AD Connectorを利用して、既存のActiveDirectoryと接続する

触る機会があったのでメモ。

AD Connector(Active Directory Connector)とは

AD Connectorは、AWSが提供するディレクトリサービスの中の1つです。

AD Connector は、クラウドの情報をキャッシュせずにディレクトリリクエストをオンプレミスの Microsoft Active Directory へリダイレクトするのに使用するディレクトゲートウェイです。

Active Directory Connector

オンプレにあるActiveDirectoryに対する、ゲートウェイ的な働きをするやつです。

AD Connector利用の前提条件

利用にあたり前提条件があるので確認しておきます。

AD Connector の前提条件

Active DirectoryにAD Connector用サービスアカウントの作成

AD Connectorが利用することになる、次の権限を委任されたサービスアカウントをActiveDirectoryのドメインコントローラー上より作成します。

  • ユーザーおよびグループの読み取り
  • コンピュータのドメインへの結合
  • コンピュータオブジェクトの作成

メコンにて、 ActiveDirectoryユーザーとコンピューター の画面を開く。

Connectors グループを作成。

f:id:goodbyegangster:20200214083929p:plain

続いて、ナビゲーションツリーでドメインルートを選択、右クリックから 制御の委任 を選択。 オブジェクト制御の委任ウィザード を開始する。

ウィザードを進めて、作成したConnectorsグループを追加します。

f:id:goodbyegangster:20200214083943p:plain

次の画面にて、 委任するカスタムタスクを作成する を選択し、 フォルダ内の次のオブジェクトのみ から、以下2つを選択する。

  • コンピューターオブジェクト
  • ユーザーオブジェクト

同時に、以下のチェックボックスも有効にして次へ。

  • 選択されたオブジェクトをこのフォルダーに作成する
  • 選択されたオブジェクトをこのフォルダーから削除する

アクセス許可として、以下の通り選択します。

f:id:goodbyegangster:20200214084007p:plain

その後、Connectorsグループに、ADConnectorから接続させるユーザーを追加します。今回作成したのは ConnectorUser というユーザー。

権限をサービスアカウントに委任する

必要ネットワークポリシーの確認

AWSのAD Connector(実際はVPC上に作成されるAD Connector用ENI)から、ActiveDirectoryドメコンサーバーへ、以下のポートで疎通できる必要があります。

デフォルトのActiveDirectoryから変更すべき項目は以上です。以下ADConnectorを作成しますが、正常に作成できないドメコンと疎通できない場合、その他の前提条件を疑う必要があります。

AD Connectorの作成

AD Connectorを作成します。Directoryサービス系のAWSコンソールより。

AD Connector を選択します。

f:id:goodbyegangster:20200214084156p:plain

タイプを選択します。コンソール上に記載ある通り、同時接続数によりタイプを選択すべきようです。

f:id:goodbyegangster:20200214084211p:plain

AD Connectorを配置するVPCとサブネットを登録します。

f:id:goodbyegangster:20200214084227p:plain

今回利用するドメイン、ドメコンDNSサーバーIPアドレス、事前に作成した接続用ユーザー情報を入力します。

f:id:goodbyegangster:20200214084302p:plain

AD Connector の作成

しばらくのち、Statusがアクティブになることを確認します。

f:id:goodbyegangster:20200214084134p:plain