AD Connector利用でWorkSpacesを使う時に必要なActive Directoryの通信要件

記事タイトルとURLをコピーする

鎌田です。 昨今の事情もあり、在宅ワークのために急いでWorkSpacesをご用意されている方も多いのではないでしょうか。

WorkSpacesを既存のActive Directoryドメインで運用される際、AD Connectorを使った構成をされるかと思うのですが、Active Directory側で許可しておく必要があるポートについて、少々分かりづらいのでこちらのブログでご案内します。

AD Connectorの通信要件

AWSドキュメントでは、こちらのページに記載があります。 整理しますと、次の通りとなります。 Active Directory側で、AD Connectorからの通信で、TCP/UDPすべて合わせて6つの通信の許可が必要です。

プロトコル ポート番号 タイプ
TCP 53 DNS
UDP 53 DNS
TCP 88 Kerberos
UDP 88 Kerberos
TCP 389 LDAP
UDP 389 LDAP

AD Connectorがきちんと構成できていれば、WorkSpacesのディレクトリの画面で、ステータスがActiveになっていると思います。

ここまで出来たらあとはWorkSpacesを作れば・・・と思いたいのですが、この状況でWorkSpacesを作っても、WorkSpacesがドメインに参加できないというエラーになってしまいます。 エラーメッセージとして、以下のようなメッセージが表示されます。

There was an issue joining the WorkSpace to your domain. Verify that your service account is allowed to complete domain join operations. If you continue to see an issue, contact AWS Support.

なぜなのでしょうか。

WorkSpacesの通信要件

WorkSpacesのドキュメントの記載を見ると、AD Connectorで指定されているよりも多いポートが、Active Directory側で許可する必要があります。 整理しますと、次の通りとなります。

プロトコル ポート番号 タイプ
TCP 53 DNS
UDP 53 DNS
TCP 88 Kerberos
UDP 88 Kerberos
UDP 123 NTP
TCP 135 RPC
UDP 137-138 Netlogon
TCP 139 Netlogon
TCP 389 LDAP
UDP 389 LDAP
TCP 445 SMB
UDP 445 SMB
TCP 1024-65535 Dynamic ports for RPC

ユーザー情報の参照や、ドメインの情報を探すのみであれば、DNSやKerberos、LDAPといったポートだけで事足りるのですが、 ドメイン参加となった場合、NTPによる時刻同期が行われるなど、認証以外のポートも使うため、許可が必要なポートが増えてきます。

ルールが多くなりますが、忘れずに許可するようにしてください。

まとめ

  • AD ConnectorでWorkSpacesを利用するケースでは、WorkSpacesのドキュメントに記載のあるポートを、Active Directory側で許可が必要
  • これを実施しておかないと、WorkSpacesがドメイン参加できずにエラーになってしまうので注意

少々分かりづらい点なので、ブログでご紹介させていただきました。 どなたかの助けになれば幸いです。