セルフマネージド Microsoft Active Directory を使用する - Amazon FSx for Windows File Server
前提条件セルフマネージド Active Directory のベストプラクティスAmazon FSx サービスアカウント

セルフマネージド Microsoft Active Directory を使用する

組織がオンプレミスまたはクラウドのセルフマネージド Active Directory を使用して ID とデバイスを管理している場合は、FSx for Windows File Server ファイルシステムを作成時に Active Directory ドメインに結合できます。

ファイルシステムをセルフマネージド Active Directory に結合すると、FSx for Windows File Server ファイルシステムは同じ Active Directory フォレスト (ドメイン、ユーザー、コンピュータを含む Active Directory 設定内の最上位の論理的なコンテナ) と、ユーザーおよび既存のリソース (既存のファイルサーバーを含む) と同じ Active Directory ドメイン内に存在します。

注記

Amazon FSx ファイルシステムを含むリソースを、ユーザーが常駐するフォレストとは別の Active Directory フォレストに分離できます。これを行うには、ファイルシステムを AWS マネージド Active Directory に参加させ、作成した AWS マネージド Active Directory と既存のセルフマネージド Active Directory の間に一方向のフォレスト信頼関係を確立します。

  • Amazon FSx がファイルシステムを Active Directory ドメインに参加させるために使用する Active Directory ドメインのサービスアカウントのユーザー名とパスワード

  • (オプション) ファイルシステムに結合させたいドメイン内の組織単位 (OU)

  • (オプション) ファイルシステム上で管理アクションを実行する許可を付与するドメイングループ。たとえば、このドメイングループは、Windows ファイル共有の管理、ファイルシステムのルートフォルダ上の Access Control Lists (ACLs) の管理、ファイルとフォルダの所有権を取得できます。このグループを指定しない場合は、Amazon FSx はデフォルトでこの許可を Active Directory ドメインの Domain Admins グループに委任します。

    注記

    指定するドメイングループ名は、Active Directory で一意である必要があります。FSx for Windows File Server は、以下の状況ではドメイングループを作成しません。

    • 指定した名前のグループが既に存在する場合

    • 名前を指定せず、「ドメイン管理者」という名前のグループが Active Directory に既に存在する場合。

    詳細については、「セルフマネージド Microsoft アクティブディレクトリドメインへの Amazon FSx ファイルシステムの結合」を参照してください。

トピック

前提条件

FSx for Windows File Server ファイルシステムをセルフマネージド Microsoft Active Directory ドメインに結合する前に、以下の前提条件を確認して、Amazon FSx ファイルシステムをセルフマネージド Active Directory に正常に結合できるようにします。

オンプレミス構成

これらは、Amazon FSx ファイルシステムに参加するオンプレミスまたはクラウドベースのセルフマネージド Microsoft Active Directory の前提条件です。

  • Active Directory ドメインコントローラー:

    • Windows Server 2008 R2 以降では、ドメイン機能レベルが必要です。

    • 書き込み可能である必要があります。

  • DNS サーバーと Active Directory ドメインコントローラーの IP アドレスは、Amazon FSx ファイルシステムが作成された時期によって異なる以下の要件を満たしている必要があります。

    2020 年 12 月 17 日以前に作成されたファイルシステムの場合 2020 年 12 月 17 日以降に作成されたファイルシステムの場合

    IP アドレスは、RFC 1918 プライベート IP アドレス範囲内でなければなりません。

    • 10.0.0.0/8

    • 172.16.0.0/12

    • 192.168.0.0/16

    IP アドレスは、以下を除く任意の範囲で指定できます。

    • ファイルシステムがある AWS リージョン で Amazon Web Services 所有の IP アドレスと競合する IP アドレス。リージョン別に AWS が所有する IP アドレスのリストについては、「AWS IP アドレスの範囲」を参照してください。

    • CIDR ブロック範囲内の IP アドレス: 198.19.0.0/16

    2020 年 12 月 17 日以前に作成された FSx for Windows ファイルサーバーのファイルシステムに、非プライベート IP アドレス範囲を使用してアクセスする必要がある場合は、ファイルシステムのバックアップを復元して、新しいファイルシステムを作成できます。詳細については、「新しいファイルシステムへのバックアップの復元」を参照してください。

  • セルフマネージド Active Directory のドメイン名は、次の要件を満たしている必要があります。

    • シングルラベルドメイン (SLD) 形式ではないドメイン名。Amazon FSx は SLD ドメインをサポートしていません。

    • シングル AZ 2 およびすべてのマルチ AZ ファイルシステムの場合は、ドメイン名は 47 文字を超えることはできません。

  • 定義した Active Directory サイトは、次の前提条件を満たす必要があります。

    • ファイルシステムに関連付けられている VPC 内のサブネットは、Active Directory サイトで定義する必要があります。

    • VPC サブネットと Active Directory サイトサブネットの間に競合はありません。

    Amazon FSx では、Active Directory 環境内のすべてのドメインコントローラーへの接続が必要です。複数のドメインコントローラーがある場合は、それらのすべてが上記の要件を満たしていることを確認し、サービスアカウントに対するすべての変更がすべてのドメインコントローラーに反映されるようにします。

