Simple AD の開始 - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Simple AD の開始

Simple AD は、フルマネージドの Samba AWS ベースのディレクトリをクラウドに作成します。Simple AD でディレクトリを作成すると、ユーザーに代わって 2 つのドメインコントローラーと DNS AWS Directory Service サーバーが作成されます。ドメインコントローラーは、1 つの Amazon VPC の異なるサブネットに作成されます。この冗長性により、障害が発生してもディレクトリに確実にアクセスできます。

Simple AD の前提条件

Simple AD を作成するにはActive Directory、以下の機能を備えた Amazon VPC が必要です。

  • VPC にはデフォルトのハードウェアテナンシーが必要です。

  • VPC は次の VPC エンドポイントを使用して設定することはできません

  • 少なくとも 2 つのサブネットが異なるアベイラビリティーゾーンに存在している。サブネットは同じクラスレスドメイン間ルーティング (CIDR) の範囲に存在する必要があります。ディレクトリの VPC を拡張またはサイズ変更する場合は、拡張する VPC CIDR の範囲における両方のドメインコントローラーのサブネットを選択してください。Simple AD を作成すると、ユーザーに代わって 2 つのドメインコントローラーと DNS AWS Directory Service サーバーが作成されます。

  • Simple AD による LDAPS のサポートが必要な場合は、ポート 389 に接続された Network Load Balancer を使用して設定することをお勧めします。このモデルを使用することで、LDAPS 接続に強力な証明書を使用して、単一の NLB IP アドレスを通じて LDAPS へのアクセスを簡素化できます。また、NLB を通じて自動フェイルオーバーを実現できます。Simple AD では、ポート 636 での自己署名証明書の使用はサポートされていません。Simple AD を使用した LDAPS の設定方法の詳細については、「AWS Security Blog」の「How to configure an LDAPS endpoint for Simple AD」を参照してください。

  • 次の暗号化タイプは、ディレクトリで有効にする必要があります。

    • RC4_HMAC_MD5

    • AES128_HMAC_SHA1

    • AES256_HMAC_SHA1

    • 今後の暗号化タイプ

      注記

      これらの暗号化タイプを無効にすると、RSAT (Remote Server Administration Tools) との通信に問題が発生し、可用性またはディレクトリに影響を与える可能性があります。

  • 詳細については、「Amazon VPC ユーザーガイド」の「Amazon VPC とは」を参照してください。

AWS Directory Service 2 つの VPC 構造を使用します。ディレクトリを構成する EC2 AWS インスタンスはアカウントの外部で実行され、 AWSによって管理されます。これらには、2 つのネットワークアダプタ (ETH0 および ETH1) があります。ETH0 は管理アダプタで、アカウント外部に存在します。ETH1 はアカウント内で作成されます。

ディレクトリの ETH0 ネットワークの管理 IP 範囲は、ディレクトリがデプロイされている VPC と競合しないようにするため、プログラムによって選択されます。この IP 範囲は、(ディレクトリが 2 つのサブネットで実行されるため) 次のいずれかのペアになります。

  • 10.0.1.0/24 と 10.0.2.0/24

  • 169.254.0.0/16

  • 192.168.1.0/24 と 192.168.2.0/24

ETH1 CIDR の最初のオクテットをチェックすることで、競合を回避します。10 で始まる場合は、192.168.1.0/24 と 192.168.2.0/24 のサブネットを持つ 192.168.0.0/16 VPC を選択します。最初のオクテットが 10 以外である場合は、10.0.1.0/24 と 10.0.2.0/24 のサブネットを持つ 10.0.0.0/16 VPC を選択します。

選択アルゴリズムには、VPC 上のルートは含まれません。そのため、このシナリオから IP ルーティングの競合が発生する可能性があります。

シンプルな AD を作成 Active Directory

新しい Simple AD を作成するにはActive Directory、次の手順を実行します。この手順を開始する前に、Simple AD の前提条件 で定義されている前提条件を満たしていることを確認します。

Simple AD を作成するには Active Directory
  1. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ)、[Set up directory] (ディレクトリの設定) の順に選択します。

  2. [Select directory type] (ディレクトリタイプの選択) ページで、 [Simple AD] を選択し、[Next] (次へ) を選択します。

  3. [Enter directory information] (ディレクトリ情報の入力) ページに、以下の情報を指定します。

    [Directory size] (ディレクトリのサイズ)

    [Small] (スモール) または [Large] (ラージ) サイズオプションのどちらかを選択します。サイズの詳細については、「Simple AD」を参照してください。

    [Organization name] (組織名)

    クライアントデバイスの登録に使用するディレクトリの一意の組織名です。

    このフィールドは、起動時にディレクトリを作成する場合にのみ使用できます WorkSpaces。

    [Directory DNS name] (ディレクトリの DNS 名)

    ディレクトリの完全修飾名 (例: corp.example.com)。

    [Directory NetBIOS name] (ディレクトリの NetBIOS 名)

    ディレクトリの短縮名 (例: CORP)。

    [Administrator password] (管理者パスワード)

    ディレクトリ管理者のパスワードです。ディレクトリの作成プロセスでは、ユーザー名 Administrator とこのパスワードを使用して管理者アカウントが作成されます。

