信頼関係を作成する場合 - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

信頼関係を作成する場合

AWS Directory Service for Microsoft Active Directory とオンプレミスディレクトリ、および AWS クラウド内の複数の AWS Managed Microsoft AD ディレクトリの間の一方向と双方向の外部とフォレストの信頼関係を構成できます。AWS マネージド Microsoft AD は、次の 3 つの信頼関係の方向をすべてサポートしています。受信、送信、2 方向 (双方向)。

注記

信頼関係を設定する際には、オンプレミスディレクトリが AWS Directory Service と互換性があることを確認する必要があります。お客様の責任の詳細については、「 責任共有モデル 」を参照してください。

AWS Managed Microsoft AD は、外部およびフォレストの両方の信頼をサポートしています。フォレスト信頼の作成方法を示すシナリオの例を見るには、「チュートリアル: AWS Managed Microsoft AD とオンプレミスドメイン間の信頼関係を作成します。」を参照してください。

Prerequisites

信頼性を作成するにはほんの数ステップが必要ですが、まず信頼性を設定する前にいくつかの前提条件のステップを完了する必要があります。

注記

AWS Managed Microsoft AD は、単一ラベルドメイン

VPC に接続

オンプレミスディレクトリと信頼関係を確立する場合は、まずオンプレミスネットワークを AWS Managed Microsoft AD を含む VPC に接続する必要があります。オンプレミスネットワークのファイアウォールでは、VPC 内の両方のサブネットの CIDR に対して次のポートが開いている必要があります。

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 認証

  • TCP/UDP 389 - LDAP

  • TCP 445 - SMB

    注記

    SMBv1 のサポートは終了しました。

これらは、ディレクトリに接続するために必要な最小限のポートです。固有の設定によっては、追加ポートが開かれていることが必要です。

VPC の設定

AWS マネージド Microsoft AD を含む VPC には、適切な送信および受信のルールが設定されている必要があります。

VPC のアウトバウンドルールを設定するには

  1. AWS Directory Service コンソール] のディレクトリの詳細ページで、AWS Managed Microsoft AD ディレクトリ ID を書き留めます。

  2. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  3. [Security Groups] を選択します。

  4. AWS Managed Microsoft AD ディレクトリ ID を検索します。検索結果で、ディレクトリ ID ディレクトリコントローラーの AWS で作成したセキュリティグループの説明を持つ項目を選択します。

    注記

    選択したセキュリティグループは、最初にディレクトリを作成するときに自動的に作成されるセキュリティグループです。

  5. そのセキュリティグループの [Outbound Rules] タブに移動します。[Edit]、[Add another rule] の順に選択します。新しいルールに対して、次の値を入力します。

    • タイプ: すべてのトラフィック

    • プロトコル: すべて

    • [Destination] は、ドメインコントローラーから発信されるトラフィックの送信先としてオンプレミスネットワーク内の場所を指定します。単一の IP アドレスまたは IP アドレス範囲を CIDR 表記で指定します (例: 203.0.113.5/32)。同じリージョン内の別のセキュリティグループの名前または ID を指定することもできます。詳細については、「ディレクトリの AWS セキュリティグループの設定を理解し、」を参照してください。

  6. [Save] を選択します。

Kerberos 事前認証を有効にする

ユーザーアカウントの Kerberos 事前認証を有効にしておく必要があります。この設定の詳細については、Microsoft TechNet の「事前認証」を参照してください。

オンプレミスドメインで DNS 条件付きフォワーダーを構成する

オンプレミスドメインに DNS 条件付きフォワーダーを設定する必要があります。条件付きフォワーダーの詳細については、Microsoft TechNet の「ドメイン名の条件フォワーダーの割り当て」を参照してください。

以下のステップを実行するには、オンプレミスドメインで以下の Windows Server ツールにアクセスする必要があります。

  • AD DS および AD LDS ツール

  • DNS

条件付きフォワーダーをオンプレミスのドメインに設定するには

  1. まず、AWS Managed Microsoft AD に関するいくつかの情報を取得する必要があります。AWS マネジメントコンソールにサインインし、AWS Directory Service コンソールで https://console.aws.amazon.com/directoryservicev2/.

