翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
セルフマネージド Microsoft Active Directory を使用するための前提条件
セルフマネージド Microsoft Active Directory ドメインに参加する Amazon FSx ファイルシステムを作成する前に、以下の前提条件を確認してください。
オンプレミス構成
Amazon FSx ファイルシステムに参加できるオンプレミスまたはその他のセルフマネージド Microsoft Active Directory があることを確認してください。オンプレミス Active Directory には以下の設定が必要です。
-
Active Directory ドメインコントローラーのドメイン機能レベルは、Windows Server 2008 R2 以上です。
-
DNS サーバーの IP アドレスと Active Directory ドメインコントローラーの IP アドレスは、ファイルシステムの作成時期に応じて次のようになります。
2020 年 12 月 17 日以前に作成されたファイルシステムの場合 2020 年 12 月 17 日以降に作成されたファイルシステムの場合 IP アドレスは、RFC 1918
プライベート IP アドレス範囲内でなければなりません。 10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
IP アドレスは、以下を除く任意の範囲で指定できます。
その AWS リージョンで Amazon Web Services が所有する IP アドレスと競合する IP アドレス。リージョン別の AWS 所有 IP アドレスのリストについては、AWS 「IP アドレス範囲」を参照してください。
以下の CIDR ブロック範囲内の IP アドレス: 198.19.0.0/16
2020 年 12 月 17 日以前に作成された FSx for Windows ファイルサーバーのファイルシステムに、非プライベート IP アドレス範囲を使用してアクセスする必要がある場合は、ファイルシステムのバックアップを復元して、新しいファイルシステムを作成できます。詳細については、「バックアップの使用」を参照してください。
-
シングルラベルドメイン (SLD) 形式ではないドメイン名。Amazon FSx は SLD ドメインをサポートしていません。
-
シングル AZ 2 およびすべてのマルチ AZ ファイルシステムの場合は、アクティブディレクトリドメイン名は 47 文字を超えることはできません。
-
Active Directory サイトが定義されている場合は、Amazon FSx ファイルシステムと関連する VPC 内のサブネットが Active Directory サイトで定義されている必要があり、VPC 内のサブネットとその他のサイトのサブネットの間に競合が存在してはなりません。
Active Directory ドメインコントローラーと Amazon FSx 間の ICMP トラフィックを許可するには、ファイアウォールにルールを追加する必要がある場合があります。
ネットワークの設定
このセクションでは、ファイルシステムをセルフマネージド Active Directory に結合するために必要なネットワーク設定について説明します。
ファイルシステムをセルフマネージド Active Directory に結合する前に、Amazon FSx Active Directory 検証ツールを使用してネットワーク設定をテストすることをお勧めします。
-
ファイルシステムを作成する Amazon VPC とセルフマネージド Active Directory 間で接続を設定する必要があります。この接続は、 AWS Direct Connect、、VPC ピアリング AWS Virtual Private Network、または を使用して設定できますAWS Transit Gateway。 https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html
-
[VPC セキュリティグループ] については、デフォルトの Amazon VPC のデフォルトセキュリティグループが、コンソールのファイルシステムに追加する必要があります。FSx ファイルシステムを作成するサブネットのセキュリティグループと VPC ネットワーク ACL が、以下の図表に示すポート上のトラフィックを許可していることを確認します。
以下の表に、各ポートのロールを示します。
プロトコル
ポート
ロール
TCP / UDP
53
ドメインネームシステム (DNS)
TCP / UDP
88
Kerberos 認証
TCP / UDP
464
パスワードを変更/設定する
TCP / UDP
389
Lightweight Directory Access Protocol (LDAP)
UDP 123 Network Time Protocol (NTP)
