ハイブリッドディレクトリの前提条件 - AWS Directory Service
Microsoft Active Directory ドメイン要件必要な Active Directory サービスKerberosサポートされる暗号化形式ポートアクセス許可Amazon VPCセキュリティグループ評価の制限

ハイブリッドディレクトリの前提条件

ハイブリッドディレクトリは、自己管理型 Active Directory を AWS クラウドに拡張します。ハイブリッドディレクトリを作成する前に、環境が次の要件を満たしていることを確認してください:

Microsoft Active Directory ドメイン要件

ハイブリッドディレクトリを作成する前に、自己管理型 AD 環境とインフラストラクチャが以下の要件を満たしていることを確認し、必要な情報を収集します。

ドメイン要件:

自己管理型 AD 環境は、次の要件を満たしている必要があります:

  • Windows Server 2012 R2 または 2016 の機能レベルを使用します。

  • ハイブリッドディレクトリ作成の評価には、標準的なドメインコントローラーが使用されます。読み取り専用ドメインコントローラー (RODC) をハイブリッドディレクトリの作成に使用することはできません。

  • すべての Active Directory サービスが実行されている 2 つのドメインコントローラーがあります。

  • プライマリドメインコントローラー (PDC) は常にルーティング可能である必要があります。

    具体的には、自己管理型 AD の PDC エミュレータ IP と RID マスター IP は、次のいずれかのカテゴリにある必要があります:

    • RFC1918 プライベート IP アドレス範囲 (10.0.0.0/8、172.16.0.0/12、または 192.168.0.0/16) の一部

    • VPC CIDR 範囲内

    • ディレクトリの自己管理型インスタンスの DNS IP を一致させる

    ハイブリッドディレクトリの作成後に、ディレクトリの IP ルートを追加できます。

必要な情報

自己管理型 AD に関する次の情報を収集します:

  • ディレクトリの DNS 名

  • ディレクトリの DNS IP

  • 自己管理型 AD への管理者アクセス許可を持つサービスアカウントの認証情報

  • サービスアカウントの認証情報を保存するための AWS シークレット ARN (「ハイブリッドディレクトリ用の AWS シークレット ARN」を参照)

ハイブリッドディレクトリ用の AWS シークレット ARN

自己管理型 AD でハイブリッドディレクトリを設定するには、AWS シークレットを暗号化する KMS キーを作成してから、シークレット自体を作成する必要があります。両方のリソースは、ハイブリッドディレクトリを含む同じ AWS アカウント内に作成する必要があります。

KMS キーを作成する

KMS キーは、AWS シークレットの暗号化に使用されます。

重要

[暗号化キー] として、AWS デフォルトの KMS キーを使用しないでください。自己管理型 AD と結合するために作成するハイブリッドディレクトリを含む同じ AWS アカウント 内に AWS KMS キーを必ず作成してください。

AWS KMS キーを作成するには

  1. AWS KMS コンソールで、[キーの作成] を選択します。

  2. [キーの種類] として、[対称] を選択します。

  3. [キーの使用方法] として、[暗号化と復号化] を選択します。

  4. [Advanced options (詳細オプション)] の場合:

    1. [キーマテリアルのオリジン] として、[KMS] を選択します。

    2. [リージョナリティ] では、[単一リージョンキー] を選択し、[次へ] を選択します。

  5. [エイリアス] に、KMS キーの名前を指定します。

  6. (オプション) [説明] に、KMS キーの説明を入力します。

  7. (オプション) [タグ] には、KMS キーのタグを追加し、[次へ] を選択します。

  8. [キー管理者] には、IAM ユーザーを選択します。

  9. [キーの削除] で、[キー管理者にこのキーの削除を許可する] をデフォルト設定のままにして、[次へ] を選択します。

  10. [キーユーザー] として、前のステップと同じ IAM ユーザーを選択して、[次へ] を選択します。

  11. 設定を確認します。

  12. [キーポリシー] で、ポリシーに以下のステートメントを追加します:

