目次
はじめに ~ FSx までもう一息・・・
ディーネットのよろず請負の深見です。
前回までで Active Directory (AD) サービス構築が完了しました。
本日は、FSx for Windows File Server の設定(構築)の事前に設定をしておかなければいけない点がいくつかりますので、それらを片付けていきます。
それでは、FSx for Windows File Server の導入に向けて、続きを進めていきましょう。
本日の作業 ~ FSx for Windows File Server 導入の事前設定
以下の設定を行います。
- FSx 設定に必要な 組織ユニット・ユーザー・グループ の作成
- オブジェクト制御の委任
- セキュリティ グループの設定
FSx for Windows File Server (FSx) 導入の事前設定
■ FSx 導入の事前設定 編
[ FSx 設定に必要な 組織ユニット・ユーザー・グループ の作成 ]
[Active Directory ユーザーとコンピューター] を選択し、ツールを起動します。
ルート ドメイン名 denet-aws-ad.local を選び、メニューの [操作(A)] を選択、更に [新規作成(N)] の [組織単位(OU)] を選択します。
[名前(A)] を入力して、[OK] をクリックします。
- 名前(A):denet-fsx
登録されていることを確認。
ルート ドメイン名 denet-aws-ad.local を選び、メニューの [操作(A)] を選択、更に [新規作成(N)] の [グループ] を選択します。
※このグループは、FSxの管理権限を持つグループになります。
[グループ名(A)] を入力し、[OK] をクリックします。
- グループ名(A):denet-fsxgroup
※他のオプションの グループのスコープ や グループの種類 はデフォルト設定のままで OK です。
ルート ドメイン名 denet-aws-ad.local を選び、メニューの [操作(A)] を選択、更に [新規作成(N)] の [ユーザー] を選択します。
任意の内容を入力して、 [次へ(N)] をクリックします。
※このユーザーは、権限の委任用ユーザで FSx が利用します。
- 姓(L):fsx
- 名(F):admin
- フル ネーム(A):fsx-admin
- ユーザー ログオン名(U):fsx-admin(@denet-aws.local)
- ユーザー ログオン名(Windows 2000 より前)(W):(DENET-AWS-AD\)fsx-admin
[パスワード(P)] に任意のパスワードを入力し、 [パスワードを無期限にする(W)] にチェックを入れ、[次へ(N)] をクリックします。
表示されている内容を確認し、 [完了] をクリックします。
設定したユーザーが登録されていることを確認します。
登録したユーザーを選択し、マウスの右クリックでメニューを表示して、 [グループに追加(G)] を選択します。
作成したグループ denet-fsxgroup を指定し、 [OK] をクリックします。
無事にグループへの追加が完了しましたので、 [OK] をクリックします。
[ オブジェクト制御の委任 ]
次に作成したグループに対して権限の委任を行います。
組織ユニット denet-fsx を選択し、マウスの右クリックでメニューを表示して、 [制御の委任(E)] を選択します。
オブジェクト制御の委任ウィザード が開始されますので、これに沿って進めていきます。
[次へ(N)] をクリックします。
[追加(A)] をクリックします。
作成したグループ denet-fsxgroup を指定し、 [OK] をクリックします。
指定したグループが設定されましたので、 [次へ(N)] をクリックします。
[委任するカスタム タスクを作成する(C)] を選択し、 [次へ(N)] をクリックします。
[フォルダー内の次のオブジェクトのみ(O)] の [コンピューター オブジェクト] を チェック します。
[選択されたオブジェクトをこのフォルダーに作成する(C)] と [選択されたオブジェクトをこのフォルダーから削除する(D)] は、チェック したままにします。
そして、 [次へ(N)] をクリックします。
以下の項目を チェック します。
- 全般(G)
- アクセス許可(E)
- パスワードのリセット
- アカウントの制限の読み取りと書き込み
- DNS ホスト名への検証された書き込み
- サービス プリンシパル名への検証された書き込み
そして、 [次へ(N)] をクリックします。
