翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# ステップ 1: 信頼の環境セットアップ
このセクションでは、Amazon EC2 環境をセットアップし、新しいフォレストをデプロイして、 との信頼のために VPC を準備します AWS。
## Windows Server 2019 の EC2 インスタンスを作成する
Amazon EC2 で Windows Server 2019 のメンバーサーバーを作成するには、次の手順に従います。
**Windows Server 2019 の EC2 インスタンスを作成するには**
1. Amazon EC2 コンソール ([https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)) を開きます。
1. Amazon EC2 コンソールで、**[Launch Instance]** (インスタンスを起動) を選択します。
1. **[Step 1]** (ステップ 1) ページのリストで、**[Microsoft Windows Server 2019 Base - ami-{{xxxxxxxxxxxxxxxxx}}]** を見つけます。続いて、**[Select]** (選択) を選択します。
1. **[Step 2]** (ステップ 2。 ページで、**[t2.large]**、**[Next: Configure Instance Details]** (次へ: インスタンスの詳細の設定) の順に選択します。
1. **[Step 3]** (ステップ 3) ページで、以下の操作を行います。
+ **[Network]** (ネットワーク) で、**[vpc-{{xxxxxxxxxxxxxxxxx}} AWS-OnPrem-VPC01]** ([基本のチュートリアル](microsoftadbasestep1.md#createvpc)でセットアップ済み) を選択します。
+ **サブネット**には、**subnet-{{xxxxxxxxxxxxxxxxx}} \| AWS-OnPrem-VPC01-Subnet01 \| AWS-OnPrem-VPC01 **を選択します。
+ **[Auto-assign Public IP]** (自動割り当てパブリック IP) リストで、サブネットのデフォルト設定が **[Enable]** (有効) でない場合、**[Enable]** (有効) を選択します。
+ 残りの設定はデフォルトのままにしておきます。
+ **[Next: Add Storage]** (次へ: ストレージの追加) をクリックします。
1. **[Step 4]** (ステップ 4) ページで、デフォルト設定をそのままにして、**[Next: Add Tags]** (次へ: タグの追加) をクリックします。
1. **[Step 5]** (ステップ 5) ページで、**[Add Tag]** (タグを追加) をクリックします。**[Key]** (キー) に「**example.local-DC01**」と入力し、**[Next: Configure Security Group]** (次へ: セキュリティグループの設定) を選択します。
1. **[ステップ 6]** ページで、**[既存のセキュリティグループを選択する]** を選択し、**[AWS オンプレミステストラボセキュリティグループ]** ([基本のチュートリアル](microsoftadbasestep1.md#createsecuritygroup)でセットアップ済み) を選択します。次に **[確認と作成]** を選択してインスタンスを確認します。
1. **[Step 7]** (ステップ) ページで内容を確認した上で、**[Launch]** (起動) をクリックします。
1. **[Select an existing key pair or create a new key pair]** (既存のキーペアを選択するか、新しいキーペアを作成します。) ダイアログボックスで、以下の操作を行います。
+ **[Choose an existing key pair]** (既存のキーペアの選択) をクリックします。
+ **[Select a key pair]** (キーペアの選択) で、**[AWS-DS-KP]** ([基本のチュートリアル](microsoftadbasestep1.md#createkeypair2)でセットアップ済み) を選択します。
+ **[I acknowledge...]** (...を認識しています) チェックボックスをオンにします。
+ **[Launch Instances]** (インスタンスを起動) をクリックします。
1. **[View Instances]** (インスタンスの表示) をクリックして Amazon EC2 コンソールに戻り、デプロイのステータスを確認します。
## サーバーをドメインコントローラーに昇格する
信頼を作成する前に、新しいフォレスト用に最初のドメインコントローラーを構築してデプロイする必要があります。このプロセスでは、新しい Active Directory フォレストを設定し、DNS をインストールして、名前の解決にローカル DNS サーバーを使用するようにこのサーバーを設定します。この手順の最後にサーバーを再起動する必要があります。
**注記**
オンプレミスネットワークでレプリケート AWS するドメインコントローラーを で作成する場合は、まず EC2 インスタンスをオンプレミスドメインに手動で結合します。その後、サーバーをドメインコントローラーに昇格できます。
**サーバーをドメインコントローラーに昇格するには**
1. Amazon EC2 コンソールで **[Instances]** (インスタンス) をクリックし、先ほど作成したインスタンスを選択して、**[Connect]** (接続) をクリックします。
