AWS Microsoft AD と既存 AD との信頼関係

「AD Connector で Amazon WorkSpaces ドメイン参加【第1回】」では既存ADとの連携に AD Connector を利用しましたが、Microsoft AD と既存 AD との間に信頼関係を作成して連携させることも可能です。今回はそれをやってみようと思います。

Microsoft AD の無料利用枠

AWS Microsoft AD (正式名称は AWS Directory Service for Microsoft Active Directory)の無料利用枠については「限定の無料トライアル」によると「30日間 1,500時間」とのこと。でも、この1,500時間の計算方法がよくわからないです。ディレクトリサービスには作成後の「開始」や「停止」の操作はないので、アクセス回数でしか利用時間は計測できないですね。例えばマネージドディレクトリのタイプが「AD Connector スモールディレクトリ」のときの「ディレクトリ操作の限定無料トライアル時間(時間単位)」には"2″と記載があるのですが、これは2時間単位で時間が消費されるということでしょうかね。

つまり1回でもアクセスすれば"2時間"消費したとみなす、でも2時間以内なら何回アクセスしてもいいよ、みたいな、、、よくわかりませんが、課金怖いから検証が終わったら削除しておくのが吉ですね。

あとはよく読むと最後の方に以下の注意点があるので、前回作成した AD Connector は削除しておいた方が良さそう。

この 30 日間無料トライアルは、お客様 1 人につき 1 つの Directory Service に限定いたします。新たなマネージドディレクトリを作成する場合または新たなタイプのマネージドディレクトリを試用する場合、別の Directory Service の無料トライアルを利用することはできません。

限定の無料トライアル

Microsoft AD の作成

冒頭に記載したとおり、最初に以前作った AD Connector は削除しておくことにします。削除するためには、その AD Connector を利用している WorkSpaces も削除した上で「サービス」→「WorkSpaces」→「ディレクトリ」から該当ディレクトリを「登録解除」しておく必要があります。

このとき、AD Connector が「アクティブ」状態でないと、登録解除でエラーが発生します。AD Connector では EC2 インスタンス上の AD と接続していますので、EC2 インスタンスを起動して、ディレクトリのステータスが「アクティブ」になるのを待ってから登録解除するようにしてください。

ディレクトリの削除まで終わったら、新たに Microsoft AD を作成します。「サービス」→「Directory Service」→「Active Directory」→「ディレクトリ」から「ディレクトリのセットアップ」を選択します。

Microsoft AD の作成(1)

ディレクトリタイプは「AWS Managed Microsoft AD」を選択して「次へ」で進みます。

Microsoft AD の作成(2)

エディションは「Standard Edition」、ディレクトリの DNS 名は「awsdom.local」、NetBIOS 名は「awsdom」として、Admin のパスワードを決めて「次へ」で進みます。

Microsoft AD の作成(3)

VPC および サブネットは既に作成しているものを選択します。

Microsoft AD の作成(4)

設定内容を確認して「ディレクトリの作成」を実行します。内部的には、サーバを準備して Active Directory の構成を行っているものと思われますので、それなりに時間かかります。

Microsoft AD の作成(5)

信頼関係の作成

既存 AD に対して AWS Microsoft AD 経由でアクセスさせるのであれば、既存 AD と Microsoft AD とで双方向の「信頼関係」を作成する必要があります。管理ガイド「信頼関係を作成する」に詳細の記載がありますが、必要な設定を順番に行っていきます。

セキュリティグループの設定

まず Microsoft AD を作成した場合、セキュリティグループが自動で作成され、インバウンドルール、アウトバウンドルールがデフォルトで作成されます。インバウンドはデフォルトで問題ないですが、アウトバウンドについては今回、信頼関係を設定する相手となる既存 AD の IPアドレスに対して許可してあげる必要があります。

この自動作成されたセキュリティグループを見つけるのにはコツがあります。説明に「AWS created security group for d-****** directory controllers」とありますので、これが自動作成されたセキュリティグループのようです。ID にも作成したディレクトリの ID が含まれますので検索を利用しましょう。

にしてもディレクトリ側にセキュリティグループへのリンクがないのは意味がわかりません。嫌がらせでしょうか、、、

以下より「Edit outbound rules」を選択します。

セキュリティグループの設定(1)

すべてのトラフィックに対して既存 AD のIPアドレスを入力し、ルールを保存します。

セキュリティグループの設定(2)

DNS 条件付きフォワーダーの作成

次に DNS 条件付きフォワーダーを作成します。既存 AD 上の DNS ゾーン情報を Microsoft AD に転送するための設定です。

まず作成したディレクトリの詳細より「ディレクトリのDNS名」および「DNS アドレス」を確認します。

DNS 条件付きフォワーダーの作成(1)

次に「既存AD」つまり今回の場合は EC2 インスタンス上の AD にて DNS マネージャを開き、条件付きフォワーダーの追加を行います。

DNS 条件付きフォワーダーの作成(2)

以下のように登録します。検証済みが OK になっていれば良いです。

DNS 条件付きフォワーダーの作成(3)

既存 AD での信頼関係の追加

既存 AD にて「Active Directory ドメインと信頼関係」よりドメインのプロパティを開きます。
「信頼」タブより「新しい信頼」を選択します。

信頼関係の追加・既存AD(1)

「新しい信頼ウィザード」が起動します。

信頼関係の追加・既存AD(2)

作成した Microsoft AD のドメイン「awsdom.local」を入力します。

信頼関係の追加・既存AD(3)

信頼の種類は「フォレストの信頼」を選択します。

信頼関係の追加・既存AD(4)

信頼の方向は、双方向である必要がないので「双方向」を選択します。

信頼関係の追加・既存AD(5)

信頼を作成する対象は「このドメインのみ」で良いです。

信頼関係の追加・既存AD(6)

出力方向については「フォレスト全体の認証」を選択します。

信頼関係の追加・既存AD(7)

信頼パスワードを入力します。

信頼関係の追加・既存AD(8)

これで準備完了です。「次へ」で進むことで信頼関係が作成されます。

信頼関係の追加・既存AD(8)

信頼するドメインが追加されました。

信頼関係の追加・既存AD(8)

Microsoft AD での信頼関係の追加

「サービス」→「Directory Service」→「Active Directory」→「ディレクトリ」にて作成したディレクトリを選択し「信頼関係の追加」を実行します。

信頼関係の追加・MS AD(1)

既存 AD に対する出力の信頼関係に関する情報を入力します。

信頼関係の追加・MS AD(2)

信頼関係の一覧に追加された「mydom.local」のステータスが「作成中」から「検証済み」になれば完成です。

信頼関係の追加・MS AD(3)

AWSActive Directory,AWS Microsoft AD

Posted by takmaru