翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
FSx での Amazon の使用 AWS Directory Service for Microsoft Active Directory
AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) は、クラウド内でフルマネージド型の高可用性の実際の Active Directory ディレクトリを提供します。これらの Active Directory ディレクトリは、ワークロードのデプロイで使用できます。
組織で ID とデバイスの管理 AWS Managed Microsoft AD に を使用している場合は、Amazon FSx ファイルシステムを と統合することをお勧めします AWS Managed Microsoft AD。これにより、Amazon FSx with を使用したターンキーソリューションが得られます AWS Managed Microsoft AD。 は 2 つのサービスのデプロイ、オペレーション、高可用性、信頼性、セキュリティ、シームレスな統合 AWS を処理し、独自のワークロードを効果的に運用することに集中できます。
AWS Managed Microsoft AD セットアップFSxで Amazon を使用するには、Amazon FSxコンソールを使用できます。コンソールで Windows File Server ファイルシステムFSx用の新しい を作成するときは、Windows 認証 セクションで AWS Managed Active Directory を選択します。使用する特定のディレクトリも選択します。詳細については、「ステップ 5. ファイルシステムを作成」を参照してください。
組織は、セルフマネージドアクティブディレクトリドメイン (オンプレミスまたはクラウド) で ID とデバイスを管理している場合があります。その場合は、Amazon FSx ファイルシステムを既存のセルフマネージド Active Directory ドメインに直接結合できます。詳細については、「セルフマネージド Microsoft Active Directory を使用する」を参照してください。
さらに、リソースフォレスト分離モデルの恩恵を受けるようにシステムを設定することもできます。このモデルでは、Amazon FSx ファイルシステムを含むリソースを、ユーザーがいる Active Directory フォレストとは別の Active Directory フォレストに分離します。
重要
シングル AZ 2 およびすべてのマルチ AZ ファイルシステムの場合は、アクティブディレクトリドメイン名は 47 文字を超えることはできません。
ネットワークの前提条件
AWS Microsoft Managed Active Directory ドメインに参加している Windows File Server ファイルシステムFSx用の を作成する前に、次のネットワーク設定を作成して設定していることを確認してください。
-
VPC セキュリティグループの場合、デフォルトの Amazon のデフォルトのセキュリティグループはVPC、 コンソールのファイルシステムに既に追加されています。FSx ファイルシステムを作成するACLsサブネットのセキュリティグループとVPCネットワークが、次の図に示すポートと方向でトラフィックを許可していることを確認してください (複数可)。
以下の表に、各ポートのロールを示します。
プロトコル
ポート
ロール
TCP/UDP
53
ドメインネームシステム (DNS)
TCP/UDP
88
Kerberos 認証
TCP/UDP
464
パスワードを変更 / 設定する
TCP/UDP
389
Lightweight Directory Access Protocol (LDAP)
UDP 123 ネットワークタイムプロトコル (NTP)
TCP 135 分散コンピューティング環境/エンドポイントマッパー (DCE/EPMAP)
TCP
445
Directory Services SMB ファイル共有
TCP
636
TLS/SSL (LDAPS) 経由の Lightweight Directory Access Protocol
TCP
3268
Microsoft グローバルカタログ
TCP
3269
経由の Microsoft Global Catalog SSL
TCP
5985
WinRM 2.0 (Microsoft Windows リモート管理)
TCP
9389
Microsoft AD DS Web Services、 PowerShell
TCP
49152 - 65535
の一時ポート RPC
重要
シングル AZ 2 およびすべてのマルチ AZ ファイルシステムのデプロイには、TCPポート 9389 でのアウトバウンドトラフィックを許可する必要があります。
注記
VPC ネットワーク を使用している場合はACLs、FSxファイルシステムからの動的ポート (49152-65535) でのアウトバウンドトラフィックも許可する必要があります。
-
Amazon FSx ファイルシステムを別の VPCまたは アカウントの AWS Managed Microsoft Active Directory に接続する場合は、そのファイルシステムとファイルシステムVPCを作成する VPC Amazon 間の接続を確認します。詳細については、「別の VPCまたはアカウント AWS Managed Microsoft AD で FSxで Amazon を使用する」を参照してください。
重要
Amazon VPC セキュリティグループでは、ネットワークトラフィックが開始される方向にのみポートを開く必要がありますが、VPCネットワークACLsでは両方向にポートを開く必要があります。
Amazon FSx Network Validation ツールを使用して、Active Directory ドメインコントローラーへの接続を検証します。
リソースフォレスト分離モデルの使用
ファイルシステムを AWS Managed Microsoft AD 設定に結合します。次に、作成した AWS Managed Microsoft AD ドメインと既存のセルフマネージド Active Directory ドメインの間に一方向のフォレスト信頼関係を確立します。Amazon での Windows 認証の場合FSx、一方向のフォレストの信頼のみが必要で、 AWS マネージドフォレストは企業ドメインのフォレストを信頼します。
企業ドメインは信頼されたドメインのロールを引き受け、 AWS Directory Service マネージドドメインは信頼するドメインのロールを引き受けます。検証済み認証リクエストは、ドメイン間を一方向にしか移動しません。これにより、企業ドメインのアカウントがマネージドドメインで共有されているリソースに対して認証を行うことができます。この場合、Amazon は AWS マネージドドメインとのみFSxやり取りします。Kerberos 認証シナリオでは、企業クライアントから発信された認証リクエストは企業ドメインによって検証され、それが を参照し AWS Managed Microsoft AD、最終的にクライアントは FSx for Windows File Server ファイルシステムにサービスチケットを提示します。信頼の詳細については、 AWS セキュリティブログの「 との信頼について知っておくべきこと AWS Managed Microsoft AD
アクティブディレクトリの設定をテストする
Amazon FSx ファイルシステムを作成する前に、Amazon FSxネットワーク検証ツールを使用して Active Directory ドメインコントローラーへの接続を検証することをお勧めします。詳細については、「アクティブディレクトリドメインコントローラーへの接続の検証」を参照してください。
FSx for Windows File Server AWS Directory Service for Microsoft Active Directory で を使用するときは、以下の関連リソースが役立ちます。
-
AWS Directory Service 管理ガイドAWS Directory Serviceの内容
-
AWS Directory Service 管理ガイドのAWS 「マネージド Active Directory の作成」
-
AWS Directory Service 管理ガイド で 信頼関係を作成するタイミング
