【レポート】AWS 上で Microsoft Active Directory を稼働させるためのベストプラクティス #reinvent #WIN301

先日のアップデートである Microsoft AD のマルチリージョンレプリケーションを踏まえた構成も紹介されています。
特集

まさを

2020.12.09

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

みなさま Xin chao !

本記事は、AWS re:Invent 2020 のセッション 「Best practice for running Microsoft Active Directory on AWS」 のレポートです。

なお、本記事では以下の略称を使用しています。

  • AD ・・・ Active Directory 全般を指します
  • Microsoft AD ・・・ AWS のマネージドサービスである Microsoft AD を指します
  • DC ・・・ ドメインコントローラーを指します

 

セッション概要

セッション概要を和訳したものです。

Microsoft のワークロードを AWS に移行する際には、グループポリシー管理、認証、認可をサポートするための Microsoft Active Directory の展開方法を検討することが重要です。 このセッションでは、AWS Managed Microsoft AD の利用や Windows on Amazon EC2 への Active Directory の導入など、AWS への Active Directory 展開の選択肢について詳細に説明します。 また、オンプレミスの Active Directory 環境をクラウドに統合し、AWS Directory Service を活用する方法についても解説します。 最後に、オンプレミスの Active Directory を ID プロバイダとして利用し、AWS SSO を利用して AWS サービスやその他のサードパーティアプリケーションにアクセスするデモも含まれています。

 

re:Invent 2020 の期間中、本セッションのアーカイブが公開されていますので、詳しい内容については、ぜひ以下の URL よりアーカイブをご覧になってください! (以下のリンクは re:Invent 2020 サイトにログイン済みの状態でクリックをお願いします)

Best practices for running Microsoft Active Directory on AWS - re:Invent

 

スピーカー

  • Boris Nisenbaum - Sr. Solutions Architect, Amazon Web Services

 

レポート

以下は、セッションの概要となります。

 

アジェンダ

  • AWS 上で AD を稼働するための選択肢
  • Microsoft AD について
  • 一般的な展開パターン
  • AD の設計
  • Microsoft AD を AWS SSO と統合する操作のデモ (註 : 本記事では割愛します)

 

AWS 上でのAD を稼働するための選択肢

AWS の利用者が AWS 上に AD を展開する目的は、AWS のアプリケーションやサービスとの統合、(AWS 上で稼働する環境に) 低レイテンシーで AD 環境を提供する等の恩恵を受けたいため。

選択肢としては、大きく分けて以下の 2 つ。

  • AD on EC2 (EC2 上に構築したセルフマネージドな AD)
  • Microsoft AD (AWS による AD のマネージドサービス)

 

どちらの選択肢にするか?

  • AD on EC2
    • 既存の AD フォレスト / ドメインを AWS 環境で稼働させたい
    • 完全な Domain Admin / Enterprise Admin 権限が必要
    • 既存のユーザー, グループ, OU, GPO (=グループポリシーオブジェクト) を使いたい
    • オンプレミス環境と AWS 環境で単一の環境にしたい
  • Microsoft AD
    • クラウドでの AD インフラの運用管理を最小限にしたい
    • ユーザー ID 管理権限を維持しつつ、AWS における AD 管理を別のチームに委任したい
    • オンプレミス環境と AWS 環境をすみ分けたい
    • AWS ネイティブの認証が必要

 

Microsoft AD について

Microsoft AD の中身は何か?

  • 実際の Windows Server 2012 R2 ベースの AD が稼働
  • シングルテナント (=既定で他の利用者 / アカウントとは独立した環境) のマネージドサービス
  • 既定で 2 つの DC を単一リージョン内の異なる AZ に展開 (DC の台数を増やすことは可能)
  • OU 内のディレクトリオブジェクトに対する委任された管理権限を提供
  • PowerShell や "Active Directory ユーザーとコンピューター" をはじめとする標準の AD 管理ツールを使って AD を管理することが可能
  • 可用性の確保やパッチ適用、バックアップ取得などは AWS 側が行うマネージドなインフラストラクチャ
  • AWS サービス (AWS SSO, RDS for SQL Server 等) とのシームレスな統合

 

AD の一般的な展開パターン

既存の AD を EC2 上に拡張する

既存の AD を AWS 上に拡張する場合、マルチ AZ 構成で AD on EC2 を構築し、オンプレミス環境とレプリケーションを行う。 マルチリージョンで構築する際は、各リージョンに複数の DC を配置することを推奨。

 

リソースフォレストとして Microsoft AD を展開するパターン

Microsoft AD を新規で構築し、オンプレミス環境の AD と一方向または双方向の信頼関係を結ぶ。 マルチリージョンで構成する場合、別の Microsoft AD を構築しオンプレミス環境の AD と信頼関係を結ぶ、あるいは、最近の Microsoft AD のアップデートで利用可能になったマルチリージョンサポートを有効にする。

 

