Active Directory on AWS #jawsdays – JAWS DAYS 2014 参加レポート Vol.11

レポート

くどうです。

さて、Jaws Days 2014に参加したレポートになります。

参加したセッションの情報は以下です。

Active Directory on AWS

吉松 龍輝（よしまつ りゅうき）

エンタープライズで多く採用されている認証基盤、Active Directory に関するセッションです。Active Directory を AWS 上で展開する際の考慮事項、Tips などをご紹介します。Active Directory on AWS の公開情報は意外に少ないですので、この機会にぜひご聴講ください。

 

こんな話しでした。

• ドメインコントローラー（DC)配置のデザインパターン
  • AWSとオンプレとのハイブリット運用の場合
    • FSMOの配置はどちらでもOK
    • AZでの冗長化が基本
  • AWSだけでの運用の場合
    • FSMOの配置はやはりAZで冗長化が基本
    • ただしリストアに気をつける
• ドメイン構造
  • AWS専用のドメインっているのか
    • クラウドに配置するからといって必要性はない
  • ドメインの分割の判断基準
    • セキュリティ、組織、地域だど
• サイトの設計
  • レイテンシーと複製にかかるコストに気をつける
  • 複製のトポロジー
  • サイト間複製の間隔は180分で大丈夫か
  • グローバルカタログの配置の検討
    • Exchangeなどは必ずGCを配置
• DNSの設計
  • 参照先DNSの推奨設定
  • 優先DNSは自分自身で代替DNSは他DC
    • 障害時に名前が解決できる状態にする
  • DCのフォワーダーにAWSのDNSを設定する
  • DHCP Options Setの利用について
  • ドメインの時刻同期
    • メンバサーバー・クライアント→DC→DC（PDCエミュレータ）→外部のNTPサーバー
    • Kerberos認証に問題発生するかもしれない
• バックアップ
  • VSSに対応したバックアップツールを使う
    • Windows Server バックアップ
    • Wbadmin.exe
    • Tombstone Lifetimeに気をつける（Windows2012は180日）
• EC2のスナップショットの利用
  • バックアップデータが保全されているボリュームまるごとバックアップでデータ保全
  • DCのシステム全体のスナップショットには気をつける
• リストア
  • DCのシステム全体のスナップショットをリストアに使用しない
  • http://technet.microsoft.com/ja-jp/library/dd363545(v=ws.10).aspx
    • USNルールバックアップ発生のメカニズム
  • ディレクトリサービス復元モード（DSRM）の利用
    • Authoritative Restore
    • Non-Authoritative Restore
    • http://technet.microsoft.com/ja-jp/library/cc753359(v=ws.10).aspx
  • AWSではDSRMでブートできない
    • Active Directory ゴミ箱の利用
    • Windows2012（GUI）、2008（Powershell）
  • 致命的な障害発生時
    • DSRMを使用しないフルリストア
  • シナリオ
    • AWS上のDCのバックアップデータを用意
    • バックアップデータから自社環境で仮DCを構築
    • ntdsutil metadata cleanup　で存在しないDCを削除
    • AWS上にDCを新規構築し、仮DCから復旧
    • FSMOを移行
    • 仮DCを降格してAWS上にDCを移動
• AWSとActive Directoryの認証連携
• IAMとADの連携
  • ADFS
  • S3でのデモ

今回のセッションではADの話しを聞きたかったので参加しました。
AD on AWSを聞く貴重な機会でした。
AWSでADを扱う資料がまだすくなく、大変勉強になりました。

資料つくりますって公開するそうです。期待しています！

以上、あまりレポートじゃないレポートでした。