AWS Systems Manager を使用して、実行中の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを自分の AWS Directory Serviceドメインに参加させたいと思っています。
簡単な説明
AWS Systems Manager を使用すると、実行中のインスタンスも自分のドメインに自動で参加させることができます。ドメインは、AWS Directory Service for Microsoft Active Directory または Simple AD を使用して、AWS Directory Service でホストします。AD Connector ディレクトリゲートウェイを使用すると、ドメインがオンプレミスネットワークで見つかることもあります。
解決方法
実行中の Windows EC2 インスタンスを AWS Directory Service ディレクトリに結合するには、AWS 提供のドキュメント AWS-JoinDirectoryServiceDomain と一緒に [コマンドを実行] を使用してください。
前提条件
- AWS Directory Service ディレクトリ
- Windows EC2 インスタンス
- Systems Manager のセットアップ
- AWS Identity and Access Management (IAM) インスタンスプロファイルロールで、Systems Manager とディレクトリ参加アクセスには次のアクセス権限ポリシーがアタッチされています。
AmazonSSMManagedInstanceCore
AmazonSSMDirectoryServiceAccess
**注:**Amazon EC2 インスタンスをプライベートサブネットで起動する場合、自分のインスタンスからパブリック AWS Directory Service エンドポイントへのトラフィックを許可する必要があります。詳細については、「VPC エンドポイントの制約と制限」を参照してください。
Amazon EC2 Windows インスタンスを AWS Directory Serviceサービスディレクトリに参加させる
**重要:**ターゲットインスタンスは自動的に再起動し、ドメインへの参加が完了します。開始する前に、インスタンスを再起動してもインフラストラクチャの安全が確保されるようにしてください。
- Amazon EC2 コンソールを開き、AWS リージョンを選択し、ナビゲーションペインから [インスタンス] を選択します。
- ターゲットインスタンスを選択します。[詳細] タブの [IAM ロール] で、Systems Manager とディレクトリ参加アクセスに設定されているロールがアタッチされていることを確認します。詳細については、「ystems Manager にインスタンスのアクセス許可を設定する」を参照してください。
**注:**アタッチされている IAM ロールを更新するには、[アクション]、[セキュリティ] 、[IAM ロールを変更] を選択します。
- AWS Systems Manager コンソールを開いてリージョンを選択し、ナビゲーションペインから [コマンドを実行] を選択します。
- [コマンドを実行] を選択します。
- AWS-JoinDirectoryServiceDomain というドキュメントを検索します。次に、検索結果から AWS-JoinDirectoryServiceDomain サービスドメインを選択します。
- Command パラメータには、次のように入力します。
ディレクトリ ID には、AWS Directory Service ディレクトリの ID を入力します。
ディレクトリ名に、ディレクトリの DNS 名を入力します。
(オプション) DNS IP アドレス には、ディレクトリ内の DNS サーバの IP アドレスを 1 行に 1 つずつ入力します。ドメイン DNS サーバーを DHCP オプションセットで設定してあれば、この手順は不要です。
**注:**ディレクトリに関して手順6で入力した値を確認するには、AWS Directory Service コンソールを開きます。次に、ナビゲーションペインから [ディレクトリ] を選択します。ディレクトリの [ディレクトリ ID] リンクを選択し、[ディレクトリの詳細] セクションで値を探します。
- [ターゲットを選択] で [インスタンスを手動で選択] を選択し、ドメインに参加させたいインスタンスを選択します。
- [実行] を選択します。
- コマンドのステータスが成功と報告されたら、[ターゲットと出力] セクションで [**インスタンス ID **] を選択します。コマンド出力を確認し、インスタンスがドメインに正常に参加したことを確認します。
トラブルシューティング
インスタンスがディレクトリドメインに参加できない場合は、次の手順を実行してください。
- DirectoryServicePortTest アプリケーションを使用して、インスタンスとディレクトリサービスとが通信できることを確認します。ドメインへの参加に必要なポート番号の一覧については、マイクロソフトの Web サイトの Active Directory および Active Directory ドメインサービスのポート要件を参照してください。
- 同じサブネット上のインスタンスが手動でドメインに参加できることを確認します。手動接続に失敗した場合は、ドメインコントローラがターゲットサブネットからアクセスできるかどうかを確認してください。
- AD コネクタを使用して AWS Managed Microsoft AD に接続する場合は、ディレクトリ組織単位 (OU) パラメータが指定されていることを確認してください。ディレクトリ OU パラメータを指定しない場合、ドメイン結合は失敗します。AWS Managed Microsoft AD では、デフォルトの OU にコンピュータオブジェクトを作成することはできません。
AWS Systems Manager Agent の使用方法などトラブルシューティング手順の詳細については、「マネージドノードの使用」を参照してください。
その他のトラブルシューティング方法については、Microsoft Web サイトの 「Windows ベースのコンピューターをドメインに参加させるときに発生するエラーのトラブルシューティング方法」を参照してください。
関連情報
AWS Directory Serviceとは何ですか?
Amazon EC2 Windows インスタンスから AWS Managed Microsoft AD や Simple AD のディレクトリを管理する方法を教えてください。
Systems Manager を使用して新しい EC2 Windows インスタンスを自分の Directory Serviceドメインに参加させる方法を教えてください。