翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
セルフマネージド Microsoft Active Directory の使用
組織がオンプレミスまたはクラウドで自己管理型 Active Directory を使用して ID とデバイスを管理している場合は、作成時に FSx for Windows File Server ファイルシステムを Active Directory ドメインに参加させることができます。
ファイルシステムをセルフマネージド Active Directory に結合すると、 FSx for Windows File Server ファイルシステムは、ユーザーおよび既存のリソース (既存のファイルサーバーを含む) と同じ Active Directory フォレスト (ドメイン、ユーザー、コンピュータを含む Active Directory 設定の上位論理コンテナ) と、同じ Active Directory ドメイン内に存在します。
注記
Amazon FSx ファイルシステムを含む リソースを、ユーザーが住んでいるものとは異なる Active Directory フォレストに分離できます。これを行うには、ファイルシステムを AWS Managed Active Directory に結合し、作成した AWS Managed Active Directory と既存のセルフマネージド Active Directory との間に一方向のフォレスト信頼関係を確立します。
-
Amazon がファイルシステムを Active Directory ドメインに参加FSxさせるために使用する、Active Directory ドメインのサービスアカウントのユーザー名とパスワード。
-
(オプション) ファイルシステムを参加させるドメイン内の組織単位 (OU)。
-
(オプション) ファイルシステム上で管理アクションを実行する許可を付与するドメイングループ。例えば、このドメイングループは Windows ファイル共有の管理、ファイルシステムのルートフォルダのアクセスコントロールリスト (ACLs) の管理、ファイルとフォルダの所有権の取得などを行います。このグループを指定しない場合、Amazon はデフォルトで Active Directory ドメインのドメイン管理者グループにこの権限をFSx委任します。
注記
指定するドメイングループ名は、Active Directory 内で一意である必要があります。FSx for Windows File Server は、以下の状況ではドメイングループを作成しません。
指定した名前のグループが既に存在する場合
名前を指定しない場合、「ドメイン管理者」という名前のグループが Active Directory に既に存在します。
詳細については、「Amazon FSx ファイルシステムをセルフマネージド Microsoft Active Directory ドメインに結合する」を参照してください。
トピック
前提条件
FSx for Windows File Server ファイルシステムをセルフマネージド Microsoft Active Directory ドメインに結合する前に、以下の前提条件を確認して、Amazon FSx ファイルシステムをセルフマネージド Active Directory に正常に結合できるようにします。
オンプレミス構成
これらは、Amazon FSx ファイルシステムに参加するオンプレミスまたはクラウドベースのセルフマネージド Microsoft Active Directory の前提条件です。
-
Active Directory ドメインコントローラー:
Windows Server 2008 R2 以上のドメイン機能レベルが必要です。
書き込み可能である必要があります。
-
DNS サーバーと Active Directory ドメインコントローラーの IP アドレスは、Amazon FSx ファイルシステムが作成された時期によって異なる次の要件を満たしている必要があります。
2020 年 12 月 17 日以前に作成されたファイルシステムの場合 2020 年 12 月 17 日以降に作成されたファイルシステムの場合 IP アドレスは RFC1918
年のプライベート IP アドレス範囲である必要があります。 10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
IP アドレスは、以下を除く任意の範囲で指定できます。
ファイルシステムが存在する の Amazon Web Services 所有の IP アドレスと競合 AWS リージョン する IP アドレス。リージョン別の AWS 所有 IP アドレスのリストについては、AWS 「IP アドレス範囲」を参照してください。
CIDR ブロック範囲 198.19.0.0/16 の IP アドレス
2020 年 12 月 17 日より前に作成された FSx Windows File Server ファイルシステムに対して、非プライベート IP アドレス範囲を使用して にアクセスする必要がある場合は、ファイルシステムのバックアップを復元して新しいファイルシステムを作成できます。詳細については、「新しいファイルシステムへのバックアップの復元」を参照してください。
-
セルフマネージド Active Directory のドメイン名は、次の要件を満たしている必要があります。
ドメイン名は単一ラベルドメイン (SLD) 形式ではありません。Amazon FSxはSLDドメインをサポートしていません。
シングル AZ 2 およびすべてのマルチ AZ ファイルシステムでは、ドメイン名は 47 文字を超えることはできません。
-
定義した Active Directory サイトは、次の前提条件を満たす必要があります。
ファイルシステムVPCに関連付けられている のサブネットは、Active Directory サイトで定義する必要があります。
VPC サブネットと Active Directory サイトサブネットの間に競合はありません。
