Amazon Web Services ブログ

オンプレミスの Active Directory で Amazon FSx for Windows File Server を使用する

オンプレミスのファイルストレージをクラウドに移行するか、セルフマネージドディレクトリへの結合を検討しているお客様は、その際に生じるアプリケーションとワークロードの中断を最小限に抑えることを求めています。一部の人にとっては、これは、既存のアプリケーションやファイルレベルのセキュリティ設定を変更することなく、簡単にリフトアンドシフトするために既存の Active Directory 環境を拡張することを意味します。

Amazon FSx for Windows File Server (Amazon FSx) は、共有ストレージを必要とする Windows ベースのアプリケーションを AWS に移行できるネイティブの Microsoft Windows ファイルシステムを提供します。Windows Server 上に構築された Amazon FSx はフルマネージド型であり、SMB プロトコル、Windows NTFS、および Microsoft Active Directory をネイティブにサポートします。

昨年、Amazon FSx に対するエンタープライズ対応の重要な機能強化の提供を開始しました。AmazonFSx ファイルサーバーをセルフマネージドの Active Directory フォレストに結合することが可能になりました。以前は、Amazon FSx ファイルサーバーは、Microsoft Active Directory (AWS Managed Microsoft AD) 用の AWS Directory Service にのみ結合できました。この追加機能により、Windows ファイル共有をクラウドに移行する際の柔軟性が高まり、Amazon FSx にデプロイされたコンテンツの管理がこれまでよりも容易になります。

この投稿では、お客様が管理する Active Directory に結合する Amazon FSx ファイルサーバーを作成する手順を説明します。 このディレクトリは、オンプレミスまたは Amazon Virtual Private Cloud (Amazon VPC) にデプロイできます。

前提条件

前提条件の詳細については、Amazon FSx ユーザーガイドをご覧ください。

  1. あなたがオンプレミスまたはセルフマネージドの Active Directory のドメイン管理者であること。この Active Directory がデプロイされるアドレススペースは、次のプライベート IP アドレス範囲内にある必要があります。

10.0.0.0–10.255.255.255 (プレフィックスが 10/8)

172.16.0.0–172.31.255.255 (プレフィックスが 172.16/12)

192.168.0.0–192.168.255.255 (プレフィックスが 192.168/16)

  1. 少なくとも 1 つのサブネットを持つ Amazon VPC。
  2. Amazon FSx ファイルシステムとセルフマネージドの Active Directory ドメインコントローラー間のトラフィックを許可する VPC セキュリティグループルールとドメインコントローラーファイアウォールルール。
  3. Active Directory の名前解決に使用できる DNS サーバーアドレスが少なくとも 1 つ (ただし、2 つ以下) 必要です。ほとんどの場合、これらは Active Directory DNS サーバーです。
  4. ベストプラクティスとして、fsxservice アカウントの使用を検討してください。このアカウントは、Amazon FSx ファイルサーバーをセルフマネージドの Active Directory に結合するために使用されます。詳細については、このベストプラクティスドキュメントを参照してください。
  5. FSxAdmins グループ: Amazon FSx 管理機能を実行するために必要なアクセス許可が委任されたグループ (オプション)。このグループがない場合、Domain Admins グループには必要なアクセス許可が委任されます。
  6. Amazon FSx ファイルサーバーがデプロイされる組織単位 (オプション)。

次の手順を実行します。

  1. Amazon FSx コンソール (https://console.aws.amazon.com/fsx) にログインします。
  2. [Create File System] を選択します。
  3. [Select File System Type] で、[Amazon FSx for Windows File Server] を選択し、[Next] を選択します。
  4. サイズ、名前、ネットワーク、およびセキュリティグループに関する必要な情報を入力します。[Windows Authentication] セクションで [Self-Managed Microsoft Active Directory] を選択します。
  5. Active Directory に関する必要な情報を提供します (次のスクリーンショットを参照)。

セルフマネージドの Microsoft Active Directory - 必要な詳細の提供

  1. [Next] を選択し、次のページの [Create File System] でファイルシステムを作成します。

ファイルシステムが作成されたら、[Network & Security] タブを開いて、それが実際にセルフマネージドの Active Directory の一部であることを確認できます。

ファイルシステム作成後、[Network & Security] タブを開き、セルフマネージドの Active Directory の一部であることを確認する

ここで、[Update] ボタンを選択して、DNS サーバーの IP アドレスとサービスアカウントの認証情報を更新できます。

AWS CLI を使用して、セルフマネージドの Active Directory に結合する Windows File Server 用の Amazon FSx を作成する

  1. Windows コンピューターに、最新バージョンの AWS コマンドラインインターフェイス (AWS CLI) をインストールし、必要なセキュリティ認証情報を設定します。AWS CLI のインストールの詳細については、次のドキュメントを参照してください。
  2. Windows コマンドプロンプトを開きます。
  3. 次のコマンドは、us-east-2 リージョンに Amazon FSx ファイルサーバーをデプロイします。また、[Name Tag] を FSX23 に設定した DNS 名 corp.com を使用して、セルフマネージドの Active Directory をデプロイします。
aws --region us-east-2 fsx create-file-system --file-system-type WINDOWS --storage-capacity 300 --security-group-ids 
sg-026491be633efda94 --subnet-ids subnet-0424772e5baebc793 --tags Key=Name,Value=FSX23 --windows-configuration 
ThroughputCapacity=8,SelfManagedActiveDirectoryConfiguration="{DomainName=\"corp.com\",OrganizationalUnitDistinguishedName=\
"OU=FileSystems,DC=corp,DC=com\",FileSystemAdministratorsGroup=\"FSXAdmins\",UserName="fsxservice",Password=\"Password\",DnsIps=["10.0.0.57"]}"

