翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AD Connector
AD Connector は、クラウド内の情報をキャッシュせずにディレクトリリクエストをオンプレミスの Microsoft Active Directory にリダイレクトするために使用できるディレクトリゲートウェイです。AD Connector には、スモールとラージの 2 つのサイズがあります。小さな AD Connector は、小規模な組織向けに設計されており、1 秒あたり少数のオペレーション数を処理することを目的としています。大きな AD Connector は、大規模な組織向けに設計されており、1 秒あたり中程度から多数のオペレーション数を処理することを目的としています。パフォーマンスのニーズに合わせてスケーリングし、複数の AD Connector 間でアプリケーションの負荷を分散させることができます。適用されるユーザー制限や接続制限はありません。
AD Connector は Active Directory 推移的信頼をサポートしていません。AD Connector とオンプレミスの Active Directorey ドメインには 1 対 1 の関係があります。つまり、オンプレミスのドメインごとに (認証対象の Acti e Directory フォレスト内の子ドメインを含む)、一意の AD Connector を作成する必要があります。
**注記**
AD Connector を他の AWS アカウントと共有することはできません。これが要件である場合は、 AWS Managed Microsoft AD を に使用することを検討してください[AWS Managed Microsoft AD を共有する](ms_ad_directory_sharing.md)。AD Connector もマルチ VPC 対応ではないため、[WorkSpaces](https://aws.amazon.com/workspaces) などの AWS アプリケーションは AD Connector と同じ VPC にプロビジョニングする必要があります。
セットアップすると、AD Connector には次のような利点があります。
+ エンドユーザーと IT 管理者は、既存の企業認証情報を使用して WorkSpaces、WorkDocs、Amazon WorkMail などの AWS アプリケーションにログオンできます。
+ への IAM ロールベースのアクセスを通じてAmazon EC2 インスタンスや Amazon S3 バケットなどの AWS リソースを管理できます AWS マネジメントコンソール。
+ ユーザーまたは IT 管理者がオンプレミスインフラストラクチャまたは AWS クラウドのリソースにアクセスするかどうかにかかわらず、既存のセキュリティポリシー (パスワードの有効期限、パスワード履歴、アカウントロックアウトなど) を一貫して適用できます。
+ AD Connector を使用して、既存の RADIUS ベースの MFA インフラストラクチャと統合することで多要素認証を有効にし、ユーザーが AWS アプリケーションにアクセスするときに追加のセキュリティレイヤーを提供できます。
このセクションの残りのトピックでは、ディレクトリに接続する方法および AD Connector の機能を最大限に利用する方法について説明しています。
**Topics**
+ [AD Connector の開始](ad_connector_getting_started.md)
+ [AD Connector のベストプラクティス](ad_connector_best_practices.md)
+ [AD Connector ディレクトリを維持する](ad_connector_maintain.md)
+ [AD Connector ディレクトリをセキュリティで保護する](ad_connector_security.md)
+ [AD Connector ディレクトリをモニタリングする](ad_connector_monitor.md)
+ [AD Connector からの AWS アプリケーションとサービスへのアクセス](ad_connector_manage_apps_services.md)
+ [Amazon EC2 インスタンスを Active Directory に結合する方法](ad_connector_join_instance.md)
+ [AD Connector クォータ](ad_connector_limits.md)
+ [AD Connector のトラブルシューティング](ad_connector_troubleshooting.md)
# AD Connector の開始
AD Connector を使用すると、既存のエンタープライズ Active Directory Directory Service に接続できます。既存のディレクトリに接続されている場合、ドメインコントローラーにすべてのディレクトリデータが留まります。 Directory Service では、ディレクトリデータはレプリケートされません。
**Topics**
+ [AD Connector の前提条件](#prereq_connector)
+ [AD Connector を作成する](#create_ad_connector)
+ [AD Connector で作成されるもの](create_details_ad_connector.md)
## AD Connector の前提条件
AD Connector を使用して既存のディレクトリに接続するには、以下が必要です。
**Amazon VPC**
次のように VPC を設定します。
+ 少なくとも 2 つのサブネット。各サブネットはそれぞれ異なるアベイラビリティーゾーンに属し、同一のネットワークタイプである必要があります。
VPC には IPv6 を使用できます。詳細については、「*Amazon Virtual Private Cloud ユーザーガイド*」の「[VPC の IPv6 サポート](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html)」を参照してください。
+ VPC は、バーチャルプライベートネットワーク (VPN) 接続または Direct Connectを通じて既存のネットワークに接続されている必要があります。
+ VPC にはデフォルトのハードウェアテナンシーが必要です。
Directory Service は 2 つの VPC 構造を使用します。ディレクトリを構成する EC2 インスタンスは、 AWS アカウント外で実行され、 によって管理されます AWS。これらには、2 つのネットワークアダプタ (`ETH0` および `ETH1`) があります。`ETH0` は管理アダプタで、アカウント外部に存在します。`ETH1` はアカウント内で作成されます。
ディレクトリの `ETH0` ネットワークの管理 IP 範囲は、ディレクトリがデプロイされている VPC と競合しないようにするため、プログラムによって選択されます。この IP 範囲は、(ディレクトリが 2 つのサブネットで実行されるため) 次のいずれかのペアになります。
+ 10.0.1.0/24 と 10.0.2.0/24
+ 169.254.0.0/16
+ 192.168.1.0/24 と 192.168.2.0/24
`ETH1` CIDR の最初のオクテットをチェックすることで、競合を回避します。10 で始まる場合は、192.168.1.0/24 と 192.168.2.0/24 のサブネットを持つ 192.168.0.0/16 VPC を選択します。最初のオクテットが 10 以外である場合は、10.0.1.0/24 と 10.0.2.0/24 のサブネットを持つ 10.0.0.0/16 VPC を選択します。
選択アルゴリズムには、VPC 上のルートは含まれません。そのため、このシナリオから IP ルーティングの競合が発生する可能性があります。
詳細については、「*Amazon VPC ユーザーガイド*」の次のトピックを参照してください。
+ [Amazon VPC とは?](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html)
+ [VPC のサブネット](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#VPCSubnet)
+ [VPC へのハードウェア仮想プライベートゲートウェイの追加](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_VPN.html)
詳細については AWS Direct Connect、[AWS Direct Connect 「 ユーザーガイド](https://docs.aws.amazon.com/directconnect/latest/UserGuide/)」を参照してください。
**既存の Active Directory**
Active Directory ドメインを持つ既存のネットワークに接続する必要があります。
AD Connector は、[単一ラベルのドメイン](https://support.microsoft.com/en-us/help/2269810/microsoft-support-for-single-label-domains)をサポートしていません。
このActive Directoryドメインの機能レベルは `Windows Server 2003` 以上である必要があります。AD Connector は、Amazon EC2 インスタンスでホストされているドメインへの接続もサポートしています。
AD Connector は、Amazon EC2 のドメイン結合機能と併用する場合の読み取り専用ドメインコントローラー (RODC) をサポートしていません。
**サービスアカウント**
次の権限が委任されている既存のディレクトリのサービスアカウントの認証情報が必要です。
+ ユーザーおよびグループの読み取り - 必須
+ コンピュータのドメインへの結合 - シームレスなドメイン結合と WorkSpaces を使用する場合にのみ必要
+ コンピュータオブジェクトの作成 - シームレスなドメイン結合と WorkSpaces を使用する場合にのみ必要
+ サービスアカウントのパスワードは、パスワード要件に準拠 AWS している必要があります。 AWS パスワードは次のようになります。
+ 長さは 8~128 文字以内。
+ 次の 4 つのカテゴリのうち、3 つからの少なくとも 1 文字を含めます。
+ 小文字 a〜z
+ 大文字 A〜Z
+ 数字 (0〜9)
+ 英数字以外の文字(\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
詳細については、「[権限をサービスアカウントに委任する](#connect_delegate_privileges)」を参照してください。
AD Connector は、 AWS アプリケーションの認証および認可に Kerberos を使用します。LDAP は、ユーザーおよびグループオブジェクトの検索 (読み取りオペレーション) にのみ使用されます。LDAP トランザクションでは、変更可能なものはなく、認証情報はクリアテキストで渡されません。認証は、Kerberos チケットを使用して LDAP オペレーションをユーザーとして実行する AWS 内部サービスによって処理されます。
**ユーザーアクセス許可**
すべての Active Directory ユーザーは、各ユーザー独自の属性を読み取るアクセス許可を持っている必要があります。具体的には次の属性があります。
+ GivenName
+ SurName
+ Mail
+ SamAccountName
+ UserPrincipalName
+ UserAccountControl
+ MemberOf
デフォルトでは、Active Directory ユーザーには、これらの属性に対する読み取りアクセス許可があります。ただし、時間の経過に伴い管理者がこれらのアクセス許可を変更する可能性があるため、AD Connector を初めて設定する前に、ユーザーがこれらの読み取りアクセス許可を持っているかどうか確認することをお勧めします。
**IP アドレス**
既存のディレクトリの 2 つの DNS サーバーまたはドメインコントローラーの IP アドレスを取得します。
AD Connector は、ディレクトリに接続するときに `_ldap._tcp.` および `_kerberos._tcp.` SRV レコードをこれらのサーバーから取得します。そのため、これらのサーバーにはこれらの SRV レコードが含まれている必要があります。AD Connector は、LDAP と Kerberos サービスの両方を提供する共通ドメインコントローラーを見つけようとします。そのため、これらの SRV レコードには、少なくとも 1 つの共通ドメインコントローラーが含まれている必要があります。SRV レコードの詳細については、Microsoft TechNet の「[SRV Resource Records](http://technet.microsoft.com/en-us/library/cc961719.aspx)」(SRV リソースレコード) を参照してください。
**サブネット用のポート**
AD Connector で既存の Active Directory のドメインコントローラーにディレクトリリクエストをリダイレクトするには、既存のネットワークのファイアウォールで、Amazon VPC の両方のサブネットの CIDR に対して次のポートを開く必要があります。
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Kerberos 認証
+ TCP/UDP 389 - LDAP
これらは、AD Connector をディレクトリに接続する前に必要な最小限のポートです。固有の設定によっては、追加ポートが開かれていることが必要です。
AD Connector と Amazon WorkSpaces を使用する場合は、ドメインコントローラーの DisableVLVSupportLDAP 属性を 0 に設定する必要があります。これはドメインコントローラーのデフォルト設定です。DisableVLVSupportLDAP 属性が有効になっている場合、AD Connector はディレクトリ内のユーザーをクエリできません。これにより、AD Connector が Amazon WorkSpacesと連携することを防止します。
既存の Active Directory ドメインの DNS サーバーまたはドメインコントローラーサーバーが VPC 内にある場合、これらのサーバーに関連付けられたセキュリティグループでは、VPC の両方のサブネットで、CIDR に対して上記のポートが開かれている必要があります。
追加のポート要件については、Microsoft ドキュメントの「[AD と AD DS ポートの要件](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd772723(v=ws.10))」を参照してください。
**Kerberos 事前認証**
ユーザーアカウントの Kerberos 事前認証を有効にしておく必要があります。この設定を有効にする方法の詳細については、「[Kerberos の事前認証が有効化されていることを確認する](ms_ad_tutorial_setup_trust_prepare_onprem.md#tutorial_setup_trust_enable_kerberos)」を参照してください。この設定に関する一般的な情報については、Microsoft TechNet の「[事前認証](http://technet.microsoft.com/en-us/library/cc961961.aspx)」を参照してください。
**暗号化タイプ**
AD Connector は、Active Directory ドメインコントローラーへの Kerberos を介した認証時に、次のタイプの暗号化をサポートしています。
+ AES-256-HMAC
+ AES-128-HMAC
+ RC4-HMAC
### AWS IAM アイデンティティセンター 前提条件
IAM Identity Center を AD Connector で使用する場合は、次の条件が満たされていることを確認する必要があります。
+ AD Connector は AWS 、組織の管理アカウントで設定されます。
+ IAM Identity Center のインスタンスが AD Connector の設定先と同じリージョンにある。
詳細については、「 AWS IAM アイデンティティセンター ユーザーガイド」の[「IAM Identity Center の前提条件](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html)」を参照してください。
### Multi-Factor·Authentication の前提条件
AD Connector ディレクトリで Multi-Factor·Authentication をサポートするには、以下が必要です。
+ 2 つのクライアントエンドポイントを持つ、既存のネットワーク内の [Remote Authentication Dial-In User Service](https://en.wikipedia.org/wiki/RADIUS) (RADIUS) サーバー。RADIUS クライアントエンドポイントには次の要件があります。
+ エンドポイントを作成するには、 Directory Service サーバーの IP アドレスが必要です。これらの IP アドレスは、ディレクトリの詳細の **[Directory IP Address]** (ディレクトリの IP アドレス) フィールドから取得できます。
+ 2 つの RADIUS エンドポイントが同じ共有シークレットコードを使用する必要があります。
+ 既存のネットワークでは、 Directory Service サーバーからのデフォルトの RADIUS サーバーポート (1812) 経由のインバウンドトラフィックを許可する必要があります。
+ RADIUS サーバーと既存のディレクトリの間でユーザー名が同じである必要があります。
AD Connector で MFA を使用する場合の詳細については、「[AD Connector の多要素認証を有効にする](ad_connector_mfa.md)」を参照してください。
### 権限をサービスアカウントに委任する
既存のディレクトリに接続するには、特定の権限が委任されている既存のディレクトリの AD Connector サービスアカウントの認証情報が必要です。**[Domain Admins]** (ドメインの管理者) グループのメンバーにはディレクトリに接続するために十分な権限がありますが、ベストプラクティスとして、そのディレクトリへの接続に必要な最小限の権限が付与されたサービスアカウントを使用することをお勧めします。次の手順では、 という新しいグループを作成し`Connectors`、このグループへの接続に必要な権限 Directory Service を委任してから、このグループに新しいサービスアカウントを追加する方法を示します。
この手順は、ディレクトリに結合され、[**Active Directory User and Computers**] (Active Directory ユーザーとコンピュータ) MMC スナップインがインストールされたマシンで実行する必要があります。また、ドメイン管理者としてログインする必要があります。
**権限をサービスアカウントに委任するには**
1. [**Active Directory User and Computers**] (Active Directory ユーザーとコンピュータ) を開き、ナビゲーションツリーのドメインルートを選択します。
1. 左のペインのリストで、**[Users]** (ユーザー) を右クリックし、**[New]** (新規) を選択して、**[Group]** (グループ) を選択します。
1. **[New Object - Group]** (新しいオブジェクト - グループ) ダイアログボックスで次のように入力し、**[OK]** をクリックします。
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/ad_connector_getting_started.html)
1. **[Active Directory ユーザーとコンピュータ]** のナビゲーションツリーで、コンピュータアカウントが作成される組織単位 (OU) を指定します。メニューで **[Action]** (アクション) を選択し、**[Delegate Control]** (制御を委任する) を選択します。子 OU に伝達されるアクセス権限として、ドメインまでの親 OU を選択できます。AD Connector が AWS Managed Microsoft AD に接続されている場合、ドメインルートレベルで制御を委任することはできません。この場合、制御を委任するには、コンピュータオブジェクトが作成されるディレクトリ OU で OU を選択します。
1. **[Delegation of Control Wizard]** (制御の委任ウィザード) ページで **[Next]** (次へ) をクリックし、**[Add]** (追加) をクリックします。
1. **[Select Users, Computers, or Groups]** (ユーザー、コンピュータ、またはグループの選択) ダイアログボックスで「`Connectors`」と入力し、**[OK]** をクリックします。複数のオブジェクトがある場合は、上記で作成した `Connectors` グループを選択します。**[Next]** (次へ) をクリックします。
1. **[Tasks to Delegate]** (委任するためのタスク) ページで、**[Create a custom task to delegate]** (委任するためのカスタムタスクを作成) を選択し、**[Next]** (次へ) をクリックします。
1. **[Only the following objects in the folder]** (フォルダ内の次のオブジェクトのみ) を選択してから、**[Computer objects]** (コンピュータオブジェクト) と **[User objects]** (ユーザーオブジェクト) を選択します。
1. **[Create selected objects in this folder]** (選択したオブジェクトをこのフォルダに作成) を選択し、**[Delete selected objects in this folder]** (このフォルダ内の選択したオブジェクトを削除) を選択します。続いて、**[Next]** (次へ) をクリックします。
![\[制御の委任ウィザード-[フォルダ内の次のオブジェクト]、[ユーザーオブジェクト]、[このフォルダ内の選択したオブジェクトの作成]、[このフォルダ内の選択したオブジェクトの削除] オプションのみが選択されます。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/aduc_delegate_join_linux.png)
1. **[Read]** (読み取り) を選択し、**[Next]** (次へ) をクリックします。
**注記**
シームレスなドメイン結合または WorkSpaces を使用する場合は、Active Directory がコンピュータオブジェクトを作成できるように、**[Write]** (書き込み) アクセス許可も有効にする必要があります。
![\[制御の委任ウィザード-[表示] で、[一般]、[プロパティ固有]、および [読み取り] を選択します。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/aduc_delegate_join_permissions.png)
1. **[Completing the Delegation of Control Wizard]** (制御の委任の完了ウィザード) ページの情報を確認し、**[Finish]** (完了) をクリックします。
1. 強力なパスワードでユーザーアカウントを作成し、そのユーザーを `Connectors` グループに追加します。このユーザーは AD Connector サービスアカウントと呼ばれ、グループのメンバーになったため、 ディレクトリ Directory Service に接続するための十分な権限が付与される`Connectors`ようになりました。
### AD Connector をテストする
AD Connector で既存のディレクトリに接続するには、既存のネットワークのファイアウォールで VPC の両方のサブネットの CIDR に対して特定のポートが開かれている必要があります。これらの要件が満たされるかどうかをテストするには、次の手順に従います。
**接続をテストするには**
1. VPC で Windows インスタンスを起動し、RDP 経由でインスタンスに接続します。インスタンスは、既存のドメインのメンバーである必要があります。残りの手順は、この VPC インスタンスで実行します。
1. [DirectoryServicePortTest](samples/DirectoryServicePortTest.zip) テストアプリケーションをダウンロードして解凍します。ソースコードと Visual Studio プロジェクトファイルが含まれており、必要に応じてテストアプリケーションを変更できます。
**注記**
このスクリプトは Windows Server 2003 以前のオペレーティングシステムではサポートされていません。
1. Windows のコマンドプロンプトで、次のオプションを指定して **DirectoryServicePortTest** テストアプリケーションを実行します。
**注記**
DirectoryServicePortTest テストアプリケーションは、ドメインおよびフォレストの機能レベルが Windows Server 2012 R2 以下に設定されている場合にのみ使用できます。
```
DirectoryServicePortTest.exe -d -ip -tcp "53,88,389" -udp "53,88,389"
```
**
完全修飾ドメイン名。これは、フォレストとドメインの機能レベルをテストするために使用されます。ドメイン名を除外した場合、機能レベルはテストされません。
**
既存のドメインのドメインコントローラーの IP アドレス。ポートはこの IP アドレスに対してテストされます。IP アドレスを除外した場合、ポートはテストされません。
このテストアプリケーションは、VPC からドメインに必要なポートが開いているかどうかを判断し、最小のフォレストとドメインの機能レベルも検証します。
出力は次のようになります。
```
Testing forest functional level.
