翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Managed Microsoft AD テストラボのチュートリアル
<a name="ms_ad_tutorial_test_lab"></a>

このセクションでは、 AWS Managed Microsoft AD を試 AWS すことができる でテストラボ環境を確立するのに役立つ一連のガイド付きチュートリアルを提供します。

**Topics**
+ [チュートリアル: で基本的な AWS Managed Microsoft AD テストラボをセットアップする AWS](ms_ad_tutorial_test_lab_base.md)
+ [チュートリアル: AWS Managed Microsoft AD から Amazon EC2 へのセルフマネージド Active Directory インストールへの信頼の作成](ms_ad_tutorial_test_lab_trust.md)

# チュートリアル: で基本的な AWS Managed Microsoft AD テストラボをセットアップする AWS
<a name="ms_ad_tutorial_test_lab_base"></a>

このチュートリアルでは、Windows Server 2019 を実行する新しい Amazon EC2 インスタンスを使用する新しい AWS Managed Microsoft AD インストールを準備するように AWS 環境を設定する方法について説明します。次に、一般的な Active Directory 管理ツールを使用してEC2 Windows インスタンスから AWS Managed Microsoft AD 環境を管理する方法について説明します。チュートリアルを完了するまでに、ネットワークの前提条件を設定し、新しい AWS Managed Microsoft AD フォレストを設定します。

次の図に示すように、このチュートリアルで作成したラボは、 AWS Managed Microsoft AD に関する実践的な学習の基盤となるコンポーネントです。後に、この土台を他のチュートリアルでも使用することで、実践的な経験をさらに積むことができます。このチュートリアルシリーズは、 AWS Managed Microsoft AD の使用を始めたばかりで、評価目的のためにテストラボを試したいと考えているユーザーに最適です。チュートリアルの所要時間は約 1 時間です。

![\[チュートリアルの手順を示す図: 1 環境のセットアップ、2 AWS Managed Microsoft AD の作成、3 Amazon EC2 のデプロイ、4 ラボのテスト。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase.png)


**[ステップ 1: AWS Managed Microsoft AD Active Directory の AWS 環境を設定する](microsoftadbasestep1.md)**  
前提条件タスクを完了した後、EC2 インスタンス内で Amazon VPC を作成および構成します。

**[ステップ 2: AWS Managed Microsoft AD Active Directory を作成する](microsoftadbasestep2.md)**  
このステップでは、 AWS で初めて AWS Managed Microsoft AD を設定します。

**[ステップ 3: Amazon EC2 インスタンスをデプロイして AWS Managed Microsoft AD Active Directory を管理する](microsoftadbasestep3.md)**  
ここでは、クライアントコンピュータから新しいドメインに接続し、EC2 で Windows Server システムをセットアップするために必要なデプロイ後の各種タスクを実行していきます。

**[ステップ 4: 基本テストラボが正常に機能することを確認する](microsoftadbasestep4.md)**  
最後に、管理者として、EC2 の Windows Server システムから AWS Managed Microsoft AD にログインして接続できることを確認します。テストにより、このラボが正常に機能することが確認できたら、さらに他のテストラボのガイドモジュールを追加していくことができます。

# 前提条件
<a name="microsoftadbaseprereq"></a>

このチュートリアルでの UI 手順のみを使用してテストラボを作成する場合は、この前提条件のセクションをスキップしてステップ 1 に進むことができます。ただし、 AWS CLI コマンドまたは AWS Tools for Windows PowerShell モジュールを使用してテストラボ環境を作成する場合は、まず以下を設定する必要があります。
+ **アクセスキーとシークレットアクセスキーを持つ IAM ユーザー** – AWS CLI または AWS Tools for Windows PowerShell モジュールを使用する場合は、アクセスキーを持つ IAM ユーザーが必要です。アクセスキーがない場合は、「[アクセスキーの管理 (AWS マネジメントコンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)」を参照してください。
+ **AWS Command Line Interface (オプション)** – [Windows AWS CLI で をダウンロードしてインストール](https://docs.aws.amazon.com/cli/latest/userguide/install-windows.html)します。インストールが完了したら、コマンドプロンプトまたは PowerShell ウィンドウを開き、そして `aws configure` を入力します。このセットアップを完了するには、アクセスキーとシークレットキーが必要なことにご留意ください。この作業に必要な手順については最初の前提条件を参照してください。以下を指定することを求められます。
  + AWS アクセスキー ID [None]: `AKIAIOSFODNN7EXAMPLE`
  + AWS シークレットアクセスキー [なし]: `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`
  + デフォルトのリージョン名 [None]: `us-west-2`
  + デフォルトの出力形式 [None]: `json`
+ **AWS Tools for Windows PowerShell** **(オプション)** – 最新バージョンの AWS Tools for Windows PowerShell を [https://aws.amazon.com/powershell/](https://aws.amazon.com/powershell/) からダウンロードしてインストールした上で、以下のコマンドを実行します。このセットアップを完了するには、アクセスキーとシークレットキーが必要なことにご留意ください。この作業に必要な手順については最初の前提条件を参照してください。

  `Set-AWSCredentials -AccessKey {AKIAIOSFODNN7EXAMPLE} -SecretKey {wJalrXUtnFEMI/K7MDENG/ bPxRfiCYEXAMPLEKEY} -StoreAs {default}`

# ステップ 1: AWS Managed Microsoft AD Active Directory の AWS 環境を設定する
<a name="microsoftadbasestep1"></a>

 AWS テストラボで AWS Managed Microsoft AD を作成する前に、まずすべてのログインデータが暗号化されるように Amazon EC2 キーペアを設定する必要があります。

## キーペアを作成する
<a name="createkeypair2"></a>

既存のキーペアがある場合は、このステップを省略できます。Amazon EC2キーペアの詳細については、「[キーペアの作成](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/create-key-pairs.html)」を参照してください。

**キーペアを作成するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。

1. ナビゲーションペインの **[Network & Security]** (ネットワークとセキュリティ) で、**[Key Pairs]** (キーペア) 、**[Create Key Pair]** (キーペアを作成) の順に選択します。

1. **[Key Pair Name]** (キーペア名) に「**AWS-DS-KP**」と入力します。**[Key pair file format]** (キーペアのファイル形式) で、**[pem]** を選択した上で、**[Create]** (作成) をクリックします。

1. ブラウザによって秘密キーファイルが自動的にダウンロードされます。このファイル名は、キーペアを作成した際に指定した名前で、拡張子は `.pem` となります。ダウンロードしたプライベートキーのファイルを安全な場所に保存します。
**重要**  
プライベートキーのファイルを保存できるのは、このタイミングだけです。インスタンスの起動時にはキーペア名を指定する必要があり、インスタンスのパスワードを復号する際には、対応するプライベートキーを毎回指定する必要があります。

## 2 つの Amazon VPC を作成、設定、およびピアリングします。
<a name="createvpc"></a>

次の図に示すように、複数ステップによるこのプロセスを完了すると、2 つのパブリック VPC、VPC ごとに 2 つのパブリックサブネット、VPC ごとに 1 つのインターネットゲートウェイ、および VPC の間に 1 つの VPC ピアリング接続が作成および設定されます。ここでは、シンプルさとコストを考慮し、パブリック VPC およびサブネットを使用します。本番向けのワークロードの場合は、プライベート VPC を使用することをお勧めします。VPC セキュリティの強化の詳細については、「[Amazon Virtual Private Cloud でのセキュリティ](https://docs.aws.amazon.com/vpc/latest/userguide/security.html)」を参照してください。

![\[サブネットを含む Amazon VPC 環境、および AWS Managed Microsoft AD Active Directory を作成するためのインターネットゲートウェイ。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)


 AWS CLI および PowerShell の例はすべて、以下の VPC 情報を使用し、us-west-2 で構築されています。自分用の環境を構築する際には、[サポートされているリージョン](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html)のいずれかを選択します。詳細については、「[Amazon VPC とは?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)」を参照してください。

