AD Connectorを利用して、既存のActiveDirectoryと接続する
触る機会があったのでメモ。
AD Connector(Active Directory Connector)とは
AD Connectorは、AWSが提供するディレクトリサービスの中の1つです。
AD Connector は、クラウドの情報をキャッシュせずにディレクトリリクエストをオンプレミスの Microsoft Active Directory へリダイレクトするのに使用するディレクトリゲートウェイです。
オンプレにあるActiveDirectoryに対する、ゲートウェイ的な働きをするやつです。
AD Connector利用の前提条件
利用にあたり前提条件があるので確認しておきます。
Active DirectoryにAD Connector用サービスアカウントの作成
AD Connectorが利用することになる、次の権限を委任されたサービスアカウントをActiveDirectoryのドメインコントローラー上より作成します。
- ユーザーおよびグループの読み取り
- コンピュータのドメインへの結合
- コンピュータオブジェクトの作成
ドメコンにて、 ActiveDirectoryユーザーとコンピューター
の画面を開く。
Connectors
グループを作成。
続いて、ナビゲーションツリーでドメインルートを選択、右クリックから 制御の委任
を選択。 オブジェクト制御の委任ウィザード
を開始する。
ウィザードを進めて、作成したConnectorsグループを追加します。
次の画面にて、 委任するカスタムタスクを作成する
を選択し、 フォルダ内の次のオブジェクトのみ
から、以下2つを選択する。
- コンピューターオブジェクト
- ユーザーオブジェクト
同時に、以下のチェックボックスも有効にして次へ。
- 選択されたオブジェクトをこのフォルダーに作成する
- 選択されたオブジェクトをこのフォルダーから削除する
アクセス許可として、以下の通り選択します。
その後、Connectorsグループに、ADConnectorから接続させるユーザーを追加します。今回作成したのは ConnectorUser
というユーザー。
必要ネットワークポリシーの確認
AWSのAD Connector(実際はVPC上に作成されるAD Connector用ENI)から、ActiveDirectoryドメコンサーバーへ、以下のポートで疎通できる必要があります。
デフォルトのActiveDirectoryから変更すべき項目は以上です。以下ADConnectorを作成しますが、正常に作成できないドメコンと疎通できない場合、その他の前提条件を疑う必要があります。
AD Connectorの作成
AD Connectorを作成します。Directoryサービス系のAWSコンソールより。
AD Connector
を選択します。
タイプを選択します。コンソール上に記載ある通り、同時接続数によりタイプを選択すべきようです。
AD Connectorを配置するVPCとサブネットを登録します。
今回利用するドメイン、ドメコンのDNSサーバーIPアドレス、事前に作成した接続用ユーザー情報を入力します。
しばらくのち、Statusがアクティブになることを確認します。