【re:Invent 2017】Deep Dive on Active Directory – From one to Many AWS Regions

AWS運用自動化サービス「Cloud Automator」
この記事は1年以上前に書かれたものです。
内容が古い可能性がありますのでご注意ください。

re:Invent 2017でActiveDirectory on EC2についてのセッションに参加したので、その内容をお伝えします。

 

前提

ActiveDirectory(以下、ADと記載する。) on EC2に言及した内容となります。(AWS DirectoryServiceは対象外です)

AcitveDirectoryとは

 

Active Directory とはマイクロソフトによって開発されたオンプレミスにおけるディレクトリ・サービス・システムであり、Windows 2000 Serverから導入された、ユーザとコンピュータリソースを管理するコンポーネント群の総称。

主要なコンポーネント
  1. ドメイン サービス
  2. フェデレーションサービス
  3. 証明書サービス
  4. Rights Management サービス
  5. Lightweight Directory サービス

セッション内容

導入部分

なぜADが重要なのか

・ユーザー
・サーバー
・クライアント
・ネットワークデバイス
・アプリケーション

なぜAWSでAD DSを利用するのか

・AWSのエンタープライズ採用が拡大している
・クラウド利用が普通となった
・エンタープライズ企業はADDSを必要とするアプリケーションを利用している
・AWSを利用したADDSは低いレイテンシーでアプリケーションに接続できる

AWSにADDSをデプロイするための観点

一般的な観点

・カスタマーはパッチ当て、監視、バックアップ、可用性に責任をもつ
・可用性を担保するために、少なくとも2つのAZにADDSを構築する
・AZ間は別のデーターセンターのように扱う

セキュリティ関する観点

・ADのベストプラクティスはAWSであっても適用される
・ドメインコントローラーへのアクセスを制御する
・ドメインコントローラーはインターネットからのアクセスをさせるべきではない
 ・ドメインコントローラーとインターネットからアクセスしないサーバーはプライベートサブネットに配置する
・NetworkACLとSecurityGroupを利用し、ADへのどのポートを解放するか制御する

ネットワークに関する観点

・ネットワークトポロジ
・ネットワークを理解する
 ・ハイブリット接続の必要性
 ・AWSDirectConnect、AWSVPN、もしくは接続しない
・複数のVPCをVPCピアリング接続をした構成の場合、ドメインコントローラーは一つのVPCに構築した方が効率的である。他のVPCにあるアプリケーションは、VPCピアリング経由でADに接続することができる

IPアドレス、DNSに関する観点

・事前に予約したプライベートIPアドレスを付与する
・ADのためだけに別個のサブネットを定義するか、共通サービスサブネットを使用してDCを展開するのが一般的な方法です
・DCおよびDNSサーバーの役割をホストするサーバーの名前とIPアドレスを使用してネットワークプロパティを構成する

複数リージョンを使ったドメインコントローラーを構築する際の観点

・ドメインコントローラーは複数のリージョンの複数のAZにデプロイする
・ADのレイテンシーを減らすために、複数のリージョンとデータセンターを接続できるようにすることを推奨する
・中継VPCもしくは、別リージョンのVPCは、IPSecVPCで接続する
・バックボーンとしてAWSを使うか、データセンターを使うか検討する

AD DS設定の観点

・信頼関係のない別のフォレストを展開する
 ・リージョン間でADを接続する場合は、ADレプリケーションがされている必要がある
・フェデレーションで新しいフォレストを作成する
・ケルベロス認証のフォレスト信頼で新しいフォレストを作成する
・レプリカDCを展開してコーポレートフォレストを拡張する
・子ドメインもしくは、子ドメインツリーを展開してコーポレートフォレストを拡張する

グローバルカタログ設定の観点

・シングルドメインフォレストの場合、すべてのドメインコントローラ用にグローバルカタログを作成する
・マルチドメインフォレストの場合、以下の例外を覗いてすべてのドメインコントローラ用にグローバルカタログを作成する
 ・帯域が限られている
 ・インフラストラクチャ操作マスターの互換性がない

ドメインコントラーラーインストールの観点

・EC2 for Windows を起動し、PowerShellもしくは、DcPromo を使ってドメインコントローラをインストールする
・インプレミスのイメージをVMインポートする
・クイックスタートを利用する
 ・http://docs.aws.amazon.com/ja_jp/quickstart/latest/active-directory-ds/welcome.html

ADのバックアップ、リカバリーの観点

・ADDSのバックアップにはスナップショットを利用しない
 ・一貫してクラッシュしない
 ・VMIDはEC2ではさサポートされていない
・Windowsバックアップを利用する
・システム状態のバックアップのために、dedicated EBSを作成する
 ・長期間保持のために、システム状態バックアップのスナップショットをAmazonS3 もしくは、Amazon Glacierに保存する

Office 365との連携の観点

・AD on EC2
・ADFS
・AD Sync
・AD Service Account
・Microsoft Azure AD Connect

AWS上でのADDSデプロイ方式

シングルリージョン/シングルVPC

マルチリージョン/マルチVPC

グッローバルリファレンスアーキテクチャ

最後に

エンタープライズのお客様が増えているので、ActiveDirectoryをAWSに構築する機会が今後増えると思います。ActiveDirectoryをAWSに構築する基本的な考え方が集約されていたので、すごい参考になりました。re:inventはまだまだ続きますので、またレポート書きたいと思います。

AWS運用自動化サービス「Cloud Automator」