作成日
最終更新
記事区分目次
Microservicesアーキテクチャを実践中!
Directory Service によって、AWS において Active Directory (AD) を利用できます。例えば Windows Server 2019 EC2 インスタンスへの User CAL インストールの際に AD が必要となります。Windows Server を設定して自前で AD 構築することもできますが、ここでは Directory Service を利用するための基本設定を記載します。
AWS Directory Service 初期設定の例
AWS Directory Service を用いると AWS マネージドな Active Directory (AD) を利用できます。
Standard Edition を利用してみます。
AD の Domain Controller (DC) および DNS が所属することになる VPC と AZ を指定します。
AD の DC および DNS は各 AZ にそれぞれ存在しており、Domain に Join する EC2 では DNS サーバの IP を指定します。
補足
- Active Directory (AD) における Domain を管理するサーバは Domain Controller (DC) です。
- Domain
corp.example.comを DC の IP に名前解決する DNS サーバも AD の構成要素の一つです。 - Domain に参加するサーバは AD の DNS サーバを利用する必要があります。
Active DirectoryにおけるDNSの役割【連載:ADについて学ぼう基礎編(5)】
EC2 Windows Server を Domain に参加させるための設定
EC2 Windows Server は既定では Domain に所属しておらず Workgroup 設定となっています。参考: Manually join a Windows instance
Domain に参加させるために、まずは DNS 設定を変更します。コントロールパネルから Ethernet 設定を開きます。
Properties をクリックします。
IPv4 の Properties をクリックします。
Directory Service で構築された DNS の IP を指定します。
正しく設定されたことを確認します。
確かに corp.example.com を DC の IP に解決できることを確認します。今回の例では DC と DNS は同一サーバということになります。
先程の画面で Change Settings をクリックします。
Change をクリックします。
Domain を指定します。
Domain の admin アカウントの認証情報を指定します。
正常に設定されると以下のようなウィンドウが表示されます。
設定を反映させるためには再起動が必要です。
引き続きローカルアカウントでもログオンできますが、Domain に参加した後は AD 内のユーザでログオンできます。
正しく Domain に参加できたことも確認します。
補足
上記設定によって手動で Domain に参加させることもできますが、EC2 を新規に起動する際に Domain を指定することもできます。
AD 管理用のツールのインストール
Directory Service は AD 管理用の Web UI を持たないため、Domain 参加した Windows Server にツールをインストールする必要があります。
Server Manager の Add Roles and Features をクリックします。
Next をクリックします。
Role-based or feature-based installation を選択します。
Next をクリックします。
Next をクリックします。本ページの例では Role ではなく feature 指定でインストールします。
Group Policy Management をチェックします。
以下の feature をチェックします。
- AD DS and AD LDS Tools
- DNS Server Tools
再起動することを許可したうえで Install します。
以下のようなツールがインストールされたことが確認できます。
参考資料
- AWS Directory Service: Configure and Administer Your AWS Managed Microsoft AD
- Installing the Active Directory administration tools
新規 AD ユーザの追加および RDP 許可設定
新規 AD ユーザの追加
「Active Directory Users and Computers」を起動します。
New → User をクリックします。
新規アカウントの情報を入力します。
パスワードを設定します。
RDP 許可設定
同じ OU に Group を追加します。
グループ名を入力します。
グループのプロパティを編集します。
RDP を許可したいユーザを追加します。
Group Policy Management を起動します。
Group Policy Object (GPO) を新規作成します。
GPO 名を入力します。
GPO を編集します。
新規ウィンドウとして開かれた Group Policy Management Editor を以下のように操作します。
GPO に Group を追加します。
作成済みの Group を選択します。
OK をクリックします。
定期処理を待たずに Policy を反映させるためには、以下のコマンドを実行します。
確かに corp.example.com\rdp-user02 で RDP できることを確認します。
参考資料
記事の執筆者にステッカーを贈る
有益な情報に対するお礼として、またはコメント欄における質問への返答に対するお礼として、 記事の読者は、執筆者に有料のステッカーを贈ることができます。
さらに詳しく →
Feedbacks
ログインするとコメントを投稿できます。
関連記事
- AWS EC2 インスタンスの選定方法準仮想化と完全仮想化 AWS のインスタンスタイプが準仮想化と完全仮想化のどちらの仮想化技術を採用したハードウェアであるかによって、使用できる AMI (OS) が異なるのは以下の理由によります。 準仮想化 ParaVirtualization (PV) において OS は自分が仮想化用のハードウェア上で動作していることを知っています。つまり仮想化用にカスタマイズされた専用の OS が必要になりま...
- OpenVPN で二つの VPC をつなぐための設定インターネット VPN (Virtual Private Network) には二拠点間の通信を暗号化する方式によって IPsec-VPN や SSL-VPN などがあります。OpenVPN は SSL-VPN の実装のひとつです。AWS VPC を二つ用意してそれらを OpenVPN で接続してみます。 VPC の構成 myvpc-1 (10.1.0.0/16) mysubnet-1-1 (10...
- Windows Server EC2 インスタンスへの CAL インストール
Windows サーバを AWS EC2 インスタンスとして起動した後は、RDP 接続が必要となります。RDP 接続を行なうためには Remote Desktop Services (RDS) ライセンスが必要となります。 Windows Server のライセンスは、管理用途の RDS 接続を許可しています。その際に RDS ライセンスは不要です。ただし、[同時接続数が 2 という制限があります... - AWS Lambda の基本的な使い方
AWS Lambda はイベントドリブンな「関数」を登録できるサービスです。例えば S3 に画像がアップロードされたときにサムネイル用のサイズに加工する処理が記述された関数を登録できます。基本的な使い方をまとめます。 事前準備 関数の登録はブラウザで AWS コンソールにログインして行うこともできますが、本ページでは AWS C - AWS 落穂拾い (Data Engineering)Kinesis Kinesis Streams データは 3 AZ にレプリケーションされます。Amazon Kinesis Data Streams FAQs 24 時間 (既定値) から 1 年までデータ保持できます。[Changing the Data Retention Period](https://docs.aws.amazon
