翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# セルフマネージド Microsoft Active Directory を使用する
組織がオンプレミスまたはクラウドのセルフマネージド Active Directory を使用して ID とデバイスを管理している場合は、FSx for Windows File Server ファイルシステムを作成時に Active Directory ドメインに結合できます。
ファイルシステムをセルフマネージド Active Directory に結合すると、FSx for Windows File Server ファイルシステムは同じ Active Directory フォレスト (ドメイン、ユーザー、コンピュータを含む Active Directory 設定内の最上位の論理的なコンテナ) と、ユーザーおよび既存のリソース (既存のファイルサーバーを含む) と同じ Active Directory ドメイン内に存在します。
**注記**
Amazon FSx ファイルシステムを含むリソースを、ユーザーが常駐するフォレストとは別の Active Directory フォレストに分離できます。これを行うには、ファイルシステムを AWS 管理下にある Microsoft アクティブディレクトリに参加させ、作成した AWS 管理下にある Microsoft アクティブディレクトリと既存の自己管理型アクティブディレクトリとの間に一方向のフォレストの信頼関係を確立します。
+ Amazon FSx がファイルシステムを Active Directory ドメインを結合させるために使用する Active Directory ドメインのサービスアカウントのユーザー名とパスワード これらの認証情報をプレーンテキストとして提供することも、 に保存してシークレット ARN AWS Secrets Manager を指定することもできます (推奨)。
+ (オプション) ファイルシステムに結合させたいドメイン内の組織単位 (OU)
+ (オプション) ファイルシステム上で管理アクションを実行する許可を付与するドメイングループ。たとえば、このドメイングループは、Windows ファイル共有の管理、ファイルシステムのルートフォルダ上の Access Control Lists (ACLs) の管理、ファイルとフォルダの所有権を取得できます。このグループを指定しない場合は、Amazon FSx はデフォルトでこの許可を Active Directory ドメインのドメイン管理者ループに委任します。
**注記**
指定するドメイングループ名は、Active Directory で一意である必要があります。FSx for Windows File Server は、以下の状況ではドメイングループを作成しません。
指定した名前のグループが既に存在する場合
名前を指定せず、「ドメイン管理者」という名前のグループが Active Directory に既に存在する場合。
詳細については、「[セルフマネージド Microsoft アクティブディレクトリドメインへの Amazon FSx ファイルシステムの結合](creating-joined-ad-file-systems.md)」を参照してください。
**Topics**
+ [前提条件](#self-manage-prereqs)
+ [サービスアカウントのアクセス許可](#service-account-prereqs)
+ [自己管理型アクティブディレクトリを使用する場合のベストプラクティス](#self-managed-AD-best-practices)
+ [Amazon FSx サービスアカウント](#self-managed-AD-service-account)
+ [Amazon FSx サービスアカウントまたはグループへのアクセス許可の委任](assign-permissions-to-service-account.md)
+ [アクティブディレクトリ設定の検証](validate-ad-config.md)
+ [セルフマネージド Microsoft アクティブディレクトリドメインへの Amazon FSx ファイルシステムの結合](creating-joined-ad-file-systems.md)
+ [手動 DNS エントリに使用する正しいファイルシステムの IP アドレスの取得](file-system-ip-addresses-for-dns.md)
+ [セルフマネージド Active Directory 設定の更新](update-self-ad-config.md)
+ [Amazon FSx サービスアカウントの変更](changing-ad-service-account.md)
+ [セルフマネージドアクティブディレクトリの更新のモニタリング](monitor-self-ad-update.md)
## 前提条件
FSx for Windows File Server ファイルシステムをセルフマネージド Microsoft Active Directory ドメインに結合する前に、以下の前提条件を確認して、Amazon FSx ファイルシステムをセルフマネージド Active Directory に正常に結合できるようにします。
### オンプレミス構成
これらは、Amazon FSx ファイルシステムを結合するオンプレミスまたはクラウドベースのセルフマネージド Microsoft Active Directory の前提条件です。
+ Active Directory ドメインコントローラー:
+ Windows Server 2008 R2 以降では、ドメイン機能レベルが必要です。
+ 書き込み可能である必要があります。
+ 到達可能なドメインコントローラーの少なくとも 1 つは、フォレストのグローバルカタログである必要があります。
+ DNS サーバーは、次のように名前を解決できる必要があります:
+ ファイル・システムに参加しているドメイン
+ フォレストのルートドメイン内
+ DNS サーバーと Active Directory ドメインコントローラーの IP アドレスは、Amazon FSx ファイルシステムが作成された時期によって異なる以下の要件を満たしている必要があります。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/self-managed-AD.html)
2020 年 12 月 17 日以前に作成された FSx for Windows ファイルサーバーのファイルシステムに、非プライベート IP アドレス範囲を使用してアクセスする必要がある場合は、ファイルシステムのバックアップを復元して、新しいファイルシステムを作成できます。詳細については、「[新しいファイルシステムへのバックアップの復元](how-to-restore-backups.md)」を参照してください。
+ セルフマネージド Active Directory のドメイン名は、次の要件を満たしている必要があります。
+ シングルラベルドメイン (SLD) 形式ではないドメイン名。Amazon FSx は SLD ドメインをサポートしていません。
+ シングル AZ 2 およびすべてのマルチ AZ ファイルシステムの場合は、ドメイン名は 47 文字を超えることはできません。
+ 定義した Active Directory サイトは、次の前提条件を満たす必要があります。
+ ファイルシステムに関連付けられている VPC 内のサブネットは、Active Directory サイトで定義する必要があります。
+ VPC サブネットと Active Directory サイトサブネットの間に競合はありません。
Amazon FSx では、アクティブディレクトリ環境内で定義したドメインコントローラーまたはアクティブディレクトリサイトへの接続が必要です。Amazon FSx は、ポート 389 で TCP と UDP がブロックされているドメインコントローラーを無視します。Active Directory の残りのドメインコントローラーについては、Amazon FSx 接続要件を満たしていることを確認してください。さらに、サービスアカウントへの変更がこれらのすべてのドメインコントローラーに反映されていることを確認します。
**重要**
ファイルシステムの作成後に Amazon FSx が OU で作成するコンピュータオブジェクトを移動しないでください。これを行うと、ファイルシステムが正しく設定されなくなります。
[Amazon FSx Active Directory 検証ツール](validate-ad-config.md)を使用し、Active Directory 設定 (複数のドメインコントローラーの接続テストを含む) を検証できます。接続が必要なドメインコントローラーの数を制限するために、オンプレミスのドメインコントローラーと AWS Managed Microsoft ADの間に信頼関係を構築することもできます。詳細については、「[リソースフォレスト分離モデルの使用](fsx-aws-managed-ad.md#using-a-rfim)」を参照してください。
**重要**
Amazon FSx は、Microsoft DNS をデフォルトの DNS サービスとして使用している場合にのみ、ファイルシステムの DNS レコードを登録します。サードパーティーの DNS を使用している場合は、作成後にファイルシステムの DNS レコードエントリを手動で設定する必要があります。
### ネットワークの設定
このセクションでは、セルフマネージド Active Directory にファイルシステムを結合するためのネットワーク設定要件について説明します。[Amazon FSx Active Directory 検証ツール](validate-ad-config.md#test-ad-network-config) を使用して、ファイルシステムをセルフマネージド Active Directory に結合させる前に、これらのネットワーク設定をテストすることを強くお勧めします。
+ ファイアウォールルールで Active Directory ドメインコントローラーと Amazon FSx 間の ICMP トラフィックが許可されていることを確認します。
+ ファイルシステムを作成する Amazon VPC とセルフマネージド Active Directory 間で接続を設定する必要があります。[Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)、[AWS Virtual Private Network](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)、[VPC ピアリング](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)、または [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) を使用してこの接続性を設定できます。
+ デフォルトの Amazon VPC のデフォルト VPC セキュリティグループが、Amazon FSx コンソールのファイルシステムに追加する必要があります。ファイルシステムを作成するサブネットのセキュリティグループと VPC ネットワーク ACL が、以下の図表に示すポート上のトラフィックを許可していることを確認します。
![\[FSx for Windows ファイルサーバーのポートの設定要件は、ファイルシステムが作成されるサブネットの VPC セキュリティグループおよびネットワーク ACL があることです。\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)
