Simple AD のベストプラクティス - AWS Directory Service
セットアップ: 前提条件セットアップ: ディレクトリを作成するアプリケーションをプログラミングする

Simple AD のベストプラクティス

Simple ADを最大限に活用し、問題を避けるために考慮すべき提案とガイドラインをいくつか紹介します。

セットアップ: 前提条件

ディレクトリを作成する前に、これらのガイドラインを考慮してください。

ディレクトリタイプが正しいことを確認する

Directory Service は、他の AWS サービスで Microsoft Active Directory を使用する複数の方法を提供します。予算に合わせたコストで必要な機能を備えた、ディレクトリサービスを次のように選択できます。

  • AWS Directory Service for Microsoft Active Directory は、AWS クラウドでホストされる機能豊富なマネージド型の Microsoft Active Directory です。AWSManaged Microsoft AD が最適な選択となるのは、ユーザーが 5,000 人を超えていて、AWS でホストされるディレクトリとオンプレミスのディレクトリとの信頼関係を設定する必要がある場合です。

  • AD Connector は、単に、既存のオンプレミスの Active Directory を AWS に接続します。AD Connector は、AWS のサービスで既存のオンプレミスのディレクトリを使用する場合に最適な選択です。

  • Simple AD は、基本的な Active Directory 互換性を持つ低スケール、低コストのディレクトリです。5,000 人以下のユーザー、Samba 4 互換アプリケーション、LDAP 対応アプリケーションの LDAP 互換性をサポートします。

Directory Service オプションの詳細な比較については、「オプションの選択」を参照してください。

VPC とインスタンスが正しく設定されていることを確認する

ディレクトリに接続して、管理および使用するためには、ディレクトリが関連付けられている VPC を適切に設定する必要があります。VPC セキュリティおよびネットワーク要件の詳細については、「AWS Managed Microsoft AD を作成するための前提条件」、「AD Connector の前提条件」、「Simple AD の前提条件」のいずれかを参照してください。

ドメインにインスタンスを追加する場合は、「Amazon EC2 インスタンスを AWS Managed Microsoft AD に結合する方法」に説明されているように、インスタンスへの接続およびリモートアクセスがあることを確認します。

制限を理解する

特定のディレクトリタイプのさまざまな制限について説明します。ディレクトリに保存できるオブジェクトの数については、使用可能なストレージとオブジェクトの集約サイズのみに制限があります。選択したディレクトリに関する詳細については、「AWS Managed Microsoft AD のクォータ」、「AD Connector クォータ」、「Simple AD のクォータ」のいずれかを参照してください。

ディレクトリの AWS セキュリティグループの設定と使用について

AWS では、セキュリティグループを作成し、それをディレクトリのドメインコントローラーである Elastic Network Interface にアタッチします。また AWS では、ディレクトリに不要なトラフィックをブロックし、必要なトラフィックを許可するようにセキュリティグループを設定します。

ディレクトリのセキュリティグループを変更する

ディレクトリのセキュリティグループは変更できますが、セキュリティグループのフィルタリングを完全に理解している場合にのみ変更できます。詳細については「Amazon EC2 ユーザーガイド」の「EC2 インスタンスの Amazon EC2 セキュリティグループ」を参照してください。不適切な変更により、目的のコンピュータやインスタンスとの通信が中断される可能性があります。AWS では、セキュリティが低下するため、ディレクトリに追加のポートを開くことを推奨しています。変更を行う前に、AWS責任共有モデルを確認してください。

警告

技術的には、ディレクトリのセキュリティグループを、ユーザー作成した他の EC2 インスタンスと関連付けることができます。ただし、AWS ではこのプラクティスを推奨していません。AWS は、管理対象ディレクトリの機能上またはセキュリティ上のニーズに対処するために、予告なしにセキュリティグループを変更する場合があります。このような変更は、ディレクトリのセキュリティグループを関連付けるすべてのインスタンスに影響を及ぼすため、関連付けられたインスタンスのオペレーションが中断する場合があります。さらに、ディレクトリのセキュリティグループを EC2 インスタンスに関連付けると、EC2 インスタンスのセキュリティリスクが生じる可能性があります。

信頼が必要な場合における AWS Managed Microsoft AD の使用

Simple AD では信頼関係はサポートされていません。Directory Service ディレクトリと別のディレクトリの間に信頼を確立する必要がある場合は、AWS Directory Service for Microsoft Active Directory を使用する必要があります。

セットアップ: ディレクトリを作成する

ディレクトリを作成する際に考慮するべき推奨事項をいくつか示します。

管理者 ID とパスワードを記憶する

ディレクトリを設定するときに、管理者アカウントのパスワードを指定します。Simple AD のアカウント ID は Administrator です。このアカウント用に作成したパスワードを忘れないでください。そうでないと、ディレクトリにオブジェクトを追加できません。

AWS アプリケーションのユーザーネームの制限を理解する

Directory Service は、ユーザーネームの作成に使用するほとんどの文字形式をサポートしています。ただし、AWS アプリケーション (例: WorkSpaces、WorkDocs、Amazon WorkMail、Quick Suite) へのサインインに使用されるユーザーネームには、文字制限が適用されます。これらの制限により、以下の文字は使用できません。

  • スペース

  • マルチバイト文字

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

注記

@ 記号は、UPN サフィックスが後に続く場合に限り、使用できます。

アプリケーションをプログラミングする

アプリケーションをプログラミングする前に、以下の点を考慮してください。

Windows DC Locator Service を使用する

アプリケーションを開発する時は、Windows DC Locator Service を使用するか、AWS Managed Microsoft AD の Dynamic DNS (DDNS) サービスを使用して、ドメインコントローラー (DC) を検索します。アプリケーションを DC のアドレスでハードコーディングしないでください。DC Locator Service では、ディレクトリの負荷を分散できるだけでなく、デプロイにドメインコントローラーを追加することにより水平スケーリングを活用できます。アプリケーションを固定 DC にバインドした場合、その DC がパッチ適用または復旧を行うと、アプリケーションは残りのいずれかの DC を使用することなく、DC へのアクセスを失います。さらに、DC をハードコーディングすると、1 つの DC にホットスポットが発生する可能性があります。極端な場合、ホットスポットが原因で DC が応答しなくなる可能性があります。また、このような場合、AWS のディレクトリオートメーション機能によりディレクトリに障害発生フラグが付けられ、応答しない DC を置き換える復旧プロセスがトリガーされる可能性があります。

本番稼働用環境にロールアウトする前の負荷テスト

本番稼働用環境のワークロードを表すオブジェクトとリクエストを使用してラボテストを行い、ディレクトリがアプリケーションの負荷に合わせてスケーリングされることを確認します。追加のキャパシティーが必要な場合は、Microsoft Active Directory 用に Directory Service を使用する必要があります。これにより、ドメインコントローラーを追加して、パフォーマンスを高めることができます。詳細については、「AWS Managed Microsoft AD に追加するドメインコントローラーのデプロイ」を参照してください。

効率的な LDAP クエリを使用する

何千個ものオブジェクトにまたがるドメインコントローラーの広範な LDAP クエリにより、単一の DC で大量の CPU サイクルが消費され、ホットスポットが発生することがあります。これは、クエリ中に同じ DC を共有するアプリケーションに影響を与える可能性があります。