セルフマネージド Microsoft AD を使用するための前提条件
セルフマネージド Microsoft AD ドメインに結合している Amazon FSx ファイルシステムを作成する前に、次の要件を作成して設定していることを確認してください。
-
Amazon FSx ファイルシステムが結合するオンプレミスまたはその他のセルフマネージド Microsoft AD で、次の設定を使用します。
-
AD ドメインコントローラーのドメイン機能レベルは、Windows Server 2008 R2 以上です。
-
DNS サーバーの IP アドレスと AD ドメインコントローラーの IP アドレスは、ファイルシステムが作成された時期によって異なります。
2020 年 12 月 17 日以前に作成されたファイルシステムの場合 2020 年 12 月 17 日以降に作成されたファイルシステムの場合 RFC 1918
プライベート IP アドレス範囲内の IP アドレス。 10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
任意の IP アドレス範囲 (以下を除く):
アマゾン ウェブ サービス所有の IP アドレスと競合するその AWS リージョン内の IP アドレス。リージョン別に AWS が所有する IP アドレスのリストについては、「AWS IP アドレスの範囲」を参照してください。
以下の CIDR ブロック範囲内の IP アドレス: 198.19.0.0/16
2020 年 12 月 17 日より前に作成された FSx for Windows ファイルサーバーファイルシステムに、非プライベート IP アドレス範囲を使用してアクセスする必要がある場合は、ファイルシステムのバックアップを復元して、新しいファイルシステムを作成できます。詳細については、「バックアップの使用」を参照してください。
-
シングルラベルドメイン (SLD) 形式ではないドメイン名。Amazon FSx は SLD ドメインをサポートしていません。
-
シングル AZ 2 およびすべてのマルチ AZ ファイルシステムの場合は、アクティブディレクトリのドメイン名は 47 文字を超えてはいけません。
-
アクティブディレクトリサイトが定義されている場合、Amazon FSx ファイルシステムと関連する VPC 内のサブネットがアクティブディレクトリサイトで定義されていること、および VPC 内のサブネットとその他のサイトのサブネットの間に競合が存在しないことを確認する必要があります。
-
以下のネットワーク設定:
-
ファイルシステムを作成する Amazon VPC とセルフマネージドアクティブディレクトリの間に設定されている接続。AWS Direct Connect、AWS VPN、VPC ピアリング、または AWS Transit Gateway を使用して接続性を設定できます。
-
VPC セキュリティグループ については、デフォルトの Amazon VPC のデフォルトセキュリティグループが、コンソールのファイルシステムに、すでに追加されています。FSx ファイルシステムを作成しているサブネットのセキュリティグループと VPC ネットワーク ACL が、次の図表に示す方向のポートでのトラフィックを許可していることを確認してください。
以下の表に、各ポートのロールを示します。
プロトコル
ポート
ロール
TCP / UDP
53
ドメインネームシステム (DNS)
TCP / UDP
88
Kerberos 認証
TCP / UDP
464
パスワードを変更 / 設定する
TCP / UDP
389
ライトウェイトディレクトリアクセスプロトコル (LDAP)
UDP 123 ネットワークタイムプロトコル (NTP)
TCP 135 分散コンピューティング環境 / エンドポイントマッパー (DCE / EPMAP)
TCP
445
ディレクトリサービス SMB ファイル共有
TCP
636
TLS / SSL (LDAPS) を介したライトウェイトディレクトリアクセスプロトコル
TCP
3268
Microsoft グローバルカタログ
TCP
3269
SSL を介した Microsoft グローバルカタログ
TCP
5985
WinRM 2.0 (Microsoft Windows リモート管理)
TCP
9389
Microsoft AD DS ウェブサービス、PowerShell
TCP
49152 - 65535
RPC のエフェメラルポート
重要 シングル AZ 2 および、すべてのマルチ AZ ファイルシステムのデプロイでは、TCP ポート 9389 でアウトバウンドトラフィックを許可する必要があります。
注記 VPC ネットワーク ACL を使用している場合は、FSx ファイルシステムからのダイナミックポート (49152-65535) でのアウトバウンドトラフィックも許可する必要があります。
-
これらのトラフィックルールが、各 ADドメインコントローラー、DNS サーバー、FSx クライアント、および FSx 管理者に適用されるファイアウォールにもミラーリングされていることを確認します。
重要 Amazon VPC セキュリティグループでは、ネットワークトラフィックが開始される方向でのみポートを開く必要がありますが、ほとんどの Windows ファイアウォールおよび VPC ネットワーク ACL では両方向にポートを開く必要があります。
Amazon FSx アクティブディレクトリ検証ツール を使用して、ファイルシステムをセルフマネージド AD に結合させる前に、これらのネットワーク設定をテストします。
-
-
コンピュータをドメインに結合するためのアクセス許可が付与された、セルフマネージド Microsoft AD のサービスアカウント。サービスアカウント は、特定のタスクを委任されたセルフマネージド Microsoft AD のユーザーアカウントです。
サービスアカウントには、少なくとも、ファイルシステムに結合する OU で次の許可を付与する必要があります。
-
パスワードをリセットする機能
-
アカウントのデータの読み取りと書き込みを制限する機能
-
DNS ホスト名への書き込みを検証する機能
-
サービスプリンシパル名への書き込みを検証する機能
-
コンピュータオブジェクトを作成および削除するためのコントロールを委任されます
-
アカウント制限の読み書きを検証する機能
これらは、コンピュータオブジェクトをアクティブディレクトリに参加させるために必要な最小限のアクセス許可セットを表します。詳細については、「Microsoft Windows Server のドキュメント」トピック「エラー: コントロールを付与された管理者以外のユーザーがコンピュータをドメインコントローラーに結合しようとすると、アクセスが拒否される
」を参照してください。 -
適切なアクセス許可を使用したサービスアカウントの作成の詳細については、「 Amazon FSx サービスアカウントへの許可の委任 」を参照してください。
Amazon FSx では、Amazon FSx ファイルシステムの存続期間中、有効なサービスアカウントが必要です。Amazon FSx は、ファイルシステムを完全に管理し、障害が発生したファイルサーバーの交換や Windows Server ソフトウェアのパッチ適用などを使用して、AD ドメインに結合解除と再結合を必要とするタスクを実行できる必要があります。サービスアカウントの認証情報を含むアクティブディレクトリの設定を Amazon FSx で更新してください。この方法の詳細は、「Amazon FSx でアクティブディレクトリ設定を最新の状態に保つ」を参照してください。
Amazon FSx では、AD 環境内のすべてのドメインコントローラーへの接続が必要です。複数のドメインコントローラーがある場合は、それらのすべてが上記の要件を満たしていることを確認し、サービスアカウントに対するすべての変更がすべてのドメインコントローラーに反映されるようにします。Amazon FSx アクティブディレクトリ検証ツールを使用して、AD 設定 (複数のドメインコントローラーの接続テストを含む) を検証できます。
AWS と FSx for Windows ファイルサーバーを初めて使用する場合は、起動する前に必ず設定してください。詳細については、「セットアップ」を参照してください。
ファイルシステム作成後、Amazon FSx が OU に作成するコンピュータオブジェクトは移動しないでください。これを行うと、ファイルシステムが設定ミスになります