次の表は、プロトコル、ポート、およびそのロールを示しています。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/self-managed-AD.html)
これらのトラフィックルールは、Active Directory ドメインコントローラー、DNS サーバー、FSx クライアント、FSx 管理者のそれぞれに適用されるファイアウォールにも反映されている必要があります。
**注記**
VPC ネットワーク ACL を使用している場合は、ファイルシステムからのダイナミックポート (49152〜65535) でのアウトバウンドトラフィックも許可する必要があります。
**重要**
Amazon VPC セキュリティグループでは、ネットワークトラフィックが開始される方向でのみポートを開く必要がありますが、ほとんどの Windows ファイアウォールとおよび VPC ネットワーク ACL では両方向にポートを開く必要があります。
## サービスアカウントのアクセス許可
サービスアカウントは、コンピュータオブジェクトをセルフマネージド Active Directory ドメインに結合させるアクセス許可を委任されたセルフマネージド Microsoft Active Directory にある必要があります。サービスアカウントは、特定のタスクを委任されたセルフマネージド Active Directory のユーザーアカウントです。
以下は、ファイルシステムを結合させる OU における Amazon FSx サービスアカウントに委任されている必要がある最低限のアクセス許可です。
+ Active Directory ユーザーとコンピュータ MMC で [コントロールの委任] を使用する場合
+ パスワードのリセット
+ [Read and write Account Restriction] (読み取りおよび書き込み、アカウントの制限)
+ [Validated write to DNS host name] (DNS ホスト名への書き込みの検証)
+ [Validated write to service principal name] (サービスプリンシパル名への書き込みの検証)
+ Active Directory ユーザーとコンピュータ MMC で高度な機能を使用する場合
+ [許可を変更]
+ コンピュータのオブジェクトの作成
+ コンピュータオブジェクトの削除
詳細については、「Microsoft Windows Server のドキュメント」トピック「[エラー: コントロールを付与された管理者以外のユーザーがコンピュータをドメインコントローラーに結合しようとすると、アクセスが拒否される](https://support.microsoft.com/en-us/help/932455/error-message-when-non-administrator-users-who-have-been-delegated-con)」を参照してください。
必要な許可の設定の詳細については、「[Amazon FSx サービスアカウントまたはグループへのアクセス許可の委任](assign-permissions-to-service-account.md)」を参照してください。
## 自己管理型アクティブディレクトリを使用する場合のベストプラクティス
**Topics**
+ [を使用した Active Directory 認証情報の保存 AWS Secrets Manager](#bp-store-ad-creds-using-secret-manager-windows)
Amazon FSx for Windows File Server ファイルシステムをセルフマネージド Microsoft Active Directory に結合させる場合は、これらのベストプラクティスに従うことをお勧めします。これらのベストプラクティスは、ファイルシステムの継続的で中断のない可用性を維持するのに役立ちます。
**Amazon FSx に別のサービスアカウントを使用する**
別のサービスアカウントを使用して、Amazon FSx に[必要な権限](#service-account-prereqs)を委任し、セルフマネージド Active Directory に結合しているファイルシステムを完全に管理します。この目的で**ドメイン管理者**を使用することはお勧めしません。
**Active Directory グループの使用**
Active Directory グループを使用して、Amazon FSx サービスアカウントに関連付けられた Active Directory のアクセス許可と設定を管理します。
**組織単位の分離 (OU)。**
Amazon FSx コンピュータオブジェクトの検索と管理を容易にするために、FSx for Windows File Server ファイルシステムに使用する組織単位 (OU) を他のドメインコントローラーの懸念から分離することをお勧めします。
**Active Directory 設定を最新の状態に保つ**
ファイルシステムの Active Directory 設定は、変更時に常に最新の状態に保つことが必要不可欠です。例えば、セルフマネージド型 Active Directory が時間ベースのパスワードリセットポリシーを使用している場合、パスワードがリセットされたらすぐに、ファイルシステムのサービスアカウントのパスワードを更新してください。詳細については、「[セルフマネージド Active Directory 設定の更新](update-self-ad-config.md)」を参照してください。
**Amazon FSx サービスアカウントの変更**
新しいサービスアカウントでファイルシステムを更新する場合、Active Directory に結合するために必要なアクセス許可と権限があり、ファイルシステムに関連付けられた既存のコンピュータオブジェクトに対する**フルコントロール**アクセス許可を持っている必要があります。詳細については、「[Amazon FSx サービスアカウントの変更](changing-ad-service-account.md)」を参照してください。
**サブネットを単一の Microsoft Active Directory サイトに割り当てる**
アクティブディレクトリ環境に多数のドメインコントローラーがある場合は、**アクティブディレクトリサイトとサービス**を使用して、Amazon FSx ファイルシステムで使用されるサブネットを、可用性と信頼性が最も高い単一のアクティブディレクトリサイトに割り当てます。VPC セキュリティグループ、VPC ネットワーク ACL、DC の Windows ファイアウォールルール、および Active Directory インフラストラクチャにあるその他のネットワークルーティングコントロールで、必要なポートで Amazon FSx からの通信が許可されていることを確認してください。これにより、割り当てられた Active Directory サイトを使用できない場合、Windows は他のドメイン コントローラーに切り替えることができます。詳細については、「[Amazon VPC を使用したファイルシステムアクセスコントロール](limit-access-security-groups.md)」を参照してください。
**セキュリティグループルールを使用してトラフィックを制限する**
セキュリティグループルールを使用して、仮想プライベートクラウド (VPC) に最小特権のプリンシパルを実装します。VPC セキュリティグループルールを使用して、ファイルで許可されるインバウンドおよびアウトバウンドのネットワークトラフィックのタイプを制限できます。例えば、セルフマネージド Active Directory ドメインコントローラーへのアウトバウンドトラフィック、または使用しているサブネットまたはセキュリティグループ内のアウトバウンドトラフィックのみを許可することをお勧めします。詳細については、「[Amazon VPC を使用したファイルシステムアクセスコントロール](limit-access-security-groups.md)」を参照してください。
**Amazon FSx で作成されたコンピュータオブジェクトを移動させないでください。**
ファイルシステムの作成後に Amazon FSx が OU で作成するコンピュータオブジェクトを移動しないでください。これを行うと、ファイルシステムが正しく設定されなくなります。
**Active Directoryの設定を検証する**
Active Directory に結合している FSx for Windows File Server ファイルシステムを結合しようとする前に、[Amazon FSx Active Directory 検証ツール](validate-ad-config.md)を使用して、Active Directory 設定を検証します。
### を使用した Active Directory 認証情報の保存 AWS Secrets Manager
を使用して AWS Secrets Manager 、Microsoft Active Directory ドメイン結合サービスアカウントの認証情報を安全に保存および管理できます。この方法により、機密性の高い認証情報をアプリケーションコードまたは構成ファイルにプレーンテキストで保存する必要がなくなり、セキュリティ体制が強化されます。
シークレットへのアクセスを管理するように IAM ポリシーを設定し、パスワードの自動ローテーションポリシーを設定することもできます。
#### Active Directory 認証情報を AWS Secrets Manager (コンソール) に保存する
##### ステップ 1: KMS キーを作成する
Secrets Manager で Active Directory 認証情報を暗号化および復号するための KMS キーを作成します。
**キーを作成するには**
**注記**
**暗号化キー**の場合は、新しいキーを作成します。 AWS デフォルトの KMS キーは使用しないでください。Active Directory に結合するファイルシステムを含むリージョンと同じリージョン AWS KMS key に を作成してください。
1. https://console.aws.amazon.com/kms で AWS KMS コンソールを開きます。
1. **[Create key]** (キーの作成) を選択します。
1. **[キーの種類]** として、**[対称]** を選択します。
1. **[キーの使用方法]** として、**[暗号化と復号化]** を選択します。
1. **詳細オプション**については、以下の操作を実行します:
1. **[キーマテリアルのオリジン]** として、**[KMS]** を選択します。
1. **[リージョナリティ]** として、**[単一リージョンキー]** を選択し、**[次へ]** を選択します。
1. [**次へ**] を選択します。
1. **[エイリアス]** に、KMS キーの名前を指定します。
1. (オプション) **[説明]** に、KMS キーの説明を入力します。
1. (オプション) **タグ**で、KMS キーのタグを指定し、**次へ**を選択します。
1. (オプション) **[キー管理者]** には、このキーを管理する権限を持つ IAM ユーザーとロールを指定します。
1. **[キーの削除]** で、**[キー管理者にこのキーの削除を許可する]** のボックスをオンのままにして、**[次へ]** を選択します。
1. (オプション) **[キーユーザー]** には、暗号化オペレーションでこのキーを使用する権限を持つ IAM ユーザーとロールを指定します。[**次へ**] を選択します。