**ステップ 1: 2 つの VPC を作成する**

このステップでは、次の表で指定されたパラメータを使用して、同じアカウントに 2 つの VPCs を作成する必要があります。 AWS マネージド Microsoft AD は、 [AWS Managed Microsoft AD を共有する](ms_ad_directory_sharing.md)機能で個別のアカウントの使用をサポートしています。最初の VPC は AWS Managed Microsoft AD に使用されます。2 つ目の VPC はリソース用です。これらのリソースは、後に「[チュートリアル: AWS Managed Microsoft AD から Amazon EC2 へのセルフマネージド Active Directory インストールへの信頼の作成](ms_ad_tutorial_test_lab_trust.md)」で使用します。


****  

|  マネージド Active DirecVPC 情報  |  オンプレミス VPC 情報  | 
| --- | --- | 
|  名前タグ: AWS-DS-VPC01 IPv4 CIDR ブロック: 10.0.0.0/16 IPv6 CIDR ブロック: IPv6 CIDR ブロックなし テナンシー: デフォルト  |  名前タグ: AWS-OnPrem-VPC01 IPv4 CIDR ブロック: 10.100.0.0/16 IPv6 CIDR ブロック: IPv6 CIDR ブロックなし テナンシー: デフォルト  | 

詳細な手順については、「[VPC を作成する](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC)」を参照してください。

**ステップ 2: VPC ごとに 2 つのサブネットを作成する**

VPC を作成したら、次の表に指定されているパラメータを使用して、VPC ごとに 2 つのサブネットを作成する必要があります。このテストラボでは、各サブネットは /24 になります。これにより、サブネットごとに最大 256 個のアドレスを発行できます。各サブネットは、それぞれ個別の AZ に配置する必要があります。各サブネットを個別の AZ に配置することは [AWS Managed Microsoft AD を作成するための前提条件](ms_ad_getting_started.md#ms_ad_getting_started_prereqs) の 1 つです。


****  

|  AWS-DS-VPC01 サブネット情報:  |  AWS-OnPrem-VPC01 サブネット情報  | 
| --- | --- | 
|  名前タグ: AWS-DS-VPC01-Subnet01 VPC: vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 アベイラビリティーゾーン: us-west-2a IPv4 CIDR ブロック: 10.0.0.0/24  |  名前タグ: AWS-OnPrem-VPC01-Subnet01  VPC: vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 アベイラビリティーゾーン: us-west-2a IPv4 CIDR ブロック: 10.100.0.0/24  | 
|  名前タグ: AWS-DS-VPC01-Subnet02 VPC: vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 アベイラビリティーゾーン: us-west-2b IPv4 CIDR ブロック: 10.0.1.0/24  |  名前タグ: AWS-OnPrem-VPC01-Subnet02 VPC: vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 アベイラビリティーゾーン: us-west-2b IPv4 CIDR ブロック: 10.100.1.0/24  | 

詳細な手順については、「[Creating a subnet in your VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet)」(VPC でのサブネットの作成) を参照してください。

**ステップ 3: インターネットゲートウェイを作成して VPC にアタッチする**

ここではパブリック VPC を使用しているため、次の表に指定されているパラメータを使用し、インターネットゲートウェイを作成して VPC にアタッチする必要があります。これにより、EC2 インスタンスに接続し、それを管理できるようになります。


****  

|  AWS-DS-VPC01 インターネットゲートウェイ情報  |  AWS-OnPrem-VPC01 インターネットゲートウェイ情報  | 
| --- | --- | 
|  名前タグ: AWS-DS-VPC01-IGW VPC: vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01  |  名前タグ: AWS-OnPrem-VPC01-IGW VPC: vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01  | 

詳細な手順については、「[インターネットゲートウェイを使用してインターネットに接続する](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)」を参照してください。

**ステップ 4: AWS-DS-VPC01と- AWS-OnPrem-VPC01 間の VPC ピアリング接続を設定する**

既に 2 つの VPC を作成しているので、次の表に指定されているパラメータを使用して、これらの VPC を VPC ピアリングでネットワーク接続する必要があります。VPC を接続する方法は多数ありますが、このチュートリアルでは VPC ピアリングを使用します。 AWS マネージド Microsoft AD はVPCs を接続するための多くのソリューションをサポートしています。これには、VPC [ピアリング](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)、[Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)、[VPN](https://docs.aws.amazon.com/vpc/latest/adminguide/Welcome.html) などがあります。


****  

|  | 
| --- |
|  ピアリング接続名タグ: AWS-DS-VPC01&AWS-OnPrem-VPC01-Peer VPC (リクエスタ): vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 アカウント: My Account リージョン: 使用しているリージョン VPC (アクセプタ): vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01  | 

アカウント内で別の VPC と VPC ピアリング接続を作成する手順については、「[アカウント内の別の VPC との VPC ピアリング接続を作成する](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#create-vpc-peering-connection-local)」を参照してください。

**ステップ 5: 各 VPC のメインルートテーブルに 2 つのルートを追加する**

前の手順で作成したインターネットゲートウェイと VPC ピアリング接続が機能するには、次の表に指定されているパラメータを使用して、両方の VPC のメインルートテーブルを更新する必要があります。ここでは、以下の 2 つのルートを追加します。ルートテーブルに明示的に認識されていないすべての送信先にルーティングする 0.0.0.0/0 と、これまでのステップで確立した VPC ピアリング接続を介して各 VPC にルーティングする 10.0.0.0/16 または 10.100.0.0/16 です。

VPC 名タグ (AWS-DS-VPC01 または- AWS-OnPrem-VPC01) でフィルタリングすることで、各 VPC の正しいルートテーブルを簡単に見つけることができます。


****  

|  AWS-DS-VPC01 ルート 1 情報  |  AWS-DS-VPC01 ルート 2 情報  |  AWS-OnPrem-VPC01 ルート 1 情報  |  AWS-OnPrem-VPC01 ルート 2 情報  | 
| --- | --- | --- | --- | 
|  送信先: 0.0.0.0/0 ターゲット: igw-xxxxxxxxxxxxxxxxx AWS-DS-VPC01-IGW  |  送信先: 10.100.0.0/16 ターゲット: pcx- AWS xxxxxxxxxxxxxxxxxxxxx-DS-VPC01&AWS-OnPrem-VPC01-Peer  |  送信先: 0.0.0.0/0 ターゲット: igw-xxxxxxxxxxxxxxxxx AWS-Onprem-VPC01  |  送信先: 10.0.0.0/16 ターゲット: pcx- AWS xxxxxxxxxxxxxxxxxxxxx-DS-VPC01&AWS-OnPrem-VPC01-Peer  | 

VPC ルートテーブルにルートを追加する手順については、「[ルートテーブルのルートの追加と削除](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes)」を参照してください。

## Amazon EC2 インスタンスのセキュリティグループを作成する
<a name="createsecuritygroup"></a>

デフォルトでは、 AWS マネージド Microsoft AD はドメインコントローラー間のトラフィックを管理するセキュリティグループを作成します。このセクションでは、次の表に指定されているパラメータを使用して、EC2 インスタンスの VPC 内でトラフィックを管理するための、2 つのセキュリティグループ (VPC ごとに 1 つ) を作成する必要があります。また、任意の場所からの RDP (3389) インバウンドを許可するためと、ローカル VPC からのすべてのインバウンドトラフィックタイプに適用するためのルールも追加します。詳細については、「[Amazon EC2 security groups for Windows instances](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html)」(Windows インスタンス用の Amazon EC2 セキュリティグループ) を参照してください。


****  

|  AWS-DS-VPC01 セキュリティグループ情報:  | 
| --- | 
|  セキュリティグループ名: AWS DS Test Lab セキュリティグループ 説明: AWS DS Test Lab セキュリティグループ VPC: vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01  | 

