アクティブディレクトリ設定の検証 - Amazon FSx for Windows File Server

アクティブディレクトリ設定の検証

アクティブディレクトリに結合している FSx for Windows ファイルサーバーファイルシステムを作成する前に、Amazon FSx アクティブディレクトリ検証ツールを使用して、アクティブディレクトリ設定を検証します。

アクティブディレクトリの設定を検証するには

  1. FSx for Windows ファイルサーバーファイルシステムに使用するのと同じサブネットと、同じ Amazon VPC セキュリティグループで Amazon EC2 Windows インスタンスを起動します。EC2 インスタンスが AmazonEC2ReadOnlyAccess IAM アクセス許可を必要としていることを確認します IAM ポリシーシミュレーターを使用して、EC2 インスタンスロールのアクセス許可を検証できます。詳細については、「IAM ユーザーガイド」の「IAM ポリシーシミュレーターを使用した IAM ポリシーのテスト」を参照してください。

  2. EC2 Windows インスタンスをアクティブディレクトリに結合します。詳細については、「AWS Directory Service 管理ガイド」の「Windows インスタンスを手動で結合する」を参照してください。

  3. EC2 インスタンスに接続します。詳細については、「Windows インスタンスのAmazon EC2 ユーザーガイド」の「Windows インスタンスへの接続」を参照してください。

  4. EC2 インスタンスで Windows PowerShell ウィンドウを開きます (管理者として実行 を使用)。

    Windows PowerShell で必要なアクティブディレクトリモジュールがインストールされているかどうかをテストするには、次のテストコマンドを使用します。

    PS C:\> Import-Module ActiveDirectory

    上記でエラーが返された場合は、次のコマンドを使用してインストールします。

    PS C:\> Install-WindowsFeature RSAT-AD-PowerShell
  5. 次のコマンドを使用して、ネットワーク検証ツールをダウンロードします。

    PS C:\> Invoke-WebRequest "https://docs.aws.amazon.com/fsx/latest/WindowsGuide/samples/AmazonFSxADValidation.zip" -OutFile "AmazonFSxADValidation.zip"
  6. 次のコマンドを使用して zip ファイルを展開します。

    PS C:\> Expand-Archive -Path "AmazonFSxADValidation.zip"
  7. AmazonFSxADValidation モジュールを現在のセッションに追加します。

    PS C:\> Import-Module .\AmazonFSxADValidation
  8. 以下のコマンドを代入して、必要なパラメータを設定します。

    • アクティブディレクトリドメイン名 (DOMAINNAME.COM)

    • 次のいずれかのオプションを使用して、サービスアカウントのパスワードの $Credential オブジェクトを準備します。

      • 認証情報オブジェクトをインタラクティブに生成するには、次のコマンドを使用します。

        $Credential = Get-Credential
      • AWS Secrets Manager リソースを使用して認証情報オブジェクトを生成するには、次のコマンドを使用します。

        $Secret = ConvertFrom-Json -InputObject (Get-SECSecretValue -SecretId $AdminSecret).SecretString $Credential = (New-Object PSCredential($Secret.UserName,(ConvertTo-SecureString $Secret.Password -AsPlainText -Force)))
    • DNS サーバーの IP アドレス (IP_ADDRESS_1IP_ADDRESS_2)

    • Amazon FSx ファイルシステムを作成する予定のサブネットのサブネット ID (例えば、SUBNET_1SUBNET_2subnet-04431191671ac0d19)。

    PS C:\> $FSxADValidationArgs = @{ # DNS root of ActiveDirectory domain DomainDNSRoot = 'DOMAINNAME.COM' # IP v4 addresses of DNS servers DnsIpAddresses = @('IP_ADDRESS_1', 'IP_ADDRESS_2') # Subnet IDs for Amazon FSx file server(s) SubnetIds = @('SUBNET_1', 'SUBNET_2') Credential = $Credential }
  9. (オプション) 検証ツールを実行する前に README.md ファイルに含まれる以下の指示に従って、組織単位、委任された管理者グループ、DomainControllersMaxCount を設定し、サービスアカウントの許可を有効にします。

    注記

    オペレーティングシステムが英語でない場合は、ビルトイン Domain Admins グループの名前は異なります。例えば、フランス語の OS バージョンではグループの名前は Administrateurs du domaine です。値を指定していない場合、デフォルトの Domain Admins グループ名が使用され、ファイルシステムの作成は失敗します。

  10. このコマンドを使用して検証ツールを実行します。

    PS C:\> $Result = Test-FSxADConfiguration @FSxADValidationArgs
  11. 以下に、正常なテスト結果の例を示します。

    Test 1 - Validate EC2 Subnets ... ... Test 17 - Validate 'Delete Computer Objects' permission ... Test computer object amznfsxtestd53f deleted! ... SUCCESS - All tests passed! Please proceed to creating an Amazon FSx file system. For your convenience, SelfManagedActiveDirectoryConfiguration of result can be used directly in CreateFileSystemWindowsConfiguration for New-FSXFileSystem PS C:\AmazonFSxADValidation> $Result.Failures.Count 0 PS C:\AmazonFSxADValidation> $Result.Warnings.Count 0

    以下に、エラーのあるテスト結果の例を示します。

    Test 1 - Validate EC2 Subnets ... ... Test 7 - Validate that provided EC2 Subnets belong to a single AD Site ... Name DistinguishedName Site ---- ----------------- ---- 10.0.0.0/19 CN=10.0.0.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=SiteB,CN=Sites,CN=Configu... 10.0.128.0/19 CN=10.0.128.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=Default-First-Site-Name,C... 10.0.64.0/19 CN=10.0.64.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=SiteB,CN=Sites,CN=Configu... Best match for EC2 subnet subnet-092f4caca69e360e7 is AD site CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st-ad,DC=local Best match for EC2 subnet subnet-04431191671ac0d19 is AD site CN=SiteB,CN=Sites,CN=Configuration,DC=test-ad,DC=local WARNING: EC2 subnets subnet-092f4caca69e360e7 subnet-04431191671ac0d19 matched to different AD sites! Make sure they are in a single AD site. ... 9 of 16 tests skipped. FAILURE - Tests failed. Please see error details below: Name Value ---- ----- SubnetsInSeparateAdSites {subnet-04431191671ac0d19, subnet-092f4caca69e360e7} Please address all errors and warnings above prior to re-running validation to confirm fix. PS C:\AmazonFSxADValidation> $Result.Failures.Count 1 PS C:\AmazonFSxADValidation> $Result.Failures Name Value ---- ----- SubnetsInSeparateAdSites {subnet-04431191671ac0d19, subnet-092f4caca69e360e7} PS C:\AmazonFSxADValidation> $Result.Warnings.Count 0

    検証ツールの実行時に警告またはエラーが表示された場合は、検証ツールパッケージ (TROUBLESHOOTING.md) および Amazon FSx のトラブルシューティング に含まれるトラブルシューティングガイドを参照してください。