翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# チュートリアル: で基本的な AWS Managed Microsoft AD テストラボをセットアップする AWS
<a name="ms_ad_tutorial_test_lab_base"></a>

このチュートリアルでは、Windows Server 2019 を実行する新しい Amazon EC2 インスタンスを使用する新しい AWS Managed Microsoft AD インストールを準備するように AWS 環境を設定する方法について説明します。次に、一般的な Active Directory 管理ツールを使用してEC2 Windows インスタンスから AWS Managed Microsoft AD 環境を管理する方法について説明します。チュートリアルを完了するまでに、ネットワークの前提条件を設定し、新しい AWS Managed Microsoft AD フォレストを設定します。

次の図に示すように、このチュートリアルで作成したラボは、 AWS Managed Microsoft AD に関する実践的な学習の基盤となるコンポーネントです。後に、この土台を他のチュートリアルでも使用することで、実践的な経験をさらに積むことができます。このチュートリアルシリーズは、 AWS Managed Microsoft AD の使用を始めたばかりで、評価目的のためにテストラボを試したいと考えているユーザーに最適です。チュートリアルの所要時間は約 1 時間です。

![\[チュートリアルの手順を示す図: 1 環境のセットアップ、2 AWS Managed Microsoft AD の作成、3 Amazon EC2 のデプロイ、4 ラボのテスト。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase.png)


**[ステップ 1: AWS Managed Microsoft AD Active Directory の AWS 環境を設定する](microsoftadbasestep1.md)**  
前提条件タスクを完了した後、EC2 インスタンス内で Amazon VPC を作成および構成します。

**[ステップ 2: AWS Managed Microsoft AD Active Directory を作成する](microsoftadbasestep2.md)**  
このステップでは、 AWS で初めて AWS Managed Microsoft AD を設定します。

**[ステップ 3: Amazon EC2 インスタンスをデプロイして AWS Managed Microsoft AD Active Directory を管理する](microsoftadbasestep3.md)**  
ここでは、クライアントコンピュータから新しいドメインに接続し、EC2 で Windows Server システムをセットアップするために必要なデプロイ後の各種タスクを実行していきます。

**[ステップ 4: 基本テストラボが正常に機能することを確認する](microsoftadbasestep4.md)**  
最後に、管理者として、EC2 の Windows Server システムから AWS Managed Microsoft AD にログインして接続できることを確認します。テストにより、このラボが正常に機能することが確認できたら、さらに他のテストラボのガイドモジュールを追加していくことができます。

# 前提条件
<a name="microsoftadbaseprereq"></a>

このチュートリアルでの UI 手順のみを使用してテストラボを作成する場合は、この前提条件のセクションをスキップしてステップ 1 に進むことができます。ただし、 AWS CLI コマンドまたは AWS Tools for Windows PowerShell モジュールを使用してテストラボ環境を作成する場合は、まず以下を設定する必要があります。
+ **アクセスキーとシークレットアクセスキーを持つ IAM ユーザー** – AWS CLI または AWS Tools for Windows PowerShell モジュールを使用する場合は、アクセスキーを持つ IAM ユーザーが必要です。アクセスキーがない場合は、「[アクセスキーの管理 (AWS マネジメントコンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)」を参照してください。
+ **AWS Command Line Interface (オプション)** – [Windows AWS CLI で をダウンロードしてインストール](https://docs.aws.amazon.com/cli/latest/userguide/install-windows.html)します。インストールが完了したら、コマンドプロンプトまたは PowerShell ウィンドウを開き、そして `aws configure` を入力します。このセットアップを完了するには、アクセスキーとシークレットキーが必要なことにご留意ください。この作業に必要な手順については最初の前提条件を参照してください。以下を指定することを求められます。
  + AWS アクセスキー ID [None]: `AKIAIOSFODNN7EXAMPLE`
  + AWS シークレットアクセスキー [なし]: `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`
  + デフォルトのリージョン名 [None]: `us-west-2`
  + デフォルトの出力形式 [None]: `json`
+ **AWS Tools for Windows PowerShell** **(オプション)** – 最新バージョンの AWS Tools for Windows PowerShell を [https://aws.amazon.com/powershell/](https://aws.amazon.com/powershell/) からダウンロードしてインストールした上で、以下のコマンドを実行します。このセットアップを完了するには、アクセスキーとシークレットキーが必要なことにご留意ください。この作業に必要な手順については最初の前提条件を参照してください。

  `Set-AWSCredentials -AccessKey {AKIAIOSFODNN7EXAMPLE} -SecretKey {wJalrXUtnFEMI/K7MDENG/ bPxRfiCYEXAMPLEKEY} -StoreAs {default}`

