Simple AD の開始 - AWS Directory Service
Simple AD の前提条件Simple AD を作成する Active DirectorySimple AD で作成されるもの Active DirectorySimple AD DNSの設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Simple AD の開始

Simple AD は、 にフルマネージドの Samba ベースのディレクトリを作成します。 AWS クラウド。Simple AD でディレクトリを作成する場合、 AWS Directory Service は、ユーザーに代わって 2 つのドメインコントローラーとDNSサーバーを作成します。ドメインコントローラーは Amazon の異なるサブネットに作成されます。VPCこの冗長性により、障害が発生した場合でもディレクトリにアクセスし続けることができます。

Simple AD の前提条件

Simple AD を作成するには Active Directoryでは、以下の VPC Amazon が必要です。

  • にはデフォルトのハードウェアテナンシーVPCが必要です。

  • は、次のVPCエンドポイント (複数可) で設定VPCしないでください

  • 少なくとも 2 つのサブネットが異なるアベイラビリティーゾーンに存在している。サブネットは、同じクラスレスドメイン間ルーティング (CIDR) の範囲内にある必要があります。ディレクトリVPCの を拡張またはサイズ変更する場合は、拡張VPCCIDR範囲のドメインコントローラーサブネットの両方を選択してください。Simple AD を作成すると、 AWS Directory Service は、ユーザーに代わって 2 つのドメインコントローラーとDNSサーバーを作成します。

  • Simple AD LDAPSのサポートが必要な場合は、ポート 389 に接続された Network Load Balancer を使用して設定することをお勧めします。このモデルを使用すると、LDAPS接続に強力な証明書を使用し、単一の NLB IP アドレスLDAPSを介して へのアクセスを簡素化し、 を介して自動フェイルオーバーを行うことができますNLB。Simple AD では、ポート 636 での自己署名証明書の使用はサポートされていません。Simple AD LDAPSで を設定する方法の詳細については、「」の「Simple AD のLDAPSエンドポイントを設定する方法」を参照してください。 AWS セキュリティブログ

  • 次の暗号化タイプは、ディレクトリで有効にする必要があります。

    • RC4_HMAC_MD5

    • AES128_HMAC_SHA1

    • AES256_HMAC_SHA1

    • 今後の暗号化タイプ

      注記

      これらの暗号化タイプを無効にすると、 RSAT (リモートサーバー管理ツール) との通信の問題が発生し、可用性やディレクトリに影響する可能性があります。

  • 詳細については、「Amazon ユーザーガイド」の「Amazon とはVPC」を参照してください。 VPC

AWS Directory Service は 2 つのVPC構造を使用します。ディレクトリを構成するEC2インスタンスは、 の外部で実行されます。 AWS アカウント、および は によって管理されます。 AWS。 これらには ETH0と の 2 つのネットワークアダプタがありますETH1ETH0は管理アダプタであり、 アカウント外にあります。 ETH1は アカウント内に作成されます。

ディレクトリのETH0ネットワークの管理 IP 範囲は、ディレクトリがデプロイVPCされている と競合しないようにプログラムで選択されます。この IP 範囲は、(ディレクトリが 2 つのサブネットで実行されるため) 次のいずれかのペアになります。

  • 10.0.1.0/24 と 10.0.2.0/24

  • 169.254.0.0/16

  • 192.168.1.0/24 と 192.168.2.0/24

の最初のオクテットをチェックすることで、競合を回避しますETH1CIDR。10 で始まる場合は、192.168.0.0/16 VPCと 192.168.1.0/24 および 192.168.2.0/24 サブネットを選択します。最初のオクテットが 10 以外の場合は、10.0.1.0/24 および 10.0.2.0/24 サブネットVPCを持つ 10.0.0.0/16 を選択します。

選択アルゴリズムには、 のルートは含まれませんVPC。そのため、このシナリオから IP ルーティングの競合が発生する可能性があります。

重要

Simple AD の作成後に Simple AD の前提条件のいずれかが変更されると、Simple AD が の障害になる可能性があります。Simple AD Impaired ステータスを解決するには、 に連絡する必要があります。 AWS Support.

Simple AD を作成する Active Directory

新しい Simple AD を作成するには Active Directory、次の手順を実行します。この手順を開始する前に、Simple AD の前提条件 で定義されている前提条件を満たしていることを確認します。

Simple AD を作成するには Active Directory

  1. AWS Directory Service コンソールのナビゲーションペインでディレクトリを選択し、ディレクトリ のセットアップを選択します

  2. [Select directory type] (ディレクトリタイプの選択) ページで、 [Simple AD] を選択し、[Next] (次へ) を選択します。

  3. [Enter directory information] (ディレクトリ情報の入力) ページに、以下の情報を指定します。

    [Directory size] (ディレクトリのサイズ)

    [Small] (スモール) または [Large] (ラージ) サイズオプションのどちらかを選択します。サイズの詳細については、「Simple AD」を参照してください。

    [Organization name] (組織名)

    クライアントデバイスの登録に使用するディレクトリの一意の組織名です。

    このフィールドは、 の起動の一部としてディレクトリを作成する場合にのみ使用できます WorkSpaces。

    ディレクトリDNS名

    ディレクトリの完全修飾名 (例: corp.example.com)。

    ディレクトリのネットBIOS名

    ディレクトリの短縮名 (例: CORP)。

    [Administrator password] (管理者パスワード)

