AWS Managed Microsoft AD のベストプラクティス - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Managed Microsoft AD のベストプラクティス

ここでは、問題を回避し、 AWS Managed Microsoft AD を最大限に活用するために考慮すべき提案とガイドラインをいくつか紹介します。

セットアップ: 前提条件

ディレクトリを作成する前に、これらのガイドラインを考慮してください。

ディレクトリタイプが正しいことを確認する

AWS Directory Service には、他の AWS のサービスMicrosoft Active Directoryで使用する複数の方法があります。予算に合わせたコストで必要な機能を備えた、ディレクトリサービスを次のように選択できます。

  • AWS Directory Service for Microsoft Active Directory は、 AWS クラウド上でMicrosoft Active Directoryホストされる機能豊富なマネージド型です。 AWS マネージド Microsoft AD は、5,000 人を超えるユーザーがあり、ホストディレクトリとオンプレミスディレクトリの間に AWS 信頼関係を設定する必要がある場合に最適です。

  • AD Connector は、既存のオンプレミスを Active Directoryに接続するだけです AWS。AD Connector は、 AWS のサービスで既存のオンプレミスのディレクトリを使用する場合に最適な選択です。

  • Simple AD は、基本的なActive Directory互換性を備えた低コストの低スケールディレクトリです。5,000 人以下のユーザー、Samba 4 互換アプリケーション、LDAP 対応アプリケーションの LDAP 互換性をサポートします。

AWS Directory Service オプションの詳細については、「」を参照してくださいオプションの選択

VPC とインスタンスが正しく設定されていることを確認する

ディレクトリに接続して、管理および使用するためには、ディレクトリが関連付けられている VPC を適切に設定する必要があります。VPC セキュリティおよびネットワーク要件の詳細については、「AWS Managed Microsoft AD の前提条件」、「AD Connector の前提条件」、「Simple AD の前提条件」のいずれかを参照してください。

ドメインにインスタンスを追加する場合は、「Amazon EC2 インスタンスを AWS Managed Microsoft AD に結合する Active Directory」に説明されているように、インスタンスへの接続およびリモートアクセスがあることを確認します。

制限を理解する

特定のディレクトリタイプのさまざまな制限について説明します。ディレクトリに保存できるオブジェクトの数については、使用可能なストレージとオブジェクトの集約サイズのみに制限があります。選択したディレクトリに関する詳細については、「AWS Managed Microsoft AD クォータ」、「AD Connector クォータ」、「Simple AD のクォータ」のいずれかを参照してください。

ディレクトリ AWS のセキュリティグループの設定と使用を理解する

AWS はセキュリティグループを作成し、ディレクトリのドメインコントローラーの Elastic Network Interface にアタッチします。このセキュリティグループは、そのドメインコントローラーへの不要なトラフィックをブロックし、Active Directory の通信に必要なトラフィックを許可します。 AWS は、Active Directory の通信に必要なポートのみを開くようにセキュリティグループを設定します。デフォルト設定では、セキュリティグループは任意の IP アドレスからこれらのポートへのトラフィックを受け入れます。 は、ピア接続またはサイズ変更された VPC 内からアクセスできるドメインコントローラーのインターフェイスにセキュリティグループをア AWS タッチします。 VPCs これらのインターフェイスにインターネットからアクセスすることはできません (ルーティングテーブルを変更しても、VPC へのネットワーク接続を変更しても、NAT ゲートウェイサービスを設定してもアクセスできません)。そのため、VPC へのネットワークパスを持つインスタンスとコンピュータのみがディレクトリにアクセスできます。これにより、特定のアドレス範囲を設定する必要がないため、セットアップが簡素化されます。代わりに、信頼できるインスタンスやコンピュータからのトラフィックのみを許可するルートやセキュリティグループを VPC 内に設定します。

ディレクトリのセキュリティグループを変更する

ディレクトリのセキュリティグループのセキュリティを強化する場合は、セキュリティグループが受け付けるトラフィックの送信元 IP アドレスのリストを絞り込みます。例えば、受け付けるアドレスを 0.0.0.0/0 から 単一のサブネットやコンピュータに限られた CIDR 範囲に変更できます。同様に、ドメインコントローラーが通信できる送信先アドレスを制限することもできます。このような変更を行うのは、セキュリティグループのフィルタリング機能を完全に理解している場合に限ります。詳細については、「Amazon EC2 ユーザーガイド」の「Amazon EC2 security groups for Linux instances」(Linux インスタンス用の Amazon EC2 セキュリティグループ) を参照してください。不適切な変更を行うと、目的のコンピュータやインスタンスとの通信が失われる可能性があります。 AWS では、ディレクトリのセキュリティが低下するため、ドメインコントローラーへの追加のポートを開かないようにすることをお勧めします。「AWS 責任共有モデル」をよくお読みください。

