VPCのDHCPオプションセットの変更
VPCを作成すると、デフォルトでAmazonProvidedDNSのDHCPオプションセットが作成されます。
VPC内にDirectory Serviceを運用している際、VPC内のホストがDirectory ServiceのDNSを向くように変更します。
VPC内のインスタンスは指定されたDNSを参照し、名前解決できるようになります。
設定
VPCサービスより”DHCP オプションセット”をクリックして、「DHCP オプションセットを作成」ボタンをクリックします。
[タグ設定]:判別できる名称を指定
[ドメイン名]:ドメイン名を入力
[ドメインネームサーバ]:ドメインのDNSアドレスを入力します。
左メニューの”VPC”をクリックして、適用するVPCを選択し、アクションメニューより”DHCP オプションセットを編集”ボタンを押します。
先ほど作成したDHCPオプションを選択します。
確認
DNSが切り替わっているか確認します。(windowsであれば下記コマンド)
切り替わらない時は、一度再起動してみてください。
ipconfig /all
DNS条件付きフォワーダーの設定
インターフェース型のエンドポイント(PrivateLinkを使用するタイプ)を使用する際は、何も設定しないと名前解決にグルーバルIPアドレスが返されます。
そこで、”amazonaws.com”の時はVPCのDNSサーバーを向くように設定します。
VPCのDNSサーバーのアドレスは、VPC IPv4 ネットワーク範囲のベースに 2 を付加した予約済み IP アドレスです。
DNSマネージャーから[条件付きフォワーダー]を右クリックして[新規条件付きフォワーダー]をクリックします。
nslookupでssm.ap-northeast-1.amazonaws.comの名前解決をすると、プライベートIPが返ってきました。
PS C:\Users\admin> nslookup
Default Server: xxx.yyy.co.jp
Address: 10.0.0.212
> ssm.ap-northeast-1.amazonaws.com
Server: xxx.yyy.co.jp
Address: 10.0.0.212
Non-authoritative answer:
Name: ssm.ap-northeast-1.amazonaws.com
Address: 10.0.0.171
パスワードポリシーの設定
経緯
通常ActiveDirectory環境ではパスワードポリシーを設定する際にグループポリシーの設定で変更するのですが、AWS MicrosoftADの場合はActive Directory 管理センターのPassword Setting Objectで設定します。
参考URL
AWS Managed Microsoft AD のパスワードポリシーを管理する
設定
ActiveDirectory管理センターのツールを起動後、ツリービューを選択し、[System]-[Password Settings Container]と選択して、変更するパスワードの設定をダブルクリックします。
CustomerPSO-01~CustomerPSO-05までありますが、デフォルトの内容は同じで、重複したときは、数字の小さい方が優先順がが高くなります。
今回は”CustomerPSO-01″を選択しました。
パスワード設定を変更して、”直接の適用先”で「追加」ボタンをクリックして、ユーザーまたはグループを選択します
確認
PowerShellを起動して下記のコマンドを入力します。
Get-ADUserResultantPasswordPolicy -Identity 'username'
Name項目に”CustomerPSO-01″が表示されていることを確認しました。
