AWS EC2 でドメインコントローラ構築【第1回】

多くの企業では既に ActiveDirectory(AD) を導入し、社内PCの認証や設定情報を集中管理していると思います。企業内システムを新たに導入するにしても改修するにしても、エンジニアがセキュリティという観点から逃れることはできず、どうしてもこの『ドメイン環境下における検証環境』というものが欲しくなります。ですが、これがなかなか敷居が高いところ。

そこで「気軽に構築ならクラウドでしょ!」ということで、AWS EC2 で Active Directory を導入し、テスト用のドメインコントローラを構築*してみます。

*AWS Directory Service ( AWS Managed Microsoft Active Directory ) のことではなく、純粋にEC2インスタンス上に Active Directory を導入するということです。

VPC の作成

まず Amazon VPC ( Amazon Virtual Private Cloud ) を作成します。AWS 上に作成する仮想のネットワーク空間です。デフォルトの VPC も存在しますが新しく作成します。
尚、リージョンは「アジアパシフィック(東京) ap-northeast-1」を選択しています。

「サービス」→「VPC」→「VPC」より「VPCの作成」を選択します。

VPCの作成(1)

ここは大きな仮想空間を定義するだけなので、「名前」と「IPv4 CIDR ブロック」のみ入力し「VPC を作成」を実行します。これで「MY-VPC」という名前の VPC が作成されます。

VPCの作成(2)

サブネットの作成

VPCは単なる母屋のイメージで、実際にEC2などを接続するネットワークを定義するためには「サブネット」が必要です。「サービス」→「VPC」→「サブネット」から「サブネットを作成」を選択します。

サブネットの作成(1)

VPC は前項で作成した「MY-VPC」を選択し、「サブネット名」「アベイラビリティゾーン」「IPv4 CIDR ブロック」を入力して「サブネットを作成」を実行します。これでサブネット「MY-SUBNET1-1a」が作成されます。

インターネットゲートウェイの作成

サブネット上に EC2 インスタンスを作成していくわけですが、そのままだとインターネットに出られないので、そのための定義を先にしておきます。 「サービス」→「VPC」→「インターネットゲートウェイ」から「インターネットゲートウェイを作成」を選択します。

インターネットゲートウェイの作成(1)

ここでは「名前」だけの入力で「インターネットゲートウェイの作成」を実行します。これでインターネットゲートウェイ「MY-IGW」が作成されます。

インターネットゲートウェイの作成(2)

次に作成したインターネットゲートウェイを VPC「MY-VPC」にアタッチします。

インターネットゲートウェイの作成(3)

使用可能なVPCで「MY-VPC」を選択し「インターネットゲートウェイのアタッチ」を実行します。

インターネットゲートウェイの作成(4)

ルートテーブルの編集

前項で作成した VPC「MY-VPC」にはデフォルト値でルートテーブルが作成されています。ここには内部ネットワークに対するルートの定義しかありませんので、先ほど定義したインターネットゲートウェイ「MY-IGW」を経由して外に出られるような定義を追加します。「サービス」→「VPC」→「ルートテーブル」から VPC が「MY-VPC」と関連付いているルートテーブルを選択し「ルートを編集」を実行します。

ルートテーブルの作成(1)

「ルートを追加」し、送信先「0.0.0.0/0」に対してターゲットに「インターネットゲートウェイ」を選択すると、先ほど作成した「MY-IGW」が選べるようになっていますので、そちらを選択後「変更を保存」を実行します。

ルートテーブルの作成(2)

EC2 インスタンスの作成

では、作成したVPC上にEC2インスタンスを作成します。「サービス」→「EC2」→「インスタンス」から「インスタンスを起動」を選択します。

EC2 インスタンスの作成(1)

