トップ
フューチャースピリッツのエンジニアブログ
AWS Managed Microsoft ADをセットアップしてみた

AWS Managed Microsoft ADをセットアップしてみた

2024-08-28

2024-08-28

トップ
フューチャースピリッツのエンジニアブログ
AWS Managed Microsoft ADをセットアップしてみた

thum_aws

はじめに

とある案件で、AWSのFSx for Windowsの検証をすることになったのですが、FSx for Windowsを利用するにはADが必要ということだったので、AWS Managed Microsoft ADをセットアップしてみました。

AWS Managed Microsoft ADとは？

AWS Managed Microsoft ADは、AWSが提供するディレクトリサービスの一つで、フルマネージドなMicrosoft Active Directory(AD)をAWS上で利用できるサービスです。これにより、オンプレミスのActive DirectoryをAWSに移行したり、AWS内のサービスやアプリケーションをActive Directoryと統合することが容易になります。(ChatGPT先生談)

実際の中身はWindows Server 2019のようです。Microsoft AD環境を作るだけであれば、EC2にWindows Serverを入れてADのセットアップをすれば良いだけですが、ADのセットアップって結構面倒くさいので、そのあたりを丸っとセットアップした状態で使い始められるというのと、Windows Server自体の運用はAWSがフルマネージドしてくれるというのが、メリットですね。

一方で、フルマネージドがゆえの制約もあり、一番大きなところでは、一部管理権限が必要な操作が制限されています。

また、AWS Managed Microsoft ADの中身はWindows Serverですが、直接サーバーにログインすることができないため、ADの操作を行いたい場合、別途EC2などでADの操作を行えるサーバーを用意する必要があります。

AWS Managed Microsoft ADをセットアップしてみる

ad001

マネージメントコンソールから「Directory Service」⇒「ディレクトリ」⇒「ディレクトリのセットアップ」を選択します。

ディレクトリタイプでは、「AWS Managed Microsoft AD」を選択して「次へ」を選択します。

ad002

ad003

ディレクトリ情報の入力画面になるので、必要情報を入力します。今回は以下のみ入力しました。

エディション：Standard Edition

ディレクトリのDNS名：fsadtest.local

Adminパスワード：任意

必要事項を選択、入力したら「次へ」を選択します。

ad004

AWS Managed Microsoft ADを設置するVPCとサブネットの指定画面になるので、適当なVPCとサブネットを選択します。ドメインコントローラは1つのVPCの異なるサブネットに2つ配置(冗長化)されるので、サブネットは2つ選択する必要があります。

今回はテストですぐ削除するのでパブリックサブネットに設置していますが、セキュリティを強化するのであればプライベートに置くことを推奨します。

それぞれを選択したら、「次へ」を選択します。

ad005

最後に確認画面になるので、内容に問題がなければ「ディレクトリの作成」を選択すれば、セットアップ完了です。

画面下に料金が記載されていますが、30日は制限付きのトライアルとして利用できるようです。

Directory Service のお客様になってから最初の 30 日間、すべての Directory Service マネージド型ディレクトリでドメインコントローラーを 1,500 時間使用できます。

トライアルを過ぎるとStandard Editionで月105ドル程かかるようなので、テスト目的で利用される場合は、消し忘れに注意した方が良さそうです。

ad006

作成には20～45分程かかるので、気長に待ちましょう。

ad009

ステータスが「アクティブ」になっていれば作成完了です。今回は30分程で作成が完了しました。

作成したドメインに参加してみる

作成したドメインに参加してみます。

今回はテストなので、とりあえずAWS Managed Microsoft ADを作成した同じVPC内にWindows Server2019のEC2を作成して、それをクライアントPCと見立てて接続してみます。

作成したEC2にRDPで接続します。(Windows Server 2019が入ったEC2の作成手順は割愛)

ドメインに参加するためにはAD内の名前解決が出来る必要があるので、まずはリゾルバ設定で作成したADのDNSサーバを指定します。DNSサーバのIPは作成したADの詳細画面から確認できます。

ad007

ad010

リゾルバを設定したらシステム設定からドメインに参加させてみます。

ad008

「システムのプロパティ」⇒「コンピュータ名/ドメイン名の変更」から、「所属するグループ」のドメインに、AWS Managed Microsoft AD作成時に決めたDNS名を入力して「OK」を選択します。

ad011

AWS Managed Microsoft AD作成時に設定したAdminアカウントでログインしてみます。

ad012

無事にドメインに参加できました。

ここから先は、この端末からADに接続してユーザやグループを作成したりして管理することになると思います。

まとめ

今回はAWSが提供するフルマネージドのMicrosoft ADサービスである、AWS Managed Microsoft ADを試してみました。

個人的にはWindows Serverは得意ではないので、面倒なADセットアップを自動でやってくれるこのサービスは便利だなという感想です。

今回の検証目的のゴールはFSx for Windowsなので、今度は作成したADとFSx for Windowsを連携させてAWS上にフルマネージドのファイルサーバを作るところまでを記事にしようと思います。

© Future Spirits Co.Ltd.