Forest Functional Level = Windows2008R2Forest : PASSED
Testing domain functional level.
Domain Functional Level = Windows2008R2Domain : PASSED
Testing required TCP ports to :
Checking TCP port 53: PASSED
Checking TCP port 88: PASSED
Checking TCP port 389: PASSED
Testing required UDP ports to :
Checking UDP port 53: PASSED
Checking UDP port 88: PASSED
Checking UDP port 389: PASSED
```
**DirectoryServicePortTest** アプリケーションのソースコードは次のとおりです。
```
using System;
using System.Collections.Generic;
using System.IO;
using System.Linq;
using System.Net;
using System.Net.Sockets;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices.ActiveDirectory;
using System.Threading;
using System.DirectoryServices.AccountManagement;
using System.DirectoryServices;
using System.Security.Authentication;
using System.Security.AccessControl;
using System.Security.Principal;
namespace DirectoryServicePortTest
{
class Program
{
private static List _tcpPorts;
private static List _udpPorts;
private static string _domain = "";
private static IPAddress _ipAddr = null;
static void Main(string[] args)
{
if (ParseArgs(args))
{
try
{
if (_domain.Length > 0)
{
try
{
TestForestFunctionalLevel();
TestDomainFunctionalLevel();
}
catch (ActiveDirectoryObjectNotFoundException)
{
Console.WriteLine("The domain {0} could not be found.\n", _domain);
}
}
if (null != _ipAddr)
{
if (_tcpPorts.Count > 0)
{
TestTcpPorts(_tcpPorts);
}
if (_udpPorts.Count > 0)
{
TestUdpPorts(_udpPorts);
}
}
}
catch (AuthenticationException ex)
{
Console.WriteLine(ex.Message);
}
}
else
{
PrintUsage();
}
Console.Write("Press to continue.");
Console.ReadLine();
}
static void PrintUsage()
{
string currentApp = Path.GetFileName(System.Reflection.Assembly.GetExecutingAssembly().Location);
Console.WriteLine("Usage: {0} \n-d \n-ip \"\" \n[-tcp \",,etc\"] \n[-udp \",,etc\"]", currentApp);
}
static bool ParseArgs(string[] args)
{
bool fReturn = false;
string ipAddress = "";
try
{
_tcpPorts = new List();
_udpPorts = new List();
for (int i = 0; i < args.Length; i++)
{
string arg = args[i];
if ("-tcp" == arg | "/tcp" == arg)
{
i++;
string portList = args[i];
_tcpPorts = ParsePortList(portList);
}
if ("-udp" == arg | "/udp" == arg)
{
i++;
string portList = args[i];
_udpPorts = ParsePortList(portList);
}
if ("-d" == arg | "/d" == arg)
{
i++;
_domain = args[i];
}
if ("-ip" == arg | "/ip" == arg)
{
i++;
ipAddress = args[i];
}
}
}
catch (ArgumentOutOfRangeException)
{
return false;
}
if (_domain.Length > 0 || ipAddress.Length > 0)
{
fReturn = true;
}
if (ipAddress.Length > 0)
{
_ipAddr = IPAddress.Parse(ipAddress);
}
return fReturn;
}
static List ParsePortList(string portList)
{
List ports = new List();
char[] separators = {',', ';', ':'};
string[] portStrings = portList.Split(separators);
foreach (string portString in portStrings)
{
try
{
ports.Add(Convert.ToInt32(portString));
}
catch (FormatException)
{
}
}
return ports;
}
static void TestForestFunctionalLevel()
{
Console.WriteLine("Testing forest functional level.");
DirectoryContext dirContext = new DirectoryContext(DirectoryContextType.Forest, _domain, null, null);
Forest forestContext = Forest.GetForest(dirContext);
Console.Write("Forest Functional Level = {0} : ", forestContext.ForestMode);
if (forestContext.ForestMode >= ForestMode.Windows2003Forest)
{
Console.WriteLine("PASSED");
}
else
{
Console.WriteLine("FAILED");
}
Console.WriteLine();
}
static void TestDomainFunctionalLevel()
{
Console.WriteLine("Testing domain functional level.");
DirectoryContext dirContext = new DirectoryContext(DirectoryContextType.Domain, _domain, null, null);
Domain domainObject = Domain.GetDomain(dirContext);
Console.Write("Domain Functional Level = {0} : ", domainObject.DomainMode);
if (domainObject.DomainMode >= DomainMode.Windows2003Domain)
{
Console.WriteLine("PASSED");
}
else
{
Console.WriteLine("FAILED");
}
Console.WriteLine();
}
static List TestTcpPorts(List portList)
{
Console.WriteLine("Testing TCP ports to {0}:", _ipAddr.ToString());
List failedPorts = new List();
foreach (int port in portList)
{
Console.Write("Checking TCP port {0}: ", port);
TcpClient tcpClient = new TcpClient();
try
{
tcpClient.Connect(_ipAddr, port);
tcpClient.Close();
Console.WriteLine("PASSED");
}
catch (SocketException)
{
failedPorts.Add(port);
Console.WriteLine("FAILED");
}
}
Console.WriteLine();
return failedPorts;
}
static List TestUdpPorts(List portList)
{
Console.WriteLine("Testing UDP ports to {0}:", _ipAddr.ToString());
List failedPorts = new List();
foreach (int port in portList)
{
Console.Write("Checking UDP port {0}: ", port);
UdpClient udpClient = new UdpClient();
try
{
udpClient.Connect(_ipAddr, port);
udpClient.Close();
Console.WriteLine("PASSED");
}
catch (SocketException)
{
failedPorts.Add(port);
Console.WriteLine("FAILED");
}
}
Console.WriteLine();
return failedPorts;
}
}
}
```
## AD Connector を作成する
既存のディレクトリを AD Connector に接続するには、次の手順を実行します。この手順を開始する前に、[AD Connector の前提条件](#prereq_connector) で定義されている前提条件を満たしていることを確認します。
**注記**
Cloud Formation テンプレートを使用して AD Connector を作成することはできません。
**AD Connector に接続するには**
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ)、**[Set up directory]** (ディレクトリの設定) の順に選択します。
1. **[Select directory type]** (ディレクトリタイプの選択) ページで **[AD Connector]** を選択してから、**[Next]** (次へ) をクリックします。
1. **[Enter AD Connector information]** (AD Connector 情報の入力) ページで、次の情報を指定します。
**[Directory size]** (ディレクトリのサイズ)
**[Small]** (スモール) または **[Large]** (ラージ) サイズオプションのどちらかを選択します。サイズの詳細については、「[AD Connector](directory_ad_connector.md)」を参照してください。
**[Directory description]** (ディレクトリの説明)
必要に応じて、ディレクトリの説明。
1. **[Choose VPC and subnets]** (VPC とサブネットの選択) ページで、次の情報を指定して **[Next]** (次へ) をクリックします。
**[VPC]**
ディレクトリ用の VPC。
**[Subnets]** (サブネット)
ドメインコントローラーのサブネットを選択します。2 つのサブネットは、異なるアベイラビリティーゾーンに存在している必要があります。
1. **[Connect to AD]** (AD への接続) ページで、次の情報を指定します。
**[Directory DNS name]** (ディレクトリの DNS 名)
既存のディレクトリの完全修飾名 (例: `corp.example.com`)。
**[Directory NetBIOS name]** (ディレクトリの NetBIOS 名)
既存のディレクトリの短縮名 (例: `CORP`)。
**[DNS IP addresses]** (DNS IP アドレス)
既存のディレクトリ内の少なくとも 1 つの DNS サーバーの IP アドレス。これらのサーバーは、ステップ 4 で指定する各サブネットからアクセスできる必要があります。これらのサーバーは AWS、指定されたサブネットと DNS サーバーの IP アドレスの間にネットワーク接続がある限り、 の外部に配置することができます。
**[Service account username]** (サービスアカウントのユーザー名)
既存のディレクトリのユーザーのユーザー名。このアカウントの詳細については、「[AD Connector の前提条件](#prereq_connector)」を参照してください。
**[Service account password]** (サービスアカウントのパスワード)
既存のユーザーアカウントのパスワード。このパスワードは大文字と小文字が区別され、8 文字以上 128 文字以下の長さにする必要があります。また、次の 4 つのカテゴリうち 3 つから少なくとも 1 文字を含める必要があります。
+ 小文字 (a〜z)
+ 大文字 A〜Z
+ 数字 (0〜9)
+ アルファベットと数字以外の文字 (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
**[Confirm password]** (パスワードを確認)
既存のユーザーアカウントのパスワードを再入力します。
1. **[Review & create]** (確認と作成) ページでディレクトリ情報を確認し、必要に応じて変更を加えます。情報が正しい場合は、**[Create directory]** (ディレクトリの作成) を選択します。ディレクトリが作成されるまで、数分かかります。作成が完了すると、**[Status]** (ステータス) 値が **[Active]** (アクティブ) に変わります。
AD Connector で作成される内容の詳細については、「[AD Connector で作成されるもの](create_details_ad_connector.md)」を参照してください。
# AD Connector で作成されるもの
AD Connector を作成すると、 は Elastic Network Interface (ENI) Directory Service を自動的に作成し、各 AD Connector インスタンスに関連付けます。これらの各 ENIs は VPC と Directory Service AD Connector 間の接続に不可欠であり、削除しないでください。で使用するために予約されているすべてのネットワークインターフェイスは、「ディレクトリ *directory-id* 用にAWS 作成されたネットワークインターフェイス」という説明 Directory Service で識別できます。詳細については、Amazon EC2 ユーザーガイドの「[Elastic Network Interface](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)」を参照してください。
**注記**
AD Connector インスタンスは、デフォルトでリージョン内の 2 つのアベイラビリティーゾーンにデプロイされ、Amazon Virtual Private Cloud (VPC) に接続されます。失敗した AD Connector インスタンスは、同じ IP アドレスを使用して同じアベイラビリティーゾーンで自動的に置き換えられます。
AD Connector (AWS IAM アイデンティティセンター 付属) と統合された AWS アプリケーションまたはサービスにサインインすると、アプリケーションまたはサービスは認証リクエストを AD Connector に転送し、AD Connector はセルフマネージド Active Directory のドメインコントローラーに認証のためにリクエストを転送します。自己管理型 AD への認証が成功すると、Active Directory AD Connector はアプリケーションまたはサービスに認証トークンを返します (Kerberos トークンと同様)。この時点で、 AWS アプリまたはサービスにアクセスできるようになりました。
# AD Connector のベストプラクティス
問題を回避し、AD Connector を最大限に活用するために考慮すべき推奨事項とガイドラインを次に示します。
## セットアップ: 前提条件
ディレクトリを作成する前に、これらのガイドラインを考慮してください。
### ディレクトリタイプが正しいことを確認する
Directory Service には、他の AWS のサービスMicrosoft Active Directoryで使用する複数の方法があります。予算に合わせたコストで必要な機能を備えた、ディレクトリサービスを次のように選択できます。
+ **AWS Directory Service for Microsoft Active Directory** は、 AWS クラウド上でMicrosoft Active Directoryホストされる機能豊富なマネージド型です。 AWS マネージド Microsoft AD は、5,000 人を超えるユーザーがあり、ホストディレクトリとオンプレミスディレクトリの間に AWS 信頼関係を設定する必要がある場合に最適です。
+ **AD Connector** は、既存のオンプレミス Active Directory を接続するだけです AWS。AD Connector は、 AWS のサービスで既存のオンプレミスのディレクトリを使用する場合に最適な選択です。
+ **Simple AD** は、基本的な Active Directory 互換性を持つ低スケール、低コストのディレクトリです。5,000 人以下のユーザー、Samba 4 互換アプリケーション、LDAP 対応アプリケーションの LDAP 互換性をサポートします。
Directory Service オプションの詳細については、「」を参照してください[オプションの選択](what_is.md#choosing_an_option)。
### VPC とインスタンスが正しく設定されていることを確認する
ディレクトリに接続して、管理および使用するためには、ディレクトリが関連付けられている VPC を適切に設定する必要があります。VPC セキュリティおよびネットワーク要件の詳細については、「[AWS Managed Microsoft AD を作成するための前提条件](ms_ad_getting_started.md#ms_ad_getting_started_prereqs)」、「[AD Connector の前提条件](ad_connector_getting_started.md#prereq_connector)」、「[Simple AD の前提条件](simple_ad_getting_started.md#prereq_simple)」のいずれかを参照してください。
ドメインにインスタンスを追加する場合は、「[Amazon EC2 インスタンスを AWS Managed Microsoft AD に結合する方法](ms_ad_join_instance.md)」に説明されているように、インスタンスへの接続およびリモートアクセスがあることを確認します。
### 制限を理解する
特定のディレクトリタイプのさまざまな制限について説明します。ディレクトリに保存できるオブジェクトの数については、使用可能なストレージとオブジェクトの集約サイズのみに制限があります。選択したディレクトリに関する詳細については、「[AWS Managed Microsoft AD クォータ](ms_ad_limits.md)」、「[AD Connector クォータ](ad_connector_limits.md)」、「[Simple AD のクォータ](simple_ad_limits.md)」のいずれかを参照してください。
### ディレクトリ AWS のセキュリティグループの設定と使用を理解する
AWS は[セキュリティグループ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule)を作成し、ピア接続またはサイズ変更された VPC 内からアクセスできるディレクトリの [Elastic Network Interface](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) にアタッチします。 は、ディレクトリへの不要なトラフィックをブロックし、必要なトラフィックを許可するようにセキュリティグループ AWS を設定します。 [VPCs](https://aws.amazon.com/vpc/)
#### ディレクトリのセキュリティグループを変更する
セキュリティグループのディレクトリのセキュリティ変更は、必要に応じて行うことができます。このような変更を行うのは、セキュリティグループのフィルタリング機能を完全に理解している場合に限ります。詳細については、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 security groups for Linux instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)」(Linux インスタンス用の Amazon EC2 セキュリティグループ) を参照してください。不適切な変更を行うと、目的のコンピュータやインスタンスとの通信が失われる可能性があります。 ディレクトリのセキュリティが低下するため、ディレクトリに追加のポートを開こうとしない AWS ことをお勧めします。「[AWS 責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)」をよくお読みください。
**警告**
技術的には、ディレクトリのセキュリティグループを、ユーザー作成した他の EC2 インスタンスと関連付けることができます。ただし、 はこのプラクティスに反対 AWS することをお勧めします。 AWS には、マネージドディレクトリの機能またはセキュリティのニーズに対応するために、予告なしにセキュリティグループを変更する理由がある場合があります。このような変更は、ディレクトリのセキュリティグループを関連付けるすべてのインスタンスに影響を及ぼすため、関連付けられたインスタンスのオペレーションが中断する場合があります。さらに、ディレクトリのセキュリティグループを EC2 インスタンスに関連付けると、EC2 インスタンスのセキュリティリスクが生じる可能性があります。