1. **[キーポリシー]** で、**[編集]** を選択し、ポリシー **[ステートメント]** に以下を含めて、Amazon FSx が KMS キーを使用できるようにし、**[次へ]** を選択します。*us-west-2* をファイルシステムがデプロイ AWS リージョン されている に、*123456789012* を AWS アカウント ID に置き換えてください。
```
{
"Sid": "Allow FSx to use the KMS key",
"Version": "2012-10-17",
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-west-2.amazonaws.com",
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*"
}
}
}
```
1. [**Finish**] を選択してください。
**注記**
特定のシークレットとファイルシステムをターゲットにするように `Resource` および `aws:SourceArn` フィールドを変更することで、より詳細なアクセスコントロールを設定できます。
##### ステップ 2: AWS Secrets Manager シークレットを作成する
**シークレットを作成する**
1. Secrets Manager のコンソール ([https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)) を開きます。
1. **[Store a new secret]** (新しいシークレットを保存する) を選択します。
1. **[Secret type] (シークレットタイプ)** で、**[Other type of secret]** (他の種類のシークレット) を選択します。
1. **キーと値おペア**の場合は、次の手順を実行して 2 つのキーを追加します:
1. 最初のキーには、`CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME` と入力します。
1. 最初のキーの値には、AD ユーザーのユーザー名 (ドメインプレフィックスなし) のみを入力します。
1. 2 番目のキーとして、`CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD` と入力します。
1. 2 番目のキーの値には、ドメインの AD ユーザー用に作成したパスワードを入力します。
1. **[暗号化キー]** の入力では、前のステップで作成した KMS キーの ARN を入力し、**[次へ]** をクリックします。
1. **[シークレット名]** として、後でシークレットを見つけやすい、わかりやすい名前を入力します。
1. (オプション) **[説明]** として、シークレット名の説明を入力します。
1. **リソース権限**については、**編集**を選択します。
アクセス許可ポリシーに以下のポリシーを追加して、Amazon FSx にシークレットの使用を許可し、**[次へ]** を選択します。*us-west-2* をファイルシステムがデプロイ AWS リージョン されている に、*123456789012* を AWS アカウント ID に置き換えてください。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*"
}
}
}
]
}
```
**注記**
特定のシークレットとファイルシステムをターゲットにするように `Resource` および `aws:SourceArn` フィールドを変更することで、より詳細なアクセスコントロールを設定できます。
1. (オプション) 認証情報を自動的にローテーションするように Secrets Manager を設定できます。[**次へ**] を選択します。
1. [**Finish**] を選択してください。
#### Active Directory 認証情報を AWS Secrets Manager (CLI) に保存する
##### ステップ 1: KMS キーを作成する
Secrets Manager で Active Directory 認証情報を暗号化および復号するための KMS キーを作成します。
KMS キーを作成するには、 AWS CLI コマンド [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html) を使用します。
このコマンドで、`--policy` パラメータを設定して、KMS キーのアクセス許可を定義するキーポリシーを指定します。ポリシーには以下の内容を含める必要があります:
+ Amazon FSx のサービスプリンシパル。これは、`fsx.amazonaws.com` です。
+ 必要な KMS アクション: `kms:Decrypt` および `kms:DescribeKey`。
+ AWS リージョン および アカウントのリソース ARN パターン。
+ キーの使用を制限する条件キー:
+ リクエストが Secrets Manager を経由するようにするための `kms:ViaService`。
+ アカウントに制限するための `aws:SourceAccount`。
+ 特定の Amazon FSx ファイルシステムに制限するための `aws:SourceArn`。
以下の例では、Amazon FSx がキーを復号化およびキー説明オペレーションに使用できるようにするポリシーを使用して、対称暗号化 KMS キーを作成します。コマンドは AWS アカウント ID とリージョンを自動的に取得し、これらの値を使用してキーポリシーを設定して、Amazon FSx、Secrets Manager、KMS キー間の適切なアクセスコントロールを確保します。 AWS CLI 環境が Active Directory に参加するファイルシステムと同じリージョンにあることを確認します。
```
# Set region and get Account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Create Key
KMS_KEY_ARN=$(aws kms create-key --policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Sid\": \"Enable IAM User Permissions\",
\"Effect\": \"Allow\",
\"Principal\": {
\"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\"
},
\"Action\": \"kms:*\",
\"Resource\": \"*\"
},
{
\"Sid\": \"Allow FSx to use the KMS key\",
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"kms:Decrypt\",
\"kms:DescribeKey\"
],
\"Resource\": \"*\",
\"Condition\": {
\"StringEquals\": {
\"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\",
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\"
}
}
}
]
}" --query 'KeyMetadata.Arn' --output text)
echo "KMS Key ARN: $KMS_KEY_ARN"
```
**注記**
特定のシークレットとファイルシステムをターゲットにするように `Resource` および `aws:SourceArn` フィールドを変更することで、より詳細なアクセスコントロールを設定できます。
##### ステップ 2: AWS Secrets Manager シークレットを作成する
Amazon FSx が Active Directory にアクセスするためのシークレットを作成するには、 AWS CLI コマンド [create-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/create-secret.html) を使用して、次のパラメータを設定します。
+ `--name`: シークレットの識別子。
+ `--description`: シークレットの目的の説明。
+ `--kms-key-id`: 保管中のシークレットを暗号化するために[ステップ 1](#create-kms-key-windows-cli) で作成した KMS キーの ARN。
+ `--secret-string`: AD 認証情報を次の形式で含む JSON 文字列。
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`: ドメインプレフィックスを含まない AD サービスアカウントのユーザー名 (`svc-fsx`など) 。`CORP\svc-fsx` などのドメインプレフィックスを指定**しない**でください。
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD` –AD サービスアカウントのパスワード。
+ `--region`: Amazon FSx ファイルシステムを作成する AWS リージョン 。`AWS_REGION` が設定されていない場合、デフォルトでは設定済みのリージョンが使用されます。
シークレットを作成したら、[put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/logs/put-resource-policy.html) コマンドを使用してリソースポリシーをアタッチし、以下のパラメータを設定します。
+ `--secret-id`: ポリシーをアタッチするシークレットの名前または ARN。次の例では、**FSxSecret** を `--secret-id` として使用します。
+ `--region`: シークレット AWS リージョン と同じです。
+ `--resource-policy`: シークレットへのアクセス許可を Amazon FSx に付与する JSON ポリシードキュメント。ポリシーには以下の内容を含める必要があります:
+ Amazon FSx のサービスプリンシパル。これは、**fsx.amazonaws.com** です。
+ 必要な Secrets Manager アクション: `secretsmanager:GetSecretValue` および `secretsmanager:DescribeSecret`。
+ AWS リージョン および アカウントのリソース ARN パターン。
+ アクセスを制限する以下の条件キー。
+ アカウントに制限するための `aws:SourceAccount`。
+ 特定の Amazon FSx ファイルシステムに制限するための `aws:SourceArn`。
次の例では、必要な形式でシークレットを作成し、Amazon FSx にシークレットの使用を許可するリソースポリシーをアタッチします。この例では、 AWS アカウント ID とリージョンを自動的に取得し、Amazon FSx とシークレット間の適切なアクセスコントロールを確保するために、これらの値を使用してリソースポリシーを設定します。
`KMS_KEY_ARN` を[ステップ 1](#create-kms-key-windows-cli) で作成したキーの ARN に置き換え、`CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME` と `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD` を Active Directory サービスアカウントの認証情報に置き換えてください。さらに、Active Directory に参加するファイルシステムと同じリージョンに AWS CLI 環境が設定されていることを確認します。
