トップ > Amazon FSx for Windows File Server > 【Amazon FSx for Windows File Serverの構築】自己管理型 Microsoft Active Directoryの組織の構成やユーザーの適切な権限などの考慮事項についての解説

【Amazon FSx for Windows File Serverの構築】自己管理型 Microsoft Active Directoryの組織の構成やユーザーの適切な権限などの考慮事項についての解説

Amazon FSx for Windows File Server Active Directory
記事タイトルとURLをコピーする

こんにちは!イーゴリです。

Amazon FSx for Windows File Serverの構築時に自己管理型 Microsoft Active Directoryを選択する場合、何を考慮しないといけないかについて説明したいと思います。

ファイルシステムを結合する組織単位 (OU)

必須項目ではないですが、「ファイルシステムを結合する組織単位 (OU) 」の項目を指定するのをおすすめします。この設定をデフォルトのまま残してしまうと、いつも通り「Computer」でコンピュータオブジェクトが作成されてしまい、今後の運用・管理は難しくなります。例えば、オペミスによるFSx用のオブジェクトを削除もしくは移動してしまいますと、FSx環境に影響が出る可能性が高いです。

ちなみに、構築後、OUも変更できないのでご注意ください。

docs.aws.amazon.com

Important Do not move computer objects that Amazon FSx creates in the OU after your file system is created. Doing so will cause your file system to become misconfigured.

対策方法:FSx用の組織単位(OU)の作成

既存Active DirectoryでFSx用の組織単位(OU)を作成しましょう。

Active Directoryで「FSxWindows」というOUを作成し、「組織単位識別名」に「OU=FSxWindows, DC=test, DC=local」を入力し、FSxを作成すると、下記の画面の通り「FSxWindows」でコンピュータオブジェクトが作成されます。

既存Active Directoryで適切なアカウント及びグループの作成

「サービスアカウントのユーザー名」や「委任されたファイルシステム管理者グループ」などの項目について説明致します。

サービスアカウントに必要な権限を与える必要がありますので、対象のOUを右クリックし、「制御の委任」をクリックします。

[追加]をクリックします。

対象サービスアカウントを追加した上、[OK]をクリックします。

[委任するカスタムタスクを作成する]のチェックを選択した上、[次へ]をクリックします。

下記の項目にチェックを入れて、[次へ]をクリックします。

正しく設定されているか確認の上、[完了]をクリックします。

サービスアカウントの所属はDomain Adminsグループのまま、残します。

ユーザーをFSx Admin Groupに追加しないと、FSx for Windows File Server にリモート接続できませんので、FSx AdminをFSx Admin Groupに追加します。

Amazon FSx for Windows File Serverの構築時のパラメーター入力

上記の設定が完了しましたら、FSx for Windowsを構築する時に下記のように設定をします。

おまけ(マルチAZについて)

自己管理型 Microsoft Active Directoryに関係はありませんが、設定画面にAZ構成についての項目がありますので、説明致します。

AZ障害が発生してデータにアクセスできなくなった場合、マルチAZを設定することをおすすめします。

ファイルシステムの優先サブネット(AZ=Datacenter)及びスタンバイサブネット(他のAZ)を指定しますと、リージョンの障害ではない限り、無事にAWSの障害を乗り越えらる可能性が高いです。

余談(マルチAZ機能の実現方法について)

Amazon FSx for Windows File Serverの中で複数のWindowsサーバーが動いているため、マルチAZ機能を実現するためにどのようなテクノロジーが使われているか不明ですが、調べたところ明確な回答は探せませんでしたが、もしかしたらSMB Transparent Failover, SMB Scale-Outの機能で実現しているのではないかなと思い、このキーワードで検索してみたら、下記の記事を見つけました。

aws.amazon.com

Multi-AZ deployment (HA) with support for SMB Continuous Availability (also known as SMB Transparent Failover)

なお、re:Eventの資料の中のスライド11ページに「SMB transparent failover」というキーワードを見つけました。

以上、御一読ありがとうございました。

本田 イーゴリ (記事一覧)

カスタマーサクセス部

・2024 Japan AWS Top Engineers (Security)
・AWS SAP, DOP, SCS, DBS, SAA, DVA, CLF
・Azure AZ-900
・EC-Council CCSE

趣味:日本国内旅行(47都道府県制覇)・ドライブ・音楽