セルフマネージドADを利用したFSx for Windows構築のハンズオン

INAMURA written 2年 ago

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので十分ご注意ください。

はじめに

おつかれさまです、第三システム部の稲村です。
AWS Managed Microsoft ADでFSx for Windows（以下、FSxW）を構築したことはありましたが、今回既存のセルフマネージド型のAD（EC2でのAD設定）からFSxWを構築ということで、「そもそもADサーバなるものを作ったことがない！」ということもあり、AD作成〜FSx作成までの手順を記載していきます。

構成イメージ

構築設定イメージ

1.1.では、図の赤枠部分に相当する、ADサーバでの設定
1.2.では、図の青枠部分に相当する、制御の委任の設定
2.1 では、1で作成した設定を利用して、FSxWの設定をしていきます

ハンズオン

1.ADサーバでの設定

1.1.ADのリソース作成

1.1.2.`Windows管理ツールを選択ActiveDirectoy ユーザとコンピュータ`を押下

1.1.3.`ActiveDirectoy ユーザとコンピュータ`での画面でADが設定されているかの確認

1.1.4.左ペインで右クリック`新規作成を選択組織単位(OU)`を選択

1.1.5.`新しいオブジェクトで名前`の入力

1.1.6.上記で作成した`オブジェクト名の上で右クリック新規作成を選択ユーザー`を押下する

1.1.7. ドメインユーザ（サービスアカウント）を作成のため項目を入力

1.1.8. パスワードの入力

1.1.9. `完了`のボタンを押下

1.1.10. ドメインユーザ（サービスアカウント）が作成されていることを確認する

1.1.11.　再度左ペインで右クリック`新規作成を選択グループ`を選択

※スクショ撮り忘れ

1.1.12. グループが作成されていることを確認する

1.1.13.　グループ配下に所属させる、ユーザーを　1.1.7のように作成

1.1.7. で作成したユーザーはサービスアカウント（単なるドメインユーザの1人ですが、AWSドキュメント表記に従いサービスアカウントと記載）は、FSxを作成する際に利用するユーザです。
実際のEC2インスタンスでマウントする際は、こちらのユーザ(FSxAdmin)で実行します。
※パスワード入力画面・ユーザ確認画面を割愛

1.1.14.　グループ配下にユーザーを所属させるため、右クリック`プロパティ`を選択

1.1.15.　タブより`メンバーを選択し追加を押下、ポップアップされた画面の選択するオブジェクト名を入力してください`に、1.1.13で作成したユーザを入力

1.1.16 左下`適応`を押下して、グループにメンバーを所属させる

1.2.制御の委任

FSxを作成するために必要なサービスアカウント（FSxServiceAccount）に必要な権限を与える設定が必要となります。
対象の OU を右クリックしてメニューから選択します。
※設定内容については下記URLのベストプラクティスに従います
参照：FSx for Windows ファイルサーバーファイルシステムをセルフマネージド Microsoft Active Directory ドメインに参加させるためのベストプラクティス

1.2.1.“対象の OU を右クリックしてメニューから選択する

1.2.2.`オブジェクト制御の委任ウィザード画面で次へ`を押下

1.2.3.`選択するオブジェクト名を入力してくださいに、1.1.7で作成したサービスアカウント(FSxServiceAccount）`を入力する

1.2.4.`ActiveDirectoryオブジェクトの種類でフォルダー内の次のオブジェクトのみを選択し、コンピュータオブジェクトと画面下の選択されたオブジェクトをこのフォルダーに作成する及び選択されたオブジェクトをこのフォルダーから削除する`を選択

1.2.5.`アクセス許可でパスワードのリセットとアカウントの制限の読み取りと書き込みと、DNSホスト名への検証された書き込みと、サービスプリンシパル名への検証された書き込み`を選択

