Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

SVM をセルフマネージド Microsoft AD に接続させるための前提条件

フォーカスモード
SVM をセルフマネージド Microsoft AD に接続させるための前提条件 - FSx for ONTAP

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

FSx for ONTAP SVM をセルフマネージド Microsoft AD ドメインに接続させる前に、アクティブディレクトリとネットワークが次のセクションに説明されている要件を満たしていることを確認してください。

オンプレミスのアクティブディレクトリ要件

SVM が接続できるオンプレミスまたはその他のセルフマネージド Microsoft AD が既にあることを確認してください。この Active Directory には、次の設定が含まれる必要があります。

  • Active Directory ドメインコントローラードメイン機能レベルは Windows Server 2000 以降です。

  • Active Directory が、シングルラベルドメイン (SLD) 形式ではないドメイン名を使用している。Amazon FSx は SLD ドメインをサポートしていません。

  • Active Directory サイトが定義されている場合は、FSx for ONTAP ファイルシステムと関連付けされた VPC 内のサブネットが同じ Active Directory サイトで定義され、かつ VPC サブネットと Active Directory サイトのサブネットの間に競合がないことを確認してください。

注記

を使用している場合 AWS Directory Service、FSx for ONTAP は SVMs の Simple Active Directory への結合をサポートしていません。

ネットワークの設定要件

次のネットワーク設定が適切であり、関連情報が手元にあることを確認してください。

重要

SVM をアクティブディレクトリに接続するには、このトピックに記載されているポートが、すべてのアクティブディレクトリドメインコントローラと SVM 上の両方の iSCSI IP アドレス (iscsi_1 と iscsi_2 の論理インターフェイス (LIF)) 間のトラフィックを許可していることを確認する必要があります。

  • DNS サーバーと Active Directory ドメインコントローラーの IP アドレス。

  • ファイルシステムを作成する Amazon VPC と、「AWS Direct Connect」、「AWS VPN」、「AWS Transit Gateway」を使用しているセルフマネージドアクティブディレクトリ間の接続。

  • ファイルシステムを作成しているサブネットのセキュリティグループおよび VPC ネットワーク ACL で、次の図面に示されているポートとトラフィック方向でトラフィックを許可する必要があります。

    VPC セキュリティグループの FSx for ONTAP ポート設定要件と、FSx for ONTAP ファイルシステムを作成中のサブネット用ネットワーク ACL を示している図面。

    各ポートの役割は、次の表に示されています。

    プロトコル

    ポート

    ロール

    TCP / UDP

    53

    ドメインネームシステム (DNS)

    TCP / UDP

    88

    Kerberos 認証

    TCP / UDP

    389

    Lightweight Directory Access プロトコル (LDAP)

    TCP

    445

    Directory Services SMB ファイル共有

    TCP / UDP

    464

    パスワードを変更 / 設定する

    TCP

    636

    TLS/SSL (LDAPS) を介した Lightweight Directory Access Protocol (LDAPS)

  • これらのトラフィックルールは、Active Directory ドメインコントローラー、DNS サーバー、FSx クライアント、FSx 管理者のそれぞれに適用されるファイアウォールにも反映されている必要があります。

    重要

    Amazon VPC セキュリティグループでは、ネットワークトラフィックが開始される方向でのみポートを開く必要がありますが、ほとんどの Windows ファイアウォールとおよび VPC ネットワーク ACL では両方向にポートを開く必要があります。

アクティブディレクトリサービスアカウントの要件

コンピュータをドメインに接続させる権限を委任されたサービスアカウントが、セルフマネージド Microsoft AD にあることを確認してください。サービスアカウントは、特定のタスクを委任されたセルフマネージド Active Directory のユーザーアカウントです。

サービスアカウントには最低でも、SVM を接続させる OU で次の許可が委任されている必要があります。

  • パスワードをリセットする機能

  • アカウントのデータの読み取りと書き込みを制限する機能

  • コンピュータオブジェクトに msDS-SupportedEncryptionTypes プロパティを設定する機能

  • DNS ホスト名への書き込み許可

  • サービスプリンシパル名への書き込みを許可

  • コンピュータオブジェクトを作成および削除する権限

  • アカウント制限の読み書きを検証する機能

これらは、コンピュータオブジェクトをアクティブディレクトリに結合させるために必要な最小限のアクセス許可セットを表します。詳細については、Windows Server のドキュメントトピック、「エラー: コントロールを委任された管理者以外のユーザーが、コンピュータをドメインコントローラーに接続させようとすると、アクセスが拒否される」を参照してください。

適切なアクセス許可を使用したサービスアカウントの作成の詳細については、「Amazon FSx サービスアカウントにアクセス許可を委任する」を参照してください。

重要

Amazon FSx では、Amazon FSx ファイルシステムの存続期間中、有効なサービスアカウントが必要です。Amazon FSx はファイルシステムを完全に管理し、Active Directory ドメインへのリソースの接続解除や再接続を実行するために必要となるタスクを実行できる必要があります。これらのタスクには、障害が発生したファイルシステムや SVM の交換、あるいは NetApp ONTAP ソフトウェアのパッチ適用が含まれます。サービスアカウントの認証情報を含む Active Directory の情報を Amazon FSx で定期的に更新してください。詳細については、「Amazon FSx でアクティブディレクトリ設定を最新の状態に保つ」を参照してください。

AWS と FSx for ONTAP を初めて使用する場合は、Active Directory 統合を開始する前に、初期設定手順を完了してください。詳細については、「FSx for ONTAP の設定」を参照してください。

重要

SVM が作成された後に Amazon FSx が OU に作成したコンピュータオブジェクトを移動したり、SVM が結合されている間に Active Directory を削除したりしないでください。移動した場合、SVM が誤設定される原因となります。

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.