ステップ 1: オンプレミスドメインの準備 - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 1: オンプレミスドメインの準備

まず、オンプレミスドメインに関するいくつかの前提条件のステップを完了させる必要があります。

オンプレミスファイアウォールの設定

以下のポートが、AWS が管理する Microsoft AD が含まれている VPC によって使用されるすべてのサブネットの CIDR に対して開かれるように、オンプレミスのファイアウォールを設定する必要があります。このチュートリアルでは、以下のポートの 10.0.0.0/16 (AWS が管理する Microsoft AD の VPC の CIDR ブロック) からの受信トラフィックおよび送信トラフィックの両方を許可します。

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 認証

  • TCP/UDP 389 - LDAP

  • TCP 445 - SMB

    注記

    SMBv1 のサポートは終了しました。

注記

これらは、VPC をオンプレミスのディレクトリに接続するために最低限必要なポートです。固有の設定によっては、追加ポートが開かれていることが必要です。

Kerberos 事前認証が有効になっていることを確認します。

Kerberos の事前認証は、必ず両方のディレクトリのユーザアカウントを使用して有効にします。これはデフォルト設定ですが、いずれかのユーザーのプロパティをチェックして、何も変更されていないことを確認します。

ユーザーの kerberos 設定を表示するには

  1. オンプレミスのドメインコントローラーで、Server Manager を開きます。

  2. [ツール] メニューで、[Active Directory ユーザーとコンピュータ] を選択します。

  3. [ユーザー] フォルダを選択し、コンテキスト (右クリック) メニューを開きます。右側のペインに表示されるユーザーアカウントを無作為に選択します。[プロパティ] を選択します。

  4. [Account] タブを選択します。[Account options] リストで、下にスクロールし、[Do not require Kerberos preauthentication] がオンになっていないことを確認します。

    
                                Kerberos を有効にする

オンプレミスドメインの DNS 条件付きフォワーダーを構成する

DNS の条件付きフォワーダーは各ドメインに設定する必要があります。オンプレミスドメインでこの設定を行うには、まず AWS マネージド Microsoft AD に関する情報を取得します。

条件付きフォワーダーをオンプレミスのドメインに設定するには

  1. AWS マネジメントコンソールにサインインし、AWS Directory Service コンソールで https://console.aws.amazon.com/directoryservicev2/.

  2. ナビゲーションペインで [Directories] を選択します。

  3. AWS Managed Microsoft AD のディレクトリ ID を選択します。

  4. [Details (詳細)] ページで、ディレクトリの [Directory name (ディレクトリ名)] と [DNS address (DNS アドレス)] の値をメモします。

  5. オンプレミスのドメインコントローラーに戻ります。Server Manager を開きます。

  6. [Tools] メニューで、[DNS] を選択します。

  7. コンソールツリーで、信頼関係をセットアップするドメインの DNS サーバーを拡張します。サーバーは、WIN-5V70CN7VJ0.corp.example.com です。

  8. コンソールツリーで、[Conditional Forwarders] を選択します。

  9. [Action] メニューで、[New conditional forwarder] を選択します。

  10. EclipseDNS ドメイン前に書き留めた AWS マネージド Microsoft AD の完全修飾ドメイン名 (FQDN) を入力します。この例では、FQDN は MyManagedAD.example.com です。

  11. 選択マスターサーバーの IP アドレス[] をクリックし、前に書き留めて、AWS Managed Microsoft AD ディレクトリの DNS アドレスを入力します。この例では、次のようになります。10.0.10.246, 10.0.20.121

    DNS アドレスを入力すると、「タイムアウト」または「解決できません」というエラーが表示される場合があります。通常、このエラーは無視できます。

    
                            新しい条件付きフォワーダー
  12. [Store this conditional forwarder in Active Directory, and replicate it as follows] を選択します。

  13. [All DNS servers in this domain]、[OK] の順に選択します。

次のステップ

ステップ 2: AWS Managed Microsoft AD を準備する