# ステップ 1: AWS Managed Microsoft AD Active Directory の AWS 環境を設定する
<a name="microsoftadbasestep1"></a>

 AWS テストラボで AWS Managed Microsoft AD を作成する前に、まずすべてのログインデータが暗号化されるように Amazon EC2 キーペアを設定する必要があります。

## キーペアを作成する
<a name="createkeypair2"></a>

既存のキーペアがある場合は、このステップを省略できます。Amazon EC2キーペアの詳細については、「[キーペアの作成](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/create-key-pairs.html)」を参照してください。

**キーペアを作成するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。

1. ナビゲーションペインの **[Network & Security]** (ネットワークとセキュリティ) で、**[Key Pairs]** (キーペア) 、**[Create Key Pair]** (キーペアを作成) の順に選択します。

1. **[Key Pair Name]** (キーペア名) に「**AWS-DS-KP**」と入力します。**[Key pair file format]** (キーペアのファイル形式) で、**[pem]** を選択した上で、**[Create]** (作成) をクリックします。

1. ブラウザによって秘密キーファイルが自動的にダウンロードされます。このファイル名は、キーペアを作成した際に指定した名前で、拡張子は `.pem` となります。ダウンロードしたプライベートキーのファイルを安全な場所に保存します。
**重要**  
プライベートキーのファイルを保存できるのは、このタイミングだけです。インスタンスの起動時にはキーペア名を指定する必要があり、インスタンスのパスワードを復号する際には、対応するプライベートキーを毎回指定する必要があります。

## 2 つの Amazon VPC を作成、設定、およびピアリングします。
<a name="createvpc"></a>

次の図に示すように、複数ステップによるこのプロセスを完了すると、2 つのパブリック VPC、VPC ごとに 2 つのパブリックサブネット、VPC ごとに 1 つのインターネットゲートウェイ、および VPC の間に 1 つの VPC ピアリング接続が作成および設定されます。ここでは、シンプルさとコストを考慮し、パブリック VPC およびサブネットを使用します。本番向けのワークロードの場合は、プライベート VPC を使用することをお勧めします。VPC セキュリティの強化の詳細については、「[Amazon Virtual Private Cloud でのセキュリティ](https://docs.aws.amazon.com/vpc/latest/userguide/security.html)」を参照してください。

![\[サブネットを含む Amazon VPC 環境、および AWS Managed Microsoft AD Active Directory を作成するためのインターネットゲートウェイ。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)


 AWS CLI および PowerShell の例はすべて、以下の VPC 情報を使用し、us-west-2 で構築されています。自分用の環境を構築する際には、[サポートされているリージョン](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html)のいずれかを選択します。詳細については、「[Amazon VPC とは?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)」を参照してください。

**ステップ 1: 2 つの VPC を作成する**

このステップでは、次の表で指定されたパラメータを使用して、同じアカウントに 2 つの VPCs を作成する必要があります。 AWS マネージド Microsoft AD は、 [AWS Managed Microsoft AD を共有する](ms_ad_directory_sharing.md)機能で個別のアカウントの使用をサポートしています。最初の VPC は AWS Managed Microsoft AD に使用されます。2 つ目の VPC はリソース用です。これらのリソースは、後に「[チュートリアル: AWS Managed Microsoft AD から Amazon EC2 へのセルフマネージド Active Directory インストールへの信頼の作成](ms_ad_tutorial_test_lab_trust.md)」で使用します。


****  

|  マネージド Active DirecVPC 情報  |  オンプレミス VPC 情報  | 
| --- | --- | 
|  名前タグ: AWS-DS-VPC01 IPv4 CIDR ブロック: 10.0.0.0/16 IPv6 CIDR ブロック: IPv6 CIDR ブロックなし テナンシー: デフォルト  |  名前タグ: AWS-OnPrem-VPC01 IPv4 CIDR ブロック: 10.100.0.0/16 IPv6 CIDR ブロック: IPv6 CIDR ブロックなし テナンシー: デフォルト  | 

詳細な手順については、「[VPC を作成する](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC)」を参照してください。

**ステップ 2: VPC ごとに 2 つのサブネットを作成する**

VPC を作成したら、次の表に指定されているパラメータを使用して、VPC ごとに 2 つのサブネットを作成する必要があります。このテストラボでは、各サブネットは /24 になります。これにより、サブネットごとに最大 256 個のアドレスを発行できます。各サブネットは、それぞれ個別の AZ に配置する必要があります。各サブネットを個別の AZ に配置することは [AWS Managed Microsoft AD を作成するための前提条件](ms_ad_getting_started.md#ms_ad_getting_started_prereqs) の 1 つです。


