信頼関係を作成する - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

信頼関係を作成する

間の一方向と双方向の外部およびフォレストの信頼関係を構成できます。AWSDirectory Service for Microsoft Active Directory とオンプレミスディレクトリ、および複数のディレクトリ間のAWSでManaged Microsoft AD ディレクトリAWSクラウド。AWS管理対象の Microsoft AD は、次の 3 つの信頼関係のすべての方向をサポートしています。受信、送信、2 方向 (双方向)。

注記

信頼関係を設定するときは、オンプレミスディレクトリがと互換性があることを確認する必要があります。AWS Directory Service。お客様の責任の詳細については、「 責任共有モデル 」を参照してください。

AWSManaged Microsoft AD は、外部およびフォレストの両方の信頼をサポートしています。フォレスト信頼の作成方法を示すシナリオの例を見るには、「チュートリアル: 間の信頼関係を作成します。AWSManaged Microsoft AD とオンプレミスドメインを管理」を参照してください。

双方向の信頼は以下のために必要ですAWSAmazon Chime、Amazon Connect、Amazon QuickSight、などのエンタープライズアプリAWS Single Sign-On、Amazon WorkDocs、Amazon WorkMail、Amazon WorkSpaces、AWSClient VPN、およびAWS Management Console。AWS管理対象の Microsoft AD は、自己管理 AD のユーザーとグループにクエリを実行できる必要があります。

Amazon EC2、Amazon RDS、および Amazon FSx は、一方向または双方向の信頼のいずれかで動作します。

Prerequisites

信頼性を作成するにはほんの数ステップが必要ですが、まず信頼性を設定する前にいくつかの前提条件のステップを完了する必要があります。

注記

AWSManaged Microsoft AD は、との信頼をサポートしていません単一ラベルドメイン

VPC に接続

オンプレミスディレクトリと信頼関係を確立する場合は、まずオンプレミスネットワークをなどの VPC に接続する必要があります。AWSManaged Microsoft AD。オンプレミスネットワークのファイアウォールでは、VPC 内の両方のサブネットの CIDR に対して次のポートが開いている必要があります。

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 認証

  • TCP/UDP 389 - LDAP

  • TCP 445 - SMB

    注記

    SMBv1 のサポートは終了しました。

これらは、ディレクトリに接続するために必要な最小限のポートです。固有の設定によっては、追加ポートが開かれていることが必要です。

VPC の設定

を含む VPCAWSManaged Microsoft AD には、適切な送信および受信のルールが設定されている必要があります。

VPC のアウトバウンドルールを設定するには

  1. AWS Directory Serviceconsoleで、ディレクトリの詳細ページ、AWSManaged Microsoft AD ディレクトリ ID。

  2. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  3. [Security Groups] を選択します。

  4. [] を検索するAWSManaged Microsoft AD ディレクトリ ID。検索結果で、の説明を持つ項目を選択しますAWSにセキュリティグループを作成しましたディレクトリ IDディレクトリコントローラ」。

    注記

    選択したセキュリティグループは、最初にディレクトリを作成するときに自動的に作成されるセキュリティグループです。

  5. そのセキュリティグループの [Outbound Rules] タブに移動します。[Edit]、[Add another rule] の順に選択します。新しいルールに対して、次の値を入力します。

    • Type: すべてのトラフィック

    • プロトコル: すべて

    • [Destination] は、ドメインコントローラーから発信されるトラフィックの送信先としてオンプレミスネットワーク内の場所を指定します。単一の IP アドレスまたは IP アドレス範囲を CIDR 表記で指定します (例: 203.0.113.5/32)。同じリージョン内の別のセキュリティグループの名前または ID を指定することもできます。詳細については、「ディレクトリのAWSセキュリティグループの設定を行い、」を参照してください。

  6. [Save] を選択します。

Kerberos 事前認証を有効にする

ユーザーアカウントの Kerberos 事前認証を有効にしておく必要があります。この設定の詳細については、Microsoft TechNet の「事前認証」を参照してください。

オンプレミスドメインで DNS 条件付きフォワーダーを構成します

オンプレミスドメインに DNS 条件付きフォワーダーを設定する必要があります。条件付きフォワーダーの詳細については、Microsoft TechNet の「ドメイン名の条件フォワーダーの割り当て」を参照してください。