  13. [Finish] を選択してください。

AWS シークレットを作成する

Secrets Manager でシークレットを作成して、自己管理型 AD ユーザーアカウントの認証情報を保存します。

重要

自己管理型 AD と結合させるハイブリッドディレクトリを含む同じ AWS アカウント 内にシークレットを作成します。

シークレットを作成する

  • Secrets Manager で、[新しいシークレットを保存する] を選択します。

  • [シークレットタイプ] で、[他の種類のシークレット] を選択します。

  • [キーと値のペア] として、次の 2 つのキーを追加します。

  1. ユーザー名キーを追加する

    1. 最初のキーには、customerAdAdminDomainUsername と入力します。

    2. 最初のキーの値には、AD ユーザーのユーザー名 (ドメインプレフィックスなし) のみを入力します。ドメイン名を含めないでください。含めると、インスタンスの作成が失敗します。

  2. パスワードキーを追加する

    1. 2 番目のキーとして、customerAdAdminDomainPassword と入力します。

    2. 2 番目のキーの値には、ドメインの AD ユーザー用に作成したパスワードを入力します。

シークレットの構成を完了する

  1. [暗号化キー] で、KMS キーを作成する で作成した KMS キーを選択し、[次へ] を選択します。

  2. [シークレット名] に、シークレットの説明を入力します。

  3. (オプション) [説明] に、シークレット名の説明を入力します。

  4. [次へ] を選択します。

  5. [ローテーションの設定] は、デフォルト値のままにして、[次へ] を選択します。

  6. シークレットの設定を確認し、[保存] を選択します。

  7. 作成したシークレットを選択し、[シークレット ARN] の値をコピーします。この ARN を次のステップで使用して、自己管理型 Active Directory をセットアップします。

インフラストラクチャ要件

以下のインフラストラクチャコンポーネントを準備します:

  • SSM エージェントの管理者権限を持つ 2 つの AWS Systems Manager ノード

必要な Active Directory サービス

自己管理型 AD で次のサービスが実行されていることを確認します:

  • Active Directory Domain Services

  • Active Directory Web Service (ADWS)

  • COM+ イベントシステム

  • 分散ファイルシステムレプリケーション (DFSR)

  • ドメインネームシステム (DNS)

  • DNS サーバー

  • グループポリシークライアント

  • サイト間メッセージング

  • リモートプロシージャコール (RPC)

  • Security Accounts Manager

  • Windows タイムサーバー

    注記

    ハイブリッドディレクトリでは、UDP ポート 123 が開いていることと、Windows タイムサーバーが有効かつ正常に動作していることの両方が必要です。ハイブリッドディレクトリレプリケーションが適切に動作するように、時刻をドメインコントローラーと同期します。

Kerberos 認証の要件

ユーザーアカウントの Kerberos 事前認証を有効にしておく必要があります。この設定を有効にする方法の詳細については、「Ensure that Kerberos pre-authentication is enabled」を参照してください。この設定に関する一般的な情報については、Microsoft TechNet の「事前認証」を参照してください。

サポートされる暗号化形式

ハイブリッドディレクトリは、Active Directory ドメインコントローラーへの Kerberos を介した認証時に、次のタイプの暗号化をサポートしています:

  • AES-256-HMAC

ネットワークポートの要件

AWS で自己管理型 Active Directory ドメインコントローラーを拡張するには、既存のネットワークのファイアウォールで、Amazon VPC の両方のサブネットの CIDRs に対して次のポートを開く必要があります:

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 認証

  • UDP 123 - タイムサーバー

  • TCP 135 - リモートプロシージャコール

  • TCP/UDP 389 - LDAP

  • TCP 445 – SMB

  • TCP 636 - Lightweight Directory Access Protocol Secure (LDAPS) を使用する環境でのみ必要

  • TCP 49152-65535 - RPC がランダムに割り当てた高 TCP ポート

  • TCP 3268 および 3269 – グローバルカタログ

  • TCP 9389 Active Directory Web Services (ADWS)