****  

|  AWS-DS-VPC01 サブネット情報:  |  AWS-OnPrem-VPC01 サブネット情報  | 
| --- | --- | 
|  名前タグ: AWS-DS-VPC01-Subnet01 VPC: vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 アベイラビリティーゾーン: us-west-2a IPv4 CIDR ブロック: 10.0.0.0/24  |  名前タグ: AWS-OnPrem-VPC01-Subnet01  VPC: vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 アベイラビリティーゾーン: us-west-2a IPv4 CIDR ブロック: 10.100.0.0/24  | 
|  名前タグ: AWS-DS-VPC01-Subnet02 VPC: vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 アベイラビリティーゾーン: us-west-2b IPv4 CIDR ブロック: 10.0.1.0/24  |  名前タグ: AWS-OnPrem-VPC01-Subnet02 VPC: vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 アベイラビリティーゾーン: us-west-2b IPv4 CIDR ブロック: 10.100.1.0/24  | 

詳細な手順については、「[Creating a subnet in your VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet)」(VPC でのサブネットの作成) を参照してください。

**ステップ 3: インターネットゲートウェイを作成して VPC にアタッチする**

ここではパブリック VPC を使用しているため、次の表に指定されているパラメータを使用し、インターネットゲートウェイを作成して VPC にアタッチする必要があります。これにより、EC2 インスタンスに接続し、それを管理できるようになります。


****  

|  AWS-DS-VPC01 インターネットゲートウェイ情報  |  AWS-OnPrem-VPC01 インターネットゲートウェイ情報  | 
| --- | --- | 
|  名前タグ: AWS-DS-VPC01-IGW VPC: vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01  |  名前タグ: AWS-OnPrem-VPC01-IGW VPC: vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01  | 

詳細な手順については、「[インターネットゲートウェイを使用してインターネットに接続する](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)」を参照してください。

**ステップ 4: AWS-DS-VPC01と- AWS-OnPrem-VPC01 間の VPC ピアリング接続を設定する**

既に 2 つの VPC を作成しているので、次の表に指定されているパラメータを使用して、これらの VPC を VPC ピアリングでネットワーク接続する必要があります。VPC を接続する方法は多数ありますが、このチュートリアルでは VPC ピアリングを使用します。 AWS マネージド Microsoft AD はVPCs を接続するための多くのソリューションをサポートしています。これには、VPC [ピアリング](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)、[Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)、[VPN](https://docs.aws.amazon.com/vpc/latest/adminguide/Welcome.html) などがあります。


****  

|  | 
| --- |
|  ピアリング接続名タグ: AWS-DS-VPC01&AWS-OnPrem-VPC01-Peer VPC (リクエスタ): vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 アカウント: My Account リージョン: 使用しているリージョン VPC (アクセプタ): vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01  | 

アカウント内で別の VPC と VPC ピアリング接続を作成する手順については、「[アカウント内の別の VPC との VPC ピアリング接続を作成する](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#create-vpc-peering-connection-local)」を参照してください。

**ステップ 5: 各 VPC のメインルートテーブルに 2 つのルートを追加する**

前の手順で作成したインターネットゲートウェイと VPC ピアリング接続が機能するには、次の表に指定されているパラメータを使用して、両方の VPC のメインルートテーブルを更新する必要があります。ここでは、以下の 2 つのルートを追加します。ルートテーブルに明示的に認識されていないすべての送信先にルーティングする 0.0.0.0/0 と、これまでのステップで確立した VPC ピアリング接続を介して各 VPC にルーティングする 10.0.0.0/16 または 10.100.0.0/16 です。

VPC 名タグ (AWS-DS-VPC01 または- AWS-OnPrem-VPC01) でフィルタリングすることで、各 VPC の正しいルートテーブルを簡単に見つけることができます。


****  

|  AWS-DS-VPC01 ルート 1 情報  |  AWS-DS-VPC01 ルート 2 情報  |  AWS-OnPrem-VPC01 ルート 1 情報  |  AWS-OnPrem-VPC01 ルート 2 情報  | 
| --- | --- | --- | --- | 
|  送信先: 0.0.0.0/0 ターゲット: igw-xxxxxxxxxxxxxxxxx AWS-DS-VPC01-IGW  |  送信先: 10.100.0.0/16 ターゲット: pcx- AWS xxxxxxxxxxxxxxxxxxxxx-DS-VPC01&AWS-OnPrem-VPC01-Peer  |  送信先: 0.0.0.0/0 ターゲット: igw-xxxxxxxxxxxxxxxxx AWS-Onprem-VPC01  |  送信先: 10.0.0.0/16 ターゲット: pcx- AWS xxxxxxxxxxxxxxxxxxxxx-DS-VPC01&AWS-OnPrem-VPC01-Peer  | 

VPC ルートテーブルにルートを追加する手順については、「[ルートテーブルのルートの追加と削除](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes)」を参照してください。

