翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# SVM Active Directory 設定の管理
このセクションでは AWS マネジメントコンソール、 AWS CLI、、FSx API、ONTAP CLI を使用して以下を実行する方法について説明します。
+ 既存の SVM を Active Directory に結合する
+ 既存の SVM Active Directory 設定を変更する
+ Active Directory からの SVM の削除
Active Directory から SVM を削除するには、NetApp ONTAP CLI を使用する必要があります。
**Topics**
+ [AWS マネジメントコンソール AWS CLI および API を使用して SVMs を Active Directory に結合する](join-svm-to-ad.md)
+ [AWS マネジメントコンソール、 AWS CLI、および API を使用した既存の SVM Active Directory 設定の更新](update-svm-ad-config.md)
+ [NetApp CLI を使用して SVM Active Directory 設定を更新する](manage-svm-ad-config-ontap-cli.md)
# AWS マネジメントコンソール AWS CLI および API を使用して SVMs を Active Directory に結合する
次の手順を使用して既存の SVM を Active Directory に接続します。この手順では、SVM はまだ Active Directory に接続して*いません*。
**SVM を Active Directory (AWS マネジメントコンソール) に接続させるには**
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) で Amazon FSx コンソールを開きます。
1. Active Directory に接続させる SVM を選択してください。
+ 左のナビゲーションペインで、**[ファイルシステム]** を選択し、次に更新する ONTAP ファイルシステムを SVM で選択します。
+ **ストレージ仮想マシン** タブを選択します。
-または-
+ 利用可能なすべての SVM のリストを表示するには、左側のナビゲーションペインで **[ONTAP]** を展開し、**[ストレージ仮想マシン]** を選択します。のアカウント内のすべての SVMs のリスト AWS リージョン が表示されます。
Active Directory に接続させたい SVM をリストから選択します。
1. SVM の**[概要]**パネルの右上で、**[アクション]** > **[アクティブディレクトリに接続/更新]** を選択します。**[SVM をアクティブディレクトリに接続する]**ウィンドウが表示されます。
1. SVM を接続させる Active Directory について、次の情報を入力します。
+ SVM 用に作成する Active Directory コンピュータオブジェクトの **NetBIOS 名**。これは Active Directory の SVM の名前であり、Active Directory 内で一意である必要があります。ホームドメインの NetBIOS 名は使用しないでください。NetBIOS 名は 15 文字を超えてはいけません。
+ アクティブディレクトリの**[完全修飾ドメイン名 (FQDN)]**。ドメイン名は 255 文字を超えてはいけません。
+ **DNS サーバの IP アドレス**:ドメインの DNS サーバの IPv4 または IPv6 アドレス。
+ **[サービスアカウントの認証情報]** – サービスアカウントの認証情報を指定する方法を選択します:
+ **オプション 1**: AWS Secrets Manager シークレット ARN - Active Directory ドメインのサービスアカウントのユーザー名とパスワードを含むシークレット。詳細については、「[を使用した Active Directory 認証情報の保存 AWS Secrets Manager](self-managed-AD-best-practices.md#bp-store-ad-creds-using-secret-manager)」を参照してください。
+ **オプション 2**: プレーンテキスト認証情報
+ **サービスアカウントのユーザー名** - 既存の Microsoft Active Directory のサービスアカウントのユーザー名。ドメインのプレフィックスまたはサフィックスを含めないでください。たとえば、`EXAMPLE\ADMIN` には `ADMIN` のみを使用します。
+ **サービスアカウントのパスワード** - サービスアカウントのパスワード。
+ **パスワードの確認** - サービスアカウントのパスワード。
+ **[Secrets Manager での管理]** (デフォルト) – サービスアカウントの認証情報を含む Secrets Manager シークレットの ARN を指定します。シークレットには、キーと値のペア `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME` と `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD` が含まれている必要があります。
+ (オプション) **[組織単位 (OU) ]** - SVM に接続させる組織単位の識別パス名。
+ **委任されたファイルシステム管理者グループ** - ファイルシステムを管理できる Active Directory 内のグループ名。
を使用している場合は AWS Managed Microsoft AD、委任 FSx 管理者、 AWS 委任管理者、OU AWS への委任されたアクセス許可を持つカスタムグループなどのグループを指定する必要があります。
セルフマネージド Active Directory を結合している場合は、Active Directory でのグループ名を使用してください。デフォルトのグループは `Domain Admins` です。
1. 指定した設定を使用して SVM を Active Directory に接続させるには、**[Active Directory に接続]** を選択します。
**SVM を Active Directory に結合するには (AWS CLI)**
+ FSx for ONTAP SVM を Active Directory に接続させるには、次の例で示すように、「[update-storage-virtual-machine](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-storage-virtual-machine.html)」 CLI コマンド (または同等の 「[UpdateStorageVirtualMachine](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateStorageVirtualMachine.html)」 API オペレーション) を使用します。
```
aws fsx update-storage-virtual-machine \
--storage-virtual-machine-id svm-abcdef0123456789a\
--active-directory-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",\
FileSystemAdministratorsGroup="FSxAdmins",UserName="FSxService",\
Password="password", \
DnsIps=["10.0.1.18"]}',NetBiosName=amznfsx12345