警告

ディレクトリで使用するセキュリティグループを、ユーザーが作成した他の EC2 インスタンスと関連付けることは技術的には可能です。ただし、この practice. AWS は、マネージドディレクトリの機能またはセキュリティのニーズに対応するために、予告なしにセキュリティグループを変更する理由がある AWS 場合があります。このような変更は、ユーザーがディレクトリのセキュリティグループを関連付けるインスタンスに影響します。さらに、ディレクトリのセキュリティグループを EC2 インスタンスに関連付けると、EC2 インスタンスのセキュリティリスクが発生する可能性があります。ディレクトリのセキュリティグループは、必要な Active Directory ポートで任意の IP アドレスからのトラフィックを受け付けます。このセキュリティグループを関連付ける EC2 インスタンスにインターネットにアタッチされたパブリック IP アドレスがあると、開いているポートでインターネット上の任意のコンピュータが EC2 インスタンスと通信できます。

セットアップ: ディレクトリを作成する

ディレクトリを作成する際に考慮するべき推奨事項をいくつか示します。

管理者 ID とパスワードを記憶する

ディレクトリを設定するときに、管理者アカウントのパスワードを指定します。そのアカウント ID は Managed Microsoft AD AWS の管理者です。このアカウント用に作成したパスワードを忘れないでください。そうでないと、ディレクトリにオブジェクトを追加できません。

DHCP オプションセットの作成

AWS Directory Service ディレクトリの DHCP オプションセットを作成し、ディレクトリがある VPC に DHCP オプションセットを割り当てることをお勧めします。このようにすると、その VPC 内のすべてのインスタンスは指定されたドメインを参照することができ、DNS サーバーはドメイン名を解決できます。

DHCP オプションセットの詳細については、「DHCP オプションセットを作成または変更する」を参照してください。

条件付きフォワーダー設定を有効にします

次の条件付きフォワーダーの設定は、この条件付きフォワーダーを Active Directory に格納し、次のようにレプリケートするというオプションを有効にする必要があります。これらの設定を有効にすると、インフラストラクチャー障害または過負荷障害によりノードを交換したときに、条件付きフォワーダーの設定が消えるのを防ぐことができます。

追加ドメインコントローラーのデプロイ

デフォルトでは、 は別々のアベイラビリティーゾーンに存在する 2 つのドメインコントローラー AWS を作成します。これにより、ソフトウェアのパッチ適用など、1 つのドメインコントローラーが到達不能または利用不可になる可能性があるイベント中の耐障害性が得られます。耐障害性をさらに高め、ドメインコントローラーまたはアベイラビリティーゾーンへのアクセスに影響する長期的なイベントの発生時にパフォーマンスが確実にスケールアウトされるように、追加のドメインコントローラーをデプロイすることをお勧めします。

詳細については、「Windows DC Locator Service を使用する」を参照してください。

AWS アプリケーションのユーザーネームの制限を理解する

AWS Directory Service では、ユーザー名の構築に使用できるほとんどの文字形式がサポートされています。ただし、、Amazon 、Amazon 、または Amazon などの AWS アプリケーションへのサインインに使用されるユーザー名には WorkSpaces、文字制限が適用されます WorkDocs WorkMail QuickSight。これらの制限により、以下の文字は使用できません。

  • スペース

  • マルチバイト文字

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

注記

@ 記号は、UPN サフィックスが後に続く場合に限り、使用できます。

ディレクトリを使用する

ここでは、ディレクトリを使用する場合に、留意すべき推奨事項をいくつか示します。

事前定義されたユーザー、グループ、組織単位を変更しない

AWS Directory Service を使用してディレクトリを起動すると、 はディレクトリのすべてのオブジェクトを含む組織単位 (OU) AWS を作成します。この OU はドメインルートにあります。OU にはディレクトリを作成する際に入力した NetBIOS 名があります。ドメインルートは によって所有および管理されます AWS。いくつかのグループと管理ユーザーも作成されます。

これらの事前定義されたオブジェクトを移動、削除、または他の方法で変更しないでください。そうすることで、ディレクトリに自分自身と の両方がアクセスできなくなる可能性があります AWS。詳細については、「AWS Managed Microsoft AD Active Directory で作成される内容」を参照してください。

自動的にドメインを結合する

AWS Directory Service ドメインの一部である Windows インスタンスを起動する場合、後でインスタンスを手動で追加するのではなく、インスタンス作成プロセスの一環としてドメインに参加するのが最も簡単です。自動的にドメインを結合するには、新しいインスタンスを起動するときに、単にドメイン結合ディレクトリの適切なディレクトリを選択します。詳細については、「Amazon EC2 Windows インスタンスを AWS Managed Microsoft AD にシームレスに結合する Active Directory」を参照してください。

