翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Managed Microsoft AD のベストプラクティス
問題を回避して、AWS Managed Microsoft AD を最大限に活用するために考慮すべき推奨事項とガイドラインを以下に示します。
トピック
AWS Managed Microsoft AD 設定のベストプラクティス
AWS Managed Microsoft AD を設定する際の推奨事項とガイドラインをいくつか示します。
前提条件
ディレクトリを作成する前に、これらのガイドラインを考慮してください。
ディレクトリタイプが正しいことを確認する
AWS Directory Service は、他の AWS サービスで Microsoft Active Directory を使用する複数の方法を提供します。予算に合わせたコストで必要な機能を備えた、ディレクトリサービスを次のように選択できます。
-
AWS Directory Service for Microsoft Active Directory は、AWS クラウドでホストされる機能豊富なマネージド型の Microsoft Active Directory です。AWSManaged Microsoft AD が最適な選択となるのは、ユーザーが 5,000 人を超えていて、AWS でホストされるディレクトリとオンプレミスのディレクトリとの信頼関係を設定する必要がある場合です。
-
AD Connector は、単に、既存のオンプレミスの Active Directory を AWS に接続します。AD Connector は、AWS のサービスで既存のオンプレミスのディレクトリを使用する場合に最適な選択です。
-
Simple AD は、基本的な Active Directory 互換性を持つ低スケール、低コストのディレクトリです。5,000 人以下のユーザー、Samba 4 互換アプリケーション、LDAP 対応アプリケーションの LDAP 互換性をサポートします。
AWS Directory Service オプションの詳細な比較については、「オプションの選択」を参照してください。
VPC とインスタンスが正しく設定されていることを確認する
ディレクトリに接続して、管理および使用するためには、ディレクトリが関連付けられている VPC を適切に設定する必要があります。VPC セキュリティおよびネットワーク要件の詳細については、「AWS Managed Microsoft AD を作成するための前提条件」、「AD Connector の前提条件」、「Simple AD の前提条件」のいずれかを参照してください。
ドメインにインスタンスを追加する場合は、「Amazon EC2 インスタンスを AWS Managed Microsoft AD に結合する方法」に説明されているように、インスタンスへの接続およびリモートアクセスがあることを確認します。
制限を理解する
特定のディレクトリタイプのさまざまな制限について説明します。ディレクトリに保存できるオブジェクトの数については、使用可能なストレージとオブジェクトの集約サイズのみに制限があります。選択したディレクトリに関する詳細については、「AWS Managed Microsoft AD のクォータ」、「AD Connector クォータ」、「Simple AD のクォータ」のいずれかを参照してください。
ディレクトリの AWS セキュリティグループの設定と使用について理解する
AWS は、セキュリティグループを作成し、それをディレクトリのドメインコントローラーの Elastic Network Interface にアタッチします。このセキュリティグループは、そのドメインコントローラーへの不要なトラフィックをブロックし、Active Directory の通信に必要なトラフィックを許可します。AWS は、Active Directory の通信に必要なポートのみを開くようにセキュリティグループを設定します。デフォルト設定では、セキュリティグループは、AWS Managed Microsoft AD VPC IPv4 CIDR アドレスからのこれらのポートへのトラフィックを受け入れます。AWS は、ピア接続されている、またはサイズが変更されている「VPC
ディレクトリのセキュリティグループを変更する
ディレクトリのセキュリティグループのセキュリティを強化する場合は、セキュリティグループが受け付けるトラフィックの送信元 IP アドレスのリストを絞り込みます。例えば、受け付けるアドレスを VPC IPv4 CIDR の範囲から単一のサブネットやコンピュータに限られた CIDR 範囲に変更できます。同様に、ドメインコントローラーが通信できる送信先アドレスを制限することもできます。このような変更を行うのは、セキュリティグループのフィルタリング機能を完全に理解している場合に限ります。詳細については、「Amazon EC2 ユーザーガイド」の「Amazon EC2 security groups for Linux instances」(Linux インスタンス用の Amazon EC2 セキュリティグループ) を参照してください。不適切な変更を行うと、対象のコンピュータやインスタンスとの通信が失われる場合があります。ディレクトリのセキュリティが低下するため、AWS では、ドメインコントローラーへの追加のポートを開かないようにすることをお勧めします。「AWS 責任共有モデル
警告
