AD Connectorを作成してシームレスにドメイン参加する

2021/06/19 2021/07/04

VPN接続先のADで管理されているドメインにEC2 Windowsインスタンスから参加するで試したようにVPN接続先のADで管理しているドメインに参加できました。

では、AD Connectorを使うメリットは何かとユーザーガイドを見てみると、「Amazon WorkSpaces、Amazon WorkDocs、Amazon WorkMail、シームレスなドメイン参加」ができるとのことです。

同じ環境を利用して、AD Connectorを作成して、シームレスなドメイン参加を試してみます。

AD ConnectorがないVPCでの確認

EC2起動ウィザードでドメイン結合ディレクトリに何もない状態です。

AD Connector の使用開始を参照して作業を進めました

ADにConnectorsグループを作成

ドメインにConnectorsグループを作成しました。

[Action]-[Delegate Control]を選択してDelegation of Control Wizardを起動しました。

AddボタンからConnectorsグループを選択しました。

Create a custom task to delegateを選択しました。

Only the following objects in the folderでComputer objectsとUser objectsを選択して、Create selected objects in this folderとDelete selected objects in this folderを選択しました。

GeneralとProperty-specificが選択された状態で、Readを選択しました。
ウィザードは終了しました。

ドメインにユーザーを作成しました。

作成したユーザーをConnectorsに追加しました。

AD Connectors向けのネットワークテスト

DirectoryServicePortTest を東京リージョンVPCのWindowsインスタンスでダウンロードして展開しました。

このWindowsインスタンスはドメインメンバーの必要があるとのことなので、VPN接続先のADで管理されているドメインにEC2 Windowsインスタンスから参加するで作成、ドメイン参加したWindowsインスタンスを使用しました。

DirectoryServicePortTest.exe -d <domain_name> -ip <server_IP_address> -tcp "53,88,389" -udp "53,88,389"

1 2	DirectoryServicePortTest.exe -d <domain_name> -ip <server_IP_address> -tcp "53,88,389" -udp "53,88,389"

Windowsインスタンスのローカルに保存してテストしたところ、機能レベルはUnknownになりましたが、ポートは問題ありませんでした。

ひとまずこのまま進めてみて、問題があれば機能レベルを調査することにします。

AD Connectorの作成

該当のVPCがある東京リージョンのDirectory Serviceで、[ディレクトリのセットアップ]を押下しました。

[AD Connector]を選択しました。

ちょっと試したいだけでしたので、Smallを選択しました。

ネットワーキングは該当VPCとAZが異なる2つのサブネットを選択しました。

ドメイン名、DNSサーバーのプライベートIPアドレス、AD Connector用に作成したユーザー、パスワードを設定しました。

作成中からアクティブになりました。
指定したサブネットにENIが、VPCにはセキュリティグループが作成されていました。

EC2 Windowsインスタンスをシームレスにドメイン参加

EC2起動ウィザードに結合ディレクトリが表示されるようになりましたので選択しました。

IAMロールには以下のロールが必要なので用意しました。
* AmazonSSMManagedInstanceCore
* AmazonSSMDirectoryServiceAccess

起動したWindowsインスタンスはドメイン参加済でした。

既存のActive Directoryをそのまま利用できるので便利ですね。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第2版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS adconnector, AWS, directoryservice, EC2, windows

: AWS EC2 でインスタンスにIPアドレスを紐付ける

AWS EC2で作ったサーバは何もしなければ起動するたびにIPアドレスが変わって …

: Amazon Linux2のCloud9でPython CDKのモジュールインストール

AMIがCloud9AmazonLinux2-2021-02-02T16-48の …

: AWS EC2 Amazon Linux にEC-CUBE3をnginx+MySql環境へインストール(手順検証中)

EC2インスタンスを作成する少し古い記事で恐縮ですが試したい事があるのでAWS …

: 東京リージョンの1つのAZ(apne1-az2)でt3.nanoスポットインスタンスが拒否されちゃいました

拒否されちゃいましたちょっとした検証をしようとしてて、t3.nanoのスポット …

: kintoneで設定したスケジュールにあわせてlambda(python)からSQSへメッセージを送る

EC2の起動停止をそろそろ手動でやるのも疲れてきそうなのと、やはり停止するのを忘 …

: GoogleForm,GASからAPI Gateway, Lambdaで入力情報をDynamoDBに格納する

vol.26 AWS認定試験テキスト認定クラウドプラクティショナーのデモ(Dyn …

: AWS Trusted Advisorの2023/11/17発表のAPI

2023/11/17に発表されたAWS Trusted Advisor の新しい …

: IAMユーザーのマネジメントコンソールログインパスワードを変更してDynamoDBに記録するLambda(Python)

やりたいこと IAMユーザーのマネジメントコンソールへのサインインパスワードを動 …

: AWS CLIを使用せずにCodeCommitへSSHユーザーで接続する

AWS CLIやアクセスキーID、シークレットアクセスキーなどを開発環境にセット …

: クロスリージョンでEFSをマウントしてみる

ニーズがあるかどうかはさておき、クロスリージョンでのEFSファイルシステムをマウ …

PREV: AWS ControlTowerで既存アカウントをまとめて追加
NEXT: Active Directory認証でAWSマネジメントコンソールにSSO