この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
おはようございます、加藤です。今日はAWS上にActive Directory(以降、AD)のドメインコントローラー(以降、DC)を追加する時に考慮したいサイトの設計についてご紹介します。
Active Directoryにおけるサイトとは
サイトとはドメインコントローラー間で情報の同期を行う際に高速で通信を行える範囲を明示的に定義したものです。
サイト間通信では同期タイミングがより長く(デフォルトで3時間)、データを圧縮して通信が行われます。
サイトはADDCを利用する際はかならず作成されます。デフォルトではDefault-First-Site-Nameという名前です。
他にサイトを作成していなければ、作成され全てのドメインオブジェクトがここに格納されます。サイトを使っていないと表現は正確にはデフォルトの1つのサイトだけで運用している状態ということになります。
AWSにDCを追加する際にサイトが必要な理由
オンプレミスとAWS上にADが1台ずつあり、オンプレミスのネットワーク内にクライアントがある状況をイメージしてください。
サイトが無い場合はクライアントが認証する際にAD01、02どちらにアクセスするか制御することができません。クライアントからAD02へ通信してしまうと通信に時間がかかってしまいレスポンスが悪い上にDX or VPNの帯域を無駄にしようしていまいます。
サイトを用意してオンプレミスとAWSのサイトを分けてみましょう。クライアントは同一サイト内のAD01にのみ通信するようになり通信に無駄がなくなりました。
やってみた
上図のような疑似環境を構築してみます。ADのインストールまではスキップしてサイトの構築部分を紹介します。
AD
AD01でドメインを新規作成、AD02をドメインコントローラーに追加しました。
各ADの名前解決先は以下の様に設定しました。
| ホスト | DNS1 | DNS2 |
| AD01 | AD01 | AD02 |
| AD02 | AD02 | AD01 |
Client
Clientの名前解決先は以下の様に設定しました。
| ホスト | DNS1 | DNS2 |
| Client | AD02 | AD01 |
サイトの追加
Windows管理ツールからActive Directoryサイトとサービスを起動します。
新しいサイトを作成します。Siteフォルダを右クリックして新しいサイトをクリックします。
実際はAWS上の別VPCですが、Onpremissという名前でサイトを作成します。
選択するリンクは後で変更するので、デフォルトを選んでおきましょう。
Onnpremiss用のサブネットの作成とDCの追加が必要であることが通知されます。
OKをクリックします。
新しいサブネットを作成します。サブネットはクライアントをどのサイトに所属させるかを管理する為のものです。
Subnetフォルダを右クリックして新しいサブネットをクリックする。
オンプレミス側のアドレス範囲を入力し、サイトにOnpremissを選択してOKをクリックする。
AWS側のサイトがデフォルトのままなので、名前を変更します。
デフォルトのサイトを右クリックして名前の変更をクリックし、AWSに名前を変更する。
先ほどOnpremiss側に行った作業と同様にAWS側にもサブネットを作成し割り当てる。
サブネットは10.0.0.0/16としました。
DCは手動でサイトに登録させる必要があります。
AD02を右クリックして移動をクリックし、Onpremissへ移動させます。
最後にSites -> Inter-Site Transports -> IP を右クリックして、新しいサイトリンクをクリックします。
AWS-Onpremissという名前を付けました。右側のこのサイトリンクにあるサイトにAWSとOnpremissのみが含まれるようにして、OKをクリックします。
これでサイトの構築が完了しました!!
補足
コスト
デフォルト: 100
1対のサイトリンクのみの場合は意識する必要がないパラメータです。
- SiteA -(光回線)- SiteB -(ISDN)- SiteC
- SiteA -(光回線)- SiteD -(光回線)- SiteC
上記のような複数サイトリンクがある状況をイメージしてください。SiteAとSiteCはSiteDを経由した方が高速ですね、ADに最適な経路を選択させる為にコストはしようします。
コストは低いほど回線として高速という意味です。
- SiteA -(光回線: 3)- SiteB -(ISDN: 10)- SiteC
- SiteA -(光回線: 3)- SiteD -(光回線: 3)- SiteC
例えばコストをこの様に定義してみましょう。上の経路ではコストが13、下の経路ではコストが6となります。下の経路の方が低コストなのでADは下の経路を使用してくれます。
コストはあくまでも相対的な指標です、光回線だから3などと決まっている訳ではないので組織ないでルールを作成して設定しましょう。
レプリケート間隔
デフォルト: 180分(3時間)
サイトリンク間でレプリケートを行う間隔です、15分〜10,080 分 (1 週間)の範囲で設定が可能です。サイト内ではデフォルトで15秒で同期が行われるので、それと比べるとかなり間隔が長いですね。
回線の帯域と利用形態を考慮して設定しましょう。
以下のものは緊急レプリケートと言われ、重要度の高い変更項目です。これらはレプリケート間隔を待たずに即座にレプリケートが行われます。
- アカウントロックアウトの割り当て
- アカウントロックアウトポリシー
- ドメインパスワードポリシー
- ドメインコントローラアカウントのパスワードの変更
- etc...
あとがき
ADでサイトの構築を実際に行ってみました。AWS上などネットワーク的に距離がある場所にDCを設置する場合はサイト設定を行って無駄にネットワーク負荷をかけないようにしましょう。
0