1. **[Connect To Your Instance]** (インスタンスへの接続) ダイアログボックスで、**[Download Remote Desktop File]** (リモートデスクトップファイルのダウンロード) をクリックします。
1. **[Windows Security]** ダイアログボックスで、Windows Server コンピュータのローカル管理者の認証情報 (「**administrator**」など) を入力してログインします。ローカル管理者のパスワードがない場合は、Amazon EC2 コンソールに戻り、インスタンスを右クリックして **[Get Windows Password]** (Windows パスワードを取得) を選択します。`AWS DS KP.pem` ファイルまたは個人用の `.pem` キーに移動して、**[Decrypt Password]** (パスワードの復号) を選択します。
1. **[Start]** (スタート) メニューで、**[Server Manager]** (サーバーマネージャー) を選択します。
1. **[Dashboard]** (ダッシュボード) で、**[Add Roles and Features]** (ロールと機能の追加) をクリックします。
1. **[Add Roles and Features Wizard]** (ロールと機能の追加ウィザード) で、**[Next]** (次へ) をクリックします。
1. **[Select installation type]** (インストールタイプの選択) ページで、**[Role-based or feature-based installation]** (ロールベースもしくは機能ベースのインストール) を選択し、**[Next]** (次へ) をクリックします。
1. **Select destination server** (送信先サーバーの選択) ページで、ローカルサーバーが選択されていることを確認し、**[Next]** (次へ) をクリックします。
1. **[Select server roles]** (サーバーロールの選択) ページで、**[Active Directory Domain Services]** (Active Directory ドメインサービス) を選択します。**[Add Roles and Features Wizard]** (ロールと機能の追加ウィザード) ダイアログボックスで、**[Include management tools]** (管理ツールを含める (該当する場合)) チェックボックスがオンになっていることを確認します。**[Add Features]** (機能を追加)、**[Next]** (次へ) の順に選択します。
1. **[Select features]** (機能を選択) ページで、**[Next]** (次へ) を選択します。
1. **[Active Directory Domain Services]** (Active Directory ドメインサービス) ページで、**[Next]** (次へ) を選択します。
1. **[Confirm installation selections]** (インストールの選択を確認) ページで、**[Install]** (インストール) を選択します。
1. Active Directory バイナリがインストールされたら、**[Close]** (閉じる) をクリックします。
1. Server Manager (サーバーマネージャー) が表示されたら、上部の **[Manage]** (管理) の横にあるフラグを確認します。このフラグが黄色に変われば、サーバーを昇格する準備は完了です。
1. 黄色のフラグを選択し、**[Promote this server to a domain controller]** (このサーバーをドメインコントローラーに昇格) を選択します。
1. **[Deployment Configuration]** (デプロイ設定) ページで、**[Add a new forest]** (新しいフォレストを追加) を選択します。**[Root domain name]** (ルートドメイン名) に「**example.local**」と入力し、**[Next]** (次へ) を選択します。
1. **[Domain Controller Options]** (ドメインコントローラーのオプション) ページで、次の操作を行います。
+ **[Forest functional level]** (フォレストの機能レベル) と **[Domain functional level]** (ドメインの機能レベル) の両方で、**[Windows Server 2016]** を選択します。
+ **[ドメインコントローラーの機能を指定]** で、**[Domain Name System (DNS) サーバー]** と **[グローバルカタログ (GC)]** の両方が選択されていることを確認します。
+ Directory Services Restore Mode (DSRM) のパスワードを入力し、確認します。続いて、**[Next]** (次へ) をクリックします。
1. **[DNS Options]** (DNS のオプション) ページで、委任に関する警告を無視し、**[Next]** (次へ) を選択します。
1. **[Additional options]** (追加のオプション) ページで、NetBios のドメイン名として **[EXAMPLE]** が表示されていることを確認します。
1. **[Paths]** (パス) ページで、デフォルト値のまま **[Next]** (次へ) を選択します。
1. **[Review Options]** (オプションの確認) ページで、**[Next]** (次へ) を選択します。これで、ドメインコントローラーのすべての前提条件が満たされていることがサーバーで確認できます。いくつかの警告が表示されることがありますが、無視して構いません。
1. **[Install]** (インストール) をクリックします。インストールが完了すると、サーバーが再起動し、ドメインコントローラーとして機能するようになります。