### AD Connector を使用するときのオンプレミスのサイトとサブネットを正しく設定する
オンプレミスのネットワークに Active Directory のサイトが定義されている場合、AD Connector が存在する VPC 内のサブネットが Active Directory のサイトで定義されていること、および VPC 内のサブネットとその他のサイトのサブネットの間に競合が存在しないことを確認する必要があります。
ドメインコントローラーを検出するために、AD Connector はサブネット IP アドレス範囲が AD Connector を含む VPC 内の IP アドレス範囲に近い Active Directory のサイトを使用します。VPC 内の IP アドレス範囲と同じ IP アドレス範囲のサブネットを持つサイトがある場合、AD Connector はそのサイトのドメインコントローラーを検出します。これは物理的にユーザーのリージョンに近くない可能性があります。
### AWS アプリケーションのユーザー名制限を理解する
Directory Service では、ユーザー名の構築に使用できるほとんどの文字形式がサポートされています。ただし、WorkSpaces、WorkDocs、Amazon WorkMail、Quick などの AWS アプリケーションへのサインインに使用されるユーザー名には文字制限があります。これらの制限により、以下の文字は使用できません。
+ スペース
+ マルチバイト文字
+ \$1"\$1\$1%&'()\$1\$1,/:;<=>?@[\$1]^`\$1\$1\$1\$1
**注記**
@ 記号は、UPN サフィックスが後に続く場合に限り、使用できます。
## アプリケーションをプログラミングする
アプリケーションをプログラミングする前に、以下の点を考慮してください。
### 本番稼働用環境にロールアウトする前の負荷テスト
本番稼働用環境のワークロードを表すアプリケーションとリクエストを使用してラボテストを行い、ディレクトリがアプリケーションの負荷に合わせてスケーリングされることを確認します。追加のキャパシティーが必要な場合は、複数の AD Connector ディレクトリに負荷を分散します。
## ディレクトリを使用する
ここでは、ディレクトリを使用する場合に、留意すべき推奨事項をいくつか示します。
### 管理者の認証情報を定期的にローテーションする
AD Connector サービスアカウントの管理者パスワードは定期的に変更し、パスワードが既存の Active Directory パスワードポリシーに準拠していることを確認します。サービスアカウントのパスワードを変更する手順については、「[での AD Connector サービスアカウントの認証情報の更新 AWS マネジメントコンソール](ad_connector_update_creds.md)」を参照してください。
### 各ドメインの一意の AD Connector を使用する
AD Connector とオンプレミスの AD ドメインには 1 対 1 の関係があります。つまり、オンプレミスのドメインごとに (認証対象の AD フォレスト内の子ドメインを含む)、一意の AD Connector を作成する必要があります。作成する各 AD Connector は、同じディレクトリに接続されていても、別のサービスアカウントを使用する必要があります。
### 互換性を確認する
AD Connector を使用する場合は、オンプレミスディレクトリが と互換性があり、引き続き互換性があることを確認する必要があります Directory Service。お客様の責任の詳細については、「[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model)」を参照してください。
# AD Connector ディレクトリを維持する
を使用して AD Connector AWS マネジメントコンソール を維持し、day-to-day管理タスクを完了できます。ディレクトリを維持する方法は次のとおりです:
+ 「[AD Connector に関する詳細情報を表示する](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_view_directory_info.html)」。
+ 「[AD Connector の DNS アドレスを更新する](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_update_dns.html)」(その指定先)。
+ 不要になる場合に、「[AD Connector を削除する](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_delete.html)」。
# AD Connector ディレクトリ情報の表示
**詳細なディレクトリ情報を表示するには**
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/) のナビゲーションペインの **[Active Directory]** で、**[Directories]** (ディレクトリ) を選択します。
1. ディレクトリのディレクトリ ID リンクを選択します。ディレクトリに関する情報は、**[Directory details]** (ディレクトリの詳細) ページに表示されます。
**[Status]** (ステータス) フィールドの詳細については、「[ディレクトリのステータスを把握する](ad_connector_directory_status.md)」を参照してください。
# ディレクトリネットワークタイプの更新
Directory Service ディレクトリのネットワークタイプを IPv4 からデュアルスタック (IPv4 および IPv6) に更新できます。IPv6 IP アドレスを含めるようにネットワークタイプを更新すると、IPv4 よりも大きなアドレス空間が提供されます。IPv4 と IPv6 は、互いに独立して通信されます。
詳細については、「*Amazon Virtual Private Cloud ユーザーガイド*」の「[IPv4 と IPv6 を比較する](https://docs.aws.amazon.com/vpc/latest/userguide/ipv4-ipv6-comparison.html)」を参照してください。
**重要**
これは、元に戻すことができない一方向操作です。最初に本番稼働用環境以外でテストします。
## 前提条件
ディレクトリネットワークタイプを更新する前に、次の要件が満たされていることを確認してください。
+ VPC には IPv6 CIDR 範囲を設定する必要があります。詳細な手順については、「*Amazon Virtual Private Cloud ユーザーガイド*」の「[VPC の IPv6 サポート](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html)」を参照してください。
+ AWS マネジメントコンソールへの管理者アクセス権が必要です。
+ ディレクトリはアクティブ状態である必要があります。
+ Directory Service 設定を変更するための適切な IAM アクセス許可があります。
## ディレクトリネットワークタイプを更新するには
**ディレクトリをデュアルスタックネットワークに更新するには**
**注記**
ディレクトリが複数のリージョンにレプリケートされている場合は、各リージョンでこの更新を実行します。
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**ディレクトリ**を選択します。
1. ターゲットディレクトリを選択します。
1. **[ネットワークとセキュリティ]** タブに移動します。
1. **[IPv6 サポートを追加]** を選択します。このオプションは、IPv4-only ディレクトリでのみ使用できます。
1. 更新情報と料金の詳細を確認します。
1. **[追加]** を選択して更新を確認します。
更新を開始すると、ディレクトリのステータスは更新プロセス中に **[更新中]** に変わります。更新が完了するまでに通常 15~30 分かかります。完了すると、ディレクトリのステータスは **[アクティブ]** に戻ります。
# AD Connector の DNS アドレスを更新する
AD Connector が指している DNS アドレスを更新するには、次の手順を実行します。
**注記**
更新が進行中の場合は、この更新が完了してから別の更新を行う必要があります。
AD Connector で WorkSpaces を使用している場合は、WorkSpace の DNS アドレスも更新されていることを確認してください。詳細については、「[Amazon WorkSpaces の DNS サーバーの更新](https://docs.aws.amazon.com/workspaces/latest/adminguide/update-dns-server.html)」を参照してください。
**AD Connector の DNS 設定を更新するには**
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/) のナビゲーションペインの **[Active Directory]** で、**[Directories]** を選択します。
1. ディレクトリのディレクトリ ID リンクを選択します。
1. **[ディレクトリの詳細]** ページで、**[ネットワークとセキュリティ]** タブを選択します。
1. **[既存の DNS 設定]** セクションで **[更新]** をクリックします。
1. **[Update existing DNS addresses]** (既存の DNS アドレスの更新) ダイアログで、更新された DNS IP アドレスを入力し、**[Update]** (更新) をクリックします。
AD Connectorのトラブルシューティングの詳細については、「[AD Connector のトラブルシューティング](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_troubleshooting.html)」を参照してください。
# AD Connector を削除する
AD Connector を削除してもオンプレミスのディレクトリはそのまま残ります。ディレクトリに結合されているインスタンスもすべてそのまま残り、オンプレミスのディレクトリに結合された状態のまま変わりません。引き続き、ディレクトリの認証情報を使用して、このインスタンスにログインできます。
**AD Connector を削除するには**
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) をクリックします。AD Connector がデプロイされている AWS リージョン にいることを確認します。詳細については、「[リージョンの選択](https://docs.aws.amazon.com//awsconsolehelpdocs/latest/gsg/select-region.html)」を参照してください。
1. 削除する AD Connector に対して AWS アプリケーションが有効になっていないことを確認します。 AWS アプリケーションを有効にすると、AD Connector を削除できなくなります。
1. **[Directories]** (ディレクトリ) ページで、ディレクトリ ID を選択します。
1. **[Directory details]** (ディレクトリの詳細) ページで、**[Application management]** (アプリケーション管理) タブを選択します。**AWS アプリケーションとサービス**セクションには、AD Connector で有効になっている AWS アプリケーションが表示されます。
+ AWS マネジメントコンソール アクセスを無効にします。詳細については、「[AWS マネジメントコンソール アクセスの無効化](ms_ad_management_console_access.md#console_disable)」を参照してください。
+ Amazon WorkSpaces を無効にするには、WorkSpaces コンソールでディレクトリからサービスを登録解除する必要があります。詳細については、Amazon WorkSpaces 管理ガイドの「[ディレクトリの削除](https://docs.aws.amazon.com/workspaces/latest/adminguide/delete-workspaces-directory.html)」を参照してください。**
+ WorkDocs を無効にするには、WorkDocs コンソールで WorkDocs サイトを削除する必要があります。詳細については、「*Amazon WorkDocs Administration Guide*」(Amazon WorkDocs 管理ガイド) の「[Delete a site](https://docs.aws.amazon.com/workdocs/latest/adminguide/delete_site.html)」(サイトを削除する) を参照してください。
+ Amazon WorkMail を無効にするには、Amazon WorkMail コンソールで Amazon WorkMail 組織を削除する必要があります。詳細については、「*Amazon WorkMail Administrator Guide*」(Amazon WorkMail 管理者ガイド) の「[Remove an organization](https://docs.aws.amazon.com/workmail/latest/adminguide/remove_organization.html)」(組織を削除する) を参照してください。
+ Amazon FSx for Windows File Server を無効にするには、ドメインから Amazon FSx ファイルシステムを削除する必要があります。詳細については、「*Amazon FSx for Windows File Server ユーザーガイド*」の「[FSx for Windows File Server での Microsoft Active Directory での作業](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/aws-ad-integration-fsxW.html)」を参照してください。
+ Amazon Relational Database Service を無効にするには、ドメインから Amazon RDS インスタンスを削除する必要があります。詳細については、「[Amazon RDS ユーザーガイド](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_SQLServerWinAuth.html#USER_SQLServerWinAuth.Managing)」の「*ドメインの DB インスタンスの管理*」を参照してください。
+ AWS Client VPN サービスを無効にするには、クライアント VPN エンドポイントからディレクトリサービスを削除する必要があります。詳細については、「AWS Client VPN 管理者ガイド」の「[Work with Client VPN](https://docs.aws.amazon.com//vpn/latest/clientvpn-admin/cvpn-working.html)」を参照してください。**
+ Amazon Connect を無効にするには、Amazon Connect インスタンスを削除する必要があります。詳細については、「Amazon Connect 管理者ガイド」の「[Delete your Amazon Connect instance](https://docs.aws.amazon.com/connect/latest/adminguide/delete-connect-instance.html)」を参照してください。**
+ Amazon Quick を無効にするには、Amazon Quick のサブスクリプションを解除する必要があります。詳細については、*「Amazon クイックユーザーガイド*」の[Amazon Quick 「アカウントの閉鎖](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html)」を参照してください。
**注記**
を使用していて AWS IAM アイデンティティセンター 、以前に削除予定の AWS Managed Microsoft AD ディレクトリに接続したことがある場合は、削除する前に ID ソースを変更する必要があります。詳細については、「*IAM Identity Center User Guide*」の「[Change your identity source](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-change.html)」を参照してください。
1. ナビゲーションペインで **[ディレクトリ]** を選択します。
1. 削除するディレクトリを選択し、**[削除]** をクリックします。AD Connector が削除されるまでに数分かかります。AD Connector を削除すると、ディレクトリリストからも削除されます。
# AD Connector ディレクトリをセキュリティで保護する
多要素認証 (MFA)、Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS) を介したクライアント側の Lightweight Directory Access Protocol、AD Connector AWS Private Certificate Authority の保護などの機能を使用できます。AD Connector を保護する方法は次のとおりです:
+ MFA を有効にすると、AD Connector のセキュリティが向上します。
+ Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS) でクライアント側の Lightweight ディレクトリアクセスプロトコルを有効にすると、LDAP 経由の通信が暗号化され、セキュリティが向上します。
+ スマートカードを使用して証明書に基づく相互トランスポートレイヤーセキュリティ (mTLS) 認証を有効にします。これにより、ユーザーは Active Directory と AD Connector を使用して Amazon Web Services に認証できます。
+ AD Connector サービスアカウントの認証情報を更新します。
+ AD AWS Private CA Connector for AD をセットアップして、AD Connector の証明書を発行および管理できるようにします。
**Topics**
+ [AD Connector の多要素認証を有効にする](ad_connector_mfa.md)
+ [AD Connector を使用してクライアント側の LDAPS を有効にする](ad_connector_ldap_client_side.md)
+ [認証にスマートカードを使用できるように、AD Connector で mTLS 認証を有効化する](ad_connector_clientauth.md)
+ [での AD Connector サービスアカウントの認証情報の更新 AWS マネジメントコンソール](ad_connector_update_creds.md)
+ [AWS Private CA Connector for AD をセットアップする](ad_connector_pca_connector.md)
# AD Connector の多要素認証を有効にする
オンプレミスまたは Amazon EC2 インスタンスで Active Directory を実行している場合は、AD Connector の多要素認証を有効にすることができます。での多要素認証の使用の詳細については Directory Service、「」を参照してください[AD Connector の前提条件](ad_connector_getting_started.md#prereq_connector)。
**注記**
Multi-Factor·Authentication は、Simple AD では使用できません。ただし、MFA は AWS Managed Microsoft AD ディレクトリで有効にできます。詳細については、「[AWS Managed Microsoft AD の多要素認証の有効化](ms_ad_mfa.md)」を参照してください。
**AD Connector のMulti-Factor Authenticationを有効にするには**
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) をクリックします。
1. AD Connector ディレクトリのディレクトリ ID リンクをクリックします。
1. **[Directory details]** (ディレクトリの詳細) ページで、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。
1. **[Multi-factor authentication]** セクションで、**[Actions]** (アクション)、**[Enable]** (有効化) の順に選択します。
1. **[Enable multi-factor authentication (MFA)]** (Multi-Factor·Authentication (MFA) の有効化) ページで、次の値を指定します。
**[Display label]** (表示ラベル)
ラベル名を指定します。
**[RADIUS server DNS name or IP addresses]** (RADIUS サーバーの DNS 名または IP アドレス)
RADIUS サーバーエンドポイントの IP アドレス、または、RADIUS サーバーロードバランサーの IP アドレス。カンマで区切って、複数の IP アドレスを入力できます (例えば、`192.0.0.0,192.0.0.12`)。
RADIUS MFA は、 へのアクセス、または WorkSpaces AWS マネジメントコンソール、Amazon Quick、Amazon Chime などの Amazon Enterprise アプリケーションやサービスへのアクセスを認証する場合にのみ適用されます。EC2 インスタンスで実行されている Windows ワークロード、または EC2 インスタンスにサインインするための MFA は提供されません。 Directory Service は RADIUS チャレンジ/レスポンス認証をサポートしていません。
ユーザーは、ユーザー名とパスワードを入力するときに、MFA コードを持っている必要があります。または、ユーザーの SMS テキストの検証など、MFA 帯域外を実行するソリューションを使用する必要があります。帯域外 MFA ソリューションでは、ソリューションに合わせて RADIUS タイムアウト値を適切に設定する必要があります。帯域外 MFA ソリューションを使用している場合、ユーザーはサインインページで MFA コードの入力を求められます。この場合は、ベストプラクティスとして、ユーザーはパスワードフィールドと MFA フィールドの両方に自分のパスワードを入力することをお勧めします。
**[Port]** (ポート)
RADIUS サーバーが通信のために使用しているポート。オンプレミスネットワークでは、 Directory Service サーバーからのデフォルトの RADIUS サーバーポート (UDP:1812) 経由のインバウンドトラフィックを許可する必要があります。
**[Shared secret code]** (共有シークレットコード)
RADIUS エンドポイントの作成時に指定された共有シークレットコード。
**[Confirm shared secret code]** (共有シークレットコードの確認)
RADIUS エンドポイントの共有シークレットコードを確認します。
