ステップ 4: Windows Server 用の EC2 インスタンスとドメインとのシームレス結合をテストする

次の 2 つのメソッドのいずれかを使用して、EC2 インスタンスをドメインにシームレスに結合するテストを行います。

方法 1: Amazon EC2 コンソールを使用してドメインの結合をテストする

これらの手順は、ディレクトリのコンシューマーアカウントで使用します。

1. AWS Management Console にサインインし、https://console.aws.amazon.com/ec2/ にある Amazon EC2 コンソールを開きます。

2. ナビゲーションバーで、 AWS リージョン 既存のディレクトリと同じディレクトリを選択します。

3. [EC2 ダッシュボード] の [インスタンスを起動する] セクションで、[インスタンスを起動する] を選択します。

4. [インスタンスを起動する] ページの [名前とタグ] セクションで、Windows EC2 インスタンスに使用する名前を入力します。

5. (オプション) [補足タグを追加] で、タグとキーの値のペアを 1 つまたは複数追加して、この EC2 インスタンスのアクセスを整理、追跡、または制御します。

6. [アプリケーションと OS イメージ (Amazon マシンイメージ)] セクションの [クイックスタート] ペインで [Windows] を選択します。Windows Amazon マシンイメージ (AMI) は、[Amazon マシンイメージ (AMI)] ドロップダウンリストから変更できます。

7. [インスタンスタイプ] セクションで、[インスタンスタイプ] ドロップダウンリストから使用するインスタンスタイプを選択します。

8. [キーペア (ログイン)] セクションで、新しいキーペアを作成するか、既存のキーペアから選択します。

   1. 新しいキーペアを作成するには、[新しいキーペアの作成] を選択します。

   2. キーペアの名前を入力し、[キーペアタイプ] と [プライベートキーファイル形式] のオプションを選択します。

   3. OpenSSH で使用できる形式でプライベートキーを保存するには、[.pem] を選択します。プライベートキーを PuTTY で使用できる形式で保存するには、[.ppk] を選択します。

   4. [キーペアの作成] を選択します。

   5. ブラウザによって秘密キーファイルが自動的にダウンロードされます。ダウンロードしたプライベートキーのファイルを安全な場所に保存します。

      重要

      プライベートキーのファイルを保存できるのは、このタイミングだけです。

9. [インスタンスを起動する] ページの [ネットワーク設定] セクションで、[編集] を選択します。[VPC に必須の] ドロップダウンリストから、ディレクトリが作成された [VPC] を選択します。

10. [サブネット] ドロップダウンリストから VPC 内のパブリックサブネットの 1 つを選択します。選択するサブネットで、すべての外部トラフィックがインターネットゲートウェイにルーティングされるように選択する必要があります。そうでない場合は、インスタンスにリモート接続できません。

    インターネットゲートウェイへの接続方法の詳細については、Amazon VPC ユーザーガイドの「インターネットゲートウェイを使用してサブネットをインターネットに接続する」を参照してください。

11. [自動割り当てパブリック IP] で、[有効化] を選択します。

    パブリック IP アドレス指定とプライベート IP アドレス指定の詳細については、「Amazon EC2 Windows インスタンス用ユーザーガイド」の「Amazon EC2 インスタンスの IP アドレス指定」を参照してください。

12. [ファイアウォール (セキュリティグループ)] 設定にはデフォルト設定を使用するか、必要に応じて変更を加えることができます。

13. [ストレージの設定] 設定にはデフォルト設定を使用するか、必要に応じて変更を加えることができます。

14. [高度な詳細] セクションを選択し、[ドメイン結合ディレクトリ] ドロップダウンリストからドメインを選択します。

    注記

    ドメイン参加ディレクトリを選択すると、以下が表示される場合があります。

    

    このエラーは、EC2 起動ウィザードが予期しないプロパティを持つ既存の SSM ドキュメントを特定した場合に発生します。次のいずれかを試すことができます。

    • SSM ドキュメントを以前に編集していて、プロパティが想定どおりである場合は、[close] を選択し、変更なしで EC2 インスタンスの起動に進みます。

    • SSM ドキュメントを削除するには、[ここで既存の SSM ドキュメントを削除] リンクを選択します。これにより、正しいプロパティを持つ SSM ドキュメントを作成できます。SSM ドキュメントは EC2 インスタンスを起動すると自動的に作成されます。

15. [IAM インスタンスプロファイル] には既存の IAM インスタンスプロファイルを選択するか、新しいプロファイルを作成できます。IAM インスタンスプロファイルドロップダウンリストから、 AWS 管理ポリシー AmazonSSM ManagedInstanceCore と AmazonSSM DirectoryServiceAccess がアタッチされている IAM インスタンスプロファイルを選択します。新しい IAM プロファイルリンクを作成するには、[新しい IAM プロファイルリンクを作成] を選択し、次の操作を行います。

    1. [ロールの作成] を選択します。

    2. [Select trusted entity] (信頼されたエンティティを選択) で、[AWS サービス] を選択します。

    3. [ユースケース] で、[EC2] を選択します。

    4. 「アクセス権限の追加」で、ポリシーのリストから AmazonSSM ポリシーと AmazonSSM ManagedInstanceCore ポリシーを選択します。DirectoryServiceAccessリストを絞り込むため、検索ボックスに SSM と入力します。[次へ] を選択します。

