翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Simple AD のベストプラクティス
問題を回避し、Simple AD を最大限に活用するために考慮すべき提案とガイドラインをいくつか紹介します。
セットアップ: 前提条件
ディレクトリを作成する前に、これらのガイドラインを考慮してください。
ディレクトリタイプが正しいことを確認する
AWS Directory Service には、他の AWS のサービスMicrosoft Active Directoryで使用する複数の方法があります。予算に合わせたコストで必要な機能を備えた、ディレクトリサービスを次のように選択できます。
-
AWS Directory Service for Microsoft Active Directory は、 AWS クラウド上でMicrosoft Active Directoryホストされる機能豊富なマネージド型です。 AWS マネージド Microsoft AD は、5,000 人を超えるユーザーがあり、ホストディレクトリとオンプレミスディレクトリの間に AWS 信頼関係を設定する必要がある場合に最適です。
-
AD Connector は、既存のオンプレミスを Active Directoryに接続するだけです AWS。AD Connector は、 AWS のサービスで既存のオンプレミスのディレクトリを使用する場合に最適な選択です。
-
Simple AD は、基本的なActive Directory互換性を備えた低コストの低スケールディレクトリです。5,000 人以下のユーザー、Samba 4 互換アプリケーション、LDAP 対応アプリケーションの LDAP 互換性をサポートします。
AWS Directory Service オプションの詳細については、「」を参照してくださいオプションの選択。
VPC とインスタンスが正しく設定されていることを確認する
ディレクトリに接続して、管理および使用するためには、ディレクトリが関連付けられている VPC を適切に設定する必要があります。VPC セキュリティおよびネットワーク要件の詳細については、「AWS Managed Microsoft AD を作成するための前提条件」、「AD Connector の前提条件」、「Simple AD の前提条件」のいずれかを参照してください。
ドメインにインスタンスを追加する場合は、「Amazon EC2インスタンスを AWS Managed Microsoft AD に結合する方法」に説明されているように、インスタンスへの接続およびリモートアクセスがあることを確認します。
制限を理解する
特定のディレクトリタイプのさまざまな制限について説明します。ディレクトリに保存できるオブジェクトの数については、使用可能なストレージとオブジェクトの集約サイズのみに制限があります。選択したディレクトリに関する詳細については、「AWS Managed Microsoft AD クォータ」、「AD Connector クォータ」、「Simple AD のクォータ」のいずれかを参照してください。
ディレクトリ AWS のセキュリティグループの設定と使用を理解する
AWS はセキュリティグループを作成し、ディレクトリのドメインコントローラーの Elastic Network Interface にアタッチします。セキュリティグループ AWS を設定して、ディレクトリへの不要なトラフィックをブロックし、必要なトラフィックを許可します。
ディレクトリのセキュリティグループを変更する
ディレクトリのセキュリティグループのセキュリティは、必要に応じて変更することができます。このような変更を行うのは、セキュリティグループのフィルタリング機能を完全に理解している場合に限ります。詳細については、「Amazon EC2 ユーザーガイド」の「Amazon EC2 security groups for Linux instances」(Linux インスタンス用の Amazon EC2 セキュリティグループ) を参照してください。不適切な変更を行うと、目的のコンピュータやインスタンスとの通信が失われる可能性があります。ディレクトリのセキュリティが低下するため、ディレクトリに追加のポートを開かないように AWS することをお勧めします。「AWS
責任共有モデル
警告
技術的には、ディレクトリのセキュリティグループを、ユーザー作成した他の EC2 インスタンスと関連付けることができます。ただし、この方法にはお勧め AWS しません。 AWS には、マネージドディレクトリの機能またはセキュリティのニーズに対応するために、セキュリティグループを予告なしに変更する理由がある場合があります。このような変更は、ディレクトリのセキュリティグループを関連付けるすべてのインスタンスに影響を及ぼすため、関連付けられたインスタンスのオペレーションが中断する場合があります。さらに、ディレクトリのセキュリティグループを EC2 インスタンスに関連付けると、EC2 インスタンスのセキュリティリスクが生じる可能性があります。
信頼が必要な場合は AWS Managed Microsoft AD を使用する
Simple AD では信頼関係はサポートされていません。ディレクトリと別の AWS Directory Service ディレクトリ間の信頼を確立する必要がある場合は、 AWS Directory Service for Microsoft Active Directory を使用する必要があります。
セットアップ: ディレクトリを作成する
ディレクトリを作成する際に考慮するべき推奨事項をいくつか示します。
管理者 ID とパスワードを記憶する
ディレクトリを設定するときに、管理者アカウントのパスワードを指定します。Simple AD のアカウント ID は Administrator です。このアカウント用に作成したパスワードを忘れないでください。そうでないと、ディレクトリにオブジェクトを追加できません。
AWS アプリケーションのユーザー名制限を理解する
AWS Directory Service では、ユーザー名の構築に使用できるほとんどの文字形式がサポートされています。ただし、、Amazon 、 WorkSpacesAmazon 、または Amazon などの AWS アプリケーションへのサインインに使用されるユーザー名には、文字制限が適用されます WorkDocs WorkMail QuickSight。これらの制限により、以下の文字は使用できません。
-
スペース
マルチバイト文字
!"#$%&'()*+,/:;<=>?@[\]^`{|}~
注記
@ 記号は、UPN サフィックスが後に続く場合に限り、使用できます。
アプリケーションをプログラミングする
アプリケーションをプログラミングする前に、以下の点を考慮してください。
Windows DC Locator Service を使用する
アプリケーションを開発するときは、Windows DC ロケーターサービスを使用するか、 AWS Managed Microsoft AD の動的 DNS (DDNS) サービスを使用してドメインコントローラー (DCs。アプリケーションを DC のアドレスでハードコーディングしないでください。DC Locator Service では、ディレクトリの負荷を分散できるだけでなく、デプロイにドメインコントローラーを追加することにより水平スケーリングを活用できます。アプリケーションを固定 DC にバインドした場合、その DC がパッチ適用または復旧を行うと、アプリケーションは残りのいずれかの DC を使用することなく、DC へのアクセスを失います。さらに、DC をハードコーディングすると、1 つの DC にホットスポットが発生する可能性があります。極端な場合、ホットスポットが原因で DC が応答しなくなる可能性があります。このような場合、 AWS ディレクトリの自動化によってディレクトリに障害があるとフラグが立てられ、応答しない DC を置き換える復旧プロセスがトリガーされる可能性があります。
本番稼働用環境にロールアウトする前の負荷テスト
本番稼働用環境のワークロードを表すオブジェクトとリクエストを使用してラボテストを行い、ディレクトリがアプリケーションの負荷に合わせてスケーリングされることを確認します。追加の容量が必要な場合は、 for AWS Directory Service Microsoft Active Directory を使用する必要があります。これにより、ドメインコントローラーを追加して高いパフォーマンスを実現できます。詳細については、「AWS Managed Microsoft AD に追加のドメインコントローラーをデプロイする」を参照してください。
効率的な LDAP クエリを使用する
何千個ものオブジェクトにまたがるドメインコントローラーの広範な LDAP クエリにより、単一の DC で大量の CPU サイクルが消費され、ホットスポットが発生することがあります。これは、クエリ中に同じ DC を共有するアプリケーションに影響を与える可能性があります。