** AWS-DS-VPC01のセキュリティグループのインバウンドルール**


****  

| タイプ | プロトコル | ポート範囲 | ソース | トラフィックの種類 | 
| --- | --- | --- | --- | --- | 
| カスタム TCP ルール  | TCP | 3389 | マイ IP | リモートデスクトップ | 
| すべてのトラフィック | すべて | すべて | 10.0.0.0/16 | すべてのローカル VPC トラフィック | 

** AWS-DS-VPC01のセキュリティグループアウトバウンドルール**


****  

| タイプ | プロトコル | ポート範囲 | 送信先 | トラフィックの種類 | 
| --- | --- | --- | --- | --- | 
| すべてのトラフィック | すべて | すべて | 0.0.0.0/0 | すべてのトラフィック | 


****  

| AWS-OnPrem-VPC01 セキュリティグループ情報: | 
| --- | 
|  セキュリティグループ名: AWS OnPrem Test Lab セキュリティグループ。 説明: AWS OnPrem Test Lab セキュリティグループ。 VPC: vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01  | 

** AWS-OnPrem-VPC01 用のセキュリティグループのインバウンドルール**


****  

| タイプ | プロトコル | ポート範囲 | ソース | トラフィックの種類 | 
| --- | --- | --- | --- | --- | 
| カスタム TCP ルール  | TCP | 3389 | マイ IP | リモートデスクトップ | 
| カスタム TCP ルール  | TCP | 53 | 10.0.0.0/16 | DNS | 
| カスタム TCP ルール  | TCP  | 88 | 10.0.0.0/16 | Kerberos | 
| カスタム TCP ルール  | TCP  | 389 | 10.0.0.0/16 | LDAP | 
| カスタム TCP ルール  | TCP | 464 | 10.0.0.0/16 | Kerberos パスワードの変更 / 設定 | 
| カスタム TCP ルール  | TCP | 445 | 10.0.0.0/16 | SMB / CIFS | 
| カスタム TCP ルール  | TCP | 135 | 10.0.0.0/16 | レプリケーション | 
| カスタム TCP ルール  | TCP | 636 | 10.0.0.0/16 | LDAP SSL | 
| カスタム TCP ルール  | TCP | 49152 - 65535 | 10.0.0.0/16 | RPC | 
| カスタム TCP ルール  | TCP | 3268 - 3269 | 10.0.0.0/16 | LDAP GC および LDAP GC SSL | 
| カスタム UDP ルール  | UDP | 53 | 10.0.0.0/16 | DNS | 
| カスタム UDP ルール  | UDP | 88 | 10.0.0.0/16 | Kerberos | 
| カスタム UDP ルール  | UDP | 123 | 10.0.0.0/16 | Windows タイム | 
| カスタム UDP ルール  | UDP | 389 | 10.0.0.0/16 | LDAP | 
| カスタム UDP ルール  | UDP | 464 | 10.0.0.0/16 | Kerberos パスワードの変更 / 設定 | 
| すべてのトラフィック | すべて | すべて | 10.100.0.0/16 | すべてのローカル VPC トラフィック | 

** AWS-OnPrem-VPC01 用のセキュリティグループのアウトバウンドルール**


****  

| タイプ | プロトコル | ポート範囲 | 送信先 | トラフィックの種類 | 
| --- | --- | --- | --- | --- | 
| すべてのトラフィック | すべて | すべて | 0.0.0.0/0 | すべてのトラフィック | 

ルールを作成してセキュリティグループに追加する詳細な手順については、「[Working with security groups](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)」(セキュリティグループを操作する) を参照してください。

# ステップ 2: AWS Managed Microsoft AD Active Directory を作成する
<a name="microsoftadbasestep2"></a>

このディレクトリの作成には、異なる 3 つの方法があります。プロシージャ (このチュートリアルでは推奨) を使用する AWS マネジメントコンソール か、 AWS CLI または AWS Tools for Windows PowerShell プロシージャを使用してディレクトリを作成できます。

**方法 1: AWS Managed Microsoft AD ディレクトリを作成するには (AWS マネジメントコンソール)**

1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ)、**[Set up directory]** (ディレクトリの設定) の順に選択します。

1. **[Select directory type]** (ディレクトリタイプの選択) ページで **[AWS Managed Microsoft AD]** を選択してから、**[Next]** (次へ) をクリックします。

1. **[Enter directory information]** (ディレクトリ情報の入力) ページで、以下の情報を指定した後に **[Next]** (次へ) をクリックします。
   + **[Edition]** (エディション) で、**[Standard Edition]** または **[Enterprise Edition]** を選択します。エディションの詳細については、「[AWS Directory Service for Microsoft Active Directory](what_is.md#microsoftad)」を参照してください。
   + **[Directory DNS name]** (ディレクトリの DNS 名) に「**corp.example.com**」と入力します。
   + **[Directory NetBIOS name]** (ディレクトリの NetBIOS 名) に「**corp**」と入力します。
   + **[Directory description]** (ディレクトリの説明) に「**AWS DS Managed**」と入力します。
   + **[Admin password]** (管理者パスワード) に、このアカウントに使用するパスワードを入力し、**[Confirm password]** (パスワードの確認) に同じパスワードを再度入力します。この **[Admin]** (管理者) アカウントは、ディレクトリの作成プロセス中に自動的に作成されます。パスワードに、「*admin*」という単語を含めることはできません。ディレクトリ管理者のパスワードは大文字と小文字が区別され、8～64 文字以内の長さにする必要があります。また、次の 4 つのカテゴリうち 3 つから少なくとも 1 文字を含める必要があります。
     + 小文字 (a〜z)
     + 大文字 A〜Z
     + 数字 (0〜9)
     + 英数字以外の文字(\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)

1. **[Choose VPC and subnets]** (VPC とサブネットの選択) ページで、次の情報を指定して **[Next]** (次へ) をクリックします。
   + **[VPC]** で、**AWS-DS-VPC01** で始まり、**(10.0.0.0/16)** で終わるオプションを選択します。
   + **[Subnets]** (サブネット) で、パブリックサブネットとして **10.0.0.0/24** と **10.0.1.0/24** を選択します。

1. **[Review & create]** (確認と作成) ページでディレクトリ情報を確認し、必要に応じて変更を加えます。情報が正しい場合は、**[Create directory]** (ディレクトリの作成) を選択します。ディレクトリの作成所要時間は 20～40 分です。作成が完了すると、**[Status]** (ステータス) 値が **[Active]** (アクティブ) に変わります。

**方法 2: AWS Managed Microsoft AD を作成するには (PowerShell) (オプション)**

1. PowerShell を開きます。

1. 次のコマンドを入力します。前の AWS マネジメントコンソール 手順のステップ 4 で指定した値を使用してください。

   ```
   New-DSMicrosoftAD -Name corp.example.com –ShortName corp –Password P@ssw0rd –Description "AWS DS Managed" - VpcSettings_VpcId vpc-xxxxxxxx -VpcSettings_SubnetId subnet-xxxxxxxx, subnet-xxxxxxxx
   ```

**方法 3: AWS Managed Microsoft AD を作成するには (AWS CLI) (オプション)**

1. を開きます AWS CLI。

1. 次のコマンドを入力します。前の AWS マネジメントコンソール 手順のステップ 4 で指定した値を使用してください。

   ```
   aws ds create-microsoft-ad --name corp.example.com --short-name corp --password P@ssw0rd --description "AWS DS Managed" --vpc-settings VpcId= vpc-xxxxxxxx,SubnetIds= subnet-xxxxxxxx, subnet-xxxxxxxx
   ```