今回構築するのは Active Directory なので Windows を選択します。テスト用なので「無料利用枠の対象」となっているものから選びましょう。このイメージを"with support by ProComputers"というのは、ProComputers.com という会社がサポートしてるって意味だと思われます。"with Support by Supprted Images"は、Supported Images という会社ですね、多分。正直、イメージをどこがサポートしているかはどちらでも良いと思いますが “with Support by Supprted Images" はディスク容量が最低50Gが必要みたいで、無料利用枠30Gを目指す者としては “with support by ProComputers" 一択になろうかと思います。

EC2 インスタンスの作成(2)

インスタンスタイプは「無料利用枠の対象」である t2.micro を選びましょう。
入力後「次のステップ:インスタンスの詳細と設定」を選択します。

EC2 インスタンスの作成(3)

ネットワークには作成したVPC「MY-VPC」を、サブネットには「MY-SUBNET1-1a」を選択します。「自動割り当てパブリックIP」は「有効」を選択します。これにより、インターネットから EC2 インスタンスへアクセスするためのグローバルアドレスが割り当てられます。
入力後「次のステップ:ストレージの追加」を選択します。

EC2 インスタンスの作成(4)

ストレージは 30G までが無料利用枠なのでサイズを 30 のままで「次のステップ:タグの追加」を選択します。

EC2 インスタンスの作成(5)

タグはインスタンス名称(Name)のみ追加します。入力後「次のステップ:セキュリティグループの設定」を選択します。

EC2 インスタンスの作成(6)

セキュリティグループは、説明にもある通り EC2 インスタンスに対するアクセスを制御するためのファイアウォールです。このインスタンスはインターネットからのアクセスを許すようにしますので、必要なポートのみを許すようにします。アクセス元が絞れるなら絞った方が良いでしょう。今回はデフォルトのまま、送信元すべて( 0.0.0.0/0)からのリモートデスクトップ(RDP)のみを許すようにしています。
入力後「確認と作成」を選択します。

EC2 インスタンスの作成(7)

セキュリティグループについては何度も警告されます。それくらい大事なものということです。本当はきちんと考えて設定してください。「テストサーバだから侵入されても別にいいや」と考えてはいけません。バックドアを仕掛けられて、他のシステムを攻撃するための踏み台にされたりするかもしれません。被害者ではなく加害者になってしまうかもってことです。気を付けましょう。
今回は確認後にすぐインスタンスを削除しますので、このままでいきます。「起動」を選択します。

EC2 インスタンスにアクセスするためのパスワードを取得するためのキーペアを作成してダウンロードしておきます。今後、このキーペアを使うことになるのでわかりやすい名前にしておいてください。

EC2 インスタンスの作成(8)

「キーペアのダウンロード」をすると「インスタンスの作成」が選択できるようになりますので実行します。インスタンス作成には最低でも数分はかかります。以下のような状態になれば恐らく接続可能になっていると思います。

EC2 インスタンスの作成(9)

EC2 インスタンスへの接続は、パブリックIPv4を確認して直接リモートデスクトップを利用するのですが、「アクション」→「接続」から行うのがわかりやすいです。

EC2 インスタンスの作成(10)

「インスタンスに接続」では「RDP クライアント」を選択し「リモートデスクトップファイルのダウンロード」を行います。これでパブリックIPv4が埋め込まれたリモートデスクトップのショートカットができます。ログイン時のユーザ名は"Administrator"です。パスワードは「パスワードを取得」をクリックして、前項でダウンロードしたキーペアファイルを使って復号させれば表示されます。

EC2 インスタンスの作成(11)

ダウンロードしたRDPファイルをダブルクリックすることで、ユーザ名とパスワードが要求され、復号したパスワードを入力することでEC2 インスタンスに接続できると思います。

EC2 インスタンスの作成(12)

Active Directory まで辿り着きませんでしたが、続きは次回へ。

尚、EC2 インスタンスは未使用時は「停止」させておきましょう。
時間課金なので。これ大事です。

AWSActive Directory

Posted by takmaru