  2. ナビゲーションペインで [Directories] を選択します。

  3. AWS Managed Microsoft AD のディレクトリ ID を選択します。

  4. 完全修飾ドメイン名 (FQDN) とディレクトリの DNS アドレスを書き留めます。

  5. オンプレミスのドメインコントローラーに戻ります。Server Manager を開きます。

  6. [Tools] メニューで、[DNS] を選択します。

  7. コンソールツリーで、信頼関係をセットアップするドメインの DNS サーバーを拡張します。

  8. コンソールツリーで、[Conditional Forwarders] を選択します。

  9. [Action] メニューで、[New conditional forwarder] を選択します。

  10. EclipseDNS ドメイン前に書き留めた AWS マネージド Microsoft AD の完全修飾ドメイン名 (FQDN) を入力します。

  11. 選択マスターサーバーの IP アドレス[] をクリックし、前に書き留めて、AWS Managed Microsoft AD ディレクトリの DNS アドレスを入力します。

    DNS アドレスを入力すると、「タイムアウト」または「解決できません」というエラーが表示される場合があります。通常、このエラーは無視できます。

  12. Selectこの条件付きフォワーダーを Active Directory に保存し、次のように複製します。このドメイン内のすべての DNS servers。[OK] を選択します。

信頼関係パスワード

既存のドメインと信頼関係を確立する場合は、Windows Server 管理ツールを使用してそのドメインの信頼関係を設定します。その際に、使用する信頼パスワードを書き留めます。AWS マネージド Microsoft AD で信頼関係を設定するときは、この同じパスワードを使用する必要があります。詳細については、Microsoft TechNet の「信頼の管理」を参照してください。

これで、AWS Managed Microsoft AD で信頼関係を作成する準備が整いました。

信頼関係を作成、確認、または削除する

注記

信頼関係は、AWS Managed Microsoft AD のグローバルな機能です。を使用している場合:マルチリージョンレプリケーションでは、以下の手順をプライマリ リージョン。変更は、レプリケートされたすべてのリージョンに自動的に適用されます。詳細については、「グローバル機能と地域機能」を参照してください。

AWS Managed Microsoft AD との信頼関係を作成するには

  1. を開くAWS Directory Service コンソール

  2. リポジトリの []ディレクトリ[] ページで、AWS Managed Microsoft AD ID を選択します。

  3. リポジトリの []ディレクトリの詳細ページで、次のいずれかを実行します。

    • 複数のリージョンがマルチリージョンレプリケーションをクリックし、プライマリリージョンを選択してから、ネットワーキング &[] タブ 詳細については、「プライマリと追加のリージョン」を参照してください。

    • [] に [] が表示されていない場合は、マルチリージョンレプリケーション] で、ネットワーキング &[] タブ

  4. [信頼関係] タブを選択したら、[アクション]、[信頼関係の追加] の順に選択します。

  5. [信頼関係の追加] ページで、信頼されたドメインの信頼タイプ、完全修飾ドメイン名 (FQDN)、信頼パスワード、信頼の方向など、必要な情報を入力します。

  6. (オプション) 許可されたユーザーのみに AWS が管理する Microsoft AD ディレクトリのリソースへのアクセスを許可するには、オプションで選択的認証] チェックボックスをオンにします。選択的な認証に関する全般的な情報については、Microsoft TechNet の「信頼のセキュリティ上の考慮事項」を参照してください。

  7. [Conditional forwarder] に、オンプレミス DNS サーバーの IP アドレスを入力します。以前に条件付きフォワーダを作成している場合は、DNS IP アドレスではなく、オンプレミスドメインの FQDN を入力できます。

