AWS Managed Microsoft AD のベストプラクティス - AWS Directory Service
セットアップ: 前提条件セットアップ: ディレクトリを作成するディレクトリを使用するディレクトリを管理するアプリケーションをプログラミングする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Managed Microsoft AD のベストプラクティス

ここでは、問題を回避し、 AWS Managed Microsoft AD を最大限に活用するために考慮すべき提案とガイドラインをいくつか紹介します。

セットアップ: 前提条件

ディレクトリを作成する前に、これらのガイドラインを考慮してください。

ディレクトリタイプが正しいことを確認する

AWS Directory Service には、他の AWS のサービスMicrosoft Active Directoryで使用する複数の方法があります。予算に合わせたコストで必要な機能を備えた、ディレクトリサービスを次のように選択できます。

  • AWS Directory Service for Microsoft Active Directory は、 AWS クラウド上でMicrosoft Active Directoryホストされる機能豊富なマネージド型です。 AWS マネージド Microsoft AD は、5,000 人を超えるユーザーがあり、ホストディレクトリとオンプレミスディレクトリの間に AWS 信頼関係を設定する必要がある場合に最適です。

  • AD Connector は、既存のオンプレミスを Active Directoryに接続するだけです AWS。AD Connector は、 AWS のサービスで既存のオンプレミスのディレクトリを使用する場合に最適な選択です。

  • Simple AD は、基本的なActive Directory互換性を備えた低コストの低スケールディレクトリです。5,000 人以下のユーザー、Samba 4 LDAP 互換アプリケーション、および LDAP対応アプリケーションの互換性をサポートしています。

AWS Directory Service オプションの詳細については、「」を参照してくださいオプションの選択

VPCs および インスタンスが正しく設定されていることを確認します。

ディレクトリに接続、管理、使用するには、ディレクトリVPCsが関連付けられている を適切に設定する必要があります。VPC セキュリティとネットワークの要件Simple AD の前提条件についてはAD Connector の前提条件AWS Managed Microsoft AD の前提条件、、または を参照してください。

ドメインにインスタンスを追加する場合は、「Amazon EC2インスタンスを に結合する AWS Managed Microsoft AD Active Directory」に説明されているように、インスタンスへの接続およびリモートアクセスがあることを確認します。

制限を理解する

特定のディレクトリタイプのさまざまな制限について説明します。ディレクトリに保存できるオブジェクトの数については、使用可能なストレージとオブジェクトの集約サイズのみに制限があります。選択したディレクトリに関する詳細については、「AWS Managed Microsoft AD クォータ」、「AD Connector クォータ」、「Simple AD のクォータ」のいずれかを参照してください。

ディレクトリ AWS のセキュリティグループの設定と使用を理解する

AWS はセキュリティグループを作成し、ディレクトリのドメインコントローラーの Elastic Network Interface にアタッチします。このセキュリティグループは、そのドメインコントローラーへの不要なトラフィックをブロックし、Active Directory の通信に必要なトラフィックを許可します。 AWS は、Active Directory の通信に必要なポートのみを開くようにセキュリティグループを設定します。デフォルト設定では、セキュリティグループは AWS Managed Microsoft AD VPC IPv4 CIDR アドレスからこれらのポートへのトラフィックを受け入れます。 は、ピア接続またはサイズ変更された 内からアクセス可能なドメインコントローラーのインターフェイスにセキュリティグループをア AWS タッチしますVPCs。これらのインターフェイスは、ルーティングテーブルを変更したり、 へのネットワーク接続を変更したり、NATゲートウェイサービス を設定したりしてもVPC、インターネットからアクセスできません。そのため、 へのネットワークパスを持つインスタンスとコンピュータのみが ディレクトリVPCにアクセスできます。これにより、特定のアドレス範囲を設定する必要がないため、セットアップが簡素化されます。代わりに、信頼できるインスタンスとコンピュータからのトラフィックのみを許可する VPC にルートとセキュリティグループを設定します。

ディレクトリのセキュリティグループを変更する

ディレクトリのセキュリティグループのセキュリティを強化する場合は、セキュリティグループが受け付けるトラフィックの送信元 IP アドレスのリストを絞り込みます。例えば、受け入れたアドレスをVPCIPv4CIDR自分の範囲から、単一のサブネットまたはコンピュータに固有のCIDR範囲に変更できます。同様に、ドメインコントローラーが通信できる送信先アドレスを制限することもできます。このような変更を行うのは、セキュリティグループのフィルタリング機能を完全に理解している場合に限ります。詳細については、「Amazon ユーザーガイド」の「Linux インスタンス用の Amazon EC2 セキュリティグループ」を参照してください。 EC2 不適切な変更を行うと、目的のコンピュータやインスタンスとの通信が失われる可能性があります。 AWS では、ディレクトリのセキュリティが低下するため、ドメインコントローラーへの追加のポートを開かないようにすることをお勧めします。「AWS 責任共有モデル」をよくお読みください。

