EC2をADサーバーとして作成してみた
以前、
Active Directory Connectorってなんだろ?
という記事を書いた際に、ADの理解が必要なことが分かりました。
今回は改めてADの勉強のため、EC2でADサーバーを作成してみます。
参考手順
EC2からADサーバーを自分で作成し、WorkSpacesのディレクトリとして使ってみよう! - サーバーワークスエンジニアブログ
今回は以下の2つをやってみます。
- ADサーバを立ち上げる
- ADサーバにユーザーを登録し、リモートPCに接続してみる
1. ADサーバを立ち上げる
Windows Serverを起動する
まずはEC2でWindows Serverを起動します。
マネジメントコンソールからEC2コンソールに移動します。
「インスタンスを起動」をクリックします。
今回使用するのAMIは、Microsoft Windows Server 2019 Base - ami-0f3651a900e33262fです。
インスタンスサイズはt2.microにします。
詳細設定は下記の設定にしました。
VPCとサブネットは自分で作成したものを使用します。
ストレージの設定はデフォルトのままにしておきます。
NameタグにADServerと付けました。
セキュリティグループは新しく作成します。
細かい設定が面倒だったので、とりあえずマイIPとVPCのCIDRのすべてのトラフィックを許可しました。
以上の設定で起動します。
キーペアも新しくADServerという名前で作成しました。
起動しました。
リモート接続する
サーバーが起動したので、設定のためにRDPでリモート接続します。
インスタンス上で右クリックから「接続」をクリックします。
「RDPクライアント」のタブを選択し、「パスワードを取得」をクリックします。
「Browse」をクリックします。
EC2作成時にダウンロードしたキーペアを選択します。
「パスワードを復号化」をクリックします。
パスワードをコピーし、「キャンセル」をクリックします。
Windowsの検索欄に「RDP」と入力し、「リモートデスクトップ接続」を選択します。
「コンピューター」の入力欄にEC2のパブリックIPv4アドレスをコピペして「接続」をクリックします。
この際接続できない場合は、以下をご確認ください。
・サブネットがパブリックか
・セキュリティグループでRDP接続を自分の端末のグローバルIPから許可しているか
ユーザーはPCのユーザーではなく、Administratorで入るため「別のアカウントを使用する」をクリックします。パスワードは先ほど復号したパスワードを入力し、「OK」をクリックします。
接続できました。
ADサーバー化する
リモート接続できたら、このサーバーをADサーバー化していきます。
スタートメニューから「Sever Manager」をクリックします。
「② Add roles and features」をクリックします。
「Next」をクリックします。
「role-base or feature-base installation」を選択し、「Next」をクリックします。
「Select destination server」では作成したEC2が選択されているのでこのまま「Next」をクリックします。
「Active Directory Domain service」を選択します。
「Add Features」をクリックします。
「DNS Server」を選択します。
「Add Features」をクリックします。
「EC2に静的IPがないから、IPが変わると接続できなくなるよ!」という注意が出ますが、今回は検証用なので「Continue」をクリックします。
業務で使用する時などはEIPをアタッチしてIPを固定する方が良いのだと思います。
「Active Directory Domain service」と「DNS Server」が選択されていることを確認し、「Next」をクリックします。
以降の画面も「Next」をクリックし、最後の画面では「Install」をクリックします。
あとは設定が終わるまでしばらく待ちましょう。
終わったら「Close」をクリックします。
ADサーバにドメインを登録する
右上の旗アイコンをクリックします。
「Promote this server to a domain controller」をクリックします。
「Add a new forest」をクリックし、「Root domain name」に任意の名前を入力して「Next」をクリックします。
パスワードを入力し「Next」をクリックします。
「DNS delegation」は設定せずに「Next」をクリックします。
「NetBIOS domain mame」もデフォルトのまま「Next」をクリックします。
以降はデフォルト設定のまま「Next」をクリックし、最後に「Install」をクリックします。
インストール中
インストール後には自動的に再起動に入り、リモート接続が切れました。
10分ほどかかるようなのでその間にADサーバーからリモート接続するユーザーサーバーを作成します。
ユーザーサーバーを作成
基本的にはADサーバーと同じ手順なので、設定のキャプチャだけ貼っていきます。
これでAD用とユーザー用のサーバーができました。
2. ADサーバにユーザーを登録し、リモートPCに接続してみる
ADサーバー側の設定
AD用サーバーが再起動して接続できるようになったら、再度リモート接続し、スタートメニューから「Windows Administrative Tools」から「Active Directory Users and Computers」をクリックします。
ドメイン名を展開し、「Uses」上で右クリック → 「New」 → 「User」の順にクリックする。
任意の名前を入力し、「Next」をクリックします。
任意のパスワードを入力し、「Password never expires」を選択してパスワードは変更できないようにして「Next」をクリックします。
設定を確認して「Finish」をクリックします。
「User」をクリックし、一覧から作成したユーザー上で右クリックから「Add to a group」をクリックします。
入力欄にDomain Adminsと入力し、「Check Names」をクリックてから「OK」をクリックします。
成功メッセージが表示されました。
ユーザーサーバー側の設定
今度はユーザーサーバー側にリモート接続します。
接続できたら右下のPCアイコンをクリックし、「Network & Internet settings」をクリックします。
「Change adapter options」をクリックします。
Ethernet上で右クリックし「Properties」をクリックします。
「Internet Protocol Version 4(TCP/IPv4)を選択し「Properties」をクリックします。
「Use the following DNS server addresses」を選択し、ADサーバーのグローバルIPを入力して「OK」をクリックします。
スタートメニュー上で右クリックし、「System」をクリックします。
「System info」をクリックします。
「Advanced system settings」をクリックします。
「Computer Name」タブから「Change」をクリックします。
「Member of」を選択し、ADサーバーに設定したドメイン名を入力し「OK」をクリックします。
と、ここで「接続できないよ!」というエラーが発生しました。
原因はセキュリティグループで通信が許可されていないことでした。
なので、以下のようにいったんすべてのトラフィックを許可しました。
ユーザー名とパスワードの画面が出たので、先ほど作成したユーザー名とパスワードを入力しました。
無事成功メッセージが表示されました。
その後、再起動を促すメッセージが出たので再起動しました。
ADサーバー側で確認
その間にADサーバーを見ると、ユーザーサーバーが登録されていることが確認できました。
ADサーバー側でユーザーを「Remote Desktop Users」に追加しました。
ユーザーサーバーからリモート接続
ではユーザーサーバー側からADサーバーにリモート接続してみます。
RDPでADサーバーのグローバルIPを指定します。
作成したユーザーとパスワードを入力します。
無事入れました。
今回はここまで
今回はEC2をADサーバーとして構築してみました。、手順は多いですがそれほど難しい印象はありませんでした。
参考記事ではこの後WorkSpaces環境を構築する手順が紹介されていますが、ちょっと長くなりそうなので今回はいったんここで終了にします。
WorkSpaces環境を構築するの手順は次回にやろうと思います。
Discussion