での Amazon FSx の使用AWS Directory Service for Microsoft Active Directory - Amazon FSx for Windows File Server
ネットワーキングの前提条件リソースフォレスト分離モデルの使用Active Directory 設定のテスト

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

での Amazon FSx の使用AWS Directory Service for Microsoft Active Directory

AWS Directory Service for Microsoft Active Directory(AWS Managed Microsoft AD) は、クラウド内に完全管理された高可用性の実際の Active Directory (AD) ディレクトリを提供します。これらの AD ディレクトリは、ワークロード展開で使用できます。

組織がAWS Managed Microsoft ADを使用して ID とデバイスを管理する場合は、Amazon FSx ファイルシステムをAWS Managed Microsoft AD。これを行うことで、Amazon FSx を使用して、ターンキーソリューションをAWS Managed Microsoft AD。AWSは、この 2 つのサービスのデプロイ、運用、高可用性、信頼性、セキュリティ、およびシームレスな統合を処理するため、お客様自身のワークロードを効果的に運用することに集中できます。

Amazon FSx をAWS Managed Microsoft ADセットアップでは、Amazon FSx コンソールを使用できます。コンソールで新しい Amazon FSx for Windows File Server ファイルシステムを作成するときは、AWSマネージド ADWindows 認証を使用します。セクションに追加します。また、使用するディレクトリも選択します。詳細については、「」を参照してくださいステップ 1: ファイルシステムの作成

組織では、自己管理型 Active Directory ドメイン (オンプレミスまたはクラウド) 上の ID とデバイスを管理する場合があります。その場合は、Amazon FSx ファイルシステムを既存の自己管理型 AD ドメインに直接参加できます。詳細については、「」を参照してくださいセルフマネージド型の Microsoft Active Directory での Amazon FSx の使用

さらに、リソースフォレスト分離モデルのメリットを享受するようにシステムを設定することもできます。このモデルでは、Amazon FSx ファイルシステムを含むリソースを、ユーザーのいるフォレストとは別の AD フォレストに分離します。

重要

シングル AZ 2 およびすべてのマルチ AZ ファイルシステムでは、Active Directory ドメイン名は 47 文字を超えることはできません。

ネットワーキングの前提条件

Amazon FSx for Windows File Server ファイルシステムを、AWSMicrosoft Managed AD ドメインを作成するには、以下のネットワーク構成を作成し、設定済みであることを確認します。

  • を使用する場合VPC セキュリティグループデフォルトでは、デフォルトの Amazon VPC のデフォルトのセキュリティグループが、コンソールでファイルシステムに追加されています。FSx ファイルシステムを作成するサブネットのセキュリティグループと VPC ネットワーク ACL によって、次の図に示すポートおよび方向でのトラフィックが許可されていることを確認してください。

    ファイルシステムが作成されるサブネットの VPC セキュリティグループおよびネットワーク ACL に対する Amazon FSX for Windows ファイルサーバーのポート設定要件。

    次の表に、各ポートの役割を示します。

    プロトコル

    ポート

    ロール

    TCP/UDP

    53

    ドメインネームシステム (DNS)

    TCP/UDP

    88

    Kerberos 認証

    TCP/UDP

    464

    パスワードの変更/設定

    TCP/UDP

    389

    Lightweight ディレクトリアクセスプロトコル (
    UDP 123

    NTP (NTP)
    TCP 135

    分散コンピューティング環境/エンドポイントマッパー (DCE/EPMAP)

    TCP

    445

    ディレクトリサービスの SMB ファイル共有

    TCP

    636

    TLS/SSL(LDAPS)を介したライトウェイトディレクトリアクセスプロトコル

    TCP

    3268

    Microsoft Global Catalog

    TCP

    3269

    SSL 経由のマイクロソフトグローバルカタログ

    TCP

    5985

    WinRM 2.0 (マイクロソフトの Windows リモート管理)

    TCP

    9389

    マイクロソフト AD DS Web サービス、PowerShell

    TCP

    49152 - 65535

    RPC 用の一時ポート
    重要

    TCP ポート 9389 でアウトバウンドトラフィックを許可することは、シングル AZ 2 およびすべてのマルチ AZ ファイルシステムの配置に必要です。

    注記

    VPC ネットワーク ACL を使用している場合は、FSx ファイルシステムからの動的ポート(49152-65535)でのアウトバウンドトラフィックも許可する必要があります。

  • Amazon FSx ファイルシステムをAWS別の VPC またはアカウントで Microsoft AD を管理し、その VPC とファイルシステムを作成する Amazon VPC 間の接続を確認します。詳細については、「」を参照してくださいでの Amazon FSx の使用AWS Managed Microsoft AD別の VPC またはアカウントで

    重要

    Amazon VPC セキュリティグループでは、ネットワークトラフィックが開始される方向でのみポートを開く必要がありますが、VPC ネットワーク ACL では両方向にポートを開く必要があります。

の使用Amazon FSx ネットワーク検証ツールActive Directory ドメインコントローラーへの接続を検証するには。

リソースフォレスト分離モデルの使用

ファイルシステムをAWS Managed Microsoft AD設定。次に、一方向フォレストの信頼関係を確立します。AWS Managed Microsoft ADドメインと、既存の自己管理型 AD ドメインで構成されます。Amazon FSx の Windows 認証では、一方向フォレストの信頼のみが必要です。AWS管理フォレストは、企業ドメインフォレストを信頼します。

企業ドメインは信頼されたドメインの役割を引き継ぎ、AWS Directory Service管理対象ドメインは、信頼する側のドメインの役割を果たします。検証済みの認証要求は、ドメイン間の 1 つの方向でのみ送信されるため、企業ドメインのアカウントは、管理対象ドメインで共有されているリソースに対して認証できます。この場合、Amazon FSx は、管理対象ドメインとのみ対話します。その後、管理対象ドメインは認証要求を企業ドメインに渡します。

Active Directory 設定のテスト

Amazon FSx ファイルシステムを作成する前に、Amazon FSx ネットワーク検証ツールを使用して Active Directory ドメインコントローラーへの接続を検証することをお勧めします。詳細については、「」を参照してくださいActive Directory ドメインコントローラーへの接続を検証します

使用する際に役立つ関連リソースは以下の通りです。AWS Directory Service for Microsoft Active DirectoryAmazon FSx for Windows File Server: