技術三課のWindowsおじさんこと、鎌田です。 Amazon FSx for Windowsをご検討のお客様も多いかと思うのですが、Directory ServiceのMSADが必須となっている点がネックというケースも多かったのではないかと思います。
その点が、最新のupdateにより既存のActive Directoryドメインでの利用に対応しました!
詳細な条件
AWSドキュメントに詳細が記載されていますが、以下の環境に対応していれば、利用可能です。
- ドメインの機能がWindows Server 2008 R2以降であること
- Active DirectoryのIPアドレスがFSxを構築するVPCと同じVPC内にあるか、以下のIPアドレスレンジにあること
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
- 以下の権限持つActive Directoryのユーザー情報 (ドメイン参加、コンピューターアカウントの追加/削除などを実施するため、それに必要となる権限です)
- Ability to reset passwords
- Ability to restrict accounts from reading and writing data
- Validated ability to write to the DNS host name
- Validated ability to write to the service principal name
構築してみた
構築を実施してみました。構築手順の詳細は過去のブログも参照いただければと思います。
これまでDirectory ServiceのMSADしか選択できなかったWindows authenticationに、「Self-managed Microsoft Directory」が追加されています。 こちらを選択すると、ドメイン名、ドメインコントローラーのIPアドレス、上記にも記載したドメイン参加の権限などを持つユーザー情報とパスワードの入力を求められるので入力します。
任意選択ですが、FSxのコンピューターを作成するOUも選択が可能です。なおOUに関しては、作成後の変更が出来ないため、ご注意ください。
構築後にアクセスすると、確かに既存のドメインに対してFSxが構築できていることが確認できました!
設定変更が可能な箇所
構築後にマネジメントコンソールを確認すると、ドメインコントローラーのIPアドレスと、ユーザー名/パスワードについては編集可能であることが分かります。その他の部分は編集できないため、構築後の設定変更が行えません。 構築の際に十分検討を実施の上、構築を実施されることを推奨いたします。
おわりに
既存のActive Directoryドメインに参加できるようになったことで、FSx for Windowsを利用する上でのハードルが下がりました。 マネージドなファイルサーバーをご検討のお客様は、是非選択肢に加えてみては如何でしょうか。