本ページでは Windows Server 自体の設定で AD を構築する例を記載します。
AD の Domain Service (DS) および DNS 役割のインストール
注意
RDS CAL に関連して、AD DC と同じサーバに RDS セッションホストをインストールする場合は、最初に DC をインストールしてから、その後に RDS セッションホストをインストールします。
If you are using a single computer as both the RDS server and as a DC, configure the computer as a DC before you begin installing the RDS roles.
Server Manager の Add Roles and Features をクリックします。参考: Installing AD DS by using Server Manager
Next をクリックします。
Role-based and feature-based installation をクリックします。
Next をクリックします。
Active Directory Domain Service と DNS Server を選択します。
DNS サーバとして稼働する EC2 インスタンスに静的 IP が付与されていない場合は警告が出ます。今回は検証用の AD であるため、このまま進めます。
Next をクリックします。
Next をクリックします。
Next をクリックします。
再起動することを許可したうえで Install します。
AD DS の初期設定
Server Manager を起動すると AD DS の初期設定が完了していない旨の警告が出ます。
Promote this server to a domain controller をクリックします。
Add a new forest を選択します。onprem.example.com
ドメインを forest 内に作成します。参考: AD DS Installation and Removal Wizard Page Descriptions
補足
Forest は Domain Tree が所属する入れ物です。
Active Directoryの基本構成【連載:ADについて学ぼう基礎編(3)】
AD が破損した場合に修復するためのモードにおけるパスワードを設定します。
DNS に指定した onprem.example.com
は example.com
から NS レコードで委譲された zone ではないため、そのまま Next をクリックします。
Next をクリックします。
Next をクリックします。
Next をクリックします。
Install します。
自動で再起動されます。再起動後は domain に参加していることが確認できます。
新規 AD admin ユーザの追加および RDP 許可設定
AWS Directory Service を利用した場合と同様に「Active Directory Users and Computers」を起動します。
「New」→「User」をクリックします。
AD における管理ユーザを作成してみます。
Add to group をクリックします。
Domain Admins に追加します。
RDP 接続できることを確認します。
新規 AD 一般ユーザの追加および RDP 許可設定
onprem.example.com\admin
と同様の手順で onprem.example.com\rdp-user99
を追加したとします。
ただし Domain Admins には含めません。RDP 接続しようとすると以下のエラーが表示されます。
Builtin → Remote Desktop Users → Properties をクリックします。
onprem.example.com\rdp-user99
を追加します。
しかしながら RDP 接続は別のエラーで失敗します。
Run から gpedit.msc を起動します。
Allow log on through Remote Desktop Services の Properties をクリックします。
Remote Desktop Users を追加します。
定期処理を待たずにポリシーを更新するためには gpedit /force
を実行します。
確かに onprem.example.com\rdp-user99
で RDP できることを確認します。
参考資料
別のマシンをドメインに参加させるための設定
Windows Server 2019 EC2 インスタンスを別途起動して onprem.example.com
に参加させてみます。
設定方法
正しく設定されると以下のようになります。
注意点
AD DS が稼働する EC2 インスタンスでは適切なポートを開放する必要があります。
Directory Service を起動した際に作られる Step2 の Security Group を設定しておけば問題ありません。
ドメインに参加したマシンに対して RDP するための設定
Domain Admins に所属するユーザであれば、ドメインに参加したマシンに RDP 可能です。
一般の AD ユーザで RDP するためには以下の設定が必要となります。
追加で、以下の設定を行います。
AD DS が稼働するマシンで「Group Policy Management」を起動します。「Default Domain Controller」を Edit します。
Allow log on through Remote Desktop Services に対して、作成済みの MyRDPUsers グループと Domain Admins グループを追加します。
Domain Admins を追加し損ねると onprem.example.com\admin
で RDP できなくなります。その際は onprem.example.com\rdp-user99