ディレクトリで使用するセキュリティグループを、ユーザーが作成した他の EC2 インスタンスと関連付けることは技術的には可能です。ただし、AWS ではこのプラクティスを推奨していません。AWS は、管理対象ディレクトリの機能上またはセキュリティ上のニーズに対処するために、予告なしにセキュリティグループを変更する場合があります。このような変更は、ユーザーがディレクトリのセキュリティグループを関連付けるインスタンスに影響します。さらに、ディレクトリのセキュリティグループを EC2 インスタンスに関連付けると、EC2 インスタンスのセキュリティリスクが発生する可能性があります。ディレクトリセキュリティグループは、AWS Managed Microsoft AD VPC IPv4 CIDR アドレスから必要な Active Directory ポートへのトラフィックを受け入れます。このセキュリティグループを関連付ける EC2 インスタンスにインターネットにアタッチされたパブリック IP アドレスがあると、開いているポートでインターネット上の任意のコンピュータが EC2 インスタンスと通信できます。
AWS Managed Microsoft AD の作成
AWS Managed Microsoft AD を作成する際に考慮すべき推奨事項をいくつか示します。
トピック
管理者 ID とパスワードを記憶する
ディレクトリを設定するときに、管理者アカウントのパスワードを指定します。AWS Managed Microsoft AD のアカウント ID は Admin です。このアカウント用に作成したパスワードを忘れないでください。そうでないと、ディレクトリにオブジェクトを追加できません。
DHCP オプションセットの作成
AWS Directory Service ディレクトリの DHCP オプションセットを作成し、ディレクトリが含まれている VPC にこの DHCP オプションセットを割り当てることをお勧めします。このようにすると、その VPC 内のすべてのインスタンスは指定されたドメインを参照することができ、DNS サーバーはドメイン名を解決できます。
DHCP オプションセットの詳細については、「AWS Managed Microsoft AD の DHCP オプションセットの作成または変更」を参照してください。
条件付きフォワーダー設定を有効にします
次の条件付きフォワーダーの設定は、この条件付きフォワーダーを Active Directory に格納し、次のようにレプリケートするというオプションを有効にする必要があります。これらの設定を有効にすると、インフラストラクチャー障害または過負荷障害によりノードを交換したときに、条件付きフォワーダーの設定が持続的に稼働できると保証します。
条件付きフォワーダーは、前の設定が有効になっている 1 つのドメインコントローラーで作成される必要があります。これにより、他のドメインコントローラーへのレプリケーションが可能になります。
追加ドメインコントローラーのデプロイ
デフォルトでは、AWS は別々のアベイラビリティーゾーンに存在する 2 つのドメインコントローラーを作成します。これにより、ソフトウェアのパッチ適用など、1 つのドメインコントローラーが到達不能または利用不可になる可能性があるイベント中の耐障害性が得られます。耐障害性をさらに高め、ドメインコントローラーまたはアベイラビリティーゾーンへのアクセスに影響する長期的なイベントの発生時にパフォーマンスが確実にスケールアウトされるように、追加のドメインコントローラーをデプロイすることをお勧めします。
詳細については、「Windows DC ロケーターサービスを使用する」を参照してください。
AWS アプリケーションのユーザーネームの制限を理解する
AWS Directory Service は、ユーザーネームの作成に使用するほとんどの文字形式をサポートしています。ただし、AWS アプリケーション (例: WorkSpaces、Amazon WorkDocs、Amazon WorkMail、Amazon QuickSight) へのサインインに使用されるユーザーネームには、文字制限が適用されます。これらの制限により、以下の文字は使用できません。
-
スペース
-
マルチバイト文字
-
!"#$%&'()*+,/:;<=>?@[\]^`{|}~
注記
@ 記号は、UPN サフィックスが後に続く場合に限り、使用できます。
AWS Managed Microsoft AD ディレクトリを使用する際のベストプラクティス
AWS Managed Microsoft AD を使用する際に留意すべき推奨事項をいくつか示します。
トピック
事前定義されたユーザー、グループ、組織単位を変更しない
AWS Directory Service を使用して、ディレクトリを起動する場合、AWS は、ディレクトリのオブジェクトをすべて含む組織単位 (OU) を作成します。この OU はドメインルートにあります。OU にはディレクトリを作成する際に入力した NetBIOS 名があります。ドメインルートは AWS が所有し、管理します。いくつかのグループと管理ユーザーも作成されます。
これらの事前定義されたオブジェクトを移動、削除、または他の方法で変更しないでください。このようなことを行うと、自分自身も AWS もディレクトリにアクセスできなくなることがあります。詳細については、「AWS Managed Microsoft AD で作成されるもの」を参照してください。
自動的にドメインを結合する
AWS Directory Service ドメインの一部となる Windows インスタンスを起動する場合は、手動で後からインスタンスを追加するのではなく、インスタンス作成プロセスの一部としてドメインを結合するのが、多くの場合、最も簡単です。自動的にドメインを結合するには、新しいインスタンスを起動するときに、単にドメイン結合ディレクトリの適切なディレクトリを選択します。詳細については、「Amazon EC2 Windows インスタンスを AWS Managed Microsoft AD に結合する Active Directory」を参照してください。
信頼を正しく設定する
