションの確認) ページで、[Next] (次へ) を選択します。これで、ドメインコントローラーのすべての前提条件が満たされていることがサーバーで確認できます。いくつかの警告が表示されることがありますが、無視して構いません。

  22. [Install] (インストール) をクリックします。インストールが完了すると、サーバーが再起動し、ドメインコントローラーとして機能するようになります。

VPC の設定

次の 3 つの手順で、 AWSと接続するように VPC を設定します。

VPC のアウトバウンドルールを設定するには
  1. AWS Directory Service コンソールで、以前に「基本チュートリアル」で作成した corp.example.com AWS の管理対象の Microsoft AD ディレクトリ ID をメモしておきます。

  2. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  3. ナビゲーションペインで、セキュリティグループ] を選択します。

  4. AWS 管理対象の Microsoft AD ディレクトリ ID を検索してください。検索結果で、[AWS created security group for d-xxxxxx directory controllers] (AWS が d-xxxxxx ディレクトリコントローラーのセキュリティグループを作成しました) という説明が表示されている項目を選択します。

    注記

    このセキュリティグループは、ディレクトリを最初に作成するときに自動的で作成されます。

  5. そのセキュリティグループの下にある [Outbound Rules] (アウトバウンドルール) タブを選択します。[Edit] (編集)、[Add another rule] (別のルールの追加) の順に選択し、次の値を追加します。

    • [Type] (タイプ) で、[All Traffic] (すべてのトラフィック) を選択します。

    • [Destination] (送信先) に「0.0.0.0/0」と入力します。

    • 残りの設定はデフォルトのままにしておきます。

    • [Save] (保存) をクリックします。

Kerberos の事前認証が有効になっていることを確認するには
  1. example.local ドメインコントローラーで、[Server Manager] (サーバーマネージャー) を開きます。

  2. [Tools] (ツール) メニューで、[Active Directory Users and Computers] (Active Directory ユーザーとコンピュータ) を選択します。

  3. [Users] (ユーザー) ディレクトリに移動してユーザーを右クリックし、[Properties] (プロパティ) を選択して [Account] (アカウント) タブを選択します。[Account options] (アカウントオプション) リストを下にスクロールし、[Do not require Kerberos preauthentication] (Kerberos の事前認証を要求しない) が選択されていないことを確認します。

  4. corp.example.com-mgmt インスタンスの corp.example.com ドメインに対しても同じ手順を実行します。

DNS の条件付きフォワーダーを設定するには
注記

条件付きフォワーダーは、クエリ内の DNS ドメイン名に従って DNS クエリを転送するためのネットワーク上の DNS サーバーです。例えば、widgets.example.com で終わる名前に関して受信したすべてのクエリを、特定の DNS サーバーや複数の DNS サーバーの IP アドレスに転送するように DNS サーバーを設定できます。

  1. AWS Directory Service コンソールを開きます。

  2. ナビゲーションペインで [ディレクトリ] を選択します。

  3. AWS 管理対象の Microsoft AD のディレクトリ ID を選択します。

  4. 完全修飾ドメイン名 (FQDN) であるディレクトリの DNS アドレスと corp.example.com を書き留めます。

  5. ここで、example.local ドメインコントローラーに戻り、[Server Manager] (サーバーマネージャー) を開きます。

  6. [Tools] (ツール) メニューで、[DNS] を選択します。

  7. コンソールツリーで、信頼を設定するドメインの DNS サーバーを展開し、[Conditional Forwarders] (条件付きフォワーダー) に移動します。

  8. [Conditional Forwarders] (条件付きフォワーダー) を右クリックし、[New Conditional Forwarder] (新しい条件付きフォワーダー) を選択します。

  9. DNS ドメインに、「corp.example.com」と入力します。

  10. [マスターサーバーの IP アドレス] で、[追加するにはここをクリック...] を選択します。 >、 AWS 管理対象の Microsoft AD ディレクトリ (前の手順で書き留めた) の最初の DNS アドレスを入力し、Enter キーを押します。2 つ目の DNS アドレスにも同じ操作を行います。DNS アドレスを入力すると、「タイムアウト」または「解決できません」というエラーが表示される場合があります。通常、このエラーは無視できます。

  11. [Store this conditional forwarder in Active Directory, and replicate as follows] (Active Directory で条件付きフォワーダーを保存して、次の通りにレプリケートする) チェックボックスをオンにします。ドロップダウンメニューで [All DNS servers in this Forest] (このフォレストのすべての DNS サーバー) を選択し、[OK] を選択します。