これらは、ハイブリッドディレクトリの作成に必要な最小限のポートです。固有の設定によっては、追加ポートが開かれていることが必要です。

注記

ドメインコントローラーと FSMO ロール所有者に提供される DNS IP では、Amazon VPC 内の両方のサブネットの CIDR に対して上記のポートを開く必要があります。

注記

ハイブリッドディレクトリでは、UDP ポート 123 が開いていることと、Windows タイムサーバーが有効かつ正常に動作していることの両方が必要です。ハイブリッドディレクトリレプリケーションが適切に動作するように、時刻をドメインコントローラーと同期します。

AWS アカウント アクセス権限

AWS アカウントで以下のアクションの実行するためのアクセス許可が必要です:

  • ec2:AuthorizeSecurityGroupEgress

  • ec2:AuthorizeSecurityGroupIngress

  • ec2:CreateNetworkInterface

  • ec2:CreateSecurityGroup

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribeSubnets

  • ec2:DescribeVpcs

  • ec2:CreateTags

  • ec2:CreateNetworkInterfacePermission

  • ssm:ListCommands

  • ssm:GetCommandInvocation

  • ssm:GetConnectionStatus

  • SSM: SendCommand

  • secretsmanager:DescribeSecret

  • secretsmanager:GetSecretValue

  • iam:GetRole

  • iam:CreateServiceLinkedRole

Amazon VPC ネットワークの要件

次のように設定された VPC:

  • 少なくとも 2 つのサブネット。各サブネットはそれぞれ異なるアベイラビリティーゾーンにある必要があります

  • VPC にはデフォルトのテナンシーが必要です

198.18.0.0/15 アドレス空間のアドレスを使用して、VPC 内にハイブリッドディレクトリを作成することはできません。

Directory Service は、2 つの VPC 構造を使用します。ディレクトリを構成する EC2 インスタンスは、AWS アカウントの外部で実行され、AWS によって管理されます。これらには、2 つのネットワークアダプタ (ETH0 および ETH1) があります。ETH0 は管理アダプタで、アカウント外部に存在します。ETH1 はアカウント内で作成されます。

ディレクトリの ETH0 ネットワークの管理 IP 範囲は 198.18.0.0/15 です。

詳細については、「Amazon VPC ユーザーガイド」の次のトピックを参照してください。

AWS Direct Connect の詳細については、「What is AWS Direct Connect?」を参照してください。

AWS セキュリティグループの設定

デフォルトでは、AWS はセキュリティグループをアタッチして、VPC 内の AWS Systems Manager マネージドノードへのネットワークアクセスを許可します。オプションで、VPC 外部の自己管理型ドメインコントローラーとの間でネットワークトラフィックを許可する独自のセキュリティグループを指定できます。

オプションで、VPC 外部の自己管理型ドメインコントローラーとの間でネットワークトラフィックを許可する独自のセキュリティグループを指定できます。独自のセキュリティグループを指定する場合は、以下を行う必要があります:

  • VPC CIDR 範囲と自己管理型の範囲の許可リスト。

  • これらの範囲が AWS リザーブド IP 範囲と重複しないようにする

ディレクトリ評価に関する考慮事項

ディレクトリ評価を作成する際の考慮事項と、AWS アカウントで実行できる評価の数を次に示します:

  • ハイブリッドディレクトリを作成すると、ディレクトリ評価が自動的に作成されます。評価には、CUSTOMERSYSTEM の 2 種類があります。AWS アカウント には、100 個の CUSTOMER ディレクトリ評価の制限があります。

  • ハイブリッドディレクトリを作成しようとして、すでに 100 個の CUSTOMER ディレクトリ評価がある場合、エラーが発生します。評価を削除して容量を解放してから、もう一度試してください。

  • CUSTOMER ディレクトリ評価クォータの引き上げをリクエストするには、サポート に連絡するか、既存の CUSTOMER ディレクトリ評価を削除して容量を解放します。