Windows コマンドプロンプトから AWS CLI を使用する場合、文字をエスケープするための構文に注意してください。別のオペレーティングシステムで使用する場合の AWS CLI 構文の詳細については、この AWS ドキュメントを確認してください。

ファイルシステムが作成されると、Amazon FSx コンソールで Amazon FSx ファイルサーバーの DNS 名を決定できます。前に示した図のように、[Network and Security] タブを開いてください。

AWS CLI を使用して、Amazon FSx ファイルシステムに関する情報を取得することもできます。

aws fsx describe-file-systems --region us-east-2 --file-system-ids fs-07e2369897f233261

前に示した例のコマンドの出力は次のようになります。

前に示した例のコマンドの出力

MMC スナップインを使用してカスタムファイル共有を作成する

デフォルトでは、Share という共有名があります。これは、もともと Amazon FSx ファイルサーバー上に作成されたものです。委任された Amazon FSx 管理者グループのメンバーは、デフォルトの Share を完全に制御できます。Amazon FSx のインストール中に委任された Amazon FSx 管理者グループが指定されなかった場合、セルフマネージドの Active Directory Domain Admins グループのメンバーが完全に制御できます。

Amazon FSx 管理者グループ (またはドメイン管理者) のメンバーは、次の手順に従って、Amazon FSx ファイルサーバーの「ドライブ D:」のルートから追加のカスタム共有を作成できます。

  1. セルフマネージドの Active Directory に結合しているメンバーサーバーで、Amazon FSx 管理者グループとローカル管理者グループのメンバーであるアカウントでログインします。
  2. Shared Folder である MMC Snapin fsmgmt.msc を開きます。
  3. [Shared Folders] を右クリックして、別のコンピューターに接続します。
  4. Amazon FSx コンソールから取得した Amazon FSx ファイルサーバーの DNS 名を指定します。

Amazon FSx コンソールから取得した Amazon FSx ファイルサーバーの DNS 名を指定する

  1. [SharesNew Share] を右クリックし、[Create New Share Wizard] を完了して、Amazon FSx ファイルサーバーのドライブ D:\ の任意の場所に新しい共有を作成します。
  2. 共有が作成された後、組織内の任意のコンピューターから Windows Explorer または NET USE コマンドを使用して、この共有に接続できます。

Windows リモート PowerShell エンドポイントを使用してカスタムファイル共有を作成する

Windows Remote PowerShell Endpoint が最近導入されました。管理者は、PowerShell コマンドレットを使用して Amazon FSx ファイルサーバーのリモート管理を実行できます。Remote PowerShell エンドポイントは、Amazon FSx ファイルシステムの [Network & Security] タブにあります。

次の PowerShell コマンドレットのセットは、Amazon FSx ファイルサーバーに新しい共有を作成します。

md \\amznfsxnzgqbmfi.corp.com\d$\CustomShare

enter-pssession -ComputerName amznfsxnzgqbmfi.corp.com -ConfigurationName FsxRemoteAdmin

New-FSxSmbShare -Name "New Custom Share" -Path "D:\CustomShare" -Description "Custom share"

上記の共有では、amznfsxnzgqbmfi.corp.com が Remote PowerShell Endpoint です。

New-SmbShare コマンドレットは、Amazon FSx ファイルシステムを管理するためのアクセス許可を持つ認証情報の入力を求めます。

New-SmbShare コマンドレットが Amazon FSx ファイルシステムを管理するアクセス許可を持つ認証情報の入力を求める

 

次のスクリプトは、Amazon FSx 上にファイル共有 CAFS を作成し、[Everyone] にフルアクセスを許可します。

md \\amznfsxnzgqbmfi.corp.com\d$\CAFS

$Username = 'corp\fsxadmin'
$Password = 'Password'
$pass = ConvertTo-SecureString -AsPlainText $Password -Force
$MyCreds = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $Username,$Pass
invoke-command -computername amznfsxnzgqbmfi.corp.com -credential $MyCreds -configurationname FSxRemoteAdmin 
-scriptblock { new-fsxsmbshare -name CAFS -path D:\CAFS -credential $Using:MyCreds -FullAccess Everyone }

Amazon FSx CLI for Remote Management on PowerShell を使用する方法の詳細については、このドキュメントをご覧ください。

まとめ

このブログ投稿では、Amazon FSx ファイルサーバーをセルフマネージドの Active Directory に結合するために必要な手順を示しました。最初に、ファイルシステムを作成し、それがセルフマネージドの Active Directory の一部であることを確認しました。次に、AWS CLI を使用して、セルフマネージドの Active Directory に結合する Amazon FSx ファイルサーバーを作成する方法を示しました。また、Windows Remote PowerShell Endpoint を使用して Amazon FSx ファイル共有を管理する新しい機能も紹介しました。 オンプレミスの Active Directory で Amazon FSx ファイルサーバーを使用するお客様は、使い慣れたファイル管理ツールと操作を引き続き用いることができます。

組織のセルフマネージドの Active Directory で Amazon FSx for Windows File Server を直接使用する方法の詳細については、ドキュメントガイドをご覧ください。この投稿をお読みいただき、ありがとうございました。ご質問は、コメント欄にご記載いただければ幸いです。