ステップ 1: AWS Managed Microsoft AD を準備する - AWS Directory Service
VPC サブネットとセキュリティグループを設定するKerberos の事前認証が有効化されていることを確認する

ステップ 1: AWS Managed Microsoft AD を準備する

このセクションでは、AWS Managed Microsoft AD で、別の AWS Managed Microsoft AD との信頼関係を使用するための準備を行います。以下のステップの多くは、チュートリアル: AWS Managed Microsoft AD とセルフマネージド Active Directory ドメイン間で信頼関係を作成する で実行したものとほぼ同じです。ただし今回は、AWS Microsoft AD 環境が相互に連携するように設定します。

VPC サブネットとセキュリティグループを設定する

ここでは、1 つの AWS Managed Microsoft AD ネットワークから、他の AWS Managed Microsoft AD を含む VPC へのトラフィックを許可する必要があります。これを行うには、AWS Managed Microsoft AD のデプロイに使用されたサブネットと関連付けられた ACL と、ドメインコントローラーで設定されたセキュリティグループの両方で、信頼をサポートするために必要なトラフィックが許可されている必要があります。

ポート要件は、ドメインコントローラーが使用する Windows Server のバージョン、および、信頼を利用するサービスやアプリケーションの種類によって変化します。このチュートリアルでは、次のポートを開く必要があります。

インバウンド

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 認証

  • UDP 123 – NTP

  • TCP 135 – RPC

  • TCP/UDP 389 - LDAP

  • TCP/UDP 445 – SMB

    注記

    SMBv1 のサポートは終了しました。

  • TCP/UDP 464 – Kerberos 認証

  • TCP 636 – LDAPS (TLS/SSL 経由の LDAP)

  • TCP 3268-3269 – グローバルカタログ

  • TCP/UDP 1024-65535 – RPC 用のエフェメラルポート

アウトバウンド

  • すべて

注記

これらは、両方の AWS Managed Microsoft AD から VPC に接続できるようにするために最低限必要となるポートです。固有の設定によっては、追加ポートが開かれていることが必要です。詳細については、Microsoft ウェブサイトの「How to configure a firewall for Active Directory domains and trusts」(Active Directory ドメインと信頼用にファイアウォールを設定する方法) を参照してください。

AWS Managed Microsoft AD ドメインコントローラーのアウトバウンドルールを設定するには
注記

それぞれのディレクトリに対して、以下の 1~6 のステップを繰り返します。

  1. AWS Directory Service コンソールに移動します。ディレクトリのリストで、使用している AWS Managed Microsoft AD ディレクトリのディレクトリ ID をメモしておきます。

  2. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  3. ナビゲーションペインで、[Security Groups] (セキュリティグループ) をクリックします。

  4. 検索ボックスを使用して、自分の AWS Managed Microsoft AD ディレクトリ ID を検索します。検索結果の中から、説明に「AWS created security group for <yourdirectoryID> directory controllers」(AWS が <yourdirectoryID> のディレクトリコントローラーのセキュリティグループを作成しました) と表示されている項目を選択します。

    セキュリティグループを検索する

  5. 対象のセキュリティグループの [Outbound Rules] (アウトバウンドルール) タブを開きます。[Edit] (編集)、[Add another rule] (別のルールの追加) の順にクリックします。新しいルールに、次の値を入力します。

    • [Type] (タイプ): ALL Traffic

    • [Protocol] (プロトコル): ALL

    • [Destination] (送信先) では、ドメインコントローラーから発信されるトラフィックと、その送信先を指定します。単一の IP アドレスまたは IP アドレス範囲を CIDR 表記で指定します (例: 203.0.113.5/32)。同じリージョン内にある別のセキュリティグループの、名前または ID を指定することもできます。詳細については、「ディレクトリの AWS セキュリティグループの設定と使用について理解する」を参照してください。

  6. [Save] (保存) をクリックします。

    セキュリティグループを編集する

Kerberos の事前認証が有効化されていることを確認する

ここで、AWS Managed Microsoft AD のユーザーに対し Kerberos の事前認証が有効化されていることも、確認する必要があります。これは、オンプレミスディレクトリで実施したものと同じプロセスです。これはデフォルト設定ですが、何も変更されていないことを確認します。

ユーザーの Kerberos 設定を表示するには

  1. ドメインの 管理者アカウント、またはドメインのユーザーを管理する権限が委任されたアカウントを使用して、AWS Managed Microsoft AD ディレクトリのメンバーであるインスタンスにログインします。

  2. まだインストールされていない場合は、Active Directory ユーザーと、コンピュータツール、および DNS ツールをインストールします。これらのツールをインストールする方法については、「Active Directory 管理ツールのインストール」を参照してください。

  3. サーバーマネージャーを開きます。[Tools] (ツール) メニューで、[Active Directory Users and Computers] (Active Directory ユーザーとコンピュータ) を選択します。

  4. 使用しているドメイン内の、[Users] フォルダを選択します。これは、NetBIOS 名を使用する [Users] フォルダであり、完全修飾ドメイン名 (FQDN) の [Users] フォルダではないことに注意してください。

    ユーザーフォルダを訂正する

  5. ユーザーのリストで、ユーザーを右クリックし、[Properties] (プロパティ) を選択します。

  6. [Account] (アカウント) タブを開きます。[Account options] (アカウントオプション) リストで、[Do not require Kerberos preauthentication] (Kerberos 事前認証は不要) がオンになっていないことを確認します。

次のステップ

ステップ 2: 別の AWS Managed Microsoft AD ドメインとの信頼関係を作成する