Amazon FSx for Windows File Server を最低限の手順で構築してみた
猫に乗られながら生きている、テクニカルサポートのm.hayakawaです。
Amazon FSx for Windows File Server の検証を行う機会が多いため、最低限の手順での構築する方法を備忘録として記事にします。
概要
前提として、構築を行う VPC はすべて準備ができていると仮定します。
以下の順番に構築をしていきます。
- FSxへ接続するEC2(Windows)を作成
- AWS Managed Microsoft AD を作成
- Amazon FSx for Windows を作成
- Amazon FSx for Windows を EC2(Windows)にマウント
1. FSxへ接続するEC2(Windows)を作成
パブリックサブネットに Windows 2016 の AMI を元に EC2 インスタンスを作成します。
EC2 インスタンスに付与するセキュリティグループは、インバウンドルールはクライアントの IP アドレスから 3389 ポートでの通信を許可する設定、アウトバウンドルールはすべて許可する設定を加えてください。
※今回はここが本題ではないので、詳細は割愛します。
2. AWS Managed Microsoft AD を作成
Directory Service のコンソールへ移動し、ディレクトリのセットアップを行います。
ディレクトリタイプに「AWS Managed Microsoft AD」を選択し、「次へ」を押します。
エディションに「Standard」を選択、ディレクトリの DNS 名に任意のドメインを入力し、Admin パスワードを設定します。
- で作成した EC2 が存在する VPC と サブネットを選択します。
内容を確認し、ディレクトリの作成を押します。
この後、作成完了まで待機します。(だいたい40分かかりました)
3. Amazon FSx for Windows を作成
Amazon FSx for Windws にアタッチするセキュリティグループの作成
Amazon FSx for Windows では以下の要件を満たすセキュリティグループをアタッチする必要があります。
アウトバウンド
プロトコル | ポート | ロール |
---|---|---|
TCP/UDP | 53 | ドメインネームシステム (DNS) |
TCP/UDP | 88 | Kerberos 認証 |
TCP/UDP | 464 | パスワードの変更/設定 |
TCP/UDP | 389 | Lightweight Directory Access プロトコル (LDAP) |
UDP | 123 | Network Time Protocol (NTP) |
TCP | 135 | 分散コンピューティング環境/エンドポイントマッパー (DCE/EPMAP) |
TCP | 445 | Directory Services SMB ファイル共有 |
TCP | 636 | TLS/SSL(LDAPS)を介したライトウェイトディレクトリアクセスプロトコル |
TCP | 3268 | Microsoft グローバルカタログ |
TCP | 3269 | SSL 経由のマイクロソフトグローバルカタログ |
TCP | 9389 | マイクロソフト AD DS Web サービス、PowerShell |
TCP | 49152 - 65535 | RPC 用一時ポート |
インバウンド
プロトコル | ポート | ロール |
---|---|---|
TCP | 445 | ディレクトリサービスの SMB ファイル共有 |
TCP | 5985 | WinRM 2.0 (マイクロソフトの Windows リモート管理) |
詳細につきましては以下のドキュメントを参照してください。
Amazon VPC によるファイルシステムのアクセス制御 - Amazon FSx for Windows ファイルサーバー
今回は接続元の EC2 に付与されているセキュリティグループからのインバウンド通信にて、ポート 445, 5985 からの通信を許可、アウトバウント通信はすべて許可するセキュリティグループを作成します。
Amazon FSx for Windows の作成
FSx のコンソールへ移動し、「ファイルシステムを作成」を押します。
「Amazon FSx for Windows ファイルサーバー」を選択し、「次へ」を押します。
ファイルシステムの詳細にて、デプロイタイプ、ストレージタイプとサイズを任意に変更します。
ネットワークとセキュリティにて、AWS Managed Microsoft Active Directory を作成した VPC とサブネットを選択します。
Windows 認証にて、先ほど作成した AWS Managed Microsoft Active Directory を選択します。
暗号化はデフォルトで問題ありません。
設定内容を確認し、「ファイルシステムの作成」を押します。
ファイルシステムが作成されます。利用可能になるまで待機します。(だいたい30分かかりました)
4. Amazon FSx for Windows を EC2(Windows)にマウント
EC2 を Active Directory に手動で参加させる
EC2 へリモートデスクトップ接続をし、コマンドプロンプトを開き、以下のコマンドを実行します。
%SystemRoot%\system32\control.exe ncpa.cpl
Network Connections の設定から、ネットワークインタフェースの DNS 設定を変更します。
詳細な方法は以下のドキュメントを参照してください。
Windows インスタンスに手動で参加する - AWS Directory Service
Amazon FSx for Windows を EC2(Windows)にマウント
FSx コンソールから、構築したリソースを選択し、アタッチボタンを押します。
「アタッチ手順 - デフォルトの DNS 名を使用」に記載されている、以下のコマンドを実行します。 user name に Admin@を入力し、Active Directory 構築時に設定したAdmin パスワードを入力します。
net use Z: \\amznfsxsmvf3f0i.hayakawa.local\share Enter the user name for 'amznfsxsmvf3f0i.hayakawa.local': Admin@hayakawa.local Enter the password for amznfsxsmvf3f0i.hayakawa.local: The command completed successfully.
Z ドライブとして認識されました。
最後に
肝としては、以下となります。
- Active Directory と FSx の構築に時間がかかる
- FSx へアタッチするセキュリティグループを適切に作成する必要がある。
- FSx をマウントする前に、DNS設定をする必要がある。
- Active Directory に設定したパスワードを、FSx をマウントするために使う。
ぜひ、ウォークスルーとしてお役立てください。