Microsoft-ADでWindowsを参加させる

Last-modified: Fri, 11 Dec 2015 23:39:53 JST (614d)

2015/12/03にクラウド上のマネージド型MicrosoftActiveDirectoryが発表されました
ので、早速試してみました。
使用感としては先に発表のありましたSimple-ADと同じ感じですね。画面も同じですし、Webからユーザ登録とかポリシーの変更とかも出来ませんし。
あと、Simple-ADもそうなんですが、マネコンからAdministratorのパスワードをリセットとか変更する術がないのが地味に痛いです。

  1. AWSコンソールからDirectory Serviceをクリックする。
    microsoftad-01.jpg
  2. まだ何も作っていないので、Get Started Nowをクリックする。
    microsoftad-02.jpg
  3. 今回はMicrosoft ADを試すので、Create Microsoft ADをクリックする。
    microsoftad-03.jpg
  4. ADFQDN、NetBIOS、管理者(Admin)のパスワードを設定。(Administratorじゃないよ!)
    microsoftad-04.jpg
    VPCやサブネットの設定。RDSのMulti-AZの時と同様、異なるAZのサブネット2つが必要。
    microsoftad-05.jpg
  5. 確認画面が出ますので、Create Microsoft ADボタンを押します。
    microsoftad-06.jpg
  6. 作成がリクエストされます。(作成までかなりかかる)
    microsoftad-07.jpg
  7. Directoriesをクリックすると作成中のADが見れます。StatusがCreatingですが、Directory IDをクリックします。
    microsoftad-09.jpg
  8. DNSのアドレスが分かるので、メモっておきます。
    microsoftad-10.jpg
  9. VPCのセキュリティグループに、自動でADやSMB周りを許可する設定ができています。
    このセキュリティグループは、AD構築時に選択したサブネットに紐づいて作成されます。
    EC2上のwindowsマシンのポリシーにはこいつを追加する必要があります。
    microsoftad-08.jpg
  10. VPCのDHCPで、DNSのアドレスをMicrosoftADのIPが割り当てられるように設定します。
    VPCのダッシュボードから、DHCP オプションセット->DHCPオプションセットの作成をクリックします。
    microsoftad-11.jpg
  11. DHCPで割り当てる情報をセットします。多分NetBIOSは設定しなくてもいい気がするけど一応。
    microsoftad-12.png
  12. DHCPオプション設定が追加されます。これをVPCに紐付けます。
    microsoftad-13.jpg
  13. VPCをクリックし、アクションからDHCPオプションセットの編集をクリックします。
    microsoftad-14.jpg
  14. 先ほど作成したDHCPオプションセットを選択します。
    microsoftad-15.png
  15. EC2上にWindowsサーバを立ち上げます。
    DHCPで割り当てられるDNSのIPがMicrosoftADのIPになっています。
    microsoftad-17.png
  16. ADに参加させます。MicrosoftAD設定時に設定したadminとパスワードで参加できます。
    ユーザがadministratorではなくadminなので、地味に嵌ります。ええ、PW間違えたかと最初からやり直しましたよOrz
    microsoftad-18.png
  17. Microsoft-ADは、現時点ではユーザの追加などをWebコンソールから出来ません。
    従って、ユーザの追加はEC2上に立てた、Windowsサーバで行います。
    マシン再起動後、MicrosoftADのadminユーザでドメインにログインします。
    microsoftad-19.png
  18. ここを参考に、AS DS and AD LDS Toolsをインストールし、
    Active Directory ユーザーとコンピューターから、ユーザを追加します。
    microsoftad-20.png
  19. 忘れがちなのですが、このサーバのリモートデスクトップ接続許可ユーザに先ほど追加したユーザを追加します。
    microsoftad-21.png
  20. 一旦ログアウト後、追加したユーザでログインしてみます。
    microsoftad-22.jpg

Counter: 413, today: 1, yesterday: 0

このページの参照回数は、413です。