## Amazon EC2 インスタンスのセキュリティグループを作成する
<a name="createsecuritygroup"></a>

デフォルトでは、 AWS マネージド Microsoft AD はドメインコントローラー間のトラフィックを管理するセキュリティグループを作成します。このセクションでは、次の表に指定されているパラメータを使用して、EC2 インスタンスの VPC 内でトラフィックを管理するための、2 つのセキュリティグループ (VPC ごとに 1 つ) を作成する必要があります。また、任意の場所からの RDP (3389) インバウンドを許可するためと、ローカル VPC からのすべてのインバウンドトラフィックタイプに適用するためのルールも追加します。詳細については、「[Amazon EC2 security groups for Windows instances](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html)」(Windows インスタンス用の Amazon EC2 セキュリティグループ) を参照してください。


****  

|  AWS-DS-VPC01 セキュリティグループ情報:  | 
| --- | 
|  セキュリティグループ名: AWS DS Test Lab セキュリティグループ 説明: AWS DS Test Lab セキュリティグループ VPC: vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01  | 

** AWS-DS-VPC01のセキュリティグループのインバウンドルール**


****  

| タイプ | プロトコル | ポート範囲 | ソース | トラフィックの種類 | 
| --- | --- | --- | --- | --- | 
| カスタム TCP ルール  | TCP | 3389 | マイ IP | リモートデスクトップ | 
| すべてのトラフィック | すべて | すべて | 10.0.0.0/16 | すべてのローカル VPC トラフィック | 

** AWS-DS-VPC01のセキュリティグループアウトバウンドルール**


****  

| タイプ | プロトコル | ポート範囲 | 送信先 | トラフィックの種類 | 
| --- | --- | --- | --- | --- | 
| すべてのトラフィック | すべて | すべて | 0.0.0.0/0 | すべてのトラフィック | 


****  

| AWS-OnPrem-VPC01 セキュリティグループ情報: | 
| --- | 
|  セキュリティグループ名: AWS OnPrem Test Lab セキュリティグループ。 説明: AWS OnPrem Test Lab セキュリティグループ。 VPC: vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01  | 

** AWS-OnPrem-VPC01 用のセキュリティグループのインバウンドルール**


****  

| タイプ | プロトコル | ポート範囲 | ソース | トラフィックの種類 | 
| --- | --- | --- | --- | --- | 
| カスタム TCP ルール  | TCP | 3389 | マイ IP | リモートデスクトップ | 
| カスタム TCP ルール  | TCP | 53 | 10.0.0.0/16 | DNS | 
| カスタム TCP ルール  | TCP  | 88 | 10.0.0.0/16 | Kerberos | 
| カスタム TCP ルール  | TCP  | 389 | 10.0.0.0/16 | LDAP | 
| カスタム TCP ルール  | TCP | 464 | 10.0.0.0/16 | Kerberos パスワードの変更 / 設定 | 
| カスタム TCP ルール  | TCP | 445 | 10.0.0.0/16 | SMB / CIFS | 
| カスタム TCP ルール  | TCP | 135 | 10.0.0.0/16 | レプリケーション | 
| カスタム TCP ルール  | TCP | 636 | 10.0.0.0/16 | LDAP SSL | 
| カスタム TCP ルール  | TCP | 49152 - 65535 | 10.0.0.0/16 | RPC | 
| カスタム TCP ルール  | TCP | 3268 - 3269 | 10.0.0.0/16 | LDAP GC および LDAP GC SSL | 
| カスタム UDP ルール  | UDP | 53 | 10.0.0.0/16 | DNS | 
| カスタム UDP ルール  | UDP | 88 | 10.0.0.0/16 | Kerberos | 
| カスタム UDP ルール  | UDP | 123 | 10.0.0.0/16 | Windows タイム | 
| カスタム UDP ルール  | UDP | 389 | 10.0.0.0/16 | LDAP | 
| カスタム UDP ルール  | UDP | 464 | 10.0.0.0/16 | Kerberos パスワードの変更 / 設定 | 
| すべてのトラフィック | すべて | すべて | 10.100.0.0/16 | すべてのローカル VPC トラフィック | 

** AWS-OnPrem-VPC01 用のセキュリティグループのアウトバウンドルール**


****  

| タイプ | プロトコル | ポート範囲 | 送信先 | トラフィックの種類 | 
| --- | --- | --- | --- | --- | 
| すべてのトラフィック | すべて | すべて | 0.0.0.0/0 | すべてのトラフィック | 

ルールを作成してセキュリティグループに追加する詳細な手順については、「[Working with security groups](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)」(セキュリティグループを操作する) を参照してください。

# ステップ 2: AWS Managed Microsoft AD Active Directory を作成する
<a name="microsoftadbasestep2"></a>

このディレクトリの作成には、異なる 3 つの方法があります。プロシージャ (このチュートリアルでは推奨) を使用する AWS マネジメントコンソール か、 AWS CLI または AWS Tools for Windows PowerShell プロシージャを使用してディレクトリを作成できます。