```
# Set region and get account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Replace with your KMS key ARN from Step 1
KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e"
# Replace with your Active Directory credentials
AD_USERNAME="Your_Username"
AD_PASSWORD="Your_Password"
# Create the secret
SECRET_ARN=$(aws secretsmanager create-secret \
--name "FSxSecret" \
--description "Secret for FSx access" \
--kms-key-id "$KMS_KEY_ARN" \
--secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \
--region "$REGION" \
--query 'ARN' \
--output text)
echo "Secret created with ARN: $SECRET_ARN"
# Attach the resource policy with proper formatting
aws secretsmanager put-resource-policy \
--secret-id "FSxSecret" \
--region "$REGION" \
--resource-policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"secretsmanager:GetSecretValue\",
\"secretsmanager:DescribeSecret\"
],
\"Resource\": \"$SECRET_ARN\",
\"Condition\": {
\"StringEquals\": {
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\"
}
}
}
]
}"
echo "Resource policy attached successfully"
```
**注記**
特定のシークレットとファイルシステムをターゲットにするように `Resource`および `aws:SourceArn`フィールドを変更することで、より詳細なアクセスコントロールを設定できます。
## Amazon FSx サービスアカウント
セルフマネージド Active Directory に結合している Amazon FSx ファイルシステムには、その有効期間を通じて有効なサービスアカウントが必要です。Amazon FSx はサービスアカウントを使用してファイルシステムを完全に管理し、Active Directory ドメインへのコンピュータオブジェクトの結合解除と再結合を必要とする管理タスクを実行します。これらのタスクには、障害が発生したファイルサーバーの置き換えや Microsoft Windows Server ソフトウェアのパッチ適用が含まれます。Amazon FSx がこれらのタスクを実行するには、Amazon FSx サービスアカウントに、少なくとも委任された [サービスアカウントのアクセス許可](#service-account-prereqs) で説明されている一連のアクセス許可が必要です。
**ドメイン管理者**グループのメンバーには、これらのタスクを実行するのに十分な権限がありますが、必要な権限を Amazon FSx に委任するには、別のサービスアカウントを使用することを強くお勧めします。
**[Active Directory ユーザーおよびコンピュータ]** MMC スナップインの **[コントロールの委任]**または **[高度な機能]**を使用して権限を委任する方法については、「[Amazon FSx サービスアカウントまたはグループへのアクセス許可の委任](assign-permissions-to-service-account.md)」を参照してください。
ファイルシステムを新しいサービスアカウントで更新する場合は、その新しいサービスアカウントに、Active Directory に結合するのに必要なアクセス許可と権限があり、ファイルシステムに関連付けられている既存のコンピュータオブジェクトに対する **[フルコントロール]** アクセス許可が付与されていることを確認してください。詳細については、「[Amazon FSx サービスアカウントの変更](changing-ad-service-account.md)」を参照してください。
セキュリティを強化するために、アクティブディレクトリサービスアカウントの資格情報を AWS Secrets Manager に格納することをお勧めします。これにより、機密性の高い資格情報をプレーンテキストで保存する必要がなくなり、セキュリティのベストプラクティスに沿ったものになります。詳細については、「[セルフマネージド Microsoft Active Directory を使用する](#self-managed-AD)」を参照してください。
# Amazon FSx サービスアカウントまたはグループへのアクセス許可の委任
Amazon FSx サービスアカウントまたは管理者グループは、FSx for Windows File Server ファイルシステムをセルフマネージド Active Directory ドメインに結合するために[必要な権限](self-managed-AD.md#service-account-prereqs)を持っている必要があります。これらのアクセス許可を委任するには、次の手順で説明するように、Active Directory User and Computers MMC スナップインで **[コントロールの委任]** または **[高度な機能]** のいずれかを使用できます。
## **[コントロールの委任]** を使用してアクセス許可を割り当てるには
****[コントロールの委任]** を使用してサービスアカウントまたはグループにアクセス許可を割り当てるには**
1. Active Directory ドメインのドメイン管理者としてシステムにログインします。
1. **アクティブディレクトリユーザーとコンピュータ** MMC スナップインを開きます。
1. タスクペインで、ドメインノードを展開します。
1. 変更する OU のコンテキスト (右クリック) メニューを見つけて開き、**[Delegate Control]** (コントロールの委任) を選択します。
1. **[Delegation of Control Wizard]** (コントロールウィザードの委任) ページで、**[Next]** (次へ) を選択します。
1. **[追加]** を選択して Amazon FSx サービスアカウントまたはグループの名前を追加し、**[次へ]** を選択します。
1. **[Tasks to Delegate]** (委任するタスク) ページで、**[Create a custom task to delegate]** (委任するカスタムタスクの作成) を選択し、**[Next** (次へ) を選択します。
1. **[Only the following objects in the folder]** (フォルダー内の以下のオブジェクトのみ) を選択してから、**[Computer objects]** (コンピュータオブジェクト) を選択します。
1. **[Create selected objects in this folder]** (このフォルダー内に選択したオブジェクトを作成する) を選択してから、**[Delete selected objects in this folder]** (このフォルダー内の選択したオブジェクトを削除する) を選択します。続いて、**[Next]** (次へ) を選択します。
1. **[Permissions]** (アクセス許可) を使用する場合、以下を選択します。
+ **[Reset Password]** (パスワードのリセット)
+ **[Read and write Account Restriction]** (読み取りおよび書き込み、アカウントの制限)
+ **[Validated write to DNS host name]** (DNS ホスト名への書き込みの検証)
+ **[Validated write to service principal name]** (サービスプリンシパル名への書き込みの検証)
1. **[Next]** (次へ) を選択し、**[Finish]** (完了) を選択します。
1. **アクティブディレクトリユーザーとコンピュータ** MMC スナップインを閉じます。
## **[高度な機能]** を使用して次のようにアクセス許可を割り当てるには
1. Active Directory ドメインのドメイン管理者としてシステムにログインします。
1. **アクティブディレクトリユーザーとコンピュータ** MMC スナップインを開きます。
1. メニューバーから **[表示]** を選択し、**[高度な機能]** が有効になっていることを確認します (機能が有効になっている場合、横にチェックマークが表示されます)。
1. タスクペインで、ドメインノードを展開します。
1. 変更する OU のコンテキストメニューを見つけて (右クリックで) 開き、**[プロパティ]** をクリックします。
1. **[OU のプロパティ]** ペインで **[セキュリティ]** タブをクリックします。
1. **[セキュリティ]** タブで **[アドバンスト]** をクリックします。次に、**[追加]** をクリックします。
1. **[許可エントリ]** ページで **[プリンシパルを選択]** をクリックし、Amazon FSx サービスアカウントまたはグループの名前を入力します。**[適用対象:]** で **[このオブジェクトとすべての後継コンピュータ]** を選択します。次の許可が選択されていることを確認します。
+ **[許可を変更]**
+ **[コンピュータオブジェクトの作成]**
+ **[コンピュータオブジェクトの削除]**
1. **[適用]** を選択してから **[OK]** を選択します。
1. **アクティブディレクトリユーザーとコンピュータ** MMC スナップインを閉じます。
# アクティブディレクトリ設定の検証
アクティブディレクトリに結合している FSx for Windows ファイルサーバーファイルシステムを作成する前に、Amazon FSx アクティブディレクトリ検証ツールを使用して、アクティブディレクトリ設定を検証します。アクティブディレクトリ設定を正常に検証するには、アウトバウンドのインターネット接続が必要であることに注意してください。
**アクティブディレクトリの設定を検証するには**
1. FSx for Windows ファイルサーバーファイルシステムに使用するのと同じサブネットと、同じ Amazon VPC セキュリティグループで Amazon EC2 Windows インスタンスを起動します。EC2 インスタンスが `AmazonEC2ReadOnlyAccess` IAM アクセス許可を必要としていることを確認します。IAM ポリシーシミュレーターを使用して、EC2 インスタンスロールのアクセス許可を検証できます。詳細については、「*IAM ユーザーガイド*」の「[IAM ポリシーシミュレーターを使用した IAM ポリシーのテスト](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)」を参照してください。
