セルフマネージド Microsoft Active Directory を使用するための前提条件 - Amazon FSx for Windows File Server
オンプレミス構成ネットワークの設定サービスアカウントのアクセス許可

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セルフマネージド Microsoft Active Directory を使用するための前提条件

セルフマネージド Microsoft Active Directory ドメインに参加する Amazon FSx ファイルシステムを作成する前に、以下の前提条件を確認してください。

オンプレミス構成

Amazon FSx ファイルシステムに参加できるオンプレミスまたはその他のセルフマネージド Microsoft Active Directory があることを確認してください。オンプレミス Active Directory には以下の設定が必要です。

  • Active Directory ドメインコントローラーのドメイン機能レベルは、Windows Server 2008 R2 以上です。

  • DNS サーバーの IP アドレスと Active Directory ドメインコントローラーの IP アドレスは、ファイルシステムの作成時期に応じて次のようになります。

    2020 年 12 月 17 日以前に作成されたファイルシステムの場合 2020 年 12 月 17 日以降に作成されたファイルシステムの場合

    IP アドレスは、RFC 1918 プライベート IP アドレス範囲内でなければなりません。

    • 10.0.0.0/8

    • 172.16.0.0/12

    • 192.168.0.0/16

    IP アドレスは、以下を除く任意の範囲で指定できます。

    • その AWS リージョンで Amazon Web Services が所有する IP アドレスと競合する IP アドレス。リージョン別の AWS 所有 IP アドレスのリストについては、AWS 「IP アドレス範囲」を参照してください。

    • 以下の CIDR ブロック範囲内の IP アドレス: 198.19.0.0/16

    2020 年 12 月 17 日以前に作成された FSx for Windows ファイルサーバーのファイルシステムに、非プライベート IP アドレス範囲を使用してアクセスする必要がある場合は、ファイルシステムのバックアップを復元して、新しいファイルシステムを作成できます。詳細については、「バックアップの使用」を参照してください。

  • シングルラベルドメイン (SLD) 形式ではないドメイン名。Amazon FSx は SLD ドメインをサポートしていません。

  • シングル AZ 2 およびすべてのマルチ AZ ファイルシステムの場合は、アクティブディレクトリドメイン名は 47 文字を超えることはできません。

  • Active Directory サイトが定義されている場合は、Amazon FSx ファイルシステムと関連する VPC 内のサブネットが Active Directory サイトで定義されている必要があり、VPC 内のサブネットとその他のサイトのサブネットの間に競合が存在してはなりません。

  • Active Directory ドメインコントローラーと Amazon FSx 間の ICMP トラフィックを許可するには、ファイアウォールにルールを追加する必要がある場合があります。

ネットワークの設定

このセクションでは、ファイルシステムをセルフマネージド Active Directory に結合するために必要なネットワーク設定について説明します。

ファイルシステムをセルフマネージド Active Directory に結合する前に、Amazon FSx Active Directory 検証ツールを使用してネットワーク設定をテストすることをお勧めします。

  • ファイルシステムを作成する Amazon VPC とセルフマネージド Active Directory 間で接続を設定する必要があります。この接続は、 AWS Direct Connect、、VPC ピアリング AWS Virtual Private Network、または を使用して設定できますAWS Transit Gatewayhttps://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html

  • [VPC セキュリティグループ] については、デフォルトの Amazon VPC のデフォルトセキュリティグループが、コンソールのファイルシステムに追加する必要があります。FSx ファイルシステムを作成するサブネットのセキュリティグループと VPC ネットワーク ACL が、以下の図表に示すポート上のトラフィックを許可していることを確認します。

    FSx for Windows ファイルサーバーのポートの設定要件は、ファイルシステムが作成されるサブネットの VPC セキュリティグループおよびネットワーク ACL があることです。

    以下の表に、各ポートのロールを示します。

    プロトコル

    ポート

    ロール

    TCP / UDP

    53

    ドメインネームシステム (DNS)

    TCP / UDP

    88

    Kerberos 認証

    TCP / UDP

    464

    パスワードを変更/設定する

    TCP / UDP

    389

    Lightweight Directory Access Protocol (LDAP)
    UDP 123

    Network Time Protocol (NTP)
    TCP 135

    分散コンピューティング環境/エンドポイントマッパー (DCE/EPMAP)