以下のステップを実行するには、オンプレミスドメインで以下の Windows Server ツールにアクセスする必要があります。

  • AD DS および AD LDS ツール

  • DNS

条件付きフォワーダーをオンプレミスのドメインに設定するには

  1. まず、に関するいくつかの情報を取得する必要がありますAWSManaged Microsoft AD。にサインインします。AWS Management Consoleを開き、AWS Directory Serviceconsolehttps://console.aws.amazon.com/directoryservicev2/ で。

  2. ナビゲーションペインで [Directories] を選択します。

  3. のディレクトリ ID を選択します。AWSManaged Microsoft AD。

  4. 完全修飾ドメイン名 (FQDN) とディレクトリの DNS アドレスを書き留めます。

  5. オンプレミスのドメインコントローラーに戻ります。Server Manager を開きます。

  6. [Tools] メニューで、[DNS] を選択します。

  7. コンソールツリーで、信頼関係をセットアップするドメインの DNS サーバーを拡張します。

  8. コンソールツリーで、[Conditional Forwarders] を選択します。

  9. [Action] メニューで、[New conditional forwarder] を選択します。

  10. EclipseDNS ドメインで、の完全修飾ドメイン名 (FQDN) を入力します。AWS先ほどメモしたMicrosoft ADを管理しました。

  11. 選択マスターサーバーの IP アドレスで、の DNS アドレスを入力します。AWSManaged Microsoft AD ディレクトリ (前の手順で書き留めたもの)。

    DNS アドレスを入力すると、「タイムアウト」または「解決できません」というエラーが表示される場合があります。通常、このエラーは無視できます。

  12. Selectこの条件付きフォワーダを Active Directory に保存し、次のようにレプリケートします。このドメイン内のすべての DNS サーバー。[OK] を選択します。

信頼関係パスワード

既存のドメインと信頼関係を確立する場合は、Windows Server 管理ツールを使用してそのドメインの信頼関係を設定します。その際に、使用する信頼パスワードを書き留めます。で信頼関係を設定するときは、この同じパスワードを使用する必要があります。AWSManaged Microsoft AD。詳細については、Microsoft TechNet の「信頼の管理」を参照してください。

これで、で信頼関係を作成する準備が整いましたAWSManaged Microsoft AD。

信頼関係を作成、検証、または削除する

注記

信頼関係は、AWSManaged Microsoft AD。を使用している場合マルチリージョンレプリケーションでは、次の手順を実行する必要があります。プライマリ リージョン。変更は、レプリケートされたすべてのリージョンに自動的に適用されます。詳細については、「グローバル機能とリージョナル機能」を参照してください。

との信頼関係を作成するにはAWSManaged Microsoft AD

  1. AWS Directory Service コンソールを開きます。

  2. リポジトリの []ディレクトリ[] ページで [] を選択します。AWSManaged Microsoft AD ID。

  3. リポジトリの []ディレクトリの詳細[] ページで以下のいずれかの操作を行います。

    • 下に複数のリージョンが表示されている場合マルチリージョンレプリケーションで、プライマリリージョンを選択し、ネットワーキングとセキュリティタブ 詳細については、「プライマリリージョンと追加リージョン」を参照してください。

    • 下にリージョンがない場合はマルチリージョンレプリケーションで、ネットワーキングとセキュリティタブ

  4. [信頼関係] タブを選択したら、[アクション]、[信頼関係の追加] の順に選択します。

  5. [信頼関係の追加] ページで、信頼されたドメインの信頼タイプ、完全修飾ドメイン名 (FQDN)、信頼パスワード、信頼の方向など、必要な情報を入力します。

  6. (オプション) 許可されたユーザーのみにリソースへのアクセスを許可するにはAWS管理対象の Microsoft AD ディレクトリ。オプションで選択的認証] チェックボックスをオンにします。選択的な認証に関する全般的な情報については、Microsoft TechNet の「信頼のセキュリティ上の考慮事項」を参照してください。

  7. [Conditional forwarder] に、オンプレミス DNS サーバーの IP アドレスを入力します。以前に条件付きフォワーダを作成している場合は、DNS IP アドレスではなく、オンプレミスドメインの FQDN を入力できます。

