翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
FSx for ONTAP SVM をセルフマネージド Microsoft AD ドメインに接続させる前に、アクティブディレクトリとネットワークが次のセクションに説明されている要件を満たしていることを確認してください。
オンプレミスのアクティブディレクトリ要件
SVM が接続できるオンプレミスまたはその他のセルフマネージド Microsoft AD が既にあることを確認してください。この Active Directory には、次の設定が含まれる必要があります。
-
Active Directory ドメインコントローラードメイン機能レベルは Windows Server 2000 以降です。
-
Active Directory が、シングルラベルドメイン (SLD) 形式ではないドメイン名を使用している。Amazon FSx は SLD ドメインをサポートしていません。
-
Active Directory サイトが定義されている場合は、FSx for ONTAP ファイルシステムと関連付けされた VPC 内のサブネットが同じ Active Directory サイトで定義され、かつ VPC サブネットと Active Directory サイトのサブネットの間に競合がないことを確認してください。
注記
を使用している場合 AWS Directory Service、FSx for ONTAP は SVMs の Simple Active Directory への結合をサポートしていません。
ネットワークの設定要件
次のネットワーク設定が適切であり、関連情報が手元にあることを確認してください。
重要
SVM をアクティブディレクトリに接続するには、このトピックに記載されているポートが、すべてのアクティブディレクトリドメインコントローラと SVM 上の両方の iSCSI IP アドレス (iscsi_1 と iscsi_2 の論理インターフェイス (LIF)) 間のトラフィックを許可していることを確認する必要があります。
-
DNS サーバーと Active Directory ドメインコントローラーの IP アドレス。
-
ファイルシステムを作成する Amazon VPC と、「AWS Direct Connect
」、「AWS VPN 」、「AWS Transit Gateway 」を使用しているセルフマネージドアクティブディレクトリ間の接続。 -
ファイルシステムを作成しているサブネットのセキュリティグループおよび VPC ネットワーク ACL で、次の図面に示されているポートとトラフィック方向でトラフィックを許可する必要があります。
各ポートの役割は、次の表に示されています。
プロトコル
ポート
ロール
TCP / UDP
53
ドメインネームシステム (DNS)
TCP / UDP
88
Kerberos 認証
TCP / UDP
389
Lightweight Directory Access プロトコル (LDAP)
TCP
445
Directory Services SMB ファイル共有
TCP / UDP
464
パスワードを変更 / 設定する
TCP
636
TLS/SSL (LDAPS) を介した Lightweight Directory Access Protocol (LDAPS)
-
これらのトラフィックルールは、Active Directory ドメインコントローラー、DNS サーバー、FSx クライアント、FSx 管理者のそれぞれに適用されるファイアウォールにも反映されている必要があります。
重要
Amazon VPC セキュリティグループでは、ネットワークトラフィックが開始される方向でのみポートを開く必要がありますが、ほとんどの Windows ファイアウォールとおよび VPC ネットワーク ACL では両方向にポートを開く必要があります。
アクティブディレクトリサービスアカウントの要件
コンピュータをドメインに接続させる権限を委任されたサービスアカウントが、セルフマネージド Microsoft AD にあることを確認してください。サービスアカウントは、特定のタスクを委任されたセルフマネージド Active Directory のユーザーアカウントです。
サービスアカウントには最低でも、SVM を接続させる OU で次の許可が委任されている必要があります。
-
パスワードをリセットする機能
-
アカウントのデータの読み取りと書き込みを制限する機能
-
コンピュータオブジェクトに
msDS-SupportedEncryptionTypes
プロパティを設定する機能 -
DNS ホスト名への書き込み許可
-
サービスプリンシパル名への書き込みを許可
-
コンピュータオブジェクトを作成および削除する権限
-
アカウント制限の読み書きを検証する機能
これらは、コンピュータオブジェクトをアクティブディレクトリに結合させるために必要な最小限のアクセス許可セットを表します。詳細については、Windows Server のドキュメントトピック、「エラー: コントロールを委任された管理者以外のユーザーが、コンピュータをドメインコントローラーに接続させようとすると、アクセスが拒否される
適切なアクセス許可を使用したサービスアカウントの作成の詳細については、「Amazon FSx サービスアカウントにアクセス許可を委任する」を参照してください。
重要
Amazon FSx では、Amazon FSx ファイルシステムの存続期間中、有効なサービスアカウントが必要です。Amazon FSx はファイルシステムを完全に管理し、Active Directory ドメインへのリソースの接続解除や再接続を実行するために必要となるタスクを実行できる必要があります。これらのタスクには、障害が発生したファイルシステムや SVM の交換、あるいは NetApp ONTAP ソフトウェアのパッチ適用が含まれます。サービスアカウントの認証情報を含む Active Directory の情報を Amazon FSx で定期的に更新してください。詳細については、「Amazon FSx でアクティブディレクトリ設定を最新の状態に保つ」を参照してください。
AWS と FSx for ONTAP を初めて使用する場合は、Active Directory 統合を開始する前に、初期設定手順を完了してください。詳細については、「FSx for ONTAP の設定」を参照してください。
重要
SVM が作成された後に Amazon FSx が OU に作成したコンピュータオブジェクトを移動したり、SVM が結合されている間に Active Directory を削除したりしないでください。移動した場合、SVM が誤設定される原因となります。