ハイブリッドディレクトリの前提条件 - AWS Directory Service
Microsoft Active Directory ドメイン要件必要な Active Directory サービスKerberosサポートされる暗号化形式ポートアクセス許可Amazon VPCセキュリティグループ評価の制限

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ハイブリッドディレクトリの前提条件

ハイブリッドディレクトリは、自己管理型 Active Directory を AWS クラウドに拡張します。ハイブリッドディレクトリを作成する前に、環境が次の要件を満たしていることを確認してください:

Microsoft Active Directory ドメイン要件

ハイブリッドディレクトリを作成する前に、自己管理型 AD 環境とインフラストラクチャが以下の要件を満たしていることを確認し、必要な情報を収集します。

ドメイン要件:

自己管理型 AD 環境は、次の要件を満たしている必要があります:

  • Windows Server 2012 R2 または 2016 の機能レベルを使用します。

  • ハイブリッドディレクトリ作成の評価には、標準的なドメインコントローラーが使用されます。読み取り専用ドメインコントローラー (RODC) をハイブリッドディレクトリの作成に使用することはできません。

  • すべての Active Directory サービスが実行されている 2 つのドメインコントローラーがあります。

  • プライマリドメインコントローラー (PDC) は常にルーティング可能である必要があります。

    具体的には、自己管理型 AD の PDC エミュレータ IP と RID マスター IP は、次のいずれかのカテゴリにある必要があります:

    • RFC1918 プライベート IP アドレス範囲 (10.0.0.0/8、172.16.0.0/12、または 192.168.0.0/16) の一部

    • VPC CIDR 範囲内

    • ディレクトリの自己管理型インスタンスの DNS IP を一致させる

    ハイブリッドディレクトリの作成後に、ディレクトリの IP ルートを追加できます。

必要な情報

自己管理型 AD に関する次の情報を収集します:

  • [Directory DNS name] (ディレクトリの DNS 名)

  • ディレクトリの DNS IP

  • 自己管理型 AD への管理者アクセス許可を持つサービスアカウントの認証情報

  • AWS サービスアカウントの認証情報を保存するためのシークレット ARN (「」を参照AWS ハイブリッドディレクトリのシークレット ARN)

AWS ハイブリッドディレクトリのシークレット ARN

セルフマネージド AD でハイブリッドディレクトリを設定するには、シー AWS クレットを暗号化する KMS キーを作成してから、シークレット自体を作成する必要があります。両方のリソースは、ハイブリッドディレクトリ AWS アカウント を含むのと同じ に作成する必要があります。

KMS キーを作成する

KMS キーはシー AWS クレットの暗号化に使用されます。

重要

[暗号化キー] として、 AWS  デフォルトの KMS キーを使用しないでください。セルフマネージド AD AWS と結合するために作成するハイブリッドディレクトリ AWS アカウント を含む と同じ に KMS キーを作成してください。

KMS AWS キーを作成するには

  1. AWS KMS コンソールで、キーの作成を選択します。

  2. [キーの種類] として、[対称] を選択します。

  3. [キーの使用方法] として、[暗号化と復号化] を選択します。

  4. [Advanced options (詳細オプション)] の場合:

    1. [キーマテリアルのオリジン] として、[KMS] を選択します。

    2. [リージョナリティ] では、[単一リージョンキー] を選択し、[次へ] を選択します。

  5. [エイリアス] に、KMS キーの名前を指定します。

  6. (オプション) [説明] に、KMS キーの説明を入力します。

  7. (オプション) [タグ] には、KMS キーのタグを追加し、[次へ] を選択します。

  8. [キー管理者] には、IAM ユーザーを選択します。

  9. [キーの削除] で、[キー管理者にこのキーの削除を許可する] をデフォルト設定のままにして、[次へ] を選択します。

  10. [キーユーザー] として、前のステップと同じ IAM ユーザーを選択して、[次へ] を選択します。

  11. 設定を確認します。

  12. [キーポリシー] で、ポリシーに以下のステートメントを追加します:

  13. [Finish] を選択してください。

AWS シークレットを作成する

Secrets Manager でシークレットを作成して、自己管理型 AD ユーザーアカウントの認証情報を保存します。

重要

セルフマネージド AD と結合するハイブリッドディレクトリ AWS アカウント を含むシークレットを同じ に作成します。

シークレットを作成する

  • Secrets Manager で、[新しいシークレットを保存する] を選択します。

  • [シークレットタイプ] で、[他の種類のシークレット] を選択します。

  • [キーと値のペア] として、次の 2 つのキーを追加します。

  1. ユーザー名キーを追加する

    1. 最初のキーには、customerAdAdminDomainUsername と入力します。

    2. 最初のキーの値には、AD ユーザーのユーザー名 (ドメインプレフィックスなし) のみを入力します。ドメイン名を含めないでください。含めると、インスタンスの作成が失敗します。

  2. パスワードキーを追加する

    1. 2 番目のキーとして、customerAdAdminDomainPassword と入力します。

    2. 2 番目のキーの値には、ドメインの AD ユーザー用に作成したパスワードを入力します。

シークレットの構成を完了する

  1. [暗号化キー] で、KMS キーを作成する で作成した KMS キーを選択し、[次へ] を選択します。

  2. [シークレット名] に、シークレットの説明を入力します。

  3. (オプション) [説明] に、シークレット名の説明を入力します。

  4. [次へ] を選択します。

  5. [ローテーションの設定] は、デフォルト値のままにして、[次へ] を選択します。

  6. シークレットの設定を確認し、[保存] を選択します。

  7. 作成したシークレットを選択し、[シークレット ARN] の値をコピーします。この ARN を次のステップで使用して、自己管理型 Active Directory をセットアップします。

インフラストラクチャ要件

以下のインフラストラクチャコンポーネントを準備します:

  • SSM エージェントの管理者権限を持つ 2 つの AWS Systems Manager ノード

必要な Active Directory サービス

自己管理型 AD で次のサービスが実行されていることを確認します:

  • Active Directory Domain Services

  • Active Directory Web Service (ADWS)

  • COM+ イベントシステム

  • 分散ファイルシステムレプリケーション (DFSR)

  • ドメインネームシステム (DNS)

  • DNS サーバー

  • グループポリシークライアント

  • サイト間メッセージング

  • リモートプロシージャコール (RPC)

  • Security Accounts Manager

  • Windows タイムサーバー

    注記

    ハイブリッドディレクトリでは、UDP ポート 123 が開いていることと、Windows タイムサーバーが有効かつ正常に動作していることの両方が必要です。ハイブリッドディレクトリレプリケーションが適切に動作するように、時刻をドメインコントローラーと同期します。

Kerberos 認証の要件

ユーザーアカウントの Kerberos 事前認証を有効にしておく必要があります。この設定を有効にする方法の詳細については、「Ensure that Kerberos pre-authentication is enabled」を参照してください。この設定に関する一般的な情報については、Microsoft TechNet の「事前認証」を参照してください。

サポートされる暗号化形式

ハイブリッドディレクトリは、Active Directory ドメインコントローラーへの Kerberos を介した認証時に、次のタイプの暗号化をサポートしています:

  • AES-256-HMAC

ネットワークポートの要件

セルフマネージド Active Directory ドメインコントローラーを拡張 AWS するには、既存のネットワークのファイアウォールで、Amazon VPC 内の両方のサブネットCIDRsに対して次のポートが に開かれている必要があります。

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 認証

  • UDP 123 - タイムサーバー

  • TCP 135 - リモートプロシージャコール

  • TCP/UDP 389 - LDAP

  • TCP 445 – SMB

  • TCP 636 - Lightweight Directory Access Protocol Secure (LDAPS) を使用する環境でのみ必要

  • TCP 49152-65535 - RPC がランダムに割り当てた高 TCP ポート

  • TCP 3268 および 3269 – グローバルカタログ

  • TCP 9389 Active Directory Web Services (ADWS)