1. EC2 Windows インスタンスをアクティブディレクトリに結合します。詳細については、「*AWS Directory Service 管理ガイド*」の「[Windows インスタンスを手動で結合する](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_windows_instance.html)」を参照してください。
1. EC2 インスタンスに接続します。詳細については、*Amazon EC2 ユーザーガイド* の [Windows インスタンスへの接続](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html) を参照してください。
1. EC2 インスタンスで Windows PowerShell ウィンドウを開きます (**管理者として実行** を使用)。
Windows PowerShell で必要なアクティブディレクトリモジュールがインストールされているかどうかをテストするには、次のテストコマンドを使用します。
```
PS C:\> Import-Module ActiveDirectory
```
上記でエラーが返された場合は、次のコマンドを使用してインストールします。
```
PS C:\> Install-WindowsFeature RSAT-AD-PowerShell
```
1. 次のコマンドを使用して、ネットワーク検証ツールをダウンロードします。
```
PS C:\> Invoke-WebRequest "https://docs.aws.amazon.com/fsx/latest/WindowsGuide/samples/AmazonFSxADValidation.zip" -OutFile "AmazonFSxADValidation.zip"
```
1. 次のコマンドを使用して zip ファイルを展開します。
```
PS C:\> Expand-Archive -Path "AmazonFSxADValidation.zip"
```
1. `AmazonFSxADValidation` モジュールを現在のセッションに追加します。
```
PS C:\> Import-Module .\AmazonFSxADValidation
```
1. 以下のコマンドを代入して、必要なパラメータを設定します。
+ アクティブディレクトリドメイン名 (*DOMAINNAME.COM*)
+ 次のいずれかのオプションを使用して、サービスアカウントのパスワードの `$Credential` オブジェクトを準備します。
+ 認証情報オブジェクトをインタラクティブに生成するには、次のコマンドを使用します。
```
$Credential = Get-Credential
```
+ AWS Secrets Manager リソースを使用して認証情報オブジェクトを生成するには、次のコマンドを使用します。
```
$Secret = ConvertFrom-Json -InputObject (Get-SECSecretValue -SecretId $AdminSecret).SecretString
$Credential = (New-Object PSCredential($Secret.UserName,(ConvertTo-SecureString $Secret.Password -AsPlainText -Force)))
```
+ DNS サーバーの IP アドレス (*IP\$1ADDRESS\$11*、*IP\$1ADDRESS\$12*)
+ Amazon FSx ファイルシステムを作成する予定のサブネットのサブネット ID (例えば、*SUBNET\$11*、*SUBNET\$12*、`subnet-04431191671ac0d19`)。
```
PS C:\>
$FSxADValidationArgs = @{
# DNS root of ActiveDirectory domain
DomainDNSRoot = 'DOMAINNAME.COM'
# IP v4 addresses of DNS servers
DnsIpAddresses = @('IP_ADDRESS_1', 'IP_ADDRESS_2')
# Subnet IDs for Amazon FSx file server(s)
SubnetIds = @('SUBNET_1', 'SUBNET_2')
Credential = $Credential
}
```
1. (オプション) 検証ツールを実行する前に `README.md` ファイルに含まれる以下の指示に従って、組織単位、委任された管理者グループ、DomainControllersMaxCount を設定し、サービスアカウントの許可を有効にします。
**注記**
オペレーティングシステムが英語でない場合は、`Domain Admins` グループの名前は異なります。例えば、フランス語の OS バージョンではグループの名前は `Administrateurs du domaine` です。値を指定していない場合、デフォルトの `Domain Admins` グループ名が使用され、ファイルシステムの作成は失敗します。
1. このコマンドを使用して検証ツールを実行します。
```
PS C:\> $Result = Test-FSxADConfiguration @FSxADValidationArgs
```
1. 以下に、正常なテスト結果の例を示します。
```
Test 1 - Validate EC2 Subnets ...
...
Test 17 - Validate 'Delete Computer Objects' permission ...
Test computer object amznfsxtestd53f deleted!
...
SUCCESS - All tests passed! Please proceed to creating an Amazon FSx file system. For your convenience, SelfManagedActiveDirectoryConfiguration of result can be used directly in CreateFileSystemWindowsConfiguration for New-FSXFileSystem
PS C:\AmazonFSxADValidation> $Result.Failures.Count
0
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0
```
以下に、エラーのあるテスト結果の例を示します。
```
Test 1 - Validate EC2 Subnets ...
...
Test 7 - Validate that provided EC2 Subnets belong to a single AD Site ...
Name DistinguishedName Site
---- ----------------- ----
10.0.0.0/19 CN=10.0.0.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=SiteB,CN=Sites,CN=Configu...
10.0.128.0/19 CN=10.0.128.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=Default-First-Site-Name,C...
10.0.64.0/19 CN=10.0.64.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=SiteB,CN=Sites,CN=Configu...
Best match for EC2 subnet subnet-092f4caca69e360e7 is AD site CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st-ad,DC=local
Best match for EC2 subnet subnet-04431191671ac0d19 is AD site CN=SiteB,CN=Sites,CN=Configuration,DC=test-ad,DC=local
WARNING: EC2 subnets subnet-092f4caca69e360e7 subnet-04431191671ac0d19 matched to different AD sites! Make sure they
are in a single AD site.
...
9 of 16 tests skipped.
FAILURE - Tests failed. Please see error details below:
Name Value
---- -----
SubnetsInSeparateAdSites {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}
Please address all errors and warnings above prior to re-running validation to confirm fix.
PS C:\AmazonFSxADValidation> $Result.Failures.Count
1
PS C:\AmazonFSxADValidation> $Result.Failures
Name Value
---- -----
SubnetsInSeparateAdSites {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0
```
検証ツールの実行時に警告またはエラーが表示された場合は、検証ツールパッケージ (`TROUBLESHOOTING.md`) および [Amazon FSx のトラブルシューティング](troubleshooting.md) に含まれるトラブルシューティングガイドを参照してください。
# セルフマネージド Microsoft アクティブディレクトリドメインへの Amazon FSx ファイルシステムの結合
新しい FSx for Windows ファイルサーバーファイルシステムを作成するときに、セルフマネージド Microsoft アクティブディレクトリドメインに結合するように Microsoft アクティブディレクトリ統合を設定できます。これを行うには、Microsoft アクティブディレクトリに次の情報を指定します。
+ オンプレミスの Microsoft Active Directory のディレクトリの完全修飾ドメイン名 (FQDN)。
**注記**
Amazon FSx は現在、シングルラベルドメイン (SLD) ドメインをサポートしていません。
+ ドメインの DNS サーバーの IP アドレス。
+ Amazon FSx がファイルシステムをドメインに結合するために使用する Active Directory サービスアカウントの認証情報です。これらは、次のいずれかの方法で指定できます:
+ **オプション 1**: AWS Secrets Manager シークレット ARN - Active Directory ドメインのサービスアカウントのユーザー名とパスワードを含むシークレット。詳細については、「[を使用した Active Directory 認証情報の保存 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows)」を参照してください。
+ **オプション 2**: プレーンテキスト認証情報
