翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Simple AD のベストプラクティス
<a name="simple_ad_best_practices"></a>

Simple ADを最大限に活用し、問題を避けるために考慮すべき提案とガイドラインをいくつか紹介します。

## セットアップ: 前提条件
<a name="simple_ad_best_practices_prereq"></a>

ディレクトリを作成する前に、これらのガイドラインを考慮してください。

### ディレクトリタイプが正しいことを確認する
<a name="choose_right_type"></a>

Directory Service には、他の AWS のサービスMicrosoft Active Directoryで使用する複数の方法があります。予算に合わせたコストで必要な機能を備えた、ディレクトリサービスを次のように選択できます。
+ **AWS Directory Service for Microsoft Active Directory** は、 AWS クラウド上でMicrosoft Active Directoryホストされる機能豊富なマネージド型です。 AWS マネージド Microsoft AD は、5,000 人を超えるユーザーがあり、ホストディレクトリとオンプレミスディレクトリの間に AWS 信頼関係を設定する必要がある場合に最適です。
+ **AD Connector** は、既存のオンプレミス Active Directory を接続するだけです AWS。AD Connector は、 AWS のサービスで既存のオンプレミスのディレクトリを使用する場合に最適な選択です。
+ **Simple AD** は、基本的な Active Directory 互換性を持つ低スケール、低コストのディレクトリです。5,000 人以下のユーザー、Samba 4 互換アプリケーション、LDAP 対応アプリケーションの LDAP 互換性をサポートします。

 Directory Service オプションの詳細については、「」を参照してください[オプションの選択](what_is.md#choosing_an_option)。

### VPC とインスタンスが正しく設定されていることを確認する
<a name="vpc_config"></a>

ディレクトリに接続して、管理および使用するためには、ディレクトリが関連付けられている VPC を適切に設定する必要があります。VPC セキュリティおよびネットワーク要件の詳細については、「[AWS Managed Microsoft AD を作成するための前提条件](ms_ad_getting_started.md#ms_ad_getting_started_prereqs)」、「[AD Connector の前提条件](ad_connector_getting_started.md#prereq_connector)」、「[Simple AD の前提条件](simple_ad_getting_started.md#prereq_simple)」のいずれかを参照してください。

ドメインにインスタンスを追加する場合は、「[Amazon EC2 インスタンスを AWS Managed Microsoft AD に結合する方法](ms_ad_join_instance.md)」に説明されているように、インスタンスへの接続およびリモートアクセスがあることを確認します。

### 制限を理解する
<a name="aware_of_limits"></a>

特定のディレクトリタイプのさまざまな制限について説明します。ディレクトリに保存できるオブジェクトの数については、使用可能なストレージとオブジェクトの集約サイズのみに制限があります。選択したディレクトリに関する詳細については、「[AWS Managed Microsoft AD クォータ](ms_ad_limits.md)」、「[AD Connector クォータ](ad_connector_limits.md)」、「[Simple AD のクォータ](simple_ad_limits.md)」のいずれかを参照してください。

### ディレクトリ AWS のセキュリティグループの設定と使用を理解する
<a name="simple_ad_understandsecgroup"></a>

AWS は[セキュリティグループ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule)を作成し、ディレクトリのドメインコントローラーの [Elastic Network Interface](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) にアタッチします。 は、ディレクトリへの不要なトラフィックをブロックし、必要なトラフィックを許可するようにセキュリティグループ AWS を設定します。

#### ディレクトリのセキュリティグループを変更する
<a name="simple_ad_modifyingsecgroup"></a>

ディレクトリのセキュリティグループは変更できますが、セキュリティグループのフィルタリングを完全に理解している場合にのみ行ってください。詳細については「*Amazon EC2 ユーザーガイド*」の「[EC2 インスタンスの Amazon EC2 セキュリティグループ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)」を参照してください。不適切な変更により、意図したコンピュータやインスタンスとの通信が中断される可能性があります。 は、セキュリティが低下するため、ディレクトリに追加のポートを開くことを AWS 推奨しません。変更を行う前に、[AWS 責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)を確認してください。

