ステップ 4: Windows Server 用の EC2 インスタンスとドメインとのシームレス結合をテストする - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 4: Windows Server 用の EC2 インスタンスとドメインとのシームレス結合をテストする

次の 2 つのメソッドのいずれかを使用して、EC2 インスタンスをドメインにシームレスに結合するテストを行います。

これらの手順は、ディレクトリのコンシューマーアカウントで使用します。

  1. AWS Management Console にサインインし、Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションバーで、既存のディレクトリと同じ AWS リージョン を選択します。

  3. [EC2 ダッシュボード] の [インスタンスを起動する] セクションで、[インスタンスを起動する] を選択します。

  4. [インスタンスを起動する] ページの [名前とタグ] セクションで、Windows EC2 インスタンスに使用する名前を入力します。

  5. (オプション) [補足タグを追加] で、タグとキーの値のペアを 1 つまたは複数追加して、この EC2 インスタンスのアクセスを整理、追跡、または制御します。

  6. [アプリケーションと OS イメージ (Amazon マシンイメージ)] セクションの [クイックスタート] ペインで [Windows] を選択します。Windows Amazon マシンイメージ (AMI) は、[Amazon マシンイメージ (AMI)] ドロップダウンリストから変更できます。

  7. [インスタンスタイプ] セクションで、[インスタンスタイプ] ドロップダウンリストから使用するインスタンスタイプを選択します。

  8. [キーペア (ログイン)] セクションで、新しいキーペアを作成するか、既存のキーペアから選択します。

    1. 新しいキーペアを作成するには、[新しいキーペアの作成] を選択します。

    2. キーペアの名前を入力し、[キーペアタイプ] と [プライベートキーファイル形式] のオプションを選択します。

    3. OpenSSH で使用できる形式でプライベートキーを保存するには、[.pem] を選択します。プライベートキーを PuTTY で使用できる形式で保存するには、[.ppk] を選択します。

    4. [キーペアの作成] を選択します。

    5. ブラウザによって秘密キーファイルが自動的にダウンロードされます。ダウンロードしたプライベートキーのファイルを安全な場所に保存します。

      重要

      プライベートキーのファイルを保存できるのは、このタイミングだけです。

  9. [インスタンスを起動する] ページの [ネットワーク設定] セクションで、[編集] を選択します。[VPC に必須の] ドロップダウンリストから、ディレクトリが作成された [VPC] を選択します。

  10. [サブネット] ドロップダウンリストから VPC 内のパブリックサブネットの 1 つを選択します。選択するサブネットで、すべての外部トラフィックがインターネットゲートウェイにルーティングされるように選択する必要があります。そうでない場合は、インスタンスにリモート接続できません。

    インターネットゲートウェイへの接続方法の詳細については、Amazon VPC ユーザーガイドの「インターネットゲートウェイを使用してサブネットをインターネットに接続する」を参照してください。

  11. [自動割り当てパブリック IP] で、[有効化] を選択します。

    パブリック IP アドレス指定とプライベート IP アドレス指定の詳細については、「Amazon EC2 ユーザーガイド」の「Amazon EC2 インスタンスの IP アドレス指定」を参照してください。

  12. [ファイアウォール (セキュリティグループ)] 設定にはデフォルト設定を使用するか、必要に応じて変更を加えることができます。

  13. [ストレージの設定] 設定にはデフォルト設定を使用するか、必要に応じて変更を加えることができます。

  14. [高度な詳細] セクションを選択し、[ドメイン結合ディレクトリ] ドロップダウンリストからドメインを選択します。

    注記

    ドメイン結合ディレクトリを選択すると、次のようになります。

    ドメイン結合ディレクトリを選択したときのエラーメッセージ。既存の SSM ドキュメントにエラーがあります。

    このエラーは、EC2 起動ウィザードが予期しないプロパティを持つ既存の SSM ドキュメントを識別した場合に発生します。次のいずれかを試すことができます。

    • 以前に SSM ドキュメントを編集し、プロパティが予想される場合は、閉じるを選択して EC2 インスタンスを起動します。変更はありません。

    • 既存の SSM ドキュメントを削除するリンクを選択して、SSM ドキュメントを削除します。これにより、正しいプロパティを持つ SSM ドキュメントを作成できます。EC2 インスタンスを起動すると、SSM ドキュメントが自動的に作成されます。

  15. [IAM インスタンスプロファイル] には既存の IAM インスタンスプロファイルを選択するか、新しいプロファイルを作成できます。AWS マネージドポリシーの AmazonSSMManagedInstanceCoreAmazonSSMDirectoryServiceAccess がアタッチされている IAM インスタンスプロファイルを [IAM インスタンスプロファイル] ドロップダウンリストから選択します。新しい IAM プロファイルリンクを作成するには、新しい IAM プロファイルリンクを作成する を選択し、以下を実行します。

