ステップ 2: AWS Managed Microsoft AD を準備する - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 2: AWS Managed Microsoft AD を準備する

それでは、 AWS 管理対象の Microsoft AD を信頼関係に備えましょう。以下の手順の多くは、自己管理型ドドメインで行ったものとほぼ同じです。ただし、今回は、 AWS 管理対象の Microsoft AD を使用して作業しています。

VPC サブネットとセキュリティグループを設定する

自己管理型ネットワークから管理対象の Microsoft AD を含む VPC へのトラフィックを許可する必要があります。 AWS そのためには、 AWS Managed Microsoft AD のデプロイに使用されるサブネットに関連付けられた ACL と、ドメインコントローラに設定されているセキュリティグループルールの両方が、信頼をサポートするために必要なトラフィックを許可していることを確認する必要があります。

ポート要件は、ドメインコントローラーが使用する Windows Server のバージョン、および、信頼を利用するサービスやアプリケーションの種類によって変化します。このチュートリアルでは、次のポートを開く必要があります。

インバウンド

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 認証

  • UDP 123 – NTP

  • TCP 135 – RPC

  • TCP/UDP 389 - LDAP

  • TCP/UDP 445 – SMB

  • TCP/UDP 464 – Kerberos 認証

  • TCP 636 – LDAPS (TLS/SSL 経由の LDAP)

  • TCP 3268-3269 – グローバルカタログ

  • TCP/UDP 49152-65535 – RPC 用のエフェメラルポート

注記

SMBv1 のサポートは終了しました。

アウトバウンド

  • すべて

注記

これらは、VPC と自己管理型ディレクトリを接続するために最低限と必要なるポートです。固有の設定によっては、追加ポートが開かれていることが必要です。

AWS 管理対象の Microsoft AD ドメインコントローラーのアウトバウンドルールとインバウンドルールを設定するには
  1. AWS Directory Service コンソール に戻ります。ディレクトリのリストで、 AWS 管理対象の Microsoft AD ディレクトリのディレクトリ ID を書き留めます。

  2. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  3. ナビゲーションペインで、セキュリティグループ] を選択します。

  4. 検索ボックスを使用して、 AWS 管理対象の Microsoft AD ディレクトリ ID を検索します。検索結果で、AWS created security group for yourdirectoryID directory controllers セキュリティグループの説明に該当する項目を選択します。

    [Amazon VPC コンソール] では、ディレクトリコントローラーのセキュリティグループの検索結果が強調表示されます。
  5. 対象のセキュリティグループの [Outbound Rules] (アウトバウンドルール) タブを開きます。[Edit outbound rules]、[Add rule] の順に選択します。新しいルールに、次の値を入力します。

    • [Type] (タイプ): ALL Traffic

    • [Protocol] (プロトコル): ALL

    • [Destination] (送信先) では、ドメインコントローラーから発信されるトラフィックと、その送信先を指定します。単一の IP アドレスまたは IP アドレス範囲を CIDR 表記で指定します (例: 203.0.113.5/32)。同じリージョン内にある別のセキュリティグループの、名前または ID を指定することもできます。詳細については、「AWS ディレクトリのセキュリティグループの設定と使用方法を理解してください。」を参照してください。

  6. [Save Rule] をクリックします。

    [Amazon VPC コンソール] で、ディレクトリコントローラーのセキュリティグループのアウトバウンドルールを編集します。

Kerberos の事前認証が有効化されていることを確認する

次に、 AWS 管理対象の Microsoft AD のユーザーでも Kerberos 事前認証が有効になっていることを確認する必要があります。これは、自己管理型ディレクトリで実施したものと同じプロセスです。これはデフォルト設定ですが、何も変更されていないことを確認します。

ユーザーの Kerberos 設定を表示するには
  1. ドメインのまたはドメイン内のユーザーを管理する権限が委任されたアカウントを使用して、 AWS Managed Microsoft AD ディレクトリのメンバーであるインスタンスにログインします。管理者アカウントのアクセス権限

  2. まだインストールされていない場合は、Active Directory ユーザーと、コンピュータツール、および DNS ツールをインストールします。これらのツールをインストールする方法については、「管理対象の Microsoft AD AWS 用アクティブディレクトリ管理ツールのインストール」を参照してください。

  3. サーバーマネージャーを開きます。[Tools] (ツール) メニューで、[Active Directory Users and Computers] (Active Directory ユーザーとコンピュータ) を選択します。

  4. 使用しているドメイン内の、[Users] フォルダを選択します。これは、NetBIOS 名を使用する [Users] フォルダであり、完全修飾ドメイン名 (FQDN) の [Users] フォルダではないことに注意してください。

    「Active Directoryユーザーとコンピュータ」ダイアログボックスでは、「ユーザ」フォルダが強調表示されます。
  5. ユーザーのリストで、ユーザーを右クリックし、[Properties] (プロパティ) を選択します。

  6. [Account] (アカウント) タブを開きます。[Account options] (アカウントオプション) リストで、[Do not require Kerberos preauthentication] (Kerberos 事前認証は不要) がオンになっていないことを確認します。

次のステップ

ステップ 3: 信頼関係を作成する