Microsoft-ADでWindowsを参加させる

2015/12/03にクラウド上のマネージド型MicrosoftActiveDirectoryが発表されました。
ので、早速試してみました。
使用感としては先に発表のありましたSimple-ADと同じ感じですね。画面も同じですし、Webからユーザ登録とかポリシーの変更とかも出来ませんし。
あと、Simple-ADもそうなんですが、マネコンからAdministratorのパスワードをリセットとか変更する術がないのが地味に痛いです。

1. AWSコンソールからDirectory Serviceをクリックする。
   
2. まだ何も作っていないので、Get Started Nowをクリックする。
   
3. 今回はMicrosoft ADを試すので、Create Microsoft ADをクリックする。
   
4. ADFQDN、NetBIOS、管理者(Admin)のパスワードを設定。(Administratorじゃないよ！）
   
   VPCやサブネットの設定。RDSのMulti-AZの時と同様、異なるAZのサブネット2つが必要。
   
5. 確認画面が出ますので、Create Microsoft ADボタンを押します。
   
6. 作成がリクエストされます。（作成までかなりかかる）
   
7. Directoriesをクリックすると作成中のADが見れます。StatusがCreatingですが、Directory IDをクリックします。
   
8. DNSのアドレスが分かるので、メモっておきます。
   
9. VPCのセキュリティグループに、自動でADやSMB周りを許可する設定ができています。
   このセキュリティグループは、AD構築時に選択したサブネットに紐づいて作成されます。
   EC2上のwindowsマシンのポリシーにはこいつを追加する必要があります。
   
10. VPCのDHCPで、DNSのアドレスをMicrosoftADのIPが割り当てられるように設定します。
    VPCのダッシュボードから、DHCP オプションセット->DHCPオプションセットの作成をクリックします。
    
11. DHCPで割り当てる情報をセットします。多分NetBIOSは設定しなくてもいい気がするけど一応。
    
12. DHCPオプション設定が追加されます。これをVPCに紐付けます。
    
13. VPCをクリックし、アクションからDHCPオプションセットの編集をクリックします。
    
14. 先ほど作成したDHCPオプションセットを選択します。
    
15. EC2上にWindowsサーバを立ち上げます。
    DHCPで割り当てられるDNSのIPがMicrosoftADのIPになっています。
    
16. ADに参加させます。MicrosoftAD設定時に設定したadminとパスワードで参加できます。
    ユーザがadministratorではなくadminなので、地味に嵌ります。ええ、PW間違えたかと最初からやり直しましたよOrz
    
17. Microsoft-ADは、現時点ではユーザの追加などをWebコンソールから出来ません。
    従って、ユーザの追加はEC2上に立てた、Windowsサーバで行います。
    マシン再起動後、MicrosoftADのadminユーザでドメインにログインします。
    
18. ここを参考に、AS DS and AD LDS Toolsをインストールし、
    Active Directory ユーザーとコンピューターから、ユーザを追加します。
    
19. 忘れがちなのですが、このサーバのリモートデスクトップ接続許可ユーザに先ほど追加したユーザを追加します。
    
20. 一旦ログアウト後、追加したユーザでログインしてみます。
    

このページの参照回数は、615です。