AWSでWindowsからFSxにマウントしてみた

テーマ:

レガシーなわが現場でもクラウド化の波に乗りAWSを使うことになりました。

その中でAWSのマネージドサービスFSxを使う可能性が高そうということで、

AWS上でゼロからWindowsサーバの構築~FSxへのマウントまでの手順を纏めてみました。

#動作確認用のゆるーい設定です。お仕事で使うときには、セキュリティの設定はしっかりやりましょう。

 

1.VPCの作成

なにはともあれお約束。適当な名前を付けて作りましょう。CIDRブロックは参考書とかでは10.0.0.0/16が使われていたのでそれを指定。

あっさり出来上がります。

ここで一つポイント。作成したVPCのDNSホスト名の編集を有効化しておいてください。

これをやっとかないと、作成したWindowsインスタンスにRDPでアクセスすることができません。

地味に重要。

 

2.環境周りの整備

2点目でいきなりざっくりとしましたが、以下を設定しておきましょう。

・インターネットゲートウェイの作成、VPCにアタッチ

・パブリックサブネット(2つ)の作成
・ルートテーブルの作成

 

ルートテーブルを作成したらルートにインターネットゲートウェイを追加、

サブネットの関連付けで、パブリックサブネットを紐づけてあげましょう。

これでサブネット上に作ったインスタンスがインターネットと繋がります。

 

3.ActiveDirectoryの作成

唐突にADが出てきましたが、FSxの利用にはADが必須だそうです。

というわけでささっとADを作ってしまいます。

「サービス」→「Directory Service」で作成画面に飛べます。

 

「ディレクトリのセットアップ」をクリック。

次の画面では「 AWS Managed Microsoft AD 」を選択して次へ。

最近はほかのADでも行けるそうですが、純正はなんか安心しますよね。

 

次の画面ではADの詳細を設定していきます。

この辺りは特に引っかかるところもないので、好みで指定してください。
Enterpriseはお金がよりかかるので要注意。
 
次の画面で前に作成したVPCと、サブネットをそれぞれ指定します。
これでADはOK。作成完了までしばし待ちましょう。
 
4.セキュリティグループの作成
次にセキュリティグループを作っておきます。
誰かに勝手に触られないように、ルールを決めておく感じですね。
(私はここの設定を適当にやって、しばらく時間を無駄にしました)
 
最低限必要なグループは以下2点。
・EC2インスタンス用
 RDPの接続を許容するようにインバウンドルールを追加します。ソースは例のごとくすべてを受け入れる設定にしていますが、
 本番相当の環境で使うときには要注意です。
 
・FSx用
 Windowsサーバからマウントするので、上記EC2からのみアクセスを受け入れるようにしています。
 (動作確認であれば全解放でも動きます)

 

5.IAMロールの作成

EC2がADに参加できるようにあらかじめ設定を作っておきます。

以下の2点の権限をつけておきます。

AmazonSSMManagedInstanceCore (システム管理のコア機能)
AmazonSSMDirectoryServiceAccess (ADアクセス用)

 

6.WindowsのEC2インスタンスを作成

Linuxの情報は多いのですが、Windowsの情報は少なかったのでちょっと迷ったところです。

EC2インタスタンスの設定のうち2までは端折ります。

 

ステップ 3: インスタンスの詳細の設定

自動割り当てパブリック IP :「有効」を選択します

ネットワーク~IAM ロール :先に作ったものたちを指定します

で、次へ。

 

ステップ 4: ストレージの追加

好みで。デフォルトのままでもOKです。

 

ステップ 5: タグの追加

ここではキーとして、ADで指定したDNS名を指定してください。値は空で構いません。

AWSのサイトで手順にあったのですが、なぜこれでAD認証ができるようになるのかはわかりませんでした・・・。

 

ステップ 6: セキュリティグループの設定

ここでは「 既存のセキュリティグループを選択する 」を選択し、

先に作った「EC2インスタンス用」にチェックを入れておいてください。

 

ステップ 7: インスタンス作成の確認 

最後に「起動」をクリックして完了です。ここでログインのためのキーペアの作成/指定を求められます。

このキーペアがログインに必要になってくるので忘れない場所に保管しておきましょう。

 

 

以上でEC2のインスタンスが作られ始めます。

 

7.FSxの作成

メインディッシュのFSxの作成です。

「サービス」→「FSx」で飛べます。

「Create file system」をクリックすると、ファイルシステムの選択画面に遷移します。

ここでは左側を選択しておきます。

 

次に詳細なパラメータを設定していきます。

今まで作ったものを当てはめていってください。

 

8.Windowsサーバへの接続(ローカル)

 

先ほど作ったWindowsサーバにログインします。

 

ADを作りましたが、まだサーバ側に設定を行っていないため、AD統合できるようサーバに設定を行います。
 
まずEC2に接続します。そのものずばりのボタンがあるのでクリックします。
 
すると以下のダイアログが表示されるので、パスワードの取得ボタンを押して、
パスワードの取得を行います。次の画面でキーペアファイルを参照し、
パスワードを復号することで、ログインのための情報が設定されます。

 

パスワード欄にパスワードが設定されたら「リモートデスクトップファイルのダウンロード」をクリックします。

するとこんな画面が出てくるので、構わず接続します。

 

その後おなじみの資格情報の入力画面が表示されるので、

先ほど取得したパスワードをコピーして入力すると無事にログインができるはずです。

(最初この画面見たときちょっと感動しました)

 

さて、無事にログイン完了できたわけですが、

こちらあくまでローカルユーザでログインしただけなので、ここからさらにActiveDirectoryに参加する必要があります。

 

9.ActiveDirectoryへの参加

ログインした状態で、スタートメニューから「ServerManager」を選択します。

 

ダッシュボードが表示されるので、「2.Add roles and features」を選択します

 

以下の画面までひたすら次へ。

 
この画面では以下を選択します。
 [Group Policy Management] チェックボックスをオンにします。
 [Remote Server Administration Tools]、[Role Administration Tools] の順に展開します。
 [AD DS and AD LDS Tools] チェックボックスをオンにします。
 [DNS Server Tools] チェックボックスをオンにします。
 
これらを設定したら次へ移動しInstall。
この画面は閉じちゃっても大丈夫とのこと。一応プログレスバーが終わるまで見守ります。
 
これで、このサーバでActiveDirectoryサービスが有効になりました。
一旦サーバからサインアウトします。
 
10.Windowsサーバへの接続(AD)
今度はADユーザでログインしてみましょう。
途中まではローカルユーザと同じ手順で以下の画面が出るところまで進みます。
 
この画面から、ADの資格情報を使ってログインします。
「別のアカウントを使用」をクリックすると、ユーザ名も入力できる画面になるので、
そこで、ADで指定したDNS+'\Admin'を指定します。
(DNSがral.workだとすると、[ral.work\Admin]になる)
 
そしてパスワードはADを作った際に自身で指定したパスワードを入力します。
 
これでADアカウントでサーバにログインできます。
 
11.FSxへのマウント
最後の仕上げにFSxへのマウントです。
FSxのコンソールにAttachというメニューがあるので、ターゲットのFSxを選択した状態で、
Attachをクリックすると、マウントのためのコマンドが表示されるので、それをコピペしてWinServerのコマンドプロンプトで実行します。
(ドライブレターは任意のドライブに変更しておいてください。以下ではDドライブにしています)
 
net use D: \\xxxxxxxxxxxx.ral.work\share
 
これで、Windowsサーバからマウントしたディレクトリが参照できるようになりました。
 
 
と、ここまで長々と説明しましたが、本家サイトにも同じようなガイドがあるので貼っておきますね。