  8. (オプション) [別の IP アドレスの追加] を選択し、追加のオンプレミス DNS サーバーの IP アドレスを入力します。このステップは、適用可能な DNS サーバーアドレスごとに、合計 4 つのアドレスに対して繰り返すことができます。

  9. [Add] (追加) をクリックします。

  10. オンプレミスドメインの DNS サーバーまたはネットワークでパブリック (RFC 1918 ではない) IP アドレススペースを使用している場合は、[IP ルーティング] タブで、[アクション]、[ルートの追加] の順に選択します。CIDR 形式 (例: 203.0.113.0/24) を使用して、DNS サーバーまたはオンプレミスネットワークの IP アドレスブロックを入力します。このステップは、DNS サーバーとオンプレミスネットワークの両方が RFC 1918 IP アドレススペースを使用している場合は必要ありません。

    注記

    パブリック IP アドレススペースを使用する場合は、いずれの [] を使用しないようにしてください。AWSIP アドレスの範囲これらは使用できないためです。

  11. (オプション) [ルートの追加] ページを表示している間に、[このディレクトリの VPC のセキュリティグループにルートを追加します] も選択することをお勧めします。これにより、上記の「VPC の設定」のセキュリティグループが設定されます。これらのセキュリティルールは、パブリックに公開されていない内部ネットワークインターフェイスに影響を及ぼします。このオプションを使用できない場合は、セキュリティグループをすでにカスタマイズしていることを示すメッセージが表示されます。

両方のドメインで信頼関係を設定する必要があります。この関係は補完的でなければなりません。たとえば、1 つのドメインで送信の信頼を作成する場合は、別のドメインで受信の信頼を作成する必要があります。

既存のドメインと信頼関係を確立する場合は、Windows Server 管理ツールを使用してそのドメインの信頼関係を設定します。

間に、複数の信頼関係を作成できます。AWSMicrosoft AD およびさまざまな Active Directory ドメインを管理しました。ただし、ペアごとに 1 つの信頼関係のみが同時に存在することができます。たとえば、「受信方向」に既存の一方向の信頼があり、「送信方向」の別の信頼関係を設定する場合は、既存の信頼関係を削除して新しい「双方向」の信頼を作成します。

送信の信頼関係を確認するには

  1. AWS Directory Service コンソールを開きます。

  2. リポジトリの []ディレクトリ[] ページで [] を選択します。AWSManaged Microsoft AD ID。

  3. リポジトリの []ディレクトリの詳細[] ページで以下のいずれかの操作を行います。

    • 下に複数のリージョンが表示されている場合マルチリージョンレプリケーションで、プライマリリージョンを選択し、ネットワーキングとセキュリティタブ 詳細については、「プライマリリージョンと追加リージョン」を参照してください。

    • 下にリージョンがない場合はマルチリージョンレプリケーションで、ネットワーキングとセキュリティタブ

  4. [信頼関係] セクションで検証する信頼を選択したら、[アクション]、[信頼関係の検証] の順に選択します。

このプロセスは、双方向の信頼の送信方向のみを検証します。AWSは、受信した信頼の検証をサポートしていません。オンプレミスの Active Directory との間で信頼関係を確認する方法の詳細については、Microsoft TechNet の「信頼の検証」を参照してください。

既存の信頼関係を削除するには

  1. AWS Directory Service コンソールを開きます。

  2. リポジトリの []ディレクトリ[] ページで [] を選択します。AWSManaged Microsoft AD ID。

  3. リポジトリの []ディレクトリの詳細[] ページで以下のいずれかの操作を行います。

    • 下に複数のリージョンが表示されている場合マルチリージョンレプリケーションで、プライマリリージョンを選択し、ネットワーキングとセキュリティタブ 詳細については、「プライマリリージョンと追加リージョン」を参照してください。

    • 下にリージョンがない場合はマルチリージョンレプリケーションで、ネットワーキングとセキュリティタブ

  4. [信頼関係] セクションで削除する信頼を選択したら、[アクション]、[信頼関係の削除] の順に選択します。

  5. [削除] を選択します。