AWS Systems Manager を使用して、実行中の EC2 Windows インスタンスを、AWS Directory Service のドメインに参加させる方法を教えてください。

最終更新日: 2020 年 5 月 14 日

AWS Systems Manager を使用して、実行中の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを AWS Directory Service のドメインに参加させたいと考えています。どうすればできますか?

簡単な説明

AWS Systems Manager を使用すると、実行中のインスタンスをドメインに自動的に参加させられます。AWS Directory Service でのドメインのホスティングは、AWS Directory Service for Microsoft Active Directory または Simple AD で行えます。ドメインは、AD Connector のディレクトリゲートウェイを使用してオンプレミスネットワーク上に配置することもできます。

注: Systems Manager で Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを使用している場合、EC2 インスタンスを AWS Directory Service ドメインに参加させるリクエストは失敗します。詳細については「 VPC エンドポイントの制約と制限」をご参照ください。

解決方法

AWS が提供するドキュメント AWS-JoinDirectoryServiceDomainRun Command を使用すると、実行中の Windows EC2 インスタンスを AWS Directory Service ディレクトリに参加させられます。

前提条件

重要: ターゲットインスタンスは自動的に再起動され、ドメインへの参加が完了します。この作業を開始する前に、インスタンスの再起動がインフラストラクチャにとって安全であることを確認してください。

  1. Amazon EC2 コンソール を開き、お使いのリージョンを選択した後、ナビゲーションペインで [インスタンス] をクリックします。
  2. ターゲットのインスタンスを選択します。[説明] タブの [IAM ロール] で、Systems Manager とディレクトリ参加アクセス用に設定済みのロールがアタッチされていることを確認します。詳細については、「Systems Manager の IAM インスタンスプロファイルを作成する」をご参照ください。
    注: アタッチされた IAM ロールを更新するには、[アクション]、[インスタンスの設定]、[IAM ロールをアタッチ/置き換え] の順にクリックします。
  3. AWS Systems Manager コンソールを開き、ご使用のリージョンを選択した後、ナビゲーションペインで [コマンドの実行] をクリックします。
  4. [コマンドの実行] をクリックします。
  5. AWS-JoinDirectoryServiceDomain ドキュメントを検索します。検索結果から AWS-JoinDirectoryServiceDomain を選択します。
  6. [コマンドのパラメータ] に、次のように入力します。
    [ディレクトリ ID] に、AWS Directory Service ディレクトリの ID を入力します。
    [ディレクトリ名] に、ディレクトリの DNS 名を入力します。
    (オプション) [DNS IP アドレス] には、ディレクトリ内の DNS サーバーの IP アドレスを 1 行に 1 つずつ入力します。ドメイン DNS サーバーが DHCP オプションセットで設定されている場合、このステップは必要ありません。
    注: ステップ 6 でご自身のディレクトリに使用した値を見つけるには、AWS Directory Service コンソールを開き、ナビゲーションペインで [ディレクトリ ] をクリックします。ディレクトリに対応した [ディレクトリ ID] リンクを選択し、[ディレクトリの詳細] セクションから値を見つけます。
  7. [ターゲット] で [インスタンスを手動で選択する] をクリックし、ドメインに参加させるインスタンスを選択します。インスタンスが表示されない場合は、そのインスタンスが実行中であり、AWS Systems Manager の前提条件を満たしているかを確認します。
  8. [実行] をクリックします。
  9. [コマンドのステータス] に成功とレポートされたら、[ターゲットと出力] セクションで [インスタンス ID] を選択します。コマンド出力を見ると、インスタンスがドメインに正常に参加したことを確認できます。

トラブルシューティング

インスタンスがディレクトリのドメインに参加できない場合は、DirectoryServicePortTest アプリケーションを使用して、インスタンスが Directory Service と通信できているかを確認します。

AWS Systems Manager エージェントの使用、および他のトラブルシューティング手順の詳細については、「AWS Systems Manager のマネージドインスタンス」をご参照ください。

その他のトラブルシューティング戦略については、Microsoft ウェブサイトの「How to troubleshoot errors that occur when you join Windows-based computers to a domain (Windows ベースのコンピュータをドメインに参加させるときに発生するエラーのトラブルシューティング方法)」をご参照ください。