はじめに
こんにちは。SA1課の阿部です。
今回は、FSx for Windows File Serverの構築時に、FSxのWindows認証を自己管理型ADで行う必要があったため、事前に検証した設定手順についてご紹介いたします。
FSx for Windows File ServerにおけるWindows認証について
FSx for Windows File Serverを構築する際は、Microsoft Active Directoryとの連携を行う必要があります。
Active Directoryと連携することで、ファイルシステムにアクセスするユーザーの認証や、ファイル・フォルダレベルでのアクセス制御を実現しているからです。
連携方法は以下の2通りが存在します。
- AWS Managed Microsoft Active Directory
- 自己管理型 Microsoft Active Directory
AWS Managed Microsoft Active Directory
こちらは名前の通り、AWSのDirectory Serviceを用いて作成したActive Directoryと連携するパターンです。
詳細は以下のドキュメントを参照してください。
自己管理型 Microsoft Active Directory
こちらは、既にオンプレ上に存在するActive Directoryや、クラウド上に存在するActive Directory(EC2上にAD構築等)と連携するパターンになります。
詳細は以下のドキュメントを参照してください。
検証のながれ
本手順では、オンプレ環境に見立てたネットワークをAWS上に構築し、その上にActive Directory用サーバーを構築して検証を行いました。
また、今回の手順であればオンプレ⇔クラウド間の接続はVPCピアリングでも十分ですが、なるべく本番に合わせるためTransit Gatewayで接続します。
具体的には以下の流れになります。
- オンプレ用VPCを構築
- クラウド用VPCを構築
- オンプレ用VPCにAD(EC2)を構築
- オンプレ⇔クラウド間をTransit Gatewayで接続
- クラウド用VPCにFSx for Windows File Serverを構築
- 動作確認
構成図
本手順では、以下の構成で検証を行います。
事前準備
以下の部分については事前に対応済みとし、本記事では取り上げません。
- オンプレ用VPCを構築
クラウド用VPCを構築
オンプレ⇔クラウド間をTransit Gatewayで接続
EC2の作成
- SSM経由でのEC2接続
やったこと
オンプレ用VPCにAD(EC2)を構築
AD初期設定
まずは事前に作成したEC2(Windows Server2022)へRDP接続します。
「サーバーマネージャー」から「役割と機能の追加」を選択し、AD機能のインストールを行います。
インストールする役割は「Active Directory Domain Service」を選択してください。
以下のような画面になればインストール完了です。
次にドメインコントローラーの設定をします。右上の通知マークをクリックします。
「このサーバーをドメインコントローラーに昇格する」をクリックします。
すると、新たにウィザードが起動しますので、ルートドメインなどを構成していきます。
ドメインコントローラーの設定が完了しました。
FSx用サービスアカウントの作成
設定にあたり、以下の記事を参考にしました。
FSx用のOUを作成します。
今回は「FSx」というOUを新規で作成しました。
次に権限委任用ユーザーを作成します。
「FSx」OU配下に「FSxServiceAccount」というユーザーを作成しました。
続いて、グループを作成します。
「FSx」OU配下に「FSxGroup」というグループを作成しました。
作成したグループ「FSxGroup」にサービスアカウント「FSxServiceAccount」を追加してください。
制御の委任設定
「FSx」OUにマウスカーソルをあわせた状態で右クリックし、「制御の委任」をクリックします。
「ユーザー、コンピューターまたはグループ」画面で、先程作成したグループ「FSxFroup」を追加します。
「委任するタスク」画面で「委任するカスタムタスクを作成する」を選択して次へ進みます。
「フォルダー内の次のオブジェクトのみ」を選択し、以下3箇所にチェックを付けます。
続くアクセス許可の設定画面では、「全般」を選択した状態で以下4つにチェックを付けます。
これで制御の委任設定が完了しました。
オンプレ⇔クラウド間をTransit Gatewayで接続
検証ではVPC同士を接続していますが、本番ではDirect Connectを経由してオンプレに接続する必要があるため、本手順では詳しく解説しません。
もし同じように検証されたい方は、以下の記事を参考に接続していただければと思います。
クラウド用VPCにFSx for Windows File Serverを構築
FSx用のセキュリティグループ作成
以下の公式ドキュメントを元にFSxにアタッチするセキュリティグループを作成します。
FSx for Windows File Serverを作成
マネージメントコンソールから「ファイルシステムの作成」をクリックします。
今回は検証のため、シングルAZで構成します。
「Windows認証」の項目で、「自己管理型 Microsoft Active Directory」を選択し、必要な情報を入力します。
「ネットワークとセキュリティ」の項目で、前項で作成したFSx用のセキュリティグループを割り当てます。
最後の確認画面で問題なければ「作成」をクリックします。
作成処理が開始されると、コンソール上で以下の表示になります。
30分〜40分くらい経過して、ステータス欄が「利用可能」に変われば作成完了です。
FSxの作成が完了すると、AD上でもFSxがコンピューターオブジェクトとして表示されるようになります。
動作確認
ADサーバーからFSx for Windows File Serverへマウント
FSxコンソールから、構築したファイルシステムを選択し、アタッチボタンをクリックします。
以下のように、ファイルシステムへのマウント方法についての表示があります。
前提手順については既に実施済みのため、「アタッチ手順」以降の操作を実施します。
手順としては、マウント用のコマンドがコンソール上に表示されるので、それをマウントしたいPC上で実行するだけです。Windows上でコマンドプロンプトを起動し、コマンドを実行します。「The Command completed successfully.」と表示されればマウント完了です。
マウントが完了すると、エクスプローラー上でもネットワークドライブとして認識されていることが確認できます。
試しにフォルダを作成したり、テキストファイルを作成してみて、問題なく操作できることが確認できれば手順は完了です。
おわりに
いかがでしたでしょうか?
今回の検証で、FSx for Windows File Serverの構築前にオンプレADで実施すべき設定や、構築後のマウント方法などを学ぶことができました。
この記事が皆様のお役に立てれば幸いです。
阿部伊織(執筆記事の一覧)
インフラエンジニアからクラウドエンジニアへ転職。