**[Protocol]** (プロトコル)
RADIUS エンドポイントの作成時に指定されたプロトコルを選択します。
**[Server timeout (in seconds)]** (サーバータイムアウト (秒単位))
RADIUS サーバーのレスポンスを待つ時間 (秒)。これは 1~50 の範囲の値にする必要があります。
**[Max RADIUS request retries]** (RADIUS リクエストの最大再試行数)
RADIUS サーバーとの通信を試みる回数。これは 0~10 の範囲の値にする必要があります。
Multi-Factor·Authentication は、**[RADIUS Status]** (RADIUS 状態) が **[Enabled]** (有効) に変わると使用できます。
1. **[Enable]** (有効化) を選択します。
# AD Connector を使用してクライアント側の LDAPS を有効にする
AD Connector でのクライアント側の LDAPS サポートは、MicrosoftActive Directory (AD) と AWS アプリケーション間の通信を暗号化します。このようなアプリケーションの例には、WorkSpaces AWS IAM アイデンティティセンター、、Quick、Amazon Chime などがあります。この暗号化により、組織の ID データの保護を強化し、セキュリティ要件を満たすことができます。
クライアント側の LDAPS の登録を解除したり、無効にしたりすることもできます。
**Topics**
+ [前提条件](#prereqs-ldap-client-side)
+ [クライアント側の LDAPS の有効化](#enable-ldap-client-side)
+ [クライアント側の LDAPS を管理する](manage-ldap-client-side.md)
## 前提条件
クライアント側 LDAPS を有効にする前に、次の要件を満たす必要があります。
**Topics**
+ [Active Directory にサーバー証明書をデプロイする](#deploy_server_certs_ldap_client_side)
+ [CA 証明書の要件](#cert_requirements_ldap_client_side)
+ [ネットワーク要件](#networking_requirements_ldap_client_side)
### Active Directory にサーバー証明書をデプロイする
クライアント側の LDAPS を有効にするには、Active Directory 内のドメインコントローラーごとに、サーバー証明書を取得しインストールする必要があります。これらの証明書は、LDAP サービスが LDAP クライアントからの SSL 接続をリッスンして自動的に承認するために使用されます。SSL 証明書は、社内の Active Directory 証明書サービス (ADCS) のデプロイから発行されたもの、または商用発行者から購入したものを使用できます。Active Directory サーバー証明書の要件の詳細については、Microsoft のウェブサイト「[LDAP over SSL (LDAPS) Certificate](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx)」(LDAP over SSL (LDAPS) 証明書) を参照してください。
### CA 証明書の要件
クライアント側 LDAPS のオペレーションには、サーバー証明書の発行元を表す認証機関 (CA) 証明書が必要です。LDAP 通信を暗号化するために、CA 証明書は、Active Directory のドメインコントローラーから提示されるサーバー証明書と照合されます。次の CA 証明書の要件に注意してください。
+ 証明書を登録するには、有効期限までに 90 日超の期間があることが必要です。
+ 証明書は、プライバシー強化メール (PEM) 形式である必要がありす。Active Directory 内から CA 証明書をエクスポートする場合は、そのファイル形式として Base64 でエンコードされた X.509 (.CER) を選択します。
+ AD Connector ディレクトリごとに最大 5 個の CA 証明書を保存できます。
+ RSASSA-PSS 署名アルゴリズムを使用する証明書はサポートされていません。
### ネットワーク要件
AWS アプリケーション LDAP トラフィックは TCP ポート 636 でのみ実行され、LDAP ポート 389 へのフォールバックはありません。ただし、レプリケーション、信頼などをサポートする Windows LDAP 通信は、Windows ネイティブセキュリティを備えた LDAP ポート 389 を引き続き使用します。AD Connector (アウトバウンド) とセルフマネージド Active Directory (インバウンド) のポート 636 で TCP 通信を許可するように AWS セキュリティグループとネットワークファイアウォールを設定します。
## クライアント側の LDAPS の有効化
クライアント側 LDAPS を有効にするには、認証機関 (CA) 証明書を AD Connector にインポートし、ディレクトリで LDAPS を有効にします。有効にすると、 AWS アプリケーションとセルフマネージド Active Directory 間のすべての LDAP トラフィックが Secure Sockets Layer (SSL) チャネル暗号化で流れます。
2 つの異なる方法を使用して、ディレクトリのクライアント側 LDAPS を有効にできます。 AWS マネジメントコンソール メソッドまたは AWS CLI メソッドを使用できます。
### での証明書の登録 Directory Service
証明書を登録するには、次のいずれかの方法を使用します Directory Service。
**方法 1: 証明書を Directory Service (AWS マネジメントコンソール) に登録するには**
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) をクリックします。
1. ディレクトリのディレクトリ ID リンクを選択します。
1. **[Directory details]** (ディレクトリの詳細) ページで、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。
1. **[Client-side LDAPS]** (クライアント側 LDAPS) セクションで、**[Actions]** (アクション) メニューを選択してから、**[Register certificate]** (証明書の登録) を選択します。
1. **[Register a CA certificate]** (CA 証明書を登録する) ダイアログボックスで **[Browse]** (参照) をクリックしてから、証明書を選択し、**[Open]** (開く) をクリックします。
1. **[Register certificate]** (証明書の登録) を選択します。
**方法 2: 証明書を Directory Service (AWS CLI) に登録するには**
+ 以下のコマンドを実行してください。証明書データについては、CA 証明書ファイルの場所を指定します。証明書 ID がレスポンスとして提供されます。
```
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
```
### 登録のステータスを確認する
証明書登録のステータスまたは登録済み証明書のリストを表示するには、次のいずれかの方法を使用します。
**方法 1: ( Directory Service AWS マネジメントコンソール) で証明書の登録ステータスを確認するには**
1. **[Directory details]** (ディレクトリの詳細) ページの **[Client-side LDAPS]** (クライアント側 LDAPS) セクションに移動します。
1. **[Registration status]** (登録ステータス) 列に表示される現在の証明書登録状態を確認します。登録ステータスの値が **[Registered]** (登録済み) に変わると、証明書は正常に登録されています。
**方法 2: ( Directory Service AWS CLI) で証明書の登録ステータスを確認するには**
+ 次のコマンドを実行します。ステータス値として `Registered` が返される場合、証明書は正常に登録されています。
```
aws ds list-certificates --directory-id your_directory_id
```
### クライアント側の LDAPS を有効にする
でクライアント側の LDAPS を有効にするには、次のいずれかの方法を使用します Directory Service。
**注記**
クライアント側 LDAPS を有効にするには、1 つ以上の証明書が正常に登録されている必要があります。
**方法 1: Directory Service (AWS マネジメントコンソール) でクライアント側の LDAPS を有効にするには**
1. **[Directory details]** (ディレクトリの詳細) ページの **[Client-side LDAPS]** (クライアント側 LDAPS) セクションに移動します。
1. **[Enable]** (有効化) を選択します。このオプションを使用できない場合は、有効な証明書が正常に登録されていることを確認してから、もう一度やり直してください。
1. **[Enable client-side LDAPS]** (クライアント側 LDAPS を有効にする) ダイアログボックスで、**[Enable]** (有効化) を選択します。
**方法 2: Directory Service (AWS CLI) でクライアント側の LDAPS を有効にするには**
+ 以下のコマンドを実行してください。
```
aws ds enable-ldaps --directory-id your_directory_id --type Client
```
### LDAPS ステータスを確認する
LDAPS ステータスを確認するには、次のいずれかの方法を使用します Directory Service。
**方法 1: LDAPS ステータスを確認するには Directory Service (AWS マネジメントコンソール)**
1. **[Directory details]** (ディレクトリの詳細) ページの **[Client-side LDAPS]** (クライアント側 LDAPS) セクションに移動します。
1. ステータス値が **[Enabled]** (有効) と表示されている場合、LDAPS は正常に設定されています。
**方法 2: LDAPS ステータスを確認するには Directory Service (AWS CLI)**
+ 以下のコマンドを実行してください。ステータス値として `Enabled` が返される場合、LDAPS は正常に設定されています。
```
aws ds describe-ldaps-settings –directory-id your_directory_id
```
クライアント側の LDAPS 証明書の表示、LDAPS 証明書の登録解除または無効化の詳細については、「[クライアント側の LDAPS を管理する](manage-ldap-client-side.md)」を参照してください。
# クライアント側の LDAPS を管理する
LDAPS 設定を管理するには、以下のコマンドを使用します。
2 つの異なる方法を使用して、クライアント側 LDAPS 設定を管理できます。 AWS マネジメントコンソール メソッドまたは AWS CLI メソッドを使用できます。
## 証明書の詳細を表示する
以下のいずれかの方法を使用して、証明書の有効期限を確認します。
**方法 1: ( Directory Service AWS マネジメントコンソール) で証明書の詳細を表示するには**
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) をクリックします。
1. ディレクトリのディレクトリ ID リンクを選択します。
1. **[Directory details]** (ディレクトリの詳細) ページで、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。
1. **[Client-side LDAPS]** (クライアント側 LDAPS) セクションの **[CA certificates]** (CA 証明書) に、証明書に関する情報が表示されます。
**方法 2: ( Directory Service AWS CLI) で証明書の詳細を表示するには**
+ 以下のコマンドを実行してください。証明書 ID として、`register-certificate` または `list-certificates` から返される識別子を使用します。
```
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
## 証明書の登録解除
以下のいずれかの方法を使用して、証明書を登録解除します。
**注記**
登録されている証明書が 1 つのみの場合は、証明書を登録解除する前に、まず LDAPS を無効にする必要があります。
**方法 1: ( Directory Service AWS マネジメントコンソール) で証明書の登録を解除するには**
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) をクリックします。
1. ディレクトリのディレクトリ ID リンクを選択します。
1. **[Directory details]** (ディレクトリの詳細) ページで、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。
1. **[Client-side LDAPS]** (クライアント側 LDAPS) セクションで、**[Actions]** (アクション) を選択してから、**[Deregister certificate]** (証明書の登録解除) を選択します。
1. **[Deregister a CA certificate]** (CA 証明書を登録解除する) ダイアログボックスで、**[Deregister]** (登録解除) をクリックします。
**方法 2: ( Directory Service AWS CLI) で証明書の登録を解除するには**
+ 以下のコマンドを実行してください。証明書 ID として、`register-certificate` または `list-certificates` から返される識別子を使用します。
```
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
## クライアント側 LDAPS の無効化
以下のいずれかの方法を使用して、クライアント側 LDAPS を無効にします。
**方法 1: Directory Service (AWS マネジメントコンソール) でクライアント側の LDAPS を無効にするには**
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) をクリックします。
1. ディレクトリのディレクトリ ID リンクを選択します。
1. **[Directory details]** (ディレクトリの詳細) ページで、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。
1. **[Client-side LDAPS]** (クライアント側 LDAPS) セクションで、**[Disable]** (無効化) を選択します。
1. **[Disable client-side LDAPS]** (クライアント側 LDAPS を無効にする) ダイアログボックスで、**[Disable]** (無効化) をクリックします。
**方法 2: Directory Service (AWS CLI) でクライアント側の LDAPS を無効にするには**
+ 以下のコマンドを実行してください。
```
aws ds disable-ldaps --directory-id your_directory_id --type Client
```
# 認証にスマートカードを使用できるように、AD Connector で mTLS 認証を有効化する
証明書ベースの相互 Transport Layer Security (mTLS) 認証にスマートカードを使用して、自己管理型 Active Directory (AD) および AD Connector を介して Amazon WorkSpaces へのユーザー認証を行います。有効にすると、ユーザーは WorkSpaces ログイン画面でスマートカードを選択し、ユーザーネームとパスワードを使用する代わりに PIN を入力して認証します。そこから、Windows または Linux 仮想デスクトップがスマートカードを使用して、ネイティブデスクトップ OS から AD への認証を行います。
**注記**
AD Connector のスマートカード認証は、次の AWS リージョンの WorkSpaces でのみ使用できます。現時点では、他の AWS アプリケーションはサポートされていません。
米国東部 (バージニア北部)
米国西部 (オレゴン)
アジアパシフィック (シドニー)
アジアパシフィック (東京)
欧州 (アイルランド)
AWS GovCloud (米国西部)
AWS GovCloud (米国東部)
証明書の登録を解除したり、無効にしたりすることもできます。
**Topics**
+ [前提条件](#prereqs-clientauth)
+ [スマートカード認証を有効にしている](#enable-clientauth)
+ [スマートカード認証の設定を管理する](manage-clientauth.md)
## 前提条件
Amazon WorkSpaces クライアントでスマートカードを使用した相互トランスポートレイヤーセキュリティ (mTLS) 認証を有効にするには、自己管理型 Active Directory と統合された運用上のスマートカードインフラストラクチャが必要です。Amazon WorkSpaces と Active Directory でスマートカード認証を設定する方法の詳細については、「[Amazon WorkSpaces 管理ガイド](https://docs.aws.amazon.com/workspaces/latest/adminguide/smart-cards.html)」を参照してください。
WorkSpaces でスマートカード認証を有効にする前に、次の前提条件を確認してください:
+ [CA 証明書の要件](#ca-cert)
+ [ユーザー証明書の要件](#user-cert)
+ [証明書失効チェックのプロセス](#ocsp)
+ [考慮事項](#other)
### CA 証明書の要件
AD Connector では、スマートカード認証にユーザー証明書の発行者を表す認証機関 (CA) 証明書が必要です。AD Connector は、CA 証明書をユーザーがスマートカードで提示した証明書と照合します。次の CA 証明書の要件に注意してください。
+ CA 証明書を登録するには、有効期限までに 90 日超の期間があることが必要です。
+ CA 証明書は、プライバシー強化メール (PEM) 形式である必要があります。Active Directory 内から CA 証明書をエクスポートする場合は、エクスポートファイル形式として Base64 でエンコードされた X.509 (.CER) を選択します。
+ スマートカード認証を成功させるには、発行元 CA からユーザー証明書まで繋がるすべてのルートおよび中間 CA 証明書をアップロードする必要があります。
+ AD Connector ディレクトリごとに最大 100 個の CA 証明書を保存できます。
+ AD Connector は、CA 証明書の RSASSA-PSS 署名アルゴリズムをサポートしていません。
+ Certificate Propagation サービスが自動に設定され、実行されていることを確認します。
### ユーザー証明書の要件
ユーザー証明書の要件の一部が以下に示されます:
+ ユーザーのスマートカード証明書には、ユーザーの userPrincipalName (UPN) として、サブジェクト代替名 (SAN) が含まれています。
+ ユーザーのスマートカード証明書には、拡張キー使用法として、スマートカードログオン (1.3.6.1.4.1.311.20.2.2) クライアント認証 (1.3.6.1.5.5.7.3.2) が含まれています。
+ ユーザーのスマートカード証明書のオンライン証明書ステータスプロトコル (OCSP) 情報は、権限情報アクセスで Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) である必要があります。
AD Connector とスマートカード認証要件の詳細については、「Amazon WorkSpaces 管理ガイド」の「[要件](https://docs.aws.amazon.com//workspaces/latest/adminguide/smart-cards.html#smart-cards-requirements)」を参照してください。**WorkSpaces への登録、パスワードのリセット、または WorkSpaces への接続などの Amazon WorkSpaces 問題のトラブルシューティングへのサポートについては、「Amazon WorkSpaces ユーザーガイド」の「[Troubleshoot WorkSpaces client issues](https://docs.aws.amazon.com//workspaces/latest/userguide/client_troubleshooting.html)」を参照してください。**
### 証明書失効チェックのプロセス
スマートカード認証を実行するには、AD Connector がオンライン証明書ステータスプロトコル (OCSP) を使用してユーザー証明書の失効ステータスをチェックする必要があります。証明書失効チェックを実行するには、OCSP レスポンダー URL がインターネットでアクセス可能である必要があります。DNS 名を使用する場合、OCSP レスポンダー URL は、「[Internet Assigned Numbers Authority (IANA) Root Zone Database](https://www.iana.org/domains/root/db)」(Internet Assigned Numbers Authority (IANA) のルートゾーンデータベース) にある最上位ドメインである必要があります。
**注記**
2025 年 10 月 7 日以降に作成されたディレクトリでは、SmartCard 証明書の検証に使用される OCSP サーバーが VPC のネットワーク設定を介してルーティング可能である必要があります。OCSP サーバーに VPC のルーティングテーブル、セキュリティグループ、ネットワーク ACLs 経由でアクセスできない場合、証明書失効チェック中に SmartCard 認証は失敗します。この問題を解決するには、以下を確認してください。
ネットワークルーティング: VPC ルートテーブルにより、トラフィックは AD Connector ディレクトリインスタンスがデプロイされているサブネットから OCSP サーバーに到達できます。
セキュリティグループ: ディレクトリのネットワークインターフェイスに関連付けられたセキュリティグループは、ポート 80 (HTTP) の OCSP サーバーへのアウトバウンドトラフィックを許可します。