## VPC の設定
次の 3 つの手順で、 AWSと接続するように VPC を設定します。
**VPC のアウトバウンドルールを設定するには**
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)で、[基本チュートリアル](microsoftadbasestep2.md)で以前に作成した corp.example.com の AWS Managed Microsoft AD ディレクトリ ID を書き留めます。
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで、**[Security Groups]** (セキュリティグループ) をクリックします。
1. AWS Managed Microsoft AD ディレクトリ ID を検索します。検索結果の中から、**[AWS により d-{{xxxxxx}} ディレクトリコントローラーのセキュリティグループが作成されました]** という説明が表示されている項目を選択します。
**注記**
このセキュリティグループは、ディレクトリを最初に作成するときに自動的で作成されます。
1. そのセキュリティグループの下にある **[Outbound Rules]** (アウトバウンドルール) タブを選択します。**[Edit]** (編集)、**[Add another rule]** (別のルールの追加) の順に選択し、次の値を追加します。
+ **[Type]** (タイプ) で、**[All Traffic]** (すべてのトラフィック) を選択します。
+ **[Destination]** (送信先) に「**0.0.0.0/0**」と入力します。
+ 残りの設定はデフォルトのままにしておきます。
+ **[Save]** (保存) をクリックします。
**Kerberos の事前認証が有効になっていることを確認するには**
1. **example.local** ドメインコントローラーで、**[Server Manager]** (サーバーマネージャー) を開きます。
1. **[Tools]** (ツール) メニューで、**[Active Directory Users and Computers]** (Active Directory ユーザーとコンピュータ) を選択します。
1. **[Users]** (ユーザー) ディレクトリに移動してユーザーを右クリックし、**[Properties]** (プロパティ) を選択して **[Account]** (アカウント) タブを選択します。**[Account options]** (アカウントオプション) リストを下にスクロールし、**[Do not require Kerberos preauthentication]** (Kerberos の事前認証を要求しない) が選択されて**いない**ことを確認します。
1. **corp.example.com-mgmt** インスタンスの **corp.example.com** ドメインに対しても同じ手順を実行します。
**DNS の条件付きフォワーダーを設定するには**
**注記**
条件付きフォワーダーは、クエリ内の DNS ドメイン名に従って DNS クエリを転送するためのネットワーク上の DNS サーバーです。例えば、widgets.example.com で終わる名前に関して受信したすべてのクエリを、特定の DNS サーバーや複数の DNS サーバーの IP アドレスに転送するように DNS サーバーを設定できます。
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/) を開きます。
1. ナビゲーションペインで **[ディレクトリ]** を選択します。
1. AWS Managed Microsoft AD の**ディレクトリ ID** を選択します。
1. 完全修飾ドメイン名 (FQDN) であるディレクトリの DNS アドレスと **corp.example.com** を書き留めます。
1. ここで、**example.local** ドメインコントローラーに戻り、**[Server Manager]** (サーバーマネージャー) を開きます。
1. **[Tools]** (ツール) メニューで、**[DNS]** を選択します。
1. コンソールツリーで、信頼を設定するドメインの DNS サーバーを展開し、**[Conditional Forwarders]** (条件付きフォワーダー) に移動します。
1. **[Conditional Forwarders]** (条件付きフォワーダー) を右クリックし、**[New Conditional Forwarder]** (新しい条件付きフォワーダー) を選択します。
1. DNS ドメインに、「**corp.example.com**」と入力します。
1. **プライマリサーバーの IP アドレスで**、**<ここをクリックして ...> を追加**し、 AWS Managed Microsoft AD ディレクトリの最初の DNS アドレス (前の手順で書き留めたもの) を入力し、Enter ****キーを押します。2 つ目の DNS アドレスにも同じ操作を行います。DNS アドレスを入力すると、「タイムアウト」または「解決できません」というエラーが表示される場合があります。通常、このエラーは無視できます。
1. **[Store this conditional forwarder in Active Directory, and replicate as follows]** (Active Directory で条件付きフォワーダーを保存して、次の通りにレプリケートする) チェックボックスをオンにします。ドロップダウンメニューで **[All DNS servers in this Forest]** (このフォレストのすべての DNS サーバー) を選択し、**[OK]** を選択します。