はじめに
AWS Managed Microsoft ADでFSx for Windows(以下、FSxW)を構築したことはありましたが、今回既存のセルフマネージド型のAD(EC2でのAD設定)からFSxWを構築ということで、「そもそもADサーバなるものを作ったことがない!」ということもあり、AD作成〜FSx作成までの手順を記載していきます。
構成イメージ
構築設定イメージ
1.1.では、図の赤枠部分に相当する、ADサーバでの設定
1.2.では、図の青枠部分に相当する、制御の委任の設定
2.1 では、1で作成した設定を利用して、FSxWの設定をしていきます
ハンズオン
1.ADサーバでの設定
1.1.ADのリソース作成
1.1.2.Windows管理ツールを選択ActiveDirectoy ユーザとコンピュータを押下
1.1.3.ActiveDirectoy ユーザとコンピュータでの画面でADが設定されているかの確認
1.1.4.左ペインで右クリック新規作成を選択組織単位(OU)を選択
1.1.5.新しいオブジェクトで名前の入力
1.1.6.上記で作成したオブジェクト名の上で右クリック新規作成を選択ユーザーを押下する
1.1.7. ドメインユーザ(サービスアカウント)を作成のため項目を入力
1.1.8. パスワードの入力
1.1.9. 完了のボタンを押下
1.1.10. ドメインユーザ(サービスアカウント)が作成されていることを確認する
1.1.11. 再度左ペインで右クリック新規作成を選択グループを選択
※スクショ撮り忘れ
1.1.12. グループが作成されていることを確認する
1.1.13. グループ配下に所属させる、ユーザーを 1.1.7のように作成
1.1.7. で作成したユーザーはサービスアカウント(単なるドメインユーザの1人ですが、AWSドキュメント表記に従いサービスアカウントと記載)は、FSxを作成する際に利用するユーザです。
実際のEC2インスタンスでマウントする際は、こちらのユーザ(FSxAdmin)で実行します。
※パスワード入力画面・ユーザ確認画面を割愛
1.1.14. グループ配下にユーザーを所属させるため、右クリックプロパティを選択
1.1.15. タブよりメンバーを選択し追加を押下、ポップアップされた画面の選択するオブジェクト名を入力してくださいに、1.1.13で作成したユーザを入力
1.1.16 左下適応を押下して、グループにメンバーを所属させる
1.2.制御の委任
FSxを作成するために必要なサービスアカウント(FSxServiceAccount)に必要な権限を与える設定が必要となります。
対象の OU を右クリックしてメニューから選択します。
※設定内容については下記URLのベストプラクティスに従います
参照:FSx for Windows ファイル サーバー ファイル システムをセルフマネージド Microsoft Active Directory ドメインに参加させるためのベスト プラクティス
1.2.1.``対象の OU を右クリックしてメニューから選択する
1.2.2.オブジェクト制御の委任ウィザード画面で次へを押下
1.2.3.選択するオブジェクト名を入力してくださいに、1.1.7で作成したサービスアカウント(FSxServiceAccount)を入力する
1.2.4.ActiveDirectoryオブジェクトの種類でフォルダー内の次のオブジェクトのみを選択し、コンピュータオブジェクトと画面下の選択されたオブジェクトをこのフォルダーに作成する及び選択されたオブジェクトをこのフォルダーから削除するを選択
1.2.5.アクセス許可でパスワードのリセットとアカウントの制限の読み取りと書き込みと、DNSホスト名への検証された書き込みと、サービスプリンシパル名への検証された書き込みを選択
1.2.6.オブジェクト制御の委任ウィザードの完了で 1.2.4で設定した4つが反映されて以下を確認して完了を押下
2. AWS での設定
2.1 FSx for Windowsの設定
2.1.1 AWS FSx for Windowsの設定画面①
今回はマルチAZで設定、ストレージタイプは検証ということもありHDD:2000GBで構築します
2.1.2 AWS FSx for Windowsの設定画面②
SGはAmazon VPC を使用したファイルシステムアクセスコントロールを参考に事前に作成しています
SGのCFnも参考に記載します
AWSTemplateFormatVersion: "2010-09-09"
Description:
fsx sg
Parameters:
#VPCID
VpcId:
Description : "VPC ID"
Type: AWS::EC2::VPC::Id
Resources:
secGroupName:
Type: AWS::EC2::SecurityGroup
Properties:
GroupName: cfn-sg-fsx
GroupDescription: cfn-sg-fsx
VpcId: !Ref 'VpcId'
SecurityGroupEgress:
- IpProtocol: tcp
FromPort: 53
ToPort: 53
CidrIp: 0.0.0.0/0
- IpProtocol: udp
FromPort: 53
ToPort: 53
CidrIp: 0.0.0.0/0
- IpProtocol: tcp
FromPort: 88
ToPort: 88
CidrIp: 0.0.0.0/0
- IpProtocol: udp
FromPort: 88
ToPort: 88
CidrIp: 0.0.0.0/0
- IpProtocol: udp
FromPort: 123
ToPort: 123
CidrIp: 0.0.0.0/0
- IpProtocol: tcp
FromPort: 135
ToPort: 135
CidrIp: 0.0.0.0/0
- IpProtocol: tcp
FromPort: 389
ToPort: 389
CidrIp: 0.0.0.0/0
- IpProtocol: udp
FromPort: 389
ToPort: 389
CidrIp: 0.0.0.0/0
- IpProtocol: tcp
FromPort: 445
ToPort: 445
CidrIp: 0.0.0.0/0
- IpProtocol: tcp
FromPort: 464
ToPort: 464
CidrIp: 0.0.0.0/0
- IpProtocol: udp
FromPort: 464
ToPort: 464
CidrIp: 0.0.0.0/0
- IpProtocol: tcp
FromPort: 636
ToPort: 636
CidrIp: 0.0.0.0/0
- IpProtocol: tcp
FromPort: 3268
ToPort: 3268
CidrIp: 0.0.0.0/0
- IpProtocol: tcp
FromPort: 3269
ToPort: 3269
CidrIp: 0.0.0.0/0
- IpProtocol: tcp
FromPort: 9389
ToPort: 9389
CidrIp: 0.0.0.0/0
- IpProtocol: tcp
FromPort: 49152
ToPort: 65535
CidrIp: 0.0.0.0/0
SecurityGroupIngress:
- IpProtocol: tcp
FromPort: 445
ToPort: 445
CidrIp: 0.0.0.0/0
- IpProtocol: tcp
FromPort: 5985
ToPort: 5985
CidrIp: 0.0.0.0/0
Tags:
- Key: "Name"
Value: "cfn-sg-fsx"
Outputs:
SG:
Value: !Ref secGroupName
Export:
Name: "cfn-sg-fsx"
2.1.3 AWS FSx for Windowsの設定画面③
AWSマネジメントコンソールでの画面
2.1.3 補足図
ADとAWSマネジメントコンソールでの対応表
2.1.4 AWS FSx for Windowsの設定画面④
これ以降がはデフォルトのまま次へを押下する
2.1.5 AWS FSx for Windows構築完了
20-30分程度待機し、ステータス部分が利用可能になれば構築が終了し、インスタンスからマウントすることが可能な状態となりました
おわりに
AD〜FSxの構築までで一度区切りをいれます。
今後のインスタンスから、FSxをマウントするにあたっては、Microsoft Windows ファイル共有を使用するを参考にして検証を進めていきたいと思います。
VPCのピアリングを忘れてFSxを構築してしまい無駄に30分が過ぎたこと、ピアリング後サブネットのルーティング設定を更新せず無駄に30分が過ぎたことなど、検証なのでと思い設定をよく確認せずリソースを構築→FSxWの構築ステータスの変化を待つ→ステータスが失敗となってしまうことが多々あり、なんでも確認していこうという良い薬となりました。