Amazon FSx では、Active Directory 環境内のすべてのドメインコントローラーへの接続が必要です。複数のドメインコントローラーがある場合は、それらのすべてが上記の要件を満たしていることを確認し、サービスアカウントに対するすべての変更がすべてのドメインコントローラーに反映されるようにします。
重要
ファイルシステムFSxの作成後に Amazon が OU で作成するコンピュータオブジェクトを移動しないでください。これを行うと、ファイルシステムが正しく設定されなくなります。
Amazon Active Directory 検証ツール を使用して、複数のドメインコントローラーの接続のテストなど、FSxActive Directory の設定を検証できます。接続が必要なドメインコントローラーの数を制限するために、オンプレミスのドメインコントローラーと AWS Managed Microsoft ADの間に信頼関係を構築することもできます。詳細については、「リソースフォレスト分離モデルの使用」を参照してください。
重要
Amazon は、Microsoft をデフォルトのDNSサービスDNSとして使用している場合にのみ、ファイルシステムのDNSレコードFSxを登録します。サードパーティーの を使用している場合はDNS、作成後にファイルシステムのDNSレコードエントリを手動で設定する必要があります。
ネットワークの設定
このセクションでは、ファイルシステムをセルフマネージド Active Directory に結合するためのネットワーク構成要件について説明します。ファイルシステムをセルフマネージド Active Directory FSx に参加させる前に、Amazon Active Directory 検証ツールを使用してネットワーク設定をテストすることを強くお勧めします。
ファイアウォールルールで Active Directory ドメインコントローラーと Amazon 間のICMPトラフィックが許可されていることを確認しますFSx。
-
ファイルシステムVPCを作成する Amazon とセルフマネージド Active Directory の間で接続を設定する必要があります。この接続は、AWS Direct Connect、、VPCピアリングAWS Virtual Private Network、または を使用して設定できますAWS Transit Gateway。
-
デフォルトの Amazon のデフォルトのVPCセキュリティグループは、Amazon FSxコンソールを使用してファイルシステムに追加VPCする必要があります。ファイルシステムを作成するACLsサブネットのセキュリティグループとVPCネットワークが、次の図に示すポートと方向でのトラフィックを許可していることを確認します。
次の表は、プロトコル、ポート、およびそのロールを示しています。
[プロトコル]
ポート
ロール
TCP/UDP
53
ドメインネームシステム (DNS)
TCP/UDP
88
Kerberos 認証
TCP/UDP
464
パスワードを変更/設定する
TCP/UDP
389
Lightweight Directory Access Protocol (LDAP)
UDP 123 ネットワークタイムプロトコル (NTP)
TCP 135 分散コンピューティング環境/エンドポイントマッパー (DCE/EPMAP)
TCP
445
Directory Services SMB ファイル共有
TCP
636
TLS/SSL (LDAPS) 経由の Lightweight Directory Access Protocol
TCP
3268
Microsoft グローバルカタログ
TCP
3269
経由の Microsoft Global Catalog SSL
TCP
5985
WinRM 2.0 (Microsoft Windows リモート管理)
TCP
9389
Microsoft Active Directory DS Web Services、 PowerShell
重要
シングル AZ 2 およびマルチ AZ ファイルシステムのデプロイには、TCPポート 9389 でのアウトバウンドトラフィックを許可する必要があります。
TCP
49152 - 65535
の一時ポート RPC
これらのトラフィックルールは、Active Directory の各ドメインコントローラー、DNSサーバー、FSxクライアント、FSx管理者に適用されるファイアウォールにもミラーリングする必要があります。
注記
VPC ネットワーク を使用している場合はACLs、ファイルシステムからの動的ポート (49152-65535) でのアウトバウンドトラフィックも許可する必要があります。
重要
Amazon VPC セキュリティグループでは、ネットワークトラフィックが開始される方向でのみポートを開く必要がありますが、ほとんどの Windows ファイアウォールとVPCネットワークACLsでは、両方向でポートを開く必要があります。
サービスアカウントのアクセス許可
コンピュータオブジェクトをセルフマネージド Active Directory ドメインに参加させるには、委任されたアクセス許可を持つサービスアカウントをセルフマネージド Microsoft Active Directory に持つ必要があります。サービスアカウントは、特定のタスクが委任されたセルフマネージド Active Directory 内のユーザーアカウントです。
以下は、ファイルシステムを結合する OU の Amazon FSxサービスアカウントに委任する必要があるアクセス許可の最小セットです。
Active Directory ユーザーおよびコンピュータで Delegate Control を使用している場合MMC:
-
パスワードのリセット
-
[Read and write Account Restriction] (読み取りおよび書き込み、アカウントの制限)
-
DNS ホスト名への検証済み書き込み
-
[Validated write to service principal name] (サービスプリンシパル名への書き込みの検証)
-
-
Active Directory ユーザーおよびコンピュータで高度な機能を使用している場合MMC:
-
[許可を変更]
-
コンピュータのオブジェクトの作成