    ディレクトリ管理者のパスワードは大文字と小文字が区別され、8 文字以上 64 文字以下の長さにする必要があります。また、次の 4 つのカテゴリうち 3 つから少なくとも 1 文字を含める必要があります。

    • 小文字 (a〜z)

    • 大文字 A〜Z

    • 数字 (0〜9)

    • アルファベットと数字以外の文字 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    [Confirm password] (パスワードを確認)

    管理者のパスワードをもう一度入力します。

    [Directory description] (ディレクトリの説明)

    必要に応じて、ディレクトリの説明。

  4. [Choose VPC and subnets] (VPC とサブネットの選択) ページで、次の情報を指定して [Next] (次へ) をクリックします。

    [VPC]

    ディレクトリ用の VPC。

    [Subnets] (サブネット)

    ドメインコントローラーのサブネットを選択します。2 つのサブネットは、異なるアベイラビリティーゾーンに存在している必要があります。

  5. [Review & create] (確認と作成) ページでディレクトリ情報を確認し、必要に応じて変更を加えます。情報が正しい場合は、[Create directory] (ディレクトリの作成) を選択します。ディレクトリが作成されるまで、数分かかります。作成が完了すると、[Status] (ステータス) 値が [Active] (アクティブ) に変わります。

Simple AD で作成されるもの Active Directory

Active Directorywith Simple AD を作成すると、 AWS Directory Service ユーザーに代わって次のタスクが実行されます。

  • VPC 内に Samba ベースのディレクトリを設定します。

  • ユーザー名 Administrator と指定されたパスワードで、ディレクトリの管理者アカウントを作成する。このアカウントはディレクトリの管理に使用します。

    重要

    このパスワードは必ず保存してください。 AWS Directory Service このパスワードは保存されず、取得することもできません。ただし、 AWS Directory Service パスワードはコンソールから、または ResetUserPasswordAPI を使用してリセットできます。

  • ディレクトリコントローラー用のセキュリティグループを作成する。

  • ドメイン管理者の権限を持つ名前 AWSAdminD-xxxxxxxx で、アカウントを作成する。このアカウントは、ディレクトリスナップショットの作成や FSMO ロールの転送など、ディレクトリ管理操作の自動化操作を実行するために使用されます。 AWS Directory Service このアカウントの認証情報は、 AWS Directory Serviceにより安全に保存されます。

  • Elastic Network Interface (ENI) を自動作成し、各ドメインコントローラーと関連付けます。これらの ENI はそれぞれ VPC AWS Directory Service とドメインコントローラ間の接続に不可欠であり、決して削除しないでください。で使用するために予約されているすべてのネットワークインターフェースは、「directory directory-id AWS 用のネットワークインターフェースを作成しました」 AWS Directory Service という説明で識別できます。詳細については、「Windows インスタンス用 Amazon EC2 ユーザーガイド」の「Elastic Network Interface」を参照してください。 AWS マネージド Microsoft AD のデフォルトの DNS Active Directory サーバーは、クラスレスドメイン間ルーティング (CIDR) +2 にある VPC DNS サーバーです。詳細については、Amazon VPC ユーザーガイドの「Amazon DNS サーバー」を参照してください。

    注記

    ドメインコントローラーは、デフォルトでリージョン内の 2 つのアベイラビリティーゾーンにまたがってデプロイされ、Amazon Virtual Private Cloud (VPC) に接続されます。バックアップは 1 日に 1 回自動的に実行され、Amazon Elastic Block Store (EBS) ボリュームは保管中のデータを保護するために暗号化されます。障害が発生したドメインコントローラーは、同じ IP アドレスを使用して同じアベイラビリティーゾーン内で自動的に置き換えられ、最新のバックアップを使用して完全な災害対策を実行できます。

Simple AD: DNS を設定する

Simple AD が、Amazon VPC 用に Amazon が提供する DNS サーバーの IP アドレスに DNS リクエストを転送します。これらの DNS サーバーは、Amazon Route 53 プライベートホストゾーンに設定されている名前を解決します。オンプレミスのコンピュータを Simple AD に指定することで、プライベートホストゾーンへの DNS リクエストを解決できるようになりました。Route 53 の詳細については、「What is Route 53」(Amazon Route 53 とは?) を参照してください。

Simple AD が外部の DNS クエリに応答できるようにするには、Simple AD を含む VPC のネットワークアクセスコントロールリスト (ACL) を、VPC 外からのトラフィックを許可するように設定する必要があります。

  • Route 53 プライベートホストゾーンを使用していない場合、DNS リクエストはパブリック DNS サーバーに転送されます。

  • VPC の外部にあるカスタム DNS サーバーを使用しており、プライベート DNS を使用する場合は、VPC 内の EC2 インスタンスのカスタム DNS サーバーを使用するように再設定する必要があります。詳細については、「プライベートホストゾーンの使用」を参照してください。

  • Simple AD が VPC 内の DNS サーバーと VPC 外のプライベート DNS サーバーの両方を使用して名前を解決するには、DHCP オプションセットを使用できます。詳細な例については、この記事を参照してください。

注記

DNS の動的な更新は、Simple AD ドメインでサポートされていません。ドメインに結合されているインスタンスで DNS Manager を使用してディレクトリに接続し、直接変更を行うこともできます。