AWS Managed Microsoft AD で作成されるもの

Elastic Network Interface (ENI) を自動作成し、各ドメインコントローラーと関連付けます。これらの各 ENIs は VPC とDirectory Serviceドメインコントローラー間の接続に不可欠であり、削除しないでください。で使用するために予約されているすべてのネットワークインターフェイスは、「ディレクトリ directory-id 用にAWS作成されたネットワークインターフェイス」という説明Directory Serviceで識別できます。詳細については、「Amazon EC2 ユーザーガイド」の「Elastic Network Interface」を参照してください。AWSManaged Microsoft AD Active Directory のデフォルトの DNS サーバーは、Classless Inter-Domain Routing (CIDR)+2 の VPC DNS サーバーです。詳細については、「Amazon VPC ユーザーガイド」の「Amazon DNS サーバー」を参照してください。

注記

ドメインコントローラーは、デフォルトでリージョン内の 2 つのアベイラビリティーゾーンにまたがってデプロイされ、Amazon VPCloud (VPC) に接続されます。バックアップは 1 日に 1 回自動的に実行され、Amazon EBS (EBS) ボリュームは保管中のデータを保護するために暗号化されます。障害が発生したドメインコントローラーは、同じ IP アドレスを使用して同じアベイラビリティーゾーン内で自動的に置き換えられ、最新のバックアップを使用して完全な災害対策を実行できます。

耐障害性と高可用性のために、2 つのドメインコントローラーを使用して VPC 内で Active Directory がプロビジョニングされます。ディレクトリが正常に作成されて Active になった後で、回復性とパフォーマンスを高めるためにドメインコントローラーを追加でプロビジョニングできます。詳細については、「AWS Managed Microsoft AD に追加するドメインコントローラーのデプロイ」を参照してください。

注記

AWSでは、 AWSManaged Microsoft AD ドメインコントローラーにモニタリングエージェントをインストールすることはできません。

ドメインコントローラーに出入りするトラフィックのネットワークルールを確立する AWS セキュリティグループ sg-1234567890abcdef0 を作成します。デフォルトのアウトバウンドルールでは、すべての IPv4 アドレスへのすべてのトラフィックが許可されます。デフォルトのインバウンドルールでは、AWS Managed Microsoft AD をホストしている VPC に関連付けられたプライマリ IPv4 CIDR ブロックから、Active Directory に必要なポートを通過するトラフィックだけが許可されます。セキュリティを強化するため、作成された ENI には Elastic IP がアタッチされず、これらの ENI に Elastic IP をアタッチするためのアクセス許可はユーザーに付与されません。したがって、デフォルトで AWSManaged Microsoft AD と通信できるインバウンドトラフィックはローカル VPC のみです。セキュリティグループのルールを変更して、VPN 経由で到達可能な他のピア接続された VPC や CIDR など、追加のトラフィックソースを許可できます。これらのルールを変更すると、ドメインコントローラーと通信できなくなる可能性があるため、変更する場合は細心の注意を払ってください。詳細については、「AWSManaged Microsoft AD のベストプラクティス」および「AWS Managed Microsoft AD のネットワークセキュリティ設定の強化」を参照してください。

プレフィックスリストを使用して、セキュリティグループルール内の CIDR ブロックを管理できます。プレフィックスリストを使用すると、セキュリティグループとルートテーブルの設定と管理が容易になります。複数の CIDR ブロックを同じポートとプロトコルに統合して、ネットワークトラフィックをスケーリングできます。

Windows 環境では、クライアントはサーバーメッセージブロック (SMB) またはポート 445 を介して通信することがよくあります。このプロトコルは、ファイルとプリンターの共有や一般的なネットワーク通信など、さまざまなアクションを容易にします。AWSManaged Microsoft AD ドメインコントローラーの管理インターフェイスへのクライアントトラフィックがポート 445 に表示されます。

