Amazon FSx サービスアカウントの変更 - Amazon FSx for Windows File Server
ドメインコントローラーのグループポリシーの設定

Amazon FSx サービスアカウントの変更

ファイルシステムを新しいサービスアカウントで更新する場合は、その新しいサービスアカウントに Active Directory を結合させるのに必要なアクセス許可と権限、およびファイルシステムに関連付けられている既存のコンピュータオブジェクトに対する [フルコントロール] アクセス許可が付与されていることを確認してください。さらに、新しいサービスアカウントが、ドメインコントローラー: ドメイン結合中にコンピュータアカウントの再利用を許可することを設定する [グループポリシー] が有効である、信頼されたアカウントの一部であることを確認します。

Active Directory グループを使用して、サービスアカウントに関連付けられた Active Directory のアクセス許可と設定を管理することを強くお勧めします。

Amazon FSx のサービスアカウントを変更する場合、サービスアカウントに次の設定があることを確認してください。

  • 新しいサービスアカウント (またはメンバーである Active Directory グループ) には、ファイルシステムに関連付けられている既存のコンピュータオブジェクトに対する [フルコントロール] アクセス許可を有している。

  • 新規および以前のサービスアカウント (またはそれらが属する Active Directory グループ) は、ドメインコントローラー: ドメイン結合中にコンピュータアカウントを再使用することを許可すると、Active Directory 内のすべてのドメインコントローラーで有効になっているグループポリシー設定を持つ信頼されたアカウント (または信頼された Active Directory グループ) の一部です。

サービスアカウントがこれらの要件を満たしていない場合、次の条件が発生する可能性があります。

  • シングル AZ ファイルシステムの場合、ファイルシステムは MISCONFIGURED_UNAVAILABLE になる可能性があります。

  • マルチ AZ ファイルシステムでは、ファイルシステムが MISCONFIGURED になり、RemotePowerShell エンドポイント名が変更される可能性があります。

ドメインコントローラーのグループポリシーの設定

次の Microsoft の推奨手順では、ドメインコントローラーグループポリシーを使用して許可リストポリシーを設定する方法について説明します。

ドメインコントローラーの許可リストポリシーを設定するには

  1. 2023 年 9 月 12 日以降の Microsoft Windows 更新プログラムを、セルフマネージド Microsoft Active Directory のすべてのメンバーコンピュータとドメインコントローラーにインストールします。

  2. セルフマネージド Active Directory 内のすべてのドメインコントローラーに適用される新規または既存のグループポリシーで、以下の設定を行います。

    1. [コンピュータ設定] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [ローカルポリシー] > [セキュリティオプション] の順にに移動します。

    2. [ドメインコントローラーをダブルクリック: ドメイン結合中にコンピュータアカウントの再利用を許可する] をダブルクリックします。

    3. [このポリシー設定の定義を選択し、<セキュリティの編集> を選択します。

    4. オブジェクトピッカーを使用して、信頼できるコンピュータアカウント作成者と所有者のユーザーまたはグループを [許可] アクセス許可に追加します。(ベストプラクティスとして、アクセス許可にグループを使用することを強くお勧めします)。ドメイン結合を実行するユーザーアカウントを追加しないでください。

      警告

      メンバーシップを信頼されたユーザーとサービスアカウントに限定します。認証されたユーザー、全員、またはその他の大きなグループをこのポリシーに追加しないでください。代わりに、特定の信頼されたユーザーとサービスアカウントをグループに追加し、それらのグループをポリシーに追加します。

  3. グループポリシーの更新間隔を待つか、すべてのドメインコントローラーで gpupdate /force を実行します。

  4. HKLM\System\CCS\Control\SAM – “ComputerAccountReuseAllowList” レジストリキーに目的の SDDL が入力されていることを確認します。レジストリを手動で編集しないでください

  5. 2023 年 9 月 12 日以降の更新がインストールされているコンピュータへの参加を試みます。ポリシーに記載されているアカウントの 1 つがコンピュータアカウントを所有していることを確認します。また、レジストリで NetJoinLegacyAccountReuse キーが有効になっていない (1 に設定) ことを確認してください。ドメイン結合が失敗した場合、c:\windows\debug\netsetup.log を確認します。