これらは、ハイブリッドディレクトリの作成に必要な最小限のポートです。固有の設定によっては、追加ポートが開かれていることが必要です。

注記

ドメインコントローラーと FSMO ロール所有者に提供される DNS IP では、Amazon VPC 内の両方のサブネットの CIDR に対して上記のポートを開く必要があります。

注記

ハイブリッドディレクトリでは、UDP ポート 123 が開いていることと、Windows タイムサーバーが有効かつ正常に動作していることの両方が必要です。ハイブリッドディレクトリレプリケーションが適切に動作するように、時刻をドメインコントローラーと同期します。

AWS アカウント アクセス許可

では、以下のアクションに対するアクセス許可が必要です AWS アカウント。

  • ec2:AuthorizeSecurityGroupEgress

  • ec2:AuthorizeSecurityGroupIngress

  • ec2:CreateNetworkInterface

  • ec2:CreateSecurityGroup

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribeSubnets

  • ec2:DescribeVpcs

  • ec2:CreateTags

  • ec2:CreateNetworkInterfacePermission

  • ssm:ListCommands

  • ssm:GetCommandInvocation

  • ssm:GetConnectionStatus

  • SSM: SendCommand

  • secretsmanager:DescribeSecret

  • secretsmanager:GetSecretValue

  • iam:GetRole

  • iam:CreateServiceLinkedRole

Amazon VPC ネットワークの要件

次のように設定された VPC:

  • 少なくとも 2 つのサブネット。各サブネットはそれぞれ異なるアベイラビリティーゾーンにある必要があります

  • VPC にはデフォルトのテナンシーが必要です

198.18.0.0/15 アドレス空間のアドレスを使用して、VPC 内にハイブリッドディレクトリを作成することはできません。

Directory Service は 2 つの VPC 構造を使用します。ディレクトリを構成する EC2 インスタンスは、 の外部で実行され AWS アカウント、 によって管理されます AWS。これらには、2 つのネットワークアダプタ (ETH0 および ETH1) があります。ETH0 は管理アダプタで、アカウント外部に存在します。ETH1 はアカウント内で作成されます。

ディレクトリの ETH0 ネットワークの管理 IP 範囲は 198.18.0.0/15 です。

詳細については、「Amazon VPC ユーザーガイド」の次のトピックを参照してください。

詳細については AWS Direct Connect、「 とは」を参照してください AWS Direct Connect。

AWS セキュリティグループ設定

デフォルトでは、 はセキュリティグループを AWS アタッチして、VPC AWS Systems Manager 内のマネージドノードへのネットワークアクセスを許可します。オプションで、VPC 外部の自己管理型ドメインコントローラーとの間でネットワークトラフィックを許可する独自のセキュリティグループを指定できます。

オプションで、VPC 外部の自己管理型ドメインコントローラーとの間でネットワークトラフィックを許可する独自のセキュリティグループを指定できます。独自のセキュリティグループを指定する場合は、以下を行う必要があります:

  • VPC CIDR 範囲と自己管理型の範囲の許可リスト。

  • これらの範囲が AWS リザーブド IP 範囲と重複しないようにする

ディレクトリ評価に関する考慮事項

ディレクトリ評価を作成する際の考慮事項と、 AWS アカウントで実行できる評価の数を次に示します:

  • ハイブリッドディレクトリを作成すると、ディレクトリ評価が自動的に作成されます。評価には、CUSTOMERSYSTEM の 2 種類があります。 AWS アカウント には、100 個の CUSTOMER ディレクトリ評価の制限があります。

  • ハイブリッドディレクトリを作成しようとして、すでに 100 個の CUSTOMER ディレクトリ評価がある場合、エラーが発生します。評価を削除して容量を解放してから、もう一度試してください。

  • CUSTOMER ディレクトリ評価クォータの引き上げをリクエストするには、既存の CUSTOMER ディレクトリ評価に連絡 サポート または削除して容量を解放します。