  8. (オプション) [別の IP アドレスの追加] を選択し、追加のオンプレミス DNS サーバーの IP アドレスを入力します。このステップは、適用可能な DNS サーバーアドレスごとに、合計 4 つのアドレスに対して繰り返すことができます。

  9. [Add] を選択します。

  10. オンプレミスドメインの DNS サーバーまたはネットワークでパブリック (RFC 1918 ではない) IP アドレススペースを使用している場合は、[IP ルーティング] タブで、[アクション]、[ルートの追加] の順に選択します。CIDR 形式 (例: 203.0.113.0/24) を使用して、DNS サーバーまたはオンプレミスネットワークの IP アドレスブロックを入力します。このステップは、DNS サーバーとオンプレミスネットワークの両方が RFC 1918 IP アドレススペースを使用している場合は必要ありません。

    注記

    パブリック IP アドレススペースを使用している場合、AWS の IP アドレス範囲を使用しないようにしてください。これらの範囲は使用できません。

  11. (オプション) [ルートの追加] ページを表示している間に、[このディレクトリの VPC のセキュリティグループにルートを追加します] も選択することをお勧めします。これにより、上記の「VPC の設定」のセキュリティグループが設定されます。これらのセキュリティルールは、パブリックに公開されていない内部ネットワークインターフェイスに影響を及ぼします。このオプションを使用できない場合は、セキュリティグループをすでにカスタマイズしていることを示すメッセージが表示されます。

両方のドメインで信頼関係を設定する必要があります。この関係は補完的でなければなりません。たとえば、1 つのドメインで送信の信頼を作成する場合は、別のドメインで受信の信頼を作成する必要があります。

既存のドメインと信頼関係を確立する場合は、Windows Server 管理ツールを使用してそのドメインの信頼関係を設定します。

AWS マネージド Microsoft AD とさまざまな Active Directory ドメイン間に複数の信頼関係を作成できます。ただし、ペアごとに 1 つの信頼関係のみが同時に存在することができます。たとえば、「受信方向」に既存の一方向の信頼があり、「送信方向」の別の信頼関係を設定する場合は、既存の信頼関係を削除して新しい「双方向」の信頼を作成します。

送信の信頼関係を確認するには

  1. を開くAWS Directory Service コンソール

  2. リポジトリの []ディレクトリ[] ページで、AWS Managed Microsoft AD ID を選択します。

  3. リポジトリの []ディレクトリの詳細ページで、次のいずれかを実行します。

    • 複数のリージョンがマルチリージョンレプリケーションをクリックし、プライマリリージョンを選択してから、ネットワーキング &[] タブ 詳細については、「プライマリと追加のリージョン」を参照してください。

    • [] に [] が表示されていない場合は、マルチリージョンレプリケーション] で、ネットワーキング &[] タブ

  4. [信頼関係] セクションで検証する信頼を選択したら、[アクション]、[信頼関係の検証] の順に選択します。

このプロセスは、双方向の信頼の送信方向のみを検証します。AWS は、受信した信頼の検証をサポートしていません。オンプレミスの Active Directory との間で信頼関係を確認する方法の詳細については、Microsoft TechNet の「信頼の検証」を参照してください。

既存の信頼関係を削除するには

  1. を開くAWS Directory Service コンソール

  2. リポジトリの []ディレクトリ[] ページで、AWS Managed Microsoft AD ID を選択します。

  3. リポジトリの []ディレクトリの詳細ページで、次のいずれかを実行します。

    • 複数のリージョンがマルチリージョンレプリケーションをクリックし、プライマリリージョンを選択してから、ネットワークとセキュリティ[] タブ 詳細については、「プライマリと追加のリージョン」を参照してください。

    • [] に [] が表示されていない場合は、マルチリージョンレプリケーション] で、ネットワークとセキュリティ[] タブ

  4. [信頼関係] セクションで削除する信頼を選択したら、[アクション]、[信頼関係の削除] の順に選択します。

  5. [削除] を選択します。