表示内容を確認して、[完了] をクリックします。
これで、 オブジェクト制御の委任 の設定が完了しました。
AD サーバでの作業は以上となります。
セキュリティ グループの設定
最後に ファイアウォール設定として、 セキュリティ グループの設定 をします。
以下の設定が必要となります。
(1)AD サーバ用
- インバウンドルール
| プロトコル | TCP/UDP | ポート | 対象ネットワーク | 備考・補足 |
|---|---|---|---|---|
| カスタム UDP | UDP | 445 | 10.0.1.0/24 | SMB |
| カスタム UDP | UDP | 1024 - 65535 | 10.0.1.0/24 | RPC - 一時用 |
| カスタム UDP | UDP | 464 | 10.0.1.0/24 | Kerberos |
| カスタム TCP | TCP | 464 | 10.0.1.0/24 | Kerberos |
| カスタム TCP | TCP | 873 | 10.0.1.0/24 | Rsync |
| カスタム UDP | UDP | 389 | 10.0.1.0/24 | LDAP |
| DNS (UDP) | UDP | 53 | 10.0.1.0/24 | DNS |
| LDAP | TCP | 389 | 10.0.1.0/24 | LDAP |
| カスタム UDP | UDP | 123 | 10.0.1.0/24 | ntp |
| SMB | TCP | 445 | 10.0.1.0/24 | SMB |
| すべての ICMP - IPv4 | ICMP | すべて | 10.0.1.0/24 | ICMP |
| カスタム TCP | TCP | 3268 - 3269 | 10.0.1.0/24 | Global Catalog |
| カスタム TCP | TCP | 1024 - 65535 | 10.0.1.0/24 | RPC - 一時用 |
| カスタム TCP | TCP | 88 | 10.0.1.0/24 | Kerberos |
| カスタム UDP | UDP | 137 - 138 | 10.0.1.0/24 | Netlogon |
| カスタム TCP | TCP | 139 | 10.0.1.0/24 | Netlogon |
| カスタム TCP | TCP | 135 | 10.0.1.0/24 | RPC |
| カスタム TCP | TCP | 636 | 10.0.1.0/24 | LDAPS |
| DNS (TCP) | TCP | 53 | 10.0.1.0/24 | DNS |
- アウトバウンドルール
| プロトコル | TCP/UDP | ポート | 対象ネットワーク | 備考・補足 |
|---|---|---|---|---|
| すべてのトラフィック | すべて | すべて | 0.0.0.0/0 | - |
(2) FSx 用
- インバウンドルール
| プロトコル | TCP/UDP | ポート | 対象ネットワーク | 備考・補足 |
|---|---|---|---|---|
| カスタム UDP | UDP | 445 | 10.0.1.0/24 | SMB |
| カスタム UDP | UDP | 1024 - 65535 | 10.0.1.0/24 | RPC - 一時用 |
| カスタム TCP | TCP | 135 | 10.0.1.0/24 | RPC |
| DNS (UDP) | UDP | 53 | 10.0.1.0/24 | DNS |
| DNS (TCP) | TCP | 53 | 10.0.1.0/24 | DNS |
| SMB | TCP | 445 | 10.0.1.0/24 | SMB |
| カスタム TCP | TCP | 1024 - 65535 | 10.0.1.0/24 | RPC - 一時用 |
- アウトバウンドルール
| プロトコル | TCP/UDP | ポート | 対象ネットワーク | 備考・補足 |
|---|---|---|---|---|
| すべてのトラフィック | すべて | すべて | 0.0.0.0/0 | - |
以上の内容を各セキュリティ グループに設定をして完了となります。
おわりに
今回の作業で FSx for Windows File Server の導入の事前準備が完了しました。
次回、いよいよ 本命の FSx for Windows File Server の導入になります。
次回にご期待いただければと思います。
それでは、お疲れさまでした。