ネットワーク ACLs: サブネットネットワーク ACLsOCSP サーバーとの間の双方向トラフィックを許可します。
インターネットゲートウェイ/NAT: OCSP サーバーがインターネット向けである場合は、VPC にディレクトリサブネットに適したインターネットゲートウェイまたは NAT ゲートウェイ設定があることを確認します。ネットワークタイプが IPv4 の場合、VPC で NAT とインターネットゲートウェイを設定する必要があります。
AD Connector 証明書失効チェックでは、次のプロセスが使用されます。
+ AD Connector は、OCSP レスポンダー URL のユーザー証明書の機関情報アクセス (AIA) の拡張機能を確認する必要があります。その後、AD Connector は URL を使用して失効をチェックします。
+ AD Connector がユーザー証明書の AIA 拡張機能で見つかった URL を解決できない場合、またはユーザー証明書で OCSP レスポンダー URL が見つからない場合、AD Connector は、ルート CA 証明書の登録時に提供されるオプションの OCSP URL を使用します。
ユーザー証明書の AIA 拡張機能の URL が解決しても応答しない場合、ユーザー認証は失敗します。
+ ルート CA 証明書の登録中に提供された OCSP レスポンダー URL が解決できない、応答しない、または OCSP レスポンダー URL が指定されていない場合、ユーザー認証は失敗します。
+ OCSP サーバーは [RFC 6960](https://datatracker.ietf.org/doc/html/rfc6960) に準拠する必要があります。さらに、OCSP サーバーは、合計 255 バイト以下のリクエストに対して GET 方法を使用したリクエストをサポートする必要があります。
**注記**
AD Connector には OCSP レスポンダー URL の **HTTP** URL が必要です。
### 考慮事項
AD Connector でスマートカード認証を有効にする前に、次の項目を考慮してください。
+ AD Connector は、証明書ベースの相互 Transport Layer Security 認証 (相互 TLS) を使用して、ハードウェアまたはソフトウェアベースのスマートカード証明書を使用した Active Directory へのユーザー認証を行います。現在、共通アクセスカード (CAC) および個人識別検証 (PIV) カードのみがサポートされています。他のタイプのハードウェアベースまたはソフトウェアベースのスマートカードも機能する可能性がありますが、WorkSpaces Streaming Protocol での使用はテストされていません。
+ スマートカード認証は、WorkSpaces へのユーザーネームとパスワードによる認証に代わるものです。
スマートカード認証が有効になっている他の AWS アプリケーションが AD Connector ディレクトリに設定されている場合でも、それらのアプリケーションにはユーザー名とパスワードの入力画面が表示されます。
+ スマートカード認証を有効にすると、ユーザーセッション期間が Kerberos サービスチケットの最大有効期間に制限されます。この設定はグループポリシーを使用して設定でき、デフォルトで 10 時間に設定されています。この設定の詳細については、[Microsoft のドキュメント](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-lifetime-for-service-ticket)を参照してください。
+ AD Connector サービスアカウントでサポートされる Kerberos 暗号化タイプは、各ドメインコントローラーでサポートされる Kerberos 暗号化タイプと一致する必要があります。
## スマートカード認証を有効にしている
AD Connector で WorkSpaces のスマートカード認証を有効にするには、まず認証局 (CA) 証明書を AD Connector にインポートする必要があります。CA 証明書は、 AWS Directory Service コンソール、[API](https://docs.aws.amazon.com/directoryservice/latest/devguide/welcome.html)、または [CLI](https://docs.aws.amazon.com/cli/latest/reference/ds/index.html) を使用して AD Connector にインポートできます。以下の手順を使用して CA 証明書をインポートし、その後スマートカード認証を有効にします。
**Topics**
+ [AD Connector サービスアカウントの Kerberos 制約付き委任を有効にします](#step1)
+ [AD Connector に CA 証明書を登録します](#step2)
+ [サポートされている AWS アプリケーションとサービスでスマートカード認証を有効にする](#step3)
### AD Connector サービスアカウントの Kerberos 制約付き委任を有効にします
AD Connector でスマートカード認証を使用するには、AD Connector サービスアカウントの **Kerberos の制約付き委任 (KCD)** を自己管理型 AD ディレクトリ内の LDAP サービスに対して有効にする必要があります。
Kerberos の制約付き委任は、Windows Server の機能の 1 つです。この機能により、管理者は、アプリケーションサービスがユーザーを代行して動作できる範囲を制限することによって、アプリケーションの信頼境界を指定および適用できます。詳細については、「[Kerberos の制約付き委任](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_key_concepts_kerberos.html)」を参照してください。
**注記**
**Kerberos の制約付き委任 (KCD)** では、AD Connector サービスアカウントのユーザー名部分が、同じユーザーの sAMAccountName と一致している必要があります。SAMAccountName は 20 文字に制限されています。sAMAccountName は Microsoft Active Directory 属性で、以前のバージョンの Windows クライアントおよびサーバーのサインイン名として使用されていました。
1. `SetSpn` コマンドを使用して、自己管理型 AD の AD Connector サービスアカウントのサービスプリンシパル名 (SPN) を設定します。これにより、サービスアカウントを委任設定に使用できるようになります。
SPN には、任意のサービスまたは名前の組み合わせを指定できますが、既存の SPN と重複しているものは指定できません。`-s` で、重複がないかチェックされます。
```
setspn -s my/spn service_account
```
1. **[AD Users and Computers]** で、コンテキスト (右クリック) メニューを開き、AD Connector サービスアカウントを選択して、**[Properties]** を選択します。
1. **[Delegation]** (委任) タブを選択します。
1. **[Trust this user for delegation to specified service only]** と **[Use any authentication protocol]** オプションを選択します。
1. **[Add]** (追加) を選択し、**[Users or Computers]** (ユーザーまたはコンピュータ) を選択して、ドメインコントローラーを見つけます。
1. **[OK]** をクリックして、委任に使用できるサービスのリストを表示します。
1. **[ldap]** サービスタイプを選択して、**[OK]** を選択します。
1. もう一度 **[OK]** を選択して、設定を保存します。
1. Active Directory 内の他のドメインコントローラーでこのプロセスを繰り返します。または、PowerShell を使用してこのプロセスを自動化することもできます。
### AD Connector に CA 証明書を登録します
以下のいずれかの方法を使用して、AD Connector ディレクトリの CA 証明書を登録します。
**方法 1: AD Connector で CA 証明書を登録するには (AWS マネジメントコンソール)**
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) をクリックします。
1. ディレクトリのディレクトリ ID リンクを選択します。
1. **[Directory details]** (ディレクトリの詳細) ページで、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。
1. **[Smart card authentication]** セクションで、**[Actions]** メニューをクリックし、**[Register certificate]** を選択します。
1. **[Register a certificate]**ダイアログボックスで **[Choose file]**をクリックして、証明書を選択し、**[Open]** をクリックします。オプションで、オンライン証明書ステータスプロトコル (OCSP) レスポンダー URL を指定して、この証明書の失効チェックを実行することもできます。OCSP の詳細については、「[証明書失効チェックのプロセス](#ocsp)」を参照してください。
1. **[Register certificate]** (証明書の登録) を選択します。証明書のステータスが **[Registered]** (登録済み) に変わったら、登録プロセスは正常に完了しています。
**方法 2: AD Connector で CA 証明書を登録するには (AWS CLI)**
+ 次のコマンドを実行します。証明書データについては、CA 証明書ファイルの場所を指定します。セカンダリ OCSP レスポンダーアドレスを指定するには、オプションの `ClientCertAuthSettings` オブジェクトを使用します。
```
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path --type ClientCertAuth --client-cert-auth-settings OCSPUrl=http://your_OCSP_address
```
成功すると、証明書 ID が返されます。次の CLI コマンドを実行して、CA 証明書が正常に登録されていることを検証することもできます。
```
aws ds list-certificates --directory-id your_directory_id
```
ステータス値として `Registered` が返される場合、証明書は正常に登録されています。
### サポートされている AWS アプリケーションとサービスでスマートカード認証を有効にする
以下のいずれかの方法を使用して、AD Connector ディレクトリの CA 証明書を登録します。
**方法 1: AD Connector でスマートカード認証を有効にするには (AWS マネジメントコンソール)**
1. **[Directory details]** ページの **[Smart card authentication]** セクションで、**[Enable]** をクリックします。このオプションを使用できない場合は、有効な証明書が正常に登録されていることを確認してから、もう一度やり直してください。
1. **[Enable smart card authentication]** (スマートカード認証を有効にする) ダイアログボックスで、**[Enable]** (有効化) をクリックします。
**方法 2: AD Connector でスマートカード認証を有効にするには (AWS CLI)**
+ 次のコマンドを実行します。
```
aws ds enable-client-authentication --directory-id your_directory_id --type SmartCard
```
成功すると、AD Connector は HTTP 本文が空の `HTTP 200` レスポンスを返します。
証明書の表示、証明書の登録解除または証明書の無効化の詳細については、「[スマートカード認証の設定を管理する](manage-clientauth.md)」を参照してください。
# スマートカード認証の設定を管理する
2 つの異なる方法を使用して、スマートカード認証の設定を管理できます。 AWS マネジメントコンソール メソッドまたは AWS CLI メソッドを使用できます。
**Topics**
+ [証明書の詳細を表示する](#describe-a-certificate-clientauth)
+ [証明書の登録解除](#dergister-a-certificate-clientauth)
+ [スマートカード認証を無効にする](#disable-smart-card-clientauth)
## 証明書の詳細を表示する
以下のいずれかの方法を使用して、証明書の有効期限を確認します。
**方法 1: ( Directory Service AWS マネジメントコンソール) で証明書の詳細を表示するには**
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) をクリックします。
1. AD Connector ディレクトリのディレクトリ ID リンクをクリックします。
1. **[Directory details]** (ディレクトリの詳細) ページで、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。
1. **[Smart card authentication]** (スマートカード認証) セクションの **[CA certificates]** (CA 証明書) で、証明書 ID を選択し、その証明書に関する詳細を表示します。
**方法 2: ( Directory Service AWS CLI) で証明書の詳細を表示するには**
+ 以下のコマンドを実行してください。証明書 ID として、`register-certificate` または `list-certificates` から返される識別子を使用します。
```
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
## 証明書の登録解除
以下のいずれかの方法を使用して、証明書を登録解除します。
**注記**
登録されている証明書が 1 つのみの場合は、証明書を登録解除する前に、まずスマートカード認証を無効にする必要があります。
**方法 1: ( Directory Service AWS マネジメントコンソール) で証明書の登録を解除するには**
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) をクリックします。
1. AD Connector ディレクトリのディレクトリ ID リンクをクリックします。
1. **[Directory details]** (ディレクトリの詳細) ページで、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。
1. **[Smart card authentication]** (スマートカード認証) セクションの **[CA certificates]** (CA 証明書) で、登録解除する証明書を選択して **[Actions]** (アクション) をクリックし、**[Deregister certificate]** (証明書の登録解除) をクリックします。
**重要**
登録解除しようとしている証明書がアクティブではなく、スマートカード認証の CA 証明書チェーンの一部として現在使用されていないことを確認してください。
1. **[Deregister a CA certificate]** (CA 証明書を登録解除する) ダイアログボックスで、**[Deregister]** (登録解除) をクリックします。
**方法 2: ( Directory Service AWS CLI) で証明書の登録を解除するには**
+ 以下のコマンドを実行してください。証明書 ID として、`register-certificate` または `list-certificates` から返される識別子を使用します。
```
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
## スマートカード認証を無効にする
スマートカード認証を無効にするには、以下のいずれかの方法を使用します。
**方法 1: Directory Service (AWS マネジメントコンソール) でスマートカード認証を無効にするには**
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) をクリックします。
1. AD Connector ディレクトリのディレクトリ ID リンクをクリックします。
1. **[Directory details]** (ディレクトリの詳細) ページで、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。
1. **[Smart card authentication]** (スマートカード認証) セクションで、**[Disable]** (無効化) をクリックします。
1. **[Disable smart card authentication]** (スマートカード認証を無効にする) ダイアログボックスで、**[Disable]** (無効化) をクリックします。
**方法 2: Directory Service (AWS CLI) でスマートカード認証を無効にするには**
+ 以下のコマンドを実行してください。
```
aws ds disable-client-authentication --directory-id your_directory_id --type SmartCard
```
# での AD Connector サービスアカウントの認証情報の更新 AWS マネジメントコンソール
で指定する AD Connector 認証情報は、既存のオンプレミスディレクトリへのアクセスに使用されるサービスアカウント Directory Service を表します。でサービスアカウントの認証情報を変更するには Directory Service 、次の手順を実行します。
**注記**
ディレクトリに対して が有効になっている場合 AWS IAM アイデンティティセンター は、サービスプリンシパル名 (SPN) を現在のサービスアカウントから新しいサービスアカウントに移管 Directory Service する必要があります。現在のサービスアカウントに SPN を削除するアクセス許可がない場合、または新しいサービスアカウントに SPN を追加するアクセス許可がない場合は、両方のアクションを実行するアクセス許可が付与されたディレクトリアカウントの認証情報の入力を求められます。これらの認証情報は、SPN を転送する目的でのみ使用され、サービスで保存されることはありません。
**で AD Connector サービスアカウントの認証情報を更新するには Directory Service**
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/) のナビゲーションペインの **[Active Directory]** で、**[Directories]** を選択します。
1. ディレクトリのディレクトリ ID リンクを選択します。
1. **[ディレクトリの詳細]** ページで **[サービスアカウント認証情報]** セクションまでスクロールします。
1. **[Service account credentials]** (サービスアカウントの認証情報) セクションで、**[Update]** (更新) を選択します。
1. **[サービスアカウント認証情報の更新]** ダイアログボックスでサービスアカウントのユーザー名とパスワードを入力します。パスワードを再入力して確認し、**[更新]** を選択します。
# AWS Private CA Connector for AD をセットアップする
AD Connector AWS Private Certificate Authority を使用してセルフマネージド Active Directory を と統合し、AD ドメインに参加しているユーザー、グループ、マシンの証明書を発行および管理できます。 AWS Private CA Connector for AD は、ローカルエージェントまたはプロキシサーバーのデプロイ、パッチ適用、更新を必要とせずに、セルフマネージド型エンタープライズ CAs のドロップイン代替 AWS Private CA としてフルマネージド型を提供します。
この統合 Directory Service は、コンソール、 AWS Private CA Connector for AD コンソール、または [https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API-CreateTemplate.html](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API-CreateTemplate.html) API を呼び出すことで設定できます。 AWS Private CA Connector for Active Directory コンソールを使用するには、[AWS Private CA 「 Connector for Active Directory](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad.html)」を参照してください。以下のセクションでは、 Directory Service コンソールからこの統合を設定する方法について説明します。
## 前提条件
セットアップ手順については、[「Connector for AD ユーザーガイド」の「Set up](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad-getting-started-prerequisites.html) AWS Private CA Connector for AD」を参照してください。
## AWS Private CA Connector for AD のセットアップ
**Private CA Connector for Active Directory を作成するには**
1. にサインイン AWS マネジメントコンソール し、 で Directory Service コンソールを開きます[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。
1. **[Directories]** (ディレクトリ) ページで、ディレクトリ ID を選択します。
1. **[アプリケーション管理]** タブと **[AWS アプリケーションとサービス]** セクションで、**[AWS Private CA Connector for AD]** を選択します。
1. **[Active Directory のプライベート CA 証明書を作成する]** ページで、Active Directory Connector のプライベート CA を作成するステップを完了します。
