鎌田です。 昨今の事情もあり、在宅ワークのために急いでWorkSpacesをご用意されている方も多いのではないでしょうか。
WorkSpacesを既存のActive Directoryドメインで運用される際、AD Connectorを使った構成をされるかと思うのですが、Active Directory側で許可しておく必要があるポートについて、少々分かりづらいのでこちらのブログでご案内します。
AD Connectorの通信要件
AWSドキュメントでは、こちらのページに記載があります。 整理しますと、次の通りとなります。 Active Directory側で、AD Connectorからの通信で、TCP/UDPすべて合わせて6つの通信の許可が必要です。
プロトコル | ポート番号 | タイプ |
---|---|---|
TCP | 53 | DNS |
UDP | 53 | DNS |
TCP | 88 | Kerberos |
UDP | 88 | Kerberos |
TCP | 389 | LDAP |
UDP | 389 | LDAP |
AD Connectorがきちんと構成できていれば、WorkSpacesのディレクトリの画面で、ステータスがActiveになっていると思います。
ここまで出来たらあとはWorkSpacesを作れば・・・と思いたいのですが、この状況でWorkSpacesを作っても、WorkSpacesがドメインに参加できないというエラーになってしまいます。 エラーメッセージとして、以下のようなメッセージが表示されます。
There was an issue joining the WorkSpace to your domain. Verify that your service account is allowed to complete domain join operations. If you continue to see an issue, contact AWS Support.
なぜなのでしょうか。
WorkSpacesの通信要件
WorkSpacesのドキュメントの記載を見ると、AD Connectorで指定されているよりも多いポートが、Active Directory側で許可する必要があります。 整理しますと、次の通りとなります。
プロトコル | ポート番号 | タイプ |
---|---|---|
TCP | 53 | DNS |
UDP | 53 | DNS |
TCP | 88 | Kerberos |
UDP | 88 | Kerberos |
UDP | 123 | NTP |
TCP | 135 | RPC |
UDP | 137-138 | Netlogon |
TCP | 139 | Netlogon |
TCP | 389 | LDAP |
UDP | 389 | LDAP |
TCP | 445 | SMB |
UDP | 445 | SMB |
TCP | 1024-65535 | Dynamic ports for RPC |
ユーザー情報の参照や、ドメインの情報を探すのみであれば、DNSやKerberos、LDAPといったポートだけで事足りるのですが、 ドメイン参加となった場合、NTPによる時刻同期が行われるなど、認証以外のポートも使うため、許可が必要なポートが増えてきます。
ルールが多くなりますが、忘れずに許可するようにしてください。
まとめ
- AD ConnectorでWorkSpacesを利用するケースでは、WorkSpacesのドキュメントに記載のあるポートを、Active Directory側で許可が必要
- これを実施しておかないと、WorkSpacesがドメイン参加できずにエラーになってしまうので注意
少々分かりづらい点なので、ブログでご紹介させていただきました。 どなたかの助けになれば幸いです。