FSx for Windows File Server でファイルサーバを♪(4)

はじめに ~ FSx までもう一息・・・

ディーネットのよろず請負の深見です。

前回までで Active Directory (AD) サービス構築が完了しました。

本日は、FSx for Windows File Server の設定(構築)の事前に設定をしておかなければいけない点がいくつかりますので、それらを片付けていきます。

それでは、FSx for Windows File Server の導入に向けて、続きを進めていきましょう。

FSx System Design 2.5

本日の作業 ~ FSx for Windows File Server 導入の事前設定

以下の設定を行います。

  • FSx 設定に必要な 組織ユニット・ユーザー・グループ の作成
  • オブジェクト制御の委任
  • セキュリティ グループの設定

FSx for Windows File Server (FSx) 導入の事前設定

■ FSx 導入の事前設定 編

[ FSx 設定に必要な 組織ユニット・ユーザー・グループ の作成 ]

AD to FSx 001
[Active Directory ユーザーとコンピューター] を選択し、ツールを起動します。

AD to FSx 002
ルート ドメイン名 denet-aws-ad.local を選び、メニューの [操作(A)] を選択、更に [新規作成(N)][組織単位(OU)] を選択します。

AD to FSx 003
[名前(A)] を入力して、[OK] をクリックします。

  • 名前(A):denet-fsx

AD to FSx 004
登録されていることを確認。

AD to FSx 005
ルート ドメイン名 denet-aws-ad.local を選び、メニューの [操作(A)] を選択、更に [新規作成(N)][グループ] を選択します。
※このグループは、FSxの管理権限を持つグループになります。

AD to FSx 006
[グループ名(A)] を入力し、[OK] をクリックします。

  • グループ名(A):denet-fsxgroup
    ※他のオプションの グループのスコープグループの種類 はデフォルト設定のままで OK です。

AD to FSx 007
ルート ドメイン名 denet-aws-ad.local を選び、メニューの [操作(A)] を選択、更に [新規作成(N)][ユーザー] を選択します。

AD to FSx 008
任意の内容を入力して、 [次へ(N)] をクリックします。
※このユーザーは、権限の委任用ユーザで FSx が利用します。

  • 姓(L):fsx
  • 名(F):admin
  • フル ネーム(A):fsx-admin
  • ユーザー ログオン名(U):fsx-admin(@denet-aws.local)
  • ユーザー ログオン名(Windows 2000 より前)(W):(DENET-AWS-AD\)fsx-admin

AD to FSx 009
[パスワード(P)] に任意のパスワードを入力し、 [パスワードを無期限にする(W)]チェックを入れ、[次へ(N)] をクリックします。

AD to FSx 010
表示されている内容を確認し、 [完了] をクリックします。

AD to FSx 001
設定したユーザーが登録されていることを確認します。

AD to FSx 012
登録したユーザーを選択し、マウスの右クリックでメニューを表示して、 [グループに追加(G)] を選択します。

AD to FSx 013
作成したグループ denet-fsxgroup を指定し、 [OK] をクリックします。

AD to FSx 014
無事にグループへの追加が完了しましたので、 [OK] をクリックします。

[ オブジェクト制御の委任 ]

AD to FSx 015
次に作成したグループに対して権限の委任を行います。
組織ユニット denet-fsx を選択し、マウスの右クリックでメニューを表示して、 [制御の委任(E)] を選択します。

AD to FSx 016
オブジェクト制御の委任ウィザード が開始されますので、これに沿って進めていきます。
[次へ(N)] をクリックします。

AD to FSx 017
[追加(A)] をクリックします。

AD to FSx 018
作成したグループ denet-fsxgroup を指定し、 [OK] をクリックします。

AD to FSx 019
指定したグループが設定されましたので、 [次へ(N)] をクリックします。

AD to FSx 020
[委任するカスタム タスクを作成する(C)] を選択し、 [次へ(N)] をクリックします。

AD to FSx 021
[フォルダー内の次のオブジェクトのみ(O)][コンピューター オブジェクト]チェック します。
[選択されたオブジェクトをこのフォルダーに作成する(C)][選択されたオブジェクトをこのフォルダーから削除する(D)] は、チェック したままにします。
そして、 [次へ(N)] をクリックします。

