AWS Directory Service による Active Directory 利用の基本設定
[履歴] [最終更新] (2021/08/08 23:11:21)
最近の投稿
注目の記事

概要

Directory Service によって、AWS において Active Directory (AD) を利用できます。例えば Windows Server 2019 EC2 インスタンスへの User CAL インストールの際に AD が必要となります。Windows Server を設定して自前で AD 構築することもできますが、ここでは Directory Service を利用するための基本設定を記載します。

AWS Directory Service 初期設定の例

AWS Directory Service を用いると AWS マネージドな Active Directory (AD) を利用できます。

Uploaded Image

Standard Edition を利用してみます。

Uploaded Image

AD の Domain Controller (DC) および DNS が所属することになる VPC と AZ を指定します。

Uploaded Image

AD の DC および DNS は各 AZ にそれぞれ存在しており、Domain に Join する EC2 では DNS サーバの IP を指定します。

Uploaded Image

補足

  • Active Directory (AD) における Domain を管理するサーバは Domain Controller (DC) です。
  • Domain corp.example.com を DC の IP に名前解決する DNS サーバも AD の構成要素の一つです。
  • Domain に参加するサーバは AD の DNS サーバを利用する必要があります。

Uploaded Image

Active DirectoryにおけるDNSの役割【連載:ADについて学ぼう~基礎編(5)~】

EC2 Windows Server を Domain に参加させるための設定

EC2 Windows Server は既定では Domain に所属しておらず Workgroup 設定となっています。参考: Manually join a Windows instance

Uploaded Image

Domain に参加させるために、まずは DNS 設定を変更します。コントロールパネルから Ethernet 設定を開きます。

Uploaded Image

Properties をクリックします。

Uploaded Image

IPv4 の Properties をクリックします。

Uploaded Image

Directory Service で構築された DNS の IP を指定します。

Uploaded Image

正しく設定されたことを確認します。

Uploaded Image

確かに corp.example.com を DC の IP に解決できることを確認します。今回の例では DC と DNS は同一サーバということになります。

Uploaded Image

先程の画面で Change Settings をクリックします。

Uploaded Image

Change をクリックします。

Uploaded Image

Domain を指定します。

Uploaded Image

Domain の admin アカウントの認証情報を指定します。

Uploaded Image

正常に設定されると以下のようなウィンドウが表示されます。

Uploaded Image

設定を反映させるためには再起動が必要です。

Uploaded Image

引き続きローカルアカウントでもログオンできますが、Domain に参加した後は AD 内のユーザでログオンできます。

Uploaded Image

正しく Domain に参加できたことも確認します。

Uploaded Image

補足

上記設定によって手動で Domain に参加させることもできますが、EC2 を新規に起動する際に Domain を指定することもできます。

Uploaded Image

AD 管理用のツールのインストール

Directory Service は AD 管理用の Web UI を持たないため、Domain 参加した Windows Server にツールをインストールする必要があります。

Uploaded Image

Server Manager の Add Roles and Features をクリックします。

Uploaded Image

Next をクリックします。

Uploaded Image

Role-based or feature-based installation を選択します。

Uploaded Image

Next をクリックします。

Uploaded Image

Next をクリックします。本ページの例では Role ではなく feature 指定でインストールします。

Uploaded Image

Group Policy Management をチェックします。

Uploaded Image

以下の feature をチェックします。

  • AD DS and AD LDS Tools
  • DNS Server Tools

Uploaded Image

再起動することを許可したうえで Install します。

Uploaded Image

以下のようなツールがインストールされたことが確認できます。

Uploaded Image

参考資料

新規 AD ユーザの追加および RDP 許可設定

「Active Directory Users and Computers」を起動します。

Uploaded Image

New → User をクリックします。

Uploaded Image

新規アカウントの情報を入力します。

Uploaded Image

パスワードを設定します。

Uploaded Image

RDP 許可設定

同じ OU に Group を追加します。

Uploaded Image

グループ名を入力します。

Uploaded Image

グループのプロパティを編集します。

Uploaded Image

RDP を許可したいユーザを追加します。

Uploaded Image

Group Policy Management を起動します。

Uploaded Image

Group Policy Object (GPO) を新規作成します。

Uploaded Image

GPO 名を入力します。

Uploaded Image

GPO を編集します。

Uploaded Image

新規ウィンドウとして開かれた Group Policy Management Editor を以下のように操作します。

Uploaded Image

GPO に Group を追加します。

Uploaded Image

作成済みの Group を選択します。

Uploaded Image

OK をクリックします。

Uploaded Image

定期処理を待たずに Policy を反映させるためには、以下のコマンドを実行します。

Uploaded Image

確かに corp.example.com\rdp-user02 で RDP できることを確認します。

Uploaded Image

参考資料

関連ページ
    概要 こちらのページでは AWS の Directory Service を利用して Active Directory (AD) を構築しました。 本ページでは Windows Server 自体の設定で AD を構築する例を記載します。 AD の Domain Service (DS) および DNS 役割のインストール
    概要 Windows サーバを AWS EC2 インスタンスとして起動した後は、RDP 接続が必要となります。RDP 接続を行なうためには Remote Desktop Services (RDS) ライセンスが必要となります。 Windows Server のライセンスは、管理用途の RDS 接続を許可しています。その際に RDS ライセンスは不要です。ただし、