ステップ 2: AWS Managed Microsoft AD を準備する - AWS Directory Service

ステップ 2: AWS Managed Microsoft AD を準備する

それでは、AWS Managed Microsoft AD で信頼関係のための準備を行いましょう。以下の手順の多くは、セルフマネージドドメインで行ったものとほぼ同じです。ただし、ここでは AWS Managed Microsoft AD を使用して作業します。

VPC サブネットとセキュリティグループを設定する

セルフマネージドネットワークから AWS Managed Microsoft AD を含む VPC へのトラフィックを許可する必要があります。これを行うには、AWS Managed Microsoft AD のデプロイに使用されたサブネットと関連付けられた ACL と、ドメインコントローラーで設定されたセキュリティグループの両方で、信頼をサポートするために必要なトラフィックが許可されている必要があります。

ポート要件は、ドメインコントローラーが使用する Windows Server のバージョン、および、信頼を利用するサービスやアプリケーションの種類によって変化します。このチュートリアルでは、次のポートを開く必要があります。

インバウンド

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 認証

  • UDP 123 – NTP

  • TCP 135 – RPC

  • TCP/UDP 389 - LDAP

  • TCP/UDP 445 – SMB

    注記

    SMBv1 のサポートは終了しました。

  • TCP/UDP 464 – Kerberos 認証

  • TCP 636 – LDAPS (TLS/SSL 経由の LDAP)

  • TCP 3268-3269 – グローバルカタログ

  • TCP/UDP 49152-65535 – RPC 用のエフェメラルポート

アウトバウンド

  • すべて

注記

これらは、VPC とセルフマネージドディレクトリを接続するために最低限と必要なるポートです。固有の設定によっては、追加ポートが開かれていることが必要です。

AWS Managed Microsoft AD ドメインコントローラーでアウトバウンドとインバウンドのルールを設定するには
  1. AWS Directory Service コンソール に戻ります。ディレクトリのリストで、使用している AWS Managed Microsoft AD ディレクトリのディレクトリ ID をメモしておきます。

  2. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  3. ナビゲーションペインで、[Security Groups] (セキュリティグループ) をクリックします。

  4. 検索ボックスを使用して、自分の AWS Managed Microsoft AD ディレクトリ ID を検索します。検索結果の中から、説明に「AWS created security group for <yourdirectoryID> directory controllers」(AWS が <yourdirectoryID> のディレクトリコントローラーのセキュリティグループを作成しました) と表示されている項目を選択します。

    
                                    セキュリティグループを検索する
  5. 対象のセキュリティグループの [Outbound Rules] (アウトバウンドルール) タブを開きます。[Edit] (編集)、[Add another rule] (別のルールの追加) の順にクリックします。新しいルールに、次の値を入力します。

    • [Type] (タイプ): ALL Traffic

    • [Protocol] (プロトコル): ALL

    • [Destination] (送信先) では、ドメインコントローラーから発信されるトラフィックと、その送信先を指定します。単一の IP アドレスまたは IP アドレス範囲を CIDR 表記で指定します (例: 203.0.113.5/32)。同じリージョン内にある別のセキュリティグループの、名前または ID を指定することもできます。詳細については、「ディレクトリの AWS セキュリティグループの設定と使用について理解する」を参照してください。

  6. [Save] (保存) をクリックします。

    
                                    セキュリティグループを編集する

Kerberos の事前認証が有効化されていることを確認する

ここで、AWS Managed Microsoft AD のユーザーに対し Kerberos の事前認証が有効化されていることも、確認する必要があります。これは、セルフマネージドディレクトリで実施したものと同じプロセスです。これはデフォルト設定ですが、何も変更されていないことを確認します。

ユーザーの Kerberos 設定を表示するには
  1. ドメインの 管理者アカウント、またはドメインのユーザーを管理する権限が委任されたアカウントを使用して、AWS Managed Microsoft AD ディレクトリのメンバーであるインスタンスにログインします。

  2. まだインストールされていない場合は、Active Directory ユーザーと、コンピュータツール、および DNS ツールをインストールします。これらのツールをインストールする方法については、「Active Directory 管理ツールのインストール」を参照してください。

  3. サーバーマネージャーを開きます。[Tools] (ツール) メニューで、[Active Directory Users and Computers] (Active Directory ユーザーとコンピュータ) を選択します。

  4. 使用しているドメイン内の、[Users] フォルダを選択します。これは、NetBIOS 名を使用する [Users] フォルダであり、完全修飾ドメイン名 (FQDN) の [Users] フォルダではないことに注意してください。

    
                                        ユーザーフォルダを訂正する
  5. ユーザーのリストで、ユーザーを右クリックし、[Properties] (プロパティ) を選択します。

  6. [Account] (アカウント) タブを開きます。[Account options] (アカウントオプション) リストで、[Do not require Kerberos preauthentication] (Kerberos 事前認証は不要) がオンになっていないことを確認します。

次のステップ

ステップ 3: 信頼関係を作成する