翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # AWS Managed Microsoft AD で作成される内容 AWS Managed Microsoft AD で Active Directory を作成すると、 はユーザーに代わって次のタスク Directory Service を実行します。 + Elastic Network Interface (ENI) を自動作成し、各ドメインコントローラーと関連付けます。これらの各 ENIs は VPC と Directory Service ドメインコントローラー間の接続に不可欠であり、削除しないでください。で使用するために予約されているすべてのネットワークインターフェイスは、「ディレクトリ *directory-id* 用にAWS 作成されたネットワークインターフェイス」という説明 Directory Service で識別できます。詳細については、「Amazon EC2 ユーザーガイド」の「[Elastic Network Interface](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)」を参照してください。** AWS Managed Microsoft AD Active Directory のデフォルトの DNS サーバーは、Classless Inter-Domain Routing (CIDR)\+2 の VPC DNS サーバーです。詳細については、「Amazon VPC ユーザーガイド」の「[Amazon DNS サーバー](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#AmazonDNS)」を参照してください。** **注記** ドメインコントローラーは、デフォルトでリージョン内の 2 つのアベイラビリティーゾーンにまたがってデプロイされ、Amazon VPCloud (VPC) に接続されます。バックアップは 1 日に 1 回自動的に実行され、Amazon EBS (EBS) ボリュームは保管中のデータを保護するために暗号化されます。障害が発生したドメインコントローラーは、同じ IP アドレスを使用して同じアベイラビリティーゾーン内で自動的に置き換えられ、最新のバックアップを使用して完全な災害対策を実行できます。 + 耐障害性と高可用性のために、2 つのドメインコントローラーを使用して VPC 内で Active Directory がプロビジョニングされます。ディレクトリが正常に作成されて [Active](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_status.html) になった後で、回復性とパフォーマンスを高めるためにドメインコントローラーを追加でプロビジョニングできます。詳細については、「[AWS Managed Microsoft AD 用の追加のドメインコントローラーのデプロイ](ms_ad_deploy_additional_dcs.md)」を参照してください。 **注記** AWS では、 AWS Managed Microsoft AD ドメインコントローラーにモニタリングエージェントをインストールすることはできません。 + ドメインコントローラーに出入りするトラフィックのネットワークルールを確立する [AWS セキュリティグループ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) {{sg-1234567890abcdef0}} を作成します。デフォルトのアウトバウンドルールでは、すべての IPv4 アドレスへのすべてのトラフィックが許可されます。デフォルトのインバウンドルールでは、 AWS Managed Microsoft AD をホストしている VPC に関連付けられたプライマリ IPv4 CIDR ブロックから、Active Directory に必要なポートを通過するトラフィックだけが許可されます。セキュリティを強化するため、作成された ENI には Elastic IP がアタッチされず、これらの ENI に Elastic IP をアタッチするためのアクセス許可はユーザーに付与されません。したがって、デフォルトで AWS Managed Microsoft AD と通信できるインバウンドトラフィックはローカル VPC のみです。セキュリティグループのルールを変更して、VPN 経由で到達可能な他のピア接続された VPC や CIDR など、追加のトラフィックソースを許可できます。これらのルールを変更すると、ドメインコントローラーと通信できなくなる可能性があるため、変更する場合は細心の注意を払ってください。詳細については、「[AWS Managed Microsoft AD のベストプラクティス](ms_ad_best_practices.md)」および「[AWS Managed Microsoft AD ネットワークセキュリティ設定の強化](ms_ad_network_security.md)」を参照してください。 [プレフィックスリスト]()を使用して、セキュリティグループルール内の CIDR ブロックを管理できます。プレフィックスリストを使用すると、セキュリティグループとルートテーブルの設定と管理が容易になります。複数の CIDR ブロックを同じポートとプロトコルに統合して、ネットワークトラフィックをスケーリングできます。 + Windows 環境では、クライアントは[サーバーメッセージブロック (SMB)](https://learn.microsoft.com/en-us/windows/win32/fileio/microsoft-smb-protocol-and-cifs-protocol-overview) またはポート 445 を介して通信することがよくあります。このプロトコルは、ファイルとプリンターの共有や一般的なネットワーク通信など、さまざまなアクションを容易にします。 AWS Managed Microsoft AD ドメインコントローラーの管理インターフェイスへのクライアントトラフィックがポート 445 に表示されます。 このトラフィックは、SMB クライアントが DNS (ポート 53) と NetBIOS (ポート 138) の名前解決に依存して AWS Managed Microsoft AD ドメインリソースを見つけるときに発生します。これらのクライアントは、ドメインリソースを検索するとき、ドメインコントローラーで使用可能なインターフェイスに誘導されます。この動作は想定されたものであり、複数のネットワークアダプターが存在する環境や、[SMB マルチチャネル](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn610980(v=ws.11))によりクライアントが異なるインターフェイスを介して接続を確立し、パフォーマンスと冗長性を強化できる環境で頻繁に発生します。 