AD の設計

AD とともに使用される AWS のサービスについても考慮したうえで、AD 設計をより深く考えてみる。

AD on EC2 による単一リージョン展開

AD on EC2 をシングルリージョンで構築する場合の構成図がこちら。 AD 用 AWS アカウントに構築した AD on EC2 を、Transit Gateway や VPC Peering を介して接続された他の AWS アカウントの VPC から利用する。 EC2 インスタンス作成時にシームレスに AD に参加させたい場合は、AD Connector を用意する。 AD Connector を用意しなくても、手動での AD 参加は可能。

 

AD on EC2 によるマルチリージョン展開

AD on EC2 による単一リージョン設計を拡張して、マルチリージョンに展開することも可能。 複数の DC をリージョンごとに用意したうえで、最適な AD サイト設計などが必要。

 

Microsoft AD による単一リージョン展開

AD 用 AWS アカウントに構築した Microsoft AD は、他の VPC や、他の AWS アカウントと共有することで、EC2 インスタンス作成時のシームレスな AD 参加が可能。 シームレスな AD 参加のために AD Connector は不要だが、AD 用 VPC と他の VPC 間で、Transit Gateway や VPC Peering 等によるネットワーク接続が必要。 オンプレミス環境の AD とのシングルサインオンを実現するためには、オンプレミス環境の AD と Microsoft AD との間で、一方向または双方向の信頼関係が必要。

 

Microsoft AD によるマルチリージョン展開 (新機能!)

Microsoft AD のマルチリージョン展開サポートにより、別の AD として構築する必要がない。 Microsoft AD をマルチリージョンに展開するのに必要なネットワーク接続構成は AWS 側で行うため、利用者側で構築する必要はない。

 

RDS および FSx と Microsoft AD の統合

AD 用 AWS アカウントに Microsoft AD を構築し、他の AWS アカウントの VPC と共有する。 RDS for SQL Server の Windows 認証のために 共有された Microsoft AD を使用する。 FSx for Windows File Server は Microsoft AD に参加させることが可能。

 

RDS および FSx と AD on EC2 の統合

AD 用の AWS アカウントに AD on EC2 を構築し、他のアカウントの VPC とネットワーク接続する。 AD on EC2 の場合、FSx for Windows File Server は AD に参加することが可能だが、RDS for SQL Server は Windows 認証が不可能。

 

AWS SSO に統合されたアプリケーションと Microsoft AD

オンプレミス環境の AD (=通常 ユーザー ID が登録されている) と信頼関係が結ばれた Microsoft AD を用意し、AWS SSO は Microsoft AD をアイデンティティソースとして利用する。 AWS SSO においては、オンプレミス環境の AD または Microsoft AD のセキュリティプリンシパルに対し、AWS アプリケーションに限らず Salesforce や Office 365 などのサードパーティサービスを含む特定のアカウントや特定のサービスに、どのようなアクセス許可を与えるかを指定することが可能。

 

Microsoft AD を AWS SSO と統合する操作のデモ

(実際のデモは、re:Invent 2020 のサイトに公開されているセッション動画でご確認ください!)

Best practices for running Microsoft Active Directory on AWS - re:Invent

 

まとめと主なポイント

  • AWS 上で AD を稼働するための柔軟な選択肢
  • スケーラブルなマルチリージョン展開
  • 堅牢な Microsoft AD の提供
  • Microsoft AD と AWS サービスとの緊密な統合
  • AWS SSO との統合

 

おわりに

以上、re:Invent 2020「WIN301 Best practice for running Microsoft Active Directory on AWS」のセッション概要でした。

セッションの中でも触れられていましたが、先日のアップデートにより Microsoft AD がマルチリージョン対応になったのは大きいと思います。 弊社ブログでも紹介されておりますので、いま一度、アップデートの内容をご確認いただければと思います。

 

個人的には、本セッションのスピーカーの方の声をどこかで聞いたことがあるなーと思ったら、re:Invent 2019 で参加したチョークトークのスピーカーの方だったということが分かり、親近感を覚えつつ、懐かしい感じがしました。

 

AWS re:Invent 2020 は現在絶賛開催中です!

参加がまだの方は、この機会に是非こちらのリンクからレジストレーションして豊富なコンテンツを楽しみましょう!

AWS re:Invent | Amazon Web Services

また、クラスメソッドではポータルサイトで最新情報を発信中です。 こちらもぜひチェックしてみてください!

AWS

関連記事

AD上で表示されるWorkSpacesのコンピューター名を任意の名前に変更してよいか教えてください

Lei.Yang

2024.02.14

不要なDirectory Serviceを削除する際に「Cannot delete the directory because it still has authorized applications」とのエラーが出て削除が出来ません、対処方法を教えてください

Lei.Yang

2024.02.13

Simple AD から Microsoft Managed AD へ移行する際に、一時的に同一サイト名を使用することは可能か教えてください

片方 裕人

2023.10.14

RDS for SQL ServerでKerberos認証を使う条件について

Takuya Shibata

2023.07.29