詳細については、「[コネクタの作成](https://docs.aws.amazon.com/privateca/latest/userguide/create-connector-for-ad.html)」を参照してください。
## AWS Private CA Connector for AD を表示する
**Private CA Connector の詳細を表示するには**
1. にサインイン AWS マネジメントコンソール し、 で Directory Service コンソールを開きます[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。
1. **[Directories]** (ディレクトリ) ページで、ディレクトリ ID を選択します。
1. **[アプリケーション管理]** タブと **[AWS アプリケーションとサービス]** セクションで、ユーザーの Private CA Connector とそれに関連するプライベート CA を表示します。以下のフィールドが表示されます。
1. **AWS Private CA コネクタ ID** – AWS Private CA コネクタの一意の識別子。それを選択して、その詳細ページを表示します。
1. **AWS Private CA subject** – CA の識別名に関する情報。それを選択して、その詳細ページを表示します。
1. **ステータス** – AWS Private CA Connector と のステータスチェックの結果 AWS Private CA:
+ **[アクティブ]** – 両方のチェックが合格
+ **[1/2 チェックが失敗]** – 1 つのチェックが失敗
+ **[失敗]** — 両方のチェックが失敗
失敗ステータスの詳細については、ハイパーリンクにカーソルを合わせると、失敗したチェックが表示されます。
1. **[DC 証明書の登録ステータス]** – ドメインコントローラー証明書のステータスチェック:
+ **[有効]** — 証明書の登録が有効になっている
+ **[無効]** – 証明書の登録は無効になっている
1. **作成日** – AWS Private CA コネクタが作成された日時。
詳細については、「[コネクタの詳細表示](https://docs.aws.amazon.com/privateca/latest/userguide/view-connector-for-ad.html)」を参照してください。
## AD ユーザーへの証明書の発行を検証する
AWS Private CA がセルフマネージド Active Directory に証明書を発行していることを確認するには、次の手順を実行します。
+ オンプレミスのドメインコントローラーを再起動します。
+ Microsoft Management Console で証明書を表示します。詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in)」を参照してください。
# AD Connector ディレクトリをモニタリングする
AD Connector のさまざまなステータスと、AD Connector に対する意味について詳しく知ることで、AD Connector を最大限に活用できます。Amazon Simple Notification Service を使用して、AD Connector のステータスに関する通知を受信することもできます。
**Topics**
+ [ディレクトリのステータスを把握する](ad_connector_directory_status.md)
+ [Amazon SNS で AD Connector ディレクトリステータス通知を有効にする](ad_connector_enable_notifications.md)
# ディレクトリのステータスを把握する
ディレクトリのステータスには以下の種類があります。
**[Active]** (アクティブ)
ディレクトリは正常に動作しています。ディレクトリには Directory Service が検出した問題はありません。
**[Creating]** (作成中)
ディレクトリは現在作成中です。ディレクトリの作成には通常 20〜45 分かかりますが、システムの負荷によって異なる場合があります。
**[Deleted]** (削除済み)
ディレクトリは削除されています。ディレクトリのリソースはすべて解放されています。ディレクトリがこの状態になったら、復元できません。
**[Deleting]** (削除中)
ディレクトリは削除中です。ディレクトリが完全に削除されるまでは、この状態です。ディレクトリがこの状態になると、削除操作を取り消すことができず、ディレクトリを回復できません。
**[Failed]** (失敗)
ディレクトリを作成できませんでした。このディレクトリを削除してください。問題が解決しない場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/)までお問い合わせください。
**[Impaired]** (障害)
ディレクトリがパフォーマンスが低下した状態で実行されています。1 つまたは複数の問題が検出され、すべてのディレクトリのオペレーションが最適に動作しているとは限りません。ディレクトリがこのステータスになるのは、さまざまな原因があり得ます。パッチ適用や EC2 インスタンスのローテーションなど通常の運用メンテナンス、いずれかのドメインコントローラーにおけるアプリケーションの一時的なホットスポッティング、あるいは、ネットワークに行った変更が意図せずディレクトリの通信を妨害するなどです。詳細については、「[AWS Managed Microsoft AD のトラブルシューティング](ms_ad_troubleshooting.md)」、「[AD Connector のトラブルシューティング](ad_connector_troubleshooting.md)」、「[Simple AD のトラブルシューティング](simple_ad_troubleshooting.md)」のいずれかを参照してください。通常のメンテナンス関連の問題の場合、 AWS は 40 分以内にこれらの問題を解決します。トラブルシューティングのトピックを確認した後も、ディレクトリの障害の状態が 40 分以上続く場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/)までお問い合わせください。
ディレクトリが障害の状態あるときは、スナップショットを復元しないでください。障害の解消にスナップショットの復元が必要になることはほとんどありません。詳細については、「[スナップショットを使用した AWS Managed Microsoft AD の復元](ms_ad_snapshots.md)」を参照してください。
**[Inoperable]** (操作不能)
ディレクトリが動作しません。すべてのディレクトリエンドポイントが問題を報告しています。
**[Requested]** (リクエスト済み)
ディレクトリの作成リクエストは現在保留中です。
# Amazon SNS で AD Connector ディレクトリステータス通知を有効にする
Amazon Simple Notification Service (Amazon SNS) を使用して、ディレクトリのステータスが変更されたときに E メールまたはテキストメッセージ (SMS) を受け取ることができます。ディレクトリが Active ステータスから [Impaired (障害) または Inoperable (操作不能)](ad_connector_directory_status.md) ステータスに変わると通知されます。ディレクトリが Active ステータスに戻ったときも通知を受け取ります。
## 仕組み
Amazon SNS では「トピック」を使用してメッセージを収集し、配信します。各トピックには、そのトピックに発行されたメッセージを受け取る 1 人または複数の受信者が存在します。以下のステップを使用して、Amazon SNS トピックにパブリッシャー Directory Service として を追加できます。がディレクトリのステータスの変更 Directory Service を検出すると、そのトピックにメッセージを発行し、トピックのサブスクライバーに送信されます。
発行者として、複数のディレクトリを単一のトピックに関連付けることができます。以前に Amazon SNS で作成したトピックに、ディレクトリステータスのメッセージを追加することもできます。トピックの発行者と受信者は詳細に管理できます。Amazon SNS の詳細については、「[Amazon SNS とは](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)」を参照してください。
**ディレクトリの SNS メッセージングを有効にするには**
1. にサインイン AWS マネジメントコンソール し、 [Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)を開きます。
1. **[Directories]** (ディレクトリ) ページで、ディレクトリ ID を選択します。
1. **[Maintenance]** (メンテナンス) タブを選択します。
1. **[Directory monitoring]** (ディレクトリのモニタリング) セクションで **[Actions]** (アクション) をクリックし、**[Create notification]** (通知の作成) をクリックします。
1. **[Create notification]** (通知の作成) ページで、**[Choose a notification type]** (通知タイプを選択) をクリックしてから、**[Create a new notification]** (新しい通知の作成) を選択します。または、既存の SNS トピックがある場合は、**[Associate with existing SNS topic]** (既存の SNS トピックに関連付ける) を選択し、このディレクトリからそのトピックにステータスメッセージを送信できます。
**注記**
**[Create a new notification]** (新しい通知の作成) を選択した場合でも、既存の SNS トピックと同じトピック名を使用すると、Amazon SNS は新しいトピックを作成せずに、既存のトピックに新しいサブスクリプション情報を追加するだけです。
**[Associate with existing SNS topic]** (既存の SNS トピックに関連付ける) を選択した場合は、ディレクトリと同じリージョンにある SNS トピックのみを選択できます。
1. **[Recipient type]** (受信タイプ) を選択し、**[Recipient]** (受信者) の連絡先情報を入力します。SMS の電話番号を入力する場合は、数字のみを入力します。ハイフン、スペース、括弧を含めないでください。
1. (オプション) トピックの名前と SNS 表示名を入力します。表示名は、このトピックから送信されるすべての SMS メッセージに含まれる短縮名 (最大 10 文字) です。SMS オプションを使用する場合、表示名は必須です。
**注記**
IAM ユーザーまたは [DirectoryServiceFullAccess](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/role_ds_full_access.html) 管理ポリシーのみを持つロールを使用してログインしている場合、トピック名は「DirectoryMonitoring」で始まる必要があります。トピック名をさらにカスタマイズするには、SNS の権限が追加で必要です。
1. **[Create]** (作成) をクリックします。
追加の E メールアドレス、Amazon SQS キュー、 など、追加の SNS サブスクライバーを指定する場合は AWS Lambda、[Amazon SNS コンソール](https://console.aws.amazon.com//sns/v3/home.)から指定できます。
**トピックからディレクトリステータスメッセージを削除するには**
1. にサインイン AWS マネジメントコンソール し、 [Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)を開きます。
1. **[Directories]** (ディレクトリ) ページで、ディレクトリ ID を選択します。
1. **[Maintenance]** (メンテナンス) タブを選択します。
1. **[Directory monitoring]** (ディレクトリのモニタリング) セクションでリストから SNS トピック名を選択し、**[Actions]** (アクション) をクリックして、**[Remove]** (削除) を選択します。
1. **[Remove]** (削除) をクリックします。
これで、選択した SNS トピックへの発行者であるディレクトリが削除されます。トピック全体を削除する場合は、「[Amazon SNS コンソール](https://console.aws.amazon.com/sns/v3/home.)」から削除できます。
**注記**
SNS コンソールを使用して Amazon SNS トピックを削除する前に、ディレクトリがそのトピックにステータスメッセージを送信していないことを確認する必要があります。
SNS コンソールを使用して Amazon SNS トピックを削除した場合、この変更は Directory Services コンソール内にはすぐに反映されません。この削除済みトピックに対して、次回、ディレクトリから通知が発行されたときに初めて変更が反映され、トピックが見つからないという最新のステータスがディレクトリの **[Monitoring]** (モニタリング) タブに表示されます。
したがって、重要なディレクトリステータスメッセージが欠落しないように、 からメッセージを受信するトピックを削除する前に Directory Service、ディレクトリを別の Amazon SNS トピックに関連付けます。
# AD Connector からの AWS アプリケーションとサービスへのアクセス
接続された Active Directory の AWS アプリケーションとサービスへのアクセスを AD Connector に許可できます。サポートされている AWS アプリケーションとサービスには、次のようなものがあります。
+ Amazon Chime
+ Amazon WorkSpaces
+ IAM アイデンティティセンター
+ AWS マネジメントコンソール
AD Connector で動作するサードパーティー製アプリケーションはありません。
**Topics**
+ [AD Connector のアプリケーションの互換性ポリシー](ad_connector_app_compatibility.md)
+ [AD Connector から AWS アプリケーションとサービスへのアクセスを有効にする](ad_connector_enable_apps_services.md)
# AD Connector のアプリケーションの互換性ポリシー
AWS Directory Service for Microsoft Active Directory ([AWS Managed Microsoft AD](directory_microsoft_ad.md)) の代わりに、AD Connector は AWS 作成されたアプリケーションとサービス専用の Active Directory プロキシです。指定した Active Directory ドメインを使用するように、このプロキシを設定します。アプリケーションが Active Directory のユーザーまたはグループを検索する必要があるとき、AD Connector はそのリクエストをディレクトリにプロキシとして送信します。同様に、ユーザーがアプリケーションにログインするとき、AD Connector は認証リクエストをディレクトリにプロキシとして送信します。AD Connector で動作するサードパーティー製アプリケーションはありません。
以下は、互換性のある AWS アプリケーションとサービスのリストです。
+ Amazon Chime - 詳細な手順については、「[Active Directory への接続](https://docs.aws.amazon.com/chime/latest/ag/active_directory.html)」を参照してください。
+ Amazon Connect - 詳細については、「[Amazon Connect とは](https://docs.aws.amazon.com/connect/latest/adminguide/what-is-amazon-connect.html#amazon-connect-fundamentals)」を参照してください。
+ Windows 用または Linux 用 Amazon EC2 – Amazon EC2 Windows または Linux のシームレスなActtive Directortyドメイン結合機能を使用して、インスタンスを自己管理型 Active Directory (オンプレミス) に結合できます。結合すると、インスタンスは Active Directory と直接通信し、AD Connector をバイパスします。詳細については、「[Amazon EC2 インスタンスを Active Directory に結合する方法](ad_connector_join_instance.md)」を参照してください。
+ AWS マネジメントコンソール – AD Connector を使用して、SAML インフラストラクチャを設定せずに Active Directory 認証情報で AWS マネジメントコンソール ユーザーを認証できます。詳細については、「[AWS Managed Microsoft AD 認証情報を使用した AWS マネジメントコンソール アクセスの有効化](ms_ad_management_console_access.md)」を参照してください。
+ クイック - 詳細については、[「Quick Enterprise Edition でのユーザーアカウントの管理](https://docs.aws.amazon.com/quicksight/latest/user/managing-users-enterprise.html)」を参照してください。
+ AWS IAM アイデンティティセンター - 詳細な手順については、[「IAM アイデンティティセンターをオンプレミスの Active Directory に接続する](https://docs.aws.amazon.com/singlesignon/latest/userguide/connectawsad.html)」を参照してください。
+ AWS Transfer Family - 詳細な手順については、[「Microsoft Active Directory での の使用 Directory Service](https://docs.aws.amazon.com/transfer/latest/userguide/directory-services-users.html)」を参照してください。
+ AWS クライアント VPN - 詳細な手順については、[「クライアント認証と認可](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/authentication-authorization.html)」を参照してください。
+ WorkDocs - 詳細な手順については、「[Connecting to your on-premises directory with AD Connector](https://docs.aws.amazon.com/workdocs/latest/adminguide/connect_directory_connector.html)」を参照してください。
+ Amazon WorkMail - 詳細な手順については、「[Integrate Amazon WorkMail with an existing directory (standard setup)](https://docs.aws.amazon.com/workmail/latest/adminguide/premises_directory.html)」(Amazon WorkMail を既存のディレクトリに統合する (標準セットアップ)) を参照してください。
+ WorkSpaces - 詳細な手順については、「[AD Connector を使用して WorkSpace を起動する](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspace-ad-connector.html)」を参照してください。
**注記**
Amazon RDS は AWS Managed Microsoft AD とのみ互換性があり、AD Connector と互換性がありません。詳細については、よくある質問ページの AWS Managed Microsoft AD セクションを参照してください。 [Directory Service FAQs](https://aws.amazon.com/directoryservice/faqs/#microsoft-ad)
# AD Connector から AWS アプリケーションとサービスへのアクセスを有効にする
ユーザーは、Amazon WorkSpaces などの AWS アプリケーションやサービスに Active Directory へのアクセスを許可することを AD Connector に許可できます。AD Connector を操作するには、次の AWS アプリケーションとサービスを有効または無効にできます。
| AWS アプリケーション/サービス | 詳細情報 |
| --- | --- |
| Amazon Chime | 詳細については、「[Connecting to Active Directory](https://docs.aws.amazon.com/chime/latest/ag/active_directory.html)」を参照してください。 |
| Amazon Connect | 詳細については、「[Amazon Connect 管理者ガイド](https://docs.aws.amazon.com/connect/latest/adminguide/what-is-amazon-connect.html)」を参照してください。 |
| Amazon WorkDocs | 詳細については、「[Getting started with Amazon WorkDocs](https://docs.aws.amazon.com/workdocs/latest/adminguide/getting_started.html)」を参照してください。 |
| Amazon WorkMail | 詳細については、「[Creating an organization](https://docs.aws.amazon.com/workmail/latest/adminguide/add_new_organization.html)」を参照してください。 |
| Amazon WorkSpaces | WorkSpaces から、Simple AD、 AWS Microsoft AD、または AD Connector を直接作成することが可能です。このためには単純に、Workspace の作成時に **[Advanced Setup]** (高度なセットアップ) を起動します。 詳細については、「[Amazon WorkSpaces 管理ガイド](https://docs.aws.amazon.com/workspaces/latest/adminguide/)」を参照してください。 |
| AWS Client VPN | 詳細については、「[AWS Client VPN ユーザーガイド](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/)」を参照してください。 |
