Amazon FSx for Windows File Server を最低限の手順で構築してみた

Amazon FSx for Windows File Server を検証することが増えたため、最低限の手順で構築するための方法を記載します。
2021.09.07

猫に乗られながら生きている、テクニカルサポートのm.hayakawaです。

Amazon FSx for Windows File Server の検証を行う機会が多いため、最低限の手順での構築する方法を備忘録として記事にします。

概要

前提として、構築を行う VPC はすべて準備ができていると仮定します。

以下の順番に構築をしていきます。

  1. FSxへ接続するEC2(Windows)を作成
  2. AWS Managed Microsoft AD を作成
  3. Amazon FSx for Windows を作成
  4. Amazon FSx for Windows を EC2(Windows)にマウント

1. FSxへ接続するEC2(Windows)を作成

パブリックサブネットに Windows 2016 の AMI を元に EC2 インスタンスを作成します。

EC2 インスタンスに付与するセキュリティグループは、インバウンドルールはクライアントの IP アドレスから 3389 ポートでの通信を許可する設定、アウトバウンドルールはすべて許可する設定を加えてください。

※今回はここが本題ではないので、詳細は割愛します。

2. AWS Managed Microsoft AD を作成

Directory Service のコンソールへ移動し、ディレクトリのセットアップを行います。

ディレクトリタイプに「AWS Managed Microsoft AD」を選択し、「次へ」を押します。

エディションに「Standard」を選択、ディレクトリの DNS 名に任意のドメインを入力し、Admin パスワードを設定します。

  1. で作成した EC2 が存在する VPC と サブネットを選択します。

内容を確認し、ディレクトリの作成を押します。

この後、作成完了まで待機します。(だいたい40分かかりました)

3. Amazon FSx for Windows を作成

Amazon FSx for Windws にアタッチするセキュリティグループの作成

Amazon FSx for Windows では以下の要件を満たすセキュリティグループをアタッチする必要があります。

アウトバウンド

プロトコル ポート ロール
TCP/UDP 53 ドメインネームシステム (DNS)
TCP/UDP 88 Kerberos 認証
TCP/UDP 464 パスワードの変更/設定
TCP/UDP 389 Lightweight Directory Access プロトコル (LDAP)
UDP 123 Network Time Protocol (NTP)
TCP 135 分散コンピューティング環境/エンドポイントマッパー (DCE/EPMAP)
TCP 636 TLS/SSL(LDAPS)を介したライトウェイトディレクトリアクセスプロトコル
TCP 3268 Microsoft グローバルカタログ
TCP 3269 SSL 経由のマイクロソフトグローバルカタログ
TCP 9389 マイクロソフト AD DS Web サービス、PowerShell
TCP 49152 - 65535 RPC 用一時ポート

インバウンド

プロトコル ポート ロール
TCP 445 ディレクトリサービスの SMB ファイル共有
TCP 5985 WinRM 2.0 (マイクロソフトの Windows リモート管理)

詳細につきましては以下のドキュメントを参照してください。

Amazon VPC によるファイルシステムのアクセス制御 - Amazon FSx for Windows ファイルサーバー

今回は接続元の EC2 に付与されているセキュリティグループからのインバウンド通信にて、ポート 445, 5985 からの通信を許可、アウトバウント通信はすべて許可するセキュリティグループを作成します。

Amazon FSx for Windows の作成

FSx のコンソールへ移動し、「ファイルシステムを作成」を押します。

「Amazon FSx for Windows ファイルサーバー」を選択し、「次へ」を押します。

ファイルシステムの詳細にて、デプロイタイプ、ストレージタイプとサイズを任意に変更します。

ネットワークとセキュリティにて、AWS Managed Microsoft Active Directory を作成した VPC とサブネットを選択します。

Windows 認証にて、先ほど作成した AWS Managed Microsoft Active Directory を選択します。

暗号化はデフォルトで問題ありません。

設定内容を確認し、「ファイルシステムの作成」を押します。

ファイルシステムが作成されます。利用可能になるまで待機します。(だいたい30分かかりました)

4. Amazon FSx for Windows を EC2(Windows)にマウント

EC2 を Active Directory に手動で参加させる

EC2 へリモートデスクトップ接続をし、コマンドプロンプトを開き、以下のコマンドを実行します。

%SystemRoot%\system32\control.exe ncpa.cpl

Network Connections の設定から、ネットワークインタフェースの DNS 設定を変更します。

詳細な方法は以下のドキュメントを参照してください。

Windows インスタンスに手動で参加する - AWS Directory Service

Amazon FSx for Windows を EC2(Windows)にマウント

FSx コンソールから、構築したリソースを選択し、アタッチボタンを押します。

「アタッチ手順 - デフォルトの DNS 名を使用」に記載されている、以下のコマンドを実行します。 user name に Admin@を入力し、Active Directory 構築時に設定したAdmin パスワードを入力します。

net use Z: \\amznfsxsmvf3f0i.hayakawa.local\share
Enter the user name for 'amznfsxsmvf3f0i.hayakawa.local': Admin@hayakawa.local
Enter the password for amznfsxsmvf3f0i.hayakawa.local:
The command completed successfully.

Z ドライブとして認識されました。

最後に

肝としては、以下となります。

  • Active Directory と FSx の構築に時間がかかる
  • FSx へアタッチするセキュリティグループを適切に作成する必要がある。
  • FSx をマウントする前に、DNS設定をする必要がある。
  • Active Directory に設定したパスワードを、FSx をマウントするために使う。

ぜひ、ウォークスルーとしてお役立てください。