# ステップ 3: Amazon EC2 インスタンスをデプロイして AWS Managed Microsoft AD Active Directory を管理する
<a name="microsoftadbasestep3"></a>

このラボでは、管理インスタンスにどこからでも簡単にアクセスできるように、パブリック IP アドレスを持つ Amazon EC2 インスタンスを使用します。本番環境では、VPN や Direct Connect リンクを介してのみアクセス可能なプライベート VPC 内のインスタンスを使用できます。インスタンスでパブリック IP アドレスを使用することは必須条件ではありません。

このセクションでは、デプロイ後の新しい EC2 インスタンスで Windows Server を使用し、クライアントコンピュータからドメインに接続するために必要となる、各種のタスクを実行していきます。次のステップでは、Windows Server を使用し、ラボが正常に機能することを確認します。

## オプション: ディレクトリの AWS-DS-VPC01 で DHCP オプションセットを作成する
<a name="createdhcpoptionsset"></a>

このオプションの手順では、VPC 内の EC2 インスタンスが DNS 解決に AWS Managed Microsoft AD を自動的に使用するように DHCP オプションスコープを設定します。詳細については、「[DHCP options sets](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html)」(DHCP オプションセット) を参照してください。

**ディレクトリの DHCP オプションセットを作成するには**

1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。

1. ナビゲーションペインで **[DHCP Options Sets]** (DHCP オプションセット) を選択し、**[Create DHCP options set]** (DHCP オプションセットの作成) を選択します。

1. **[Create DHCP options set]** (DHCP オプションセットの作成) ページで、ディレクトリ用に以下の値を指定します。
   + **[Name]** (名前) に、「**AWS DS DHCP**」と入力します。
   + **[Domain Name]** (ドメイン名) に、「**corp.example.com**」と入力します。
   + **[Domain name servers]** (ドメインネームサーバー) には、 AWS が提供するディレクトリの DNS サーバーの IP アドレスを入力します。
**注記**  
これらのアドレスを検索するには、 Directory Service **ディレクトリ**ページに移動し、該当するディレクトリ ID を選択します。**[Details]** (詳細) ページで、**[DNS address]** (DNS アドレス) に表示されている IP から、使用するものを選択します。  
または、 Directory Service の **[Directories]** (ディレクトリ) ページで、該当するディレクトリ ID を選択することで、これらのアドレスを検索できます。次に、**[Scale & share]** (スケール & 共有) をクリックします。**[Domain controllers]** (ドメインコントローラ)で、**[IP address]** (IP アドレス) に表示されている中から、使用する IP を選択します。
   + **[NTP servers]** (NTP サーバー)、**[NetBIOS name servers]** (NetBIOS ネームサーバー)、**[NetBIOS node type]** (NetBIOS ノードタイプ) は空白のままにします。

1. **[Create DHCP options set]** (DHCP オプションセットを作成) をクリックし、次に **[Close]** (閉じる) をクリックします。新しい DHCP オプションのセットが DHCP オプションの一覧に表示されます。

1. 新しい DHCP オプションセットの ID (**dopt-*xxxxxxxx***) を書き留めておきます。この ID は、この手順の最後で新しいオプションセットを VPC と関連付ける際に使用します。
**注記**  
シームレスなドメイン参加は、DHCP オプションセットを設定しなくても機能します。

1. ナビゲーションペインで、**Your VPCs** (お客様の VPC) をクリックします。

1. VPC のリストから **[AWS DS VPC]** を選択し、**[Actions]** (アクション)、**[Edit DHCP Options Set]** (DHCP オプションセットの編集) の順に選択します。

1. **[Edit DHCP options set]** (DHCP オプションセットの編集) ページで、ステップ 5 で書き留めたオプションセットを選択し、**[Save]** (保存) をクリックします。

## Windows インスタンスを AWS Managed Microsoft AD ドメインに結合するロールを作成する
<a name="configureec2"></a>

この手順を使用して、Amazon EC2 Windows インスタンスをドメインに結合するためのロールを設定します。詳細については、「[Amazon EC2 Windows インスタンスを AWS Managed Microsoft AD Active Directory に結合する](launching_instance.md)」を参照してください。

**Windows インスタンスをドメインに結合するように EC2 を設定するには**

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。

1. IAM コンソールのナビゲーションペインで、**[Roles]** (ロール)、**[Create role]** (ロールを作成) の順に選択します。

1. **[Select type of trusted entity]** (信頼されたエンティティの種類を選択) で、**[AWS service]** (AWS のサービス) を選択します。

1. **[Choose the service that will use this role]** (このロールを使用するサービスを選択) のすぐ下で、**[EC2]** を選択し、次に **[Next: Permissions]** (次へ: アクセス許可) を選択します。

1. **[Attached permissions policy]** (アタッチされているアクセス許可ポリシー) ページで、以下の操作を行います。
   + 管理ポリシー **[AmazonSSMManagedInstanceCore]** の横にあるボックスをオンにします。このポリシーは、Systems Manager サービスを使用するために必要な最小限のアクセス許可を付与します。
   + 管理ポリシー **[AmazonSSMDirectoryServiceAccess]** の横にあるボックスをオンにします。このポリシーでは、 Directory Serviceによって管理されている Active Directory にインスタンスを結合するためのアクセス許可を付与します。

   これらのマネージドポリシーと、Systems Manager の IAM インスタンスプロファイルにアタッチできるその他のポリシーの詳細については、「*AWS Systems Manager ユーザーガイド*」の「[Systems Manager の IAM インスタンスプロファイルを作成する](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html)」を参照してください。管理ポリシーの詳細については、「*IAM ユーザーガイド*」の「[AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

1. **[Next: Tags]** (次へ: タグ) を選択します。

1. (オプション) 1 つまたは複数のタグキーと値のペアを追加して、このロールのアクセスを整理、追跡、または制御し、**[Next: Review]** (次へ: 確認) を選択します。

1. **[Role name]** (ロール名) には、「**EC2DomainJoin**」など、インスタンスをドメインに結合させるために使用されることがわかるような名前を入力します。

1. (オプション) **[Role description]** (ロールの説明) に、説明を入力します。

1. **[Create role]** (ロールの作成) を選択します。**ロール**ページが再度表示されます。

## Amazon EC2 インスタンスを作成し、ディレクトリを自動的に結合する
<a name="deployec2instance"></a>

この手順では、EC2 インスタンス内に Windows Server システムをセットアップし、後に Active Directory でユーザー、グループ、およびポリシーを管理するために使用できるようにします。

**EC2 インスタンスを作成しディレクトリを自動的に結合するには**

1. Amazon EC2 コンソール ([https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)) を開きます。

1. **[Launch Instance]** (インスタンスの起動) を選択します。

1. **[Step 1]** (ステップ 1) ページで、**[Microsoft Windows Server 2019 Base - ami-*xxxxxxxxxxxxxxxxx]*** の横にある **[Select]** (選択) をオンにします。

1. **[Step 2]** (ステップ 2。 ページで、**[t3.micro]** を選択します (これより大きいインスタンスタイプも選択できます)。次に、**[Next: Configure Instance Details]** (次へ: インスタンス詳細の設定) をクリックします。

1. **[Step 3]** (ステップ 3) ページで、以下の操作を行います。
   + **[Network]** (ネットワーク) で、**AWS-DS-VPC01** で終わる VPC (例: **vpc-*xxxxxxxxxxxxxxxxx* \$1 AWS-DS-VPC01**) を選択します。
   + **[Subnet]** (サブネット) で、該当するアベイラビリティーゾーンに事前設定されている **[Public subnet 1]** を選択します (例: **subnet-*xxxxxxxxxxxxxxxxx* \$1 AWS-DS-VPC01-Subnet01 \$1 *us-west-2a***)。
   + **Auto-assign Public IP** (自動割り当てパブリック IP) で、**[Enable]** (有効) を選択します (サブネットの設定がデフォルトで有効ではない場合)。
   + **[Domain join directory]** (ドメイン結合ディレクトリ) で、**[corp.example.com (d-*xxxxxxxxxx*)]** を選択します。
   + **[IAM role]** (IAM ロール) で、[Windows インスタンスを AWS Managed Microsoft AD ドメインに結合するロールを作成する](#configureec2) でインスタンスロールを付与した名前 (例: **EC2DomainJoin**) を選択します。
   + 残りの設定はデフォルトのままにしておきます。
   + **[Next: Add Storage]** (次へ: ストレージの追加) をクリックします。