    1. [ロールの作成] を選択します。

    2. [Select trusted entity] (信頼されたエンティティを選択) で、[AWS サービス] を選択します。

    3. [ユースケース] で、[EC2] を選択します。

    4. ポリシーのリスト内の [アクセス許可を追加する] の下で、AmazonSSMManagedInstanceCore ポリシーと AmazonSSMDirectoryServiceAccess ポリシーを選択します。リストを絞り込むため、検索ボックスに SSM と入力します。[Next] を選択します。

      注記

      AmazonSSMDirectoryServiceAccessは、インスタンスを AWS Directory Service によって管理されている Active Directory に参加させるための権限を提供します。AmazonSSMManagedInstanceCore により、AWS Systems Manager サービスの使用に必要な最小限のアクセス許可が付与されます。これらのアクセス許可を使用してロールを作成する方法、および IAM ロールに割り当てることができるその他のアクセス許可とポリシーの詳細については、「AWS Systems Manager ユーザーガイド」の「Systems Manager の IAM インスタンスプロファイルを作成する」を参照してください。

    5. [名前、確認、作成] ページで、[ロール名] を入力します。EC2 インスタンスにアタッチするには、このロール名が必要です。

    6. (オプション) IAM インスタンスプロファイルの説明を [説明] フィールドに入力できます。

    7. [ロールの作成] を選択します。

    8. [インスタンスを起動する] ページに戻り、[IAM インスタンスプロファイル] の横にある更新アイコンを選択します。新しい IAM インスタンスプロファイルが [IAM インスタンスプロファイル] ドロップダウンリストに表示されるはずです。新しいプロファイルを選択し、残りの設定はデフォルト値のままにします。

  16. [インスタンスを起動] を選択します。

これらの手順は、ディレクトリのコンシューマーアカウントで使用します。この手順を完了するには、ディレクトリ ID、ディレクトリ名、DNS IP アドレスなど、ディレクトリ所有者のアカウントに関するいくつかの情報が必要となります。

前提条件

  • AWS Systems Manager を設定します。

  • AWS Managed Microsoft Active Directory ドメインに参加するインスタンスには、AmazonSSMManagedInstanceCore マネージドポリシーと AmazonSSMDirectoryServiceAccess マネージドポリシーを含む IAM ロールがアタッチされている必要があります。

Systems Manager を使用して EC2 インスタンスを AWS Managed Microsoft Active Directory ドメインに結合する方法の詳細については、「実行中の EC2 Windows インスタンスを自分の AWS Directory Service ドメインに参加させるには AWS Systems Manager をどのように使用すればよいですか?」を参照してください。

  1. https://console.aws.amazon.com/systems-manager/ で AWS Systems Manager コンソールを開きます。

  2. ナビゲーションペインの [Node Management] (ノード管理) で、[Run Command] (コマンドを実行) を選択します。

  3. [Run command] (コマンドの実行) を選択します。

  4. [Run a command] (コマンドの実行) ページで、AWS-JoinDirectoryServiceDomain を検索します。検索結果に表示されたら、AWS-JoinDirectoryServiceDomain オプションを選択します。

  5. 下部にある [Command parameters] (コマンドのパラメータ) セクションまでスクロールします。以下のパラメーターを指定する必要があります。

    注記

    [ディレクトリ ID]、[ディレクトリ名]、[DNS IP アドレス] を見つけるには、AWS Directory Service コンソールに戻って [自分と共有されたディレクトリ] を選択し、自分のディレクトリを選択します。[ディレクトリ ID] は [共有ディレクトリの詳細] セクションにあります。[ディレクトリ名] と [DNS IP アドレス] の値は、[所有者ディレクトリの詳細] セクションにあります。

    • [ディレクトリ ID] に AWS Managed Microsoft Active Directory の名前を入力します。

    • [ディレクトリ名] に AWS Managed Microsoft Active Directory の名前を入力します (ディレクトリ所有者アカウント用)。

    • [DNS IP アドレス] に AWS Managed Microsoft Active Directory の DNS サーバーの IP アドレスを入力します (ディレクトリ所有者アカウント用)。

  6. [ターゲット] で [インスタンスを手動で選択する] を選択し、ドメインに参加させたいインスタンスを選択します。

  7. フォームの残りの設定はデフォルト値のままにしておき、ページを下方向にスクロールして [Run] (実行) をクリックします。

  8. インスタンスがドメインに正常に参加すると、コマンドステータスは [保留中] から [成功] に変わります。ドメインに参加したインスタンスの [インスタンス ID] と [出力を表示] を選択すると、コマンド出力を表示できます。

前述の手順のいずれかを完了すると、EC2 インスタンスをドメインに結合できるようになります。この作業の完了後は、リモートデスクトッププロトコル (RDP) クライアントを使用して、AWS Managed Microsoft AD ユーザーアカウントの認証情報によりインスタンスにログインできるようになります。