Simple AD の開始 - AWS Directory Service
Simple AD の前提条件Simple AD を作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Simple AD の開始

Simple AD では AWS クラウドに、フルマネージド型で Samba ベースのディレクトリを作成します。Simple AD でディレクトリを作成すると、AWS Directory Service によりユーザーに代わって 2 つのドメインコントローラーと DNS サーバーが追加されます。ドメインコントローラーは、1 つの Amazon VPC の異なるサブネットに作成されます。この冗長性により、障害が発生してもディレクトリに確実にアクセスできます。

トピック

Simple AD の前提条件

Simple AD Active Directory を作成するには、次の条件を満たす Amazon VPC が必要です:

  • VPC にはデフォルトのハードウェアテナンシーが必要です。

  • VPC は次の VPC エンドポイントを使用して設定することはできません

  • 少なくとも 2 つのサブネットが異なるアベイラビリティーゾーンに存在している。サブネットは同じクラスレスドメイン間ルーティング (CIDR) の範囲に存在する必要があります。ディレクトリの VPC を拡張またはサイズ変更する場合は、拡張する VPC CIDR の範囲における両方のドメインコントローラーのサブネットを選択してください。Simple AD を作成すると、AWS Directory Service によりユーザーに代わって 2 つのドメインコントローラーと DNS サーバーが追加されます。

  • Simple AD による LDAPS のサポートが必要な場合は、ポート 389 に接続された Network Load Balancer を使用して設定することをお勧めします。このモデルを使用することで、LDAPS 接続に強力な証明書を使用して、単一の NLB IP アドレスを通じて LDAPS へのアクセスを簡素化できます。また、NLB を通じて自動フェイルオーバーを実現できます。Simple AD では、ポート 636 での自己署名証明書の使用はサポートされていません。Simple AD を使用した LDAPS の設定方法の詳細については、「AWS Security Blog」の「How to configure an LDAPS endpoint for Simple AD」を参照してください。

  • 次の暗号化タイプは、ディレクトリで有効にする必要があります。

    • RC4_HMAC_MD5

    • AES128_HMAC_SHA1

    • AES256_HMAC_SHA1

    • 今後の暗号化タイプ

      注記

      これらの暗号化タイプを無効にすると、RSAT (Remote Server Administration Tools) との通信に問題が発生し、可用性またはディレクトリに影響を与える可能性があります。

  • 詳細については、「Amazon VPC ユーザーガイド」の「Amazon VPC とは」を参照してください。

AWS Directory Service は、2 つの VPC 構造を使用します。ディレクトリを構成する EC2 インスタンスは、AWS アカウントの外部で実行され、AWS によって管理されます。これらには、2 つのネットワークアダプタ (ETH0 および ETH1) があります。ETH0 は管理アダプタで、アカウント外部に存在します。ETH1 はアカウント内で作成されます。

ディレクトリの ETH0 ネットワークの管理 IP 範囲は、ディレクトリがデプロイされている VPC と競合しないようにするため、プログラムによって選択されます。この IP 範囲は、(ディレクトリが 2 つのサブネットで実行されるため) 次のいずれかのペアになります。

  • 10.0.1.0/24 と 10.0.2.0/24

  • 169.254.0.0/16

  • 192.168.1.0/24 と 192.168.2.0/24

ETH1 CIDR の最初のオクテットをチェックすることで、競合を回避します。10 で始まる場合は、192.168.1.0/24 と 192.168.2.0/24 のサブネットを持つ 192.168.0.0/16 VPC を選択します。最初のオクテットが 10 以外である場合は、10.0.1.0/24 と 10.0.2.0/24 のサブネットを持つ 10.0.0.0/16 VPC を選択します。

選択アルゴリズムには、VPC 上のルートは含まれません。そのため、このシナリオから IP ルーティングの競合が発生する可能性があります。

重要

Simple AD の作成後に前提条件が変更された場合、Simple AD が [障害] ステータスになる可能性があります。Simple AD の [障害] ステータスを解決するには、「AWS Support」に連絡する必要があります。

Simple AD を作成する

この手順では、Simple AD を作成するために必要なすべてのステップについて説明します。これは Simple AD を迅速かつ簡単に使い始めるためのものであり、大規模な本番環境での使用を目的としたものではありません。

前提条件

この手順では、以下を前提とします。

  • アクティブな AWS アカウント があります。

  • お使いのアカウントは、 Simple AD を使用するリージョンにおける Amazon VPC の上限に達していません。Amazon VPC の詳細については、「VPC ユーザーガイド」の「Amazon VPC とは?」および「VPC のサブネット」を参照してください。

  • CIDR が10.0.0.0/16 のリージョンに VPC が存在しない。

  • Simple AD が利用可能なリージョンにいます。詳細については、「の利用可能なリージョン AWS Directory Service」を参照してください。

