ステップ 2: を準備するAWSManaged Microsoft AD - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 2: を準備するAWSManaged Microsoft AD

さあ、あなたの手に入れようAWSManaged Microsoft AD は、信頼関係を準備する準備ができました。次の手順の多くは、オンプレミスドメインに完了した手順とほとんど同じです。ただし、今回はAWSManaged Microsoft AD。

VPC サブネットとセキュリティグループを設定する

オンプレミスネットワークからを含む VPC へのトラフィックを許可する必要があります。AWSManaged Microsoft AD。これを行うには、サブネットに関連付けられた ACL が、のデプロイに使用されていることを確認する必要があります。AWS管理された Microsoft AD と、ドメインコントローラーで設定したセキュリティグループルールでは、この両方で信頼をサポートするために必要なトラフィックが許可されます。

ポート要件は、ドメインコントローラーが使用する Windows Server のバージョンおよび信頼を活用するサービスやアプリケーションによって異なります。このチュートリアルでは、次のポートを開く必要があります。

インバウンド

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 認証

  • UDP 123 - NTP

  • TCP 135 - RPC

  • TCP/UDP 389 - LDAP

  • TCP/UDP 445 - SMB

    注記

    SMBv1 のサポートは終了しました。

  • TCP/UDP 464 - Kerberos 認証

  • TCP 636 - LDAPS (LDAP over TLS/SSL)

  • TCP 3268-3269 - グローバルカタログ

  • TCP/UDP 49152-65535-RPC 用の一時ポート

アウトバウンド

  • ALL

注記

これらは、VPC とオンプレミスディレクトリを接続するために最低限必要なポートです。固有の設定によっては、追加ポートが開かれていることが必要です。

を設定するにはAWS管理された Microsoft AD ドメインコントローラーの送信および受信ルール

  1. AWS Directory Service コンソール に戻ります。ディレクトリのリストで、のディレクトリ ID をメモしておきます。AWSManaged Microsoft AD ディレクトリ。

  2. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  3. ナビゲーションペインで、[Security Groups] を選択します。

  4. 検索ボックスを使用して、AWSManaged Microsoft AD ディレクトリ ID。検索結果で、の説明を持つ項目を選択します。AWS<yourdirectoryID>ディレクトリコントローラのセキュリティグループを作成

    
                                    セキュリティグループの検索
  5. そのセキュリティグループの [Outbound Rules] タブに移動します。[Edit]、[Add another rule] の順に選択します。新しいルールに対して、次の値を入力します。

    • Type: すべてのトラフィック

    • プロトコル: ALL

    • [Destination] は、ドメインコントローラーから発信されるトラフィックの送信先を指定します。単一の IP アドレスまたは IP アドレス範囲を CIDR 表記で指定します (例: 203.0.113.5/32)。同じリージョン内の別のセキュリティグループの名前または ID を指定することもできます。詳細については、「ディレクトリのAWSセキュリティグループの設定を行い、」を参照してください。

  6. [Save] を選択します。

    
                                    セキュリティグループの編集

Kerberos 事前認証が有効になっていることを確認します

[] で、[] のユーザを確認する必要があります。AWS管理対象の Microsoft AD では、Kerberos 事前認証も有効になっています。これは、オンプレミスディレクトリで完了したのと同じプロセスです。これはデフォルト設定ですが、何も変更されていないことを確認します。

ユーザー kerberos 設定を表示するには

  1. のメンバーであるインスタンスにログインします。AWSのいずれかを使用して、Managed Microsoft AD ディレクトリは管理者アカウントドメインまたはドメインのユーザーを管理するアクセス許可が委任されたアカウントの場合。

  2. まだインストールされていない場合は、Active Directory ユーザーとコンピュータツールおよび DNS ツールをインストールします。「Active Directory 管理ツールのインストール」で、これらのツールをインストールする方法について説明し ます。

  3. Server Manager を開きます。[ツール] メニューで、[Active Directory ユーザーとコンピュータ] を選択します。

  4. ドメイン内の [Users] フォルダを選択します。これは、NetBIOS 名の [Users] フォルダであり、完全修飾ドメイン名 (FQDN) の [Users] フォルダではないことに注意してください。

    
                                        正しいユーザーフォルダ
  5. ユーザーのリストで、ユーザーを右クリックし、[Properties (プロパティ)] を選択します。

  6. [Account] タブを選択します。[Account options] リストで、[Do not require Kerberos preauthentication] がオンになっていないことを確認します。

次のステップ

ステップ 3: 信頼関係の作成