       注記

       AmazonSSM DirectoryServiceAccess は、インスタンスを管理対象に追加する権限を提供します。Active Directory AWS Directory ServiceAmazonSSM ManagedInstanceCore はサービスを使用するために最低限必要な権限を提供します。 AWS Systems Manager これらのアクセス許可を使用してロールを作成する方法、および IAM ロールに割り当てることができるその他のアクセス許可とポリシーの詳細については、「AWS Systems Manager ユーザーガイド」の「Systems Manager の IAM インスタンスプロファイルを作成する」を参照してください。

    5. [名前、確認、作成] ページで、[ロール名] を入力します。EC2 インスタンスにアタッチするには、このロール名が必要です。

    6. (オプション) IAM インスタンスプロファイルの説明を [説明] フィールドに入力できます。

    7. [ロールの作成] を選択します。

    8. [インスタンスを起動する] ページに戻り、[IAM インスタンスプロファイル] の横にある更新アイコンを選択します。新しい IAM インスタンスプロファイルが [IAM インスタンスプロファイル] ドロップダウンリストに表示されるはずです。新しいプロファイルを選択し、残りの設定はデフォルト値のままにします。

16. [インスタンスを起動] を選択します。

方法 2: を使用してドメイン参加をテストします AWS Systems Manager

これらの手順は、ディレクトリのコンシューマーアカウントで使用します。この手順を完了するには、ディレクトリ ID、ディレクトリ名、DNS IP アドレスなど、ディレクトリ所有者のアカウントに関するいくつかの情報が必要となります。

前提条件

• セットアップ AWS Systems Manager。

  • Systems Manager の詳細については、「AWS Systems Managerの一般的なセットアップ」を参照してください。

• AWS マネージド Microsoft Active Directory ドメインに参加させたいインスタンスには、AmazonSSM ManagedInstanceCore と AmazonSSM の管理ポリシーを含む IAM ロールがアタッチされている必要があります。DirectoryServiceAccess

  • これらのマネージドポリシーと、Systems Manager の IAM インスタンスプロファイルにアタッチできるその他のポリシーの詳細については、「AWS Systems Manager ユーザーガイド」の「Systems Manager の IAM インスタンスプロファイルを作成する」を参照してください。管理ポリシーの詳細については、「IAM ユーザーガイド」の「AWS 管理ポリシー」を参照してください。

Systems Manager を使用して EC2 AWS インスタンスを管理対象の Microsoft Active Directory ドメインに結合する方法の詳細については、「実行中の EC2 Windows AWS インスタンスをDirectory Service ドメインに参加させるにはどうすればよいですか?」を参照してください。 AWS Systems Manager 。

1. AWS Systems Manager でコンソールを開きますhttps://console.aws.amazon.com/systems-manager/。

2. ナビゲーションペインの [Node Management] (ノード管理) で、[Run Command] (コマンドを実行) を選択します。

3. [Run command] (コマンドの実行) を選択します。

4. [Run a command] (コマンドの実行) ページで、AWS-JoinDirectoryServiceDomain を検索します。検索結果に表示されたら、AWS-JoinDirectoryServiceDomain オプションを選択します。

5. 下部にある [Command parameters] (コマンドのパラメータ) セクションまでスクロールします。以下のパラメーターを指定する必要があります。

   注記

   ディレクトリ ID、ディレクトリ名、DNS IP アドレスを確認するには、 AWS Directory Service コンソールに戻り、[自分と共有しているディレクトリ] を選択し、ディレクトリを選択します。[ディレクトリ ID] は [共有ディレクトリの詳細] セクションにあります。[ディレクトリ名] と [DNS IP アドレス] の値は、[所有者ディレクトリの詳細] セクションにあります。

   • [ディレクトリ ID] には、 AWS 管理対象の Microsoft Active Directory の名前を入力します。

   • [ディレクトリ名] に AWS Managed Microsoft Active Directory の名前を入力します (ディレクトリ所有者アカウント用)。

   • DNS IP アドレスには、 AWS 管理対象の Microsoft Active Directory (ディレクトリ所有者アカウント用) にある DNS サーバーの IP アドレスを入力します。

6. [ターゲット] で [インスタンスを手動で選択する] を選択し、ドメインに参加させたいインスタンスを選択します。

7. フォームの残りの設定はデフォルト値のままにしておき、ページを下方向にスクロールして [Run] (実行) をクリックします。

8. インスタンスがドメインに正常に参加すると、コマンドステータスは [保留中] から [成功] に変わります。ドメインに参加したインスタンスの [インスタンス ID] と [出力を表示] を選択すると、コマンド出力を表示できます。

前述の手順のいずれかを完了すると、EC2 インスタンスをドメインに結合できるようになります。これを実行すると、 AWS 管理対象の Microsoft AD ユーザーアカウントの認証情報を使用して、リモートデスクトッププロトコル (RDP) クライアントを使用してインスタンスにログインできます。