**警告**  
技術的には、ディレクトリのセキュリティグループを、ユーザー作成した他の EC2 インスタンスと関連付けることができます。ただし、 はこのプラクティスに反対 AWS することをお勧めします。 AWS には、マネージドディレクトリの機能またはセキュリティのニーズに対応するために、予告なしにセキュリティグループを変更する理由がある場合があります。このような変更は、ディレクトリのセキュリティグループを関連付けるすべてのインスタンスに影響を及ぼすため、関連付けられたインスタンスのオペレーションが中断する場合があります。さらに、ディレクトリのセキュリティグループを EC2 インスタンスに関連付けると、EC2 インスタンスのセキュリティリスクが生じる可能性があります。

### 信頼が必要な場合は AWS Managed Microsoft AD を使用する
<a name="use_mad_for_trusts"></a>

Simple AD では信頼関係はサポートされていません。 Directory Service ディレクトリと別のディレクトリの間に信頼を確立する必要がある場合は、 AWS Directory Service for Microsoft Active Directory を使用する必要があります。

## セットアップ: ディレクトリを作成する
<a name="simple_ad_best_practices_create"></a>

ディレクトリを作成する際に考慮するべき推奨事項をいくつか示します。

### 管理者 ID とパスワードを記憶する
<a name="simple_ad_remember_pw"></a>

ディレクトリを設定するときに、管理者アカウントのパスワードを指定します。Simple AD のアカウント ID は *Administrator* です。このアカウント用に作成したパスワードを忘れないでください。そうでないと、ディレクトリにオブジェクトを追加できません。

### AWS アプリケーションのユーザー名制限を理解する
<a name="simple_ad_usernamerestrictions"></a>

Directory Service では、ユーザー名の構築に使用できるほとんどの文字形式がサポートされています。ただし、WorkSpaces、WorkDocs、Amazon WorkMail、Quick などの AWS アプリケーションへのサインインに使用されるユーザー名には文字制限が適用されます。これらの制限により、以下の文字は使用できません。
+ スペース
+ マルチバイト文字
+ \!"\#$%&'()\*\+,/:;<=>?@[\\]^`{\|}\~

**注記**  
@ 記号は、UPN サフィックスが後に続く場合に限り、使用できます。

## アプリケーションをプログラミングする
<a name="simple_ad_program_apps"></a>

アプリケーションをプログラミングする前に、以下の点を考慮してください。

### Windows DC Locator Service を使用する
<a name="simple_ad_program_dc_locator"></a>

アプリケーションを開発するときは、Windows DC ロケーターサービスを使用するか、 AWS Managed Microsoft AD の動的 DNS (DDNS) サービスを使用してドメインコントローラー (DCs。アプリケーションを DC のアドレスでハードコーディングしないでください。DC Locator Service では、ディレクトリの負荷を分散できるだけでなく、デプロイにドメインコントローラーを追加することにより水平スケーリングを活用できます。アプリケーションを固定 DC にバインドした場合、その DC がパッチ適用または復旧を行うと、アプリケーションは残りのいずれかの DC を使用することなく、DC へのアクセスを失います。さらに、DC をハードコーディングすると、1 つの DC にホットスポットが発生する可能性があります。極端な場合、ホットスポットが原因で DC が応答しなくなる可能性があります。このような場合、 AWS ディレクトリの自動化によってディレクトリに障害があるとフラグが立てられ、応答しない DC を置き換える復旧プロセスがトリガーされる可能性があります。

### 本番稼働用環境にロールアウトする前の負荷テスト
<a name="simple_ad_program_load_test"></a>

本番稼働用環境のワークロードを表すオブジェクトとリクエストを使用してラボテストを行い、ディレクトリがアプリケーションの負荷に合わせてスケーリングされることを確認します。追加の容量が必要な場合は、 for Directory Service Microsoft Active Directory を使用する必要があります。これにより、ドメインコントローラーを追加して高いパフォーマンスを実現できます。詳細については、「[AWS Managed Microsoft AD 用の追加のドメインコントローラーのデプロイ](ms_ad_deploy_additional_dcs.md)」を参照してください。

### 効率的な LDAP クエリを使用する
<a name="simple_ad_program_ldap_query"></a>

何千個ものオブジェクトにまたがるドメインコントローラーの広範な LDAP クエリにより、単一の DC で大量の CPU サイクルが消費され、ホットスポットが発生することがあります。これは、クエリ中に同じ DC を共有するアプリケーションに影響を与える可能性があります。