    重要

    ファイルシステムの作成後に Amazon FSx が OU で作成するコンピュータオブジェクトを移動しないでください。これを行うと、ファイルシステムが正しく設定されなくなります。

Amazon FSx Active Directory 検証ツールを使用し、Active Directory 設定 (複数のドメインコントローラーの接続テストを含む) を検証できます。接続が必要なドメインコントローラーの数を制限するために、オンプレミスのドメインコントローラーとAWS Managed Microsoft AD の間に信頼関係を構築することもできます。詳細については、「リソースフォレスト分離モデルの使用」を参照してください。

重要

Amazon FSx は、Microsoft DNS をデフォルトの DNS サービスとして使用している場合にのみ、ファイルシステムの DNS レコードを登録します。サードパーティーの DNS を使用している場合は、作成後にファイルシステムの DNS レコードエントリを手動で設定する必要があります。

ネットワークの設定

このセクションでは、セルフマネージド Active Directory にファイルシステムを結合するためのネットワーク設定要件について説明します。Amazon FSx Active Directory 検証ツール を使用して、ファイルシステムをセルフマネージド Active Directory に結合させる前に、これらのネットワーク設定をテストすることを強くお勧めします。

  • ファイアウォールルールで Active Directory ドメインコントローラーと Amazon FSx 間の ICMP トラフィックが許可されていることを確認します。

  • ファイルシステムを作成する Amazon VPC とセルフマネージド Active Directory 間で接続を設定する必要があります。AWS Direct ConnectAWS Virtual Private NetworkVPC ピアリング、または AWS Transit Gateway を使用してこの接続性を設定できます。

  • デフォルトの Amazon VPC のデフォルト VPC セキュリティグループが、Amazon FSx コンソールのファイルシステムに追加する必要があります。ファイルシステムを作成するサブネットのセキュリティグループと VPC ネットワーク ACL が、以下の図表に示すポート上のトラフィックを許可していることを確認します。

    FSx for Windows ファイルサーバーのポートの設定要件は、ファイルシステムが作成されるサブネットの VPC セキュリティグループおよびネットワーク ACL があることです。

    次の表は、プロトコル、ポート、およびそのロールを示しています。

    [プロトコル]

    ポート

    ロール

    TCP / UDP

    53

    ドメインネームシステム (DNS)

    TCP / UDP

    88

    Kerberos 認証

    TCP / UDP

    464

    パスワードを変更/設定する

    TCP / UDP

    389

    Lightweight Directory Access Protocol (LDAP)
    UDP 123

    Network Time Protocol (NTP)
    TCP 135

    分散コンピューティング環境/エンドポイントマッパー (DCE/EPMAP)

    TCP

    445

    Directory Services SMB ファイル共有

    TCP

    636

    TLS/SSL (LDAPS) を介した Lightweight Directory Access Protocol (LDAPS)

    TCP

    3268

    Microsoft グローバルカタログ

    TCP

    3269

    SSL 経由の Microsoft グローバルカタログ

    TCP

    5985

    WinRM 2.0 (Microsoft Windows リモート管理)

    TCP

    9389

    Microsoft Active Directory DS Web サービス、PowerShell

    重要

    シングル AZ 2 およびマルチ AZ ファイルシステムのデプロイでは、TCP ポート 9389 でアウトバウンドトラフィックを許可する必要があります。

    TCP

    49152 - 65535

    RPC 用のエフェメラルポート

    これらのトラフィックルールは、Active Directory ドメインコントローラー、DNS サーバー、FSx クライアント、FSx 管理者のそれぞれに適用されるファイアウォールにも反映されている必要があります。

注記

VPC ネットワーク ACL を使用している場合は、ファイルシステムからのダイナミックポート (49152〜65535) でのアウトバウンドトラフィックも許可する必要があります。

重要

Amazon VPC セキュリティグループでは、ネットワークトラフィックが開始される方向でのみポートを開く必要がありますが、ほとんどの Windows ファイアウォールとおよび VPC ネットワーク ACL では両方向にポートを開く必要があります。

サービスアカウントのアクセス許可

サービスアカウントは、コンピュータオブジェクトをセルフマネージド Active Directory ドメインに結合させるアクセス許可を委任されたセルフマネージド Microsoft Active Directory にある必要があります。サービスアカウントは、特定のタスクを委任されたセルフマネージド Active Directory のユーザーアカウントです。

以下は、ファイルシステムを結合させる OU における Amazon FSx サービスアカウントに委任されている必要がある最低限のアクセス許可です。

  • Active Directory ユーザーとコンピュータ MMC で [コントロールの委任] を使用する場合

    • パスワードのリセット

    • [Read and write Account Restriction] (読み取りおよび書き込み、アカウントの制限)

    • [Validated write to DNS host name] (DNS ホスト名への書き込みの検証)

    • [Validated write to service principal name] (サービスプリンシパル名への書き込みの検証)