信頼を正しく設定する

AWS Managed Microsoft AD ディレクトリと別のディレクトリとの信頼関係を設定するときは、次のガイドラインに注意してください。

  • 信頼のタイプは両側 (フォレストまたは外部) で一致する必要があります。

  • 一方向の信頼 (信頼するドメインでの送信、信頼されたドメインでの受信) を使用する場合は、信頼の方向が正しく設定されていることを確認します。

  • 完全修飾ドメイン名 (FQDN) と NetBIOS 名のどちらも、フォレスト / ドメイン間で一意であることが必要です。

信頼関係の設定の手順の詳細については、「信頼関係の作成」を参照してください。

ディレクトリを管理する

ディレクトリを管理するための以下の推奨事項を考慮してください。

ドメインコントローラーのパフォーマンスを追跡する

スケーリングの決定を最適化し、ディレクトリの耐障害性とパフォーマンスを向上させるために、 CloudWatch メトリクスを使用することをお勧めします。詳細については、「パフォーマンスメトリクスを使用してドメインコントローラーをモニタリングする」を参照してください。

CloudWatch コンソールを使用してドメインコントローラーメトリクスを設定する方法については、 セキュリティブログの「使用率メトリクスに基づいて AWS Managed Microsoft AD のスケーリングを自動化する方法 AWS 」を参照してください。

スキーマ拡張を慎重に計画する

重要かつ頻繁なクエリ用にディレクトリへのインデックス付けを行う場合、そのためのスキーマ拡張は慎重に適用します。ディレクトリに過剰にインデックス付けしないように注意します。インデックスがディレクトリ領域を消費するとともに、インデックス付けされた値の急な変更により、パフォーマンスの問題が発生する可能性があるためです。インデックスを追加するには、Lightweight Directory Access Protocol (LDAP) Directory Interchange Format (LDIF) ファイルを作成し、スキーマ変更を拡張する必要があります。詳細については、「スキーマを拡張する」を参照してください。

ロードバランサーについて

AWS Managed Microsoft AD エンドポイントの前にロードバランサーを使用しないでください。Microsoft の Active Directory (AD) は、外部ロードバランシングを使用せずに応答性の最も高い運用中の DC を検出する、ドメインコントローラー (DC) 探索アルゴリズムと共に使用するように設計されています。外部 network load balancer によるアクティブな DC の検出は正確でない場合があり、アクティブになる予定であっても使用できない DC にアプリケーションが割り当てられることがあります。詳細については、「Microsoft のロードバランサーと Active Directory」を参照してください。 TechNet このバージョンでは、外部ロードバランサーを実装するのではなく、Active Directory を正しく使用するようにアプリケーションを修正することを推奨しています。

インスタンスのバックアップを作成する

インスタンスを既存の AWS Directory Service ドメインに手動で追加する場合は、まずバックアップを作成するか、そのインスタンスのスナップショットを作成します。これは Linux インスタンスを結合する場合には、特に重要です。インスタンスを追加するための手順には、正しく実行しないと、インスタンスに到達できなくなったり、インスタンスが使用できなくなったりするものがあります。詳細については、「ディレクトリをスナップショットまたは復元する」を参照してください。

SNS メッセージングを設定する

Amazon Simple Notification Service (Amazon SNS) を使用すると、ディレクトリのステータスが変更された時に E メールまたはテキストメッセージ (SMS) を受け取ることができます。ディレクトリのステータスが Active から Impaired または Inoperable に変わると、通知が送信されます。ディレクトリが Active ステータスに戻ったときも通知を受け取ります。

また、 からメッセージを受信する SNS トピックがある場合は AWS Directory Service、Amazon SNS コンソールからそのトピックを削除する前に、ディレクトリを別の SNS トピックに関連付ける必要があります。そうしないと、重要なディレクトリステータスメッセージを失う可能性があります。Amazon SNS を設定する方法については、「Amazon SNS でディレクトリステータス通知を設定する」を参照してください。

ディレクトリサービス設定の適用

AWS Managed Microsoft AD では、コンプライアンスとセキュリティの要件を満たすようにセキュリティ設定を調整できます。 AWS Managed Microsoft AD は、新しいリージョンや追加のドメインコントローラーを追加する場合を含め、ディレクトリ内のすべてのドメインコントローラーに設定をデプロイして維持します。これらのセキュリティ設定は、新規および既存のすべてのディレクトリに対して構成し、適用できます。これは、 のステップまたは UpdateSettings API ディレクトリセキュリティ設定の編集を使用してコンソールで実行できます。