-
コンピュータオブジェクトを削除する
-
詳細については、「Microsoft Windows Server のドキュメント」トピック「エラー: コントロールを付与された管理者以外のユーザーがコンピュータをドメインコントローラーに結合しようとすると、アクセスが拒否される
必要なアクセス許可の設定の詳細については、「」を参照してくださいAmazon FSxサービスアカウントまたはグループへのアクセス許可の委任。
セルフマネージド Active Directory のベストプラクティス
Amazon FSx for Windows File Server ファイルシステムをセルフマネージド Microsoft Active Directory に結合するときは、次のベストプラクティスに従うことをお勧めします。これらのベストプラクティスは、ファイルシステムの継続的で中断のない可用性を維持するのに役立ちます。
- Amazon に別のサービスアカウントを使用する FSx
-
別のサービスアカウントを使用して、Amazon がセルフマネージド Active Directory に参加しているファイルシステムFSxを完全に管理するために必要な権限を委任します。この目的でドメイン管理者を使用することはお勧めしません。
- Active Directory グループを使用する
Active Directory グループを使用して、Amazon FSxサービスアカウントに関連付けられた Active Directory のアクセス許可と設定を管理します。
- 組織単位 (OU) を分離する
-
Amazon FSxコンピュータオブジェクトを見つけて管理しやすくするために、 FSx for Windows File Server ファイルシステムに使用する組織単位 (OU) を他のドメインコントローラーの懸念から分離することをお勧めします。
- Active Directory の設定を維持する up-to-date
ファイルシステムの Active Directory 設定は、変更を加えたまま up-to-date にすることが不可欠です。例えば、セルフマネージド Active Directory が時間ベースのパスワードリセットポリシーを使用している場合、パスワードがリセットされたらすぐに、ファイルシステムのサービスアカウントのパスワードを更新してください。詳細については、「セルフマネージド Active Directory 設定の更新」を参照してください。
- Amazon FSxサービスアカウントの変更
-
新しいサービスアカウントでファイルシステムを更新する場合は、Active Directory に参加するために必要なアクセス許可と権限、およびファイルシステムに関連付けられた既存のコンピュータオブジェクトに対するフルコントロール権限が必要です。詳細については、「Amazon FSxサービスアカウントの変更」を参照してください。
- セキュリティグループルールを使用してトラフィックを制限する
セキュリティグループルールを使用して、仮想プライベートクラウド () に最小特権の原則を実装しますVPC。VPC セキュリティグループルールを使用して、ファイルで許可されるインバウンドおよびアウトバウンドのネットワークトラフィックのタイプを制限できます。例えば、セルフマネージド Active Directory ドメインコントローラーへのアウトバウンドトラフィック、または使用しているサブネットまたはセキュリティグループ内の へのアウトバウンドトラフィックのみを許可することをお勧めします。詳細については、「Amazon VPC セキュリティグループ」を参照してください。
- Amazon で作成されたコンピュータオブジェクトを移動しない FSx
重要
ファイルシステムFSxの作成後に Amazon が OU で作成するコンピュータオブジェクトを移動しないでください。これを行うと、ファイルシステムが正しく設定されなくなります。
- Active Directory の設定を検証する
FSx for Windows File Server ファイルシステムを Active Directory に参加させる前に、Amazon Active Directory 検証ツール を使用して Active Directory FSx 設定を検証することを強くお勧めします。
Amazon FSxサービスアカウント
セルフマネージド Active Directory に参加している Amazon FSx ファイルシステムには、その存続期間中有効なサービスアカウントが必要です。Amazon FSx は、 サービスアカウントを使用してファイルシステムを完全に管理し、Active Directory ドメインへのコンピュータオブジェクトの結合解除と再結合を必要とする管理タスクを実行します。これらのタスクには、障害が発生したファイルサーバーの置き換えや Microsoft Windows Server ソフトウェアのパッチ適用が含まれます。Amazon がこれらのタスクを実行するFSxには、Amazon FSxサービスアカウントには、少なくとも、サービスアカウントのアクセス許可委任された で説明されている一連のアクセス許可が必要です。
Domain Admins グループのメンバーには、これらのタスクを実行するのに十分な権限がありますが、必要な権限を Amazon に委任するには、別のサービスアカウントを使用することを強くお勧めしますFSx。
Active Directory ユーザーとコンピュータのMMCスナップインで Delegate Control 機能または Advanced Features 機能を使用して権限を委任する方法については、「」を参照してくださいAmazon FSxサービスアカウントまたはグループへのアクセス許可の委任。
新しいサービスアカウントでファイルシステムを更新する場合、新しいサービスアカウントには、Active Directory に参加するために必要なアクセス許可と権限、およびファイルシステムに関連付けられた既存のコンピュータオブジェクトに対するフルコントロール権限が必要です。詳細については、「Amazon FSxサービスアカウントの変更」を参照してください。
