AWS Directory Service for Microsoft Active Directory を Amazon FSx と使用する - Amazon FSx for Windows ファイルサーバー

AWS Directory Service for Microsoft Active Directory を Amazon FSx と使用する

AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) は、クラウド内のフルマネージドで、可用性の高い、実際のアクティブディレクトリ (AD) ディレクトリを提供します。これらの AD ディレクトリは、ワークロードのデプロイで使用できます。

組織が ID とデバイスを管理するために AWS Managed Microsoft AD を使用している場合は、Amazon FSx ファイルシステムを AWS Managed Microsoft AD と統合することをお勧めします。これを行うことにより、AWS Managed Microsoft AD で Amazon FSx を使用するターンキーソリューションを取得します。AWS は、2 つのサービスのデプロイ、オペレーション、高可用性、信頼性、セキュリティ、およびシームレスな統合を処理し、独自のワークロードを効果的に運用することに集中できるようにします。

AWS Managed Microsoft AD 設定で Amazon FSx を使用するには、Amazon FSx コンソールを使用できます。コンソールで新しい FSx for Windows ファイルサーバーファイルシステムを作成する場合は、[Windows Authentication] (Windows 認証) セクションの AWS Managed AD (マネージド AD) を選択します。使用する特定のディレクトリも選択します。詳細については、「ステップ 1: ファイルシステムを作成する」を参照してください。

組織は、セルフマネージドアクティブディレクトリドメイン (オンプレミスまたはクラウド) で ID とデバイスを管理している場合があります。その場合は、Amazon FSx ファイルシステムを既存のセルフマネージド型 AD ドメインに直接結合できます。詳細については、「セルフマネージド Microsoft アクティブディレクトリでの Amazon FSX の使用」を参照してください。

さらに、リソースフォレスト分離モデルの恩恵を受けるようにシステムを設定することもできます。このモデルでは、Amazon FSx ファイルシステムを含むリソースを、ユーザーがいる場所から別の AD フォレストに分離します。

重要

シングル AZ 2 およびすべてのマルチ AZ ファイルシステムの場合は、アクティブディレクトリのドメイン名は 47 文字を超えてはいけません。

ネットワークの前提条件

AWS Microsoft マネージド AD ドメインに結合している FSx for Windows ファイルサーバーファイルシステムを作成する前に、次のネットワーク設定を作成して設定済みであることを確認します。

  • VPC セキュリティグループ の場合、デフォルトの Amazon VPC のデフォルトのセキュリティグループが、コンソール内のファイルシステムに既に追加されています。FSx ファイルシステムを作成しているサブネットのセキュリティグループおよび VPC ネットワーク ACL が、以下の図表に示すポートおよび方向でトラフィックを許可していることを確認してください。

    
       FSx for Windows ファイルサーバーのポートの設定には、ファイルシステムが作成されているサブネットの VPC セキュリティグループおよびネットワーク ACL が必要です。

    以下の表に、各ポートのロールを示します。

    プロトコル

    ポート

    ロール

    TCP / UDP

    53

    ドメインネームシステム (DNS)

    TCP / UDP

    88

    Kerberos 認証

    TCP / UDP

    464

    パスワードを変更 / 設定する

    TCP / UDP

    389

    ライトウェイトディレクトリアクセスプロトコル (LDAP)

    UDP 123

    ネットワークタイムプロトコル (NTP)

    TCP 135

    分散コンピューティング環境 / エンドポイントマッパー (DCE / EPMAP)

    TCP

    445

    ディレクトリサービス SMB ファイル共有

    TCP

    636

    TLS / SSL (LDAPS) を介したライトウェイトディレクトリアクセスプロトコル (LDAPS)

    TCP

    3268

    Microsoft グローバルカタログ

    TCP

    3269

    SSL 経由の Microsoft グローバルカタログ

    TCP

    5985

    WinRM2.0 (Microsoft Windows リモート管理)

    TCP

    9389

    Microsoft AD DS ウェブサービス、PowerShell

    TCP

    49152 - 65535

    RPC 用のエフェメラルポート

    重要

    シングル AZ 2 および、すべてのマルチ AZ ファイルシステムのデプロイでは、TCP ポート 9389 でアウトバウンドトラフィックを許可する必要があります。

    注記

    VPC ネットワーク ACL を使用している場合は、FSx ファイルシステムからのダイナミックポート (49152-65535) でのアウトバウンドトラフィックも許可する必要があります。

  • Amazon FSx ファイルシステムを別の VPC またはアカウント内の AWS マネージド Microsoft AD と接続している場合、その VPC とファイルシステムを作成する Amazon VPC 間の接続を確認します。詳細については、「別の VPC またはアカウントで AWS Managed Microsoft AD での Amazon FSx の使用」を参照してください。

    重要

    Amazon VPC セキュリティグループでは、ネットワークトラフィックが開始される方向でのみポートを開く必要がありますが、VPC ネットワーク ACL では両方向にポートを開く必要があります。

Amazon FSx ネットワーク検証ツール を使用して、アクティブディレクトリドメインコントローラーへの接続を検証します。

リソースフォレスト分離モデルの使用

ファイルシステムを AWS Managed Microsoft AD 設定に結合します。次に、作成した AWS Managed Microsoft AD ドメインと、既存のセルフマネージド AD ドメイン間に一方通行のフォレスト信頼関係を確立します。Amazon FSx での Windows 認証では、一方向方向のフォレスト信頼のみが必要であり、AWS マネージドフォレストは、企業ドメインフォレストを信頼します。

企業ドメインは信頼されたドメインのロールを果たし、AWS Directory Service 管理対象ドメインは信頼されたドメインのロールを果たします。検証済み認証リクエストは、ドメイン間を一方向にしか移動しません。これにより、企業ドメインのアカウントがマネージドドメインで共有されているリソースに対して認証を行うことができます。この場合、Amazon FSx はマネージドドメインとのみ対話します。マネージドドメインは、認証リクエストを企業ドメインに渡します。

アクティブディレクトリの設定をテストする

Amazon FSx ファイルシステムを作成する前に、Amazon FSx ネットワーク検証ツールを使用してアクティブディレクトリドメインコントローラーへの接続を検証することをお勧めします。詳細については、「アクティブディレクトリドメインコントローラーへの接続の検証」を参照してください。

以下の関連リソースは、FSx for Windows ファイルサーバーと共に AWS Directory Service for Microsoft Active Directory を使用時に役立ちます。