翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# セルフマネージド Microsoft アクティブディレクトリドメインへの Amazon FSx ファイルシステムの結合
<a name="creating-joined-ad-file-systems"></a>

新しい FSx for Windows ファイルサーバーファイルシステムを作成するときに、セルフマネージド Microsoft アクティブディレクトリドメインに結合するように Microsoft アクティブディレクトリ統合を設定できます。これを行うには、Microsoft アクティブディレクトリに次の情報を指定します。
+ オンプレミスの Microsoft Active Directory のディレクトリの完全修飾ドメイン名 (FQDN)。
**注記**  
Amazon FSx は現在、シングルラベルドメイン (SLD) ドメインをサポートしていません。
+ ドメインの DNS サーバーの IP アドレス。
+ Amazon FSx がファイルシステムをドメインに結合するために使用する Active Directory サービスアカウントの認証情報です。これらは、次のいずれかの方法で指定できます:
  + **オプション 1**: AWS Secrets Manager シークレット ARN - Active Directory ドメインのサービスアカウントのユーザー名とパスワードを含むシークレット。詳細については、「[を使用した Active Directory 認証情報の保存 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows)」を参照してください。
  + **オプション 2**: プレーンテキスト認証情報
    + **サービスアカウントのユーザー名** - 既存の Microsoft Active Directory のサービスアカウントのユーザー名。ドメインのプレフィックスまたはサフィックスを含めないでください。たとえば、`EXAMPLE\ADMIN` には `ADMIN` のみを使用します。
    + **サービスアカウントのパスワード** - サービスアカウントのパスワード。

オプションで、以下を指定することもできます。
+  Amazon FSx ファイルシステムに結合させたいドメイン内の特定の組織単位 (OU)。
+  メンバーに Amazon FSx ファイルシステムの管理者許可が付与されているドメイングループの名前。指定するドメイングループ名は、Active Directory で一意である必要があります。

この情報を指定した後、Amazon FSx は、指定したサービスアカウントを使用して、新しいファイルシステムをセルフマネージド Active Directory ドメインに結合します。

**重要**  
Amazon FSx は、結合しているアクティブディレクトリドメインがデフォルトの DNS として Microsoft DNS を使用している場合のみ、ファイルシステムの DNS レコードを登録します。サードパーティー DNS を使用している場合は、ファイルシステムを作成した後、Amazon FSx ファイルシステムの DNS エントリを手動で設定する必要があります。ファイルシステムに使用する正しい IP アドレスの選択の詳細については、「[手動 DNS エントリに使用する正しいファイルシステムの IP アドレスの取得](file-system-ip-addresses-for-dns.md)」を参照してください。

## 開始する前に
<a name="b4-you-begin"></a>

[セルフマネージド Microsoft Active Directory を使用する](self-managed-AD.md) で [前提条件](self-managed-AD.md#self-manage-prereqs) の詳細を完了していることを確認してください。

## セルフマネージド Active Directory に結合した FSx for Windows ファイルサーバーファイルシステムを作成するには (コンソール)
<a name="create-joined-fsx-console"></a>

1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) で Amazon FSx コンソールを開きます。

1. ダッシュボードで **[Create file system]** (ファイルシステムの作成) を選択して、ファイルシステム作成ウィザードを起動します。

1. **FSx for Windows ファイルサーバー** を選択してから、**[Next]** (次へ) を選択します。**[Create file system]** (ファイルシステムの作成) ページが表示されます。

1. ファイルシステムの名前を入力します。最大 256 文字の Unicode 文字、空白文字、数字、および特殊文字 (\+ - = . \_ : /) を使用できます。

1. **ストレージ容量** では、ファイルシステムのストレージ容量 (GiB 単位) を入力します。SSD ストレージを使用している場合は、32～65,536 の範囲で任意の整数を入力します。HDD ストレージを使用している場合は、2,000～65,536 の範囲で任意の整数を入力します。ファイルシステムの作成した後、いつでも必要なストレージ容量を増やすことができます。詳細については、「[ストレージ容量の管理](managing-storage-configuration.md#managing-storage-capacity)」を参照してください。