| AWS IAM アイデンティティセンター | 詳細については、「[AWS IAM アイデンティティセンター ユーザーガイド](https://docs.aws.amazon.com/singlesignon/latest/userguide/)」を参照してください。 |
| AWS マネジメントコンソール | 詳細については、「[AWS Managed Microsoft AD 認証情報を使用した AWS マネジメントコンソール アクセスの有効化](ms_ad_management_console_access.md)」を参照してください。 |
| AWS Transfer Family | 詳細については、「[AWS Transfer Family ユーザーガイド](https://docs.aws.amazon.com/transfer/latest/userguide/what-is-aws-transfer-family.html)」を参照してください。 |
有効化の完了後は、ディレクトリへのアクセス権限を付与したアプリケーションまたはサービスのコンソールから、そのディレクトへのアクセスを管理します。 Directory Service コンソールで上記の AWS アプリケーションとサービスのリンクを見つけるには、次の手順を実行します。
**ディレクトリにアクセスしているアプリケーションおよびサービスを表示するには**
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) を選択します。
1. **[Directories]** (ディレクトリ) ページで、ディレクトリ ID を選択します。
1. **[Directory details]** (ディレクトリの詳細) ページで、**[Application management]** (アプリケーション管理) タブを選択します。
1. **[AWS アプリとサービス]** セクションでリストを確認します。
を使用して AWS アプリケーションとサービスを認可または認可解除する方法の詳細については Directory Service、「」を参照してください[を使用した AWS アプリケーションとサービスの認可 Directory Service](ad_manage_apps_services_authorization.md)。
# Amazon EC2 インスタンスを Active Directory に結合する方法
AD Connector はディレクトリゲートウェイであり、クラウドに情報をキャッシュすることなく、ディレクトリ要求をオンプレミスの Microsoft Active Directory にリダイレクトできます。Amazon EC2 を Active Directory に結合する方法の詳細について説明します
+ インスタンスを起動したときに Amazon EC2 インスタンスを Active Directory ドメインにシームレスに結合できます。EC2 Windows インスタンスを AWS Managed Microsoft AD に結合する方法の詳細については、「」を参照してください[Amazon EC2 Windows インスタンスを AWS Managed Microsoft AD Active Directory に結合する](launching_instance.md)。
+ EC2 インスタンスを Active Directory ドメインに手動で結合する必要がある場合は、適切な AWS リージョン セキュリティグループまたはサブネットでインスタンスを起動し、そのインスタンスを Active Directory ドメインに結合する必要があります。
+ これらのインスタンスにリモート接続できるようにするには、接続元のネットワークからインスタンスへの IP 接続が必要です。ほとんどの場合、これには、インターネットゲートウェイが Amazon VPC にアタッチされていることと、インスタンスにパブリック IP アドレスがあることが必要です。インターネットゲートウェイを使用したインターネットへの接続の詳細については、「Amazon VPC ユーザーガイド」の「[インターネットゲートウェイを使用してインターネットに接続する](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html)」を参照してください。
**注記**
インスタンスを自己管理型 Active Directory (オンプレミス) に結合すると、インスタンスは Active Directoryと直接通信し、AD Connector をバイパスします。
# AD Connector クォータ
以下に示しているのは、AD Connector のデフォルトのクォータです。特に明記されていない限り、各クォータはリージョンごとに適用されます。
**AD Connector クォータ**
| リソース | デフォルトのクォータ |
| --- | --- |
| AD Connector ディレクトリ | 10 |
| ディレクトリあたりの登録済み認証機関 (CA) 証明書の最大数 | 5 |
# AD Connector のトラブルシューティング
以下のセクションは、AD Connector 作成時および使用時に直面する可能性のある一般的な問題をトラブルシューティングするのに役立ちます。
**Topics**
+ [作成に関する問題](#ad_connector_creation_issues)
+ [接続の問題](#ad_connector_connectivity_issues)
+ [認証問題](#ad_connector_auth_issues)
+ [メンテナンスの問題](#ad_connector_maintenance_issues)
+ [AD Connector を削除できない](#delete_ad_connector)
+ [AD Connector 発行者を調査するための一般的なツール](#ad_connector_troubleshooting_tools)
## 作成に関する問題
**AD Connector の作成に関する一般的な問題は次のとおりです**
+ [ディレクトリを作成すると、「AZ Constrained」(AZ 制約) エラーが表示される](#contrained_az2)
+ [AD Connector を作成しようとすると、「Connectivity issues detected」というエラーが表示される](#ad_creation_connectivity_issues)
### ディレクトリを作成すると、「AZ Constrained」(AZ 制約) エラーが表示される
2012 年以前に作成された一部の AWS アカウントでは、 Directory Service ディレクトリをサポートしていない米国東部 (バージニア北部)、米国西部 (北カリフォルニア)、またはアジアパシフィック (東京) リージョンのアベイラビリティーゾーンにアクセスできる場合があります。Active Directory 作成時にこのようなエラーが表示される場合は、別のアベイラビリティーゾーンのサブネットを選択して、ディレクトリを再度作成します。
### AD Connector を作成しようとすると、「Connectivity issues detected」というエラーが表示される
AD Connector の作成時に「接続の問題が検出されました」というエラーが表示された場合は、ポートの可用性または AD Connector パスワードの複雑さが原因である可能性があります。AD Connector の接続をテストして、次のポートが使用可能かどうかを確認できます。
+ 53 (DNS)
+ 88 (Kerberos)
+ 389 (LDAP)
接続をテストするには、「[AD Connector をテストする](ad_connector_getting_started.md#connect_verification)」を参照してください。接続テストは、AD Connector の IP アドレスが関連付けられている両方のサブネットに結合されたインスタンスで実行する必要があります。
接続テストが成功し、インスタンスがドメインに結合する場合は、AD Connector のパスワードを確認します。AD Connector は AWS パスワードの複雑さの要件を満たしている必要があります。詳細については、「[AD Connector の前提条件](ad_connector_getting_started.md#prereq_connector) のサービスアカウント」を参照してください。
AD Connector がこれらの要件を満たしていない場合は、これらの要件を満たすパスワードを使用する AD Connector を再作成してください。
### 以下のエラーを受け取りました。「ディレクトリの接続中に内部サービスエラーが発生しました。操作を再試行してください。」 AD Connector の作成時のエラー
このエラーは通常、AD Connector の作成が失敗し、自己管理型 Active Directory ドメインの有効なドメインコントローラーに接続できない場合に発生します。
**注記**
[ベストプラクティス](ad_connector_best_practices.md#ad_connector_config_onprem)として、自己管理型ネットワークに Active Directory サイトが定義されている場合は、以下を確認する必要があります:
AD Connector が存在する VPC サブネットが Active Directory サイトで定義されている。
VPC サブネットと他のサイトのサブネットの間に競合がない。
AD Connector はサブネット IP アドレス範囲が AD Connector を含む VPC 内の IP アドレス範囲に近い Active Directory のサイトを使用して、AD ドメインコントローラーを検出します。VPC 内の IP アドレス範囲と同じ IP アドレス範囲のサブネットを持つサイトがある場合、AD Connector はそのサイトのドメインコントローラーを検出します。ドメインコントローラーは、AD Connector が存在するリージョンに物理的に近くない場合があります。
+ カスタマーマネージド Active Directory ドメインで作成された DNS SRV レコードに不整合があります (これらのレコードは `_ldap._tcp.` および `_kerberos._tcp.` の構文を使用します)。これは、AD Connector がこれらの SRV レコードに基づいて有効なドメインコントローラーを見つけて、接続できなかった場合に発生する可能性があります。
+ AD Connector とファイアウォールデバイスなどのカスタマーマネージド AD 間のネットワークの問題。
ドメインコントローラー、DNS サーバー、およびディレクトリネットワークインターフェイスの VPC フローログで[ネットワークパケットキャプチャ](https://techcommunity.microsoft.com/blog/iis-support-blog/capture-a-network-trace-without-installing-anything--capture-a-network-trace-of-/376503)を使用して、この問題を調査できます。追加のサポートが必要な場合は、[AWS サポート](https://docs.aws.amazon.com//awssupport/latest/user/case-management.html) にお問い合わせください。
## 接続の問題
**AD Connector の接続に関する一般的な問題は次のとおりです**
+ [オンプレミスのディレクトリに接続しようとすると、「Connectivity issues detected」(接続の問題が検出されました) というエラーが表示される](#connectivity_issues_detected)
+ [オンプレミスのディレクトリに接続しようとすると、「DNS unavailable」(DNS が使用できません) というエラーが表示される](#dns_unavailable)
+ [オンプレミスのディレクトリに接続しようとすると、「SRV record」(SRV レコード) というエラーが表示される](#srv_record_not_found)
### オンプレミスのディレクトリに接続しようとすると、「Connectivity issues detected」(接続の問題が検出されました) というエラーが表示される
オンプレミスディレクトリに接続すると、次のようなエラーメッセージが表示されます。接続の問題が検出されました。LDAP が使用できません (TCP ポート 389、IP: **) Kerberos/認証が使用できません (TCP ポート 88、IP: **) 記載されたポートが利用可能であることを確認し、操作を再試行してください。
AD Connector は、以下のポート上で TCP および UDP によってオンプレミスのドメインコントローラーと通信できる必要があります。セキュリティグループおよびオンプレミスのファイアウォールが、これらのポート上の TCP および UDP 通信を許可していることを確認します。詳細については、「[AD Connector の前提条件](ad_connector_getting_started.md#prereq_connector)」を参照してください。
+ 88 (Kerberos)
+ 389 (LDAP)
必要に応じて、追加の TCP/UDP ポートが必要になる場合があります。これらのポートの一部については、次のリストを参照してください。Active Directory で使用されるポートの詳細については、Microsoft ドキュメントの「[Active Directory ドメインと信頼のファイアウォールを構成する方法](https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts)」を参照してください。
+ 135 (RPC エンドポイントマッパー)
+ 646 (LDAP SSL)
+ 3268 (LDAP GC)
+ 3269 (LDAP GC SSL)
### オンプレミスのディレクトリに接続しようとすると、「DNS unavailable」(DNS が使用できません) というエラーが表示される
オンプレミスのディレクトリに接続するときに、次のようなエラーメッセージが表示されます。
```
DNS unavailable (TCP port 53) for IP:
```
AD Connector は、ポート 53 上で TCP および UDP によってオンプレミスの DNS サーバーと通信できる必要があります。セキュリティグループおよびオンプレミスのファイアウォールが、このポート上の TCP および UDP 通信を許可していることを確認します。詳細については、「[AD Connector の前提条件](ad_connector_getting_started.md#prereq_connector)」を参照してください。
### オンプレミスのディレクトリに接続しようとすると、「SRV record」(SRV レコード) というエラーが表示される
オンプレミスのディレクトリに接続するときに、次のいずれかまたは複数のエラーメッセージが表示されます。
```
SRV record for LDAP does not exist for IP: SRV record for Kerberos does not exist for IP:
```
AD Connector は、ディレクトリに接続するときに、`_ldap._tcp.` および `_kerberos._tcp.` SRV レコードを取得する必要があります。ディレクトリに接続するときに、サービスが指定された DNS サーバーからこれらのレコードを取得できない場合、このエラーが表示されます。これらの SRV レコードの詳細については、「[SRV record requirements](ad_connector_getting_started.md#srv_records)」を参照してください。
## 認証問題
**AD Connector の一般的な認証問題は次のとおりです。**
+ [スマートカード Amazon WorkSpaces で にサインインしようとすると、「証明書の検証に失敗しました」というエラーが表示される](#cert_validation_failure)
+ [AD Connector で使用されるサービスアカウントで認証を試みると、「Invalid Credentials」(無効な認証情報) というエラーが表示される](#invalid_creds)
+ [AWS アプリケーションを使用してユーザーまたはグループを検索すると、「認証できない」というエラーが表示される](#fails_when_searching)
+ [AD Connector サービスアカウントを更新しようとすると、ディレクトリ認証情報に関するエラーが表示される](#error_with_ad_creds)
+ [一部のユーザーがディレクトリで認証されない](#kerberos_preauth2)
### スマートカード Amazon WorkSpaces で にサインインしようとすると、「証明書の検証に失敗しました」というエラーが表示される
スマートカードで WorkSpaces にサインインしようとすると、次のようなエラーメッセージが表示されます: [**ERROR]**: Certificate Validation failed. ブラウザまたはアプリケーションを再起動してもう一度試行し、正しい証明書を選択していることを確認してください。このエラーは、スマートカードの証明書が証明書を使用するクライアントに適切に保存されていない場合に発生します。AD Connector とスマートカードの要件の詳細については、「[前提条件](ad_connector_clientauth.md#prereqs-clientauth)」を参照してください。
**ユーザーの証明書ストアに証明書を保存するスマートカードの機能をトラブルシューティングするには、次の手順に従います:**
1. 証明書へのアクセスに問題があるデバイスで、Microsoft Management Console (MMC) にアクセスします。
**重要**
先に進む前に、スマートカードの証明書のコピーを作成します。
1. MMC の証明書ストアに移動します。証明書ストアからユーザーのスマートカード証明書を削除します。MMC で証明書ストアを表示する方法の詳細については、Microsoft ドキュメントの「[方法: MMC スナップインを使用して証明書を参照する](https://learn.microsoft.com/en-us/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in)」を参照してください。
1. スマートカードを削除します。
1. スマートカードを再度挿入して、ユーザーの証明書ストアにスマートカード証明書を再度入力できるようにします。
**警告**
スマートカードが証明書を User Store に再入力していない場合、WorkSpaces スマートカード認証には使用できません。
AD Connector のサービスアカウントには、次のものが必要です:
+ `my/spn` がサービスプリンシパル名に追加される
+ LDAP サービスに委任
証明書がスマートカードに再入力されると、オンプレミスドメインコントローラーをチェックして、サブジェクト代替名のユーザープリンシパルネーム (UPN) マッピングからブロックされているかどうかを判断する必要があります。この変更の詳細については、Microsoft ドキュメントの「[UPN マッピングのサブジェクトの別名を無効にする方法](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/disable-subject-alternative-name-upn-mapping)」を参照してください。
**ドメインコントローラーのレジストリキーを確認するには、次の手順に従います:**
+ 「**レジストリエディター**」で、次のレジストリエントリに移動します
**HKEY\$1LOCAL\$1MACHINE\$1SYSTEM\$1CurrentControlSet\$1Services\$1Kdc\$1UseSubjectAltName**
1. UseSubjectAltName の値を検査します:
1. 値が **[0]** に設定されている場合、**[サブジェクト代替名]** のマッピングは **[無効]** になり、特定の証明書を 1 人のユーザーにのみ明示的にマッピングする必要があります。1 つの証明書が複数のユーザーにマッピングされ、この値が 0 の場合、その証明書を使用したログインは失敗します。
1. 値が**設定されていない、または 1 に設定されている**場合、特定の証明書を 1 人のユーザーのみに明示的にマッピングするか、ログインに **[サブジェクト代替名]** フィールドを使用する必要があります。
1. 証明書に **[サブジェクト代替名]** フィールドが存在する場合、それが優先されます。
1. **[サブジェクト代替名]** フィールドが証明書に存在せず、証明書が複数のユーザーに明示的にマッピングされている場合、その証明書を使用したログインは失敗します。
**注記**
レジストリキーがオンプレミスのドメインコントローラーで設定されている場合、AD Connector は Active Directory 内のユーザーを検出できず、上記のエラーメッセージが表示されます。
認証機関 (CA) 証明書は、AD Connector スマートカード証明書にアップロードする必要があります。証明書には OCSP 情報が含まれている必要があります。CA の追加要件を以下の通りです:
+ 証明書は、ドメインコントローラー、認証機関サーバー、WorkSpaces の信頼されたルート権限にある必要があります。
+ オフライン CA 証明書とルート CA 証明書には OSCP 情報は含まれません。これらの証明書には、取り消しに関する情報が含まれています。
+ スマートカード認証にサードパーティーの CA 証明書を使用している場合は、CA 証明書と中間証明書を Active Directory NTAuth ストアに発行する必要があります。これらは、すべてのドメインコントローラー、認証機関サーバー、WorkSpaces の信頼できるルート権限にインストールされる必要があります。
+ 次のコマンドを使用して、Active Directory NTAuth ストアに証明書を発行できます:
```
certutil -dspublish -f Third_Party_CA.cer NTAuthCA
```
NTAuth ストアへの証明書の発行の詳細については、一般的なアクセスカードのインストールで Amazon WorkSpaces をアクセスするガイドの「[Enterprise NTAuth ストアに発行済み CA 証明書をインポートする](https://docs.aws.amazon.com//whitepapers/latest/access-workspaces-with-access-cards/import-the-issuing-ca-certificate-into-the-enterprise-ntauth-store.html)」を参照してください。**
**ユーザー証明書または CA チェーン証明書が OCSP によって検証されているかどうかを確認するには、次の手順に従います:**
1. スマートカード証明書を C: ドライブなどのローカルマシン上の場所にエクスポートします。
1. コマンドラインプロンプトを開き、エクスポートされたスマートカード証明書が保存されている場所に移動します。
1. 次のコマンドを入力します。
```
certutil -URL Certficate_name.cer
```
1. コマンドを使用すると、ポップアップウィンドウが表示されます。右隅の **[OCSP オプション]** を選択し、**[取得]** を選択します。「検証済み」のステータスで返されるはずです。