    TCP

    445

    Directory Services SMB ファイル共有

    TCP

    636

    TLS/SSL (LDAPS) を介した Lightweight Directory Access Protocol (LDAPS)

    TCP

    3268

    Microsoft グローバルカタログ

    TCP

    3269

    SSL 経由の Microsoft グローバルカタログ

    TCP

    5985

    WinRM 2.0 (Microsoft Windows リモート管理)

    TCP

    9389

    Microsoft Active Directory DS Web Services、 PowerShell

    TCP

    49152 - 65535

    RPC 用のエフェメラルポート

    これらのトラフィックルールが、Active Directory ドメインコントローラー、DNS サーバー、FSx クライアント、FSx 管理者のそれぞれに適用されるファイアウォールにも反映されていることを確認してください。

重要

シングル AZ 2 およびマルチ AZ ファイルシステムのデプロイでは、TCP ポート 9389 でアウトバウンドトラフィックを許可する必要があります。

注記

VPC ネットワーク ACL を使用している場合は、FSx ファイルシステムからのダイナミックポート (49152-65535) でのアウトバウンドトラフィックも許可する必要があります。

重要

Amazon VPC セキュリティグループでは、ネットワークトラフィックが開始される方向でのみポートを開く必要がありますが、ほとんどの Windows ファイアウォールとおよび VPC ネットワーク ACL では両方向にポートを開く必要があります。

サービスアカウントのアクセス許可

コンピュータをドメインに参加させるアクセス許可を委任されたサービスアカウントがセルフマネージド Microsoft Active Directory にあることを確認してください。サービスアカウントは、特定のタスクを委任されたセルフマネージド Microsoft Active Directory のユーザーアカウントです。

サービスアカウントには、少なくともファイルシステムを参加させる OU における以下のアクセス許可が委任されている必要があります。

  • パスワードをリセットする機能

  • アカウントのデータの読み取りと書き込みを制限する機能

  • DNS ホスト名への書き込みを検証する機能

  • サービスプリンシパル名への書き込みを検証する機能

  • コンピュータオブジェクトを作成および削除する機能(委任可)

  • アカウントの検証を読み書きするための検証済みの機能

  • アクセス許可を変更する機能

これらは、コンピュータオブジェクトをアクティブディレクトリに参加させるために必要な最小限のアクセス許可セットを表します。詳細については、「Microsoft Windows Server のドキュメント」トピック「エラー: コントロールを付与された管理者以外のユーザーがコンピュータをドメインコントローラーに結合しようとすると、アクセスが拒否される」を参照してください。

正しい許可でサービスアカウントを作成する方法の詳細については、「 Amazon FSx サービスアカウントへの許可の委任 」を参照してください。

Amazon FSx では、Amazon FSx ファイルシステムの存続期間中、有効なサービスアカウントが必要です。Amazon FSx は、ファイルシステムを完全に管理し、サービスアカウントを使用して Active Directory ドメインの結合解除と再結合を必要とするタスクを実行できる必要があります。これらのタスクには、障害が発生したファイルサーバーの置き換えや Windows Server ソフトウェアのパッチ適用が含まれます。サービスアカウントの認証情報を含む Active Directory 設定を Amazon FSx で更新することが不可欠です。詳細については、「Active Directory 設定を最新の状態に保つ」を参照してください。

Amazon FSx では、Active Directory 環境内のすべてのドメインコントローラーへの接続が必要です。複数のドメインコントローラーがある場合は、それらのすべてが上記の要件を満たしていることを確認し、サービスアカウントに対するすべての変更がすべてのドメインコントローラーに反映されるようにします。

Amazon FSx Active Directory 検証ツールを使用し、Active Directory 設定 (複数のドメインコントローラーの接続テストを含む) を検証できます。接続が必要なドメインコントローラーの数を制限するために、オンプレミスのドメインコントローラーと AWS Managed Microsoft ADの間に信頼関係を構築することもできます。詳細については、「リソースフォレスト分離モデルの使用」を参照してください。

重要

ファイルシステム作成後、Amazon FSx が OU に作成するコンピュータオブジェクトは移動しないでください。これを行うと、ファイルシステムが設定ミスになります