AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post
re:Postに関して

Systems Manager において、Amazon EC2 Windows インスタンスを AWS マネージド Microsoft AD にシームレスに結合できない理由を知りたいです。

所要時間2分
0

Amazon Elastic Compute Cloud (Amazon EC2) Windows インスタンスを AWS Systems Manager の AWS マネージドMicrosoft Active Directory (AWS マネージド AD) にシームレスに結合したいです。

簡単な説明

次の問題が原因で、Amazon EC2 Windows インスタンスと AWS マネージド Microsoft AD がシームレスに結合できない場合があります。

  • Windows インスタンスが Systems Manager の最小要件を満たしていない。詳細については、「ssm-cli を使用してマネージドノードの可用性をトラブルシューティングする」の「最小要件」を参照してください。
  • AWS Identity and Access Management (IAM) インスタンスプロファイルに必須のポリシーが欠けている。詳細については、「Systems Manager で必要なインスタンスのアクセス許可を設定する」を参照してください。
  • Windows インスタンスのトラフィックが、AWS Directory Service エンドポイントにアクセスできない。
  • Windows インスタンスがドメインコントローラーにアクセスできない。または、セキュリティグループまたはネットワークアクセスコントロールリスト (ネットワーク ACL) が、必要なポートを経由するトラフィックを許可していない。
  • 重複したコンピュータオブジェクト名がドメインコントローラに既に存在している。
  • AWS サービスアカウントが AD Connector を使用するための前提条件を満たしていない。

解決策

インスタンスが最小要件を満たしていることを確認する

インスタンスが Systems Manager の最小要件を満たしている場合、マネージドノードの AWS Systems Manager エージェント (SSM Agent) の ping ステータスは Online になります。

SSM Agent の ping ステータスを確認するには、AWS Systems Manager コンソールを開き、ナビゲーションペインで [Fleet Manager] を選択します。マネージドインスタンスが Fleet Manager に表示されない場合は、Amazon EC2 インスタンスがマネージドインスタンスの要件を満たしていることを確認してください。

IAM インスタンスプロファイルのポリシーを確認する

IAM ポリシー AmazonSSMDirectoryServiceAccess がインスタンスプロファイルにアタッチされていることを確認します。

IAM ロールのポリシーを確認するには、次の手順を実行します。

  1. Amazon EC2 コンソールを開きます。
  2. ナビゲーションペインで [インスタンス] を選択します。
  3. [詳細] タブで [IAM ロール] を選択します。

IAM ポリシー AmazonSSMDirectoryServiceAccess をアタッチしていない場合は、インスタンスのアクセス許可を設定します。手順については、「Amazon EC2 インスタンスのアクセス許可の代替設定」の「Systems Manager マネージドインスタンス用のインスタンスプロファイルを作成する方法」セクションを参照してください。

AWS Directory Service エンドポイントにアクセスする

トラフィックが Windows インスタンスから AWS ディレクトリサービスのエンドポイントを経由していることを確認します。詳細については、「Amazon 仮想プライベートクラウド (VPC) エンドポイントの制約と制限」を参照してください。次に、aws:domainJoin プラグインを使用して AWS Directory Service エンドポイントにアクセスします。

ドメインコントローラへのアクセスを付与する

DirectoryServicePortTest アプリケーションを使用し、Windows オペレーティングシステム (OS) が Windows インスタンスからドメインコントローラーと通信できることを確認します。手順については、「AD Connector のテスト」を参照してください。必要なポートの一覧については、Microsoft のウェブサイトで「Active Directory と Active Directory Domain Services のポート要件」を参照してください。

同じサブネット上のインスタンスを手動でドメインに結合できることも確認します。インスタンスが同じサブネットからドメインコントローラにアクセスできない場合、シームレスなドメイン結合は行えません。

コンピュータオブジェクト名の重複を避ける

複数の Windows インスタンスをシームレスに結合する必要がある場合は、Windows イメージを作成する前に Sysprep を使用します。

サービスアカウントのアクセス許可を確認する

AD コネクタが使用するサービスアカウントを使用して Windows インスタンスを手動で結合します。

Windows インスタンスを結合できない場合は、ディレクトリに接続するための適切なアクセス許可を委任します、。手順については、「サービスアカウントにアクセス許可を委任する」を参照してください。

注: AD Connector が使用するサービスアカウント名は、15 文字未満である必要があります。

変更を確認する

上記の変更を行った後、Amazon EC2 Windows インスタンスをシームレスに結合できることを確認します。

関連情報

Windows Server 用の EC2 インスタンスをドメインにシームレスに結合できることをテストする

トピック
管理とガバナンス
タグ
AWS Systems Manager
言語
日本語
AWS公式
AWS公式更新しました 2ヶ月前
コメントはありません

関連するコンテンツ