**方法 1: AWS Managed Microsoft AD ディレクトリを作成するには (AWS マネジメントコンソール)**

1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ)、**[Set up directory]** (ディレクトリの設定) の順に選択します。

1. **[Select directory type]** (ディレクトリタイプの選択) ページで **[AWS Managed Microsoft AD]** を選択してから、**[Next]** (次へ) をクリックします。

1. **[Enter directory information]** (ディレクトリ情報の入力) ページで、以下の情報を指定した後に **[Next]** (次へ) をクリックします。
   + **[Edition]** (エディション) で、**[Standard Edition]** または **[Enterprise Edition]** を選択します。エディションの詳細については、「[AWS Directory Service for Microsoft Active Directory](what_is.md#microsoftad)」を参照してください。
   + **[Directory DNS name]** (ディレクトリの DNS 名) に「**corp.example.com**」と入力します。
   + **[Directory NetBIOS name]** (ディレクトリの NetBIOS 名) に「**corp**」と入力します。
   + **[Directory description]** (ディレクトリの説明) に「**AWS DS Managed**」と入力します。
   + **[Admin password]** (管理者パスワード) に、このアカウントに使用するパスワードを入力し、**[Confirm password]** (パスワードの確認) に同じパスワードを再度入力します。この **[Admin]** (管理者) アカウントは、ディレクトリの作成プロセス中に自動的に作成されます。パスワードに、「*admin*」という単語を含めることはできません。ディレクトリ管理者のパスワードは大文字と小文字が区別され、8～64 文字以内の長さにする必要があります。また、次の 4 つのカテゴリうち 3 つから少なくとも 1 文字を含める必要があります。
     + 小文字 (a〜z)
     + 大文字 A〜Z
     + 数字 (0〜9)
     + 英数字以外の文字(\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)

1. **[Choose VPC and subnets]** (VPC とサブネットの選択) ページで、次の情報を指定して **[Next]** (次へ) をクリックします。
   + **[VPC]** で、**AWS-DS-VPC01** で始まり、**(10.0.0.0/16)** で終わるオプションを選択します。
   + **[Subnets]** (サブネット) で、パブリックサブネットとして **10.0.0.0/24** と **10.0.1.0/24** を選択します。

1. **[Review & create]** (確認と作成) ページでディレクトリ情報を確認し、必要に応じて変更を加えます。情報が正しい場合は、**[Create directory]** (ディレクトリの作成) を選択します。ディレクトリの作成所要時間は 20～40 分です。作成が完了すると、**[Status]** (ステータス) 値が **[Active]** (アクティブ) に変わります。

**方法 2: AWS Managed Microsoft AD を作成するには (PowerShell) (オプション)**

1. PowerShell を開きます。

1. 次のコマンドを入力します。前の AWS マネジメントコンソール 手順のステップ 4 で指定した値を使用してください。

   ```
   New-DSMicrosoftAD -Name corp.example.com –ShortName corp –Password P@ssw0rd –Description "AWS DS Managed" - VpcSettings_VpcId vpc-xxxxxxxx -VpcSettings_SubnetId subnet-xxxxxxxx, subnet-xxxxxxxx
   ```

**方法 3: AWS Managed Microsoft AD を作成するには (AWS CLI) (オプション)**

1. を開きます AWS CLI。

1. 次のコマンドを入力します。前の AWS マネジメントコンソール 手順のステップ 4 で指定した値を使用してください。

   ```
   aws ds create-microsoft-ad --name corp.example.com --short-name corp --password P@ssw0rd --description "AWS DS Managed" --vpc-settings VpcId= vpc-xxxxxxxx,SubnetIds= subnet-xxxxxxxx, subnet-xxxxxxxx
   ```

# ステップ 3: Amazon EC2 インスタンスをデプロイして AWS Managed Microsoft AD Active Directory を管理する
<a name="microsoftadbasestep3"></a>

このラボでは、管理インスタンスにどこからでも簡単にアクセスできるように、パブリック IP アドレスを持つ Amazon EC2 インスタンスを使用します。本番環境では、VPN や Direct Connect リンクを介してのみアクセス可能なプライベート VPC 内のインスタンスを使用できます。インスタンスでパブリック IP アドレスを使用することは必須条件ではありません。

このセクションでは、デプロイ後の新しい EC2 インスタンスで Windows Server を使用し、クライアントコンピュータからドメインに接続するために必要となる、各種のタスクを実行していきます。次のステップでは、Windows Server を使用し、ラボが正常に機能することを確認します。

