カテゴリー
AWS Directory Service VPC Endpoint

AWS Directory Service(MicrosoftAD)環境を構築したらすべき事

VPCのDHCPオプションセットの変更

VPCを作成すると、デフォルトでAmazonProvidedDNSのDHCPオプションセットが作成されます。
VPC内にDirectory Serviceを運用している際、VPC内のホストがDirectory ServiceのDNSを向くように変更します。
VPC内のインスタンスは指定されたDNSを参照し、名前解決できるようになります。

設定

VPCサービスより”DHCP オプションセット”をクリックして、「DHCP オプションセットを作成」ボタンをクリックします。

[タグ設定]:判別できる名称を指定
[ドメイン名]:ドメイン名を入力
[ドメインネームサーバ]:ドメインのDNSアドレスを入力します。

左メニューの”VPC”をクリックして、適用するVPCを選択し、アクションメニューより”DHCP オプションセットを編集”ボタンを押します。

先ほど作成したDHCPオプションを選択します。

確認

DNSが切り替わっているか確認します。(windowsであれば下記コマンド)
切り替わらない時は、一度再起動してみてください。

ipconfig /all

DNS条件付きフォワーダーの設定

インターフェース型のエンドポイント(PrivateLinkを使用するタイプ)を使用する際は、何も設定しないと名前解決にグルーバルIPアドレスが返されます。

そこで、”amazonaws.com”の時はVPCのDNSサーバーを向くように設定します。

VPCのDNSサーバーのアドレスは、VPC IPv4 ネットワーク範囲のベースに 2 を付加した予約済み IP アドレスです。

DNSマネージャーから[条件付きフォワーダー]を右クリックして[新規条件付きフォワーダー]をクリックします。

nslookupでssm.ap-northeast-1.amazonaws.comの名前解決をすると、プライベートIPが返ってきました。

PS C:\Users\admin> nslookup
Default Server:  xxx.yyy.co.jp
Address:  10.0.0.212

> ssm.ap-northeast-1.amazonaws.com
Server:  xxx.yyy.co.jp
Address:  10.0.0.212

Non-authoritative answer:
Name:    ssm.ap-northeast-1.amazonaws.com
Address:  10.0.0.171

パスワードポリシーの設定

経緯

通常ActiveDirectory環境ではパスワードポリシーを設定する際にグループポリシーの設定で変更するのですが、AWS MicrosoftADの場合はActive Directory 管理センターのPassword Setting Objectで設定します。

参考URL
AWS Managed Microsoft AD のパスワードポリシーを管理する

設定

ActiveDirectory管理センターのツールを起動後、ツリービューを選択し、[System]-[Password Settings Container]と選択して、変更するパスワードの設定をダブルクリックします。

CustomerPSO-01~CustomerPSO-05までありますが、デフォルトの内容は同じで、重複したときは、数字の小さい方が優先順がが高くなります。

今回は”CustomerPSO-01″を選択しました。

パスワード設定を変更して、”直接の適用先”で「追加」ボタンをクリックして、ユーザーまたはグループを選択します

確認

PowerShellを起動して下記のコマンドを入力します。

Get-ADUserResultantPasswordPolicy -Identity 'username'

Name項目に”CustomerPSO-01″が表示されていることを確認しました。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です