このトラフィックは、SMB クライアントが DNS (ポート 53) と NetBIOS (ポート 138) の名前解決に依存して AWSManaged Microsoft AD ドメインリソースを見つけるときに発生します。これらのクライアントは、ドメインリソースを検索するとき、ドメインコントローラーで使用可能なインターフェイスに誘導されます。この動作は想定されたものであり、複数のネットワークアダプターが存在する環境や、SMB マルチチャネルによりクライアントが異なるインターフェイスを介して接続を確立し、パフォーマンスと冗長性を強化できる環境で頻繁に発生します。

デフォルトでは、次のAWSセキュリティグループルールが作成されます。

インバウンドルール

プロトコル	ポート範囲	ソース	トラフィックの種類	Active Directory の使用
ICMP	該当なし	AWSManaged Microsoft AD VPC IPv4 CIDR	Ping	LDAP キープアライブ、DFS
TCP と UDP	53	AWSManaged Microsoft AD VPC IPv4 CIDR	DNS	ユーザーとコンピュータの認証、名前解決、信頼
TCP と UDP	88	AWSManaged Microsoft AD VPC IPv4 CIDR	Kerberos	ユーザーとコンピュータの認証、フォレストレベルの信頼
TCP と UDP	389	AWSManaged Microsoft AD VPC IPv4 CIDR	LDAP	ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
TCP と UDP	445	AWSManaged Microsoft AD VPC IPv4 CIDR	SMB / CIFS	レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
TCP と UDP	464	AWSManaged Microsoft AD VPC IPv4 CIDR	Kerberos パスワードの変更 / 設定	レプリケーション、ユーザーとコンピュータの認証、信頼
TCP	135	AWSManaged Microsoft AD VPC IPv4 CIDR	レプリケーション	RPC、EPM
TCP	636	AWSManaged Microsoft AD VPC IPv4 CIDR	LDAP SSL	ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
TCP	1024-65535	AWSManaged Microsoft AD VPC IPv4 CIDR	RPC	レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
TCP	3268 - 3269	AWSManaged Microsoft AD VPC IPv4 CIDR	LDAP GC および LDAP GC SSL	ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
UDP	123	AWSManaged Microsoft AD VPC IPv4 CIDR	Windows タイム	Windows タイム、信頼
UDP	138	AWSManaged Microsoft AD VPC IPv4 CIDR	DFSN と NetLogon	DFS、グループポリシー
すべて	すべて	AWSがドメインコントローラー用に作成したセキュリティグループ (`sg-1234567890abcdef0`)	すべてのトラフィック

アウトバウンドルール

プロトコル	ポート範囲	送信先	トラフィックの種類	Active Directory の使用
すべて	すべて	0.0.0.0/0	すべてのトラフィック

Active Directory で使用されるポートとプロトコルの詳細については、Microsoft ドキュメントの「Windows のサービス概要およびネットワークポート要件」を参照してください。

「Admin」というユーザー名と指定されたパスワードを使用して、ディレクトリ管理者アカウントを作成します。このアカウントは、Users OU (例えば、Corp > Users) の下にあります。このアカウントを使用して AWS クラウドのディレクトリを管理します。詳細については、「AWS Managed Microsoft AD 管理者アカウントおよびグループに付与されるアクセス許可」を参照してください。

重要

このパスワードは必ず保存してください。このパスワードは保存Directory Serviceされず、取得できません。ただし、コンソールから、Directory Serviceまたは ResetUserPassword API を使用してパスワードをリセットできます。

ドメインのルートに次の 3 つの組織単位 (OU) を作成します。

OU 名	説明
AWSDelegated Groups	AWS特定のアクセス許可をユーザーに委任するために使用できるすべてのグループを保存します。
AWSReserved	すべてのAWS管理固有のアカウントを保存します。
<yourdomainname>	この OU の名前は、ディレクトリの作成時に入力した NetBIOS 名に基づきます。NetBIOS 名を指定しなかった場合、デフォルトで、Directory DNS 名の最初の部分が使用されます (例えば、corp.example.com の場合、NetBIOS 名は corp となります)。この OU はによって所有AWSされており、AWS関連するすべてのディレクトリオブジェクトが含まれており、フルコントロールが付与されます。デフォルトでは、この OU の下に 2 つの子 OU (Computers および Users) が存在します。例: Corp Computers Users