## オプション: ディレクトリの AWS-DS-VPC01 で DHCP オプションセットを作成する
<a name="createdhcpoptionsset"></a>

このオプションの手順では、VPC 内の EC2 インスタンスが DNS 解決に AWS Managed Microsoft AD を自動的に使用するように DHCP オプションスコープを設定します。詳細については、「[DHCP options sets](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html)」(DHCP オプションセット) を参照してください。

**ディレクトリの DHCP オプションセットを作成するには**

1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。

1. ナビゲーションペインで **[DHCP Options Sets]** (DHCP オプションセット) を選択し、**[Create DHCP options set]** (DHCP オプションセットの作成) を選択します。

1. **[Create DHCP options set]** (DHCP オプションセットの作成) ページで、ディレクトリ用に以下の値を指定します。
   + **[Name]** (名前) に、「**AWS DS DHCP**」と入力します。
   + **[Domain Name]** (ドメイン名) に、「**corp.example.com**」と入力します。
   + **[Domain name servers]** (ドメインネームサーバー) には、 AWS が提供するディレクトリの DNS サーバーの IP アドレスを入力します。
**注記**  
これらのアドレスを検索するには、 Directory Service **ディレクトリ**ページに移動し、該当するディレクトリ ID を選択します。**[Details]** (詳細) ページで、**[DNS address]** (DNS アドレス) に表示されている IP から、使用するものを選択します。  
または、 Directory Service の **[Directories]** (ディレクトリ) ページで、該当するディレクトリ ID を選択することで、これらのアドレスを検索できます。次に、**[Scale & share]** (スケール & 共有) をクリックします。**[Domain controllers]** (ドメインコントローラ)で、**[IP address]** (IP アドレス) に表示されている中から、使用する IP を選択します。
   + **[NTP servers]** (NTP サーバー)、**[NetBIOS name servers]** (NetBIOS ネームサーバー)、**[NetBIOS node type]** (NetBIOS ノードタイプ) は空白のままにします。

1. **[Create DHCP options set]** (DHCP オプションセットを作成) をクリックし、次に **[Close]** (閉じる) をクリックします。新しい DHCP オプションのセットが DHCP オプションの一覧に表示されます。

1. 新しい DHCP オプションセットの ID (**dopt-*xxxxxxxx***) を書き留めておきます。この ID は、この手順の最後で新しいオプションセットを VPC と関連付ける際に使用します。
**注記**  
シームレスなドメイン参加は、DHCP オプションセットを設定しなくても機能します。

1. ナビゲーションペインで、**Your VPCs** (お客様の VPC) をクリックします。

1. VPC のリストから **[AWS DS VPC]** を選択し、**[Actions]** (アクション)、**[Edit DHCP Options Set]** (DHCP オプションセットの編集) の順に選択します。

1. **[Edit DHCP options set]** (DHCP オプションセットの編集) ページで、ステップ 5 で書き留めたオプションセットを選択し、**[Save]** (保存) をクリックします。

## Windows インスタンスを AWS Managed Microsoft AD ドメインに結合するロールを作成する
<a name="configureec2"></a>

この手順を使用して、Amazon EC2 Windows インスタンスをドメインに結合するためのロールを設定します。詳細については、「[Amazon EC2 Windows インスタンスを AWS Managed Microsoft AD Active Directory に結合する](launching_instance.md)」を参照してください。

**Windows インスタンスをドメインに結合するように EC2 を設定するには**

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。

1. IAM コンソールのナビゲーションペインで、**[Roles]** (ロール)、**[Create role]** (ロールを作成) の順に選択します。

1. **[Select type of trusted entity]** (信頼されたエンティティの種類を選択) で、**[AWS service]** (AWS のサービス) を選択します。

1. **[Choose the service that will use this role]** (このロールを使用するサービスを選択) のすぐ下で、**[EC2]** を選択し、次に **[Next: Permissions]** (次へ: アクセス許可) を選択します。

1. **[Attached permissions policy]** (アタッチされているアクセス許可ポリシー) ページで、以下の操作を行います。
   + 管理ポリシー **[AmazonSSMManagedInstanceCore]** の横にあるボックスをオンにします。このポリシーは、Systems Manager サービスを使用するために必要な最小限のアクセス許可を付与します。
   + 管理ポリシー **[AmazonSSMDirectoryServiceAccess]** の横にあるボックスをオンにします。このポリシーでは、 Directory Serviceによって管理されている Active Directory にインスタンスを結合するためのアクセス許可を付与します。

   これらのマネージドポリシーと、Systems Manager の IAM インスタンスプロファイルにアタッチできるその他のポリシーの詳細については、「*AWS Systems Manager ユーザーガイド*」の「[Systems Manager の IAM インスタンスプロファイルを作成する](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html)」を参照してください。管理ポリシーの詳細については、「*IAM ユーザーガイド*」の「[AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

