SVM を Microsoft Active Directory に接続する仕組み - FSx for ONTAP
Active Directory に必要な情報

SVM を Microsoft Active Directory に接続する仕組み

組織は、オンプレミスかクラウドかを問わず、Active Directory を使用して ID とデバイスを管理する場合があります。FSx for ONTAP を使用すると、次の方法で SVM を既存の Active Directory ドメインに直接接続させることができます。

  • 作成時に新しい SVM を Active Directory に結合する

    • Amazon FSx コンソールの [標準作成] オプションを使用して新しい FSx for ONTAP ファイルシステム を作成すると、デフォルト SVM をセルフマネージド Active Directory に接続させることができます。詳細については、「ファイルシステムの作成方法 (コンソール)」を参照してください。

    • Amazon FSx コンソール、AWS CLI、Amazon FSx API を使用して、既存の FSx for ONTAP ファイルシステム上に新しい SVM を作成します。詳細については、「ストレージ仮想マシン (SVM) の作成」を参照してください。

  • SVM を既存の Active Directory に結合する

    • AWS Management Console、AWS CLI、API を使用して SVM を Active Directory に接続させて、最初の接続に失敗した場合は SVM を Active Directory に接続させ直します。既に Active Directory に接続している SVM の一部の Active Directory 構成プロパティを更新することもできます。詳細については、「SVM Active Directory 設定の管理」を参照してください。

    • SVM Active Directory 設定の接続、再試行、接続解除には NetApp ONTAP CLI または REST API を使用します。詳細については、「NetApp CLI を使用して SVM Active Directory 設定を更新する」を参照してください。

重要

  • Amazon FSx は、Microsoft DNS をデフォルトの DNS サービスとして使用する場合にのみ、SVM の DNS レコードを登録します。サードパーティー DNS を使用する場合、作成後に Amazon FSx SVM の DNS エントリを手動で設定する必要があります。

  • AWS Managed Microsoft AD を使用する場合、AWS の委任された FSx 管理者、AWS の委任された管理者、OU への許可が委任されたカスタムグループなどのグループを指定する必要があります。

FSx for ONTAP SVM をセルフマネージド Active Directory に直接接続させる場合、SVM は同じ Active Directory フォレスト (ドメイン、ユーザー、コンピュータを含む Active Directory 設定の最上位論理コンテナ) に存在し、ユーザーおよび既存のリソース (既存のファイルサーバーを含む) と同じ Active Directory ドメイン内にあります。

SVM をアクティブディレクトリに接続するときに必要な情報

SVM を Active Directory に接続させるときには、選択する API オペレーションに関わらず、Active Directory に関する次の情報を指定する必要があります。

  • SVM 用に作成するアクティブディレクトリコンピュータオブジェクトの NetBIOS 名。これは Active Directory の SVM の名前であり、Active Directory 内で一意である必要があります。ホームドメインの NetBIOS 名は使用しないでください。NetBIOS 名は 15 文字を超えてはいけません。

  • アクティブディレクトリの[完全修飾ドメイン名 (FQDN)]。FQDN は 255 文字を超えることはできません。

    注記

    FQDN をシングルラベルドメイン (SLD) 形式にすることはできません。Amazon FSx は SLD ドメインをサポートしていません。

  • ドメインの DNS サーバーまたはドメインホストの IP アドレスは最大 3 つまで。

    DNS サーバの IP アドレスとアクティブディレクトリドメインコントローラーの IP アドレスは、以下の場合を除き、任意の IP アドレス範囲内に指定できます。

    • AWS リージョン で Amazon Web Services 所有の IP アドレスと競合する IP アドレス。リージョン別の AWS IP アドレスのリストについては、「AWS IP アドレスの範囲」を参照してください。

    • 以下の CIDR ブロック範囲内の IP アドレス: 198.19.0.0/16

  • Amazon FSx が SVM を Active Directory ドメインに参加させるために使用する Active Directory ドメインのサービスアカウントのユーザー名とパスワード。サービスアカウント要件の詳細については、アクティブディレクトリサービスアカウントの要件 を参照してください。

  • (オプション) SVM に接続させたドメイン内の組織単位 (OU)。

    注記

    SVM を AWS Directory Service Active Directory に接続させる場合、AWS に関連するディレクトリオブジェクト用に AWS Directory Service が作成するデフォルト OU 内にある OU を指定する必要があります。これは、AWS Directory Service が Active Directory のデフォルト Computers OU へのアクセスを提供していないためです。例えば、Active Directory ドメインが example.com の場合、次の OU を指定できます: OU=Computers,OU=example,DC=example,DC=com

  • (オプション) ファイルシステム上で管理アクションを実行する権限を委任するドメイングループ。例えば、このドメイングループが Windows SMB ファイル共有を管理したり、ファイルやフォルダの所有権を取得したりします。このグループを指定しない場合は、Amazon FSx はデフォルトでこの許可を Active Directory ドメインの Domain Admins グループに委任します。