警告

技術的には、ディレクトリが使用するセキュリティグループを、作成した他のEC2インスタンスに関連付けることができます。ただし、この practice. AWS には、マネージドディレクトリの機能またはセキュリティのニーズに対応するために、予告なしにセキュリティグループを変更する理由がある AWS 場合があります。このような変更は、ユーザーがディレクトリのセキュリティグループを関連付けるインスタンスに影響します。さらに、ディレクトリセキュリティグループをEC2インスタンスに関連付けると、EC2インスタンスに潜在的なセキュリティリスクが生じます。ディレクトリセキュリティグループは、 AWS Managed Microsoft AD VPC IPv4 CIDR アドレスから必要な Active Directory ポートへのトラフィックを受け入れます。このセキュリティグループをインターネットにアタッチされたパブリック IP アドレスを持つEC2インスタンスに関連付けると、インターネット上のすべてのコンピュータが開いているポートでEC2インスタンスと通信できます。

セットアップ: ディレクトリを作成する

ディレクトリを作成する際に考慮するべき推奨事項をいくつか示します。

管理者 ID とパスワードを記憶する

ディレクトリを設定するときに、管理者アカウントのパスワードを指定します。そのアカウント ID は Managed Microsoft AD AWS の管理者です。このアカウント用に作成したパスワードを忘れないでください。そうでないと、ディレクトリにオブジェクトを追加できません。

DHCP オプションセットを作成する

AWS Directory Service ディレクトリのオプションDHCPセットを作成し、ディレクトリVPCがある にDHCPオプションセットを割り当てることをお勧めします。これにより、 内のインスタンスVPCは指定されたドメインを指し、DNSサーバーはドメイン名を解決できます。

DHCP オプションセットの詳細については、「」を参照してくださいDHCP オプションセットを作成または変更する

条件付きフォワーダー設定を有効にします

次の条件付きフォワーダーの設定は、この条件付きフォワーダーを Active Directory に格納し、次のようにレプリケートするというオプションを有効にする必要があります。これらの設定を有効にすると、インフラストラクチャー障害または過負荷障害によりノードを交換したときに、条件付きフォワーダーの設定が消えるのを防ぐことができます。

追加ドメインコントローラーのデプロイ

デフォルトでは、 は別々のアベイラビリティーゾーンに存在する 2 つのドメインコントローラー AWS を作成します。これにより、ソフトウェアのパッチ適用など、1 つのドメインコントローラーが到達不能または利用不可になる可能性があるイベント中の耐障害性が得られます。耐障害性をさらに高め、ドメインコントローラーまたはアベイラビリティーゾーンへのアクセスに影響する長期的なイベントの発生時にパフォーマンスが確実にスケールアウトされるように、追加のドメインコントローラーをデプロイすることをお勧めします。

詳細については、「Windows DC Locator Service を使用する」を参照してください。

AWS アプリケーションのユーザーネームの制限を理解する

AWS Directory Service では、ユーザー名の構築に使用できるほとんどの文字形式がサポートされています。ただし、、Amazon 、 WorkSpacesAmazon 、または Amazon などの AWS アプリケーションへのサインインに使用されるユーザー名には、文字制限が適用されます WorkDocs WorkMail QuickSight。これらの制限により、以下の文字は使用できません。

  • スペース

  • マルチバイト文字

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

注記

@ 記号はUPN、サフィックスの前にある限り使用できます。

ディレクトリを使用する

ここでは、ディレクトリを使用する場合に、留意すべき推奨事項をいくつか示します。

事前定義されたユーザー、グループ、組織単位を変更しない

AWS Directory Service を使用してディレクトリを起動すると、 はディレクトリのすべてのオブジェクトを含む組織単位 (OU) AWS を作成します。ディレクトリの作成時に入力した NetBIOS 名を持つこの OU は、ドメインルートにあります。ドメインルートは によって所有および管理されます AWS。いくつかのグループと管理ユーザーも作成されます。

これらの事前定義されたオブジェクトを移動、削除、または他の方法で変更しないでください。そうすることで、自分自身と の両方がディレクトリにアクセスできなくなる可能性があります AWS。詳細については、「で作成されるもの AWS Managed Microsoft AD」を参照してください。

自動的にドメインを結合する

AWS Directory Service ドメインの一部である Windows インスタンスを起動する場合、後でインスタンスを手動で追加するのではなく、インスタンス作成プロセスの一環としてドメインに参加するのが最も簡単です。自動的にドメインを結合するには、新しいインスタンスを起動するときに、単にドメイン結合ディレクトリの適切なディレクトリを選択します。詳細については、「Amazon EC2 Windows インスタンスを にシームレスに結合する AWS Managed Microsoft AD Active Directory」を参照してください。