+ **サービスアカウントのユーザー名** - 既存の Microsoft Active Directory のサービスアカウントのユーザー名。ドメインのプレフィックスまたはサフィックスを含めないでください。たとえば、`EXAMPLE\ADMIN` には `ADMIN` のみを使用します。
+ **サービスアカウントのパスワード** - サービスアカウントのパスワード。
オプションで、以下を指定することもできます。
+ Amazon FSx ファイルシステムに結合させたいドメイン内の特定の組織単位 (OU)。
+ メンバーに Amazon FSx ファイルシステムの管理者許可が付与されているドメイングループの名前。指定するドメイングループ名は、Active Directory で一意である必要があります。
この情報を指定した後、Amazon FSx は、指定したサービスアカウントを使用して、新しいファイルシステムをセルフマネージド Active Directory ドメインに結合します。
**重要**
Amazon FSx は、結合しているアクティブディレクトリドメインがデフォルトの DNS として Microsoft DNS を使用している場合のみ、ファイルシステムの DNS レコードを登録します。サードパーティー DNS を使用している場合は、ファイルシステムを作成した後、Amazon FSx ファイルシステムの DNS エントリを手動で設定する必要があります。ファイルシステムに使用する正しい IP アドレスの選択の詳細については、「[手動 DNS エントリに使用する正しいファイルシステムの IP アドレスの取得](file-system-ip-addresses-for-dns.md)」を参照してください。
## 開始する前に
[セルフマネージド Microsoft Active Directory を使用する](self-managed-AD.md) で [前提条件](self-managed-AD.md#self-manage-prereqs) の詳細を完了していることを確認してください。
## セルフマネージド Active Directory に結合した FSx for Windows ファイルサーバーファイルシステムを作成するには (コンソール)
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) で Amazon FSx コンソールを開きます。
1. ダッシュボードで **[Create file system]** (ファイルシステムの作成) を選択して、ファイルシステム作成ウィザードを起動します。
1. **FSx for Windows ファイルサーバー** を選択してから、**[Next]** (次へ) を選択します。**[Create file system]** (ファイルシステムの作成) ページが表示されます。
1. ファイルシステムの名前を入力します。最大 256 文字の Unicode 文字、空白文字、数字、および特殊文字 (\$1 - = . \$1 : /) を使用できます。
1. **ストレージ容量** では、ファイルシステムのストレージ容量 (GiB 単位) を入力します。SSD ストレージを使用している場合は、32~65,536 の範囲で任意の整数を入力します。HDD ストレージを使用している場合は、2,000~65,536 の範囲で任意の整数を入力します。ファイルシステムの作成した後、いつでも必要なストレージ容量を増やすことができます。詳細については、「[ストレージ容量の管理](managing-storage-configuration.md#managing-storage-capacity)」を参照してください。
1. **スループット容量** はデフォルト設定のままにします。**スループット容量** は、ファイルシステムをホストするファイルサーバーがデータを提供できる持続可能速度です。**推奨スループット容量** 設定は、選択したストレージ容量に基づきます。推奨スループット容量を超える容量が必要な場合は、**[Specify throughput capacity]** (スループット容量の指定) を選択し、値を選択します。詳細については、「[FSx for Windows File Server のパフォーマンスパフォーマンス](performance.md)」を参照してください。
スループット容量は、ファイルシステムを作成した後、いつでも必要に応じて変更できます。詳細については、「[スループット容量の管理](managing-throughput-capacity.md)」を参照してください。
1. ファイルシステムに関連付ける VPC を選択します。この入門演習では、 Directory Service ディレクトリと Amazon EC2 インスタンスと同じ VPC を選択します。
1. **アベイラビリティーゾーン** と **サブネット** の値を選択します。
1. **VPCセキュリティグループ** については、デフォルトの Amazon VPC のデフォルトセキュリティグループが、コンソールのファイルシステムに、すでに追加されています。FSx ファイルシステムを作成しているサブネットのセキュリティグループと VPC ネットワーク ACL が、次の図表に示す方向のポートでのトラフィックを許可していることを確認してください。
![\[FSx for Windows ファイルサーバーの VPC セキュリティグループのポート設定要件と、ファイルシステムが作成されているサブネットのネットワーク ACL。\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)
以下の表に、各ポートのロールを示します。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/creating-joined-ad-file-systems.html)
**重要**
シングル AZ 2 および、すべてのマルチ AZ ファイルシステムのデプロイでは、TCP ポート 9389 でアウトバウンドトラフィックを許可する必要があります。
**注記**
VPC ネットワーク ACL を使用している場合は、FSx ファイルシステムからのダイナミックポート (49152-65535) でのアウトバウンドトラフィックも許可する必要があります。
+ セルフマネージド Microsoft アクティブディレクトリドメインの DNS サーバーおよびドメインコントローラーに関連付けられた、IP アドレスへのすべてのトラフィックを許可するアウトバウンドルール。詳細については、[「アクティブディレクトリ通信用のファイアウォールの設定に関する Microsoft のドキュメント」](https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts) を参照してください。
+ これらのトラフィックルールが、アクティブディレクトリドメインコントローラー、DNS サーバー、FSx クライアント、および FSx 管理者のそれぞれに適用されるファイアウォールにも反映されていることを確認してください。
**注記**
アクティブディレクトリのサイトが定義されている場合、Amazon FSx ファイルシステムに関連付けられた VPC 内のサブネットがアクティブディレクトリのサイトで定義されていること、および VPC 内のサブネットとその他のサイトのサブネットの間に競合が存在しないことを確認する必要があります。これらの設定は、アクティブディレクトリのサイトとサービス MMC スナップインを使用して、表示および変更することができます。
**重要**
Amazon VPC セキュリティグループでは、ネットワークトラフィックが開始される方向でのみポートを開く必要がありますが、ほとんどの Windows ファイアウォールとおよび VPC ネットワーク ACL では両方向にポートを開く必要があります。
1. **[Windows authentication]** (Windows 認証) で、**[Self-managed Microsoft Active Directory]** (セルフマネージド Microsoft アクティブディレクトリ) を選択します。
1. セルフマネージド Microsoft アクティブディレクトリのディレクトリの **[完全修飾ドメイン名]** の値を入力します。
**注記**
ドメイン名は、シングルラベルドメイン (SLD) 形式であってはなりません。現在 Amazon FSx では SLD ドメインをサポートしていません。
**重要**
シングル AZ 2 およびすべてのマルチ AZ ファイルシステムの場合は、アクティブディレクトリドメイン名は 47 文字を超えることはできません。
1. セルフマネージド Microsoft アクティブディレクトリのディレクトリの **[組織単位]** の値を入力します。
**注記**
指定したサービスアカウントに、ここで指定する OU、または指定しない場合はデフォルトの OU に委任された、アクセス許可があることを確認します。
1. セルフマネージド Microsoft アクティブディレクトリのディレクトリの **[DNS サーバー IP アドレス]** に 1 つ以上、2 つ以下の値を入力します。
1. **[サービスアカウントの認証情報]** – サービスアカウントの認証情報を指定する方法を選択します:
+ **オプション 1**: AWS Secrets Manager シークレット ARN - Active Directory ドメインのサービスアカウントのユーザー名とパスワードを含むシークレット。詳細については、「[を使用した Active Directory 認証情報の保存 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows)」を参照してください。
+ **オプション 2**: プレーンテキスト認証情報
+ **サービスアカウントのユーザー名** - 既存の Microsoft Active Directory のサービスアカウントのユーザー名。ドメインのプレフィックスまたはサフィックスを含めないでください。たとえば、`EXAMPLE\ADMIN` には `ADMIN` のみを使用します。
+ **サービスアカウントのパスワード** - サービスアカウントのパスワード。
+ **パスワードの確認** - サービスアカウントのパスワード。
**重要**
**[Service account username]** (サービスアカウントのユーザーネーム) を入力するときは、ドメインプレフィクス (`corp.com\ServiceAcct`) またはドメインサフィックス (`ServiceAcct@corp.com`) は含めないでください。
**[Service account username]** (サービスアカウントのユーザーネーム) (`CN=ServiceAcct,OU=example,DC=corp,DC=com`) を入力するときは、識別名 (DN) を使用しないでください。
1. **[委任されたファイルシステム管理者グループ]** で、`Domain Admins` グループ、またはカスタムの委任されたファイルシステム管理者グループ (自身で作成した場合)を指定してください。指定したグループには、ファイルシステムで管理タスクを実行するための委任許可が与えられます。値を入力しない場合、Amazon FSx はビルトイン `Domain Admins` グループを使用します。Amazon FSx は、組み込みコンテナにある `Delegated file system administrators group` (指定した `Domain Admins` グループまたはカスタムグループのいずれか) を保持することをサポートしてないことに注意してください。
