DirectoryServiceで信頼関係を構築する

AWS運用自動化サービス「Cloud Automator」
この記事は1年以上前に書かれたものです。
内容が古い可能性がありますのでご注意ください。

技術四課の鎌田(裕)です。

前回のブログで、Active Directoryの信頼関係について、概要を説明しました。
2回目の今回は、Directory ServiceのMirosoft Active Directory(以下MSAD)とEC2インスタンスのActive Directoryの間で信頼関係を確立する方法をご説明します。

信頼関係を確立してみよう

では実際に、信頼関係を確立してみましょう。以下のような構成にて、信頼関係を確立します。
leaf.comはEC2で構築したドメインコントローラーで、pine.comはMSADで構築したドメインコントローラーを使います。
それぞれのドメインコントローラーは構築を済ませておきます。また、pine.comドメインに参加したWindows Serverを1台用意しておきます。

双方のドメインコントローラーで、必要なポートの通信が行える状態にする

AWSの公式ドキュメントの前提条件に記載の通り、ドメインコントローラー間で通信が出来るようにする必要があります。
MSADにデフォルトでアタッチされるセキュリティグループの変更も必要となります。

条件付きフォワーダーを設定する

条件付きフォワーダーを設定することで、異なるドメインのドメインコントローラーの場所を探せるようになります。

まずleaf.comドメインのサーバーにRDPで接続して、ドメイン管理者権限でログインします。
ログインしたら、スタートメニューのWindows管理ツールから、「DNS」をクリックします。

DNSマネージャーが起動したらツリーを展開。「条件付きフォワーダー」を右クリックし、「新規条件付きフォワーダー」をクリックします。

DNSドメインには、信頼関係を確立する相手のドメイン名を、IPアドレスは、相手のドメインのDNSサーバーアドレス(通常はドメインコントローラーのIPアドレス)を入力します。
一部エラーになりますが、そのまま「OK」をクリックして、進めてください。

MSADのドメインコントローラーのIPは、マネジメントコンソールから確認できます。

DNSフォワーダーが設定出来たら、動作確認をしてみましょう。
今回、leaf.comのDNSにpine.comの情報を転送するように設定しましたので、pine.comの情報をleaf.comのDNSに確認して、エラーにならなければOKです。
nslookupコマンドを使って確認した結果はこちら。pine.comのDNSサーバーアドレスが返されていますので、正しく設定できています。

pine.comのドメインに関しても、同様の設定を実施します。
pine.comのドメインに参加したWindows ServerにRDPで接続して、ドメイン管理者権限でログインします。
ドメインコントローラーの設定とDNSの設定を行えるように、サーバーマネージャーを起動して、役割を追加しておきます。

役割を追加したら、先程と同じ手順で、今度はpine.comのDNSにleaf.comの条件付きフォワーダーの設定をします。

設定ができたら、leaf.comドメインの情報を、pine.comのDNSサーバーに確認して、エラーにならないか見てみましょう。どちらもエラーにならずに終われば、事前準備が整いました。

信頼関係を確立する

いよいよ信頼関係の確立です。
まずは、leaf.comのドメインコントローラー側から、pine.comのドメインの信頼関係を設定します。
スタートメニューのWindows管理ツールから、「Active Directoryドメインと信頼関係」をクリックします。

ドメイン名を右クリックして、プロパティをクリックします。

信頼タブをクリックして、「新しい信頼」をクリックします。ウィザードが始まります。

ウィザードの最初の画面は「次へ」をクリックして次に進み、信頼関係を確立したいドメイン名を入れる画面に進んでください。
今回はpine.comと信頼関係を作るので、「pine.com」と入力します。

スクリーンショットの流れに沿って、作業を進めてください。
今回は、双方向の信頼関係で、子ドメインを含めた全体を信頼する関係を確立します。








設定が完了すると、図のように信頼関係の設定が入ります。

今度は、MSAD側で信頼関係の設定をします。
マネジメントコンソールから、Directory Serivceで目的のドメインのディレクトリ(今回はpine.comドメイン)をクリックして、詳細設定を表示し、
「信頼関係」タブをクリックしてください。
その中から、「信頼関係の追加」をクリックします。

信頼関係を確率したいドメイン名を入力するポップアップが表示されます。
今回はleaf.comと信頼関係を作るので、「leaf.com」と入力します。

設定してしばらくすると、ステータスが「検証済み」となり、設定が完了します。

これで、信頼関係の構築が出来ました。

おわりに

信頼関係を確立する方法を説明しましたが、DNSが登場するなど、少し難しいと感じるかも知れません。
どこでドメインの情報を参照するのか、などを意識すると、分かり易くなるかと思いますので、確認しながら対応してみてください。
次回は、信頼関係にあるドメインのWorkSpacesを展開してみたいと思います。

AWS運用自動化サービス「Cloud Automator」