SVM をセルフマネージド Microsoft AD に接続させるための前提条件 - FSx for ONTAP
セルフマネージド Active Directory の要件ネットワークの設定要件アクティブディレクトリサービスアカウントの要件

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SVM をセルフマネージド Microsoft AD に接続させるための前提条件

FSx for ONTAP SVM をセルフマネージド Microsoft AD ドメインに接続させる前に、アクティブディレクトリとネットワークが次のセクションに説明されている要件を満たしていることを確認してください。

オンプレミスのアクティブディレクトリ要件

SVM が接続できるオンプレミスまたはその他のセルフマネージド Microsoft AD が既にあることを確認してください。この Active Directory には、次の設定が必要です。

  • Active Directory ドメインコントローラードメインの機能レベルは Windows Server 2000 以降です。

  • Active Directory は、単一ラベルドメイン (SLD) 形式ではないドメイン名を使用します。Amazon FSx は SLD ドメインをサポートしていません。

  • Active Directory サイトが定義されている場合は、FSx for ONTAP ファイルシステムに関連付けられている VPC 内のサブネットが同じ Active Directory サイトで定義されていること、および VPC サブネットと Active Directory サイトのサブネットの間に競合が存在しないことを確認します。

注記

を使用している場合 AWS Directory Service、FSx for ONTAP は SVMs を Simple Active Directory に接続させることをサポートしていません。

ネットワークの設定要件

次のネットワーク設定が適切であり、関連情報が手元にあることを確認してください。

重要

SVM をアクティブディレクトリに接続するには、このトピックに記載されているポートが、すべてのアクティブディレクトリドメインコントローラと SVM 上の両方の iSCSI IP アドレス (iscsi_1 と iscsi_2 の論理インターフェイス (LIF)) 間のトラフィックを許可していることを確認する必要があります。

  • DNS サーバーと Active Directory ドメインコントローラーの IP アドレス。

  • ファイルシステムを作成する Amazon VPC と、「AWS Direct Connect」、「AWS VPN」、「AWS Transit Gateway」を使用しているセルフマネージドアクティブディレクトリ間の接続。

  • ファイルシステムを作成しているサブネットのセキュリティグループおよび VPC ネットワーク ACL で、次の図面に示されているポートとトラフィック方向でトラフィックを許可する必要があります。

    VPC セキュリティグループの FSx for ONTAP ポート設定要件と、FSx for ONTAP ファイルシステムを作成中のサブネット用ネットワーク ACL を示している図面。

    各ポートの役割は、次の表に示されています。

    プロトコル

    ポート

    ロール

    TCP / UDP

    53

    ドメインネームシステム (DNS)

    TCP / UDP

    88

    Kerberos 認証

    TCP / UDP

    389

    Lightweight Directory Access プロトコル (LDAP)

    TCP

    445

    Directory Services SMB ファイル共有

    TCP / UDP

    464

    パスワードを変更 / 設定する

    TCP

    636

    TLS/SSL (LDAPS) を介した Lightweight Directory Access Protocol (LDAPS)

  • これらのトラフィックルールは、各 Active Directory ドメインコントローラー、DNS サーバー、FSx クライアント、FSx 管理者に適用されるファイアウォールにもミラーリングする必要があります。

    重要

    Amazon VPC セキュリティグループでは、ネットワークトラフィックが開始される方向でのみポートを開く必要がありますが、ほとんどの Windows ファイアウォールとおよび VPC ネットワーク ACL では両方向にポートを開く必要があります。

アクティブディレクトリサービスアカウントの要件

コンピュータをドメインに接続させる権限を委任されたサービスアカウントが、セルフマネージド Microsoft AD にあることを確認してください。サービスアカウントは、特定のタスクを委任されたセルフマネージド Active Directory のユーザーアカウントです。

サービスアカウントには最低でも、SVM を接続させる OU で次の許可が委任されている必要があります。

  • パスワードをリセットする機能

  • アカウントのデータの読み取りと書き込みを制限する機能

  • コンピュータオブジェクトに msDS-SupportedEncryptionTypes プロパティを設定する機能

  • DNS ホスト名への書き込み許可

  • サービスプリンシパル名への書き込みを許可

  • コンピュータオブジェクトを作成および削除する権限

  • アカウント制限の読み書きを検証する機能

これらは、コンピュータオブジェクトをアクティブディレクトリに参加させるために必要な最小限のアクセス許可セットを表します。詳細については、Windows Server のドキュメントトピック、「エラー: コントロールを委任された管理者以外のユーザーが、コンピュータをドメインコントローラーに接続させようとすると、アクセスが拒否される」を参照してください。

適切なアクセス許可を使用したサービスアカウントの作成の詳細については、「Amazon FSx サービスアカウントにアクセス許可を委任する」を参照してください。

重要

Amazon FSx では、Amazon FSx ファイルシステムの存続期間中、有効なサービスアカウントが必要です。Amazon FSx は、ファイルシステムを完全に管理し、Active Directory ドメインへのリソースの結合解除と再結合を必要とするタスクを実行できる必要があります。これらのタスクには、障害が発生したファイルシステムまたは SVM の交換、 NetApp ONTAP ソフトウェアのパッチ適用が含まれます。サービスアカウントの認証情報など、Amazon FSx で Active Directory の設定情報を最新の状態に保ちます。詳細については、「Amazon FSx でアクティブディレクトリ設定を最新の状態に保つ」を参照してください。

AWS と FSx for ONTAP を初めて使用する場合は、Active Directory 統合を開始する前に、必ず初期セットアップ手順を完了してください。詳細については、「FSx for ONTAP の設定」を参照してください。

重要

SVMs の作成後に Amazon FSx が OU に作成するコンピュータオブジェクトを移動したり、SVM が接続している間にアクティブディレクトリを削除したりしないでください。移動した場合、SVM が誤設定される原因となります。