ステップ 2: AWS Managed Microsoft AD を準備する - AWS Directory Service
VPC サブネットとセキュリティグループを設定するKerberos の事前認証が有効化されていることを確認する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 2: AWS Managed Microsoft AD を準備する

それでは、AWS Managed Microsoft AD で信頼関係のための準備を行いましょう。以下の手順の多くは、自己管理型ドドメインで行ったものとほぼ同じです。ただし、ここでは AWS Managed Microsoft AD を使用して作業します。

VPC サブネットとセキュリティグループを設定する

自己管理型ネットワークから AWS Managed Microsoft AD を含む VPC へのトラフィックを許可する必要があります。これを行うには、AWS Managed Microsoft AD のデプロイに使用されたサブネットと関連付けられた ACL と、ドメインコントローラーで設定されたセキュリティグループの両方で、信頼をサポートするために必要なトラフィックが許可されている必要があります。

ポート要件は、ドメインコントローラーが使用する Windows Server のバージョン、および、信頼を利用するサービスやアプリケーションの種類によって変化します。このチュートリアルでは、次のポートを開く必要があります。

インバウンド

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 認証

  • UDP 123 – NTP

  • TCP 135 – RPC

  • TCP/UDP 389 - LDAP

  • TCP/UDP 445 – SMB

  • TCP/UDP 464 – Kerberos 認証

  • TCP 636 – LDAPS (TLS/SSL 経由の LDAP)

  • TCP 3268-3269 – グローバルカタログ

  • TCP/UDP 49152-65535 – RPC 用のエフェメラルポート

注記

SMBv1 のサポートは終了しました。

アウトバウンド

  • すべて

注記

これらは、VPC と自己管理型ディレクトリを接続するために最低限と必要なるポートです。固有の設定によっては、追加ポートが開かれていることが必要です。

AWS Managed Microsoft AD ドメインコントローラーでアウトバウンドとインバウンドのルールを設定するには

  1. AWS Directory Service コンソール に戻ります。ディレクトリのリストで、使用している AWS Managed Microsoft AD ディレクトリのディレクトリ ID をメモしておきます。

  2. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  3. ナビゲーションペインで、[Security Groups] (セキュリティグループ) をクリックします。

  4. 検索ボックスを使用して、自分の AWS Managed Microsoft AD ディレクトリ ID を検索します。検索結果で、AWS created security group for yourdirectoryID directory controllers セキュリティグループの説明に該当する項目を選択します。

    [Amazon VPC コンソール] では、ディレクトリコントローラーのセキュリティグループの検索結果が強調表示されます。

  5. 対象のセキュリティグループの [Outbound Rules] (アウトバウンドルール) タブを開きます。[Edit outbound rules]、[Add rule] の順に選択します。新しいルールに、次の値を入力します。

    • [Type] (タイプ): ALL Traffic

    • [Protocol] (プロトコル): ALL

    • [Destination] (送信先) では、ドメインコントローラーから発信されるトラフィックと、その送信先を指定します。単一の IP アドレスまたは IP アドレス範囲を CIDR 表記で指定します (例: 203.0.113.5/32)。同じリージョン内にある別のセキュリティグループの、名前または ID を指定することもできます。詳細については、「AWS ディレクトリのセキュリティグループの設定と使用方法を理解してください。」を参照してください。

  6. [Save Rule] をクリックします。

    [Amazon VPC コンソール] で、ディレクトリコントローラーのセキュリティグループのアウトバウンドルールを編集します。

Kerberos の事前認証が有効化されていることを確認する

ここで、AWS Managed Microsoft AD のユーザーに対し Kerberos の事前認証が有効化されていることも、確認する必要があります。これは、自己管理型ディレクトリで実施したものと同じプロセスです。これはデフォルト設定ですが、何も変更されていないことを確認します。

ユーザーの Kerberos 設定を表示するには

  1. ドメインの 管理者アカウントのアクセス権限、またはドメインのユーザーを管理する権限が委任されたアカウントを使用して、AWS Managed Microsoft AD ディレクトリのメンバーであるインスタンスにログインします。

  2. まだインストールされていない場合は、Active Directory ユーザーと、コンピュータツール、および DNS ツールをインストールします。これらのツールをインストールする方法については、「管理対象の Microsoft AD AWS 用アクティブディレクトリ管理ツールのインストール」を参照してください。

  3. サーバーマネージャーを開きます。[Tools] (ツール) メニューで、[Active Directory Users and Computers] (Active Directory ユーザーとコンピュータ) を選択します。

  4. 使用しているドメイン内の、[Users] フォルダを選択します。これは、NetBIOS 名を使用する [Users] フォルダであり、完全修飾ドメイン名 (FQDN) の [Users] フォルダではないことに注意してください。

    [Active Directory] ユーザーとコンピューターダイアログボックスでは、Users フォルダーが強調表示されます。

  5. ユーザーのリストで、ユーザーを右クリックし、[Properties] (プロパティ) を選択します。

  6. [Account] (アカウント) タブを開きます。[Account options] (アカウントオプション) リストで、[Do not require Kerberos preauthentication] (Kerberos 事前認証は不要) がオンになっていないことを確認します。

次のステップ

ステップ 3: 信頼関係を作成する