    ディレクトリ管理者のパスワードです。ディレクトリの作成プロセスでは、ユーザー名 Administrator とこのパスワードを使用して管理者アカウントが作成されます。

    ディレクトリ管理者のパスワードは大文字と小文字が区別され、8 文字以上 64 文字以下の長さにする必要があります。また、次の 4 つのカテゴリうち 3 つから少なくとも 1 文字を含める必要があります。

    • 小文字 (a〜z)

    • 大文字 A〜Z

    • 数字 (0〜9)

    • アルファベットと数字以外の文字 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    [Confirm password] (パスワードを確認)

    管理者のパスワードをもう一度入力します。

    [Directory description] (ディレクトリの説明)

    必要に応じて、ディレクトリの説明。

  4. VPCとサブネットの選択」ページで、次の情報を入力し、「次へ」を選択します。

    VPC

    ディレクトリVPCの 。

    [Subnets] (サブネット)

    ドメインコントローラーのサブネットを選択します。2 つのサブネットは、異なるアベイラビリティーゾーンに存在している必要があります。

  5. [Review & create] (確認と作成) ページでディレクトリ情報を確認し、必要に応じて変更を加えます。情報が正しい場合は、[Create directory] (ディレクトリの作成) を選択します。ディレクトリが作成されるまで、数分かかります。作成が完了すると、[Status] (ステータス) 値が [Active] (アクティブ) に変わります。

Simple AD で作成されるもの Active Directory

を作成する場合 Active Directory Simple AD では、 AWS Directory Service は、ユーザーに代わって次のタスクを実行します。

  • 内に Samba ベースのディレクトリを設定しますVPC。

  • ユーザー名 Administrator と指定されたパスワードで、ディレクトリの管理者アカウントを作成する。このアカウントはディレクトリの管理に使用します。

    重要

    このパスワードは必ず保存してください。 AWS Directory Service はこのパスワードを保存せず、取得できません。ただし、 からパスワードをリセットすることはできます。 AWS Directory Service コンソールを使用するか、 ResetUserPassword を使用しますAPI。

  • ディレクトリコントローラー用のセキュリティグループを作成する。

  • ドメイン管理者の権限を持つ名前 AWSAdminD-xxxxxxxx で、アカウントを作成する。このアカウントは によって使用されます。 AWS Directory Service は、ディレクトリスナップショットの取得やFSMOロール転送など、ディレクトリメンテナンスオペレーションの自動オペレーションを実行します。このアカウントの認証情報は、 によって安全に保存されます。 AWS Directory Service.

  • Elastic Network Interface (ENI) を自動的に作成し、各ドメインコントローラーに関連付けます。これらはそれぞれENIs、 VPCと 間の接続に不可欠です。 AWS Directory Service ドメインコントローラーと は削除しないでください。で使用するために予約されているすべてのネットワークインターフェイスを識別できます。 AWS Directory Service 説明:「AWS がディレクトリ directory-id のネットワークインターフェイスを作成しました。詳細については、「Amazon ユーザーガイド」の「Elastic Network Interfaces」を参照してください。 EC2 のデフォルトのDNSサーバー AWS Managed Microsoft AD Active Directory は、Classless Inter-Domain Routing (CIDR)+2 のVPCDNSサーバーです。詳細については、「Amazon ユーザーガイド」の「Amazon DNSサーバー」を参照してください。 VPC

    注記

    ドメインコントローラーは、デフォルトでリージョン内の 2 つのアベイラビリティーゾーンにデプロイされ、Amazon Virtual Private Cloud () に接続されますVPC。バックアップは 1 日に 1 回自動的に取得され、Amazon Elastic Block Store (EBS) ボリュームは暗号化され、保管中のデータを確実に保護します。障害が発生したドメインコントローラーは、同じ IP アドレスを使用して同じアベイラビリティーゾーン内で自動的に置き換えられ、最新のバックアップを使用して完全な災害対策を実行できます。

Simple AD DNSの設定

Simple AD は、Amazon が提供するDNSサーバーの IP アドレスにDNSリクエストを転送しますVPC。これらのDNSサーバーは、Amazon Route 53 プライベートホストゾーンで設定された名前を解決します。オンプレミスコンピュータを Simple AD にポイントすることで、プライベートホストゾーンへのDNSリクエストを解決できるようになりました。Route 53 の詳細については、「What is Route 53」(Amazon Route 53 とは?) を参照してください。

Simple AD が外部DNSクエリに応答できるようにするには、Simple AD VPCを含む のネットワークアクセスコントロールリスト (ACL) が、 の外部からのトラフィックを許可するように設定されている必要がありますVPC。

  • Route 53 プライベートホストゾーンを使用していない場合、DNSリクエストはパブリックDNSサーバーに転送されます。

  • の外部にあるカスタムDNSサーバーを使用していて、プライベート VPCを使用する場合はDNS、 内のEC2インスタンスでカスタムDNSサーバーを使用するように再設定する必要がありますVPC。詳細については、「プライベートホストゾーンの使用」を参照してください。

  • Simple AD で、 内のDNSサーバーVPCと 外のプライベートDNSサーバーの両方を使用して名前を解決する場合はVPC、DHCPオプションセットを使用して解決できます。詳細な例については、この記事を参照してください。

注記

DNS 動的更新は、Simple AD ドメインではサポートされていません。代わりに、ドメインに参加しているインスタンスで DNS Manager を使用してディレクトリに接続することで、直接変更を加えることができます。