翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# チュートリアル: AWS Managed Microsoft AD とセルフマネージド Active Directory ドメインの間に信頼関係を作成する
<a name="ms_ad_tutorial_setup_trust"></a>

このチュートリアルでは、 AWS Directory Service for Microsoft Active Directory とセルフマネージド (オンプレミス) Microsoft Active Directory 間の信頼関係を設定するために必要なすべてのステップについて説明します。数ステップで信頼関係を作成できますが、その前に以下の手順を完了させる必要があります。

**Topics**
+ [前提条件](before_you_start.md)
+ [ステップ 1: 自己管理型 AD ドメインを準備する](ms_ad_tutorial_setup_trust_prepare_onprem.md)
+ [ステップ 2: AWS Managed Microsoft AD を準備する](ms_ad_tutorial_setup_trust_prepare_mad.md)
+ [ステップ 3: 信頼関係を作成する](ms_ad_tutorial_setup_trust_create.md)

**以下の資料も参照してください**。

[AWS Managed Microsoft AD とセルフマネージド AD 間の信頼関係の作成](ms_ad_setup_trust.md)

# 前提条件
<a name="before_you_start"></a>

このチュートリアルでは、以下をすでに使用していることを前提とします。

**注記**  
AWS Managed Microsoft AD は、[単一ラベルドメイン](https://support.microsoft.com/en-us/help/2269810/microsoft-support-for-single-label-domains)での信頼をサポートしていません。
+ で作成された AWS Managed Microsoft AD ディレクトリ AWS。この手順に関するサポートが必要な場合は、「[AWS Managed Microsoft AD の開始方法](ms_ad_getting_started.md)」を参照してください。
+ 実行中の EC2 インスタンスが AWS Managed Microsoft AD に追加Windowsされました。この手順に関するサポートが必要な場合は、「[Amazon EC2 Windows インスタンスを AWS Managed Microsoft AD Active Directory に結合する](launching_instance.md)」を参照してください。
**重要**  
 AWS Managed Microsoft AD の管理者アカウントには、このインスタンスへの管理アクセス権が必要です。
+ 以下の Windows Server ツールが、対象のインスタンスにインストールされています:
  + AD DS ツールと AD LDS ツール
  + DNS

  この手順に関するサポートが必要な場合は、「[AWS Managed Microsoft AD 用の Active Directory 管理ツールのインストール](ms_ad_install_ad_tools.md)」を参照してください。
+ 自己管理型 (オンプレミスオンプレミス) の Microsoft Active Directory

  このディレクトリに対する管理アクセス権限が必要です。また、前述と同じ Windows Server ツールも、このディレクトリでの使用が可能な状態にする必要があります。
+ セルフマネージドネットワークと AWS Managed Microsoft AD を含む VPC 間のアクティブな接続。この手順に関するサポートが必要な場合は、「[Amazon Virtual Private Cloud Connectivity Options](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-vpc-connectivity-options.pdf)」(Amazon Virtual Private Cloud での接続性オプション) を参照してください。
+ ローカルセキュリティポリシーが正しく設定されていること。`Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously` をチェックして、少なくとも次の 3 つの名前が付けられたパイプが含まれていることを確認します。
  + netlogon
  + samr
  + lsarpc
+ 信頼関係を確立するには、NetBIOS とドメインの名前は異なる一意のものである必要があります。

信頼関係を作成するための前提条件の詳細については、「[AWS Managed Microsoft AD とセルフマネージド AD 間の信頼関係の作成](ms_ad_setup_trust.md)」を参照してください。

## チュートリアルの設定
<a name="tutorial_config"></a>

このチュートリアルでは、 AWS Managed Microsoft AD とセルフマネージドドメインをすでに作成しています。セルフマネージドネットワークは AWS Managed Microsoft AD の VPC に接続されています。2 つのディレクトリのプロパティを以下に示します。

### AWS で実行されている Managed Microsoft AD AWS
<a name="mad_domain"></a>
+ ドメイン名 (FQDN): MyManagedAD.example.com
+ NetBIOS 名: MyManagedAD
+ DNS アドレス: 10.0.10.246、10.0.20.121
+ VPC CIDR: 10.0.0.0/16

