独自に構築したEC2上のADサーバ環境下で、Amazon FSx for WindowsのストレージをQuorumディスクとしてWSFCに登録する場合の方法

Question

以下質問となります。御回答いただくことは可能でしょうか。

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
質問内容：

独自に構築したEC2上のADサーバ環境下で、Amazon FSx for WindowsのストレージをQuorumディスクとしてWSFCに登録する場合の方法を知りたい。
AWSでの環境構築の条件は以下になります。
・ Quorumディスクは、Amazon FSx for Windowsで作成したストレージを利用します。
・ データベースファイルは、個々のサーバに割り当てられたEBS上に配置いたします。
・ EC2上に、Active Directoryサーバを構築しています。そのため、FSxとEC2で使用するドメインは   独自管理のActive Directoryとしています。
　※ FSx用のOU、グループ、ユーザを作成しています。ドメインはEC2もFSxも同じです。
・ EC2でクラスタを構成する場合、VIPは使用できないとの情報を入手したので、リスナー機能   ではなく、NLBを利用いたします。
・プライマリとなるEC2インスタンスのみでポート59999をリッスンするようにし、NLBにてポート59999をリッスンしているEC2インスタンスに接続するようにいたします。
・ SQL Serverのライセンスは既に持っているため、BYOLでSQL Serverを構築します。

まずは、以下サイトを参照しました。
https://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/microsoft-sql-failover-cluster-on-amazon-ec2.html

この資料は、独自のActive Directoryではなく、AWS Directory Service(Managed Microsoft AD)を使用する場合で記載されております。

独自に構築したEC2上のADサーバ環境下で、Amazon FSx for WindowsのストレージをQuorumディスクとしてWSFCに登録する場合の
方法について教えてください。もしくはこの構成に沿ったドキュメントがあれご教示ください。
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Shida_K · Answer

**Self-Managed Active Directory 環境での Amazon FSx for Windows File Server を使用した WSFC ファイル共有監視の構成について**

参照されたドキュメント [[1]](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/microsoft-sql-failover-cluster-on-amazon-ec2.html) は AWS Managed Microsoft AD を前提とした構成で記載されておりますが、Amazon FSx for Windows File Server は AWS Managed Microsoft AD と Self-Managed Active Directory の両方をサポートしております [[2]](https://aws.amazon.com/blogs/modernizing-with-aws/running-sql-server-stretch-failover-cluster-instance-on-amazon-ec2/)。

WSFC（Windows Server Failover Clustering）の構成手順やファイル共有監視（File Share Witness）の設定手順自体は、利用する Active Directory の種類に依存いたしません。そのため、[1] に記載されている WSFC の構成手順およびファイル共有監視の設定手順は、Self-Managed Active Directory 環境においてもそのまま適用いただけます。

---

**Managed AD と Self-Managed AD の違い**

両者の差異は、Amazon FSx for Windows File Server ファイルシステム作成時の Active Directory 参加設定のみでございます。

- AWS Managed Microsoft AD の場合 : DirectoryId を指定
- Self-Managed Active Directory の場合 : SelfManagedActiveDirectoryConfiguration パラメータにて以下を指定 [[3]](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/creating-joined-ad-file-systems.html)

- DomainName                          : Active Directory ドメインの FQDN
- OrganizationalUnitDistinguishedName : コンピューターオブジェクトを配置する OU の識別名
- FileSystemAdministratorsGroup       : 委任管理者グループ名
- UserName                            : サービスアカウントのユーザー名
- Password                            : サービスアカウントのパスワード
- DnsIps                              : ドメインコントローラーの DNS IP アドレス（最大 2 つ）

FSx 用の OU、グループ、ユーザーを既に作成済みであれば、上記パラメータに該当する値を指定し、後述の前提条件を満たした上でファイルシステムを作成することで、[1] に記載の WSFC 構成手順をそのまま実施いただけます。

