ハイブリッドディレクトリの前提条件 - AWS Directory Service
Microsoft Active Directory ドメインの要件必要な Active Directory サービスKerberosサポートされる暗号化形式ポートアクセス許可Amazon VPCセキュリティグループ評価の制限

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ハイブリッドディレクトリの前提条件

ハイブリッドディレクトリは、セルフマネージド Active Directory を に拡張します AWS クラウド。ハイブリッドディレクトリを作成する前に、環境が次の要件を満たしていることを確認してください。

Microsoft Active Directory ドメインの要件

ハイブリッドディレクトリを作成する前に、セルフマネージド AD 環境とインフラストラクチャが以下の要件を満たしていることを確認し、必要な情報を収集します。

ドメインの要件

セルフマネージド AD 環境は、次の要件を満たしている必要があります。

  • Windows Server 2012 R2 または 2016機能レベルを使用します。

  • ハイブリッドディレクトリの作成について評価される標準ドメインコントローラーを使用します。読み取り専用ドメインコントローラー (RODC) は、ハイブリッドディレクトリの作成には使用できません。

  • すべてのActive Directoryサービスが実行されている 2 つのドメインコントローラーがあります。

  • プライマリドメインコントローラー (PDC) は常にルーティング可能である必要があります。

    具体的には、セルフマネージド AD の PDC エミュレータ IP と RID マスター IPs は、次のいずれかのカテゴリにある必要があります。

    • RFC1918 プライベート IP アドレス範囲 (10.0.0.0/8、172.16.0.0/12、または 192.168.0.0/16) の一部

    • VPC CIDR 範囲内

    • ディレクトリのセルフマネージドインスタンスの DNS IPs を一致させる

    ハイブリッドディレクトリの作成後に、ディレクトリの IP ルートを追加できます。

必要な情報

セルフマネージド AD に関する次の情報を収集します。

  • [Directory DNS name] (ディレクトリの DNS 名)

  • ディレクトリ DNS IPs

  • セルフマネージド AD への管理者アクセス許可を持つサービスアカウントの認証情報

  • AWS サービスアカウントの認証情報を保存するためのシークレット ARN (「」を参照AWS ハイブリッドディレクトリのシークレット ARN

AWS ハイブリッドディレクトリのシークレット ARN

セルフマネージド AD でハイブリッドディレクトリを設定するには、シー AWS クレットを暗号化する KMS キーを作成してから、シークレット自体を作成する必要があります。両方のリソースは、ハイブリッドディレクトリ AWS アカウント を含むのと同じ に作成する必要があります。

KMS キーを作成する

KMS キーはシー AWS クレットの暗号化に使用されます。

重要

暗号化キーの場合は、 AWS デフォルトの KMS キーを使用しないでください。セルフマネージド AD AWS と結合するために作成するハイブリッドディレクトリ AWS アカウント を含む と同じ に KMS キーを作成してください。

KMS AWS キーを作成するには

  1. AWS KMS コンソールで、キーの作成を選択します。

  2. [キーの種類] として、[対称] を選択します。

  3. [キーの使用方法] として、[暗号化と復号化] を選択します。

  4. [Advanced options (詳細オプション)] の場合:

    1. [キーマテリアルのオリジン] として、[KMS] を選択します。

    2. リージョンでは単一リージョンキーを選択し、次へを選択します。

  5. [エイリアス] に、KMS キーの名前を指定します。

  6. (オプション) [説明] に、KMS キーの説明を入力します。

  7. (オプション) タグには、KMS キーのタグを追加し、次へを選択します。

  8. キー管理者には、IAM ユーザーを選択します。

  9. キーを削除するにはキー管理者にこのキーの削除を許可して、へを選択します。

  10. キーユーザーの場合、前のステップと同じ IAM ユーザーを選択し、次へを選択します。

  11. 設定を確認します。

  12. キーポリシーでは、次のステートメントをポリシーに追加します。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::caller-account:role/role_used_to_create_directory"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    { 
       "Sid": "Allow use of the KMS key on behalf of Directory Service", 
       "Effect": "Allow", 
       "Principal": {
         "Service": "ds.amazonaws.com"
       }, 
       "Action": "kms:Decrypt", 
       "Resource": "*"
    }
  ]
}

