AWS Directory Service(Microsoft AD)でActive Directoryを立ててWindowsを参加させる
Bonjour、AWS事業本部のニシヤマです。
はじめに
最近、AWS Directory Serviceを触る機会がありまして、以下のブログ等を参照してMicrosoft ADにWindowsを追加してみたのでご紹介します。
上記は同じAWS Directory Serviceの中のSimple ADを利用したブログになります。
Microsoft ADって?
Microsoft ADは簡単に言ってしまうとAWSによって管理されたマネージド型 Microsoft Active Directoryです。
同じAWS Directory ServiceのSimple ADとの違いは以下をご参照ください。
Q: Simple AD と Microsoft AD との違いは何ですか?
Simple AD は Samba 4 Active Directory Compatible Server を利用したマネージドディレクトリです。Kerberos の SSO、ドメイン参加したコンピュータ、グループポリシーベースの管理といった Microsoft Active Directory の機能のサブセットが提供されます。Microsoft AD はマネージド型の Microsoft Active Directory で、Windows Server 2012 R2 を利用して他のドメインとの信頼関係、Active Directory Administrative Center、Active Directory ゴミ箱、Network Policy Server サポート、およびスキーマ拡張といった追加機能が提供されます。
Microsoft AD立ち上げ
今回必要なVPC環境は構築済みの状態で進めますが、以下の前提条件を満たした状態で構築してください。
- 少なくとも 2 つのサブネット。各サブネットはそれぞれ異なるアベイラビリティーゾーンにある必要があります。
- VPC にはデフォルトのハードウェアテナンシーが必要です。
- 198.18.0.0/15 アドレス空間のアドレスを使用して、VPC 内に AWS Managed Microsoft AD を作成することはできません。
- AWS Directory Service は、Active Directory を使用したネットワークアドレス変換 (NAT) の使用はサポートしていません。NAT を使用するとレプリケーションエラーが発生する可能性があります。
AWS Managed Microsoft AD の前提条件
それでは早速Microsoft ADを立ち上げてみたいと思います。
Directoryを作成する
マネジメントコンソールでDirectory Serviceの画面から、左メニューでディレクトリを選択します。
次にディレクトリのセットアップをクリックします。
ディレクトリタイプの選択画面ではAWS Managed Microsoft ADを選択して次へをクリックします。
次にディレクトリ情報の入力画面で起動するディレクトリの情報を入力して、次へをクリックします。今回は以下の情報で作成します。
- エディション:Standard Edition
- ディレクトリの DNS 名:ads.nishi.tech
- Admin パスワード:<任意のパスワード>
- パスワードの確認:<もう一度同じパスワード>
ここでお気づきかもしれませんが管理者アカウント名がAdminなっていることに注意してください。
次にVPC とサブネットの選択画面でMicrosoft ADを起動するVPCとサブネットを指定します。前提条件でもあった通りサブネットは異なるアベイラビリティーゾーンのサブネットを指定する必要があります。問題なければ次へをクリックします。
最後に確認をして、問題なければディレクトリの作成をクリックします。
ディレクトリの一覧画面に戻ります。ディレクトリが作成中になっているので、ステータスが完了になるのを待ちます。画面上部にも書いてありますがMicrosoft ADの作成完了までに20~45分かかりますので気長に待ちましょう。
待っているとステータスがアクティブになりました!
ディレクトリのDNS アドレスにIPアドレスが記載されています!
こちらのDNS アドレスに関しての後ほど利用するので控えておいてください。
DHCPオプションを設定
次にDHCPオプションを利用してVPCのDNSサーバをMicrosoft ADに向くよう設定します。こちらはEC2のDNS設定で個別に設定もできますが今回はDHCPオプションを利用します。
マネジメントコンソールでVPCの画面から、左メニューでDHCP オプションセットを選択し、DHCP オプションセットを作成をクリックします。
DHCP オプションセットを作成画面でドメイン名にMicrosoft ADに指定したディレクトリの DNS 名と、ドメインネームサーバーにはMicrosoft ADのDNS アドレスの値を入力します。DHCP オプションセット名は任意の値を入力して、DHCP オプションセットを作成をクリックします。
次にVPCの画面でMicrosoft ADのあるVPCのDHCP オプションセットの編集をクリックします。
DHCP オプションセットの編集画面で作成したDHCP オプションセットを指定して、保存をクリックします。
Windowsをドメインに参加させる
それではMicrosoft ADと同じVPCでWindows Serverを起動して、先程作成したMicrosoft ADのドメインに参加させてみます。
EC2の起動作業に関しては省略します。起動に利用したAMIはWindows Server 2019日本語版のami-08fe74bac057f0a6aを利用しました。
DNSサーバの設定確認
Windows Serverが起動したら、DNSサーバの設定を確認します。
設定されてました!
Windowsをドメインに参加させる
次に[コントロールパネル]-[システムとセキュリティ]-[システム]の「コンピューター名、ドメインおよびワークグループの設定」の「設定の変更」をクリックします。
「変更」をクリックします。
所属するグループのドメインにMicrosoft ADのドメインを入力してOKをクリックします。
ここでユーザ名とパスワード求められます。ここで注意ですがMicrosoft ADの作成の際にもお伝えしましたが、Microsoft ADの管理者はAdministratorではなくAdminです。
そのため、ここではユーザはAdmin@<Microsoft ADのドメイン>、パスワードはMicrosoft AD作成時に決めたパスワードを入力して下さい。
ドメインに参加できました。
再起動が必要なので指示に従い再起動します。
再起動後に確認するとドメインに参加している事が確認できます。
あとは、はじめにでご紹介した記事と同じように[AD DSおよびAD LDS ツール]をインストールします。
スタートメニューからActive Directory ユーザーとコンピューターを起動してみると、ドメインコントローラーが2台見えました!
ちなみにドメインコントローラーのOSはドキュメントにもある通りWindows Server 2012 R2で動いていることがわかります。
以上です!
おわりに
いかがでしたでしょうか。Simple ADとは違い管理者アカウントがAdminだったり、作成に少し時間がかかりますがMicrosoft ADで簡単にマネージドなActive Directoryを立ち上げることができました。
また、EC2にインストールするような通常のActive Directoryには無い制限もあり以下のブログにまとまっていますので参考にしてみてください。
またTakuya ShibataによるActive Directory入門ブログも参考にしていただければと思います。
この記事がどなたかのお役に立てば幸いです。
参考
https://dev.classmethod.jp/articles/aws-directory-service/ https://dev.classmethod.jp/articles/notes-for-microsoft-ad-aws-directory-service/ https://aws.amazon.com/jp/directoryservice/other-directories/ https://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/ms_ad_getting_started_prereqs.html
