SVM をセルフマネージド Microsoft AD に参加させるための前提条件 - FSx for ONTAP
セルフマネージド Active Directory の要件ネットワークの設定要件アクティブディレクトリサービスアカウントの要件

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SVM をセルフマネージド Microsoft AD に参加させるための前提条件

FSx for ONTAPSVMをセルフマネージド Microsoft AD ドメインに結合する前に、Active Directory とネットワークが次のセクションで説明する要件を満たしていることを確認してください。

オンプレミスのアクティブディレクトリ要件

に参加できるオンプレミスまたはその他のセルフマネージド Microsoft AD が既にあることを確認しますSVM。この Active Directory には、次の設定が含まれる必要があります。

  • Active Directory ドメインコントローラードメイン機能レベルは Windows Server 2000 以降です。

  • Active Directory は、単一ラベルドメイン (SLD) 形式ではないドメイン名を使用します。Amazon FSxはSLDドメインをサポートしていません。

  • Active Directory サイトが定義されている場合は、ONTAPファイルシステムFSx用の に関連付けられている VPC 内のサブネットが同じ Active Directory サイトに定義されていること、およびVPCサブネットと Active Directory サイトのサブネットの間に競合が存在しないことを確認します。

注記

を使用している場合 AWS Directory Service、 FSxの ONTAPは Simple Active Directory SVMsへの結合をサポートしていません。

ネットワークの設定要件

次のネットワーク設定が適切であり、関連情報が手元にあることを確認してください。

重要

SVM が Active Directory に参加するには、このトピックで説明されているポートで、すべての Active Directory ドメインコントローラーと、 上の両方の iSCSI IP アドレス (iscsi_1 および iscsi_2 論理インターフェイス (LIFs)) 間のトラフィックが許可されていることを確認する必要がありますSVM。

  • DNS サーバーと Active Directory ドメインコントローラーの IP アドレス。

  • AWS Direct Connect、、AWS VPNまたは を使用して、ファイルシステムVPCを作成する Amazon とセルフマネージド Active Directory 間の接続AWS Transit Gateway

  • ファイルシステムを作成するサブネットのセキュリティグループとVPCネットワークはACLs、次の図に示すポートと方向でトラフィックを許可する必要があります。

    FSx ONTAP ファイルシステムの を作成するACLsサブネットVPCのセキュリティグループとネットワークのFSxONTAPポート設定要件を示す図。

    各ポートの役割は、次の表に示されています。

    プロトコル

    ポート

    ロール

    TCP/UDP

    53

    ドメインネームシステム (DNS)

    TCP/UDP

    88

    Kerberos 認証

    TCP/UDP

    389

    Lightweight Directory Access Protocol (LDAP)

    TCP

    445

    Directory Services SMB ファイル共有

    TCP/UDP

    464

    パスワードを変更 / 設定する

    TCP

    636

    TLS/SSL (LDAPS) 経由の Lightweight Directory Access Protocol

  • これらのトラフィックルールは、Active Directory の各ドメインコントローラー、DNSサーバー、FSxクライアント、FSx管理者に適用されるファイアウォールにもミラーリングする必要があります。

    重要

    Amazon VPC セキュリティグループでは、ネットワークトラフィックが開始される方向でのみポートを開く必要がありますが、ほとんどの Windows ファイアウォールとVPCネットワークACLsでは、両方向にポートを開く必要があります。

アクティブディレクトリサービスアカウントの要件

コンピュータをドメインに接続させる権限を委任されたサービスアカウントが、セルフマネージド Microsoft AD にあることを確認してください。サービスアカウントは、特定のタスクを委任されたセルフマネージド Active Directory のユーザーアカウントです。

少なくとも、サービスアカウントには、 に参加する OU で次のアクセス許可を委任する必要がありますSVM。

  • パスワードをリセットする機能

  • アカウントのデータの読み取りと書き込みを制限する機能

  • コンピュータオブジェクトに msDS-SupportedEncryptionTypes プロパティを設定する機能

  • DNS ホスト名に書き込む検証済み機能

  • サービスプリンシパル名への書き込みを許可

  • コンピュータオブジェクトを作成および削除する権限

  • アカウント制限の読み書きを検証する機能

これらは、コンピュータオブジェクトをアクティブディレクトリに結合させるために必要な最小限のアクセス許可セットを表します。詳細については、Windows Server のドキュメントトピック、「エラー: コントロールを委任された管理者以外のユーザーが、コンピュータをドメインコントローラーに接続させようとすると、アクセスが拒否される」を参照してください。

適切なアクセス許可を使用したサービスアカウントの作成の詳細については、「Amazon FSxサービスアカウントへのアクセス許可の委任」を参照してください。

重要

Amazon では、Amazon FSx ファイルシステムの存続期間中、有効なサービスアカウントFSxが必要です。Amazon は、ファイルシステムを完全に管理し、Active Directory ドメインへのリソースの結合を解除して再結合するために必要なタスクを実行できるFSx必要があります。これらのタスクには、障害が発生したファイルシステムまたは の置き換えSVM、またはパッチ適用 NetApp ONTAPソフトウェアが含まれます。サービスアカウントの認証情報などFSx、Active Directory の設定情報を Amazon で最新の状態に保ちます。詳細については、「Amazon で Active Directory 設定を更新する FSx」を参照してください。

FSx で AWS と を初めて使用する場合はONTAP、Active Directory 統合を開始する前に、最初のセットアップ手順を完了してください。詳細については、「FSx のセットアップ ONTAP」を参照してください。

重要

の作成後に Amazon SVMsが OU でFSx作成するコンピュータオブジェクトを移動したり、 が OU に結合されている間SVMは Active Directory を削除したりしないでください。そうすると、 の設定SVMsが間違っています。