詳細については、「ディレクトリセキュリティ設定の構成」を参照してください。

ディレクトリを削除する前に Amazon エンタープライズアプリケーションを削除する

Amazon WorkSpaces Application Manager、Amazon 、Amazon WorkSpaces、Amazon Relational Database Service (Amazon RDS) などの 1 つ以上の Amazon Enterprise Applications に関連付けられているディレクトリを削除する前に WorkDocs WorkMail AWS Management Console、まず各アプリケーションを削除する必要があります。これらのアプリケーションを削除する方法の詳細については、「AWS 管理対象Microsoft AD を削除する」を参照してください。

SYSVOL 共有および NETLOGON 共有へのアクセス時に SMB 2.x クライアントを使用する

クライアントコンピュータは、サーバーメッセージブロック (SMB) を使用して、グループポリシー、ログインスクリプト、その他のファイル用の AWS Managed Microsoft AD ドメインコントローラーの SYSVOL および NETLOGON 共有にアクセスします。 AWS Managed Microsoft AD は、SMB バージョン 2.0 (SMBv2) 以降のみをサポートしています。

SMBv2 バージョン以降のプロトコルには、クライアントのパフォーマンスを向上させ、ドメインコントローラーとクライアントのセキュリティを強化する多数の機能が追加されています。この変更は、SMBv1 の無効化に関する United States Computer Emergency Readiness Team (米コンピュータ緊急事態対策チーム) と Microsoft の勧告に従うものです。

重要

現在 SMBv1 クライアントを使用してドメインコントローラーの SYSVOL 共有および NETLOGON 共有にアクセスしている場合は、これらのクライアントを更新して SMBv2 以降を使用する必要があります。ディレクトリは正常に動作しますが、SMBv1 クライアントは AWS Managed Microsoft AD ドメインコントローラーの SYSVOL および NETLOGON 共有に接続できず、グループポリシーも処理できません。

SMBv1 クライアントは、現在使用している他のすべての SMBv1 互換ファイルサーバーに対しては動作します。ただし、すべての SMB サーバーとクライアントを SMBv2 以降に更新 AWS することをお勧めします。SMBv1 の無効化とシステム上の新しい SMB バージョンへの更新の詳細については、Microsoft TechNet および Microsoft ドキュメント のこれらの投稿を参照してください。

SMBv1 リモート接続の追跡

AWS Managed Microsoft AD ドメインコントローラーにリモート接続している Microsoft-Windows-SMBServer /Audit Windows イベントログを確認できます。このログのイベントは SMBv1 接続を示します。これらのログの 1 つに表示される情報の例を次に示します。

SMB1 アクセス

クライアントアドレス: ###.###.###.###

ガイダンス:

このイベントは、クライアントが SMB1 を使用してサーバーにアクセスしようとしたことを示します。SMB1 アクセスの監査を停止するには、 Windows PowerShell コマンドレット Set- を使用しますSmbServerConfiguration。

アプリケーションをプログラミングする

アプリケーションをプログラミングする前に、以下の点を考慮してください。

Windows DC Locator Service を使用する

アプリケーションを開発するときは、Windows DC ロケーターサービスを使用するか、 AWS Managed Microsoft AD の動的 DNS (DDNS) サービスを使用してドメインコントローラー (DCs。アプリケーションを DC のアドレスでハードコーディングしないでください。DC Locator Service では、ディレクトリの負荷を分散できるだけでなく、デプロイにドメインコントローラーを追加することにより水平スケーリングを活用できます。アプリケーションを固定 DC にバインドした場合、その DC がパッチ適用または復旧を行うと、アプリケーションは残りのいずれかの DC を使用することなく、DC へのアクセスを失います。さらに、DC をハードコーディングすると、1 つの DC にホットスポットが発生する可能性があります。極端な場合、ホットスポットが原因で DC が応答しなくなる可能性があります。このような場合、 AWS ディレクトリの自動化によってディレクトリに障害があるとフラグが立てられ、応答しない DC を置き換える復旧プロセスがトリガーされる可能性があります。

本番稼働用環境にロールアウトする前の負荷テスト

本番稼働用環境のワークロードを表すオブジェクトとリクエストを使用してラボテストを行い、ディレクトリがアプリケーションの負荷に合わせてスケーリングされることを確認します。追加のキャパシティーが必要な場合は、DC 間でリクエストを分散しながら追加の DC でテストします。詳細については、「追加ドメインコントローラーのデプロイ」を参照してください。

効率的な LDAP クエリを使用する

何万個ものオブジェクトにまたがるドメインコントローラーへの広範な LDAP クエリにより、1 つの DC で大量の CPU サイクルが消費されて、ホットスポットが発生することがあります。これは、クエリ中に同じ DC を共有するアプリケーションに影響を与える可能性があります。