追加ドメインコントローラーのデプロイ
追加のドメインコントローラーをデプロイすると、冗長性が高まり、その結果として耐障害性と可用性が高まります。また、Active Directory リクエストのサポート数が増え、ディレクトリのパフォーマンスが向上します。例えば、AWS Managed Microsoft AD を使用することで、Amazon EC2 および Amazon RDS for SQL Server インスタンスの大規模なフリートにデプロイされている、複数の .NET アプリケーションをサポートできます。
ディレクトリの初回作成時に、AWS Managed Microsoft AD は複数のアベイラビリティーゾーンにまたがる 2 つのドメインコントローラーをデプロイすることで、高可用性を目的とする要件に対応します。後で、必要なドメインコントローラーの総数を指定するだけで、AWS Directory Service コンソールを介して追加のドメインコントローラーを簡単にデプロイできます。AWSManaged Microsoft AD は、ディレクトリが実行されているアベイラビリティーゾーンと VPC サブネットに追加のドメインコントローラーを分散させます。
例えば、次の図で DC-1 と DC-2 はディレクトリで最初に作成された 2 つのドメインコントローラーを示しています。AWS Directory Service コンソールでは、これらのデフォルトのドメインコントローラーは [Required] (必須) と表示されます。AWSManaged Microsoft AD では、ディレクトリの作成時に、この 2 つのドメインコントローラーを意図的に別個のアベイラビリティーゾーンに分散して配置します。後で、さらに 2 つのドメインコントローラーを追加し、ログインのピーク時の認証負荷を分散することもできます。DC-3 と DC-4 は新しいドメインコントローラーです。これらは、コンソールで [Additional] (追加) と表示されます。前と同じように、AWS Managed Microsoft AD では、新しいドメインコントローラーをそれぞれ異なるアベイラビリティーゾーンに自動的に配置し、ドメインの高可用性を確保します。
このプロセスにより、ディレクトリデータのレプリケーション、毎日の自動スナップショット、または追加のドメインコントローラーのモニタリングを手動で設定する必要がなくなります。独自の Active Directory のインフラストラクチャをデプロイしてメンテナンスする必要がないため、ミッションクリティカルな Active Directory 統合のワークロードを AWS クラウドに移行して実行することも容易になります。また、AWS Managed Microsoft AD の追加のドメインコントローラーは、UpdateNumberOfDomainControllers API を使用してデプロイまたは削除できます。
注記
追加のドメインコントローラーは、AWS Managed Microsoft AD のリージョン別機能です。マルチリージョンレプリケーション を使用している場合、次の手順を各リージョンで個別に適用する必要があります。詳細については、「グローバル機能とリージョン機能」を参照してください。
追加のドメインコントローラーの追加または削除
AWS Managed Microsoft AD ディレクトリの追加のドメインコントローラーをデプロイまたは削除するには、以下の手順に従います。
注記
LDAPS を有効にするように AWS Managed Microsoft AD を設定している場合は、追加のドメインコントローラーでも LDAPS が自動的に有効になります。詳細については、「セキュア LDAP (LDAPS) を有効化する」を参照してください。
追加のドメインコントローラーを追加または削除するには
-
AWS Directory Service コンソール
のナビゲーションペインで、[Directories] (ディレクトリ) を選択します。 -
[Directories] (ディレクトリ) ページで、ディレクトリ ID を選択します。
-
[Directory details] (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。
[Multi-Region replication] (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、ドメインコントローラーを追加または削除するリージョンを選択し、[Scale & share] (スケーリングと共有) タブを選択します。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。
[Multi-Region replication] (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、[Scale & share] (スケールリングと共有) タブを選択します。
[Domain controllers] (ドメインコントローラー) セクションで、[Edit] (編集) を選択します。
-
ディレクトリに対して追加または削除するドメインコントローラーの数を指定し、[Modify] (変更) をクリックします。
-
AWS Managed Microsoft AD でデプロイプロセスが完了すると、すべてのドメインコントローラーのステータスが Active になり、割り当て先のアベイラビリティーゾーンと VPC サブネットの両方が表示されます。新しいドメインコントローラーは、ディレクトリがデプロイ済みのアベイラビリティーゾーンとサブネットに均等に分散されます。
注記