**重要**
**[委任されたファイルシステム管理者グループ]** を提供しない場合、デフォルトでは、Amazon FSx はアクティブディレクトリドメインで組み込み `Domain Admins` グループを使用しようとします。このビルトイングループの名前が変更された場合、またはドメイン管理に別のグループを使用している場合は、そのグループの名前をここに指定する必要があります。
**重要**
グループ名のパラメータを指定するときは、ドメインプレフィックス (corp.com \$1 FSxAdmins) またはドメインサフィックス (FSxAdmins@corp.com) を含めないでください。
グループには識別名 (DN) を使用しないでください。識別名の例には、CN=FSxAdmins、OU=example、DC=corp、DC=com が挙げられます。
## セルフマネージド Active Directory に結合した FSx for Windows ファイルサーバーファイルシステムを作成するには (AWS CLI)
次の例では、`us-east-2` アベイラビリティーゾーンにおける `SelfManagedActiveDirectoryConfiguration` で FSx for Windows ファイルサーバーファイルシステムを作ります。
```
aws fsx --region us-east-2 \
create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--security-group-ids security-group-id \
--subnet-ids subnet-id\
--windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \
UserName="FSxService",Password="password", \
DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
```
**重要**
ファイルシステムの作成後に Amazon FSx が OU で作成するコンピュータオブジェクトを移動しないでください。これを行うと、ファイルシステムが正しく設定されなくなります。
# 手動 DNS エントリに使用する正しいファイルシステムの IP アドレスの取得
Amazon FSx は、Microsoft DNS をデフォルトの DNS サービスとして使用している場合にのみ、ファイルシステムの DNS レコードを登録します。サードパーティーの DNS を使用している場合は、Amazon FSx ファイルシステムの DNS エントリを手動で設定する必要があります。このセクションでは、ファイルシステムを DNS に手動で追加する必要がある場合に使用する、正しいファイルシステムの IP アドレスを取得する方法について説明します。ファイルシステムが作成されると、ファイルシステムが削除されるまでその IP アドレスを変更できないことに注意してください。
**DNS A エントリに使用するファイルシステムの IP アドレスを取得する方法**
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) で、IP アドレスを取得したいファイルシステムを選択すると、ファイルシステムの詳細ページが表示されます。
1. **[Network & security]** (ネットワークとセキュリティ) タブで、次のいずれかを実行します。
+ シングル AZ 1 ファイルシステムの場合:
+ **[Subnet]** (サブネット) パネルで、**[Network Interface]** (ネットワークインターフェイス) に表示されている Elastic Network Interface を選択して、Amazon EC2 コンソールの **[Network Interfaces]** (ネットワークインターフェイス) ページを開きます。
+ **[Primary private IPv4 IP]** (プライマリプライベート IPv4 IP) 列には、シングル AZ 1 ファイルシステムが使用する IP アドレスが表示されます。
+ シングル AZ 2 またはマルチ AZ ファイルシステムの場合:
+ **[Preferred subnet]** (優先サブネット) パネルで、**[Network interface]** (ネットワークインターフェイス) に表示されている Elastic Network Interface を選択して、Amazon EC2 コンソールの **[Network Interfaces]** (ネットワークインターフェイス) ページを開きます。
+ 使用する優先サブネットの IP アドレスは、**[Secondary private IPv4 IP]** (セカンダリプライベート IPv4 IP) 列に表示されます。
+ Amazon FSx の **[Standby subnet]** (スタンバイサブネット) パネルで、**[Network Interface]** (ネットワークインターフェイス) に表示されている Elastic Network Interface を選択して、Amazon EC2 コンソールの **[Network Interfaces]** (ネットワークインターフェイス) ページを開きます。
+ 使用する優先サブネットの IP アドレスは、**[Secondary private IPv4 IP]** (セカンダリプライベート IPv4 IP) 列に表示されます。
**注記**
シングル AZ 2 またはマルチ AZ ファイルシステムの Windows Remote PowerShell エンドポイントに DNS エントリを設定する必要がある場合は、**[優先サブネット]** の Elastic Network Interface に **[プライマリプライベート IPv4 アドレス]** を使用する必要があります。詳細については、「[PowerShell での Amazon FSx CLI の使用](administering-file-systems.md#remote-pwrshell)」を参照してください。
# セルフマネージド Active Directory 設定の更新
Amazon FSx ファイルシステムの継続的で中断のない可用性を確保するには、次の Active Directory プロパティのいずれかが変更されたときに、ファイルシステムの Active Directory 設定を更新する必要があります。
+ DNS サーバーの IP アドレス
+ セルフマネージド Active Directory のサービスアカウント認証情報
Amazon FSx ファイルシステムのセルフマネージド Active Directory 設定を更新すると、更新が適用されている間にファイルシステムの状態が **[利用可能]** から **[更新中]** に変わります。更新が適用された後、状態が **[Available]** (利用可能) に戻っているか検証します。更新が完了するまでには、数分かかる場合があることに注意してください。詳細については、「[セルフマネージドアクティブディレクトリの更新のモニタリング](monitor-self-ad-update.md)」を参照してください。
更新されたセルフマネージド Active Directory 設定に問題がある場合は、ファイルシステムの状態は **[設定ミス]** に切り替わります。この状態では、コンソール、API、および CLI のファイルシステムの説明の横にエラーメッセージと推奨される修正アクションが表示されます。推奨される修正アクションを実行した後、最終的にファイルシステムの状態が **[Available]** (使用可能) に変更したかを確認します。
**重要**
ファイルシステムを新しいサービスアカウントで更新する場合は、その新しいサービスアカウントにファイルシステムに関連付けられている既存のコンピュータオブジェクトに対する**フルコントロール**アクセス許可が付与されていることを確認してください。
セルフマネージド Active Directory 設定に関連する可能性のある問題のトラブルシューティングについては、「[ファイルシステムが正しく設定されていない状態です](misconfigured-ad-config.md)」を参照してください。
AWS マネジメントコンソール、Amazon FSx API、または を使用して、ファイルシステムのセルフマネージド Active Directory 設定のサービスアカウントの認証情報と DNS サーバーの IP アドレス AWS CLI を更新できます。セルフマネージド Active Directory 設定の更新の進行状況は AWS マネジメントコンソール、、CLI、および API を使用していつでも追跡できます。詳細については、「[セルフマネージドアクティブディレクトリの更新のモニタリング](monitor-self-ad-update.md)」を参照してください。
**セルフマネージドアクティブディレクトリの設定を更新するには (コンソール)**
1. Amazon FSx コンソール ([https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)) を開きます。
1. **[ファイルシステム]** に移動し、セルフマネージド Active Directory 設定を更新する Windows ファイルシステムを選択します。
1. **[Network & security]** (ネットワークとセキュリティ) タブで、**DNS サーバーの IP アドレス** については **[Update]** (更新) を選択します。またはサービスアカウントのユーザーネームについては、更新するアクティブディレクトリプロパティによって異なります。
1. 表示されるダイアログに、新しい DNS サーバの IP アドレス、新しいサービスアカウントの認証情報(ユーザ名とパスワード)、またはシークレット ARN を入力します。 AWS Secrets Manager を使用して認証情報を保存できます。詳細については、「[を使用した Active Directory 認証情報の保存 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows)」を参照してください。
1. **[Update]** (更新) を選択して、アクティブディレクトリ設定の更新を開始します。
[更新の進行状況は、 または を使用してモニタリング](monitor-self-ad-update.md)できます AWS CLI。 AWS マネジメントコンソール
**セルフマネージドアクティブディレクトリ設定 (CLI) を更新するには**
+ FSx for Windows File Server ファイルシステムのセルフマネージド Active Directory 設定を更新するには、 AWS CLI コマンド [update-file-system](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html) を使用します。以下のパラメータを設定します:
+ 更新するファイルシステムの ID への `--file-system-id`。
+ `UserName` セルフマネージド Active Directory サービスアカウントの新しいユーザーネーム。
+ `Password` セルフマネージド Active Directory アカウントの新しいパスワード。
+ `DomainJoinServiceAccountSecret` Active Directory ドメインのサービスアカウントのユーザー名とパスワードを含む AWS Secrets Manager シークレット