詳細については、「Simple AD の前提条件」を参照してください。

Simple AD の Amazon VPC の作成と設定

まず、Simple AD で使用するために Amazon VPC を作成および設定します。この手順を開始する前に、前提条件 を満たしていることを確認します。

作成する VPC には 2 つのパブリックサブネットが含まれます。AWS Directory Service には VPC 内に 2 つのサブネットが必要であり、各サブネットが異なるアベイラビリティゾーンに配置される必要があります。

「VPC を作成する」

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. VPC ダッシュボードで、[VPC の作成] を選択します。

  3. [VPC 設定] で、[VPC など] を選択します。

  4. フィールドに以下のように入力します。

    • [名前タグの自動生成] で [自動生成] を選択したままにします。[プロジェクト]を ADS VPC に変更します。

    • [IPv4 CIDR ブロック] は 10.0.0.0/16 である必要があります。

    • [IPv6 CIDR ブロックなし] オプションを選択したままにします。

    • [テナンシー] は [デフォルト] のままにする必要があります。

    • [アベイラビリティーゾーン (AZ) 数] として [2] を選択します。

    • [パブリックサブネットの数] で [2] を選択します。[プライベートサブネットの数] は 0 に変更できます。

    • [サブネット CIDR ブロックをカスタマイズ] を選択して、パブリックサブネット IP アドレス範囲を設定します。パブリックサブネット CIDR ブロックは 10.0.0.0/20 と 10.0.16.0/20 である必要があります。

  5. [Create VPC (VPC の作成)] を選択します。VPC の作成には数分かかります。

Simple AD の作成

新しい Simple AD を作成するには、以下の手順を実行します。この手順を開始する前に、次の 前提条件Simple AD の Amazon VPC の作成と設定 内の手順を完了したことを確認します。

Simple AD を作成する

  1. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ)、[Set up directory] (ディレクトリの設定) の順に選択します。

  2. [Select directory type] (ディレクトリタイプの選択) ページで、 [Simple AD] を選択し、[Next] (次へ) を選択します。

  3. [Enter directory information] (ディレクトリ情報の入力) ページに、以下の情報を指定します。

    [Directory size] (ディレクトリのサイズ)

    [Small] (スモール) または [Large] (ラージ) サイズオプションのどちらかを選択します。サイズの詳細については、「Simple AD」を参照してください。

    [Organization name] (組織名)

    クライアントデバイスの登録に使用するディレクトリの一意の組織名です。

    このフィールドは、WorkSpaces の起動の一環としてディレクトリを作成する場合にのみ使用できます。

    [Directory DNS name] (ディレクトリの DNS 名)

    ディレクトリの完全修飾名 (例: corp.example.com)。

    [Directory NetBIOS name] (ディレクトリの NetBIOS 名)

    ディレクトリの短縮名 (例: CORP)。

    [Administrator password] (管理者パスワード)

    ディレクトリ管理者のパスワードです。ディレクトリの作成プロセスでは、ユーザー名 Administrator とこのパスワードを使用して管理者アカウントが作成されます。

    ディレクトリ管理者のパスワードは大文字と小文字が区別され、8 文字以上 64 文字以下の長さにする必要があります。また、次の 4 つのカテゴリうち 3 つから少なくとも 1 文字を含める必要があります。

    • 小文字 (a〜z)

    • 大文字 A〜Z

    • 数字 (0〜9)

    • アルファベットと数字以外の文字 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    [Confirm password] (パスワードを確認)

    管理者のパスワードをもう一度入力します。

    重要

    このパスワードは必ず保管してください。AWS Directory Service にはこのパスワードは保存されず、取得できません。ただし、AWS Directory Service コンソールから、または ResetUserPassword API を使用して、パスワードをリセットできます。

    [Directory description] (ディレクトリの説明)

    必要に応じて、ディレクトリの説明。

  4. [Choose VPC and subnets] (VPC とサブネットの選択) ページで、次の情報を指定して [Next] (次へ) をクリックします。

    [VPC]

    ディレクトリ用の VPC。

    [Subnets] (サブネット)

    ドメインコントローラーのサブネットを選択します。2 つのサブネットは、異なるアベイラビリティーゾーンに存在している必要があります。

  5. [Review & create] (確認と作成) ページでディレクトリ情報を確認し、必要に応じて変更を加えます。情報が正しい場合は、[Create directory] (ディレクトリの作成) を選択します。ディレクトリが作成されるまで、数分かかります。作成が完了すると、[Status] (ステータス) 値が [Active] (アクティブ) に変わります。

Simple AD で作成される内容の詳細については、Simple AD で作成されるもの を参照してください。