はじめに
今回はAmazon FSx for Windows File Server を構築する手順をまとめました。
注意点
前提としてFSx for Windows File Serverを構築するには
AWS Managed Microsoft ADまたは自己管理型のADサーバーが必要となります。
今回はAWS Managed Microsoft ADを作成し利用します。
作成順序
作成に必要なVPCは既に準備されている想定で記載します。
- AWS Managed Microsoft AD を作成
- Amazon FSx for Windows を作成
- FSxに接続するEC2(Windows) を 作成、EC2(Windows)にマウント
1. AWS Managed Microsoft AD を作成
コンソールからDirectory Serviceに移動し、ディレクトリのセットアップを選択します。
ディレクトリタイプからAWS Managed Microsoft AD(以降AD)を選択します。
エディションにStandard Editionを選択し、ディレクトリの DNS 名に任意のドメイン名を入力します。
そして、Admin パスワード(*)を設定し、次へ進みます。
*こちらのAdminパスワードはADのデフォルト管理ユーザのパスワードとなります。
続いてネットワークの設定で、事前に作成しておいたVPC、サブネットを選択し次へ進みます。
設定した内容の確認を行い、ディレクトリの作成を選択します。
以上でADの作成は完了となりますが、
ADの作成完了までは30分程度の時間が必要となります。
ADの作成の際に、セキュリティグループの選択がありませんでしたが
ADでは作成の際に自動的にセキュリティグループが作成されます。
セキュリティグループの詳細はこちらのドキュメントをご覧ください。
2. Amazon FSx for Windows を作成
Amazon FSx for Windows用のセキュリティグループの作成
Amazon FSx for Windows(以降FSx)の作成にあたり、以下の要件を満たしたセキュリティグループを作成します。
アウトバウンドルール
| プロトコル | ポート | ロール |
|---|---|---|
| TCP / UDP | 53 | ドメインネームシステム (DNS) |
| TCP / UDP | 88 | Kerberos 認証 |
| TCP / UDP | 464 | パスワードを変更 / 設定する |
| TCP / UDP | 389 | Lightweight Directory Access Protocol (LDAP) |
| UDP | 123 | Network Time Protocol (NTP) |
| TCP | 135 | Distributed Computing Environment / End Point Mapper (DCE / EPMAP) |
| TCP | 445 | Directory Services SMB ファイル共有 |
| TCP | 636 | TLS/SSL (LDAPS) を介した Lightweight Directory Access Protocol (LDAPS) |
| TCP | 3268 | Microsoft グローバルカタログ |
| TCP | 3269 | SSL 経由の Microsoft グローバルカタログ |
| TCP | 9389 | Microsoft AD DS ウェブサービス、PowerShell |
| TCP | 49152 – 65535 | RPC 用のエフェメラルポート |
インバウンドルール
| プロトコル | ポート | ロール |
|---|---|---|
| TCP | 445 | Directory Services SMB ファイル共有 |
| TCP | 5985 | WinRM 2.0 (Microsoft Windows リモート管理) |
上記条件を満たしたセキュリティグループであれば問題ないため、アウトバンド通信はすべて許可、
インバウンド通信はポート 445, 5985 のみを許可するような、セキュリティグループでも問題なく使用可能です。
セキュリティグループの詳細につきましてはこちらのドキュメントをご覧ください。
Amazon FSx for Windows を作成
FSxのコンソールに移動し、ファイルシステムの作成を選択します。
ファイルシステムのオプションからAmazon FSx for Windows ファイルサーバーを選択し次へ進みます。
作成方法はスタンダード作成を選択、ファイルシステムの詳細にて、任意のファイルシステム名の入力し
任意の
ネットワークとセキュリティにて、ADを作成したものと同じVPCとサブネットを選択します。(*)
Windows 認証にて、AWS Managed Microsoft Active Directoryを選択し、1.で作成したADを選択します。
*別のVPC、サブネットで作成すると、作成時にエラーとなります。
暗号化については今回はデフォルトの暗号化キーを利用するためそのまま次へ進みます。
設定内容を確認し、ファイルシステムを作成を選択します。
以上でFSxの作成は完了となりますが、FSxの作成完了まで30分程度の時間が必要となります。
3. FSxに接続するEC2(Windows) を 作成、EC2(Windows)にマウント
EC2の作成
EC2コンソールに移動し、インスタンスの起動を選択します。
Windowsを選択し、インスタンスタイプ、ネットワーク、ストレージ設定を行いインスタンスを作成します。
※EC2の作成は本題ではないので、詳細は割愛します。
EC2をADへ参加させる
作成したEC2にリモートデスクトップで接続します。
接続についてはコンソールから作成したEC2を選択し、「接続」からRDPクライアントの情報を確認することができます。
コマンドプロンプトを開き、以下のコマンドを実行します。
このコマンドにより、Network Connections(ネットワーク接続)を開くことができます。
%SystemRoot%\system32\control.exe ncpa.cp
- Network Connectionsからネットワークインターフェースを選択し、右クリックでPropertiesを開きます。
- プロパティからInternet Protocol Version 4を選択しPropertiesを押します。
- Use the following DNS server addressesを選択し、作成したADのDNSアドレスを入力しOKを押します。
以上でEC2のADへの参加が完了になります。
詳細な手順についてはこちらのドキュメントをご覧ください
FSxをEC2にマウント
FSx コンソールから作成したFSxを選択し、アタッチボタンを押します。
アタッチ手順 – デフォルトの DNS 名を使用に記載されている、コマンドをコピーし
EC2のコマンドプロンプトで実行します。ADの管理ユーザ名、パスワードを入力します。
net use Z: \\amznfsxxxxxxxxxxxxxxx.com\share Enter the user name for 'amznfsxxxxxxxxxxxxxxx.com': Admin@ADのDNS名 Enter the password for amznfsxxxxxxxxxxxxxxx.com: The command completed successfully.
The command completed successfullyが確認できれば正常にコマンドが完了しています。
エクスプローラーを確認すると、ZドライブとしてFSxがマウントされていることが確認できます。
まとめ
以上がAmazon FSx for Windows File Server を構築する手順となります。
途中にも記載しました通り、ADとFSxの作成については、30分程度の時間を要するためお気をつけください。
記載した内容がお役に立てば幸いです。
