ステップ 1: オンプレミスドメインを準備する - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 1: オンプレミスドメインを準備する

まず、オンプレミスドメインに関するいくつかの前提条件のステップを完了させる必要があります。

オンプレミスのファイアウォールを設定する

以下のポートが、などの VPC によって使用されるすべてのサブネットの CIDR に対して開かれるように、オンプレミスのファイアウォールを設定する必要があります。AWSManaged Microsoft AD。このチュートリアルでは、10.0.0.0/16 (の CIDR ブロック) からの受信トラフィックおよび送信トラフィックの両方を許可します。AWSMicrosoft AD の VPC) を次のポートで管理しました。

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 認証

  • TCP/UDP 389 - LDAP

  • TCP 445 - SMB

    注記

    SMBv1 のサポートは終了しました。

注記

これらは、VPC をオンプレミスのディレクトリに接続するために最低限必要なポートです。固有の設定によっては、追加ポートが開かれていることが必要です。

Kerberos 事前認証が有効になっていることを確認します

Kerberos の事前認証は、必ず両方のディレクトリのユーザアカウントを使用して有効にします。これはデフォルト設定ですが、いずれかのユーザーのプロパティをチェックして、何も変更されていないことを確認します。

ユーザー kerberos 設定を表示するには

  1. オンプレミスのドメインコントローラーで、Server Manager を開きます。

  2. [ツール] メニューで、[Active Directory ユーザーとコンピュータ] を選択します。

  3. [ユーザー] フォルダを選択し、コンテキスト (右クリック) メニューを開きます。右側のペインに表示されるユーザーアカウントを無作為に選択します。[プロパティ] を選択します。

  4. [Account] タブを選択します。[Account options] リストで、下にスクロールし、[Do not require Kerberos preauthentication] がオンになっていないことを確認します。

    
                                Kerberos を有効にする

オンプレミスドメインの DNS 条件付きフォワーダーを設定する

DNS の条件付きフォワーダーは各ドメインに設定する必要があります。オンプレミスドメインでこの設定を行うには、まずAWSManaged Microsoft AD。

条件付きフォワーダーをオンプレミスのドメインに設定するには

  1. にサインインします。AWS Management Consoleを開き、AWS Directory Serviceconsolehttps://console.aws.amazon.com/directoryservicev2/ で。

  2. ナビゲーションペインで [Directories] を選択します。

  3. のディレクトリ ID を選択します。AWSManaged Microsoft AD。

  4. [Details (詳細)] ページで、ディレクトリの [Directory name (ディレクトリ名)] と [DNS address (DNS アドレス)] の値をメモします。

  5. オンプレミスのドメインコントローラーに戻ります。Server Manager を開きます。

  6. [Tools] メニューで、[DNS] を選択します。

  7. コンソールツリーで、信頼関係をセットアップするドメインの DNS サーバーを拡張します。サーバーは、WIN-5V70CN7VJ0.corp.example.com です。

  8. コンソールツリーで、[Conditional Forwarders] を選択します。

  9. [Action] メニューで、[New conditional forwarder] を選択します。

  10. EclipseDNS ドメインで、の完全修飾ドメイン名 (FQDN) を入力します。AWS先ほどメモしたMicrosoft ADを管理しました。この例では、FQDN は MyManagedAD.example.com です。

  11. 選択マスターサーバーの IP アドレスで、の DNS アドレスを入力します。AWSManaged Microsoft AD ディレクトリ (前の手順で書き留めたもの)。この例では、次のようになります。10.0.10.246、10.0.20.121

    DNS アドレスを入力すると、「タイムアウト」または「解決できません」というエラーが表示される場合があります。通常、このエラーは無視できます。

    
                            新しい条件付きフォワーダー
  12. [Store this conditional forwarder in Active Directory, and replicate it as follows] を選択します。

  13. [All DNS servers in this domain]、[OK] の順に選択します。

次のステップ

ステップ 2: を準備するAWSManaged Microsoft AD