ステップ 1: AWS Managed Microsoft AD を準備する - AWS Directory Service
VPC サブネットとセキュリティグループを設定するKerberos の事前認証が有効化されていることを確認する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 1: AWS Managed Microsoft AD を準備する

このセクションでは、 AWS Managed Microsoft AD を別の AWS Managed Microsoft AD との信頼関係に備えます。以下のステップの多くは、チュートリアル: AWS Managed Microsoft AD と自己管理型 Active Directory ドメイン間で信頼関係を作成する で実行したものとほぼ同じです。ただし、今回は、相互に連携するように AWS Managed Microsoft AD 環境を設定します。

VPC サブネットとセキュリティグループを設定する

1 つの AWS Managed Microsoft AD ネットワークから、他の AWS Managed Microsoft AD を含む VPC へのトラフィックを許可する必要があります。これを行うには、 AWS Managed Microsoft AD のデプロイに使用されるサブネットに関連付けられた ACLs とドメインコントローラーに設定されたセキュリティグループルールの両方が、信頼をサポートするために必要なトラフィックを許可していることを確認する必要があります。

ポート要件は、ドメインコントローラーが使用する Windows Server のバージョン、および、信頼を利用するサービスやアプリケーションの種類によって変化します。このチュートリアルでは、次のポートを開く必要があります。

インバウンド

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 認証

  • UDP 123 – NTP

  • TCP 135 – RPC

  • TCP/UDP 389 - LDAP

  • TCP/UDP 445 – SMB

    注記

    SMBv1 のサポートは終了しました。

  • TCP/UDP 464 – Kerberos 認証

  • TCP 636 – LDAPS (TLS/SSL 経由の LDAP)

  • TCP 3268-3269 – グローバルカタログ

  • TCP/UDP 1024-65535 – RPC 用のエフェメラルポート

アウトバウンド

  • すべて

注記

これらは、両方の AWS Managed Microsoft AD から VPC に接続できるようにするために最低限必要となるポートです。固有の設定によっては、追加ポートが開かれていることが必要です。詳細については、Microsoft ウェブサイトの「How to configure a firewall for Active Directory domains and trusts」(Active Directory ドメインと信頼用にファイアウォールを設定する方法) を参照してください。

AWS Managed Microsoft AD ドメインコントローラーのアウトバウンドルールを設定するには
注記

それぞれのディレクトリに対して、以下の 1~6 のステップを繰り返します。

  1. AWS Directory Service コンソールに移動します。ディレクトリのリストで、 AWS Managed Microsoft AD ディレクトリのディレクトリ ID を書き留めます。

  2. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  3. ナビゲーションペインで、[Security Groups] を選択します。

  4. 検索ボックスを使用して Managed Microsoft AD ディレクトリ ID AWS を検索します。検索結果で、AWS created security group for yourdirectoryID directory controllers の説明を持つ項目を選択します。

    [Amazon VPC コンソール] では、ディレクトリコントローラーのセキュリティグループの検索結果が強調表示されます。

  5. 対象のセキュリティグループの [Outbound Rules] (アウトバウンドルール) タブを開きます。[Edit] (編集)、[Add another rule] (別のルールの追加) の順に選択します。新しいルールに、次の値を入力します。

    • [Type] (タイプ): ALL Traffic

    • [Protocol] (プロトコル): ALL

    • [Destination] (送信先) では、ドメインコントローラーから発信されるトラフィックと、その送信先を指定します。単一の IP アドレスまたは IP アドレス範囲を CIDR 表記で指定します (例: 203.0.113.5/32)。同じリージョン内にある別のセキュリティグループの、名前または ID を指定することもできます。詳細については、「ディレクトリ AWS のセキュリティグループの設定と使用を理解する」を参照してください。

  6. [Save] (保存) をクリックします。

    [Amazon VPC コンソール] で、ディレクトリコントローラーのセキュリティグループのアウトバウンドルールを編集します。

Kerberos の事前認証が有効化されていることを確認する

次に、 AWS Managed Microsoft AD のユーザーでも Kerberos 事前認証が有効になっていることを確認します。これは、オンプレミスディレクトリで実施したものと同じプロセスです。これはデフォルト設定ですが、何も変更されていないことを確認します。

ユーザーの Kerberos 設定を表示するには

  1. ドメインの またはAWS Managed Microsoft AD Administrator のアカウントとグループのアクセス許可ドメイン内のユーザーを管理するアクセス許可が委任されたアカウントを使用して、 AWS Managed Microsoft AD ディレクトリのメンバーであるインスタンスにログインします。

  2. まだインストールされていない場合は、Active Directory ユーザーと、コンピュータツール、および DNS ツールをインストールします。これらのツールをインストールする方法については、「AWS Managed Microsoft AD 用の Active Directory 管理ツールのインストール」を参照してください。

  3. サーバーマネージャーを開きます。[Tools] (ツール) メニューで、[Active Directory Users and Computers] (Active Directory ユーザーとコンピュータ) を選択します。

  4. 使用しているドメイン内の、[Users] フォルダを選択します。これは、NetBIOS 名を使用する [Users] フォルダであり、完全修飾ドメイン名 (FQDN) の [Users] フォルダではないことに注意してください。

    Active Directory ユーザーとコンピューターダイアログボックスでは、ユーザーフォルダーが強調表示されます。

  5. ユーザーのリストで、ユーザーを右クリックし、[Properties] (プロパティ) を選択します。

  6. [Account] (アカウント) タブを開きます。[Account options] (アカウントオプション) リストで、[Do not require Kerberos preauthentication] (Kerberos 事前認証は不要) がオンになっていないことを確認します。

次のステップ

ステップ 2: 別の AWS Managed Microsoft AD ドメインとの信頼関係を作成する