  13. [Finish] を選択してください。

AWS シークレットを作成する

Secrets Manager でシークレットを作成して、セルフマネージド AD ユーザーアカウントの認証情報を保存します。

重要

セルフマネージド AD と結合するハイブリッドディレクトリ AWS アカウント を含むシークレットを同じ に作成します。

シークレットを作成する

  • Secrets Manager で、新しいシークレットを保存する を選択します。

  • シークレットタイプで、その他のタイプのシークレットを選択します。

  • [キーと値のペア] として、次の 2 つのキーを追加します。

  1. ユーザー名キーを追加する

    1. 最初のキーには、customerAdAdminDomainUsername と入力します。

    2. 最初のキーの値には、AD ユーザーのユーザー名 (ドメインプレフィックスなし) のみを入力します。ドメイン名を含めないでください。含めると、インスタンスの作成が失敗します。

  2. パスワードキーを追加する

    1. 2 番目のキーとして、customerAdAdminDomainPassword と入力します。

    2. 2 番目のキーの値には、ドメインの AD ユーザー用に作成したパスワードを入力します。

シークレット設定を完了する

  1. 暗号化キー で、 で作成した KMS キーKMS キーを作成するを選択し、次へ を選択します。

  2. シークレット名には、シークレットの説明を入力します。

  3. (オプション) 説明 に、シークレットの説明を入力します。

  4. [次へ] を選択します。

  5. [ローテーションの設定] は、デフォルト値のままにして、[次へ] を選択します。

  6. シークレットの設定を確認し、保存を選択します。

  7. 作成したシークレットを選択し、[シークレット ARN] の値をコピーします。次のステップでこの ARN を使用して、セルフマネージド Active Directory を設定します。

インフラストラクチャ要件

以下のインフラストラクチャコンポーネントを準備します。

  • SSM エージェントの管理者権限を持つ 2 つの AWS Systems Manager ノード

必要な Active Directory サービス

セルフマネージド AD で次のサービスが実行されていることを確認します。

  • Active Directory Domain Services

  • Active Directory Web Service (ADWS)

  • COM+ イベントシステム

  • 分散ファイルシステムレプリケーション (DFSR)

  • ドメインネームシステム (DNS)

  • DNS サーバー

  • グループポリシークライアント

  • サイト間メッセージング

  • リモートプロシージャコール (RPC)

  • Security Accounts Manager

  • Windows タイムサーバー

    注記

    ハイブリッドディレクトリでは、UDP ポート 123 を開き、Windows Time Server を有効にして機能させる必要があります。ハイブリッドディレクトリレプリケーションが適切に機能するように、時刻をドメインコントローラーと同期します。

Kerberos 認証要件

ユーザーアカウントの Kerberos 事前認証を有効にしておく必要があります。この設定を有効にする方法の詳細については、「Kerberos 事前認証が有効になっていることを確認する」を参照してください。この設定に関する一般的な情報については、Microsoft TechNet の「事前認証」を参照してください。

サポートされる暗号化形式

ハイブリッドディレクトリは、Kerberos 経由でActive Directoryドメインコントローラーに認証するときに、次の暗号化タイプをサポートします。

  • AES-256-HMAC

ネットワークポートの要件

がセルフマネージド型Active Directoryドメインコントローラーを拡張 AWS するには、既存のネットワークのファイアウォールで、Amazon VPC 内の両方のサブネットCIDRsに対して次のポートが に開かれている必要があります。

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 認証

  • UDP 123 - タイムサーバー

  • TCP 135 - リモートプロシージャ呼び出し

  • TCP/UDP 389 - LDAP

  • TCP 445 – SMB

  • TCP 636 - Lightweight Directory Access Protocol Secure (LDAPS) を使用する環境でのみ必要

  • TCP 49152-65535 - RPC がランダムに割り当てた高 TCP ポート

  • TCP 3268 および 3269 - グローバルカタログ

  • TCP 9389 Active Directory Web Services (ADWS)