 AWS Managed Microsoft AD は VPC ID: vpc-12345678 にあります。

### セルフマネージド型または AWS Managed Microsoft AD ドメイン
<a name="onprem_domain"></a>
+ ドメイン名 (FQDN): corp.example.com
+ NetBIOS 名: CORP
+ DNS アドレス: 172.16.10.153
+ 自己管理型 CIDR: 172.16.0.0/16

**次のステップ**

[ステップ 1: 自己管理型 AD ドメインを準備する](ms_ad_tutorial_setup_trust_prepare_onprem.md)

# ステップ 1: 自己管理型 AD ドメインを準備する
<a name="ms_ad_tutorial_setup_trust_prepare_onprem"></a>

まず、自己管理型 (オンプレミス) ドメインで、前提条件のための手順をいくつか完了する必要があります。

## 自己管理型ファイアウォールを設定する
<a name="tutorial_setup_trust_connect_vpc"></a>

Managed AWS Microsoft AD を含む VPC で使用されるすべてのサブネットの CIDRs に対して次のポートが開かれるように、セルフマネージドファイアウォールを設定する必要があります。このチュートリアルでは、次のポートで 10.0.0.0/16 ( AWS Managed Microsoft AD の VPC の CIDR ブロック) からの送受信トラフィックの両方を許可します。

 
+ TCP/UDP 53 - DNS 
+ TCP/UDP 88 - Kerberos 認証
+ TCP/UDP 389 - Lightweight Directory Access Protocol (LDAP)
+ TCP 445 – サーバーメッセージブロック (SMB)
+ TCP 9389 - Active Directory Web Services (ADWS) (*オプション* - Amazon WorkDocs や Amazon Quick などの AWS アプリケーションでの認証に完全なドメイン名の代わりに NetBIOS 名を使用する場合は、このポートを開く必要があります）。

**注記**  
SMBv1 のサポートは終了しました。  
これらは、VPC を自己管理型のディレクトリに接続するために最低限必要となるポートです。固有の設定によっては、追加ポートが開かれていることが必要です。

## Kerberos の事前認証が有効化されていることを確認する
<a name="tutorial_setup_trust_enable_kerberos"></a>

Kerberos の事前認証は、両方のディレクトリのユーザアカウントで有効にする必要があります。これはデフォルト設定ですが、いずれかのユーザーのプロパティをチェックして、何も変更されていないことを確認します。

**ユーザーの Kerberos 設定を表示するには**

1. 自己管理型ドメインコントローラーで、サーバーマネージャーを開きます。

1. **[Tools]** (ツール) メニューで、**[Active Directory Users and Computers]** (Active Directory ユーザーとコンピュータ) を選択します。

1. **[Users]** フォルダを選択し、右クリックによりコンテキストメニューを開きます。右側のペインに表示されるユーザーアカウントを無作為に選択します。**[Properties]** (プロパティ) をクリックします。

1. **[Account]** (アカウント) タブを開きます。**[Account options]** (アカウントオプション) リストで下にスクロールし、**[Do not require Kerberos preauthentication]** (Kerberos 事前認証を要求しない) がオンになって*いない*ことを確認します。  
![\[「アカウント」オプションが表示された「Corp User Properties」ダイアログ・ボックスでは、「Kerberos 事前認証は不要」が強調表示されています。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/kerberos_enabled.png)

## 自己管理型ドメインのための DNS 条件付きフォワーダーを設定する
<a name="tutorial_setup_trust_onprem_forwarder"></a>

DNS の条件付きフォワーダーは、各ドメインで設定する必要があります。セルフマネージドドメインでこれを行う前に、まず AWS Managed Microsoft AD に関する情報を取得します。

**自己管理型ドメインで DNS の条件付きフォワーダーを設定するには**

1. にサインイン AWS マネジメントコンソール し、 [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)を開きます。

1. ナビゲーションペインで **[Directories]** (ディレクトリ) をクリックします。

1.  AWS Managed Microsoft AD のディレクトリ ID を選択します。

1. **[Details]** (詳細) ページで、ディレクトリの **[Directory name]** (ディレクトリ名) と **[DNS address]** (DNS アドレス) の値をメモします。

1. 次に、自己管理型ドメインコントローラーに戻ります。サーバーマネージャーを開きます。

1. **[Tools]** (ツール) メニューで、**[DNS]** を選択します。

1. 信頼関係を設定するドメインの DNS サーバーを、コンソールのツリーから展開します。ここで使用するサーバーは、WWIN-5V70CN7VJ0.corp.example.com です。