AD to FSx 022
以下の項目を チェック します。

  • 全般(G)
  • アクセス許可(E)
    • パスワードのリセット
    • アカウントの制限の読み取りと書き込み
    • DNS ホスト名への検証された書き込み
    • サービス プリンシパル名への検証された書き込み

そして、 [次へ(N)] をクリックします。

AD to FSx 024
表示内容を確認して、[完了] をクリックします。

これで、 オブジェクト制御の委任 の設定が完了しました。
AD サーバでの作業は以上となります。

セキュリティ グループの設定

最後に ファイアウォール設定として、 セキュリティ グループの設定 をします。
以下の設定が必要となります。

(1)AD サーバ用

  • インバウンドルール
プロトコル TCP/UDP ポート 対象ネットワーク 備考・補足
カスタム UDP UDP 445 10.0.1.0/24 SMB
カスタム UDP UDP 1024 - 65535 10.0.1.0/24 RPC - 一時用
カスタム UDP UDP 464 10.0.1.0/24 Kerberos
カスタム TCP TCP 464 10.0.1.0/24 Kerberos
カスタム TCP TCP 873 10.0.1.0/24 Rsync
カスタム UDP UDP 389 10.0.1.0/24 LDAP
DNS (UDP) UDP 53 10.0.1.0/24 DNS
LDAP TCP 389 10.0.1.0/24 LDAP
カスタム UDP UDP 123 10.0.1.0/24 ntp
SMB TCP 445 10.0.1.0/24 SMB
すべての ICMP - IPv4 ICMP すべて 10.0.1.0/24 ICMP
カスタム TCP TCP 3268 - 3269 10.0.1.0/24 Global Catalog
カスタム TCP TCP 1024 - 65535 10.0.1.0/24 RPC - 一時用
カスタム TCP TCP 88 10.0.1.0/24 Kerberos
カスタム UDP UDP 137 - 138 10.0.1.0/24 Netlogon
カスタム TCP TCP 139 10.0.1.0/24 Netlogon
カスタム TCP TCP 135 10.0.1.0/24 RPC
カスタム TCP TCP 636 10.0.1.0/24 LDAPS
DNS (TCP) TCP 53 10.0.1.0/24 DNS
  • アウトバウンドルール
プロトコル TCP/UDP ポート 対象ネットワーク 備考・補足
すべてのトラフィック すべて すべて 0.0.0.0/0 -

(2) FSx 用

  • インバウンドルール
プロトコル TCP/UDP ポート 対象ネットワーク 備考・補足
カスタム UDP UDP 445 10.0.1.0/24 SMB
カスタム UDP UDP 1024 - 65535 10.0.1.0/24 RPC - 一時用
カスタム TCP TCP 135 10.0.1.0/24 RPC
DNS (UDP) UDP 53 10.0.1.0/24 DNS
DNS (TCP) TCP 53 10.0.1.0/24 DNS
SMB TCP 445 10.0.1.0/24 SMB
カスタム TCP TCP 1024 - 65535 10.0.1.0/24 RPC - 一時用
  • アウトバウンドルール
プロトコル TCP/UDP ポート 対象ネットワーク 備考・補足
すべてのトラフィック すべて すべて 0.0.0.0/0 -

以上の内容を各セキュリティ グループに設定をして完了となります。

おわりに

今回の作業で FSx for Windows File Server の導入の事前準備が完了しました。

次回、いよいよ 本命の FSx for Windows File Server の導入になります。

次回にご期待いただければと思います。

それでは、お疲れさまでした。