Simple AD のベストプラクティス - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Simple AD のベストプラクティス

問題を回避し、を最大限に活用するために考慮する必要のあるいくつかの提案とガイドラインを示します。AWSManaged Microsoft AD

を設定します。前提条件

ディレクトリを作成する前に、これらのガイドラインを検討してください。

正しいディレクトリタイプがあることを確認する

AWS Directory Service では、Microsoft Active Directory を他の AWS サービスと併用するための複数の方法を提供します。予算に合わせたコストで必要な機能を備えた、ディレクトリサービスを選択できます。

  • AWSDirectory Service Directoryは、機能豊富なマネージド型 Microsoft Active Directory です。AWSクラウドです。AWS5,000 人を超えるユーザーがおり、AWSのホストディレクトリとオンプレミスのディレクトリです。

  • AD Connectorは、既存のオンプレミス Active Directory をに簡単に接続します。AWS。AD Connector は、既存のオンプレミスディレクトリをAWSのサービス。

  • Simple ADは、一般的なディレクトリ機能を備えた低価格の Active Directory 互換のサービスです。多くの場合、ユーザーが 5,000 人以下で、より高度な Microsoft Active Directory 機能を必要としない場合は、Simple AD は最もコストの低いオプションであり、最善の選択です。

AWS Directory Service オプションの詳細な比較については、「オプションを選択する」を参照してください。

VPC とインスタンスが正しく設定されていることを確認する

ディレクトリに接続して管理し、さらに使用するためには、ディレクトリが関連付けられている VPC を適切に設定する必要があります。どちらかの参照AWSManaged Microsoft AD の前提条件,AD Connector の前提条件, またはSimple AD の前提条件VPC セキュリティおよびネットワーク要件の詳細については、を参照してください。

ドメインにインスタンスを追加する場合は、「に EC2 インスタンスを結合します。AWSManaged Microsoft AD ディレクトリ」に説明されているように、インスタンスへの接続およびリモートアクセスがあることを確認します。

制限に注意してください。

特定のディレクトリタイプのさまざまな制限について説明します。使用可能なストレージとオブジェクトの集約サイズは、ディレクトリに格納できるオブジェクトの数に制限だけです。どちらかの参照AWSManaged Microsoft AD クォータ,AD Connector のクォータ, またはSimple AD クォータ選択したディレクトリの詳細については、

ディレクトリのAWSセキュリティグループの設定を行い、

AWSの作成セキュリティグループディレクトリのドメインコントローラーにアタッチします。エラスティックネットワークインターフェイス。AWSは、ディレクトリへの不要なトラフィックをブロックし、必要なトラフィックを許可するようにセキュリティグループを設定します。

ディレクトリセキュリティグループを変更する

ディレクトリのセキュリティグループのセキュリティは、必要に応じて変更することができます。このような変更を行うのは、セキュリティグループのフィルタリング機能を完全に理解している場合に限ります。詳細については、「」を参照してください。Linux インスタンス用の Amazon EC2 セキュリティグループ()Amazon EC2 ユーザーガイド。不適切な変更を行うと、対象のコンピュータやインスタンスとの通信が失われる場合があります。AWS追加のポートを開くと、ディレクトリのセキュリティが低下します。追加のポートを開かないようお勧めします。慎重にレビューしてくださいAWS責任共有モデル

警告

技術的には、ディレクトリのセキュリティグループを、ユーザーが作成した他の EC2 インスタンスと関連付けることができます。ただし、AWSこの方法をお勧めしません。AWSは、管理対象ディレクトリの機能上またはセキュリティ上のニーズに対処するために、予告なしにセキュリティグループを変更する場合があります。このような変更は、ディレクトリのセキュリティグループと関連付けるインスタンスに影響を及ぼすため、関連付けられたインスタンスのオペレーションが中断する場合があります。さらに、ディレクトリのセキュリティグループを EC2 インスタンスに関連付けると、EC2 インスタンスのセキュリティリスクが生じる可能性があります。

を使用するAWS信頼が必要な場合の Microsoft AD を管理する

Simple AD は信頼関係をサポートしていません。の間に信頼を確立する必要がある場合AWS Directory Serviceディレクトリと別のディレクトリを使用する場合は、AWSDirectory Service Directory

を設定します。ディレクトリの作成

ディレクトリを作成する際に考慮するべき提案をいくつか示します。

管理者 ID とパスワードを記憶する

ディレクトリをセットアップするときに、管理者アカウントのパスワードを指定します。そのアカウント ID は管理者for Simple AD このアカウント用に作成したパスワードを忘れないでください。そうでないと、ディレクトリにオブジェクトを追加できません。

のユーザ名の制限を理解するAWSapplications

AWS Directory Service は、ユーザー名の作成に使用できるほとんどの文字形式をサポートしています。ただし、ユーザー名には、文字の制限が適用されます。これは、へのサインインに使用されます。AWSアプリケーション(WorkSpaces、Amazon WorkDocs、Amazon WorkMail、または Amazon QuickSight など)。これらの制限により、以下の文字は使用できません。

  • スペース

  • マルチバイト文字

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

注記

@ 記号は、UPN サフィックスが後に続く場合に限り、使用できます。

アプリケーションのプログラミング

アプリケーションをプログラミングする前に、以下の点を考慮します。

Windows DC Locator Service を使用する

アプリケーションの開発時、メインコントローラーAWSドメインコントローラー (DC) を見つけるために管理された Microsoft AD。アプリケーションを DC のアドレスでハードコードしないでください。DC Locator Service では、ディレクトリの負荷を分散できるだけでなく、デプロイにドメインコントローラーの追加によりスケールイン/アウトを活用できます。アプリケーションを固定 DC にバインドした場合、その DC がパッチ適用または復旧を行うと、アプリケーションは残りのいずれかの DC を使用する代わりに、DC へのアクセスを失います。さらに、DC をハードコードすると、1 つの DC にホットスポットが発生する可能性があります。重大な問題な場合、ホットスポットが原因で DC が応答しなくなる可能性があります。このような場合、AWS のディレクトリオートメーション機能によりディレクトリに障害発生済みフラグが付けられ、応答しない DC を置き換える復旧プロセスがトリガーされる可能性があります。

実稼働環境への展開前の負荷テスト

本番稼働用環境のワークロードを表すオブジェクトとリクエストを使用してラボテストを行い、ディレクトリがアプリケーションの負荷に合わせてスケールされることを確認します。追加のキャパシティーが必要な場合は、AWS Directory Servicefor Microsoft Active Directory 詳細については、「追加ドメインコントローラーのデプロイ」を参照してください。

効率的な LDAP クエリを使用する

何千個ものオブジェクトにまたがるドメインコントローラーへの広範な LDAP クエリにより、1 つの DC で大量の CPU サイクルが消費されて、ホットスポットが発生することがあります。これは、クエリ中に同じ DC を共有するアプリケーションに影響を与える可能性があります。