1. コンソールのツリー内で、**[Conditional Forwarders]** (条件付きフォワーダー) を選択します。

1. **[Action]** (アクション) メニューから、**[New conditional forwarder]** (新規の条件付きフォワーダー) を選択します。

1. **DNS ドメイン**で、前述の AWS Managed Microsoft AD の完全修飾ドメイン名 (FQDN) を入力します。この例では、FQDN は MyManagedAD.example.com です。

1. **プライマリサーバーの IP アドレス**を選択し、前述の AWS Managed Microsoft AD ディレクトリの DNS アドレスを入力します。この例では、これらのDNS アドレスは 10.0.10.246 と、10.0.20.121 です。

   DNS アドレスの入力後に、「timeout」または「unable」というエラーが表示される場合があります。通常、このエラーは無視できます。  
![\[DNS サーバーの最大 IP アドレスが強調表示された新しい条件付きフォワーダーダイアログボックス。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/new_cond_forwarder_diag_box_2.png)

1. **[Store this conditional forwarder in Active Directory, and replicate it as follows]** (この条件付きフォワーダーを Active Directory に保存し次に従いレプリケートします) をクリックします。

1. **[All DNS servers in this domain]** (このドメイン内のすべての DNS サーバー)、**[OK]** の順に選択します。

**次のステップ**

[ステップ 2: AWS Managed Microsoft AD を準備する](ms_ad_tutorial_setup_trust_prepare_mad.md)

# ステップ 2: AWS Managed Microsoft AD を準備する
<a name="ms_ad_tutorial_setup_trust_prepare_mad"></a>

次に、 AWS Managed Microsoft AD を信頼関係の準備をしましょう。以下の手順の多くは、自己管理型ドドメインで行ったものとほぼ同じです。ただし、今回は AWS Managed Microsoft AD を使用しています。

## VPC サブネットとセキュリティグループを設定する
<a name="tutorial_setup_trust_open_vpc"></a>

セルフマネージドネットワークから AWS Managed Microsoft AD を含む VPC へのトラフィックを許可する必要があります。これを行うには、 AWS Managed Microsoft AD のデプロイに使用されるサブネットに関連付けられた ACLs とドメインコントローラーで設定されたセキュリティグループルールの両方が、信頼をサポートするために必要なトラフィックを許可していることを確認する必要があります。

ポート要件は、ドメインコントローラーが使用する Windows Server のバージョン、および、信頼を利用するサービスやアプリケーションの種類によって変化します。このチュートリアルでは、次のポートを開く必要があります。

**インバウンド**
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Kerberos 認証
+ UDP 123 – NTP 
+ TCP 135 – RPC 
+ TCP/UDP 389 - LDAP 
+ TCP/UDP 445 – SMB 
+ TCP/UDP 464 – Kerberos 認証
+ TCP 636 – LDAPS (TLS/SSL 経由の LDAP) 
+ TCP 3268-3269 – グローバルカタログ 
+ TCP/UDP 49152-65535 – RPC 用のエフェメラルポート

**注記**  
SMBv1 のサポートは終了しました。

**アウトバウンド**
+ すべて

**注記**  
これらは、VPC と自己管理型ディレクトリを接続するために最低限と必要なるポートです。固有の設定によっては、追加ポートが開かれていることが必要です。

**AWS Managed Microsoft AD ドメインコントローラーのアウトバウンドルールとインバウンドルールを設定するには**

1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/) に戻ります。ディレクトリのリストで、 AWS Managed Microsoft AD ディレクトリのディレクトリ ID を書き留めます。

1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。

1. ナビゲーションペインで、**[Security Groups]** (セキュリティグループ) をクリックします。

1. 検索ボックスを使用して Managed Microsoft AD ディレクトリ ID AWS を検索します。検索結果で、**AWS created security group for *yourdirectoryID* directory controllers** セキュリティグループの説明に該当する項目を選択します。  
![\[[Amazon VPC コンソール] では、ディレクトリコントローラーのセキュリティグループの検索結果が強調表示されます。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/security-group-search.png)

1. 対象のセキュリティグループの **[Outbound Rules]** (アウトバウンドルール) タブを開きます。[**Edit outbound rules**]、[**Add rule**] の順に選択します。新しいルールに、次の値を入力します。
   + **[Type]** (タイプ): ALL Traffic
   + **[Protocol]** (プロトコル): ALL
   + **[Destination]** (送信先) では、ドメインコントローラーから発信されるトラフィックと、その送信先を指定します。単一の IP アドレスまたは IP アドレス範囲を CIDR 表記で指定します (例: 203.0.113.5/32)。同じリージョン内にある別のセキュリティグループの、名前または ID を指定することもできます。詳細については、「[ディレクトリ AWS のセキュリティグループ設定を理解し、 を使用する](ms_ad_best_practices.md#understandsecuritygroup)」を参照してください。

1. [**Save Rule**] をクリックします。  
![\[Amazon VPC コンソールで、ディレクトリコントローラーのセキュリティグループのアウトバウンドルールを編集します。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/editing-and-saving-rule.png)

## Kerberos の事前認証が有効化されていることを確認する
<a name="tutorial_setup_trust_enable_kerberos_on_mad"></a>

次に、 AWS Managed Microsoft AD のユーザーも Kerberos 事前認証が有効になっていることを確認します。これは、自己管理型ディレクトリで実施したものと同じプロセスです。これはデフォルト設定ですが、何も変更されていないことを確認します。

**ユーザーの Kerberos 設定を表示するには**

1. ドメインの または[AWS Managed Microsoft AD 管理者アカウントとグループのアクセス許可](ms_ad_getting_started_admin_account.md)ドメイン内のユーザーを管理するための権限が委任されたアカウントを使用して、 AWS Managed Microsoft AD ディレクトリのメンバーであるインスタンスにログインします。

1. まだインストールされていない場合は、Active Directory ユーザーと、コンピュータツール、および DNS ツールをインストールします。これらのツールをインストールする方法については、「[AWS Managed Microsoft AD 用の Active Directory 管理ツールのインストール](ms_ad_install_ad_tools.md)」を参照してください。

1. サーバーマネージャーを開きます。**[Tools]** (ツール) メニューで、**[Active Directory Users and Computers]** (Active Directory ユーザーとコンピュータ) を選択します。

1. 使用しているドメイン内の、**[Users]** フォルダを選択します。これは、NetBIOS 名を使用する **[Users]** フォルダであり、完全修飾ドメイン名 (FQDN) の **[Users]** フォルダではないことに注意してください。  
![\[[Active Directory] ユーザーとコンピューターダイアログボックスでは、Users フォルダーが強調表示されます。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/correct_users_folder.png)

1. ユーザーのリストで、ユーザーを右クリックし、**[Properties]** (プロパティ) を選択します。

1.  **[Account]** (アカウント) タブを開きます。**[Account options]** (アカウントオプション) リストで、**[Do not require Kerberos preauthentication]** (Kerberos 事前認証は不要) がオンになって*いない*ことを確認します。

**次のステップ**

[ステップ 3: 信頼関係を作成する](ms_ad_tutorial_setup_trust_create.md)

# ステップ 3: 信頼関係を作成する
<a name="ms_ad_tutorial_setup_trust_create"></a>

ここまでで準備作業が完了しました。最後の手順では、信頼関係を作成していきます。最初にセルフマネージドドメインに信頼を作成し、最後に AWS Managed Microsoft AD に信頼を作成します。信頼関係の作成処理中に問題が発生した場合は、「[信頼作成ステータスの理由](ms_ad_troubleshooting_trusts.md)」のガイドを参照してください。

## 自己管理型 Active Directory で信頼を設定する
<a name="tutorial_setup_trust_onprem_trust"></a>

このチュートリアルでは、双方向フォレストの信頼を設定します。ただし、一方向フォレストの信頼を作成する場合、各ドメインの信頼には、それぞれ補完的な方向を持たせる必要があることにご留意ください。たとえば、セルフマネージドドメインで一方向の送信信頼を作成する場合は、 AWS Managed Microsoft AD で一方向の送信信頼を作成する必要があります。

**注記**  
AWS Managed Microsoft AD は外部信頼もサポートしています。ただし、このチュートリアルは、双方向フォレストの信頼を作成することを目的とします。

**自己管理型 Active Directory で信頼を設定するには**

1. サーバーマネージャーを開き、**[Tools]** (ツール) メニューから、**[Active Directory Domains and Trusts]** (Active Directory のドメインと信頼) を選択します。

1. ドメインのコンテキスト (右クリック) メニューを開き、**[Properties]** (プロパティ) を選択します。

1. **[Trusts]** (信頼) タブを開き、**[New trust]** (新規の信頼) をクリックします。 AWS Managed Microsoft AD の名前を入力し、**次へ**を選択します。

1. **[Forest trust]** (フォレストの信頼) を選択します。**[Next]** (次へ) をクリックします。

1. [**Two-way**] を選択します。**[Next]** (次へ) をクリックします。

1. **[This domain only]** (このドメインのみ) を選択します。**[Next]** (次へ) をクリックします。

1. **[Forest-wide authentication]** (フォレスト全体の認証) を選択します。**[Next]** (次へ) をクリックします。

1. **[Trust password]** (信頼のパスワード) にパスワードを入力します。 AWS Managed Microsoft AD の信頼を設定するときに必要になるため、このパスワードを覚えておいてください。

1. 次のダイアログボックスで設定を確認した上で、**[Next]** (次へ) をクリックします。信頼が正常に作成されたことを確認し、**[Next]** (次へ) を再度クリックします。

1. **[No, do not confirm the outgoing trust]** (いいえ、送信の信頼を確認しません) を選択します。**[Next]** (次へ) をクリックします。

1. **[No, do not confirm the incoming trust]** (いいえ、受信の信頼の確認は行いません) を選択します。[**次へ**] を選択します。

## AWS Managed Microsoft AD ディレクトリで信頼を設定する
<a name="tutorial_setup_trust_mad_trust"></a>

最後に、 AWS Managed Microsoft AD ディレクトリとのフォレストの信頼関係を設定します。セルフマネージドドメインで双方向フォレスト信頼を作成しているため、 AWS Managed Microsoft AD ディレクトリを使用して双方向信頼も作成します。

**注記**  
信頼関係は AWS Managed Microsoft AD のグローバル機能です。[AWS Managed Microsoft AD のマルチリージョンレプリケーションを設定する](ms_ad_configure_multi_region_replication.md) を使用している場合、[プライマリリージョン](multi-region-global-primary-additional.md#multi-region-primary) で次の手順を実行する必要があります。変更した内容は、レプリケートされたすべてのリージョンで自動的に適用されます。詳細については、「[グローバル機能とリージョン機能](multi-region-global-region-features.md)」を参照してください。

**AWS Managed Microsoft AD ディレクトリで信頼を設定するには**

1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/) に戻ります。

1. **ディレクトリ**ページで、 AWS Managed Microsoft AD ID を選択します。

1. **[Directory details]** (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。
   + **[Multi-Region replication]** (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、プライマリリージョンを選択した上で、**[Networking & security]** (ネットワークとセキュリティ) タブを開きます。詳細については、「[プライマリリージョンと追加のリージョン](multi-region-global-primary-additional.md)」を参照してください。
   + **[Multi-Region replication]** (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。

1. **[Trust relationships]** (信頼関係) セクションで、**[Actions]** (アクション)、**[Add trust relationship]** (信頼関係の追加) の順に選択します。

1. **[Add a trust relationship]** (信頼関係の追加) ページで、信頼のタイプを指定します。この例では、**[Forest trust]** (フォレストの信頼) を選択します。自己管理型ドメインの FQDN を入力します (このチュートリアルでは**corp.example.com**)。自己管理型ドメインで信頼を作成した際に使用したものと同じ、信頼パスワードを入力します。方向を指定します。この例では、**[Two-way]** (双方向) を選択します。

1. **[Conditional forwarder]** (条件付きフォワーダー) フィールドに、自己管理型 DNS サーバーの IP アドレスを入力します。この例では、172.16.10.153 と入力します。

1. (オプション) **[Add another IP address]** (別の IP アドレスの追加) を選択し、自己管理型 DNS サーバーの 2 番目の IP アドレスを入力します。指定できる DNS サーバー数は最大で合計 4 台です。

1. **[Add]** (追加) を選択します。

おつかれ様でした。これで、セルフマネージドドメイン (corp.example.com) と AWS Managed Microsoft AD (MyManagedAD.example.com). これらの 2 つのドメイン間に設定できるのは、1 つの信頼関係だけです。例えば、設定を一方向の信頼に変更する場合は、まず既存の信頼関係を削除した上で、新しい信頼関係を作成する必要があります。

信頼の確認や削除に関する手順を含む詳細については、「[AWS Managed Microsoft AD とセルフマネージド AD 間の信頼関係の作成](ms_ad_setup_trust.md)」を参照してください。