AWS Managed Microsoft AD ディレクトリと別のディレクトリとの間に信頼関係を設定する場合は、以下のガイドラインに注意してください。
-
信頼のタイプは両側 (フォレストまたは外部) で一致する必要があります。
-
一方向の信頼 (信頼するドメインでの送信、信頼されたドメインでの受信) を使用する場合は、信頼の方向が正しく設定されていることを確認します。
-
完全修飾ドメイン名 (FQDN) と NetBIOS 名のどちらも、フォレスト / ドメイン間で一意であることが必要です。
信頼関係の設定の手順の詳細については、「AWS Managed Microsoft AD と自己管理型 AD の間の信頼関係の構築」を参照してください。
ドメインコントローラーのパフォーマンスを追跡する
スケーリングの決定を最適化し、ディレクトリの耐障害性とパフォーマンスを向上させるために、CloudWatch メトリクスを使用することをお勧めします。詳細については、「CloudWatch を使用して AWS Managed Microsoft AD ドメインコントローラーのパフォーマンスをモニタリングする」を参照してください。
CloudWatch コンソールを使用してドメインコントローラーのメトリクスをセットアップする方法については、AWS セキュリティブログの How to automate AWS Managed Microsoft AD scaling based on utilization metrics
スキーマ拡張を慎重に計画する
重要かつ頻繁なクエリ用にディレクトリへのインデックス付けを行う場合、そのためのスキーマ拡張は慎重に適用します。ディレクトリに過剰にインデックス付けしないように注意します。インデックスがディレクトリ領域を消費するとともに、インデックス付けされた値の急な変更により、パフォーマンスの問題が発生する可能性があるためです。インデックスを追加するには、Lightweight Directory Access Protocol (LDAP) Directory Interchange Format (LDIF) ファイルを作成し、スキーマ変更を拡張する必要があります。詳細については、「AWS Managed Microsoft AD スキーマを拡張する」を参照してください。
ロードバランサーについて
AWS Managed Microsoft AD エンドポイントの前にロードバランサーを使用しないでください。Microsoft には、外部ロードバランシングなしで最も応答性の高い運用 DC を検出するドメインコントローラー (DC) 検出アルゴリズムで使用するように Active Directory (AD) が設計されています。外部 network load balancer によるアクティブな DC の検出は正確でない場合があり、アクティブになる予定であっても使用できない DC にアプリケーションが割り当てられることがあります。詳細については、Microsoft TechNet の「Load balancers and Active Directory
インスタンスのバックアップを作成する
インスタンスを既存の AWS Directory Service ドメインに手動で追加する場合は、最初にそのインスタンスのバックアップまたはスナップショットを作成してください。これは Linux インスタンスを結合する場合には、特に重要です。インスタンスを追加するための手順には、正しく実行しないと、インスタンスに到達できなくなったり、インスタンスが使用できなくなったりするものがあります。詳細については、「スナップショットを使用した AWS Managed Microsoft AD の復元」を参照してください。
SNS メッセージングを設定する
Amazon Simple Notification Service (Amazon SNS) を使用すると、ディレクトリのステータスが変更された時に E メールまたはテキストメッセージ (SMS) を受け取ることができます。ディレクトリのステータスが Active から Impaired または Inoperable に変わると、通知が送信されます。ディレクトリが Active ステータスに戻ったときも通知を受け取ります。
また、AWS Directory Service からメッセージを受け取る SNS トピックがある場合は、Amazon SNS コンソールからトピックを削除する前に、ディレクトリを別の SNS トピックに関連付ける必要があることに注意してください。そうしないと、重要なディレクトリステータスメッセージを失う可能性があります。Amazon SNS を設定する方法については、「Amazon Simple Notification Service による AWS Managed Microsoft AD ディレクトリのステータス通知の有効化」を参照してください。
ディレクトリサービス設定の適用
AWS Managed Microsoft AD を使用して、コンプライアンスおよびセキュリティ要件を満たすようにセキュリティ構成を調整することができます。AWSManaged Microsoft AD は、新しいリージョンや追加のドメインコントローラーを追加する場合を含め、ディレクトリ内のすべてのドメインコントローラーに構成をデプロイし、維持します。これらのセキュリティ設定は、新規および既存のすべてのディレクトリに対して構成し、適用できます。これは、「ディレクトリセキュリティ設定の編集」の手順または UpdateSettings API に従って、コンソールで行うことができます。
詳細については、「AWS Managed Microsoft AD ディレクトリのセキュリティ設定の編集」を参照してください。
ディレクトリを削除する前に Amazon エンタープライズアプリケーションを削除する
