ステップ 1: AWS Managed Microsoft AD を準備する - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 1: AWS Managed Microsoft AD を準備する

このセクションでは、管理対象の Microsoft AD AWS AWS が別の管理対象 Microsoft AD との信頼関係に対応できるように準備します。以下のステップの多くは、チュートリアル: AWS Managed Microsoft AD と自己管理型 Active Directory ドメイン間で信頼関係を作成する で実行したものとほぼ同じです。ただし、今回は、 AWS 管理対象の Microsoft AD 環境が相互に連携するように構成しています。

VPC サブネットとセキュリティグループを設定する

管理対象の Microsoft AD AWS AWS ネットワークから他の管理対象 Microsoft AD を含む VPC へのトラフィックを許可する必要があります。そのためには、 AWS Managed Microsoft AD のデプロイに使用されるサブネットに関連付けられた ACL と、ドメインコントローラに設定されているセキュリティグループルールの両方が、信頼をサポートするために必要なトラフィックを許可していることを確認する必要があります。

ポート要件は、ドメインコントローラーが使用する Windows Server のバージョン、および、信頼を利用するサービスやアプリケーションの種類によって変化します。このチュートリアルでは、次のポートを開く必要があります。

インバウンド

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 認証

  • UDP 123 – NTP

  • TCP 135 – RPC

  • TCP/UDP 389 - LDAP

  • TCP/UDP 445 – SMB

    注記

    SMBv1 のサポートは終了しました。

  • TCP/UDP 464 – Kerberos 認証

  • TCP 636 – LDAPS (TLS/SSL 経由の LDAP)

  • TCP 3268-3269 – グローバルカタログ

  • TCP/UDP 1024-65535 – RPC 用のエフェメラルポート

アウトバウンド

  • すべて

注記

これらは、両方の AWS Managed Microsoft AD から VPC に接続できるようにするために最低限必要となるポートです。固有の設定によっては、追加ポートが開かれていることが必要です。詳細については、Microsoft ウェブサイトの「How to configure a firewall for Active Directory domains and trusts」(Active Directory ドメインと信頼用にファイアウォールを設定する方法) を参照してください。

AWS 管理対象の Microsoft AD ドメインコントローラーのアウトバウンドルールを設定するには
注記

それぞれのディレクトリに対して、以下の 1~6 のステップを繰り返します。

  1. AWS Directory Service コンソールに移動します。ディレクトリのリストで、 AWS 管理対象の Microsoft AD ディレクトリのディレクトリ ID を書き留めます。

  2. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  3. ナビゲーションペインで、セキュリティグループ] を選択します。

  4. 検索ボックスを使用して、 AWS 管理対象の Microsoft AD ディレクトリ ID を検索します。検索結果で、AWS created security group for yourdirectoryID directory controllers の説明を持つ項目を選択します。

    [Amazon VPC コンソール] では、ディレクトリコントローラーのセキュリティグループの検索結果が強調表示されます。
  5. 対象のセキュリティグループの [Outbound Rules] (アウトバウンドルール) タブを開きます。[Edit] (編集)、[Add another rule] (別のルールの追加) の順に選択します。新しいルールに、次の値を入力します。

    • [Type] (タイプ): ALL Traffic

    • [Protocol] (プロトコル): ALL

    • [Destination] (送信先) では、ドメインコントローラーから発信されるトラフィックと、その送信先を指定します。単一の IP アドレスまたは IP アドレス範囲を CIDR 表記で指定します (例: 203.0.113.5/32)。同じリージョン内にある別のセキュリティグループの、名前または ID を指定することもできます。詳細については、「AWS ディレクトリのセキュリティグループの設定と使用方法を理解してください。」を参照してください。

  6. [Save] (保存) をクリックします。

    [Amazon VPC コンソール] で、ディレクトリコントローラーのセキュリティグループのアウトバウンドルールを編集します。

Kerberos の事前認証が有効化されていることを確認する

次に、 AWS 管理対象の Microsoft AD のユーザーでも Kerberos 事前認証が有効になっていることを確認する必要があります。これは、オンプレミスディレクトリで実施したものと同じプロセスです。これはデフォルト設定ですが、何も変更されていないことを確認します。

ユーザーの Kerberos 設定を表示するには
  1. ドメインのまたはドメイン内のユーザーを管理する権限が委任されたアカウントを使用して、 AWS Managed Microsoft AD ディレクトリのメンバーであるインスタンスにログインします。管理者アカウントのアクセス権限

  2. まだインストールされていない場合は、Active Directory ユーザーと、コンピュータツール、および DNS ツールをインストールします。これらのツールをインストールする方法については、「管理対象の Microsoft AD AWS 用アクティブディレクトリ管理ツールのインストール」を参照してください。

  3. サーバーマネージャーを開きます。[Tools] (ツール) メニューで、[Active Directory Users and Computers] (Active Directory ユーザーとコンピュータ) を選択します。

  4. 使用しているドメイン内の、[Users] フォルダを選択します。これは、NetBIOS 名を使用する [Users] フォルダであり、完全修飾ドメイン名 (FQDN) の [Users] フォルダではないことに注意してください。

    「Active Directoryユーザーとコンピュータ」ダイアログボックスでは、「ユーザ」フォルダが強調表示されます。
  5. ユーザーのリストで、ユーザーを右クリックし、[Properties] (プロパティ) を選択します。

  6. [Account] (アカウント) タブを開きます。[Account options] (アカウントオプション) リストで、[Do not require Kerberos preauthentication] (Kerberos 事前認証は不要) がオンになっていないことを確認します。

次のステップ

ステップ 2: 別の AWS Managed Microsoft AD ドメインとの信頼関係を作成する