1. **[Step 4]** (ステップ 4) ページで、デフォルト設定をそのままにして、**[Next: Add Tags]** (次へ: タグの追加) をクリックします。

1. **[Step 5]** (ステップ 5) ページで、**[Add Tag]** (タグを追加) をクリックします。**[Key]** (キー) に「**corp.example.com-mgmt**」と入力し、**[Next: Configure Security Group]** (次へ: セキュリティグループの設定) を選択します。

1. **[ステップ 6]** ページで、**[既存のセキュリティグループを選択]** を選択し、**[AWS DS テストラボセキュリティグループ]** ([入門チュートリアル](microsoftadbasestep1.md#createsecuritygroup)でセットアップ済み) を選択します。次に **[確認と起動]** を選択してインスタンスを確認します。

1. **[Step 7]** (ステップ) ページで内容を確認した上で、**[Launch]** (起動) をクリックします。

1. **[Select an existing key pair or create a new key pair]** (既存のキーペアを選択するか、新しいキーペアを作成します。) ダイアログボックスで、以下の操作を行います。
   + **[Choose an existing key pair]** (既存のキーペアの選択) をクリックします。
   + **[Select a key pair]** (キーペアの選択) で、**[AWS-DS-KP]** を選択します。
   + **[I acknowledge...]** (...を認識しています) チェックボックスをオンにします。
   + **[Launch Instances]** (インスタンスを起動) をクリックします。

1. **[View Instances]** (インスタンスの表示) をクリックして Amazon EC2 コンソールに戻り、デプロイのステータスを確認します。

## EC2 インスタンスに Active Directory のツールをインストールする
<a name="installadtools"></a>

Active Directory ドメイン管理ツールを EC2 インスタンスにインストールするには、2 つの方法があります。Server Manager UI (このチュートリアルでの推奨) または PowerShell を使用できます。

**Active Directory のツールを EC2 インスタンスにインストールするには (Server Manager)**

1. Amazon EC2 コンソールで **[Instances]** (インスタンス) をクリックし、先ほど作成したインスタンスを選択して、**[Connect]** (接続) をクリックします。

1. **[インスタンスに接続]** ダイアログボックスで、**[パスワードを取得]** を選択してパスワードを取得し (まだ取得していない場合)、続いて **[リモートデスクトップファイルをダウンロード]** を選択します。

1. **[Windows Security]** (Windows セキュリティ) ダイアログボックスで、Windows Server コンピュータのログインに使用する、ローカル管理者の認証情報 (「**administrator**」など) を入力します。

1. **[Start]** (スタート) メニューで、**[Server Manager]** (サーバーマネージャー) を選択します。

1. **[Dashboard]** (ダッシュボード) で、**[Add Roles and Features]** (ロールと機能の追加) をクリックします。

1. **[Add Roles and Features Wizard]** (ロールと機能の追加ウィザード) で、**[Next]** (次へ) をクリックします。

1. **[Select installation type]** (インストールタイプの選択) ページで、**[Role-based or feature-based installation]** (ロールベースもしくは機能ベースのインストール) を選択し、**[Next]** (次へ) をクリックします。

1. **Select destination server** (送信先サーバーの選択) ページで、ローカルサーバーが選択されていることを確認し、**[Next]** (次へ) をクリックします。

1. **[Select server roles]** (サーバーロールの選択) ページで、**[Next]** (次へ) をクリックします。

1. **[Select features]** (機能の選択) ページで、以下の操作を行います。
   + **[Group Policy Management]** (グループポリシー管理) チェックボックスをオンにします。
   + **[Remote Server Administration Tools]** (リモートサーバー管理ツール)、**[Role Administration Tools]** (ロール管理ツール) の順に展開します。
   + **[AD DS and AD LDS Tools]** (AD DS と AD LDS ツール) チェックボックスをオンにします。
   + **[DNS Server Tools]** (DNS サーバーツール) チェックボックスをオンにします。
   + **[Next]** (次へ) をクリックします。

1. **[Confirm installation selections]** (インストール設定の確認) ページで、情報を確認し、**[Install]** (インストール) をクリックします。機能のインストールが完了すると、[スタート] メニューの [Windows Administrative Tools] フォルダで、以下の新しいツールやスナップインが利用可能になります。
   + Active Directory 管理センター
   + Active Directory のドメインと信頼関係
   + PowerShell の Active Directory モジュール
   + Active Directory のサイトとサービス
   + Active Directory のユーザーとコンピュータ
   + ADSI エディター
   + DNS
   + グループポリシーの管理

**EC2 インスタンスに Active Directory ツールをインストールするには (PowerShell) (選択可能)**

1. PowerShell を起動します。

1. 次のコマンドを入力します。

   ```
   Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
   ```

# ステップ 4: 基本テストラボが正常に機能することを確認する
<a name="microsoftadbasestep4"></a>

追加のテストラボのガイドモジュールを追加する前に、次の手順に従い、テストラボが正常にセットアップされていることを確認します。この手順では、Windows Server が適切に設定され、corp.example.com ドメインに接続でき、 AWS Managed Microsoft AD フォレストの管理に使用できることを確認します。

**テストラボが正常に機能することを確認するには**

1. ローカル管理者としてログインした EC2 インスタンスからサインアウトします。

1. Amazon EC2 コンソールに戻り、ナビゲーションペインで **[Instances]** (インスタンス) をクリックします。次に、作成したインスタンスを選択します。**[Connect]** (接続) をクリックします。

1. **[Connect To Your Instance]** (インスタンスへの接続) ダイアログボックスで、**[Download Remote Desktop File]** (リモートデスクトップファイルのダウンロード) をクリックします。

1. **[Windows Security]** (Windows セキュリティ) ダイアログボックスで、CORP ドメインに管理者としてログインするための認証情報 (**corp\$1admin**など) を入力します。

1. ログインしたら、**[Start]** (スタート) メニューから **[Windows Administrative Tools]** (Windows 管理ツール) を選択し、**[Active Directory Users and Computers]** (Active Directory とコンピュータ) を選択します。

1. 新しいドメインと関連付けられたすべてのデフォルト OU およびアカウントで「**corp.example.com**」が表示されます。**ドメインコントローラー** で、このチュートリアルのステップ 2 で AWS Managed Microsoft AD を作成したときに自動的に作成されたドメインコントローラーの名前に注意してください。

お疲れ様でした。 AWS Managed Microsoft AD のベーステストラボ環境が設定されました。このシリーズの次のテストラボを追加する準備が整いました。

次のチュートリアル: [チュートリアル: AWS Managed Microsoft AD から Amazon EC2 へのセルフマネージド Active Directory インストールへの信頼の作成](ms_ad_tutorial_test_lab_trust.md)

# チュートリアル: AWS Managed Microsoft AD から Amazon EC2 へのセルフマネージド Active Directory インストールへの信頼の作成
<a name="ms_ad_tutorial_test_lab_trust"></a>

このチュートリアルでは、[基本チュートリアル](ms_ad_tutorial_test_lab_base.md)で作成した AWS Directory Service for Microsoft Active Directory フォレスト間に信頼を作成する方法について説明します。また、Amazon EC2 で Windows Server 上にネイティブの新しい Active Directory フォレストを作成する方法についても説明します。次の図に示すように、このチュートリアルで作成するラボは、完全な AWS Managed Microsoft AD テストラボを設定するために必要な 2 番目の構成要素です。テストラボを使用して、純粋なクラウドまたはハイブリッドのクラウドベースの AWS ソリューションをテストできます。