```
ストレージ仮想マシンが正常に作成されると、次の例で示すように、Amazon FSx はその説明を JSON 形式で返します。
```
{
"StorageVirtualMachine": {
"ActiveDirectoryConfiguration": {
"NetBiosName": "amznfsx12345",
"SelfManagedActiveDirectoryConfiguration": {
"UserName": "Admin",
"DnsIps": [
"10.0.1.3",
"10.0.91.97"
],
"OrganizationalUnitDistinguishedName": "OU=Computers,OU=customer-ad,DC=customer-ad,DC=example,DC=com",
"DomainName": "customer-ad.example.com"
}
}
"CreationTime": 1625066825.306,
"Endpoints": {
"Management": {
"DnsName": "svm-abcdef0123456789a.fs-0123456789abcdef0.fsx.us-east-1.amazonaws.com",
"IpAddressses": ["198.19.0.4"]
},
"Nfs": {
"DnsName": "svm-abcdef0123456789a.fs-0123456789abcdef0.fsx.us-east-1.amazonaws.com",
"IpAddressses": ["198.19.0.4"]
},
"Smb": {
"DnsName": "amznfsx12345",
"IpAddressses": ["198.19.0.4"]
},
"SmbWindowsInterVpc": {
"IpAddressses": ["198.19.0.5", "198.19.0.6"]
},
"Iscsi": {
"DnsName": "iscsi.svm-abcdef0123456789a.fs-0123456789abcdef0.fsx.us-east-1.amazonaws.com",
"IpAddressses": ["198.19.0.7", "198.19.0.8"]
}
},
"FileSystemId": "fs-0123456789abcdef0",
"Lifecycle": "CREATED",
"Name": "vol1",
"ResourceARN": "arn:aws:fsx:us-east-1:123456789012:storage-virtual-machine/fs-0123456789abcdef0/svm-abcdef0123456789a",
"StorageVirtualMachineId": "svm-abcdef0123456789a",
"Subtype": "default",
"Tags": [],
}
}
```
# AWS マネジメントコンソール、 AWS CLI、および API を使用した既存の SVM Active Directory 設定の更新
次の手順を使用して、既に Active Directory に接続されている SVM の Active Directory 設定を更新します。
**SVM Active Directory 設定を更新するには (AWS マネジメントコンソール)**
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) で Amazon FSx コンソールを開きます。
1. 更新する SVM を次のように選択します。
+ 左のナビゲーションペインで、**[ファイルシステム]** を選択し、次に SVM を更新する ONTAP ファイルシステムを選択します。
+ **ストレージ仮想マシン** タブを選択します。
-または-
+ 利用可能なすべての SVM のリストを表示するには、左側のナビゲーションペインで **[ONTAP]** を展開し、**[ストレージ仮想マシン]** を選択します。
更新する SVM をリストから選択します。
1. SVM の **[概要]** パネルで、**[アクション]** > **[アクティブディレクトリに接続/更新]** を選択します。**[SVM アクティブディレクトリ設定の更新]**ウィンドウが表示されます。
1. このウィンドウでは、次の Active Directory 設定プロパティを更新できます。
+ **DNS サーバの IP アドレス**:ドメインの DNS サーバの IPv4 または IPv6 アドレス。
+ **[サービスアカウントの認証情報]** – サービスアカウントの認証情報を指定する方法を選択します:
+ **オプション 1**: AWS Secrets Manager シークレット ARN - Active Directory ドメインのサービスアカウントのユーザー名とパスワードを含むシークレット。詳細については、「[を使用した Active Directory 認証情報の保存 AWS Secrets Manager](self-managed-AD-best-practices.md#bp-store-ad-creds-using-secret-manager)」を参照してください。
+ **オプション 2**: プレーンテキスト認証情報
+ **サービスアカウントのユーザー名** - 既存の Microsoft Active Directory のサービスアカウントのユーザー名。ドメインのプレフィックスまたはサフィックスを含めないでください。たとえば、`EXAMPLE\ADMIN` には `ADMIN` のみを使用します。
+ **サービスアカウントのパスワード** - サービスアカウントのパスワード。
+ **パスワードの確認** - サービスアカウントのパスワード。
1. 更新内容を入力した後、**[アクティブディレクトリの更新]** を選択して変更を加えます。
次の手順を使用して、既に Active Directory に接続されている SVM の Active Directory 設定を更新します。
**SVM Active Directory 設定を更新するには (AWS CLI)**
+ AWS CLI または API を使用して SVM の Active Directory 設定を更新するには、次の例に示すように、[update-storage-virtual-machine](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-storage-virtual-machine.html) CLI コマンド (または同等の [UpdateStorageVirtualMachine](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateStorageVirtualMachine.html) API オペレーション) を使用します。
```
aws fsx update-storage-virtual-machine \
--storage-virtual-machine-id svm-abcdef0123456789a\
--active-directory-configuration \
SelfManagedActiveDirectoryConfiguration='{UserName="FSxService",\
Password="password", \
DnsIps=["10.0.1.18"]}'
```
# NetApp CLI を使用して SVM Active Directory 設定を更新する
NetApp ONTAP CLI を使用して、SVM を Active Directory に接続または接続解除したり、既存の SVM Active Directory 設定を変更することができます。
