

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# での Amazon FSx の使用 AWS Directory Service for Microsoft Active Directory
<a name="fsx-aws-managed-ad"></a>

AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) は、クラウド内でフルマネージド型の高可用性の実際の Active Directory ディレクトリを提供します。これらの Active Directory ディレクトリは、ワークロードのデプロイで使用できます。

組織が ID とデバイスの管理 AWS Managed Microsoft AD に を使用している場合は、Amazon FSx ファイルシステムを と統合することをお勧めします AWS Managed Microsoft AD。これにより、Amazon FSx with AWS Managed Microsoft AD. を使用したターンキーソリューションが 2 つのサービスのデプロイ、オペレーション、高可用性、信頼性、セキュリティ、シームレスな統合 AWS を処理し、独自のワークロードを効果的に運用することに集中できます。

 AWS Managed Microsoft AD セットアップで Amazon FSx を使用するには、Amazon FSx コンソールを使用できます。コンソールで新しい FSx for Windows ファイルサーバーファイルシステムを作成する場合は、**[Windows 認証)]** セクションの **AWS [ マネージド Microsoft Active Directory]** を選択します。使用する特定のディレクトリも選択します。詳細については、「[ステップ 5. ファイルシステムを作成](getting-started.md#getting-started-step1)」を参照してください。

組織は、セルフマネージドアクティブディレクトリドメイン (オンプレミスまたはクラウド) で ID とデバイスを管理している場合があります。その場合は、Amazon FSx ファイルシステムを既存のセルフマネージド型 Active Directory ドメインに直接結合できます。詳細については、「[セルフマネージド Microsoft Active Directory を使用する](self-managed-AD.md)」を参照してください。

さらに、リソースフォレスト分離モデルの恩恵を受けるようにシステムを設定することもできます。このモデルでは、Amazon FSx ファイルシステムを含むリソースを、ユーザーがいる場所から別の Active Directory フォレストに分離します。

**重要**  
シングル AZ 2 およびすべてのマルチ AZ ファイルシステムの場合、アクティブディレクトリの完全修飾ドメイン名 (FQDN) は 47 文字を超えることはできません。

## ネットワークの前提条件
<a name="rfim-networking-requirements"></a>

 AWS Microsoft Managed Active Directory ドメインに参加している FSx for Windows File Server ファイルシステムを作成する前に、次のネットワーク設定を作成して設定していることを確認してください。
+ **VPC セキュリティグループ** の場合、デフォルトの Amazon VPC のデフォルトのセキュリティグループは、コンソールのファイルシステムにすでに追加されています。FSx ファイルシステムを作成しているサブネットのセキュリティグループと VPC ネットワーク ACL が、次の図表に示す方向のポートでのトラフィックを許可していることを確認してください。  
![FSx for Windows ファイルサーバーの VPC セキュリティグループのポート設定要件と、ファイルシステムが作成されているサブネットのネットワーク ACL。](http://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)

  以下の表に、各ポートのロールを示します。    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/fsx-aws-managed-ad.html)
**重要**  
シングル AZ 2 および、すべてのマルチ AZ ファイルシステムのデプロイでは、TCP ポート 9389 でアウトバウンドトラフィックを許可する必要があります。
**注記**  
VPC ネットワーク ACL を使用している場合は、FSx ファイルシステムからのダイナミックポート (49152-65535) でのアウトバウンドトラフィックも許可する必要があります。
+ Amazon FSx ファイルシステムを別の VPC またはアカウントの AWS Managed Microsoft Active Directory に接続する場合は、その VPC とファイルシステムを作成する Amazon VPC 間の接続を確認します。詳細については、「[別の VPC またはアカウント AWS Managed Microsoft AD で で Amazon FSx を使用する](shared-mad.md)」を参照してください。
**重要**  
Amazon VPC セキュリティグループでは、ネットワークトラフィックが開始される方向でのみポートを開く必要がありますが、VPC ネットワーク ACL では両方向にポートを開く必要があります。

[Amazon FSx ネットワーク検証ツール](validate-ad-domain-controllers.md#test-ad-controller-connectivity) を使用して、アクティブディレクトリドメインコントローラーへの接続を検証します。

## リソースフォレスト分離モデルの使用
<a name="using-a-rfim"></a>

ファイルシステムを AWS Managed Microsoft AD 設定に結合します。次に、作成した AWS Managed Microsoft AD ドメインと既存のセルフマネージド Active Directory ドメインの間に一方向のフォレスト信頼関係を確立します。Amazon FSx での Windows 認証の場合、一方向のフォレストの信頼のみが必要で、 AWS マネージドフォレストは企業ドメインのフォレストを信頼します。

企業ドメインは信頼されたドメインのロールを受け取り、 Directory Service マネージドドメインは信頼するドメインのロールを受け取ります。検証済み認証リクエストは、ドメイン間を一方向にしか移動しません。これにより、企業ドメインのアカウントがマネージドドメインで共有されているリソースに対して認証を行うことができます。この場合、Amazon FSx は AWS マネージドドメインとのみ対話します。Kerberos 認証シナリオでは、企業クライアントから発信された認証リクエストが企業ドメインによって検証され、これが を参照し AWS Managed Microsoft AD、最終的にクライアントはサービスチケットを FSx for Windows File Server ファイルシステムに提示します。信頼の詳細については、 AWS セキュリティブログの「 [との信頼について知りたいこと AWS Managed Microsoft AD](https://aws.amazon.com/blogs/security/everything-you-wanted-to-know-about-trusts-with-aws-managed-microsoft-ad/)」の投稿を参照してください。

## アクティブディレクトリの設定をテストする
<a name="test-ad-config"></a>

Amazon FSx ファイルシステムを作成する前に、Amazon FSx ネットワーク検証ツールを使用してアクティブディレクトリドメインコントローラーへの接続を検証することをお勧めします。詳細については、「[アクティブディレクトリドメインコントローラーへの接続の検証](validate-ad-domain-controllers.md)」を参照してください。

FSx for Windows File Server AWS Directory Service for Microsoft Active Directory で使用する際、以下の関連リソースが役立ちます。
+ [https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html)とは何ですか
+ *AWS Directory Service 管理ガイド*の[AWS 「マネージド Active Directory の作成](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html)」
+ *AWS Directory Service 管理ガイド* で [信頼関係を作成するタイミング](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_setup_trust.html)