この記事について
最近よくお客様向けにハンズオン・デモイベントを開催する機会が増えてきています。防災訓練ワークショップでも使用した、AWS環境におけるActive Directoryを作成した際に設定した内容を備忘録として残します。
ワークショップ環境を再構築する際、NetAppの製品であるCloud InsightsやCloud SecureにADを連携させるため、ADのIPアドレスを入力する機会が多々あります。
そういった時同じIPを使いまわせるように、IPアドレス(Private IPv4)を固定する方法(厳密には新しく固定IPを作って貼り付ける)を紹介します。
Active Directoryの作成
元となるADの作成手順はここを参考に作成しています:EC2をADサーバーとして作成してみた。
起動しているADの確認
作成したADを確認するには、Windowsボタンを押して [DNS Manager] → [Network and Internet] → 表示されているEC2...から始まるDNSサーバーを展開していくと、以下のように表示されます。ec2amaz-ma8krdq という名前でホストが立っているのがわかります。表示されているアドレスは192.168.1.240で、EC2起動時に自動的につけられるPrivate IPv4になります。同サブネット内からアクセスする際はこのアドレスを使用しますが、再構築する際に変更されると色々大変ですので、これを固定していきます。
ADサーバーの名前変更
ec2amaz-ma8krdqという自動生成の名前だと分かりづらい、格好悪いと思われる方はコンピュータ名の変更をすることが出来ます。
Windowsボタンを押して [Control panel] → [System and Security] → [System] → [Advanced System Settings] → [Computer Name] のComputer descriptionで自身の名前の変更ができます。任意の名前を入力したら、その下の Change... ボタンで変更を反映させます。
名前の変更を希望する場合は、EC2をADサーバーとして作成してみたで新しくEC2を起動した直後の素の状態で変更作業を行ってください。
VPC内でのIP固定作業
それではここからVPC内でのIPの固定作業を始めていきます。まず現状確認として、デフォルトでEC2インスタンスにアタッチされているNICを確認します。
Windowsボタンを押して [Control Panel] → [Network and Internet] → [Network and Sharing Center] → 左側のタスクバーにある [Change Adapter Settings] でEthernet というネットワークアダプターが一つだけ表示されます。これが現状このインスタンスにRDPする際に使われているNICです。ここに新たにもう一つ静的なNICを追加し、AWS環境内でのADへのアクセスを簡易化します。
新しいネットワークインターフェースの作成
新しいNICを作成するために、AWSのマネコンから新規ネットワークインターフェースを作成してADを立てたEC2にアタッチしていきます。
[AWS Management Console] → [EC2] → [ネットワークインターフェース] → [作成] から必要情報を入力していきます。
Descriptionには任意の名前入力、サブネットにはADを立てたEC2が配置されているサブネット選択、プライベート IPv4 アドレスには任意のIPアドレスを選択する場合はカスタムを、自動生成で構わない場合は自動割り当てを選択します。
カスタムでIPアドレスを入力する際は、選択したサブネットのIPレンジ内のIPしか選択できません。今回使用しているサブネットのレンジは 192.168.1.0/24なので、192.168.1.XのようなIPでなければいけません。今回は 192.168.1.250 を使用します。
自動生成の場合は同じく192.168.1.Xから割り当てられます。
新しいネットワークインターフェースのアタッチ
新しいネットワークインターフェースが作成されたら、右上のアクションで [アタッチ] → ネットワークインターフェイスをアタッチというウィンドウからアタッチ先をADを立てたEC2に指定します。
アタッチが完了したら、EC2の画面からプライベートIPが増えていることを確認します。先ほど入力した192.168.1.250が表示されていますね。
EC2に戻って、Windowsボタンを押して [Control Panel] → [Network and Internet] → [Network and Sharing Center] → 左側のタスクバーにある [Change Adapter Settings] を見ると、今度はEthernet 3が新しく表示されています。
今の状態だと、このEC2インスタンスにRDPする方法は3通りあります。
[EC2がPublic Subnetにある場合]
- 直接Public IPを使ってRDP、ただしこの記事でやった調整は無関係
[EC2がPrivate Subnetにある場] そもそもAD自体がインターネット接続が必要ないので、Private Subnetに配置するのが安全です。
2. 直接RDPができないので、同VPC内にある踏み台ホストから二重RDPしていきます。RDP先はデフォルトの192.168.1.240ですが、このアドレスはインスタンス再構築時に変更される可能性があるので、インスタンスを再構築した際には合わせて確認する必要があります。
3. 同VPC内にある踏み台ホストから二重RDPします。RDP先は今回新たにアタッチした192.168.1.250。
踏み台ホストからRDP接続
新しく同VPC内のPublicサブネットにEC2を作成しRDPします。そこから更にADが立っているEC2に二重RDPしていきます。
問題なく入れます。
古いNICを外す
特に意味はありませんが、今回設定した192.168.1.250以外のIPでアクセスを出来ないようにしたい場合は、Network Connections ページから Ethernetを右クリック 、[Disable] をクリックで無効にすることもできます。
古いNetwork Adapterを無効化する前に、必ず新しいNetwork ApapterのIPでRDPできることを確認してください。
もしなにかの理由で新しいNetwork ApapterのIP(例えば192.168.1.250)でRDPできずに古いNetwork Adapterを無効化した場合、このEC2に接続する方法が無くなってしまいますので要確認してください。