追加のドメインコントローラーをデプロイした後で、ドメインコントローラーの数を 2 まで減らすことができます。これは、耐障害性と高可用性を確保するために必要な最小値です。
関連する AWS セキュリティブログの記事
-
「How to increase the redundancy and performance of your AWS Directory Service for AWS Managed Microsoft AD by adding domain controllers
」 (ドメインコントローラーを追加して AWS Directory Service for AWS Managed Microsoft AD の冗長性とパフォーマンスを高める方法)
Amazon CloudWatch メトリクスを使用して、ドメインコントローラーを追加するタイミングを決定する
すべてのドメインコントローラーでのロードバランシングは、ディレクトリの耐障害性とパフォーマンスにとって重要です。AWS Managed Microsoft AD でのドメインコントローラーのパフォーマンスを最適化するために、先に CloudWatch の重要なメトリクスをモニタリングして、ベースラインを形成することをお勧めします。このプロセスでは、経時的にディレクトリを分析して、平均とピーク時のディレクトリ使用率を特定します。ベースラインを決定した後に、これらのメトリクスを定期的にモニタリングすることで、ドメインコントローラーをディレクトリに追加するタイミングを判断しやすくなります。詳細については、「パフォーマンスメトリクスを使用してドメインコントローラーをモニタリングする」を参照してください。
次のメトリクスは、定期的なモニタリングには欠かせません。CloudWatch で利用できるドメインコントローラーのメトリクス一覧については、「AWS Managed Microsoft AD パフォーマンスカウンター」を参照してください。
-
ドメインコントローラーに固有のメトリクスには、次のようなものがあります。
-
プロセッサ
-
メモリ
-
論理ディスク
-
ネットワークインターフェイス
-
-
AWS Managed Microsoft AD に固有のメトリクスには、次のようなものがあります。
-
LDAP 検索
-
バインド
-
DNS クエリ
-
ディレクトリ読み取り
-
ディレクトリ書き込み
-
CloudWatch コンソールを使用してドメインコントローラーのメトリクスを設定する方法については、AWS セキュリティブログの 「How to automate AWS Managed Microsoft AD scaling based on utilization metrics
ドメインコントローラーのプランニングに関する一般的な情報については、Microsoft ウェブサイトの「Capacity planning for Active Directory Domain Services
AWS Managed Microsoft AD パフォーマンスカウンター
次の表は、AWS Managed Microsoft AD でドメインコントローラーとディレクトリのパフォーマンスを追跡するために、Amazon CloudWatch で使用できる全パフォーマンスカウンターの一覧です。
| メトリクスカテゴリ | メトリクス名 |
|---|---|
| データベース ==> インスタンス (NTDSA) | Database Cache % Hit |
| I/O Database Reads Average Latency | |
| I/O Database Reads/sec | |
| I/O Log Writes Average Latency | |
| DirectoryServices (NTDS) | LDAP Bind Time |
| DRA Pending Replication Operations | |
| DRA Pending Replication Synchronizations | |
| DNS | Recursive Queries/sec |
| Recursive Query Failure/sec | |
| TCP Query Received/sec | |
| Total Query Received/sec | |
| Total Response Sent/sec | |
| UDP Query Received/sec | |
| LogicalDisk | Avg. Disk Queue Length |
| % Free Space | |
| メモリ | % Committed Bytes in Use |
| Long-Term Average Standby Cache Lifetime (s) | |
| ネットワークインターフェイス | Bytes Sent/sec |
| Bytes Received/sec | |
| Current Bandwidth | |
| NTDS | ATQ Estimated Queue Delay |
| ATQ Request Latency | |
| DS Directory Reads/Sec | |
| DS Directory Searches/Sec | |
| DS Directory Writes/Sec | |
| LDAP Client Sessions | |
| LDAP Searches/sec | |
| LDAP Successful Binds/sec | |
| プロセッサ | % Processor Time |
| セキュリティシステム全体の統計 | Kerberos Authentications |
| NTLM Authentications |