## ONTAP CLI を使用して SVM を Active Directory に接続する
次の手順で説明されているように、ONTAP CLI を使用して既存の SVM を Active Directory に接続させることができます。これは、SVM が既に Active Directory に結合している場合でも実行できます。
1. ONTAPCLI にアクセスするには、次のコマンドを実行して、Amazon FSx for NetApp ONTAP ファイルシステムまたは SVM の管理ポートで SSH セッションを確立します。`management_endpoint_ip` をファイルシステムの管理ポートの IP アドレスに置き換えます。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
詳細については、「[ONTAP CLI を使用したファイルシステムの管理](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)」を参照してください。
1. 完全なディレクトリ DNS 名 (`corp.example.com`) と少なくとも 1 つの DNS サーバーの IP アドレスを指定して、Active Directory の DNS エントリを作成します。
```
::>vserver services name-service dns create -vserver svm_name -domains corp.example.com -name-servers dns_ip_1, dns_ip_2
```
DNS サーバーへの接続を検証するには、次のコマンドを実行します。*svm\$1name* を自分の情報に置き換えます。
```
FsxId0ae30e5b7f1a50b6a::>vserver services name-service dns check -vserver svm_name
Name Server
Vserver Name Server Status Status Details
------------- --------------- ------------ --------------------------
svm_name 172.31.14.245 up Response time (msec): 0
svm_name 172.31.25.207 up Response time (msec): 1
2 entries were displayed.
```
1. SVM を Active Directory に結合させるには、次のコマンドを実行します。アクティブディレクトリにまだ存在しない `computer_name` を指定し、`-domain` のディレクトリ DNS 名を指定する必要があることに注意してください。`-OU` には、SVM を結合させる OU と、DC 形式の完全な DNS 名を入力します。
```
::>vserver cifs create -vserver svm_name -cifs-server computer_name -domain corp.example.com -OU OU=Computers,OU=example,DC=corp,DC=example,DC=com
```
Active Directory 接続のステータスを検証するには、次のコマンドを実行します。
```
::>vserver cifs check -vserver svm_name
Vserver : svm_name
Cifs NetBIOS Name : svm_netBIOS_name
Cifs Status : Running
Site : Default-First-Site-Name
Node Name DC Server Name DC Server IP Status Status Details
--------------- -------------- --------------- ------ --------------
FsxId0ae30e5b7f1a50b6a-01
corp.example.com
172.31.14.245 up Response time (msec): 5
FsxId0ae30e5b7f1a50b6a-02
corp.example.com
172.31.14.245 up Response time (msec): 20
2 entries were displayed.
```
1. この結合後に共有にアクセスできない場合は、共有にアクセスするために使用しているアカウントにアクセス許可が付与されていることを確認してください。たとえば、 AWS マネージド Active Directory でデフォルトの`Admin`アカウント (委任管理者) を使用している場合は、ONTAP で次のコマンドを実行する必要があります。`netbios_domain` は Active Directory のドメイン名に対応します (`corp.example.com` の場合、ここで使用される `netbios_domain` は `example` です)。
```
FsxId0123456789a::>vserver cifs users-and-groups local-group add-members -vserver svm_name -group-name BUILTIN\Administrators -member-names netbios_domain\admin
```
## ONTAP CLI を使用してアクティブディレクトリの設定を変更する
ONTAP CLI を使用して既存の Active Directory 設定を変更することができます。
1. ONTAPCLI にアクセスするには、次のコマンドを実行して、Amazon FSx for NetApp ONTAP ファイルシステムまたは SVM の管理ポートで SSH セッションを確立します。`management_endpoint_ip` をファイルシステムの管理ポートの IP アドレスに置き換えます。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
詳細については、「[ONTAP CLI を使用したファイルシステムの管理](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)」を参照してください。
1. 次のコマンドを実行して、SVM の CIFS サーバーを一時的に停止します。
```
FsxId0123456789a::>vserver cifs modify -vserver svm_name -status-admin down
```
1. Active Directory の DNS エントリを変更する必要がある場合は、次のコマンドを実行します。
```
::>vserver services name-service dns modify -vserver svm_name -domains corp.example.com -name-servers dns_ip_1,dns_ip_2
```
`vserver services name-service dns check -vserver svm_name` コマンドを使用して、Active Directory の DNS サーバーへの接続ステータスを検証できます。
```
::>vserver services name-service dns check -vserver svm_name
Name Server
Vserver Name Server Status Status Details
------------- --------------- ------------ --------------------------
svmciad dns_ip_1 up Response time (msec): 1
svmciad dns_ip_2 up Response time (msec): 1
2 entries were displayed.