で RDP した後に、各 AD 管理用のツールを「管理者として実行」することで設定を修復します。
ポリシー更新の定期処理を待たない場合は、ドメインに新規に参加したマシンで gpupdate /force
を実行します。
確かにログオンできることを確認します。
onprem.example.com
ドメインと corp.example.com
ドメインに対する信頼関係の設定
本ページで構築した onprem.example.com
と、Directory Service で構築した corp.example.com
に対して双方向の信頼関係を設定してみます。
それぞれのドメインは別々の forest に所属しているため、信頼関係の設定が必要になります。同じ forest 内の domain 同士に対する設定ではありません。
onprem.example.com
における DNS 転送設定
onprem.example.com
側の DNS 設定を行います。
New Conditional Forwarder をクリックします。
Directory Service 側の DNS を指定します。
正しく追加されたことを確認します。
いずれかの AD 内のユーザの設定を確認しておきます。"Do not require Kerberos preauthentication" にチェックが入っていないことを確認します。
onprem.example.com
における信頼関係の設定
「Active Directory Domains and Trusts」を起動します。
Properties をクリックします。
New Trust をクリックします。
Next をクリックします。
対向のドメインを指定します。
Forest trust を選択します。
Two-way を選択します。
This domain only を選択します。
Forest-wide authentication を選択します。
後に AWS 側での信頼関係の設定時に入力するパスワードを設定します。
Next をクリックします。
Next をクリックします。
AWS 側の設定が未完了であるため No を選択します。
AWS 側の設定が未完了であるため No を選択します。
Finish を選択します。
正しく登録されたことを確認します。
corp.example.com
における信頼関係の設定
AWS Directory Service において Add trust relationship をクリックします。
対向の DNS 設定や信頼関係のパスワードを指定します。
しばらく待ちます。正しく登録されたことを確認します。
参考資料
- Step 1: Prepare your on-premises Domain
- Step 2: Prepare your AWS Managed Microsoft AD
- Step 3: Create the trust relationship
- 第2回 Active Directoryのキホン(1)【MicrosoftのMVP解説!第二弾 Active Directoryのハウツー読本】
RDP の許可設定
corp.example.com
に対して onprem.example.com
ユーザで RDP するためには以下の設定を追加します。
onprem.example.com
に対して corp.example.com
ユーザで RDP するためには以下の設定を追加します。
関連記事
- AWS EC2 インスタンスの選定方法準仮想化と完全仮想化 AWS のインスタンスタイプが準仮想化と完全仮想化のどちらの仮想化技術を採用したハードウェアであるかによって、使用できる AMI (OS) が異なるのは以下の理由によります。 準仮想化 ParaVirtualization (PV) において OS は自分が仮想化用のハードウェア上で動作していることを知っています。つまり仮想化用にカスタマイズされた専用の OS が必要になりま...
- OpenVPN で二つの VPC をつなぐための設定インターネット VPN (Virtual Private Network) には二拠点間の通信を暗号化する方式によって IPsec-VPN や SSL-VPN などがあります。OpenVPN は SSL-VPN の実装のひとつです。AWS VPC を二つ用意してそれらを OpenVPN で接続してみます。 VPC の構成 myvpc-1 (10.1.0.0/16) mysubnet-1-1 (10...
- Windows Server EC2 インスタンスへの CAL インストールWindows サーバを AWS EC2 インスタンスとして起動した後は、RDP 接続が必要となります。RDP 接続を行なうためには Remote Desktop Services (RDS) ライセンスが必要となります。 Windows Server のライセンスは、管理用途の RDS 接続を許可しています。その際に RDS ライセンスは不要です。ただし、[同時接続数が 2 という制限があります...
- AWS Lambda の基本的な使い方AWS Lambda はイベントドリブンな「関数」を登録できるサービスです。例えば S3 に画像がアップロードされたときにサムネイル用のサイズに加工する処理が記述された関数を登録できます。基本的な使い方をまとめます。 事前準備 関数の登録はブラウザで AWS コンソールにログインして行うこともできますが、本ページでは AWS C
- AWS 落穂拾い (Data Engineering)Kinesis Kinesis Streams データは 3 AZ にレプリケーションされます。Amazon Kinesis Data Streams FAQs 24 時間 (既定値) から 1 年までデータ保持できます。[Changing the Data Retention Period](https://docs.aws.amazon