1. **[Next: Tags]** (次へ: タグ) を選択します。

1. (オプション) 1 つまたは複数のタグキーと値のペアを追加して、このロールのアクセスを整理、追跡、または制御し、**[Next: Review]** (次へ: 確認) を選択します。

1. **[Role name]** (ロール名) には、「**EC2DomainJoin**」など、インスタンスをドメインに結合させるために使用されることがわかるような名前を入力します。

1. (オプション) **[Role description]** (ロールの説明) に、説明を入力します。

1. **[Create role]** (ロールの作成) を選択します。**ロール**ページが再度表示されます。

## Amazon EC2 インスタンスを作成し、ディレクトリを自動的に結合する
<a name="deployec2instance"></a>

この手順では、EC2 インスタンス内に Windows Server システムをセットアップし、後に Active Directory でユーザー、グループ、およびポリシーを管理するために使用できるようにします。

**EC2 インスタンスを作成しディレクトリを自動的に結合するには**

1. Amazon EC2 コンソール ([https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)) を開きます。

1. **[Launch Instance]** (インスタンスの起動) を選択します。

1. **[Step 1]** (ステップ 1) ページで、**[Microsoft Windows Server 2019 Base - ami-*xxxxxxxxxxxxxxxxx]*** の横にある **[Select]** (選択) をオンにします。

1. **[Step 2]** (ステップ 2。 ページで、**[t3.micro]** を選択します (これより大きいインスタンスタイプも選択できます)。次に、**[Next: Configure Instance Details]** (次へ: インスタンス詳細の設定) をクリックします。

1. **[Step 3]** (ステップ 3) ページで、以下の操作を行います。
   + **[Network]** (ネットワーク) で、**AWS-DS-VPC01** で終わる VPC (例: **vpc-*xxxxxxxxxxxxxxxxx* \$1 AWS-DS-VPC01**) を選択します。
   + **[Subnet]** (サブネット) で、該当するアベイラビリティーゾーンに事前設定されている **[Public subnet 1]** を選択します (例: **subnet-*xxxxxxxxxxxxxxxxx* \$1 AWS-DS-VPC01-Subnet01 \$1 *us-west-2a***)。
   + **Auto-assign Public IP** (自動割り当てパブリック IP) で、**[Enable]** (有効) を選択します (サブネットの設定がデフォルトで有効ではない場合)。
   + **[Domain join directory]** (ドメイン結合ディレクトリ) で、**[corp.example.com (d-*xxxxxxxxxx*)]** を選択します。
   + **[IAM role]** (IAM ロール) で、[Windows インスタンスを AWS Managed Microsoft AD ドメインに結合するロールを作成する](#configureec2) でインスタンスロールを付与した名前 (例: **EC2DomainJoin**) を選択します。
   + 残りの設定はデフォルトのままにしておきます。
   + **[Next: Add Storage]** (次へ: ストレージの追加) をクリックします。

1. **[Step 4]** (ステップ 4) ページで、デフォルト設定をそのままにして、**[Next: Add Tags]** (次へ: タグの追加) をクリックします。

1. **[Step 5]** (ステップ 5) ページで、**[Add Tag]** (タグを追加) をクリックします。**[Key]** (キー) に「**corp.example.com-mgmt**」と入力し、**[Next: Configure Security Group]** (次へ: セキュリティグループの設定) を選択します。

1. **[ステップ 6]** ページで、**[既存のセキュリティグループを選択]** を選択し、**[AWS DS テストラボセキュリティグループ]** ([入門チュートリアル](microsoftadbasestep1.md#createsecuritygroup)でセットアップ済み) を選択します。次に **[確認と起動]** を選択してインスタンスを確認します。

1. **[Step 7]** (ステップ) ページで内容を確認した上で、**[Launch]** (起動) をクリックします。

1. **[Select an existing key pair or create a new key pair]** (既存のキーペアを選択するか、新しいキーペアを作成します。) ダイアログボックスで、以下の操作を行います。
   + **[Choose an existing key pair]** (既存のキーペアの選択) をクリックします。
   + **[Select a key pair]** (キーペアの選択) で、**[AWS-DS-KP]** を選択します。
   + **[I acknowledge...]** (...を認識しています) チェックボックスをオンにします。
   + **[Launch Instances]** (インスタンスを起動) をクリックします。

1. **[View Instances]** (インスタンスの表示) をクリックして Amazon EC2 コンソールに戻り、デプロイのステータスを確認します。

## EC2 インスタンスに Active Directory のツールをインストールする
<a name="installadtools"></a>

Active Directory ドメイン管理ツールを EC2 インスタンスにインストールするには、2 つの方法があります。Server Manager UI (このチュートリアルでの推奨) または PowerShell を使用できます。

