Simple AD の前提条件 - AWS Directory Service

Simple AD の前提条件

Simple AD ディレクトリを作成するには、次の条件を満たす VPC が必要です。

  • 少なくとも 2 つのサブネット。Simple AD を正しくインストールするには、2 つのドメインコントローラーを異なるアベイラビリティーゾーンに存在する別々のサブネットにインストールする必要があります。さらに、サブネットは同じクラスレスドメイン間ルーティング (CIDR) の範囲に存在する必要があります。ディレクトリの VPC を拡張またはサイズ変更する場合は、拡張する VPC CIDR の範囲における両方のドメインコントローラーのサブネットを選択してください。

  • VPC にはデフォルトのハードウェアテナンシーが必要です。

  • VPC は次の VPC エンドポイントを使用して設定することはできません

  • Simple AD による LDAPS のサポートが必要な場合は、ポート 389 に接続された Network Load Balancer を使用して設定することをお勧めします。このモデルを使用することで、LDAPS 接続に強力な証明書を使用して、単一の NLB IP アドレスを通じて LDAPS へのアクセスを簡素化できます。また、NLB を通じて自動フェイルオーバーを実現できます。Simple AD では、ポート 636 での自己署名証明書の使用はサポートされていません。Simple AD を使用した LDAPS の設定方法の詳細については、「AWS Security Blog」の「How to configure an LDAPS endpoint for Simple AD」を参照してください。

  • 次の暗号化タイプは、ディレクトリで有効にする必要があります。

    • RC4_HMAC_MD5

    • AES128_HMAC_SHA1

    • AES256_HMAC_SHA1

    • 今後の暗号化タイプ

      注記

      これらの暗号化タイプを無効にすると、RSAT (Remote Server Administration Tools) との通信に問題が発生し、可用性またはディレクトリに影響を与える可能性があります。

AWS Directory Service は、2 つの VPC 構造を使用します。ディレクトリを構成する EC2 インスタンスは、AWS アカウントの外部で実行され、AWS によって管理されます。これらには、2 つのネットワークアダプタ (ETH0 および ETH1) があります。ETH0 は管理アダプタで、アカウント外部に存在します。ETH1 はアカウント内で作成されます。

ディレクトリの ETH0 ネットワークの管理 IP 範囲は、ディレクトリがデプロイされている VPC と競合しないようにするため、プログラムによって選択されます。この IP 範囲は、(ディレクトリが 2 つのサブネットで実行されるため) 次のいずれかのペアになります。

  • 10.0.1.0/24 と 10.0.2.0/24

  • 192.168.1.0/24 と 192.168.2.0/24

ETH1 CIDR の最初のオクテットをチェックすることで、競合を回避します。10 で始まる場合は、192.168.1.0/24 と 192.168.2.0/24 のサブネットを持つ 192.168.0.0/16 VPC を選択します。最初のオクテットが 10 以外である場合は、10.0.1.0/24 と 10.0.2.0/24 のサブネットを持つ 10.0.0.0/16 VPC を選択します。

選択アルゴリズムには、VPC 上のルートは含まれません。そのため、このシナリオから IP ルーティングの競合が発生する可能性があります。