Amazon FSx を Microsoft Active Directory (Enterprise Edition) 用の AWS Directory Service に使用する - Amazon FSx for Windows File Server
ネットワーキングの前提条件リソース フォレスト分離モデルの使用Active Directory 設定のテスト

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

Amazon FSx を Microsoft Active Directory (Enterprise Edition) 用の AWS Directory Service に使用する

Microsoft Active Directory (Enterprise Edition) 用の AWS Directory Service (AWS Managed Microsoft AD)は、クラウド内で完全に管理された可用性の高い実際のActive Directory(AD)ディレクトリを提供します。これらのADディレクトリは、ワークロードのデプロイで使用できます。

組織が AWS Managed Microsoft AD IDとデバイスを管理するには、 Amazon FSx ファイル システム AWS Managed Microsoft AD. こうすることで、 Amazon FSx と AWS Managed Microsoft AD. AWS は、2 つのサービスの導入、運用、高可用性、信頼性、セキュリティ、シームレスな統合を処理し、お客様が自分のワークロードを効果的に運用することに集中できるようにします。

使用するには Amazon FSx あなたの AWS Managed Microsoft AD セットアップでは、 Amazon FSx コンソール。新しい Amazon FSx for Windows ファイルサーバー コンソール内のファイル システム、 AWS管理AD [ Windows 認証 セクション。また、使用する特定のディレクトリも選択します。詳細については、ステップ1: ファイル・システムの作成 を参照してください。

組織は、自己管理型のActive Directoryドメイン(オンプレミスまたはクラウド)でIDとデバイスを管理する場合があります。その場合は、 Amazon FSx ファイル・システムを直接、既存の自己管理型ADドメインに 詳細については、使用 Amazon FSx セルフマネージドで Microsoft Active Directory を参照してください。

また、リソース・フォレスト分離モデルを活用するようにシステムを設定することもできます。このモデルでは、 Amazon FSx ユーザーが存在する場所とは別のADフォレストにファイル・システムとして移行できます。

重要

Single-AZ 2およびすべてのMulti-AZファイルシステムでは、Active Directoryドメイン名は47文字を超えることはできません。

ネットワーキングの前提条件

作成する前に、 Amazon FSx for Windows ファイルサーバー AWS Microsoft Managed ADドメインに参加しているファイル システムの場合は、次のネットワーク構成を作成し、セットアップしていることを確認します。

  • 対象 VPCセキュリティグループ、デフォルトのセキュリティグループ Amazon VPC は、すでにコンソールのファイルシステムに追加されています。FSx ファイル システムを作成するサブネットのセキュリティ グループと VPC ネットワーク ACL が、次の図に示すポートのトラフィックを許可していることを確認してください。

    Amazon FSx for Windows ファイルサーバー ファイル システムが作成されるサブネットのVPCセキュリティ グループおよびネットワークACLのポート構成要件。

    次の表に、各ポートの役割を示します。

    プロトコル

    ポート

    ロール

    TCP/UDP

    53

    ドメインネームシステム (DNS)

    TCP/UDP

    88

    Kerberos 認証

    TCP/UDP

    464

    パスワードの変更/設定

    TCP/UDP

    389

    LDAP(Lightweight Directory Access Protocol)
    UDP 123

    ネットワーク・タイム・プロトコル(NTP)
    TCP 135

    分散コンピューティング環境/エンドポイント・マッパー(DCE/EPMAP)

    TCP

    445

    ディレクトリサービスSMBファイル共有

    TCP

    636

    ディレクトリサービスSMBファイル共有

    TCP

    3268

    Microsoftグローバルカタログ

    TCP

    3269

    SSL経由のMicrosoftグローバルカタログ

    TCP

    5985(5985)

    WinRM 2.0(Microsoft Windows Remote Management)

    TCP

    9389

    Microsoft AD DS Web Services、PowerShell

    TCP

    49152 - 65535

    RPC用エピメラルポート
    重要

    Single-AZ 2およびすべてのMulti-AZファイルシステム展開では、TCPポート9389でアウトバウンドトラフィックを許可する必要があります。

    注記

    VPCネットワークACLを使用している場合は、FSxファイル システムからの動的ポート((49152-65535)でのアウトバウンド トラフィックも許可する必要があります。

  • を接続している場合、 Amazon FSx ファイル システムからAWS Managed Microsoft ADへ、別のVPCまたはアカウントで転送し、そのVPCと、ファイル システムを作成するAmazon VPC間の接続を確認します。詳細については、使用 Amazon FSx と AWS Managed Microsoft AD 別のVPCまたはアカウントで を参照してください。

    重要

    間 Amazon VPC セキュリティ グループでは、ネットワーク トラフィックが開始される方向でのみポートを開く必要があります。VPCネットワークACLでは、ポートが双方向に開く必要があります。

[ Amazon FSx ネットワーク検証ツール ]をクリックして、Active Directoryドメイン コントローラへの接続を検証します。

リソース フォレスト分離モデルの使用

ファイル システムを AWS Managed Microsoft AD セットアップ。次に、 AWS Managed Microsoft AD 作成したドメインと既存の自己管理ADドメインの2つのドメインがあります。Windows 認証の場合: Amazon FSxAWS 管理フォレストが企業のドメイン フォレストを信頼する一方通行のフォレスト トラストのみが必要です。

企業のドメインは、信頼できるドメインの役割を担い、 AWS Directory Service 管理対象ドメインは、信頼できるドメインの役割を担います。検証済みの認証要求は、ドメイン間で一方向だけ移動します。—管理されたドメインで共有されているリソースに対して、企業ドメインのアカウントが認証されるようにする。この場合、 Amazon FSx は、管理対象ドメインとのみ対話します。管理対象ドメインは、認証要求を企業のドメインに渡します。

Active Directory 設定のテスト

作成する前に、 Amazon FSx ファイル システムの場合、Active Directoryドメイン コントローラへの接続を Amazon FSx ネットワーク検証ツール。詳細については、Active Directoryドメイン コントローラへの接続の検証 を参照してください。

次の関連リソースは、 Microsoft Active Directory (Enterprise Edition) 用の AWS Directory Service と Amazon FSx for Windows ファイルサーバー: