ステップ 1: 自己管理型 AD ドメインを準備する - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 1: 自己管理型 AD ドメインを準備する

まず、自己管理型 (オンプレミス) ドメインで、前提条件のための手順をいくつか完了する必要があります。

自己管理型ファイアウォールを設定する

Managed Microsoft AD を含む VPC が使用するすべてのサブネットの CIDRs に次のポートが開放されるように、セルフ AWS マネージドファイアウォールを設定する必要があります。このチュートリアルでは、次のポートで 10.0.0.0/16 ( AWS Managed Microsoft AD の VPC の CIDR ブロック) からの受信トラフィックと送信トラフィックの両方を許可します。

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 認証

  • TCP/UDP 389 - ライトウェイトディレクトリアクセスプロトコル (LDAP)

  • TCP 445 - サーバーメッセージブロック (SMB)

  • TCP 9389 - Active Directory Web Services (ADWS) (オプション - Amazon WorkDocs や Amazon などの AWS アプリケーションでの認証に完全なドメイン名の代わりに NetBIOS 名を使用する場合は、このポートを開く必要があります) QuickSight。

注記

SMBv1 のサポートは終了しました。

これらは、VPC を自己管理型のディレクトリに接続するために最低限必要となるポートです。固有の設定によっては、追加ポートが開かれていることが必要です。

Kerberos の事前認証が有効化されていることを確認する

Kerberos の事前認証は、両方のディレクトリのユーザアカウントで有効にする必要があります。これはデフォルト設定ですが、いずれかのユーザーのプロパティをチェックして、何も変更されていないことを確認します。

ユーザーの Kerberos 設定を表示するには
  1. 自己管理型ドメインコントローラーで、サーバーマネージャーを開きます。

  2. [Tools] (ツール) メニューで、[Active Directory Users and Computers] (Active Directory ユーザーとコンピュータ) を選択します。

  3. [Users] フォルダを選択し、右クリックによりコンテキストメニューを開きます。右側のペインに表示されるユーザーアカウントを無作為に選択します。[Properties] (プロパティ) をクリックします。

  4. [Account] (アカウント) タブを開きます。[Account options] (アカウントオプション) リストで下にスクロールし、[Do not require Kerberos preauthentication] (Kerberos 事前認証を要求しない) がオンになっていないことを確認します。

    「アカウント」オプションが表示された「Corp User Properties」ダイアログ・ボックスでは、「Kerberos 事前認証は不要」が強調表示されています。

自己管理型ドメインのための DNS 条件付きフォワーダーを設定する

DNS の条件付きフォワーダーは、各ドメインで設定する必要があります。セルフマネージドドメインでこれを行う前に、まず AWS Managed Microsoft AD に関する情報を取得します。

自己管理型ドメインで DNS の条件付きフォワーダーを設定するには
  1. にサインイン AWS Management Console し、AWS Directory Service コンソール を開きます。

  2. ナビゲーションペインで [Directories] (ディレクトリ) をクリックします。

  3. AWS Managed Microsoft AD のディレクトリ ID を選択します。

  4. [Details] (詳細) ページで、ディレクトリの [Directory name] (ディレクトリ名) と [DNS address] (DNS アドレス) の値をメモします。

  5. 次に、自己管理型ドメインコントローラーに戻ります。サーバーマネージャーを開きます。

  6. [Tools] (ツール) メニューで、[DNS] を選択します。

  7. 信頼関係を設定するドメインの DNS サーバーを、コンソールのツリーから展開します。ここで使用するサーバーは、WWIN-5V70CN7VJ0.corp.example.com です。

  8. コンソールのツリー内で、[Conditional Forwarders] (条件付きフォワーダー) を選択します。

  9. [Action] (アクション) メニューから、[New conditional forwarder] (新規の条件付きフォワーダー) を選択します。

  10. DNS ドメイン で、前にメモした AWS Managed Microsoft AD の完全修飾ドメイン名 (FQDN) を入力します。この例では、FQDN は MyManagedAD.example.com です。

  11. プライマリサーバーの IP アドレスを選択し、前にメモした AWS Managed Microsoft AD ディレクトリの DNS アドレスを入力します。この例では、これらのDNS アドレスは 10.0.10.246 と、10.0.20.121 です。

    DNS アドレスの入力後に、「timeout」または「unable」というエラーが表示される場合があります。通常、このエラーは無視できます。

    DNS サーバーの最大 IP アドレスが強調表示された新しい条件付きフォワーダーダイアログボックス。
  12. [Store this conditional forwarder in Active Directory, and replicate it as follows] (この条件付きフォワーダーを Active Directory に保存し次に従いレプリケートします) をクリックします。

  13. [All DNS servers in this domain] (このドメイン内のすべての DNS サーバー)、[OK] の順に選択します。

次のステップ

ステップ 2: AWS Managed Microsoft AD を準備する