Simple AD のベストプラクティス

問題を回避し、Simple AD を最大限に活用するために考慮すべき提案とガイドラインをいくつか紹介します。

セットアップ: 前提条件

ディレクトリを作成する前に、これらのガイドラインを考慮してください。

ディレクトリタイプが正しいことを確認する

AWS Directory Service には、他の AWS のサービスMicrosoft Active Directoryで使用する複数の方法があります。予算に合わせたコストで必要な機能を備えた、ディレクトリサービスを次のように選択できます。

• AWS Directory Service for Microsoft Active Directory は、 AWS クラウド上でMicrosoft Active Directoryホストされる機能豊富なマネージド型です。 AWS マネージド Microsoft AD は、5,000 人を超えるユーザーがあり、ホストディレクトリとオンプレミスディレクトリの間に AWS 信頼関係を設定する必要がある場合に最適です。

• AD Connector は、既存のオンプレミスを Active Directoryに接続するだけです AWS。AD Connector は、 AWS のサービスで既存のオンプレミスのディレクトリを使用する場合に最適な選択です。

• Simple AD は、基本的なActive Directory互換性を備えた低コストの低スケールディレクトリです。5,000 人以下のユーザー、Samba 4 互換アプリケーション、LDAP 対応アプリケーションの LDAP 互換性をサポートします。

AWS Directory Service オプションの詳細については、「」を参照してくださいオプションの選択。

VPC とインスタンスが正しく設定されていることを確認する

ディレクトリに接続して、管理および使用するためには、ディレクトリが関連付けられている VPC を適切に設定する必要があります。VPC セキュリティおよびネットワーク要件の詳細については、「AWS Managed Microsoft AD の前提条件」、「AD Connector の前提条件」、「Simple AD の前提条件」のいずれかを参照してください。

ドメインにインスタンスを追加する場合は、「Amazon EC2 インスタンスを AWS Managed Microsoft AD に結合する Active Directory」に説明されているように、インスタンスへの接続およびリモートアクセスがあることを確認します。

制限を理解する

特定のディレクトリタイプのさまざまな制限について説明します。ディレクトリに保存できるオブジェクトの数については、使用可能なストレージとオブジェクトの集約サイズのみに制限があります。選択したディレクトリに関する詳細については、「AWS Managed Microsoft AD クォータ」、「AD Connector クォータ」、「Simple AD のクォータ」のいずれかを参照してください。

ディレクトリ AWS のセキュリティグループの設定と使用を理解する

AWS はセキュリティグループを作成し、ディレクトリのドメインコントローラーの Elastic Network Interface にアタッチします。セキュリティグループ AWS を設定して、ディレクトリへの不要なトラフィックをブロックし、必要なトラフィックを許可します。

ディレクトリのセキュリティグループを変更する

ディレクトリのセキュリティグループのセキュリティは、必要に応じて変更することができます。このような変更を行うのは、セキュリティグループのフィルタリング機能を完全に理解している場合に限ります。詳細については、「Amazon EC2 ユーザーガイド」の「Amazon EC2 security groups for Linux instances」(Linux インスタンス用の Amazon EC2 セキュリティグループ) を参照してください。不適切な変更を行うと、目的のコンピュータやインスタンスとの通信が失われる可能性があります。ディレクトリのセキュリティが低下するため、ディレクトリに追加のポートを開かないように AWS することをお勧めします。「AWS 責任共有モデル」をよくお読みください。

警告

技術的には、ディレクトリのセキュリティグループを、ユーザー作成した他の EC2 インスタンスと関連付けることができます。ただし、この方法にはお勧め AWS しません。 AWS には、マネージドディレクトリの機能またはセキュリティのニーズに対応するために、セキュリティグループを予告なしに変更する理由がある場合があります。このような変更は、ディレクトリのセキュリティグループを関連付けるすべてのインスタンスに影響を及ぼすため、関連付けられたインスタンスのオペレーションが中断する場合があります。さらに、ディレクトリのセキュリティグループを EC2 インスタンスに関連付けると、EC2 インスタンスのセキュリティリスクが生じる可能性があります。

信頼が必要な場合は AWS Managed Microsoft AD を使用する

Simple AD では信頼関係はサポートされていません。ディレクトリと別の AWS Directory Service ディレクトリ間の信頼を確立する必要がある場合は、 AWS Directory Service for Microsoft Active Directory を使用する必要があります。

セットアップ: ディレクトリを作成する

ディレクトリを作成する際に考慮するべき推奨事項をいくつか示します。

管理者 ID とパスワードを記憶する

ディレクトリを設定するときに、管理者アカウントのパスワードを指定します。Simple AD のアカウント ID は Administrator です。このアカウント用に作成したパスワードを忘れないでください。そうでないと、ディレクトリにオブジェクトを追加できません。

AWS アプリケーションのユーザー名制限を理解する

AWS Directory Service では、ユーザー名の構築に使用できるほとんどの文字形式がサポートされています。ただし、、Amazon 、 WorkSpacesAmazon 、または Amazon などの AWS アプリケーションへのサインインに使用されるユーザー名には、文字制限が適用されます WorkDocs WorkMail QuickSight。これらの制限により、以下の文字は使用できません。

• スペース

• マルチバイト文字

• !"#$%&'()*+,/:;<=>?@[\]^`{|}~

注記

@ 記号は、UPN サフィックスが後に続く場合に限り、使用できます。

アプリケーションをプログラミングする

アプリケーションをプログラミングする前に、以下の点を考慮してください。

Windows DC Locator Service を使用する

アプリケーションを開発するときは、Windows DC ロケーターサービスを使用するか、 AWS Managed Microsoft AD の動的 DNS (DDNS) サービスを使用してドメインコントローラー (DCs。アプリケーションを DC のアドレスでハードコーディングしないでください。DC Locator Service では、ディレクトリの負荷を分散できるだけでなく、デプロイにドメインコントローラーを追加することにより水平スケーリングを活用できます。アプリケーションを固定 DC にバインドした場合、その DC がパッチ適用または復旧を行うと、アプリケーションは残りのいずれかの DC を使用することなく、DC へのアクセスを失います。さらに、DC をハードコーディングすると、1 つの DC にホットスポットが発生する可能性があります。極端な場合、ホットスポットが原因で DC が応答しなくなる可能性があります。このような場合、 AWS ディレクトリの自動化によってディレクトリに障害があるとフラグが立てられ、応答しない DC を置き換える復旧プロセスがトリガーされる可能性があります。

本番稼働用環境にロールアウトする前の負荷テスト

本番稼働用環境のワークロードを表すオブジェクトとリクエストを使用してラボテストを行い、ディレクトリがアプリケーションの負荷に合わせてスケーリングされることを確認します。追加の容量が必要な場合は、 for AWS Directory Service Microsoft Active Directory を使用する必要があります。これにより、ドメインコントローラーを追加して高いパフォーマンスを実現できます。詳細については、「追加ドメインコントローラーのデプロイ」を参照してください。

効率的な LDAP クエリを使用する

何千個ものオブジェクトにまたがるドメインコントローラーの広範な LDAP クエリにより、単一の DC で大量の CPU サイクルが消費され、ホットスポットが発生することがあります。これは、クエリ中に同じ DC を共有するアプリケーションに影響を与える可能性があります。