# Directory Service を使用して Microsoft Active Directory を設定する
<a name="custom-sqlserver-WinAuth.config-ADS"></a>

AWS Managed Microsoft AD は、Windows Server 2019 を搭載した AWS でフルマネージドの Microsoft Active Directory を作成し、2012 R2 フォレストおよびドメインの機能レベルで動作します。Directory Service は Amazon VPC 内の複数の異なるサブネットにドメインコントローラーを作成し、障害が発生した場合でもディレクトリを高可用性にします。

AWS Managed Microsoft AD を使用してディレクトリを作成するには、「*AWS Directory Service 管理ガイド*」の「[AWS Managed Microsoft AD の開始](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started.html)」を参照してください。

## ネットワーク接続の設定
<a name="custom-sqlserver-WinAuth.config-ADS.network"></a>

### ディレクトリと DB インスタンスの間のクロス VPC トラフィックを有効にする
<a name="custom-sqlserver-WinAuth.config-ADS.network.x-vpc"></a>

同じ VPC 内にディレクトリと DB インスタンスを配置するには、このステップをスキップして「[ネットワーク設定ポートルール](custom-sqlserver-WinAuth.NWConfigPorts.md)」の次のステップに進みます。

ディレクトリと DB インスタンスを別の VPC に配置するには、VPC ピアリング接続または AWS Transit Gateway を使用してクロス VPC トラフィックを設定します。VPC ピアリング接続の詳細については、「*Amazon VPC ピアリング接続ガイド*」の「[VPC ピア機能とは](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)」および「*Amazon VPC Transit Gateways*」の「[AWS Transit Gateway とは](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)」を参照してください。

**VPC ピアリング接続を使用してクロス VPC トラフィックを有効にするには**

1. 適切な VPC ルーティングを設定し、ネットワークトラフィックが双方向にフローするようにします。

1. DB インスタンスのセキュリティグループが、ディレクトリのセキュリティグループからインバウンドトラフィックを受信できるようにします。詳細については、「[ネットワーク設定ポートルール](custom-sqlserver-WinAuth.NWConfigPorts.md)」を参照してください。

1. ネットワークのアクセスコントロールリスト (ACL) はトラフィックをブロックしてはなりません。

別の AWS アカウントがディレクトリを所有している場合は、ディレクトリを共有する必要があります。RDS Custom for SQL Server インスタンスが含まれているディレクトリを AWS アカウント と共有するには、「*AWS Directory Service 管理ガイド*」の「[チュートリアル: シームレスな EC2 ドメイン結合のための AWS Managed Microsoft AD の共有](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_directory_sharing.html)」に従います。

**ディレクトリを AWS アカウント間で共有する**

1. DB インスタンスのアカウントを使用して Directory Service コンソールにサインインし、ドメインのステータスが `SHARED` であることを確認してから、続行します。

1. DB インスタンスのアカウントを使用して Directory Service コンソールにサインインした後で、**[ディレクトリ ID]** の値を書き留めておきます。この ID は、DB インスタンスをドメインに参加させるために使用します。

## DNS 解決を設定する
<a name="custom-sqlserver-WinAuth.config-ADS.DNS"></a>

AWS Managed Microsoft AD でディレクトリを作成すると、ユーザーに代わって Directory Service が 2 つのドメインコントローラーを作成し、DNS サービスを追加します。

VPC に既存の AWS Managed Microsoft AD があるか、RDS Custom for SQL Server DB インスタンス以外の AD を起動する予定がある場合は、Route 53 アウトバウンドルールとリゾルバールールを使用して特定のドメインのクエリを転送するように VPC DNS リゾルバーを設定します。詳細については、[DNS レコードを解決するように Route 53 Resolver のアウトバウンドエンドポイントを設定する](https://repost.aws/knowledge-center/route53-resolve-with-outbound-endpoint)方法に関する情報を参照してください。