Amazon FSx for Windows File ServerのDNS エイリアスの設定についての注意点

記事タイトルとURLをコピーする

こんにちは!イーゴリです。

Amazon FSx for Windows File Serverの構築後、対象サーバーにアタッチする時にamznfsxxfbiwerw.<ドメイン名>のようなファイルサーバーの名前になってしまいます。本日の記事では、DNS エイリアスを設定することで任意のサーバー名を追加することができる方法をご紹介致します。

そもそもDNS エイリアスを設定する必要がある?

要件によって回答が異なりますが、決まったファイルサーバー名があったら、ファイルサーバー名を覚えやすいので便利です。 なお、既存環境のファイルサーバーの移行をAmazon FSx for Windows File Serverに移行したい場合、エンドユーザーの端末からファイルサーバー名を変えなくてもアクセスできるようになります(同じDNS名を引き継げるため)。

Amazon FSx for Windows File ServerのDNS エイリアスを設定

AWSマネジメントコンソールで[サービス]>[FSx]>[ファイルシステム]>対象FSxをクリックします。

[ネットワークとセキュリティ]タブの[DNS エイリアス]のそばにある[管理]ボタンをクリックします。

[新しい DNS エイリアスを関連付ける]の箇所で、<FS希望名>.<ドメイン名>を入力し、[関連付け]ボタンをクリックします。

「ステータス」が「利用可能」になったことを確認し「閉じる」ボタンを選択します。

[DNS エイリアス]の項目で、適切なエイリアス名が設定されていることを確認します。

NTLM 認証を利用している場合、SPN は利用されませんが、Kerberos 認証を利用している場合は、SPN(サービスプリンシパル名)を設定をしないと認証エラーが発生するので、下記の項目(Kerberos のサービスプリンシパル名 (SPN) を設定する)をご参考ください。

なお、複数サーバーから1台のFSxへデータを移行する際に、NTLM認証だけで充分な場合、最大50個のDNSエイリアス(=50台の既存ファイルサーバー)まで関連付けすることができます。

You can associate DNS aliases with existing FSx for Windows File Server file systems, when you create new file systems, and when you create a new file system from a backup. You can associate up to 50 DNS aliases with a file system at any one time.

docs.aws.amazon.com

NTLM 認証についての注意点

例えば、DNS名を使ってネットワークドライブを割り当てる時にKerberos認証が使われているため、下記のコマンドを入力しても、エラーが発生します。

なお、アクセス元のOSアップロードや設定変更によってNTLM認証でアクセスできなくなる可能性もあります。

PS C:\Windows\system32> net use X: \\fileserver01.test.local\share
システム エラー 53 が発生しました。

ネットワーク パスが見つかりません。

なぜなら上記の場合、SPN設定が足りないからです。

ですので、下記の記事の通り設定を行う必要があります。

docs.aws.amazon.com

Kerberos のサービスプリンシパル名 (SPN) を設定する

Amazon FSx ファイルシステムを接続しているアクティブディレクトリに接続している Windows インスタンスにログインします。

ログイン方法が分からない場合、下記の記事をご参考ください。

docs.aws.amazon.com

注意点:日本語OSの場合、

日本語OSの場合、接続時にエラーになってしまうことがあるので、PoweShellで接続する前に下記のコマンドで言語を英語に変更します。

$usSession = New-PSSessionOption -Culture en-US -UICulture en-us

Kerberos 認証についての注意点

下記の記事の通り、SPN は一度に 1 つのアクティブディレクトリのコンピュータオブジェクトにしか関連付けることができないため、ご注意ください。

DNS エイリアスを使用して Amazon FSx にアクセスするクライアントに対して Kerberos 認証を有効にするには、Amazon FSx ファイルシステムのアクティブディレクトリコンピュータオブジェクトの DNS エイリアスに対応するサービスプリンシパル名 (SPN) を追加する必要があります。SPN は、一度に 1 つのアクティブディレクトリのコンピュータオブジェクトにのみ関連付けることができます。元のファイルシステムのアクティブディレクトリコンピュータオブジェクトに対して設定された DNS 名の既存の SPN がある場合は、まずそれらを削除する必要があります。

docs.aws.amazon.com

以上、御一読ありがとうございました。

本田 イーゴリ (記事一覧)

カスタマーサクセス部

・2024 Japan AWS Top Engineers (Security)
・AWS SAP, DOP, SCS, DBS, SAA, DVA, CLF
・Azure AZ-900
・EC-Council CCSE

趣味:日本国内旅行(47都道府県制覇)・ドライブ・音楽