この記事は Nicolas Vibert 氏のブログ Integrating AWS Directory Services with VMware Cloud on AWS の翻訳です。 翻訳の一覧はこちら

この短い記事では、VMware Cloud on AWS 上で動作する VM と AWS Directory Services を統合する方法を説明します。

AWS が提供する多くのサービスの一つに、マネージドの Microsoft Active Directory プラットフォームがあります。Microsoft AD の経験が少ない私にとっては、これは便利なサービスのように思えます(Active Directory は私が習得しようとしているスキルではありません)。

なぜこのサービスの利用を検討したかというと、VMware Cloud on AWS 上で動作する Windows VM に AWS Managed File Servers for Windows (FSx) をアタッチしたかったのですが、FSx では AWS の AD を使用する必要があったためなのです。

FSx を VMware Cloud on AWS で使用する方法は、次回の記事で紹介する予定です。

さっそく AD を設定してみましたが、バカみたいに簡単でした。AWS コンソールに移動して、Directory Service を選択していきましょう。

AWS Directory Service のウェルカムページ AWS Directory Service のウェルカムページ

ディレクトリのタイプを選択 ディレクトリのタイプを選択

さっそく AWS Managed Microsoft AD を構築してみました。

ディレクトリ情報を入力 ディレクトリ情報を入力

あなたは文字通り数分で AD を構築することができます。最後に、私は corp.local と ad.corp.local と呼ばれる AD の非常にオリジナルのディレクトリ名に落ち着きました。

AD を配置する VPC とサブネット(AZ ごとに 1 つ)を選択 AD を配置する VPC とサブネット(AZ ごとに 1 つ)を選択

デフォルトでは、AD は回復性のために 2 つのアベイラビリティ・ゾーン(AZ)にまたがって構築されます。AD の設定には 30 分程度かかります。

VMware Cloud on AWS とネイティブ AWS サービス間のセキュリティ制御

I talked about in a previous post but in summary, for VMs in VMC to access a service in the VPC attached to the VMC infrastructure, you need to allow traffic across 2 firewalls: 以前の記事でもお話しましたが、要約すると、VMC 内の VM が VMC インフラに接続された VPC 内のサービスにアクセスするためには、2 つのファイアウォールをまたいでトラフィックを許可する必要があります。

  • コンピュート ゲートウェイ(VMware Cloudコンソール上で構成されています)
  • VMware Cloud からアクセスしようとしている AWS リソースのセキュリティ グループ

AWS Managed AD サービスにアクセスするためには、以下のトラフィックが許可されていることを確認する必要があります(以下のリンク先の通り)。

  • TCP/UDP 53 – DNS
  • TCP/UDP 88 – Kerberos authentication
  • UDP 123 – NTP
  • TCP 135 – RPC
  • UDP 137-138 – Netlogon
  • TCP 139 – Netlogon
  • TCP/UDP 389 – LDAP
  • TCP/UDP 445 – SMB
  • TCP 636 – LDAPS (LDAP over TLS/SSL)
  • TCP 873 – Rsync
  • TCP 3268 – Global Catalog
  • TCP/UDP 1024-65535 – Ephemeral ports for RPC

ドメインへ参加するには

トラフィックの通信を許可したら、AWS のページの指示に従ってください(「Manually join a Windows Instance」)。これらの手順は EC2 インスタンス用に書かれていますが、VMware Cloud on AWS でも全く問題ありません。

やり方は簡単です。まず、AWS コンソールの Directory Details で AWS の DNS Server の IP アドレスを探します。

172.31.42.113 と 172.31.3.138 が DNS Server 172.31.42.113 と 172.31.3.138 が DNS Server

次に、管理する AD の IP アドレスとなる DNS Server を Windows マシン上で指定する必要があります。

まずはじめに Windows マシン上の DNS 設定 まずはじめに Windows マシン上の DNS 設定

DNS サービスが動作することを確認してください。システムのプロパティに移動し、ドメインに参加をクリックし、資格情報を入力します。これで完了です。

ドメインに参加 ドメインに参加

これで完了です これで完了です

お読みいただきありがとうございました。これで、AWS Managed Directory Service を VMware Cloud on AWS の仮想マシン(または、EC2 インスタンス)にアタッチする方法がわかりました。VMC の仮想マシンと EC2 インスタンスともに同じドメインに参加することができます。