  • Active Directory ユーザーとコンピュータ MMC で高度な機能を使用する場合:

    • [許可を変更]

    • コンピュータのオブジェクトの作成

    • コンピュータオブジェクトの削除

詳細については、「Microsoft Windows Server のドキュメント」トピック「エラー: コントロールを付与された管理者以外のユーザーがコンピュータをドメインコントローラーに結合しようとすると、アクセスが拒否される」を参照してください。

必要な許可の設定の詳細については、「Amazon FSx サービスアカウントまたはグループへのアクセス許可の委任」を参照してください。

セルフマネージド Active Directory のベストプラクティス

Amazon FSx for Windows File Server ファイルシステムをセルフマネージド Microsoft Active Directory に参加させる場合は、これらのベストプラクティスに従うことをお勧めします。これらのベストプラクティスは、ファイルシステムの継続的で中断のない可用性を維持するのに役立ちます。

Amazon FSx に別のサービスアカウントを使用する

別のサービスアカウントを使用して、Amazon FSx に必要な権限を委任し、セルフマネージド Active Directory に参加しているファイルシステムを完全に管理します。この目的で [ドメイン管理者] を使用することはお勧めしません。

Active Directory グループの使用

Active Directory グループを使用して、Amazon FSx サービスアカウントに関連付けられた Active Directory のアクセス許可と設定を管理します。

組織単位の分離 (OU)。

Amazon FSx コンピュータオブジェクトの検索と管理を容易にするために、FSx for Windows File Server ファイルシステムに使用する組織単位 (OU) を他のドメインコントローラーの懸念から分離することをお勧めします。

Active Directory 設定を最新の状態に保つ

ファイルシステムの Active Directory 設定は、変更時に常に最新の状態に保つことが必要不可欠です。例えば、セルフマネージド型 Active Directory が時間ベースのパスワードリセットポリシーを使用している場合、パスワードがリセットされたらすぐに、ファイルシステムのサービスアカウントのパスワードを更新してください。詳細については、「セルフマネージド Active Directory 設定の更新」を参照してください。

Amazon FSx サービスアカウントの変更

新しいサービスアカウントでファイルシステムを更新する場合、Active Directory に参加するために必要なアクセス許可と権限があり、ファイルシステムに関連付けられた既存のコンピュータオブジェクトに対する [フルコントロール] アクセス許可を持っている必要があります。詳細については、「Amazon FSx サービスアカウントの変更」を参照してください。

セキュリティグループルールを使用してトラフィックを制限する

セキュリティグループルールを使用して、仮想プライベートクラウド (VPC) に最小特権のプリンシパルを実装します。VPC セキュリティグループルールを使用して、ファイルで許可されるインバウンドおよびアウトバウンドのネットワークトラフィックのタイプを制限できます。例えば、セルフマネージド Active Directory ドメインコントローラーへのアウトバウンドトラフィック、または使用しているサブネットまたはセキュリティグループ内のアウトバウンドトラフィックのみを許可することをお勧めします。詳細については、「Amazon VPC セキュリティグループ」を参照してください。

Amazon FSx で作成されたコンピュータオブジェクトを移動させないでください。
重要

ファイルシステムの作成後に Amazon FSx が OU で作成するコンピュータオブジェクトを移動しないでください。これを行うと、ファイルシステムが正しく設定されなくなります。

Active Directoryの設定を検証する

Active Directory に結合している FSx for Windows File Server ファイルシステムを結合しようとする前に、Amazon FSx Active Directory 検証ツールを使用して、Active Directory 設定を検証します。

Amazon FSx サービスアカウント

セルフマネージド Active Directory に結合している Amazon FSx ファイルシステムには、その有効期間を通じて有効なサービスアカウントが必要です。Amazon FSx はサービスアカウントを使用してファイルシステムを完全に管理し、Active Directory ドメインへのコンピュータオブジェクトの結合解除と再結合を必要とする管理タスクを実行します。これらのタスクには、障害が発生したファイルサーバーの置き換えや Microsoft Windows Server ソフトウェアのパッチ適用が含まれます。Amazon FSx がこれらのタスクを実行するには、Amazon FSx サービスアカウントに、少なくとも委任された サービスアカウントのアクセス許可 で説明されている一連のアクセス許可が必要です。

[Domain Admins] グループのメンバーには、これらのタスクを実行するのに十分な権限がありますが、必要な権限を Amazon FSx に委任するには、別のサービスアカウントを使用することを強くお勧めします。

[Active Directory ユーザーおよびコンピュータ] MMC スナップインの [コントロールの委任] または [高度な機能] 機能を使用して権限を委任する方法については、「Amazon FSx サービスアカウントまたはグループへのアクセス許可の委任」を参照してください。

ファイルシステムを新しいサービスアカウントで更新する場合は、その新しいサービスアカウントに、Active Directory に結合するのに必要なアクセス許可と権限があり、ファイルシステムに関連付けられている既存のコンピュータオブジェクトに対する [フルコントロール] アクセス許可が付与されていることを確認してください。詳細については、「Amazon FSx サービスアカウントの変更」を参照してください。