信頼を正しく設定する

AWS Managed Microsoft AD ディレクトリと別のディレクトリとの信頼関係を設定するときは、次のガイドラインに注意してください。

  • 信頼のタイプは両側 (フォレストまたは外部) で一致する必要があります。

  • 一方向の信頼 (信頼するドメインでの送信、信頼されたドメインでの受信) を使用する場合は、信頼の方向が正しく設定されていることを確認します。

  • 完全修飾ドメイン名 (FQDNs) とネットBIOSネームはどちらも、フォレスト/ドメイン間で一意である必要があります

信頼関係の設定の手順の詳細については、「信頼関係の作成」を参照してください。

ディレクトリを管理する

ディレクトリを管理するための以下の推奨事項を考慮してください。

ドメインコントローラーのパフォーマンスを追跡する

スケーリングの決定を最適化し、ディレクトリの耐障害性とパフォーマンスを向上させるために、 CloudWatch メトリクスを使用することをお勧めします。詳細については、「パフォーマンスメトリクスを使用してドメインコントローラーをモニタリングする」を参照してください。

CloudWatch コンソールを使用してドメインコントローラーメトリクスを設定する方法については、 セキュリティブログの「使用率メトリクスに基づいて AWS Managed Microsoft AD のスケーリングを自動化する方法 AWS 」を参照してください。

スキーマ拡張を慎重に計画する

重要かつ頻繁なクエリ用にディレクトリへのインデックス付けを行う場合、そのためのスキーマ拡張は慎重に適用します。ディレクトリに過剰にインデックス付けしないように注意します。インデックスがディレクトリ領域を消費するとともに、インデックス付けされた値の急な変更により、パフォーマンスの問題が発生する可能性があるためです。インデックスを追加するには、Lightweight Directory Access Protocol (LDAP) Directory Interchange Format (LDIF) ファイルを作成し、スキーマの変更を拡張する必要があります。詳細については、「スキーマを拡張する」を参照してください。

ロードバランサーについて

AWS Managed Microsoft AD エンドポイントの前にロードバランサーを使用しないでください。Microsoft の Active Directory (AD) は、外部ロードバランシングを使用せずに応答性の最も高い運用中の DC を検出する、ドメインコントローラー (DC) 探索アルゴリズムと共に使用するように設計されています。外部ネットワークロードバランサーがアクティブを不正確に検出DCsすると、アプリケーションが DC に送信され、すぐには使用できなくなる可能性があります。詳細については、「Microsoft のロードバランサーと Active Directory」を参照してください。 TechNet これは、外部ロードバランサーを実装するのではなく、Active Directory を正しく使用するようにアプリケーションを修正することを推奨しています。

インスタンスのバックアップを作成する

既存の AWS Directory Service ドメインにインスタンスを手動で追加する場合は、まずバックアップを作成するか、そのインスタンスのスナップショットを作成します。これは Linux インスタンスを結合する場合には、特に重要です。インスタンスを追加するための手順には、正しく実行しないと、インスタンスに到達できなくなったり、インスタンスが使用できなくなったりするものがあります。詳細については、「ディレクトリをスナップショットまたは復元する」を参照してください。

SNS メッセージングを設定する

Amazon Simple Notification Service (Amazon SNS) では、ディレクトリのステータスが変更されたときに E メールまたはテキスト (SMS) メッセージを受信できます。ディレクトリのステータスが Active から Impaired または Inoperable に変わると、通知が送信されます。ディレクトリが Active ステータスに戻ったときも通知を受け取ります。

また、 からメッセージを受信する SNSトピックがある場合は AWS Directory Service、Amazon SNSコンソールからそのトピックを削除する前に、ディレクトリを別のSNSトピックに関連付ける必要があることに注意してください。そうしないと、重要なディレクトリステータスメッセージを失う可能性があります。Amazon をセットアップする方法については、SNS「」を参照してくださいAmazon SNS でディレクトリステータス通知を設定する

ディレクトリサービス設定の適用

AWS Managed Microsoft AD では、コンプライアンスとセキュリティの要件を満たすようにセキュリティ設定を調整できます。 AWS Managed Microsoft AD は、新しいリージョンや追加のドメインコントローラーを追加する場合を含め、ディレクトリ内のすべてのドメインコントローラーに設定をデプロイして維持します。これらのセキュリティ設定は、新規および既存のすべてのディレクトリに対して構成し、適用できます。これは、 ディレクトリセキュリティ設定の編集または の手順に従ってコンソールで実行できますUpdateSettings API