1. **スループット容量** はデフォルト設定のままにします。**スループット容量** は、ファイルシステムをホストするファイルサーバーがデータを提供できる持続可能速度です。**推奨スループット容量** 設定は、選択したストレージ容量に基づきます。推奨スループット容量を超える容量が必要な場合は、**[Specify throughput capacity]** (スループット容量の指定) を選択し、値を選択します。詳細については、「[FSx for Windows File Server のパフォーマンスパフォーマンス](performance.md)」を参照してください。

   スループット容量は、ファイルシステムを作成した後、いつでも必要に応じて変更できます。詳細については、「[スループット容量の管理](managing-throughput-capacity.md)」を参照してください。

1. ファイルシステムに関連付ける VPC を選択します。この入門演習では、 Directory Service ディレクトリと Amazon EC2 インスタンスと同じ VPC を選択します。

1. **アベイラビリティーゾーン** と **サブネット** の値を選択します。

1. **VPCセキュリティグループ** については、デフォルトの Amazon VPC のデフォルトセキュリティグループが、コンソールのファイルシステムに、すでに追加されています。FSx ファイルシステムを作成しているサブネットのセキュリティグループと VPC ネットワーク ACL が、次の図表に示す方向のポートでのトラフィックを許可していることを確認してください。  
![FSx for Windows ファイルサーバーの VPC セキュリティグループのポート設定要件と、ファイルシステムが作成されているサブネットのネットワーク ACL。](http://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)

   以下の表に、各ポートのロールを示します。    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/creating-joined-ad-file-systems.html)
**重要**  
シングル AZ 2 および、すべてのマルチ AZ ファイルシステムのデプロイでは、TCP ポート 9389 でアウトバウンドトラフィックを許可する必要があります。
**注記**  
VPC ネットワーク ACL を使用している場合は、FSx ファイルシステムからのダイナミックポート (49152-65535) でのアウトバウンドトラフィックも許可する必要があります。
   + セルフマネージド Microsoft アクティブディレクトリドメインの DNS サーバーおよびドメインコントローラーに関連付けられた、IP アドレスへのすべてのトラフィックを許可するアウトバウンドルール。詳細については、[「アクティブディレクトリ通信用のファイアウォールの設定に関する Microsoft のドキュメント」](https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts) を参照してください。
   + これらのトラフィックルールが、アクティブディレクトリドメインコントローラー、DNS サーバー、FSx クライアント、および FSx 管理者のそれぞれに適用されるファイアウォールにも反映されていることを確認してください。
**注記**  
 アクティブディレクトリのサイトが定義されている場合、Amazon FSx ファイルシステムに関連付けられた VPC 内のサブネットがアクティブディレクトリのサイトで定義されていること、および VPC 内のサブネットとその他のサイトのサブネットの間に競合が存在しないことを確認する必要があります。これらの設定は、アクティブディレクトリのサイトとサービス MMC スナップインを使用して、表示および変更することができます。
**重要**  
Amazon VPC セキュリティグループでは、ネットワークトラフィックが開始される方向でのみポートを開く必要がありますが、ほとんどの Windows ファイアウォールとおよび VPC ネットワーク ACL では両方向にポートを開く必要があります。

1. **[Windows authentication]** (Windows 認証) で、**[Self-managed Microsoft Active Directory]** (セルフマネージド Microsoft アクティブディレクトリ) を選択します。

1.  セルフマネージド Microsoft アクティブディレクトリのディレクトリの **[完全修飾ドメイン名]** の値を入力します。
**注記**  
ドメイン名は、シングルラベルドメイン (SLD) 形式であってはなりません。現在 Amazon FSx では SLD ドメインをサポートしていません。
**重要**  
シングル AZ 2 およびすべてのマルチ AZ ファイルシステムの場合は、アクティブディレクトリドメイン名は 47 文字を超えることはできません。