---

**Self-Managed Active Directory 固有の前提条件** [[4]](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/self-managed-AD.html)

サービスアカウントに必要な権限

- Reset Password
- Read and write Account Restrictions
- Validated write to DNS host name
- Validated write to service principal name

必要なネットワークポート（Amazon FSx → ドメインコントローラー間）

| ポート | プロトコル | 用途 |
|---|---|---|
| 53 | TCP/UDP | DNS |
| 88 | TCP/UDP | Kerberos 認証 |
| 123 | UDP | NTP |
| 135 | TCP | DCE/RPC エンドポイントマッパー |
| 389 | TCP/UDP | LDAP |
| 445 | TCP | SMB |
| 464 | TCP/UDP | Kerberos パスワード変更 |
| 636 | TCP | LDAPS |
| 3268 | TCP | Global カタログ LDAP |
| 3269 | TCP | Global カタログ LDAPS |
| 5985 | TCP | WinRM 2.0 |
| 9389 | TCP | AD Web Services / PowerShell（Single-AZ 2 および Multi-AZ ファイルシステムの場合） |
| 49152-65535 | TCP | RPC 用エフェメラルポート |

その他の前提条件

- Active Directory ドメインの機能レベルが Windows Server 2008 R2 以上であること

---

**事前検証の推奨**

ファイルシステム作成前に Amazon FSx Active Directory Validation tool を使用して Active Directory 構成を事前検証されることが推奨されております [[5]](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/validate-ad-config.html)。

---

**参考ドキュメント**

WSFC と Amazon FSx for Windows File Server を使用した SQL Server Failover Cluster Instance の構成については、[[6]](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/set-up-multi-az-infrastructure-for-a-sql-server-always-on-fci-by-using-amazon-fsx.html) にも手順が記載されております。[6] に記載の WSFC 作成手順およびファイル共有監視の設定手順も、Self-Managed Active Directory 環境にそのまま適用いただけます。

- [1] [AWS Prescriptive Guidance - Microsoft SQL failover cluster on Amazon EC2](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/microsoft-sql-failover-cluster-on-amazon-ec2.html)
- [2] [AWS Blog - Running SQL Server Stretch Failover Cluster Instance on Amazon EC2](https://aws.amazon.com/blogs/modernizing-with-aws/running-sql-server-stretch-failover-cluster-instance-on-amazon-ec2/)
- [3] [Amazon FSx for Windows File Server ユーザーガイド - Creating a file system joined to a self-managed Active Directory](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/creating-joined-ad-file-systems.html)
- [4] [Amazon FSx for Windows File Server ユーザーガイド - Using Amazon FSx with your self-managed Microsoft Active Directory](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/self-managed-AD.html)
- [5] [Amazon FSx for Windows File Server ユーザーガイド - Validating your Active Directory configuration](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/validate-ad-config.html)
- [6] [AWS Prescriptive Guidance - Set up multi-AZ infrastructure for a SQL Server Always On FCI by using Amazon FSx](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/set-up-multi-az-infrastructure-for-a-sql-server-always-on-fci-by-using-amazon-fsx.html)

独自に構築したEC2上のADサーバ環境下で、Amazon FSx for WindowsのストレージをQuorumディスクとしてWSFCに登録する場合の方法

回答を追加する

関連するコンテンツ

ポート	プロトコル	用途
53	TCP/UDP	DNS
88	TCP/UDP	Kerberos 認証
123	UDP	NTP
135	TCP	DCE/RPC エンドポイントマッパー
389	TCP/UDP	LDAP
445	TCP	SMB
464	TCP/UDP	Kerberos パスワード変更
636	TCP	LDAPS
3268	TCP	Global カタログ LDAP
3269	TCP	Global カタログ LDAPS
5985	TCP	WinRM 2.0
9389	TCP	AD Web Services / PowerShell（Single-AZ 2 および Multi-AZ ファイルシステムの場合）
49152-65535	TCP	RPC 用エフェメラルポート