このチュートリアルは 1 度だけ作成する必要があります。その後は、経験に応じて必要な時にオプションのチュートリアルを追加できます。

![\[Microsoft Active Directory から自己管理型の Active Directory への信頼を構築する手順:環境をセットアップし、Microsoft Active Directory を作成し、Amazon EC2 インスタンスをデプロイし、ラボをテストします。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust.png)


**[ステップ 1: 信頼の環境セットアップ](microsoftadtruststep1.md)**  
新しい Active Directory フォレストと[基本のチュートリアル](ms_ad_tutorial_test_lab_base.md)で作成した AWS Managed Microsoft AD フォレストとの信頼を確立するには、Amazon EC2 環境の準備を整える必要があります。そのためには、まず Windows Server 2019 サーバーを作成して、このサーバーをドメインコントローラーに昇格し、その後 VPC を適切に設定します。

**[ステップ 2: 信頼の作成](microsoftadtruststep2.md)**  
このステップでは、Amazon EC2 でホストされる新しく作成された Active Directory フォレストと の AWS Managed Microsoft AD フォレストの間に双方向のフォレスト信頼関係を作成します AWS。

**[ステップ 3: 信頼の検証](microsoftadtruststep3.md)**  
最後に、管理者として Directory Service コンソールを使用して、新しい信頼が動作していることを確認します。

# ステップ 1: 信頼の環境セットアップ
<a name="microsoftadtruststep1"></a>

このセクションでは、Amazon EC2 環境をセットアップし、新しいフォレストをデプロイして、 との信頼のために VPC を準備します AWS。

![\[Amazon VPC、サブネット、インターネットゲートウェイを備えた Amazon EC2 環境で、新しいフォレストをデプロイして信頼関係を確立します。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)


## Windows Server 2019 の EC2 インスタンスを作成する
<a name="createkeypair1"></a>

Amazon EC2 で Windows Server 2019 のメンバーサーバーを作成するには、次の手順に従います。

**Windows Server 2019 の EC2 インスタンスを作成するには**

1. Amazon EC2 コンソール ([https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)) を開きます。

1. Amazon EC2 コンソールで、**[Launch Instance]** (インスタンスを起動) を選択します。

1. **[Step 1]** (ステップ 1) ページのリストで、**[Microsoft Windows Server 2019 Base - ami-*xxxxxxxxxxxxxxxxx*]** を見つけます。続いて、**[Select]** (選択) を選択します。

1. **[Step 2]** (ステップ 2。 ページで、**[t2.large]**、**[Next: Configure Instance Details]** (次へ: インスタンスの詳細の設定) の順に選択します。

1. **[Step 3]** (ステップ 3) ページで、以下の操作を行います。
   + **[Network]** (ネットワーク) で、**[vpc-*xxxxxxxxxxxxxxxxx* AWS-OnPrem-VPC01]** ([基本のチュートリアル](microsoftadbasestep1.md#createvpc)でセットアップ済み) を選択します。
   + **サブネット**には、**subnet-*xxxxxxxxxxxxxxxxx* \$1 AWS-OnPrem-VPC01-Subnet01 \$1 AWS-OnPrem-VPC01 **を選択します。
   + **[Auto-assign Public IP]** (自動割り当てパブリック IP) リストで、サブネットのデフォルト設定が **[Enable]** (有効) でない場合、**[Enable]** (有効) を選択します。
   + 残りの設定はデフォルトのままにしておきます。
   + **[Next: Add Storage]** (次へ: ストレージの追加) をクリックします。

1. **[Step 4]** (ステップ 4) ページで、デフォルト設定をそのままにして、**[Next: Add Tags]** (次へ: タグの追加) をクリックします。

1. **[Step 5]** (ステップ 5) ページで、**[Add Tag]** (タグを追加) をクリックします。**[Key]** (キー) に「**example.local-DC01**」と入力し、**[Next: Configure Security Group]** (次へ: セキュリティグループの設定) を選択します。

1. **[ステップ 6]** ページで、**[既存のセキュリティグループを選択する]** を選択し、**[AWS オンプレミステストラボセキュリティグループ]** ([基本のチュートリアル](microsoftadbasestep1.md#createsecuritygroup)でセットアップ済み) を選択します。次に **[確認と作成]** を選択してインスタンスを確認します。

1. **[Step 7]** (ステップ) ページで内容を確認した上で、**[Launch]** (起動) をクリックします。

1. **[Select an existing key pair or create a new key pair]** (既存のキーペアを選択するか、新しいキーペアを作成します。) ダイアログボックスで、以下の操作を行います。
   + **[Choose an existing key pair]** (既存のキーペアの選択) をクリックします。
   + **[Select a key pair]** (キーペアの選択) で、**[AWS-DS-KP]** ([基本のチュートリアル](microsoftadbasestep1.md#createkeypair2)でセットアップ済み) を選択します。
   + **[I acknowledge...]** (...を認識しています) チェックボックスをオンにします。
   + **[Launch Instances]** (インスタンスを起動) をクリックします。

1. **[View Instances]** (インスタンスの表示) をクリックして Amazon EC2 コンソールに戻り、デプロイのステータスを確認します。

## サーバーをドメインコントローラーに昇格する
<a name="promoteserver"></a>

信頼を作成する前に、新しいフォレスト用に最初のドメインコントローラーを構築してデプロイする必要があります。このプロセスでは、新しい Active Directory フォレストを設定し、DNS をインストールして、名前の解決にローカル DNS サーバーを使用するようにこのサーバーを設定します。この手順の最後にサーバーを再起動する必要があります。

**注記**  
オンプレミスネットワークでレプリケート AWS するドメインコントローラーを で作成する場合は、まず EC2 インスタンスをオンプレミスドメインに手動で結合します。その後、サーバーをドメインコントローラーに昇格できます。

**サーバーをドメインコントローラーに昇格するには**

1. Amazon EC2 コンソールで **[Instances]** (インスタンス) をクリックし、先ほど作成したインスタンスを選択して、**[Connect]** (接続) をクリックします。

1. **[Connect To Your Instance]** (インスタンスへの接続) ダイアログボックスで、**[Download Remote Desktop File]** (リモートデスクトップファイルのダウンロード) をクリックします。

1. **[Windows Security]** ダイアログボックスで、Windows Server コンピュータのローカル管理者の認証情報 (「**administrator**」など) を入力してログインします。ローカル管理者のパスワードがない場合は、Amazon EC2 コンソールに戻り、インスタンスを右クリックして **[Get Windows Password]** (Windows パスワードを取得) を選択します。`AWS DS KP.pem` ファイルまたは個人用の `.pem` キーに移動して、**[Decrypt Password]** (パスワードの復号) を選択します。

1. **[Start]** (スタート) メニューで、**[Server Manager]** (サーバーマネージャー) を選択します。

1. **[Dashboard]** (ダッシュボード) で、**[Add Roles and Features]** (ロールと機能の追加) をクリックします。

1. **[Add Roles and Features Wizard]** (ロールと機能の追加ウィザード) で、**[Next]** (次へ) をクリックします。

1. **[Select installation type]** (インストールタイプの選択) ページで、**[Role-based or feature-based installation]** (ロールベースもしくは機能ベースのインストール) を選択し、**[Next]** (次へ) をクリックします。

1. **Select destination server** (送信先サーバーの選択) ページで、ローカルサーバーが選択されていることを確認し、**[Next]** (次へ) をクリックします。

