ステップ 1: 自己管理型 AD ドメインを準備する - AWS Directory Service
自己管理型ファイアウォールを設定するKerberos の事前認証が有効化されていることを確認する自己管理型ドメインのための DNS 条件付きフォワーダーを設定する

ステップ 1: 自己管理型 AD ドメインを準備する

まず、自己管理型 (オンプレミス) ドメインで、前提条件のための手順をいくつか完了する必要があります。

自己管理型ファイアウォールを設定する

以下のポートが、AWS Managed Microsoft AD を含む VPC によって使用されるすべてのサブネットの CIDR に対して開かれるように、自己管理型ファイアウォールを設定する必要があります。このチュートリアルでは、以下のポートの 10.0.0.0/16 (AWS Managed Microsoft AD の VPC の CIDR ブロック) からの受信と送信トラフィックの両方を許可します。

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 認証

  • TCP/UDP 389 - Lightweight Directory Access Protocol (LDAP)

  • TCP 445 – サーバーメッセージブロック (SMB)

  • TCP 9389 - Active Directory Web Services (ADWS) (選択可能 – Amazon WorkDocs や Amazon QuickSight などの AWS アプリケーションでの認証にドメイン名の代わりに NetBIOS 名を使用する場合は、このポートを開く必要があります)

注記

SMBv1 のサポートは終了しました。

これらは、VPC を自己管理型のディレクトリに接続するために最低限必要となるポートです。固有の設定によっては、追加ポートが開かれていることが必要です。

Kerberos の事前認証が有効化されていることを確認する

Kerberos の事前認証は、両方のディレクトリのユーザアカウントで有効にする必要があります。これはデフォルト設定ですが、いずれかのユーザーのプロパティをチェックして、何も変更されていないことを確認します。

ユーザーの Kerberos 設定を表示するには

  1. 自己管理型ドメインコントローラーで、サーバーマネージャーを開きます。

  2. [Tools] (ツール) メニューで、[Active Directory Users and Computers] (Active Directory ユーザーとコンピュータ) を選択します。

  3. [Users] フォルダを選択し、右クリックによりコンテキストメニューを開きます。右側のペインに表示されるユーザーアカウントを無作為に選択します。[Properties] (プロパティ) をクリックします。

  4. [Account] (アカウント) タブを開きます。[Account options] (アカウントオプション) リストで下にスクロールし、[Do not require Kerberos preauthentication] (Kerberos 事前認証を要求しない) がオンになっていないことを確認します。

    「アカウント」オプションが表示された「Corp User Properties」ダイアログ・ボックスでは、「Kerberos 事前認証は不要」が強調表示されています。

自己管理型ドメインのための DNS 条件付きフォワーダーを設定する

DNS の条件付きフォワーダーは、各ドメインで設定する必要があります。自己管理型ドメインでこの設定を行う際には、AWS Managed Microsoft AD に関し、先に取得しておくべき情報がいくつかあります。

自己管理型ドメインで DNS の条件付きフォワーダーを設定するには

  1. AWS Management Console にサインインして AWS Directory Service コンソールを開きます。

  2. ナビゲーションペインで [Directories] (ディレクトリ) をクリックします。

  3. AWS Managed Microsoft AD のディレクトリ ID を選択します。

  4. [Details] (詳細) ページで、ディレクトリの [Directory name] (ディレクトリ名) と [DNS address] (DNS アドレス) の値をメモします。

  5. 次に、自己管理型ドメインコントローラーに戻ります。サーバーマネージャーを開きます。

  6. [Tools] (ツール) メニューで、[DNS] を選択します。

  7. 信頼関係を設定するドメインの DNS サーバーを、コンソールのツリーから展開します。ここで使用するサーバーは、WWIN-5V70CN7VJ0.corp.example.com です。

  8. コンソールのツリー内で、[Conditional Forwarders] (条件付きフォワーダー) を選択します。

  9. [Action] (アクション) メニューから、[New conditional forwarder] (新規の条件付きフォワーダー) を選択します。

  10. [DNS domain] (DNS ドメイン) に、先に書き留めてある、AWS Managed Microsoft AD の完全修飾ドメイン名 (FQDN) を入力します。この例では、FQDN は MyManagedAD.example.com です。

  11. [プライマリサーバーの IP アドレス] を選択し、先ほど記録した AWS Managed Microsoft AD ディレクトリの DNS アドレスを入力します。この例では、これらのDNS アドレスは 10.0.10.246 と、10.0.20.121 です。

    DNS アドレスの入力後に、「timeout」または「unable」というエラーが表示される場合があります。通常、このエラーは無視できます。

    DNS サーバーの最大 IP アドレスが強調表示された新しい条件付きフォワーダーダイアログボックス。

  12. [Store this conditional forwarder in Active Directory, and replicate it as follows] (この条件付きフォワーダーを Active Directory に保存し次に従いレプリケートします) をクリックします。

  13. [All DNS servers in this domain] (このドメイン内のすべての DNS サーバー)、[OK] の順に選択します。

次のステップ

ステップ 2: AWS Managed Microsoft AD を準備する