これらは、ハイブリッドディレクトリの作成に必要な最小限のポートです。固有の設定によっては、追加ポートが開かれていることが必要です。

注記

ドメインコントローラーと FSMO ロール所有者に提供される DNS IPs では、Amazon VPC 内の両方のサブネットの CIDRs に対して上記のポートを開く必要があります。

注記

ハイブリッドディレクトリでは、UDP ポート 123 を開き、Windows Time Server を有効にして機能させる必要があります。ハイブリッドディレクトリレプリケーションが適切に機能するように、時刻をドメインコントローラーと同期します。

AWS アカウント アクセス権限

では、以下のアクションに対するアクセス許可が必要です AWS アカウント。

  • ec2:AuthorizeSecurityGroupEgress

  • ec2:AuthorizeSecurityGroupIngress

  • ec2:CreateNetworkInterface

  • ec2:CreateSecurityGroup

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribeSubnets

  • ec2:DescribeVpcs

  • ec2:CreateTags

  • ec2:CreateNetworkInterfacePermission

  • ssm:ListCommands

  • ssm:GetCommandInvocation

  • ssm:GetConnectionStatus

  • SSM: SendCommand

  • secretsmanager:DescribeSecret

  • secretsmanager:GetSecretValue

  • iam:GetRole

  • iam:CreateServiceLinkedRole

Amazon VPC ネットワーク要件

以下を含む VPC。

  • 少なくとも 2 つのサブネット。各サブネットは異なるアベイラビリティーゾーンにある必要があります

  • VPC にはデフォルトのテナンシーが必要です

198.18.0.0/15 アドレス空間のアドレスを使用して VPC にハイブリッドディレクトリを作成することはできません。

AWS Directory Service は 2 つの VPC 構造を使用します。ディレクトリを構成する EC2 インスタンスは、 の外部で実行され AWS アカウント、 によって管理されます AWS。これらには、2 つのネットワークアダプタ (ETH0 および ETH1) があります。ETH0 は管理アダプタで、アカウント外部に存在します。ETH1 はアカウント内で作成されます。

ディレクトリの ETH0 ネットワークの管理 IP 範囲は です198.18.0.0/15

詳細については、「Amazon VPC ユーザーガイド」の次のトピックを参照してください。

詳細については AWS Direct Connect、「 とは」を参照してください AWS Direct Connect。

AWS セキュリティグループ設定

デフォルトでは、 はセキュリティグループを AWS アタッチして、VPC AWS Systems Manager 内のマネージドノードへのネットワークアクセスを許可します。オプションで、VPC 外のセルフマネージド型ドメインコントローラーとの間のネットワークトラフィックを許可する独自のセキュリティグループを指定できます。

オプションで、VPC 外のセルフマネージド型ドメインコントローラーとの間のネットワークトラフィックを許可する独自のセキュリティグループを指定できます。独自のセキュリティグループを指定する場合は、以下を行う必要があります。

  • VPC CIDR 範囲とセルフマネージド範囲の許可リスト。

  • これらの範囲がAWS リザーブド IP 範囲と重複しないようにする

ディレクトリ評価に関する考慮事項

ディレクトリ評価を作成する際の考慮事項と、 で実行できる評価の数を次に示します AWS アカウント。

  • ハイブリッドディレクトリを作成すると、ディレクトリ評価が自動的に作成されます。評価には、 CUSTOMERと の 2 種類がありますSYSTEM。には、100 個のCUSTOMERディレクトリ評価の制限 AWS アカウント があります。

  • ハイブリッドディレクトリを作成しようとして、すでに 100 個のCUSTOMERディレクトリ評価がある場合、エラーが発生します。評価を削除して容量を解放してから、もう一度試してください。

  • CUSTOMER ディレクトリ評価クォータの引き上げをリクエストするには、既存の CUSTOMER ディレクトリ評価に連絡 サポート または削除して容量を解放します。