Simple AD の前提条件 - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Simple AD の前提条件

Simple AD ディレクトリを作成するには、VPC に関する以下の条件があります。

  • 少なくとも 2 つのサブネット。Simple AD を正しくインストールするには、2 つのドメインコントローラーを異なるアベイラビリティーゾーンに存在する異なるサブネットにインストールする必要があります。さらに、サブネットは同じクラスレスドメイン間ルーティング (CIDR) の範囲に存在する必要があります。ディレクトリの VPC を拡張またはサイズ変更する場合は、拡張された VPC CIDR 範囲の両方のドメインコントローラーサブネットを選択してください。

  • VPC にはデフォルトのハードウェアテナンシーが必要です。

  • VPC はない以下を使用して構成するVPC エンドポイント:

  • Simple AD による LDAPS のサポートが必要な場合、ポート 389 に接続されたNetwork Load Balancer を使用して設定することをお勧めします。このモデルを使用すると、LDAPS 接続に強力な証明書を使用して、単一の NLB IP アドレスを通じて LDAPS へのアクセスを簡素化し、NLB を通じて自動フェイルオーバーを実現できます。Simple AD は、ポート 636 での自己署名証明書の使用をサポートしていません。Simple AD による LDAPS の設定方法の詳細については、「」を参照してください。Simple AD 用の LDAPS エンドポイントを構成する方法AWSセキュリティブログ

  • 以下の暗号化タイプをディレクトリで有効にする必要があります。

    • RC4_HMAC_MD5

    • AES128_HMAC_SHA1

    • AES256_HMAC_SHA1

    • 今後の暗号化タイプ

      注記

      これらの暗号化タイプを無効にすると、RSAT (Remote Server Administration Tools) との通信の問題が発生し、可用性またはディレクトリに影響を与える可能性があります。

AWS Directory Service は、2 つの VPC 構造を使用します。ディレクトリを構成する EC2 インスタンスは、AWS アカウントの外部で実行され、AWS によって管理されます。これらには、2 つのネットワークアダプタ (ETH0 および ETH1) があります。ETH0 は管理アダプタで、アカウント外部に存在します。ETH1 はアカウント内で作成されます。

ディレクトリの管理 IP 範囲ETH0ネットワークは、ディレクトリがデプロイされている VPC と競合しないようにするために、プログラムによって選択されます。この IP 範囲は、(ディレクトリが 2 つのサブネットで実行されるため)次のいずれかのペアにすることができます。

  • 10.0.1.0/24 & 10.0.2.0/24 & 10.0.2.0/24

  • 192.168.1.0/24 & 192.168.2.0/24 & 192.168.2.0/24

最初のオクテットをチェックすることで、競合を回避します。ETH1CIDR。が 10 で始まる場合は、192.168.1.0/24 と 192.168.2.0/24 と 192.168.2.0/24 と 192.168.2.0/24 と 192.168.2.0/24 と 192.168.2.0/24 と 192.168.2.0/24 と 19 最初のオクテットが 10 以外の場合、10.0.1.0/24 および 10.0.2.0/24 および 10.0.2.0/24 および 10.0.2.0/24 および 10.0.2.0/24 および 10.0.2.0/24 サブネットを持つ 10.0.0.0/16 VPC を選択します。

選択アルゴリズムには、VPC 上のルートは含まれません。したがって、このシナリオから IP ルーティングの競合が発生する可能性があります。