デフォルトでは、次の AWS セキュリティグループルールが作成されます。 **インバウンドルール** **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) **アウトバウンドルール** **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) + Active Directory で使用されるポートとプロトコルの詳細については、Microsoft ドキュメントの「[Windows のサービス概要およびネットワークポート要件](https://learn.microsoft.com/en-US/troubleshoot/windows-server/networking/service-overview-and-network-port-requirements#system-services-ports)」を参照してください。 + 「Admin」というユーザー名と指定されたパスワードを使用して、ディレクトリ管理者アカウントを作成します。このアカウントは、Users OU (例えば、Corp > Users) の下にあります。このアカウントを使用して AWS クラウドのディレクトリを管理します。詳細については、「[AWS Managed Microsoft AD 管理者アカウントとグループのアクセス許可](ms_ad_getting_started_admin_account.md)」を参照してください。 **重要** このパスワードは必ず保存してください。このパスワードは保存 Directory Service されず、取得できません。ただし、パスワードは Directory Service コンソールからリセットすることも、[ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html) API を使用してリセットすることもできます。 + ドメインのルートに次の 3 つの組織単位 (OU) を作成します。 **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) + AWS Delegated Groups OU で次のグループを作成します。 **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) **注記** これらの AWS Delegated Groups を追加することができます。 + 次のグループポリシーオブジェクト (GPO) を作成して適用します。 **注記** これらの GPO を削除、変更、またはリンク解除するアクセス許可がありません。これは AWS 、使用のために予約されているため、設計上です。必要に応じて、制御している OU にそれらをリンクできます。 **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) 各 GPO の設定を確認する場合は、[グループポリシー管理コンソール (GPMC)](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753298(v=ws.10)) を有効にしてドメイン結合した Windows インスタンスから設定を表示できます。 + AWS Managed Microsoft AD 管理default local accounts用に以下を作成します。 **重要** 管理者パスワードを必ず保存してください。このパスワードは保存 Directory Service されず、取得できません。ただし、[コンソールから、 Directory Service または ResetUserPassword API を使用してパスワードをリセットできます](ms_ad_manage_users_groups_reset_password.md)。 [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html) **Admin** Admin は、 AWS Managed Microsoft AD が最初にdirectory administrator account作成されたときに作成される です。 AWS Managed Microsoft AD を作成するときに、このアカウントのパスワードを指定します。このアカウントは、Users OU (例えば、Corp > Users) の下にあります。このアカウントを使用して AWSの Active Directory を管理します。詳細については、「[AWS Managed Microsoft AD 管理者アカウントとグループのアクセス許可](ms_ad_getting_started_admin_account.md)」を参照してください。 **AWS*\_{{11111111111}}*** で始まり、アンダースコアが AWS 続く にあるアカウント名AWS Reserved OUは、サービスマネージドアカウントです。このサービスマネージドアカウントは、 が Active Directory を操作する AWS ために使用されます。これらのアカウントは、 AWS Directory Service Data が有効になっているとき、および Active Directory で新しい AWS アプリケーションが承認されるたびに作成されます。これらのアカウントには、 AWS サービスのみがアクセスできます。 **krbtgt account** krbtgt account は、 AWS Managed Microsoft AD で使用される Kerberos チケット交換で重要な役割を果たします。krbtgt account アカウントは、Kerberos チケットを付与するチケット (TGT) の暗号化に使用される特別なアカウントであり、Kerberos 認証プロトコルのセキュリティに重要な役割を果たします。詳細については、[Microsoft のドキュメント](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn745899(v=ws.11)#krbtgt-account)を参照してください。 AWS は AWS Managed Microsoft AD のkrbtgt accountパスワードを 90 日ごとに 2 回自動的に更新します。90 日ごとに 2 回の連続ローテーションの間には 24 時間の待機期間があります。 管理者アカウントおよび Active Directory によって作成された他のアカウントの詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-default-user-accounts)」を参照してください。