**注記**
Active Directory に接続するために、ユーザー名/パスワードとドメイン参加サービスアカウントのシークレットの両方を指定することはできません。資格情報のセットを 1 つだけ指定します。
+ `DnsIps` セルフマネージド Active Directory DNS サーバーの IP アドレス。
```
aws fsx update-file-system --file-system-id fs-0123456789abcdef0 \
--windows-configuration 'SelfManagedActiveDirectoryConfiguration={UserName=username,Password=password,\
DnsIps=[192.0.2.0,192.0.2.24]}'
```
更新アクションが成功すると、サービスは HTTP 200 レスポンスを返します。レスポンス内の `AdminstrativeActions` オブジェクトは、リクエストとそのステータスを記述します。
# Amazon FSx サービスアカウントの変更
ファイルシステムを新しいサービスアカウントで更新する場合は、その新しいサービスアカウントに Active Directory を結合させるのに必要なアクセス許可と権限、およびファイルシステムに関連付けられている既存のコンピュータオブジェクトに対する **[フルコントロール]** アクセス許可が付与されていることを確認してください。さらに、新しいサービスアカウントが、**[グループポリシー]** 設定の **[ドメインコントローラー: ドメイン結合中にコンピュータアカウントの再利用を許可する]** が有効な信頼されたアカウントの一部であることを確認します。
Active Directory グループを使用して、サービスアカウントに関連付けられた Active Directory のアクセス許可と設定を管理することを強くお勧めします。
Amazon FSx のサービスアカウントを変更する場合、サービスアカウントに次の設定があることを確認してください。
+ 新しいサービスアカウント (またはメンバーである Active Directory グループ) が、ファイルシステムに関連付けられている既存のコンピュータオブジェクトに対する**フルコントロール**アクセス許可を持っている。
+ 新規および以前のサービスアカウント (またはそれらが属する Active Directory グループ) は、Active Directory のすべてのドメインコントローラーで、**[ドメインコントローラー: ドメイン結合中にコンピュータアカウントを再利用を許可する]** グループポリシー設定が有効になっている信頼されたアカウント (または信頼された Active Directory グループ) の一部です。
サービスアカウントがこれらの要件を満たしていない場合、次の条件が発生する可能性があります。
+ シングル AZ ファイルシステムの場合、ファイルシステムは **[MISCONFIGURED\$1UNAVAILABLE](administering-file-systems.md#file-system-lifecycle-states)** になる可能性があります。
+ マルチ AZ ファイルシステムでは、ファイルシステムが **[MISCONFIGURED](administering-file-systems.md#file-system-lifecycle-states)** になり、RemotePowerShell エンドポイント名が変更される可能性があります。
## ドメインコントローラーのグループポリシーの設定
次の [Microsoft の推奨手順](https://support.microsoft.com/en-us/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8#bkmk_take_action)では、ドメインコントローラーグループポリシーを使用して許可リストポリシーを設定する方法について説明します。
**ドメインコントローラーの許可リストポリシーを設定するには**
1. 2023 年 9 月 12 日以降の Microsoft Windows 更新プログラムを、セルフマネージド Microsoft Active Directory のすべてのメンバーコンピュータとドメインコントローラーにインストールします。
1. セルフマネージド Active Directory 内のすべてのドメインコントローラーに適用される新規または既存のグループポリシーで、以下の設定を行います。
1. **[コンピュータ設定] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [ローカルポリシー] > [セキュリティオプション]** の順にに移動します。
1. **[ドメインコントローラー: ドメイン結合中にコンピュータアカウントの再利用を許可する]** をダブルクリックします。
1. **[このポリシー設定と<セキュリティの編集…>を定義]** を選択します。
1. オブジェクトピッカーを使用して、信頼できるコンピュータアカウント作成者と所有者のユーザーまたはグループを **[許可]** アクセス許可に追加します。(ベストプラクティスとして、アクセス許可にグループを使用することを強くお勧めします)。**ドメイン結合を実行するユーザーアカウントを追加しないでください。**
**警告**
メンバーシップを信頼されたユーザーとサービスアカウントに限定します。認証されたユーザー、全員、またはその他の大きなグループをこのポリシーに追加しないでください。代わりに、特定の信頼されたユーザーとサービスアカウントをグループに追加し、それらのグループをポリシーに追加します。
1. グループポリシーの更新間隔を待つか、すべてのドメインコントローラーで **gpupdate /force** を実行します。
1. HKLM\$1System\$1CCS\$1Control\$1SAM – “ComputerAccountReuseAllowList” レジストリキーに目的の SDDL が入力されていることを確認します。**レジストリを手動で編集しないでください**。
1. 2023 年 9 月 12 日以降の更新がインストールされているコンピュータへの結合を試みます。ポリシーに記載されているアカウントの 1 つがコンピュータアカウントを所有していることを確認します。また、レジストリで **NetJoinLegacyAccountReuse** キーが有効になっていない (1 に設定) ことを確認してください。ドメイン結合が失敗した場合、**`c:\windows\debug\netsetup.log`** を確認します。
# セルフマネージドアクティブディレクトリの更新のモニタリング
以下の手順で説明するように AWS マネジメントコンソール、、 API、または を使用して AWS CLI、セルフマネージド Active Directory 設定の更新の進行状況をモニタリングできます。
ファイルシステムのセルフマネージド Active Directory 設定を更新すると、更新が適用されている間にファイルシステムの状態が **[利用可能]** から **[更新中]** に変わります。更新が完了すると、状態は **[利用可能]** に戻ります。Active Directory 設定の更新が完了するまでに最大数分かかる場合があります。
## コンソールで更新をモニタリングする
**ファイルシステムの詳細** ウィンドウの **[Updates]** (更新) タブでは、更新の種類ごとに最新の更新プログラムを 10 個表示できます。
![\[最近の更新リストを表示するコンソールのスクリーンショット。\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/images/fs-updates-panel.png)
セルフマネージドアクティブディレクトリの更新の場合、次の情報を表示できます。
****更新タイプ****
サポートされているタイプは次のとおりです:
+ DNS サーバーの IP アドレス
+ サービスアカウントの認証情報
****ターゲット値****
ファイルシステムのプロパティを更新する目標値。**サービスアカウントの認証情報** の更新の場合、ユーザー名のみが表示され、サービスアカウントのパスワードはこのフィールドに含まれません。
****[Status]** (ステータス)**
更新の現在のステータス。セルフマネージドアクティブディレクトリの更新の場合、指定できる値は次のとおりです。
+ **[Pending]** (保留中) - Amazon FSx は更新リクエストを受信しましたが、処理を開始していません。
+ **[In progress]** (進行中) - Amazon FSx が更新リクエストを処理しています。
+ **[Completed]** (完了) - ファイルシステムの更新が正常に完了しました。
+ **[Failed]** (失敗) - ファイルシステムの更新に失敗しました。障害の詳細を見るには、疑問符 (**?**) を選択します。
****[Progress %]** (進行状況 %)**
ファイルシステムの更新の進行状況を、完了率として表示します。
****[Request time]** (リクエスト時間)**
Amazon FSx が更新アクションリクエストを受信した時刻。
## AWS CLI および API を使用した更新のモニタリング
describe[describe-file-systems](https://docs.aws.amazon.com/cli/latest/reference/fsx/describe-file-systems.html) AWS CLI コマンドと [DescribeFileSystems](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html) API アクションを使用して、進行中のファイルシステム更新リクエストを表示およびモニタリングできます。`AdministrativeActions` 配列には、管理アクションタイプごとに最新の更新アクションが 10 件を表示されます。
次の例は、**describe-file-systems** CLI コマンドのレスポンスの抜粋を示しています。出力には、2 つのセルフマネージド Active Directory ファイルシステムの更新が表示されます。
```
{
"OwnerId": "111122223333",
.
.
.
"StorageCapacity": 1000,
"AdministrativeActions": [
{
"AdministrativeActionType": "FILE_SYSTEM_UPDATE",
"RequestTime": 1581694766.757,
"Status": "PENDING",
"TargetFileSystemValues": {
"WindowsConfiguration": {
"SelfManagedActiveDirectoryConfiguration": {
"UserName": "serviceUser",
}
}
}
},
{
"AdministrativeActionType": "FILE_SYSTEM_UPDATE",
"RequestTime": 1619032957.759,
"Status": "FAILED",
"TargetFileSystemValues": {
"WindowsConfiguration": {
"SelfManagedActiveDirectoryConfiguration": {
"DnsIps": [
"10.0.138.161"
]
}
}
},
"FailureDetails": {
"Message": "Failure details message."
}
}
],
.
.
.
```