こんにちは、Enterprise Cloud部 ソリューションアーキテクト1課 宮形 です。 AWS専業の会社で日々活動しておりますが、これまでのキャリアでWindows系技術にも触れることが多かったので、そのお陰もありAWS上のEC2で Active Directory サーバー (以下ADサーバーと記) を構築して欲しいというお仕事を対応することが多いです。
AWS上にADサーバーを構築するとなった際、「最低限どのようなパラメーターを事前に決めておけばよいか?」「既存環境にどのような変更が必要か?」と相談されることが多いので、本BLOGにヒアリング項目の一覧を紹介させていただきます。
前提条件
- EC2でADサーバーを構築した場合になります。AWSの Active Directory マネージドサービス である AWS Managed Microsoft AD の場合とはヒアリング項目は異なります。
- Windows Server 2022 のバージョンを想定しています。
- 「新規ドメイン」「新規ドメイン(既存ドメイン信頼関係あり)」「既存ドメイン」の3パターンとしています。
- サイト構成についてはデフォルトとしておりヒアリングに含めていません。
- OUの作成、ユーザー、グループ、グループポリシーの作成や調整はお客様が行うことを想定しヒアリングに含めていません。
- EC2やVPCといったAWSリソース構築に必要となるヒアリング項目は含めていません。
- サーバー間のFirewallやSecurity Groups等での通信制御がある場合の通過ルール、ACL変更は含めていません。
構成図
一般的に想定される構成図になります。
新規ドメイン
新規ドメイン(既存ドメイン信頼関係あり)
既存ドメイン
ヒアリング項目
パラメーターに関するもの
| パラメーター | 新規ドメイン(※1) | 新規ドメイン(既存ドメイン信頼関係あり)(※2) | 既存ドメイン | 回答サンプル |
|---|---|---|---|---|
| 新規ドメインのドメイン名 | 要 | 要 | 不要 | hogehoge.com |
| 新規ドメインのNetBIOS名 | 要 | 要 | 不要 | HOGEHOGE |
| 既存ドメインのドメイン名 | 不要 | 要 | 要 | gehogeho.com |
| 既存ドメインのNetBIOS名 | 不要 | 要 | 要 | gehogeho.com |
| 新規ADサーバーのコンピュータ名 | 要 | 要 | 要 | hoge-adsv01,hoge-adsv02(台数分) |
| 新規ADサーバーの希望IPアドレス | 要 | 要 | 要 | 10.0.0.1,10.0.0.2(台数分) または 希望無しと回答 |
| 新規ADサーバーのOSバージョン | 要 | 要 | 要 | Windows Server 2022 |
| 新規ADまたは既存ADの構築後ドメイン機能レベル | 要 | 要 | 要(※3) | Windows Server 2016 |
| 新規ADまたは既存ADの構築後フォレスト機能レベル | 要 | 要 | 要(※4) | Windows Server 2016 |
| Administratorユーザーのパスワード | 要 | 要 | 要 | **** (※5)(※6) |
| 新規ADサーバーのディレクトリ復元モードのパスワード | 要 | 要 | 要 | **** (※6) |
| 既存ADサーバーのIPアドレス | 不要 | 要 | 要 | 192.168.0.1,192.168.0.2(台数分) |
| 既存ADサーバーのOSバージョン | 不要 | 不要 | 要 | Windows Server 2012 R2,Windows Server 2016 (存在している全て回答) |
| 既存ドメインのドメイン機能レベル | 不要 | 不要 | 要 | Windows Server 2012 R2 |
| 既存ドメインのフォレスト機能レベル | 不要 | 不要 | 要 | Windows Server 2012 R2 |
| 既存ドメインのファイルレプリケーション方式 | 不要 | 不要 | 要 | FSR または DFSR どちらか回答 |
(※1)新規ドメインは新規フォレストとの同時作成を想定
(※2)既存ドメインとの信頼関係は異なるフォレスト間を想定
(※3)既存ドメインの場合は既存ADサーバーのOSバージョンにより選択可能範囲が決定
(※4)既存ドメインの場合は既存フォレスト機能レベルのバージョンにより選択可能範囲が決定
(※5)既存ドメインの場合は Administratorユーザー以外での弊社エンジニア操作用代替管理者ユーザーのIDパスワードを回答でも可能
(※6)認証情報はコミュニケーションツールやメール本文に直接記入されないよう注意
想定される既存環境の変更箇所
| 変更箇所 | 新規ドメイン(※1) | 新規ドメイン(既存ドメイン信頼関係あり)(※2) | 既存ドメイン |
|---|---|---|---|
| PCやサーバー、ITデバイスのDNSサーバー参照先設定変更 | 対象 | 対象 | 対象の可能性あり |
| 既存EC2やVPCのDNSサーバー参照先設定変更 (※7) | 対象 | 対象 | 対象の可能性あり |
| 弊社エンジニア作業用のIDパスワードの準備 | 対象外 | 対象外(※8) | 対象 |
| 既存ADサーバーのDNSフォワード または 委任の設定 | 対象外 | 対象 | 対象外 |
| 既存ドメインの信頼関係設定 | 対象外 | 対象 | 対象外 |
| 既存ドメインでのFSMO転送作業 | 対象外 | 対象外 | 対象の可能性あり |
| 既存ドメイン・フォレストの機能レベル更新 | 対象外 | 対象外 | 対象の可能性あり |
| ファイルレプリケーション方式の FSR から DFSR への移行 | 対象外 | 対象外 | 対象の可能性あり |
(※7)DHCPオプションセット、または Route53 Resolver の設定を推奨
(※8)既存ドメインの設定変更作業のご支援のために必要となる場合あり
まとめ
いかがでしたでしょうか。思った以上にヒアリング項目が多く大変な印象をもたれたかもしれません。 経験則上、これらをしっかり抑えて合意が取れていれば、設計、構築、お引き渡し&お受入れがスムーズに進む印象があります。ご苦労おかけしますが、お付き合いいただけますと幸いです。
本BLOGの内容が皆様のお役に立てれば幸いです。
