ステップ 1: 信頼の環境をセットアップする - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 1: 信頼の環境をセットアップする

このセクションでは、Amazon EC2 環境をセットアップし、新しいフォレストをデプロイして、AWS との信頼に備えて VPC を設定します。

Windows Server 2019 EC2 インスタンスを作成する

Amazon EC2 で Windows Server 2019 のメンバーサーバーを作成するには、以下の手順を使用します。

Windows Server 2019 EC2 インスタンスを作成するには

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. Amazon EC2 コンソールで、[] を選択します。インスタンスを起動する

  3. [Step 1] ページで、リストの [Microsoft Windows Server 2019 Base - ami-xxxxxxxxxxxxxxxxx] を見つけます。続いて、[Select] を選択します。

  4. リポジトリの []ステップ 2ページで [] を選択します。t2.large[] を選択して [] を選択します。次へ: インスタンスの詳細の設定

  5. [Step 3] ページで、以下の操作を行います。

    • を使用する場合ネットワーク[] で、vpc-xxxxxxxxxxxxxxxAWS-OnPrem-VPC01(以前設定した基本チュートリアル).

    • [Subnet] で、[subnet-xxxxxxxxxxxxxxxxx | AWS-OnPrem-VPC01-Subnet01 | AWS-OnPrem-VPC01] を選択します。

    • [Auto-assign Public IP] リストで、[Enable] を選択します (サブネットのデフォルト設定が [Enable] でない場合)。

    • 残りの設定はデフォルトのままにしておきます。

    • 選択次へ: ストレージの追加

  6. リポジトリの []ステップ 4ページで、デフォルト設定を変更せず、[次へ: タグの追加

  7. [Step 5] ページで、[Add Tag] を選択します。[]キーtypeexample.local-DC01[] を選択して [] を選択します。次へ: セキュリティグループの設定

  8. [Step 6] ページで、[Select an existing security group] を選択し、[AWS DS RDP Security Group] (基本チュートリアルでセットアップ済み) を選択します。次に [Review and Launch] を選択してインスタンスを確認します。

  9. [Step 7] ページで、ページの内容を確認し、[Launch] を選択します。

  10. [Select an existing key pair or create a new key pair] ダイアログボックスで、以下の操作を行います。

    • [Choose an existing key pair] を選択します。

    • [Select a key pair] で、[AWS-DS-KP] (基本チュートリアルでセットアップ済み) を選択します。

    • [I acknowledge...] チェックボックスをオンにします。

    • [Launch Instances] を選択します。

  11. 選択インスタンスの表示Amazon EC2 コンソールに戻り、デプロイのステータスを確認します。

サーバーをドメインコントローラーに昇格させる

信頼を作成する前に、新しいフォレストの最初のドメインコントローラーを構築してデプロイする必要があります。このプロセスでは、新しい Active Directory フォレストを設定し、DNS をインストールして、このサーバーで名前解決にローカル DNS サーバーを使用するように設定します。この手順の最後にサーバーを再起動する必要があります。

注記

AWS で作成したドメインコントローラーをオンプレミスのネットワークでレプリケートする場合は、最初に手動で EC2 インスタンスをオンプレミスのドメインに結合します。その後、サーバーをドメインコントローラーに昇格させることができます。

サーバーをドメインコントローラーに昇格させるには

  1. Amazon EC2 コンソールで、[] を選択します。インスタンス[作成したインスタンスを選択して、先ほど作成したインスタンスを選択して、[接続

  2. [Connect To Your Instance] ダイアログボックスで、[Download Remote Desktop File] を選択します。

  3. [Windows Security] ダイアログボックスで、Windows Server コンピュータのローカル管理者の認証情報 (「administrator」など) を入力してログインします。ローカル管理者のパスワードを持っていない場合は、Amazon EC2 コンソールに戻り、インスタンスを右クリックして [Windows パスワードの取得AWS DS KP.pem ファイルまたは個人用の .pem キーを参照し、[Decrypt Password] を選択します。

  4. [Start] メニューで、[Server Manager] を選択します。

  5. [Dashboard] で、[Add Roles and Features] をクリックします。

  6. [Add Roles and Features Wizard] で、[Next] をクリックします。

  7. [Select installation type] ページで、[Role-based or feature-based installation] を選択して、[Next] をクリックします。

  8. [Select destination server] ページで、ローカルサーバーが選択されていることを確認し、[Next] を選択します。

  9. [Select server roles] ページで、[Active Directory Domain Services] を選択します。[Add Roles and Features Wizard] ダイアログボックスで、[Include management tools (if applicable)] チェックボックスがオンになっていることを確認します。[Add Features]、[Next] の順に選択します。

  10. [Select features] ページで、[Next] を選択します。

  11. [Active Directory Domain Services] ページで、[Next] を選択します。

  12. [Confirm installation selections] ページで、[Install] を選択します。

  13. Active Directory バイナリがインストールされたら、[Close] を選択します。

  14. Server Manager が表示されたら、上部で [Manage] の語の横にあるフラグを探します。このフラグが黄色に変わると、サーバーの昇格の準備完了です。

  15. 黄色のフラグを選択し、[Promote this server to a domain controller] を選択します。

  16. [Deployment Configuration] ページで、[Add a new forest] を選択します。[Root domain name] に「example.local」と入力し、[Next] を選択します。