1. **[Select server roles]** (サーバーロールの選択) ページで、**[Active Directory Domain Services]** (Active Directory ドメインサービス) を選択します。**[Add Roles and Features Wizard]** (ロールと機能の追加ウィザード) ダイアログボックスで、**[Include management tools]** (管理ツールを含める (該当する場合)) チェックボックスがオンになっていることを確認します。**[Add Features]** (機能を追加)、**[Next]** (次へ) の順に選択します。

1. **[Select features]** (機能を選択) ページで、**[Next]** (次へ) を選択します。

1. **[Active Directory Domain Services]** (Active Directory ドメインサービス) ページで、**[Next]** (次へ) を選択します。

1. **[Confirm installation selections]** (インストールの選択を確認) ページで、**[Install]** (インストール) を選択します。

1. Active Directory バイナリがインストールされたら、**[Close]** (閉じる) をクリックします。

1. Server Manager (サーバーマネージャー) が表示されたら、上部の **[Manage]** (管理) の横にあるフラグを確認します。このフラグが黄色に変われば、サーバーを昇格する準備は完了です。

1. 黄色のフラグを選択し、**[Promote this server to a domain controller]** (このサーバーをドメインコントローラーに昇格) を選択します。

1. **[Deployment Configuration]** (デプロイ設定) ページで、**[Add a new forest]** (新しいフォレストを追加) を選択します。**[Root domain name]** (ルートドメイン名) に「**example.local**」と入力し、**[Next]** (次へ) を選択します。

1. **[Domain Controller Options]** (ドメインコントローラーのオプション) ページで、次の操作を行います。
   + **[Forest functional level]** (フォレストの機能レベル) と **[Domain functional level]** (ドメインの機能レベル) の両方で、**[Windows Server 2016]** を選択します。
   + **[ドメインコントローラーの機能を指定]** で、**[Domain Name System (DNS) サーバー]** と **[グローバルカタログ (GC)]** の両方が選択されていることを確認します。
   + Directory Services Restore Mode (DSRM) のパスワードを入力し、確認します。続いて、**[Next]** (次へ) をクリックします。

1. **[DNS Options]** (DNS のオプション) ページで、委任に関する警告を無視し、**[Next]** (次へ) を選択します。

1. **[Additional options]** (追加のオプション) ページで、NetBios のドメイン名として **[EXAMPLE]** が表示されていることを確認します。

1. **[Paths]** (パス) ページで、デフォルト値のまま **[Next]** (次へ) を選択します。

1. **[Review Options]** (オプションの確認) ページで、**[Next]** (次へ) を選択します。これで、ドメインコントローラーのすべての前提条件が満たされていることがサーバーで確認できます。いくつかの警告が表示されることがありますが、無視して構いません。

1. **[Install]** (インストール) をクリックします。インストールが完了すると、サーバーが再起動し、ドメインコントローラーとして機能するようになります。

## VPC の設定
<a name="configurevpc1"></a>

次の 3 つの手順で、 AWSと接続するように VPC を設定します。

**VPC のアウトバウンドルールを設定するには**

1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)で、[基本チュートリアル](microsoftadbasestep2.md)で以前に作成した corp.example.com の AWS Managed Microsoft AD ディレクトリ ID を書き留めます。

1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。

1. ナビゲーションペインで、**[Security Groups]** (セキュリティグループ) をクリックします。

1.  AWS Managed Microsoft AD ディレクトリ ID を検索します。検索結果の中から、**[AWS により d-*xxxxxx* ディレクトリコントローラーのセキュリティグループが作成されました]** という説明が表示されている項目を選択します。
**注記**  
このセキュリティグループは、ディレクトリを最初に作成するときに自動的で作成されます。

1. そのセキュリティグループの下にある **[Outbound Rules]** (アウトバウンドルール) タブを選択します。**[Edit]** (編集)、**[Add another rule]** (別のルールの追加) の順に選択し、次の値を追加します。
   + **[Type]** (タイプ) で、**[All Traffic]** (すべてのトラフィック) を選択します。
   + **[Destination]** (送信先) に「**0.0.0.0/0**」と入力します。
   + 残りの設定はデフォルトのままにしておきます。
   + **[Save]** (保存) をクリックします。

**Kerberos の事前認証が有効になっていることを確認するには**

1. **example.local** ドメインコントローラーで、**[Server Manager]** (サーバーマネージャー) を開きます。

1. **[Tools]** (ツール) メニューで、**[Active Directory Users and Computers]** (Active Directory ユーザーとコンピュータ) を選択します。

1. **[Users]** (ユーザー) ディレクトリに移動してユーザーを右クリックし、**[Properties]** (プロパティ) を選択して **[Account]** (アカウント) タブを選択します。**[Account options]** (アカウントオプション) リストを下にスクロールし、**[Do not require Kerberos preauthentication]** (Kerberos の事前認証を要求しない) が選択されて**いない**ことを確認します。

1. **corp.example.com-mgmt** インスタンスの **corp.example.com** ドメインに対しても同じ手順を実行します。

**DNS の条件付きフォワーダーを設定するには**
**注記**  
条件付きフォワーダーは、クエリ内の DNS ドメイン名に従って DNS クエリを転送するためのネットワーク上の DNS サーバーです。例えば、widgets.example.com で終わる名前に関して受信したすべてのクエリを、特定の DNS サーバーや複数の DNS サーバーの IP アドレスに転送するように DNS サーバーを設定できます。

1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/) を開きます。

1. ナビゲーションペインで **[ディレクトリ]** を選択します。

1.  AWS Managed Microsoft AD の**ディレクトリ ID** を選択します。

1. 完全修飾ドメイン名 (FQDN) であるディレクトリの DNS アドレスと **corp.example.com** を書き留めます。

1. ここで、**example.local** ドメインコントローラーに戻り、**[Server Manager]** (サーバーマネージャー) を開きます。

1. **[Tools]** (ツール) メニューで、**[DNS]** を選択します。

1. コンソールツリーで、信頼を設定するドメインの DNS サーバーを展開し、**[Conditional Forwarders]** (条件付きフォワーダー) に移動します。

1. **[Conditional Forwarders]** (条件付きフォワーダー) を右クリックし、**[New Conditional Forwarder]** (新しい条件付きフォワーダー) を選択します。

1. DNS ドメインに、「**corp.example.com**」と入力します。

1. **プライマリサーバーの IP アドレスで**、**<ここをクリックして ...> を追加**し、 AWS Managed Microsoft AD ディレクトリの最初の DNS アドレス (前の手順で書き留めたもの) を入力し、Enter ****キーを押します。2 つ目の DNS アドレスにも同じ操作を行います。DNS アドレスを入力すると、「タイムアウト」または「解決できません」というエラーが表示される場合があります。通常、このエラーは無視できます。

1. **[Store this conditional forwarder in Active Directory, and replicate as follows]** (Active Directory で条件付きフォワーダーを保存して、次の通りにレプリケートする) チェックボックスをオンにします。ドロップダウンメニューで **[All DNS servers in this Forest]** (このフォレストのすべての DNS サーバー) を選択し、**[OK]** を選択します。

# ステップ 2: 信頼の作成
<a name="microsoftadtruststep2"></a>

このセクションでは、2 つのフォレストの信頼を別々に作成します。1 つの信頼は EC2 インスタンスの Active Directory ドメインから作成され、もう 1 つの信頼は の AWS Managed Microsoft AD から作成されます AWS。

![\[corp.example.com と example.local の間の双方向の信頼\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust_twoway.png)


**EC2 ドメインから AWS Managed Microsoft AD への信頼を作成するには**

1. **example.local** にログインします。

1. **[Server Manager]** (サーバーマネージャー) を開き、コンソールツリーで **[DNS]** を選択します。表示されたサーバーの IPv4 アドレスを書き留めます。このアドレスは、次の手順で **corp.example.com** から **example.local** ディレクトリへの条件付きフォワーダーを作成する際に必要になります。

1. **[Tools]** (ツール) メニューで、**[Active Directory Domains and Trusts]** (Active Directory のドメインと信頼) を選択します。

