Amazon FSx for Windowsが既存のActive Directoryのドメインを直接利用できるようになりました!

AWS運用自動化サービス「Cloud Automator」

技術三課のWindowsおじさんこと、鎌田です。
Amazon FSx for Windowsをご検討のお客様も多いかと思うのですが、Directory ServiceのMSADが必須となっている点がネックというケースも多かったのではないかと思います。

その点が、最新のupdateにより既存のActive Directoryドメインでの利用に対応しました!

詳細な条件

AWSドキュメントに詳細が記載されていますが、以下の環境に対応していれば、利用可能です。

  • ドメインの機能がWindows Server 2008 R2以降であること
  • Active DirectoryのIPアドレスがFSxを構築するVPCと同じVPC内にあるか、以下のIPアドレスレンジにあること
    • 10.0.0.0/8
    • 172.16.0.0/12
    • 192.168.0.0/16
  • 以下の権限持つActive Directoryのユーザー情報 (ドメイン参加、コンピューターアカウントの追加/削除などを実施するため、それに必要となる権限です)
    • Ability to reset passwords
    • Ability to restrict accounts from reading and writing data
    • Validated ability to write to the DNS host name
    • Validated ability to write to the service principal name

構築してみた

構築を実施してみました。構築手順の詳細は過去のブログも参照いただければと思います。

これまでDirectory ServiceのMSADしか選択できなかったWindows authenticationに、「Self-managed Microsoft Directory」が追加されています。
こちらを選択すると、ドメイン名、ドメインコントローラーのIPアドレス、上記にも記載したドメイン参加の権限などを持つユーザー情報とパスワードの入力を求められるので入力します。

任意選択ですが、FSxのコンピューターを作成するOUも選択が可能です。なおOUに関しては、作成後の変更が出来ないため、ご注意ください。

構築後にアクセスすると、確かに既存のドメインに対してFSxが構築できていることが確認できました!

設定変更が可能な箇所

構築後にマネジメントコンソールを確認すると、ドメインコントローラーのIPアドレスと、ユーザー名/パスワードについては編集可能であることが分かります。その他の部分は編集できないため、構築後の設定変更が行えません。
構築の際に十分検討を実施の上、構築を実施されることを推奨いたします。

おわりに

既存のActive Directoryドメインに参加できるようになったことで、FSx for Windowsを利用する上でのハードルが下がりました。
マネージドなファイルサーバーをご検討のお客様は、是非選択肢に加えてみては如何でしょうか。

AWS運用自動化サービス「Cloud Automator」