翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Simple AD のベストプラクティス
Simple ADを最大限に活用し、問題を避けるために考慮すべき提案とガイドラインをいくつか紹介します。
セットアップ: 前提条件
ディレクトリを作成する前に、これらのガイドラインを考慮してください。
ディレクトリタイプが正しいことを確認する
AWS Directory Service には、他の AWS のサービスMicrosoft Active Directoryで を使用する複数の方法が用意されています。予算に合わせたコストで必要な機能を備えた、ディレクトリサービスを次のように選択できます。
-
AWS Directory Service for Microsoft Active Directory は、 AWS クラウド上でMicrosoft Active Directoryホストされる機能豊富なマネージドサービスです。 AWS マネージド Microsoft AD は、ユーザーが 5,000 人を超えており、 ホストディレクトリとオンプレミスディレクトリの間に AWS 信頼関係を設定する必要がある場合に最適です。
-
AD Connector は、既存のオンプレミスを Active Directory に接続するだけです AWS。AD Connector は、 AWS のサービスで既存のオンプレミスのディレクトリを使用する場合に最適な選択です。
-
Simple AD は、基本的な Active Directory 互換性を持つ低スケール、低コストのディレクトリです。5,000 人以下のユーザー、Samba 4 互換アプリケーション、LDAP 対応アプリケーションの LDAP 互換性をサポートします。
AWS Directory Service オプションの詳細については、「」を参照してくださいオプションの選択。
VPC とインスタンスが正しく設定されていることを確認する
ディレクトリに接続して、管理および使用するためには、ディレクトリが関連付けられている VPC を適切に設定する必要があります。VPC セキュリティおよびネットワーク要件の詳細については、「AWS Managed Microsoft AD を作成するための前提条件」、「AD Connector の前提条件」、「Simple AD の前提条件」のいずれかを参照してください。
ドメインにインスタンスを追加する場合は、「Amazon EC2 インスタンスを AWS Managed Microsoft AD に結合する方法」に説明されているように、インスタンスへの接続およびリモートアクセスがあることを確認します。
制限を理解する
特定のディレクトリタイプのさまざまな制限について説明します。ディレクトリに保存できるオブジェクトの数については、使用可能なストレージとオブジェクトの集約サイズのみに制限があります。選択したディレクトリに関する詳細については、「AWS Managed Microsoft AD のクォータ」、「AD Connector クォータ」、「Simple AD のクォータ」のいずれかを参照してください。
ディレクトリ AWS のセキュリティグループの設定と使用について理解する
AWS はセキュリティグループを作成し、ディレクトリのドメインコントローラーの Elastic Network Interface にアタッチします。 は、ディレクトリへの不要なトラフィックをブロックし、必要なトラフィックを許可するようにセキュリティグループ AWS を設定します。
ディレクトリのセキュリティグループを変更する
ディレクトリのセキュリティグループのセキュリティは、必要に応じて変更することができます。このような変更を行うのは、セキュリティグループのフィルタリング機能を完全に理解している場合に限ります。詳細については、「Amazon EC2 ユーザーガイド」の「Amazon EC2 security groups for Linux instances」(Linux インスタンス用の Amazon EC2 セキュリティグループ) を参照してください。不適切な変更を行うと、目的のコンピュータやインスタンスとの通信が失われる可能性があります。 ディレクトリのセキュリティが低下するため、ディレクトリへの追加のポートを開かないように AWS することをお勧めします。「AWS
責任共有モデル
警告
技術的には、ディレクトリのセキュリティグループを、ユーザー作成した他の EC2 インスタンスと関連付けることができます。ただし、 はこの方法に反対 AWS することを推奨しています。 AWS には、マネージドディレクトリの機能やセキュリティのニーズに対応するために、予告なしにセキュリティグループを変更する理由がある場合があります。このような変更は、ディレクトリのセキュリティグループを関連付けるすべてのインスタンスに影響を及ぼすため、関連付けられたインスタンスのオペレーションが中断する場合があります。さらに、ディレクトリのセキュリティグループを EC2 インスタンスに関連付けると、EC2 インスタンスのセキュリティリスクが生じる可能性があります。
信頼が必要な場合は AWS Managed Microsoft AD を使用する
Simple AD では信頼関係はサポートされていません。 AWS Directory Service ディレクトリと別のディレクトリの間に信頼を確立する必要がある場合は、 AWS Directory Service for Microsoft Active Directory を使用する必要があります。
セットアップ: ディレクトリを作成する
ディレクトリを作成する際に考慮するべき推奨事項をいくつか示します。
管理者 ID とパスワードを記憶する
ディレクトリを設定するときに、管理者アカウントのパスワードを指定します。Simple AD のアカウント ID は Administrator です。このアカウント用に作成したパスワードを忘れないでください。そうでないと、ディレクトリにオブジェクトを追加できません。
AWS アプリケーションのユーザー名制限を理解する
AWS Directory Service では、ユーザー名の構築に使用できるほとんどの文字形式がサポートされています。ただし、WorkSpaces、Amazon WorkDocs、Amazon WorkMail、Amazon QuickSight などの AWS アプリケーションへのサインインに使用されるユーザー名には、文字数の制限があります。これらの制限により、以下の文字は使用できません。
-
スペース
マルチバイト文字
!"#$%&'()*+,/:;<=>?@[\]^`{|}~
注記
@ 記号は、UPN サフィックスが後に続く場合に限り、使用できます。
アプリケーションをプログラミングする
アプリケーションをプログラミングする前に、以下の点を考慮してください。
Windows DC Locator Service を使用する
アプリケーションを開発するときは、Windows DC ロケーターサービスを使用するか、 AWS Managed Microsoft AD の動的 DNS (DDNS) サービスを使用してドメインコントローラー (DCs。アプリケーションを DC のアドレスでハードコーディングしないでください。DC Locator Service では、ディレクトリの負荷を分散できるだけでなく、デプロイにドメインコントローラーを追加することにより水平スケーリングを活用できます。アプリケーションを固定 DC にバインドした場合、その DC がパッチ適用または復旧を行うと、アプリケーションは残りのいずれかの DC を使用することなく、DC へのアクセスを失います。さらに、DC をハードコーディングすると、1 つの DC にホットスポットが発生する可能性があります。極端な場合、ホットスポットが原因で DC が応答しなくなる可能性があります。このような場合、 AWS ディレクトリの自動化によってディレクトリに障害があるとしてフラグが付けられ、応答しない DC を置き換える復旧プロセスがトリガーされる可能性があります。
本番稼働用環境にロールアウトする前の負荷テスト
本番稼働用環境のワークロードを表すオブジェクトとリクエストを使用してラボテストを行い、ディレクトリがアプリケーションの負荷に合わせてスケーリングされることを確認します。追加の容量が必要な場合は、 AWS Directory Service for Microsoft Active Directory を使用する必要があります。これにより、ドメインコントローラーを追加して高いパフォーマンスを実現できます。詳細については、「AWS Managed Microsoft AD 用の追加のドメインコントローラーのデプロイ」を参照してください。
効率的な LDAP クエリを使用する
何千個ものオブジェクトにまたがるドメインコントローラーの広範な LDAP クエリにより、単一の DC で大量の CPU サイクルが消費され、ホットスポットが発生することがあります。これは、クエリ中に同じ DC を共有するアプリケーションに影響を与える可能性があります。
