こんにちは、Enterprise Cloud部 技術1課 宮形 です。
AWS マネージメントコンソール上で、AWS Managed Microsoft Active Directory (Managed MSAD) を管理するための Windows Server の EC2 を構築できる機能が追加されました。さっそく試してみましたので、本BLOGでご紹介させていただきます。
AWS Managed Microsoft AD simplifies directory administrative tools access
構築手順
AWS マネージメントコンソールの Directory Service コンソールより該当の Managed MSAD を選択します。右上の「アクション」より「ディレクトリ管理 EC2 インスタンスの起動」を選択します。
パラメーターの入力画面になります。私はEC2へ直接リモートデスクトップで接続したかったので「キーペア名」を設定しましたが、これも必須ではありません。その場合、ローカル Administrator のパスワードがわからなくなりますが、EC2は自動的にActive Directoryドメイン参加までしてくれるので AD上の管理者ユーザーを使って接続できます。
画面を下へスクロールすると、構築時に実行されるSSMコマンドラインを確認することができます。「送信」をクリックします。
10分程度で EC2 の構築が完了します。確認は マネージメントコンソールのEC2コンソールから行います。 サブネットは、自動的に Managed MSAD と同じものから接続されるようです。
リモートデスクトップで接続すると、はじめからドメイン参加済で、「管理ツール」に AD管理ツール類がインストール済であることが確認できました。「グループポリシー 管理」や「DNS」など付随するツール類も一緒にインストールされるようですので、このまま即座に利用できそうです。(現時点では英語版の Windows Server 2019 が選択されましたが、ウィザードのオプションで日本語版AMIを選択することも可能です。)
EC2 のOS上のDNSサーバー参照先は、自動的に Managed MSAD のIPアドレスになっていましたので、 DHCP OptionSets や Route 53 Resolver が無くても Active Directory ドメインの名前解決は問題なく動作するようです。
失敗になる場合もある
何パターンか試してみたのですが、SSM Run Command を使っている関係だと思われますが、インターネット接続できないサブネットに Managed MSAD があると EC2 がSSMのエンドポイントと通信できないためか失敗することがわかりました。その場合、EC2 が自動的に「終了済み」になり、失敗に終わってしまうようです。
SSMのオートメーションのログから「タイムアウト済み」になっていることがわかります。
なので、環境によってはこの方法は諦めざるを得ない場合もありそうです。
まとめ
今回のアップデートで、非常に少ない手数と短時間のうち AD管理用のEC2を構築することが出来きるようになりました。他にもこのようなメリットがあると感じました。
- OSにログインすることなく構築が出来るので、リモートデスクトップ接続することが出来ない環境下でも作業可能
- Managed MSAD の管理者パスワードを知らなくても作業可能
AD管理用のEC2は時々しか使わないというご利用者も多いと思います。今回の機能追加により、使うときだけ構築して終わったら削除する、といったコスト削減も可能だと思います。
本BLOGの内容が皆様の参考になれば幸いです。