  17. [Domain Controller Options] ページで、以下の操作を行います。

    • [Forest functional level] と [Domain functional level] の両方で、[Windows Server 2016] を選択します。

    • [Specify domain controller capabilities] で、[Domain Name System (DNS) server] と [Global Catalog (GC)] の両方が選択されていることを確認します。

    • ディレクトリサービス復元モード (DSRM) のパスワードを入力し、さらに確認します。続いて、[Next] を選択します。

  18. [DNS Options] ページで、委任に関する警告を無視し、[Next] を選択します。

  19. [Additional options] ページで、NetBios ドメイン名として [EXAMPLE] が表示されていることを確認します。

  20. [Paths] ページで、デフォルト値を受け入れ、[Next] を選択します。

  21. [Review Options] ページで、[Next] を選択します。これで、ドメインコントローラーのすべての前提条件が満たされていることがサーバーで確認されます。いくつかの警告が表示されることがありますが、無視して構いません。

  22. [Install] を選択します。インストールが完了すると、サーバーが再起動し、ドメインコントローラーとしての機能を開始します。

VPC の設定

次の 3 つの手順で AWS と接続するように VPC を設定する各ステップを示します。

VPC のアウトバウンドルールを設定するには

  1. AWS Directory Service コンソールで、corp.example.com 用に作成した AWS Managed Microsoft AD ディレクトリ ID を書き留めます。基本チュートリアル

  2. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  3. ナビゲーションペインで、[Security Groups] を選択します。

  4. AWS Managed Microsoft AD ディレクトリ ID を検索します。検索結果で、説明として [AWS created security group for d-xxxxxx directory controllers] と表示されている項目を選択します。

    注記

    このセキュリティグループは、ディレクトリを最初に作成したときに自動的に作成されています。

  5. そのセキュリティグループの下にある [Outbound Rules] タブを選択します。[Edit]、[Add another rule] の順に選択し、以下の値を追加します。

    • [Type] として [All Traffic] を選択します。

    • [Destination] に「0.0.0.0/0」と入力します。

    • 残りの設定はデフォルトのままにしておきます。

    • [Save] を選択します。

Kerberos の事前認証が有効化されていることを確認するには

  1. [example.local] ドメインコントローラーで、[Server Manager] を開きます。

  2. [ツール] メニューで、[Active Directory ユーザーとコンピュータ] を選択します。

  3. [Users] ディレクトリに移動し、ユーザーを右クリックし、Properties] を選択して、[Account] タブを選択します。[Account options] リストで、下にスクロールし、[Do not require Kerberos preauthentication] が選択されていないことを確認します。

  4. corp.example.com-mgmt インスタンスの corp.example.com ドメインに対しても同じ手順を実行します。

DNS 条件付フォワーダーを設定するには

注記

条件付きフォワーダーは、クエリ内の DNS ドメイン名に従って DNS クエリを転送するためのネットワーク上の DNS サーバーです。たとえば、widgets.example.com で終わる名前に関して受信したすべてのクエリを、特定の DNS サーバーの IP アドレスや複数の DNS サーバーの IP アドレスに転送するように DNS サーバーを設定できます。

  1. まず、AWS Managed Microsoft AD に関するいくつかの情報を取得する必要があります。

    AWS マネジメントコンソールにサインインし、AWS Directory Service コンソール (https://console.aws.amazon.com/directoryservicev2/

  2. ナビゲーションペインで [Directories] を選択します。

  3. [] を選択します。ディレクトリ IDの AWS Managed Microsoft AD の。

  4. ディレクトリの完全修飾ドメイン名 (FQDN) である corp.example.com と DNS アドレスを書き留めます。

  5. ここで、example.local ドメインコントローラーに戻り、Server Manager を開きます。

  6. [Tools] メニューで、[DNS] を選択します。

  7. コンソールツリーで、信頼を設定するドメインの DNS サーバーを展開し、[Conditional Forwarders] に移動します。

  8. [Conditional Forwarders] を右クリックし、[New Conditional Forwarder] を選択します。

  9. DNS ドメインに、「corp.example.com」と入力します。

  10. []マスターサーバーの IP アドレス] で、<追加するにはここをクリック... >] をクリックし、AWS Managed Microsoft AD ディレクトリの最初の DNS アドレス (前の手順で書き留めたもの) を入力し、Enter。2 つ目の DNS アドレスにも同じ操作を行います。DNS アドレスを入力すると、「タイムアウト」または「解決できません」というエラーが表示される場合があります。通常、このエラーは無視できます。

  11. [Store this conditional forwarder in Active Directory, and replicate as follows] チェックボックスをオンにします。ドロップダウンメニューで、[All DNS servers in this Forest] を選択し、次に [OK] を選択します。