AWSDelegated Groups OU で次のグループを作成します。

グループ名	説明
AWSDelegated Account Operators	このセキュリティグループのメンバーには、パスワードのリセットなどの限定されたアカウント管理機能が付与されています。
AWSDelegated Active Directory Based Activation Administrators	このセキュリティグループのメンバーは、Active Directory ボリュームライセンスアクティベーションオブジェクトを作成できます。これにより、エンタープライズはドメインへの接続を介してコンピュータをアクティベートできます。
AWSDelegated Add Workstations To Domain Users	このセキュリティグループのメンバーは、10 台のコンピュータをドメインに参加させることができます。
AWSDelegated Administrators	このセキュリティグループのメンバーは、 AWSManaged Microsoft AD を管理し、OU 内のすべてのオブジェクトを完全に制御し、に含まれるグループを管理できますAWS Delegated Groups OU。
AWSDelegated Allowed to Authenticate Objects	このセキュリティグループのメンバーは、AWSReserved OU 内のコンピュータリソースに対する認証を許可されます (信頼に選択的な認証を適用できるオンプレミスオブジェクトにのみ必要)。
AWSDelegated Allowed to Authenticate to Domain Controllers	このセキュリティグループのメンバーは、Domain Controllers OU 内のコンピュータリソースに対する認証を許可されます (信頼に選択的な認証を適用できるオンプレミスオブジェクトにのみ必要)。
AWSDelegated Deleted Object Lifetime Administrators	このセキュリティグループのメンバーは、削除されたオブジェクトを AD ごみ箱から復旧できる期間を定義する msDS-DeletedObjectLifetime オブジェクトを変更できます。
AWSDelegated Distributed File System Administrators	このセキュリティグループのメンバーは、FRS、DFS-R、DFS の名前空間を追加および削除できます。
AWSDelegated Domain Name System Administrators	このセキュリティグループのメンバーは、Active Directory に統合された DNS を管理できます。
AWSDelegated Dynamic Host Configuration Protocol Administrators	このセキュリティグループのメンバーは、エンタープライズ内の Windows DHCP サーバーを承認できます。
AWSDelegated Enterprise Certificate Authority Administrators	このセキュリティグループのメンバーは、Microsoft Enterprise Certificate Authority インフラストラクチャをデプロイおよび管理できます。
AWSDelegated Fine Grained Password Policy Administrators	このセキュリティグループのメンバーは、作成済みの詳細なパスワードポリシーを変更できます。
AWSDelegated FSx Administrators	このセキュリティグループのメンバーは、Amazon FSx リソースを管理できます。
AWSDelegated Group Policy Administrators	このセキュリティグループのメンバーは、グループポリシー管理タスク (作成、編集、削除、リンク) を実行できます。
AWSDelegated Kerberos Delegation Administrators	このセキュリティグループのメンバーは、コンピュータおよびユーザーアカウントオブジェクトに対する委任を有効にすることができます
AWSDelegated Managed Service Account Administrators	このセキュリティグループのメンバーは、マネージド型サービスアカウントを作成および削除できます。
AWSDelegated MS-NPRC Non-Compliant Devices	このセキュリティグループのメンバーは、ドメインコントローラーとの安全なチャネル通信を行う必要はありません。このグループはコンピュータアカウント用です。
AWSDelegated Remote Access Service Administrators	このセキュリティグループのメンバーは、RAS および IAS サーバーグループに対して RAS サーバーを追加および削除できます。
AWSDelegated Replicate Directory Changes Administrators	このセキュリティグループのメンバーは、Active Directory のプロファイル情報を SharePoint Server と同期できます。
AWSDelegated Server Administrators	このセキュリティグループのメンバーは、すべてのドメイン参加済みコンピュータのローカル管理者グループに含まれます。
AWSDelegated Sites and Services Administrators	このセキュリティグループのメンバーは、Active Directory のサイトとサービスで Default-First-Site-Name オブジェクトの名前を変更できます。
AWSDelegated System Management Administrators	このセキュリティグループのメンバーは、システムマネジメントコンテナ内のオブジェクトを作成および管理できます。
AWSDelegated Terminal Server Licensing Administrators	このセキュリティグループのメンバーは、ターミナルサーバーライセンスサーバーグループに属するターミナルサーバーライセンスサーバーを追加および削除できます。
AWSDelegated User Principal Name Suffix Administrators	このセキュリティグループのメンバーは、ユーザープリンシパル名のサフィックスを追加および削除できます。

