概要

こちらのページでは AWS の Directory Service を利用して Active Directory (AD) を構築しました。

本ページでは Windows Server 自体の設定で AD を構築する例を記載します。

AD の Domain Service (DS) および DNS 役割のインストール

注意

こちらのページに記載の RDS CAL に関連して、AD DC と同じサーバに RDS セッションホストをインストールする場合は、最初に DC をインストールしてから、その後に RDS セッションホストをインストールします。

If you are using a single computer as both the RDS server and as a DC, configure the computer as a DC before you begin installing the RDS roles.

Install Remote Desktop Session Host role service in Windows Server without Connection Broker role service

Server Manager の Add Roles and Features をクリックします。参考: Installing AD DS by using Server Manager

Next をクリックします。

Role-based and feature-based installation をクリックします。

Next をクリックします。

Active Directory Domain Service と DNS Server を選択します。

DNS サーバとして稼働する EC2 インスタンスに静的 IP が付与されていない場合は警告が出ます。今回は検証用の AD であるため、このまま進めます。

Next をクリックします。

Next をクリックします。

Next をクリックします。

再起動することを許可したうえで Install します。

AD DS の初期設定

Server Manager を起動すると AD DS の初期設定が完了していない旨の警告が出ます。
Promote this server to a domain controller をクリックします。

Add a new forest を選択します。onprem.example.com ドメインを forest 内に作成します。参考: AD DS Installation and Removal Wizard Page Descriptions

補足

Forest は Domain Tree が所属する入れ物です。

Active Directoryの基本構成【連載：ADについて学ぼう~基礎編(3)~】

AD が破損した場合に修復するためのモードにおけるパスワードを設定します。

DNS に指定した onprem.example.com は example.com から NS レコードで委譲された zone ではないため、そのまま Next をクリックします。

Next をクリックします。

Next をクリックします。

Next をクリックします。

Install します。

自動で再起動されます。再起動後は domain に参加していることが確認できます。

新規 AD admin ユーザの追加および RDP 許可設定

AWS Directory Service を利用した場合と同様に「Active Directory Users and Computers」を起動します。

「New」→「User」をクリックします。

AD における管理ユーザを作成してみます。

Add to group をクリックします。

Domain Admins に追加します。

RDP 接続できることを確認します。

新規 AD 一般ユーザの追加および RDP 許可設定

onprem.example.com\admin と同様の手順で onprem.example.com\rdp-user99 を追加したとします。

ただし Domain Admins には含めません。RDP 接続しようとすると以下のエラーが表示されます。

Builtin → Remote Desktop Users → Properties をクリックします。

onprem.example.com\rdp-user99 を追加します。

しかしながら RDP 接続は別のエラーで失敗します。

Run から gpedit.msc を起動します。

Allow log on through Remote Desktop Services の Properties をクリックします。

Remote Desktop Users を追加します。

定期処理を待たずにポリシーを更新するためには gpedit /force を実行します。

確かに onprem.example.com\rdp-user99 で RDP できることを確認します。

参考資料

• Allow RDP Access to Domain Controller for Non-admin Users

別のマシンをドメインに参加させるための設定

Windows Server 2019 EC2 インスタンスを別途起動して onprem.example.com に参加させてみます。

設定方法

以下のページに記載の情報と同じです。

• EC2 Windows Server を Domain に参加させるための設定

正しく設定されると以下のようになります。

注意点

AD DS が稼働する EC2 インスタンスでは適切なポートを開放する必要があります。
Directory Service を起動した際に作られる Step2 の Security Group を設定しておけば問題ありません。

• Step 1: Prepare your on-premises Domain
• Step 2: Prepare your AWS Managed Microsoft AD

ドメインに参加したマシンに対して RDP するための設定

Domain Admins に所属するユーザであれば、ドメインに参加したマシンに RDP 可能です。
一般の AD ユーザで RDP するためには以下の設定が必要となります。

• 新規 AD ユーザの追加および RDP 許可設定 / RDP 許可設定

追加で、以下の設定を行います。

AD DS が稼働するマシンで「Group Policy Management」を起動します。「Default Domain Controller」を Edit します。

Allow log on through Remote Desktop Services に対して、作成済みの MyRDPUsers グループと Domain Admins グループを追加します。

Domain Admins を追加し損ねると onprem.example.com\admin で RDP できなくなります。その際は onprem.example.com\rdp-user99 で RDP した後に、各 AD 管理用のツールを「管理者として実行」することで設定を修復します。

ポリシー更新の定期処理を待たない場合は、ドメインに新規に参加したマシンで gpupdate /force を実行します。

確かにログオンできることを確認します。

onprem.example.com ドメインと corp.example.com ドメインに対する信頼関係の設定

本ページで構築した onprem.example.com と、こちらのページにおいて Directory Service で構築した corp.example.com に対して双方向の信頼関係を設定してみます。

それぞれのドメインは別々の forest に所属しているため、信頼関係の設定が必要になります。同じ forest 内の domain 同士に対する設定ではありません。

onprem.example.com における DNS 転送設定

onprem.example.com 側の DNS 設定を行います。

New Conditional Forwarder をクリックします。

Directory Service 側の DNS を指定します。

正しく追加されたことを確認します。

いずれかの AD 内のユーザの設定を確認しておきます。"Do not require Kerberos preauthentication" にチェックが入っていないことを確認します。

onprem.example.com における信頼関係の設定

「Active Directory Domains and Trusts」を起動します。

Properties をクリックします。

New Trust をクリックします。

Next をクリックします。

対向のドメインを指定します。

Forest trust を選択します。

Two-way を選択します。

This domain only を選択します。

Forest-wide authentication を選択します。

後に AWS 側での信頼関係の設定時に入力するパスワードを設定します。

Next をクリックします。

Next をクリックします。

AWS 側の設定が未完了であるため No を選択します。

AWS 側の設定が未完了であるため No を選択します。

Finish を選択します。

正しく登録されたことを確認します。

corp.example.com における信頼関係の設定

AWS Directory Service において Add trust relationship をクリックします。

対向の DNS 設定や信頼関係のパスワードを指定します。

しばらく待ちます。正しく登録されたことを確認します。

参考資料

• Step 1: Prepare your on-premises Domain
• Step 2: Prepare your AWS Managed Microsoft AD
• Step 3: Create the trust relationship
• 第2回 Active Directoryのキホン(1)【MicrosoftのMVP解説！第二弾 Active Directoryのハウツー読本】

RDP の許可設定

corp.example.com に対して onprem.example.com ユーザで RDP するためには以下の設定を追加します。

onprem.example.com に対して corp.example.com ユーザで RDP するためには以下の設定を追加します。

AWS Directory Service による Active Directory 利用の基本設定

概要 Directory Service によって、AWS において Active Directory (AD) を利用できます。例えば Windows Server 2019 EC2 インスタンスへの User CAL インストールの際に AD が必要となります。Windows Server を設定して自前で AD 構築
AWS 落穂拾い (Identity & Federation)

Access Advisor と Access Analyzer 最小権限の原則に関連する、名称が似た機能です。 Access Advisor IAM 権限について、使用状況を確認できます。 Viewing last accessed information for IAM Access Analyzer