certutil コマンドの詳細については、Microsoft ドキュメントの「[certutil](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/certutil)」を参照してください
### AD Connector で使用されるサービスアカウントで認証を試みると、「Invalid Credentials」(無効な認証情報) というエラーが表示される
このエラーは、ドメインコントローラーのハードドライブ容量が不足している場合に発生する場合があります。ドメインコントローラーのハードドライブがいっぱいでないことを確認します。
### AD Connector サービスアカウントを更新しようとすると、「エラーが発生しました」または「予期しないエラー」が表示される
[Amazon WorkSpaces Console Launch Wizard](https://docs.aws.amazon.com//workspaces/latest/adminguide/launch-workspace-ad-connector.html#create-workspace-ad-connector) などの AWS エンタープライズアプリケーションでユーザーを検索するときに、次のエラーまたは症状が発生します。
+ エラーが発生しました。問題が解決しない場合は、コミュニティフォーラムの AWS サポート チームにお問い合わせください AWS 。
+ エラーが発生しました。ディレクトリには認証情報の更新が必要です。ディレクトリの認証情報を更新してください。
AD Connector で AD Connector サービスアカウントの認証情報を更新しようとすると、次のエラーメッセージが表示されます:
+ 予期しないエラー。予期しないエラーが発生しました。
+ エラーが発生しました。サービスアカウントとパスワードの組み合わせに問題があり、エラーが発生しました。もう一度試してください。
AD Connector ディレクトリのサービスアカウントは、カスタマーマネージド Active Directory にあります。アカウントは、 AWS エンタープライズアプリケーションに代わって AD Connector を介して、カスタマーマネージド Active Directory ドメインに対し、クエリや操作を実行するための ID として使用されます。AD Connector は、Kerberos と LDAP を使用してこれらの操作を実行します。
**次のリストでは、これらのエラーメッセージの意味について説明します。**
+ 時刻の同期と Kerberos に問題がある可能性があります。AD Connector は Kerberos 認証リクエストを Active Directory に送信します。これらのリクエストには時間的制約があり、遅延すると失敗します。カスタマーマネージドドメインコントローラー間に時刻同期に関する問題がないことを確認します。この問題を解決するには、Microsoft ドキュメントの「[推奨 - 権限のあるタイム ソースを使用してルート PDC を構成し、広範囲に及ぶ時刻のずれを回避する](https://learn.microsoft.com/en-us/services-hub/unified/health/remediation-steps-ad/configure-the-root-pdc-with-an-authoritative-time-source-and-avoid-widespread-time-skew)」を参照してください。タイムサービスと同期の詳細については、以下を参照してください:
+ [Windows タイムサービスの仕組み](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/how-the-windows-time-service-works)
+ [コンピュータクロック同期の最大許容値](https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-tolerance-for-computer-clock-synchronization)
+ [Windows タイムサービスツールと設定](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings?tabs=config)
+ AD Connector とカスタマーマネージドドメインコントローラーの間にファイアウォールや VPN ハードウェア設定など、ネットワーク [MTU](https://support.microsoft.com/en-us/topic/the-default-mtu-sizes-for-different-network-topologies-b25262c5-d90f-456d-7647-e09192eeeef4) 制限がある中間ネットワークデバイスは、[ネットワークの断片化](https://en.wikipedia.org/wiki/IP_fragmentation)が原因でこのエラーを引き起こす可能性があります。
+ MTU 制限を確認するには、カスタマーマネージドドメインコントローラーと、AD Connector を介して接続されているディレクトリサブネットのいずれかで起動された Amazon EC2 インスタンスとの間で [Ping テスト](https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/mtu-size-matters/1025286)を実行できます。フレームサイズは、デフォルトのサイズである 1500 バイト以下にする必要があります
+ ping テストは、フレームサイズが 1500 バイト (ジャンボフレームとも呼ばれます) を超えているかどうか、そして断片化を必要とせずに AD Connector VPC とサブネットに到達できるかどうかを把握するのに役立ちます。さらに、ネットワークチームに確認し、ジャンボフレームが中間ネットワークデバイスで許可されていることを確認します。
+ AD Connector で[クライアント側の LDAPS](ad_connector_ldap_client_side.md) が有効になっていて、証明書の有効期限が切れている場合、この問題が発生する可能性があります。サーバー側の証明書と CA 証明書の両方が有効で、有効期限が切れておらず、[LDAP ドキュメント](ad_connector_ldap_client_side.md#prereqs-ldap-client-side)の要件を満たしていることを確認します。
+ カスタマーマネージド Active Directory ドメインで[仮想リストビューサポート](https://learn.microsoft.com/en-us/windows/win32/controls/use-virtual-list-view-controls)が無効になっている場合、AD Connector AWS は LDAP クエリで VLV 検索を使用するため、アプリケーションはユーザーを検索できません。DisableVLVSupport がゼロ以外の値に設定されている場合、仮想リストビューのサポートは無効になります。次の手順を使用して、Active Directory で[仮想リストビュー (VLV) サポート](https://learn.microsoft.com/en-us/previous-versions/office/exchange-server-analyzer/cc540446(v=exchg.80)?redirectedfrom=MSDN)が有効になっていることを確認します:
1. Schema Admin 認証情報を持つアカウントを使用して、スキーママスターロール所有者としてドメインコントローラーにログインします。
1. **[スタート]** の次に **[実行]** を選択し、**Adsiedit.msc** と入力します。
1. ADSI Edit ツールで、**コンフィギュレーションパーティション**に接続し、**Configuration[DomainController] **ノードを展開します。
1. **CN=Configuration,DC=DomainName** コンテナを展開します。
1. **CN=Services** オブジェクトを展開します。
1. **CN=Windows NT** オブジェクトを展開します。
1. **CN=Directory Service** オブジェクトを選択します。**[プロパティ]** を選択します。
1. 属性リストで、**msds-Other-Settings** を選択します。**[Edit]** (編集) を選択します。
1. [Values] リストで、**DisableVLVSupport=x** のインスタンスのうち、x が **0** と等しくないインスタンスを選択し、**[削除]** を選択します。
1. 削除したら、**DisableVLVSupport=0** と入力します。**[追加]** を選択します。
1. [**OK**] を選択します。ADSI Edit ツールを閉じることができます。次の図は、ADSI Edit ウィンドウの [Multi-valued String Editor] ダイアログボックスを示しています。
![\[Multi-valued String Editor と DisableVLVSupport=0 が強調表示された ADSI Edit ダイアログボックス。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/DisableVLVSupport.png)
**注記**
ユーザー数が 100,000 人を超える大規模な Active Directory インフラストラクチャでは、特定のユーザーのみを検索できる場合があります。ただし、すべてのユーザーを一度に一覧表示しようとすると (例: **WorkSpaces Launch Wizard ですべてのユーザーを表示**)、VLV サポートが有効になっていても同じエラーが発生する可能性があります。AD Connector では、Subtree Index を使用して属性「CN」の結果をソートする必要があります。Subtree Index は、ドメインコントローラーが仮想リストビュー (LDAP) 検索操作を実行できるように準備するタイプのインデックスであり、これにより AD Connector がソート済み検索を完了できるようになります。このインデックスは VLV 検索を改善し、[MaxTempTableSize](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-set-ldap-policy-using-ntdsutil) と呼ばれる一時データベーステーブルの使用を回避します。このテーブルのサイズは異なる場合がありますが、デフォルトではエントリの最大数は 10,000 (デフォルトクエリポリシーの MaxTempTableSize 設定) です。MaxTempTableSize を増やすと、Subtree Indexing を使用するよりも効率が低下します。大規模な AD 環境でこれらのエラーを回避するには、Subtree Indexing を使用することをお勧めします。
Subtree Index を有効にするには、次の手順に従って ADSEdit を使用し、Active Directory スキーマの属性定義で [searchflags](https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/mcm-active-directory-indexing-for-the-masses/ba-p/255867) 属性を 65 (0x41) の値に変更します:
1. Schema Admin 認証情報を持つアカウントを使用して、スキーママスターロール所有者としてドメインコントローラーにログインします。
1. **[スタート]** から **[実行]** を選択し、**Adsiedit.msc** と入力します。
1. ADSI Edit ツールで、**スキーマパーティション**に接続します。
1. **CN=Schema,CN=Configuration,DC=DomainName** コンテナを展開します。
1. 「**Common-Name**」属性を見つけ、右クリックして **[プロパティ]** を選択します。
1. **searchFlags **属性を見つけ、その値を **65 (0x41)** に変更して、通常のインデックスとともに SubTree Indexing を有効にします。
次の図は、ADSI Edit ウィンドウの CN=Common-Name プロパティダイアログボックスを示しています:
![\[searchFlags 属性が強調表示された状態で ADSI 編集ダイアログボックスが開きます。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/SUBTREE_INDEX.png)
1. [**OK**] を選択します。ADSI Edit ツールを閉じることができます。
1. 確認のため、AD が指定された属性の新しいインデックスを正常に作成したことを示すイベント ID 1137 (ソース: Active Directory\$1DomainServices) が表示されるはずです。
詳細については、「[Microsoft ドキュメント](https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/mcm-active-directory-indexing-for-the-masses/ba-p/255867)」を参照してください。
### AWS アプリケーションを使用してユーザーまたはグループを検索すると、「認証できない」というエラーが表示される
AD Connector のステータスがアクティブであっても、ユーザーを検索したり、WorkSpaces や Quick などのアプリケーションにログイン AWS したりすると、エラーが発生することがあります。AD Connector のサービスアカウントのパスワードが変更されているか、有効期限が切れている場合、AD Connector は Active Directory ドメインにクエリを実行できなくなります。AD 管理者に連絡して、以下を確認してください:
+ AD Connector サービスアカウントのパスワードの有効期限が切れていないことを確認します。
+ AD Connector サービスアカウントに「**次回ログオン時にユーザーはパスワードを変更する必要があります**」オプションが有効になっていないことを確認します。
+ AD Connector サービスのアカウントがロックされていないことを確認します。
+ パスワードの有効期限が切れているか、変更されているかわからない場合は、サービスアカウントのパスワードをリセットし、AD Connector で同じパスワードを[更新](ad_connector_update_creds.md)することもできます。
### AD Connector サービスアカウントを更新しようとすると、ディレクトリ認証情報に関するエラーが表示される
AD Connector サービスアカウントを更新しようとすると、次のようなエラーメッセージが表示されます:
メッセージ: エラーが発生しました。ディレクトリには認証情報の更新が必要です。ディレクトリの認証情報を更新してください。エラーが発生しました。ディレクトリには認証情報の更新が必要です。「Update your AD Connector Service Account Credentials」に従って、ディレクトリの認証情報を更新してください メッセージ: エラーが発生しました。リクエストに問題があります。以下の詳細を参照してください。サービスアカウントとパスワードの組み合わせに問題があり、エラーが発生しました。
時刻の同期と Kerberos に問題がある可能性があります。AD Connector は Kerberos 認証リクエストを Active Directory に送信します。これらのリクエストには時間的制約があり、遅延すると失敗します。この問題を解決するには、Microsoft ドキュメントの「[推奨 - 権限のあるタイム ソースを使用してルート PDC を構成し、広範囲に及ぶ時刻のずれを回避する](https://learn.microsoft.com/en-us/services-hub/unified/health/remediation-steps-ad/configure-the-root-pdc-with-an-authoritative-time-source-and-avoid-widespread-time-skew)」を参照してください。タイムサービスと同期の詳細については、以下を参照してください:
+ [Windows タイムサービスの仕組み](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/how-the-windows-time-service-works)
+ [コンピュータクロック同期の最大許容値](https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-tolerance-for-computer-clock-synchronization)
+ [Windows タイムサービスツールと設定](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings?tabs=config)
### 一部のユーザーがディレクトリで認証されない
ユーザーアカウントの Kerberos 事前認証を有効にしておく必要があります。これは、新しいユーザーアカウントのデフォルト設定ですが、変更しないでください。この設定の詳細については、Microsoft TechNet の「[事前認証](http://technet.microsoft.com/en-us/library/cc961961.aspx)」を参照してください。
## メンテナンスの問題
**AD Connector の一般的なメンテナンス問題は次のとおりです**
+ ディレクトリが「Requested」(リクエスト済み) の状態から変化しない
+ Amazon EC2 インスタンスのシームレスなドメイン結合の動作が停止した
### ディレクトリが「Requested」(リクエスト済み) の状態から変化しない
5 分を経過しても、ディレクトリのステータスが「Requested」(リクエスト済み) の状態から変わらない場合は、ディレクトリを削除して、作成し直してください。この問題が解決しない場合は、[AWS サポート](https://aws.amazon.com/contact-us/) までお問い合わせください。
### Amazon EC2 インスタンスのシームレスなドメイン結合の動作が停止した
EC2 インスタンスのシームレスなドメイン結合が動作していたものの、その後、AD Connector がアクティブになっている時に停止した場合は、AD Connector サービスアカウントの認証情報が期限切れになっている可能性があります。認証情報が期限切れになると、AD Connector が Active Directory 内にコンピュータオブジェクトを作成できなくなる可能性があります。
**この問題を解消するには、パスワードが一致するように、次の順序でサービスアカウントのパスワードを更新します。**
1. Active Directory のサービスアカウントのパスワードを更新します。
1. Directory Serviceでの AD Connector のサービスアカウントのパスワードを更新します。詳細については、「[での AD Connector サービスアカウントの認証情報の更新 AWS マネジメントコンソール](ad_connector_update_creds.md)」を参照してください。
**重要**
のパスワードのみを更新 Directory Service しても、パスワードの変更は既存のオンプレミス Active Directory にプッシュされないため、前の手順で示した順序で更新することが重要です。
## AD Connector を削除できない
AD Connector が動作不能な状態に切り替わると、ドメインコントローラーにアクセスできなくなります。AD Connector にリンクされているアプリケーションがまだ存在する場合は、それらのアプリケーションの 1 つが引き続きディレクトリを使用している可能性があるため、AD Connector の削除をブロックします。AD Connector を削除するには、無効にする必要があるアプリケーションのリストについては、「[AD Connector を削除する](ad_connector_delete.md)」を参照してください。AD Connector を削除できない場合は、[AWS サポート](https://aws.amazon.com/contact-us/) を通じてサポートをリクエストできます。
## AD Connector 発行者を調査するための一般的なツール
次のツールを使用して、作成、認証、接続に関連するさまざまな AD Connector の問題をトラブルシューティングできます:
**DirectoryServicePortTest ツール**
[DirectoryServicePortTest](samples/DirectoryServicePortTest.zip) テストツールは、AD Connector とカスタマーマネージド Active Directory または DNS サーバー間の接続問題のトラブルシューティングに役立ちます。ツールの使用方法の詳細については、「[AD Connector をテストする](ad_connector_getting_started.md#connect_verification)」を参照してください。
**パケットキャプチャツール**
組み込みの Windows パッケージキャプチャユーティリティ ([netsh](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/jj129382(v=ws.11))) を使用して、ネットワークまたは Active Directory 通信 (ldap および kerberos) の潜在的な問題を調査およびトラブルシューティングできます。詳細については、「[Capture a Network Trace without installing anything](https://techcommunity.microsoft.com/t5/iis-support-blog/capture-a-network-trace-without-installing-anything-amp-capture/ba-p/376503)」(インストールを一切行わずにネットワークトレースをキャプチャする) を参照してください。
**VPC フローログ**
AD Connector から受信および送信されるリクエストをよりよく理解するために、ディレクトリネットワークインターフェイスの [VPC フローログ](https://docs.aws.amazon.com//vpc/latest/userguide/working-with-flow-logs.html)を設定できます。で使用するために予約されているすべてのネットワークインターフェイスは、 の説明 Directory Service で識別できます`AWS created network interface for directory your-directory-id`。
単純なユースケースは、多数のドメインコントローラーを持つカスタマーマネージド Active Directory ドメインを使用した AD Connector の作成時です。VPC フローログを使用し、Kerberos ポート (88) でフィルタリングして、カスタマーマネージド Active Directory 内のどのドメインコントローラーが認証に利用されているかを確認できます。