注記

これらの AWSDelegated Groups を追加することができます。

次のグループポリシーオブジェクト (GPO) を作成して適用します。

注記

これらの GPO を削除、変更、またはリンク解除するアクセス許可がありません。これはAWS、使用のために予約されているため、設計上です。必要に応じて、制御している OU にそれらをリンクできます。

グループポリシー名	適用対象	説明
Default Domain Policy	ドメイン	ドメインパスワードと Kerberos ポリシーが含まれます。
ServerAdmins	ドメインコントローラー以外のすべてのコンピュータアカウント	BUILTIN\Administrators Group のメンバーとして 'AWSDelegated Server Administrators' を追加します。
AWSReserved Policy:User	AWSReserved user accounts	AWS Reserved OU のすべてのユーザーアカウントに対して推奨されるセキュリティ設定を設定します。
AWSManaged Active Directory Policy	すべてのドメインコントローラー	すべてのドメインコントローラーに対して推奨されるセキュリティ設定を設定します。
TimePolicyNT5DS	PDCe 以外のすべてのドメインコントローラー	Windows タイム (NT5DS) を使用するように、PDCe 以外のすべてのドメインコントローラーのタイムポリシーを設定します。
TimePolicyPDC	PDCe ドメインコントローラー	ネットワークタイムプロトコル (NTP) を使用するように PDCe ドメインコントローラーのタイムポリシーを設定します。
Default Domain Controllers Policy	使用されていない	ドメインの作成時にプロビジョニングされたAWSマネージド Active Directory ポリシーが代わりに使用されます。

各 GPO の設定を確認する場合は、グループポリシー管理コンソール (GPMC) を有効にしてドメイン結合した Windows インスタンスから設定を表示できます。

AWSManaged Microsoft AD 管理default local accounts用に以下を作成します。

重要

管理者パスワードを必ず保存してください。このパスワードは保存Directory Serviceされず、取得できません。ただし、コンソールから、Directory Serviceまたは ResetUserPassword API を使用してパスワードをリセットできます。 ResetUserPassword

Admin

Admin は、 AWSManaged Microsoft AD が最初にdirectory administrator account作成されたときに作成されるです。AWSManaged Microsoft AD を作成するときに、このアカウントのパスワードを指定します。このアカウントは、Users OU (例えば、Corp > Users) の下にあります。このアカウントを使用して AWS の Active Directory を管理します。詳細については、「AWS Managed Microsoft AD 管理者アカウントおよびグループに付与されるアクセス許可」を参照してください。

AWS_11111111111

で始まり、アンダースコアがAWS続くにあるアカウント名AWSReserved OUは、サービスマネージドアカウントです。このサービスマネージドアカウントは、が Active Directory を操作するAWSために使用されます。これらのアカウントは、AWSDirectory Service Data が有効になっているとき、および Active Directory で新しいAWSアプリケーションが承認されるたびに作成されます。これらのアカウントには、 AWSサービスのみがアクセスできます。

krbtgt account

krbtgt account は、 AWSManaged Microsoft AD で使用される Kerberos チケット交換で重要な役割を果たします。krbtgt account アカウントは、Kerberos チケットを付与するチケット (TGT) の暗号化に使用される特別なアカウントであり、Kerberos 認証プロトコルのセキュリティに重要な役割を果たします。詳細については、Microsoft のドキュメントを参照してください。

AWSは AWSManaged Microsoft AD のkrbtgt accountパスワードを 90 日ごとに 2 回自動的に更新します。90 日ごとに 2 回の連続ローテーションの間には 24 時間の待機期間があります。