TCP 135 分散コンピューティング環境/エンドポイントマッパー (DCE/EPMAP)
TCP
445
Directory Services SMB ファイル共有
TCP
636
TLS/SSL (LDAPS) を介した Lightweight Directory Access Protocol (LDAPS)
TCP
3268
Microsoft グローバルカタログ
TCP
3269
SSL 経由の Microsoft グローバルカタログ
TCP
5985
WinRM 2.0 (Microsoft Windows リモート管理)
TCP
9389
Microsoft Active Directory DS Web Services、 PowerShell
TCP
49152 - 65535
RPC 用のエフェメラルポート
これらのトラフィックルールが、Active Directory ドメインコントローラー、DNS サーバー、FSx クライアント、FSx 管理者のそれぞれに適用されるファイアウォールにも反映されていることを確認してください。
重要
シングル AZ 2 およびマルチ AZ ファイルシステムのデプロイでは、TCP ポート 9389 でアウトバウンドトラフィックを許可する必要があります。
注記
VPC ネットワーク ACL を使用している場合は、FSx ファイルシステムからのダイナミックポート (49152-65535) でのアウトバウンドトラフィックも許可する必要があります。
重要
Amazon VPC セキュリティグループでは、ネットワークトラフィックが開始される方向でのみポートを開く必要がありますが、ほとんどの Windows ファイアウォールとおよび VPC ネットワーク ACL では両方向にポートを開く必要があります。
サービスアカウントのアクセス許可
コンピュータをドメインに参加させるアクセス許可を委任されたサービスアカウントがセルフマネージド Microsoft Active Directory にあることを確認してください。サービスアカウントは、特定のタスクを委任されたセルフマネージド Microsoft Active Directory のユーザーアカウントです。
サービスアカウントには、少なくともファイルシステムを参加させる OU における以下のアクセス許可が委任されている必要があります。
-
パスワードをリセットする機能
-
アカウントのデータの読み取りと書き込みを制限する機能
-
DNS ホスト名への書き込みを検証する機能
-
サービスプリンシパル名への書き込みを検証する機能
-
コンピュータオブジェクトを作成および削除する機能(委任可)
-
アカウントの検証を読み書きするための検証済みの機能
-
アクセス許可を変更する機能
これらは、コンピュータオブジェクトをアクティブディレクトリに参加させるために必要な最小限のアクセス許可セットを表します。詳細については、「Microsoft Windows Server のドキュメント」トピック「エラー: コントロールを付与された管理者以外のユーザーがコンピュータをドメインコントローラーに結合しようとすると、アクセスが拒否される
正しい許可でサービスアカウントを作成する方法の詳細については、「 Amazon FSx サービスアカウントへの許可の委任 」を参照してください。
Amazon FSx では、Amazon FSx ファイルシステムの存続期間中、有効なサービスアカウントが必要です。Amazon FSx は、ファイルシステムを完全に管理し、サービスアカウントを使用して Active Directory ドメインの結合解除と再結合を必要とするタスクを実行できる必要があります。これらのタスクには、障害が発生したファイルサーバーの置き換えや Windows Server ソフトウェアのパッチ適用が含まれます。サービスアカウントの認証情報を含む Active Directory 設定を Amazon FSx で更新することが不可欠です。詳細については、「Active Directory 設定を最新の状態に保つ」を参照してください。
Amazon FSx では、Active Directory 環境内のすべてのドメインコントローラーへの接続が必要です。複数のドメインコントローラーがある場合は、それらのすべてが上記の要件を満たしていることを確認し、サービスアカウントに対するすべての変更がすべてのドメインコントローラーに反映されるようにします。
Amazon FSx Active Directory 検証ツールを使用し、Active Directory 設定 (複数のドメインコントローラーの接続テストを含む) を検証できます。接続が必要なドメインコントローラーの数を制限するために、オンプレミスのドメインコントローラーと AWS Managed Microsoft ADの間に信頼関係を構築することもできます。詳細については、「リソースフォレスト分離モデルの使用」を参照してください。
重要
ファイルシステム作成後、Amazon FSx が OU に作成するコンピュータオブジェクトは移動しないでください。これを行うと、ファイルシステムが設定ミスになります