• はじめに
• FSx for Windows File ServerにおけるWindows認証について
  • AWS Managed Microsoft Active Directory
  • 自己管理型 Microsoft Active Directory
• 検証のながれ
• 構成図
• 事前準備
• やったこと
  • オンプレ用VPCにAD(EC2)を構築
    • AD初期設定
    • FSx用サービスアカウントの作成
    • 制御の委任設定
  • オンプレ⇔クラウド間をTransit Gatewayで接続
  • クラウド用VPCにFSx for Windows File Serverを構築
    • FSx用のセキュリティグループ作成
    • FSx for Windows File Serverを作成
  • 動作確認
    • ADサーバーからFSx for Windows File Serverへマウント
• おわりに

はじめに

こんにちは。SA1課の阿部です。
今回は、FSx for Windows File Serverの構築時に、FSxのWindows認証を自己管理型ADで行う必要があったため、事前に検証した設定手順についてご紹介いたします。

FSx for Windows File ServerにおけるWindows認証について

FSx for Windows File Serverを構築する際は、Microsoft Active Directoryとの連携を行う必要があります。
Active Directoryと連携することで、ファイルシステムにアクセスするユーザーの認証や、ファイル・フォルダレベルでのアクセス制御を実現しているからです。

連携方法は以下の２通りが存在します。

1. AWS Managed Microsoft Active Directory
2. 自己管理型 Microsoft Active Directory

AWS Managed Microsoft Active Directory

こちらは名前の通り、AWSのDirectory Serviceを用いて作成したActive Directoryと連携するパターンです。
詳細は以下のドキュメントを参照してください。

docs.aws.amazon.com

自己管理型 Microsoft Active Directory

こちらは、既にオンプレ上に存在するActive Directoryや、クラウド上に存在するActive Directory(EC2上にAD構築等)と連携するパターンになります。
詳細は以下のドキュメントを参照してください。

docs.aws.amazon.com

検証のながれ

本手順では、オンプレ環境に見立てたネットワークをAWS上に構築し、その上にActive Directory用サーバーを構築して検証を行いました。
また、今回の手順であればオンプレ⇔クラウド間の接続はVPCピアリングでも十分ですが、なるべく本番に合わせるためTransit Gatewayで接続します。 具体的には以下の流れになります。

1. オンプレ用VPCを構築
2. クラウド用VPCを構築
3. オンプレ用VPCにAD(EC2)を構築
4. オンプレ⇔クラウド間をTransit Gatewayで接続
5. クラウド用VPCにFSx for Windows File Serverを構築
6. 動作確認

構成図

本手順では、以下の構成で検証を行います。

事前準備

以下の部分については事前に対応済みとし、本記事では取り上げません。

• オンプレ用VPCを構築

• クラウド用VPCを構築

• オンプレ⇔クラウド間をTransit Gatewayで接続

• EC2の作成

• SSM経由でのEC2接続

やったこと

オンプレ用VPCにAD(EC2)を構築

AD初期設定

• まずは事前に作成したEC2(Windows Server2022)へRDP接続します。

• 「サーバーマネージャー」から「役割と機能の追加」を選択し、AD機能のインストールを行います。

• インストールする役割は「Active Directory Domain Service」を選択してください。

• 以下のような画面になればインストール完了です。

• 次にドメインコントローラーの設定をします。右上の通知マークをクリックします。

• 「このサーバーをドメインコントローラーに昇格する」をクリックします。

• すると、新たにウィザードが起動しますので、ルートドメインなどを構成していきます。

• ドメインコントローラーの設定が完了しました。

FSx用サービスアカウントの作成

設定にあたり、以下の記事を参考にしました。

blog.serverworks.co.jp

• FSx用のOUを作成します。

• 今回は「FSx」というOUを新規で作成しました。

• 次に権限委任用ユーザーを作成します。

• 「FSx」OU配下に「FSxServiceAccount」というユーザーを作成しました。

• 続いて、グループを作成します。

• 「FSx」OU配下に「FSxGroup」というグループを作成しました。

• 作成したグループ「FSxGroup」にサービスアカウント「FSxServiceAccount」を追加してください。

制御の委任設定

• 「FSx」OUにマウスカーソルをあわせた状態で右クリックし、「制御の委任」をクリックします。

• 「ユーザー、コンピューターまたはグループ」画面で、先程作成したグループ「FSxFroup」を追加します。

• 「委任するタスク」画面で「委任するカスタムタスクを作成する」を選択して次へ進みます。

• 「フォルダー内の次のオブジェクトのみ」を選択し、以下３箇所にチェックを付けます。

• 続くアクセス許可の設定画面では、「全般」を選択した状態で以下４つにチェックを付けます。

• これで制御の委任設定が完了しました。

オンプレ⇔クラウド間をTransit Gatewayで接続

検証ではVPC同士を接続していますが、本番ではDirect Connectを経由してオンプレに接続する必要があるため、本手順では詳しく解説しません。
もし同じように検証されたい方は、以下の記事を参考に接続していただければと思います。

blog.serverworks.co.jp

クラウド用VPCにFSx for Windows File Serverを構築

FSx用のセキュリティグループ作成

以下の公式ドキュメントを元にFSxにアタッチするセキュリティグループを作成します。

docs.aws.amazon.com

FSx for Windows File Serverを作成

• マネージメントコンソールから「ファイルシステムの作成」をクリックします。

• 今回は検証のため、シングルAZで構成します。

• 「Windows認証」の項目で、「自己管理型 Microsoft Active Directory」を選択し、必要な情報を入力します。

• 「ネットワークとセキュリティ」の項目で、前項で作成したFSx用のセキュリティグループを割り当てます。

• 最後の確認画面で問題なければ「作成」をクリックします。

• 作成処理が開始されると、コンソール上で以下の表示になります。

• 30分〜40分くらい経過して、ステータス欄が「利用可能」に変われば作成完了です。

• FSxの作成が完了すると、AD上でもFSxがコンピューターオブジェクトとして表示されるようになります。

動作確認

ADサーバーからFSx for Windows File Serverへマウント

• FSxコンソールから、構築したファイルシステムを選択し、アタッチボタンをクリックします。

• 以下のように、ファイルシステムへのマウント方法についての表示があります。
  前提手順については既に実施済みのため、「アタッチ手順」以降の操作を実施します。
  手順としては、マウント用のコマンドがコンソール上に表示されるので、それをマウントしたいPC上で実行するだけです。

• Windows上でコマンドプロンプトを起動し、コマンドを実行します。「The Command completed successfully.」と表示されればマウント完了です。

• マウントが完了すると、エクスプローラー上でもネットワークドライブとして認識されていることが確認できます。

• 試しにフォルダを作成したり、テキストファイルを作成してみて、問題なく操作できることが確認できれば手順は完了です。

おわりに

いかがでしたでしょうか？
今回の検証で、FSx for Windows File Serverの構築前にオンプレADで実施すべき設定や、構築後のマウント方法などを学ぶことができました。
この記事が皆様のお役に立てれば幸いです。