セルフマネージド Microsoft アクティブディレクトリドメインへの Amazon FSx ファイルシステムの結合 - Amazon FSx for Windows File Server
開始する前に

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セルフマネージド Microsoft アクティブディレクトリドメインへの Amazon FSx ファイルシステムの結合

新しい FSx for Windows ファイルサーバーファイルシステムを作成するときに、セルフマネージド Microsoft アクティブディレクトリドメインに結合するように Microsoft アクティブディレクトリ統合を設定できます。これを行うには、Microsoft アクティブディレクトリに次の情報を指定します。

  • オンプレミスの Microsoft アクティブディレクトリのディレクトリの完全修飾ドメイン名。

    注記

    Amazon FSx は現在、シングルラベルドメイン (SLD) ドメインをサポートしていません。

  • ドメインの DNS サーバーの IP アドレス。

  • オンプレミスの Microsoft アクティブディレクトリのドメイン内のサービスアカウントの認証情報。Amazon FSx は、これらの認証情報を使用して、セルフマネージド Active Directory に結合します。

オプションで、以下を指定することもできます。

  • Amazon FSx ファイルシステムに結合させたいドメイン内の特定の組織単位 (OU)。

  • メンバーに Amazon FSx ファイルシステムの管理者許可が付与されているドメイングループの名前。

    注記

    指定するドメイングループ名は、Active Directory 内で一意である必要があります。FSx for Windows File Server は、次の状況ではドメイングループを作成しません。

    • 指定した名前のグループが既に存在する場合

    • 名前を指定せず、「ドメイン管理者」という名前のグループが Active Directory に既に存在する場合。

この情報を指定した後、Amazon FSx は、指定したサービスアカウントを使用して、新しいファイルシステムをセルフマネージド Active Directory ドメインに結合します。

重要

Amazon FSx は、結合しているアクティブディレクトリドメインがデフォルトの DNS として Microsoft DNS を使用している場合のみ、ファイルシステムの DNS レコードを登録します。サードパーティー DNS を使用している場合は、ファイルシステムを作成した後、Amazon FSx ファイルシステムの DNS エントリを手動で設定する必要があります。ファイルシステムに使用する正しい IP アドレスの選択の詳細については、「DNS に使用する正しいファイルシステムの IP アドレスを取得する」を参照してください。

開始する前に

セルフマネージド Microsoft アクティブディレクトリでの Amazon FSx の使用セルフマネージド Microsoft Active Directory を使用するための前提条件 の詳細を完了していることを確認してください。

  1. https://console.aws.amazon.com/fsx/ で Amazon FSx コンソールを開きます。

  2. ダッシュボードで [Create file system] (ファイルシステムの作成) を選択して、ファイルシステム作成ウィザードを起動します。

  3. FSx for Windows ファイルサーバー を選択してから、[Next] (次へ) を選択します。[Create file system] (ファイルシステムの作成) ページが表示されます。

  4. ファイルシステムの名前を入力します。最大 256 文字の Unicode 文字、空白文字、数字、および特殊文字 (+ - = . _ : /) を使用できます。

  5. ストレージ容量 では、ファイルシステムのストレージ容量 (GiB 単位) を入力します。SSD ストレージを使用している場合は、32~65,536 の範囲で任意の整数を入力します。HDD ストレージを使用している場合は、2,000~65,536 の範囲で任意の整数を入力します。ファイルシステムの作成した後、いつでも必要なストレージ容量を増やすことができます。詳細については、「ストレージ容量の管理」を参照してください。

  6. スループット容量 はデフォルト設定のままにします。スループット容量 は、ファイルシステムをホストするファイルサーバーがデータを提供できる持続可能速度です。推奨スループット容量 設定は、選択したストレージ容量に基づきます。推奨スループット容量を超える容量が必要な場合は、[Specify throughput capacity] (スループット容量の指定) を選択し、値を選択します。詳細については、「FSx for Windows File Server のパフォーマンス」を参照してください。

    スループット容量は、ファイルシステムを作成した後、いつでも必要に応じて変更できます。詳細については、「スループット容量の管理」を参照してください。

  7. ファイルシステムに関連付ける VPC を選択します。この入門演習では、 AWS Directory Service ディレクトリおよび Amazon EC2 インスタンスと同じ VPC を選択します。

  8. アベイラビリティーゾーンサブネット の値を選択します。

  9. VPCセキュリティグループ については、デフォルトの Amazon VPC のデフォルトセキュリティグループが、コンソールのファイルシステムに、すでに追加されています。FSx ファイルシステムを作成しているサブネットのセキュリティグループと VPC ネットワーク ACL が、次の図表に示す方向のポートでのトラフィックを許可していることを確認してください。

    FSx for Windows ファイルサーバーの VPC セキュリティグループのポート設定要件と、ファイルシステムが作成されているサブネットのネットワーク ACL。

    以下の表に、各ポートのロールを示します。

    プロトコル

    ポート

    ロール

    TCP / UDP

    53

    ドメインネームシステム (DNS)

    TCP / UDP

    88

    Kerberos 認証

    TCP / UDP

    464

    パスワードを変更 / 設定する

    TCP / UDP

    389

    Lightweight Directory Access Protocol (LDAP)
    UDP 123

    Network Time Protocol (NTP)
    TCP 135

    Distributed Computing Environment / End Point Mapper (DCE / EPMAP)

    TCP

    445

    Directory Services SMB ファイル共有

    TCP

    636

    TLS/SSL (LDAPS) を介した Lightweight Directory Access Protocol (LDAPS)

    TCP

    3268

    Microsoft グローバルカタログ

    TCP

    3269

    SSL 経由の Microsoft グローバルカタログ

    TCP

    5985

    WinRM 2.0 (Microsoft Windows リモート管理)