1 つまたは複数の Amazon エンタープライズアプリケーション (WorkSpaces、Amazon WorkSpaces Application Manager、Amazon WorkDocs、Amazon WorkMail、AWS Management Console、または Amazon Relational Database Service (Amazon RDS) など) に関連付けられているディレクトリを削除する前に、まず各アプリケーションを削除する必要があります。これらのアプリケーションを削除する方法の詳細については、「AWS Managed Microsoft AD の削除」を参照してください。
SYSVOL 共有および NETLOGON 共有へのアクセス時に SMB 2.x クライアントを使用する
クライアントコンピュータは、Server Message Block (SMB) を使用して、AWS Managed Microsoft AD ドメインコントローラー上の SYSVOL および NETLOGON 共有にアクセスし、グループポリシー、ログインスクリプト、およびその他のファイルを処理します。 AWSManaged Microsoft AD は SMB バージョン 2.0 (SMBv2) 以降のみをサポートします。
SMBv2 バージョン以降のプロトコルには、クライアントのパフォーマンスを向上させ、ドメインコントローラーとクライアントのセキュリティを強化する多数の機能が追加されています。この変更は、SMBv1 の無効化に関する United States Computer Emergency Readiness Team
重要
現在 SMBv1 クライアントを使用してドメインコントローラーの SYSVOL 共有および NETLOGON 共有にアクセスしている場合は、これらのクライアントを更新して SMBv2 以降を使用する必要があります。ディレクトリは正常に動作しますが、SMBv1 クライアントは AWS Managed Microsoft AD ドメインコントローラーの SYSVOL 共有および NETLOGON 共有に接続できなくなり、グループポリシーの処理もできなくなります。
SMBv1 クライアントは、現在使用している他のすべての SMBv1 互換ファイルサーバーに対しては動作します。ただし、AWS では、すべての SMB サーバーとクライアントを SMBv2 以降に更新することをお勧めしています。システムの SMBv1 を無効にして新しい SMB バージョンに更新する方法の詳細については、「Microsoft TechNet
SMBv1 リモート接続の追跡
Microsoft-Windows-SMBServer/Audit Windows イベントログは、AWS Managed Microsoft AD ドメインコントローラーにリモートで接続して確認できます。このログ内のイベントはすべて SMBv1 接続を示します。これらのログの 1 つに表示される情報の例を次に示します。
SMB1 アクセス
クライアントアドレス: ###.###.###.###
ガイダンス:
このイベントは、クライアントが SMB1 を使用してサーバーにアクセスしようとしたことを示します。SMB1 アクセスの監査を停止するには、Windows PowerShell cmdlet の Set-SmbServerConfiguration を使用します。
AWS Managed Microsoft AD のアプリケーションをプログラミングする際のベストプラクティス
AWS Managed Microsoft AD で動作するようにアプリケーションをプログラミングする前に、次の点を考慮してください:
Windows DC ロケーターサービスを使用する
アプリケーションを開発する時は、Windows DC ロケーターサービスを使用するか、AWS Managed Microsoft AD の Dynamic DNS (DDNS) サービスを使用して、ドメインコントローラー (DC) を検索します。アプリケーションを DC のアドレスでハードコーディングしないでください。DC Locator Service では、ディレクトリの負荷を分散できるだけでなく、デプロイにドメインコントローラーを追加することにより水平スケーリングを活用できます。アプリケーションを固定 DC にバインドした場合、その DC がパッチ適用または復旧を行うと、アプリケーションは残りのいずれかの DC を使用することなく、DC へのアクセスを失います。さらに、DC をハードコーディングすると、1 つの DC にホットスポットが発生する可能性があります。極端な場合、ホットスポットが原因で DC が応答しなくなる可能性があります。また、このような場合、AWS のディレクトリオートメーション機能によりディレクトリに障害発生フラグが付けられ、応答しない DC を置き換える復旧プロセスがトリガーされる可能性があります。
本番稼働用環境にロールアウトする前の負荷テスト
本番稼働用環境のワークロードを表すオブジェクトとリクエストを使用してラボテストを行い、ディレクトリがアプリケーションの負荷に合わせてスケーリングされることを確認します。追加のキャパシティーが必要な場合は、DC 間でリクエストを分散しながら追加の DC でテストします。詳細については、「AWS Managed Microsoft AD に追加するドメインコントローラーのデプロイ」を参照してください。
効率的な LDAP クエリを使用する
何万個ものオブジェクトにまたがるドメインコントローラーへの広範な LDAP クエリにより、1 つの DC で大量の CPU サイクルが消費されて、ホットスポットが発生することがあります。これは、クエリ中に同じ DC を共有するアプリケーションに影響を与える可能性があります。