詳細については、「ディレクトリセキュリティ設定の構成」を参照してください。

ディレクトリを削除する前に Amazon エンタープライズアプリケーションを削除する

Amazon WorkSpaces Application Manager、Amazon 、Amazon WorkSpaces、Amazon 、または Amazon Relational Database Service (Amazon WorkDocsRDS) などの 1 つ以上の Amazon Enterprise Applications に関連付けられているディレクトリを削除する前に WorkMail AWS Management Console、まず各アプリケーションを削除する必要があります。 Amazon Relational Database Service これらのアプリケーションを削除する方法の詳細については、「AWS 管理対象Microsoft AD を削除する」を参照してください。

SYSVOL および SMB NETLOGON共有にアクセスするときに 2.x クライアントを使用する

クライアントコンピュータは、サーバーメッセージブロック (SMB) を使用して、グループポリシーSYSVOL、ログインスクリプト、その他のファイルの AWS Managed Microsoft AD ドメインコントローラー上の および NETLOGON共有にアクセスします。 AWS Managed Microsoft AD はSMB、バージョン 2.0 (SMBv2) 以降のみをサポートしています。

SMBv2 以降のバージョンプロトコルでは、クライアントのパフォーマンスを向上させ、ドメインコントローラーとクライアントのセキュリティを強化する多くの機能が追加されています。この変更は、米国コンピュータ緊急対応チームおよび Microsoft の推奨事項に従って を無効にしますSMBv1。

重要

現在SMBv1、クライアントを使用してドメインコントローラーの SYSVOLおよび NETLOGON共有にアクセスする場合は、 SMBv2以降を使用するようにクライアントを更新する必要があります。ディレクトリは正しく動作しますが、SMBv1クライアントは AWS Managed Microsoft AD ドメインコントローラーの SYSVOLおよび NETLOGON共有に接続できず、グループポリシーも処理できません。

SMBv1 クライアントは、ユーザーが所有する他のSMBv1互換性のあるファイルサーバーと連携します。ただし、すべてのSMBサーバーとクライアントを SMBv2以降に更新 AWS することをお勧めします。システムの新しいSMBバージョンへの無効化SMBv1と更新の詳細については、Microsoft TechNet および Microsoftドキュメント のこれらの投稿を参照してください。

SMBv1 リモート接続の追跡

AWS Managed Microsoft AD ドメインコントローラーにリモート接続している Microsoft-Windows-SMBServer/Audit Windows イベントログを確認できます。このログのイベントはSMBv1接続を示します。これらのログの 1 つに表示される情報の例を次に示します。

SMB1 アクセス

クライアントアドレス: ###.###.###.###

ガイダンス:

このイベントは、クライアントが を使用してサーバーにアクセスしようとしたことを示しますSMB1。SMB1 アクセスの監査を停止するには、 Windows PowerShell コマンドレット Set- を使用しますSmbServerConfiguration。

アプリケーションをプログラミングする

アプリケーションをプログラミングする前に、以下の点を考慮してください。

Windows DC Locator Service を使用する

アプリケーションを開発するときは、Windows DC ロケーターサービスを使用するか、 AWS Managed Microsoft AD の動的 DNS (DDNS) サービスを使用してドメインコントローラー () を見つけますDCs。アプリケーションを DC のアドレスでハードコーディングしないでください。DC Locator Service では、ディレクトリの負荷を分散できるだけでなく、デプロイにドメインコントローラーを追加することにより水平スケーリングを活用できます。アプリケーションを固定 DC にバインドし、DC にパッチ適用または復旧が行われると、アプリケーションは残りの の 1 つを使用する代わりに DC にアクセスできなくなりますDCs。さらに、DC をハードコーディングすると、1 つの DC にホットスポットが発生する可能性があります。極端な場合、ホットスポットが原因で DC が応答しなくなる可能性があります。このような場合、 AWS ディレクトリの自動化によってディレクトリに障害があるとフラグが立てられ、応答しない DC を置き換える復旧プロセスがトリガーされる可能性があります。

本番稼働用環境にロールアウトする前の負荷テスト

本番稼働用環境のワークロードを表すオブジェクトとリクエストを使用してラボテストを行い、ディレクトリがアプリケーションの負荷に合わせてスケーリングされることを確認します。追加の容量が必要な場合は、 間でリクエストを分散DCsしながら、追加の でテストしますDCs。詳細については、「追加ドメインコントローラーのデプロイ」を参照してください。

効率的なLDAPクエリを使用する

数万のオブジェクトにまたがるドメインコントローラーへの広範なLDAPクエリは、単一の DC で大量のCPUサイクルを消費し、ホットスポットが発生する可能性があります。これは、クエリ中に同じ DC を共有するアプリケーションに影響を与える可能性があります。