1.2.6.`オブジェクト制御の委任ウィザードの完了で 1.2.4で設定した4つが反映されて以下を確認して完了`を押下

2. AWS での設定

2.1 FSx for Windowsの設定

2.1.1 AWS FSx for Windowsの設定画面①

今回はマルチAZで設定、ストレージタイプは検証ということもありHDD:2000GBで構築します

2.1.2 AWS FSx for Windowsの設定画面②

SGはAmazon VPC を使用したファイルシステムアクセスコントロールを参考に事前に作成しています

SGのCFnも参考に記載します

AWSTemplateFormatVersion: "2010-09-09"
Description: 
  fsx sg

Parameters:
#VPCID
  VpcId:
    Description : "VPC ID"
    Type: AWS::EC2::VPC::Id

Resources: 
  secGroupName:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupName: cfn-sg-fsx
      GroupDescription: cfn-sg-fsx
      VpcId: !Ref 'VpcId'
      SecurityGroupEgress:
        - IpProtocol: tcp
          FromPort: 53
          ToPort: 53
          CidrIp: 0.0.0.0/0
        - IpProtocol: udp
          FromPort: 53
          ToPort: 53
          CidrIp: 0.0.0.0/0
        - IpProtocol: tcp
          FromPort: 88
          ToPort: 88
          CidrIp: 0.0.0.0/0
        - IpProtocol: udp
          FromPort: 88
          ToPort: 88
          CidrIp: 0.0.0.0/0
        - IpProtocol: udp
          FromPort: 123
          ToPort: 123
          CidrIp: 0.0.0.0/0
        - IpProtocol: tcp
          FromPort: 135
          ToPort: 135
          CidrIp: 0.0.0.0/0
        - IpProtocol: tcp
          FromPort: 389
          ToPort: 389
          CidrIp: 0.0.0.0/0
        - IpProtocol: udp
          FromPort: 389
          ToPort: 389
          CidrIp: 0.0.0.0/0
        - IpProtocol: tcp
          FromPort: 445
          ToPort: 445
          CidrIp: 0.0.0.0/0
        - IpProtocol: tcp
          FromPort: 464
          ToPort: 464
          CidrIp: 0.0.0.0/0
        - IpProtocol: udp
          FromPort: 464
          ToPort: 464
          CidrIp: 0.0.0.0/0
        - IpProtocol: tcp
          FromPort: 636
          ToPort: 636
          CidrIp: 0.0.0.0/0
        - IpProtocol: tcp
          FromPort: 3268
          ToPort: 3268
          CidrIp: 0.0.0.0/0
        - IpProtocol: tcp
          FromPort: 3269
          ToPort: 3269
          CidrIp: 0.0.0.0/0
        - IpProtocol: tcp
          FromPort: 9389
          ToPort: 9389
          CidrIp: 0.0.0.0/0
        - IpProtocol: tcp
          FromPort: 49152
          ToPort: 65535
          CidrIp: 0.0.0.0/0
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 445
          ToPort: 445
          CidrIp: 0.0.0.0/0
        - IpProtocol: tcp
          FromPort: 5985
          ToPort: 5985
          CidrIp: 0.0.0.0/0
      Tags:
        - Key: "Name"
          Value: "cfn-sg-fsx"

Outputs:
  SG:
    Value: !Ref secGroupName
    Export:
      Name: "cfn-sg-fsx"

2.1.3 AWS FSx for Windowsの設定画面③

AWSマネジメントコンソールでの画面

2.1.3 補足図

ADとAWSマネジメントコンソールでの対応表

2.1.4 AWS FSx for Windowsの設定画面④

これ以降がはデフォルトのまま次へを押下する

2.1.5 AWS FSx for Windows構築完了

20-30分程度待機し、ステータス部分が利用可能になれば構築が終了し、インスタンスからマウントすることが可能な状態となりました

おわりに

AD〜FSxの構築までで一度区切りをいれます。
今後のインスタンスから、FSxをマウントするにあたっては、Microsoft Windows ファイル共有を使用するを参考にして検証を進めていきたいと思います。
VPCのピアリングを忘れてFSxを構築してしまい無駄に30分が過ぎたこと、ピアリング後サブネットのルーティング設定を更新せず無駄に30分が過ぎたことなど、検証なのでと思い設定をよく確認せずリソースを構築→FSxWの構築ステータスの変化を待つ→ステータスが失敗となってしまうことが多々あり、なんでも確認していこうという良い薬となりました。