**Active Directory のツールを EC2 インスタンスにインストールするには (Server Manager)**

1. Amazon EC2 コンソールで **[Instances]** (インスタンス) をクリックし、先ほど作成したインスタンスを選択して、**[Connect]** (接続) をクリックします。

1. **[インスタンスに接続]** ダイアログボックスで、**[パスワードを取得]** を選択してパスワードを取得し (まだ取得していない場合)、続いて **[リモートデスクトップファイルをダウンロード]** を選択します。

1. **[Windows Security]** (Windows セキュリティ) ダイアログボックスで、Windows Server コンピュータのログインに使用する、ローカル管理者の認証情報 (「**administrator**」など) を入力します。

1. **[Start]** (スタート) メニューで、**[Server Manager]** (サーバーマネージャー) を選択します。

1. **[Dashboard]** (ダッシュボード) で、**[Add Roles and Features]** (ロールと機能の追加) をクリックします。

1. **[Add Roles and Features Wizard]** (ロールと機能の追加ウィザード) で、**[Next]** (次へ) をクリックします。

1. **[Select installation type]** (インストールタイプの選択) ページで、**[Role-based or feature-based installation]** (ロールベースもしくは機能ベースのインストール) を選択し、**[Next]** (次へ) をクリックします。

1. **Select destination server** (送信先サーバーの選択) ページで、ローカルサーバーが選択されていることを確認し、**[Next]** (次へ) をクリックします。

1. **[Select server roles]** (サーバーロールの選択) ページで、**[Next]** (次へ) をクリックします。

1. **[Select features]** (機能の選択) ページで、以下の操作を行います。
   + **[Group Policy Management]** (グループポリシー管理) チェックボックスをオンにします。
   + **[Remote Server Administration Tools]** (リモートサーバー管理ツール)、**[Role Administration Tools]** (ロール管理ツール) の順に展開します。
   + **[AD DS and AD LDS Tools]** (AD DS と AD LDS ツール) チェックボックスをオンにします。
   + **[DNS Server Tools]** (DNS サーバーツール) チェックボックスをオンにします。
   + **[Next]** (次へ) をクリックします。

1. **[Confirm installation selections]** (インストール設定の確認) ページで、情報を確認し、**[Install]** (インストール) をクリックします。機能のインストールが完了すると、[スタート] メニューの [Windows Administrative Tools] フォルダで、以下の新しいツールやスナップインが利用可能になります。
   + Active Directory 管理センター
   + Active Directory のドメインと信頼関係
   + PowerShell の Active Directory モジュール
   + Active Directory のサイトとサービス
   + Active Directory のユーザーとコンピュータ
   + ADSI エディター
   + DNS
   + グループポリシーの管理

**EC2 インスタンスに Active Directory ツールをインストールするには (PowerShell) (選択可能)**

1. PowerShell を起動します。

1. 次のコマンドを入力します。

   ```
   Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
   ```

# ステップ 4: 基本テストラボが正常に機能することを確認する
<a name="microsoftadbasestep4"></a>

追加のテストラボのガイドモジュールを追加する前に、次の手順に従い、テストラボが正常にセットアップされていることを確認します。この手順では、Windows Server が適切に設定され、corp.example.com ドメインに接続でき、 AWS Managed Microsoft AD フォレストの管理に使用できることを確認します。

**テストラボが正常に機能することを確認するには**

1. ローカル管理者としてログインした EC2 インスタンスからサインアウトします。

1. Amazon EC2 コンソールに戻り、ナビゲーションペインで **[Instances]** (インスタンス) をクリックします。次に、作成したインスタンスを選択します。**[Connect]** (接続) をクリックします。

1. **[Connect To Your Instance]** (インスタンスへの接続) ダイアログボックスで、**[Download Remote Desktop File]** (リモートデスクトップファイルのダウンロード) をクリックします。

1. **[Windows Security]** (Windows セキュリティ) ダイアログボックスで、CORP ドメインに管理者としてログインするための認証情報 (**corp\$1admin**など) を入力します。

1. ログインしたら、**[Start]** (スタート) メニューから **[Windows Administrative Tools]** (Windows 管理ツール) を選択し、**[Active Directory Users and Computers]** (Active Directory とコンピュータ) を選択します。

1. 新しいドメインと関連付けられたすべてのデフォルト OU およびアカウントで「**corp.example.com**」が表示されます。**ドメインコントローラー** で、このチュートリアルのステップ 2 で AWS Managed Microsoft AD を作成したときに自動的に作成されたドメインコントローラーの名前に注意してください。

お疲れ様でした。 AWS Managed Microsoft AD のベーステストラボ環境が設定されました。このシリーズの次のテストラボを追加する準備が整いました。

次のチュートリアル: [チュートリアル: AWS Managed Microsoft AD から Amazon EC2 へのセルフマネージド Active Directory インストールへの信頼の作成](ms_ad_tutorial_test_lab_trust.md)