    TCP

    9389

    Microsoft Active Directory DS Web Services PowerShell

    TCP

    49152 - 65535

    RPC 用のエフェメラルポート
    重要

    シングル AZ 2 および、すべてのマルチ AZ ファイルシステムのデプロイでは、TCP ポート 9389 でアウトバウンドトラフィックを許可する必要があります。

    注記

    VPC ネットワーク ACL を使用している場合は、FSx ファイルシステムからのダイナミックポート (49152-65535) でのアウトバウンドトラフィックも許可する必要があります。

    • セルフマネージド Microsoft アクティブディレクトリドメインの DNS サーバーおよびドメインコントローラーに関連付けられた、IP アドレスへのすべてのトラフィックを許可するアウトバウンドルール。詳細については、「アクティブディレクトリ通信用のファイアウォールの設定に関する Microsoft のドキュメント」 を参照してください。

    • これらのトラフィックルールが、アクティブディレクトリドメインコントローラー、DNS サーバー、FSx クライアント、および FSx 管理者のそれぞれに適用されるファイアウォールにも反映されていることを確認してください。

    注記

    アクティブディレクトリのサイトが定義されている場合、Amazon FSx ファイルシステムに関連付けられた VPC 内のサブネットがアクティブディレクトリのサイトで定義されていること、および VPC 内のサブネットとその他のサイトのサブネットの間に競合が存在しないことを確認する必要があります。これらの設定は、アクティブディレクトリのサイトとサービス MMC スナップインを使用して、表示および変更することができます。

    重要

    Amazon VPC セキュリティグループでは、ネットワークトラフィックが開始される方向でのみポートを開く必要がありますが、ほとんどの Windows ファイアウォールとおよび VPC ネットワーク ACL では両方向にポートを開く必要があります。

  10. [Windows authentication] (Windows 認証) で、[Self-managed Microsoft Active Directory] (セルフマネージド Microsoft アクティブディレクトリ) を選択します。

  11. セルフマネージド Microsoft アクティブディレクトリのディレクトリの [完全修飾ドメイン名] の値を入力します。

    注記

    ドメイン名は、シングルラベルドメイン (SLD) 形式であってはなりません。現在 Amazon FSx では SLD ドメインをサポートしていません。

    重要

    シングル AZ 2 およびすべてのマルチ AZ ファイルシステムの場合は、アクティブディレクトリドメイン名は 47 文字を超えることはできません。

  12. セルフマネージド Microsoft アクティブディレクトリのディレクトリの [組織単位] の値を入力します。

    注記

    指定したサービスアカウントに、ここで指定する OU、または指定しない場合はデフォルトの OU に委任された、アクセス許可があることを確認します。

  13. セルフマネージド Microsoft アクティブディレクトリのディレクトリの [DNS サーバー IP アドレス] に 1 つ以上、2 つ以下の値を入力します。

  14. ServiceAcct など、セルフマネージド Active Directory ドメインのアカウントの [サービスアカウントのユーザーネーム] の文字列値を入力します。Amazon FSx は、このユーザー名を使用して Microsoft アクティブディレクトリドメインに結合します。

    重要

    [Service account username] (サービスアカウントのユーザーネーム) を入力するときは、ドメインプレフィクス (corp.com\ServiceAcct) またはドメインサフィックス (ServiceAcct@corp.com) は含めないでください。

    [Service account username] (サービスアカウントのユーザーネーム) (CN=ServiceAcct,OU=example,DC=corp,DC=com) を入力するときは、識別名 (DN) を使用しないでください。

  15. セルフマネージド Active Directory ドメインのアカウントの [サービスアカウントのパスワード] の値を入力します。Amazon FSx は、このパスワードを使用して Microsoft アクティブディレクトリドメインに結合します。

  16. パスワードを再入力して [Confirm password] (パスワードを確認) で確認します。

  17. [委任されたファイルシステム管理者グループ] で、Domain Admins グループ、またはカスタムの委任されたファイルシステム管理者グループ (自身で作成した場合)を指定してください。指定したグループには、ファイルシステムで管理タスクを実行するための委任許可が与えられます。値を入力しない場合、Amazon FSx はビルトイン Domain Admins グループを使用します。Amazon FSx は、ビルトインコンテナにある Delegated file system administrators group (指定したDomain Adminsグループまたはカスタムグループ) を持つことをサポートしていないことに注意してください。

    重要

    [委任されたファイルシステム管理者グループ] を提供しない場合、デフォルトでは、Amazon FSx はアクティブディレクトリドメインで組み込み Domain Admins グループを使用しようとします。このビルトイングループの名前が変更された場合、またはドメイン管理に別のグループを使用している場合は、そのグループの名前をここに指定する必要があります。

    重要

    グループ名パラメータを指定するときは、ドメインプレフィックス (corp.com\FSxAdmins) またはドメインサフィックス (F SxAdmins@corp.com) を含めないでください。

    グループには識別名 (DN) を使用しないでください。識別名の例としては、CN=F SxAdmins、OU=example、DC=corp、DC=com があります。

次の例では、us-east-2 アベイラビリティーゾーンにおける SelfManagedActiveDirectoryConfiguration で FSx for Windows ファイルサーバーファイルシステムを作ります。

aws fsx --region us-east-2 \
create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--security-group-ids security-group-id \
--subnet-ids subnet-id\
--windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \
UserName="FSxService",Password="password", \
   DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
重要

ファイルシステムの作成後に Amazon FSx が OU で作成するコンピュータオブジェクトを移動しないでください。これを行うと、ファイルシステムが正しく設定されなくなります。