1. セルフマネージド Microsoft アクティブディレクトリのディレクトリの **[組織単位]** の値を入力します。
**注記**  
指定したサービスアカウントに、ここで指定する OU、または指定しない場合はデフォルトの OU に委任された、アクセス許可があることを確認します。

1. セルフマネージド Microsoft アクティブディレクトリのディレクトリの **[DNS サーバー IP アドレス]** に 1 つ以上、2 つ以下の値を入力します。

1. **[サービスアカウントの認証情報]** – サービスアカウントの認証情報を指定する方法を選択します:
   + **オプション 1**: AWS Secrets Manager シークレット ARN - Active Directory ドメインのサービスアカウントのユーザー名とパスワードを含むシークレット。詳細については、「[を使用した Active Directory 認証情報の保存 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows)」を参照してください。
   + **オプション 2**: プレーンテキスト認証情報
     + **サービスアカウントのユーザー名** - 既存の Microsoft Active Directory のサービスアカウントのユーザー名。ドメインのプレフィックスまたはサフィックスを含めないでください。たとえば、`EXAMPLE\ADMIN` には `ADMIN` のみを使用します。
     + **サービスアカウントのパスワード** - サービスアカウントのパスワード。
     + **パスワードの確認** - サービスアカウントのパスワード。
**重要**  
 **[Service account username]** (サービスアカウントのユーザーネーム) を入力するときは、ドメインプレフィクス (`corp.com\ServiceAcct`) またはドメインサフィックス (`ServiceAcct@corp.com`) は含めないでください。  
 **[Service account username]** (サービスアカウントのユーザーネーム) (`CN=ServiceAcct,OU=example,DC=corp,DC=com`) を入力するときは、識別名 (DN) を使用しないでください。

1. **[委任されたファイルシステム管理者グループ]** で、`Domain Admins` グループ、またはカスタムの委任されたファイルシステム管理者グループ (自身で作成した場合)を指定してください。指定したグループには、ファイルシステムで管理タスクを実行するための委任許可が与えられます。値を入力しない場合、Amazon FSx はビルトイン `Domain Admins` グループを使用します。Amazon FSx は、組み込みコンテナにある `Delegated file system administrators group` (指定した `Domain Admins` グループまたはカスタムグループのいずれか) を保持することをサポートしてないことに注意してください。
**重要**  
 **[委任されたファイルシステム管理者グループ]** を提供しない場合、デフォルトでは、Amazon FSx はアクティブディレクトリドメインで組み込み `Domain Admins` グループを使用しようとします。このビルトイングループの名前が変更された場合、またはドメイン管理に別のグループを使用している場合は、そのグループの名前をここに指定する必要があります。
**重要**  
 グループ名のパラメータを指定するときは、ドメインプレフィックス (corp.com \\ FSxAdmins) またはドメインサフィックス (FSxAdmins@corp.com) を含めないでください。  
 グループには識別名 (DN) を使用しないでください。識別名の例には、CN=FSxAdmins、OU=example、DC=corp、DC=com が挙げられます。

## セルフマネージド Active Directory に結合した FSx for Windows ファイルサーバーファイルシステムを作成するには (AWS CLI)
<a name="create-joined-fsx-cli"></a>

 次の例では、`us-east-2` アベイラビリティーゾーンにおける `SelfManagedActiveDirectoryConfiguration` で FSx for Windows ファイルサーバーファイルシステムを作ります。

```
aws fsx --region us-east-2 \
create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--security-group-ids {{security-group-id}} \
--subnet-ids {{subnet-id}}\
--windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \
UserName="{{FSxService}}",Password="{{password}}", \
   DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
```

**重要**  
ファイルシステムの作成後に Amazon FSx が OU で作成するコンピュータオブジェクトを移動しないでください。これを行うと、ファイルシステムが正しく設定されなくなります。