1. コンソールツリーで、**[example.local]** を右クリックし、**[Properties]** (プロパティ) を選択します。

1. **[Trusts]** (信頼) タブで、**[New Trust]** (新しい信頼) を選択し、**[Next]** (次へ) を選択します。

1. **[Trust Name]** (信頼の名前) ページで、「**corp.example.com**」と入力し、**[Next]** (次へ) を選択します。

1. **[Trust Type]** (信頼のタイプ) ページで、**[Forest trust]** (フォレストの信頼) を選択し、**[Next]** (次へ) を選択します。
**注記**  
AWS Managed Microsoft AD は外部信頼もサポートしています。ただし、このチュートリアルは、双方向フォレストの信頼を作成することを目的とします。

1. **[Direction of Trust]** (信頼の方向) ページで、**[Two-way]** (双方向) を選択し、**[Next]** (次へ) を選択します。
**注記**  
後で一方向の信頼でこれを試す場合、信頼の方向が正しく設定されていることを確認します (信頼するドメインでの送信、信頼されたドメインでの受信)。一般的な情報については、Microsoft のウェブサイトで「[Understanding Trust Direction](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11))」を参照してください。

1. **[Sides of Trust]** (信頼のサイド) ページで、**[This domain only]** (このドメインのみ) を選択し、**[Next]** (次へ) を選択します。

1. **[Outgoing Trust Authentication Level]** (送信する信頼の認証レベル) ページで、**[Forest-wide authentication]** (フォレスト全体の認証) を選択し、**[Next]** (次へ) を選択します。
**注記**  
**[Selective authentication]** (選択的な認証) はオプションですが、このチュートリアルをシンプルにするため、ここでは有効にしないことをお勧めします。これを設定すると、外部またはフォレストの信頼を介したアクセスが、信頼されたドメインやフォレスト内のユーザーのみに制限されます。これらには、信頼するドメインやフォレストに存在するコンピュータオブジェクト (リソースコンピュータ) に対する認証のアクセス許可が明示的に付与されています。詳細については、「[Configuring Selective Authentication Settings](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10))」を参照してください。

1. **[Trust Password]** (信頼のパスワード) ページで、信頼のパスワードを 2 回入力し、**[Next]** (次へ) を選択します。この同じパスワードを次の手順でも使用します。

1. **[Trust Selections Complete]** (信頼の選択の完了) ページで結果を確認し、**[Next]** (次へ) を選択します。

1. **[Trust Creation Complete]** (信頼の作成の完了) ページで結果を確認し、**[Next]** (次へ) を選択します。

1. **[Confirm Outgoing Trust]** (送信する信頼の確認) ページで、**[No, do not confirm the outgoing trust]** (いいえ、送信の信頼を承認しません) を選択します。その後、**[Next]** (次へ) を選択します。

1. **[Confirm Incoming Trust]** (受信の信頼の確認) ページで、**[No, do not confirm the incoming trust]** (いいえ、受信の信頼を承認しません)を選択します。その後、**[Next]** (次へ) を選択します。

1. **[Completing the New Trust Wizard]** (新しい信頼ウィザードの完了) ページで、**[Finish]** (完了) を選択します。

**注記**  
信頼関係は AWS Managed Microsoft AD のグローバル機能です。[AWS Managed Microsoft AD のマルチリージョンレプリケーションを設定する](ms_ad_configure_multi_region_replication.md) を使用している場合、[プライマリリージョン](multi-region-global-primary-additional.md#multi-region-primary) で次の手順を実行する必要があります。変更した内容は、レプリケートされたすべてのリージョンで自動的に適用されます。詳細については、「[グローバル機能とリージョン機能](multi-region-global-region-features.md)」を参照してください。

**AWS Managed Microsoft AD から EC2 ドメインへの信頼を作成するには**

1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/) を開きます。

1. **[corp.example.com]** ディレクトリを選択します。

1. **[Directory details]** (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。
   + **[Multi-Region replication]** (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、プライマリリージョンを選択した上で、**[Networking & security]** (ネットワークとセキュリティ) タブを開きます。詳細については、「[プライマリリージョンと追加のリージョン](multi-region-global-primary-additional.md)」を参照してください。
   + **[Multi-Region replication]** (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。

1. **[Trust relationships]** (信頼関係) セクションで、**[Actions]** (アクション)、**[Add trust relationship]** (信頼関係の追加) の順に選択します。

1. **[Add a trust relationship]** (信頼関係の追加) ダイアログボックスで、次の操作を行います。
   + **[Trust type]** (信頼のタイプ) で、**[Forest trust]** (フォレストの信頼) を選択します。
**注記**  
ここで選択した**信頼タイプ**が、前の手順で設定したのと同じ信頼タイプと一致することを確認してください (EC2 ドメインから AWS Managed Microsoft AD への信頼を作成するには）。
   + **[Existing or new remote domain name]** (既存または新しいリモートのドメイン名) に、「**example.local**」と入力します。
   + **[Trust password]** (信頼のパスワード) に、前の手順で指定したものと同じパスワードを入力します。
   + **[Trust direction]** (信頼の方向) で、**[Two-way]** (双方向) を選択します。
**注記**  
後で一方向の信頼でこれを試す場合、信頼の方向が正しく設定されていることを確認します (信頼するドメインでの送信、信頼されたドメインでの受信)。一般的な情報については、Microsoft のウェブサイトで「[Understanding Trust Direction](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11))」を参照してください。
**[Selective authentication]** (選択的な認証) はオプションですが、このチュートリアルをシンプルにするため、ここでは有効にしないことをお勧めします。これを設定すると、外部またはフォレストの信頼を介したアクセスが、信頼されたドメインやフォレスト内のユーザーのみに制限されます。これらには、信頼するドメインやフォレストに存在するコンピュータオブジェクト (リソースコンピュータ) に対する認証のアクセス許可が明示的に付与されています。詳細については、「[Configuring Selective Authentication Settings](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10))」を参照してください。
   + **[Conditional forwarder]** (条件付きフォワーダー) に、**example.local** フォレストでの DNS サーバーの IP アドレス (前の手順で書き留めたもの) を入力します。
**注記**  
条件付きフォワーダーは、クエリ内の DNS ドメイン名に従って DNS クエリを転送するためのネットワーク上の DNS サーバーです。例えば、widgets.example.com で終わる名前に関して受信したすべてのクエリを、特定の DNS サーバーや複数の DNS サーバーの IP アドレスに転送するように DNS サーバーを設定できます。

1. **[Add]** (追加) を選択します。

# ステップ 3: 信頼の検証
<a name="microsoftadtruststep3"></a>

このセクションでは、 AWS と Amazon EC2 上の Active Directory の間で信頼が正常に設定されたかどうかをテストします。

**信頼を検証するには**

1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/) を開きます。

1. **[corp.example.com]** ディレクトリを選択します。

1. **[Directory details]** (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。
   + **[Multi-Region replication]** (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、プライマリリージョンを選択した上で、**[Networking & security]** (ネットワークとセキュリティ) タブを開きます。詳細については、「[プライマリリージョンと追加のリージョン](multi-region-global-primary-additional.md)」を参照してください。
   + **[Multi-Region replication]** (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。

1. **[Trust relationships]** (信頼関係) セクションで、作成したばかりの信頼関係を選択します。

1. **[Actions]** (アクション) を選択し、**[Verify trust relationship]** (信頼関係の検証) を選択します。

検証が完了すると、**[Status]** (ステータス) の列に **[Verified]** (検証済み) と表示されます。

以上でこのチュートリアルは完了です。これで、マルチフォレストの Active Directory 環境が完全に機能するようになりました。この環境で、さまざまなシナリオのテストを開始できます。テストラボの追加のチュートリアルは、2018 年に予定されています。定期的に最新情報を確認してください。