AD Connectorを作成してシームレスにドメイン参加する

2021/06/19 2021/07/04

VPN接続先のADで管理されているドメインにEC2 Windowsインスタンスから参加するで試したようにVPN接続先のADで管理しているドメインに参加できました。

では、AD Connectorを使うメリットは何かとユーザーガイドを見てみると、「Amazon WorkSpaces、Amazon WorkDocs、Amazon WorkMail、シームレスなドメイン参加」ができるとのことです。

同じ環境を利用して、AD Connectorを作成して、シームレスなドメイン参加を試してみます。

AD ConnectorがないVPCでの確認

EC2起動ウィザードでドメイン結合ディレクトリに何もない状態です。

AD Connector の使用開始を参照して作業を進めました

ADにConnectorsグループを作成

ドメインにConnectorsグループを作成しました。

[Action]-[Delegate Control]を選択してDelegation of Control Wizardを起動しました。

AddボタンからConnectorsグループを選択しました。

Create a custom task to delegateを選択しました。

Only the following objects in the folderでComputer objectsとUser objectsを選択して、Create selected objects in this folderとDelete selected objects in this folderを選択しました。

GeneralとProperty-specificが選択された状態で、Readを選択しました。
ウィザードは終了しました。

ドメインにユーザーを作成しました。

作成したユーザーをConnectorsに追加しました。

AD Connectors向けのネットワークテスト

DirectoryServicePortTest を東京リージョンVPCのWindowsインスタンスでダウンロードして展開しました。

このWindowsインスタンスはドメインメンバーの必要があるとのことなので、VPN接続先のADで管理されているドメインにEC2 Windowsインスタンスから参加するで作成、ドメイン参加したWindowsインスタンスを使用しました。

DirectoryServicePortTest.exe -d <domain_name> -ip <server_IP_address> -tcp "53,88,389" -udp "53,88,389"

1 2	DirectoryServicePortTest.exe -d <domain_name> -ip <server_IP_address> -tcp "53,88,389" -udp "53,88,389"

Windowsインスタンスのローカルに保存してテストしたところ、機能レベルはUnknownになりましたが、ポートは問題ありませんでした。

ひとまずこのまま進めてみて、問題があれば機能レベルを調査することにします。

AD Connectorの作成

該当のVPCがある東京リージョンのDirectory Serviceで、[ディレクトリのセットアップ]を押下しました。

[AD Connector]を選択しました。

ちょっと試したいだけでしたので、Smallを選択しました。

ネットワーキングは該当VPCとAZが異なる2つのサブネットを選択しました。

ドメイン名、DNSサーバーのプライベートIPアドレス、AD Connector用に作成したユーザー、パスワードを設定しました。

作成中からアクティブになりました。
指定したサブネットにENIが、VPCにはセキュリティグループが作成されていました。

EC2 Windowsインスタンスをシームレスにドメイン参加

EC2起動ウィザードに結合ディレクトリが表示されるようになりましたので選択しました。

IAMロールには以下のロールが必要なので用意しました。
* AmazonSSMManagedInstanceCore
* AmazonSSMDirectoryServiceAccess

起動したWindowsインスタンスはドメイン参加済でした。

既存のActive Directoryをそのまま利用できるので便利ですね。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「AWS認定資格試験テキスト　AWS認定AIプラクティショナー」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS adconnector, AWS, directoryservice, EC2, windows

: AWS Toolkit for Eclipseをセットアップ(2021年版)

AWS Toolkit for Eclipseをセットアップするで6年前に書いて …

: S3 VPCエンドポイント設定前と設定後を確認

S3のVPCエンドポイントを設定した際に、S3バケットのAPIエンドポイントへの …

: Amazon CloudSearchからAmazon Elasticsearch Serviceへ変えました

全文検索をする必要がありまして、本当はCloudSearchを使い続けたいのです …

: EC2 Auto ScalingカスタムメトリクスのモニタリングにCloudWatch検索式が便利でした

EC2 Auto Scalingで起動したインスタンスのカスタムメトリクスこの …

: Amazon S3オブジェクトロック

S3のオブジェクトロックを確認しました。オブジェクトロックの有効化現在、既存 …

: Amazon Timestreamのサンプルデータベースを起動しました

マネジメントコンソールTimestreamにアクセスして、[データベースを作成] …

: Kinesis Data AnalyticsをKinesis Data Streamsに接続してSQL検索する

Amazon Kinesis Data StreamsにTwitter検索データ …

: EC2 Instance Connect向けのセキュリティグループのソースにプレフィックスリストを

EC2 Instance Connect、便利ですね。キーペア不要で、EC2イ …

: EC2 Auto Scalingグループでインスタンスの更新を実行

このブログのAMI、起動テンプレートを更新して、EC2 Auto Scaling …

: AWS Summit Tokyo 2017 聴講したセッションのメモ

2017年6月に参加しましたAWS Summitで聴講したセッションのメモを記し …

PREV: AWS ControlTowerで既存アカウントをまとめて追加
NEXT: Active Directory認証でAWSマネジメントコンソールにSSO