ステップ 2: 信頼の作成
このセクションでは、2 つのフォレストの信頼を別々に作成します。1 つの信頼は EC2 インスタンスの Active Directory のドメインから作成し、もう 1 つは AWS の AWS Managed Microsoft AD から作成します。
EC2 のドメインから AWS Managed Microsoft AD への信頼を作成するには
-
example.local にログインします。
-
[Server Manager] (サーバーマネージャー) を開き、コンソールツリーで [DNS] を選択します。表示されたサーバーの IPv4 アドレスを書き留めます。このアドレスは、次の手順で corp.example.com から example.local ディレクトリへの条件付きフォワーダーを作成する際に必要になります。
-
[Tools] (ツール) メニューで、[Active Directory Domains and Trusts] (Active Directory のドメインと信頼) を選択します。
-
コンソールツリーで、[example.local] を右クリックし、[Properties] (プロパティ) を選択します。
-
[Trusts] (信頼) タブで、[New Trust] (新しい信頼) を選択し、[Next] (次へ) を選択します。
-
[Trust Name] (信頼の名前) ページで、「
corp.example.com」と入力し、[Next] (次へ) を選択します。 -
[Trust Type] (信頼のタイプ) ページで、[Forest trust] (フォレストの信頼) を選択し、[Next] (次へ) を選択します。
注記
AWS Managed Microsoft AD は、外部の信頼を使用することもできます。ただし、このチュートリアルは、双方向フォレストの信頼を作成することを目的とします。
-
[Direction of Trust] (信頼の方向) ページで、[Two-way] (双方向) を選択し、[Next] (次へ) を選択します。
注記
後で一方向の信頼でこれを試す場合、信頼の方向が正しく設定されていることを確認します (信頼するドメインでの送信、信頼されたドメインでの受信)。一般的な情報については、Microsoft のウェブサイトで「Understanding Trust Direction
」を参照してください。 -
[Sides of Trust] (信頼のサイド) ページで、[This domain only] (このドメインのみ) を選択し、[Next] (次へ) を選択します。
-
[Outgoing Trust Authentication Level] (送信する信頼の認証レベル) ページで、[Forest-wide authentication] (フォレスト全体の認証) を選択し、[Next] (次へ) を選択します。
注記
[Selective authentication] (選択的な認証) はオプションですが、このチュートリアルをシンプルにするため、ここでは有効にしないことをお勧めします。これを設定すると、外部またはフォレストの信頼を介したアクセスが、信頼されたドメインやフォレスト内のユーザーのみに制限されます。これらには、信頼するドメインやフォレストに存在するコンピュータオブジェクト (リソースコンピュータ) に対する認証のアクセス許可が明示的に付与されています。詳細については、「Configuring Selective Authentication Settings
」を参照してください。 -
[Trust Password] (信頼のパスワード) ページで、信頼のパスワードを 2 回入力し、[Next] (次へ) を選択します。この同じパスワードを次の手順でも使用します。
-
[Trust Selections Complete] (信頼の選択の完了) ページで結果を確認し、[Next] (次へ) を選択します。
-
[Trust Creation Complete] (信頼の作成の完了) ページで結果を確認し、[Next] (次へ) を選択します。
-
[Confirm Outgoing Trust] (送信する信頼の確認) ページで、[No, do not confirm the outgoing trust] (いいえ、送信の信頼を承認しません) を選択します。その後、[Next] (次へ) を選択します。
-
[Confirm Incoming Trust] (受信の信頼の確認) ページで、[No, do not confirm the incoming trust] (いいえ、受信の信頼を承認しません)を選択します。その後、[Next] (次へ) を選択します。
-
[Completing the New Trust Wizard] (新しい信頼ウィザードの完了) ページで、[Finish] (完了) を選択します。
注記
信頼関係は、AWS Managed Microsoft AD でグローバルに使用できる機能です。AWS Managed Microsoft AD のマルチリージョンレプリケーションを設定する を使用している場合、プライマリリージョン で次の手順を実行する必要があります。変更した内容は、レプリケートされたすべてのリージョンで自動的に適用されます。詳細については、「グローバル機能とリージョン機能」を参照してください。
AWS Managed Microsoft AD から EC2 のドメインへの信頼を作成するには
-
[corp.example.com] ディレクトリを選択します。
-
[Directory details] (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。
-
[Multi-Region replication] (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、プライマリリージョンを選択した上で、[Networking & security] (ネットワークとセキュリティ) タブを開きます。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。
-
[Multi-Region replication] (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、[Networking & security] (ネットワークとセキュリティ) タブを選択します。
-
-
[Trust relationships] (信頼関係) セクションで、[Actions] (アクション)、[Add trust relationship] (信頼関係の追加) の順に選択します。
-
[Add a trust relationship] (信頼関係の追加) ダイアログボックスで、次の操作を行います。
-
[Trust type] (信頼のタイプ) で、[Forest trust] (フォレストの信頼) を選択します。
注記
ここで選択する [Trust type] (信頼のタイプ) が、前の手順 (EC2 のドメインから AWS Managed Microsoft AD への信頼を作成するには) で設定した信頼のタイプと一致していることを確認してください。
-
[Existing or new remote domain name] (既存または新しいリモートのドメイン名) に、「example.local」と入力します。
-
[Trust password] (信頼のパスワード) に、前の手順で指定したものと同じパスワードを入力します。
-
[Trust direction] (信頼の方向) で、[Two-way] (双方向) を選択します。
注記
-
後で一方向の信頼でこれを試す場合、信頼の方向が正しく設定されていることを確認します (信頼するドメインでの送信、信頼されたドメインでの受信)。一般的な情報については、Microsoft のウェブサイトで「Understanding Trust Direction
」を参照してください。 -
[Selective authentication] (選択的な認証) はオプションですが、このチュートリアルをシンプルにするため、ここでは有効にしないことをお勧めします。これを設定すると、外部またはフォレストの信頼を介したアクセスが、信頼されたドメインやフォレスト内のユーザーのみに制限されます。これらには、信頼するドメインやフォレストに存在するコンピュータオブジェクト (リソースコンピュータ) に対する認証のアクセス許可が明示的に付与されています。詳細については、「Configuring Selective Authentication Settings
」を参照してください。
-
-
[Conditional forwarder] (条件付きフォワーダー) に、example.local フォレストでの DNS サーバーの IP アドレス (前の手順で書き留めたもの) を入力します。
注記
条件付きフォワーダーは、クエリ内の DNS ドメイン名に従って DNS クエリを転送するためのネットワーク上の DNS サーバーです。例えば、widgets.example.com で終わる名前に関して受信したすべてのクエリを、特定の DNS サーバーや複数の DNS サーバーの IP アドレスに転送するように DNS サーバーを設定できます。
-
-
[Add] (追加) を選択します。