```
1. Active Directory の設定自体を変更する必要がある場合は、次のコマンドを使用して、次を置き換え、既存のフィールドを変更できます。
+ *computer\$1name* (SVM の NetBIOS (マシンアカウント) 名を変更する場合)。
+ *domain\$1name* (ドメインの名前を変更する場合)。これは、このセクションのステップ 3 に記載されている DNS ドメインエントリに対応している必要があります (`corp.example.com`)。
+ `organizational_unit` (OU (`OU=Computers,OU=example,DC=corp,DC=example,DC=com`) を変更する場合)。
このデバイスを Active Directory に結合させるために使用した Active Directory 認証情報を再入力する必要があります。
```
::>vserver cifs modify -vserver svm_name -cifs-server computer_name -domain domain_name -OU organizational_unit
```
`vserver cifs check -vserver svm_name` コマンドを使用して、Active Directory 接続の接続ステータスを検証できます。
1. Active Directory と DNS の設定の変更が完了したら、次のコマンドを実行して CIFS サーバを元に戻します。
```
::>vserver cifs modify -vserver svm_name -status-admin up
```
## NetApp ONTAP CLI を使用して、SVM から Active Directory への結合を解除する
NetApp ONTAP CLI を使用して、以下のステップに従って Active Directory から SVM の結合を解除することもできます。
1. ONTAPCLI にアクセスするには、次のコマンドを実行して、Amazon FSx for NetApp ONTAP ファイルシステムまたは SVM の管理ポートで SSH セッションを確立します。`management_endpoint_ip` をファイルシステムの管理ポートの IP アドレスに置き換えます。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
詳細については、「[ONTAP CLI を使用したファイルシステムの管理](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)」を参照してください。
1. 次のコマンドを実行して、Active Directory からデバイスの結合を解除した CIFS サーバーを削除します。ONTAP が SVM のマシンアカウントを削除するには、元々 SVM を Active Directory に結合させるために使用した認証情報を入力します。
```
FsxId0123456789a::>vserver cifs modify -vserver svm_name -status-admin down
```
1. Active Directory の DNS エントリを変更する必要がある場合は、次のコマンドを実行します。
```
FsxId0123456789a::vserver cifs delete -vserver svm_name
In order to delete an Active Directory machine account for the CIFS server, you must supply the name and password of a Windows account with
sufficient privileges to remove computers from the "CORP.ADEXAMPLE.COM" domain.
Enter the user name: user_name
Enter the password:
Warning: There are one or more shares associated with this CIFS server
Do you really want to delete this CIFS server and all its shares? {y|n}: y
```
1. 次のコマンドを実行して、Active Directory 用の DNS サーバーを削除します。
```
::vserver services name-service dns delete -vserver svm_name
```
`dns` を `ns-switch` として削除する必要があることを示す次のような警告が表示され、このデバイスを Active Directory に再接続させる予定がない場合は、`ns-switch` エントリを削除できます。
```
Warning: "DNS" is present as one of the sources in one or more ns-switch databases but no valid DNS configuration was found for Vserver
"svm_name". Remove "DNS" from ns-switch using the "vserver services name-service ns-switch" command. Configuring "DNS" as a source
in the ns-switch setting when there is no valid configuration can cause protocol access issues.
```
1. (オプション) 以下のコマンドを実行して、`dns` の `ns-switch` エントリを削除します。ソースの順序を確認し、リストされている他のソースのみが含まれるように `sources` を変更して、`hosts` データベースの `dns` エントリを削除します。この例では、他のソースは `files` のみです。
```
::>vserver services name-service ns-switch show -vserver svm_name -database hosts
Vserver: svm_name
Name Service Switch Database: hosts
Name Service Source Order: files, dns
```
```
::>vserver services name-service ns-switch modify -vserver svm_name -database hosts -sources files
```
1. (オプション) データベースホストが `files` のみを含むように `sources` を変更して `dns` エントリを削除します。
```
::>vserver services name-service ns-switch modify -vserver svm_name -database hosts -sources files
```