Active Directory on AWS #jawsdays – JAWS DAYS 2014 参加レポート Vol.11

レポート

くどうです。

さて、Jaws Days 2014に参加したレポートになります。

参加したセッションの情報は以下です。

Active Directory on AWS

吉松 龍輝(よしまつ りゅうき)

エンタープライズで多く採用されている認証基盤、Active Directory に関するセッションです。Active Directory を AWS 上で展開する際の考慮事項、Tips などをご紹介します。Active Directory on AWS の公開情報は意外に少ないですので、この機会にぜひご聴講ください。

こんな話しでした。

  • ドメインコントローラー(DC)配置のデザインパターン
    • AWSとオンプレとのハイブリット運用の場合
      • FSMOの配置はどちらでもOK
      • AZでの冗長化が基本
    • AWSだけでの運用の場合
      • FSMOの配置はやはりAZで冗長化が基本
      • ただしリストアに気をつける
  • ドメイン構造
    • AWS専用のドメインっているのか
      • クラウドに配置するからといって必要性はない
    • ドメインの分割の判断基準
      • セキュリティ、組織、地域だど
  • サイトの設計
    • レイテンシーと複製にかかるコストに気をつける
    • 複製のトポロジー
    • サイト間複製の間隔は180分で大丈夫か
    • グローバルカタログの配置の検討
      • Exchangeなどは必ずGCを配置
  • DNSの設計
    • 参照先DNSの推奨設定
    • 優先DNSは自分自身で代替DNSは他DC
      • 障害時に名前が解決できる状態にする
    • DCのフォワーダーにAWSのDNSを設定する
    • DHCP Options Setの利用について
    • ドメインの時刻同期
      • メンバサーバー・クライアント→DC→DC(PDCエミュレータ)→外部のNTPサーバー
      • Kerberos認証に問題発生するかもしれない
  • バックアップ
    • VSSに対応したバックアップツールを使う
      • Windows Server バックアップ
      • Wbadmin.exe
      • Tombstone Lifetimeに気をつける(Windows2012は180日)
  • EC2のスナップショットの利用
    • バックアップデータが保全されているボリュームまるごとバックアップでデータ保全
    • DCのシステム全体のスナップショットには気をつける
  • リストア
    • DCのシステム全体のスナップショットをリストアに使用しない
    • http://technet.microsoft.com/ja-jp/library/dd363545(v=ws.10).aspx
      • USNルールバックアップ発生のメカニズム
    • ディレクトリサービス復元モード(DSRM)の利用
    • AWSではDSRMでブートできない
      • Active Directory ゴミ箱の利用
      • Windows2012(GUI)、2008(Powershell)
    • 致命的な障害発生時
      • DSRMを使用しないフルリストア
    • シナリオ
      • AWS上のDCのバックアップデータを用意
      • バックアップデータから自社環境で仮DCを構築
      • ntdsutil metadata cleanup で存在しないDCを削除
      • AWS上にDCを新規構築し、仮DCから復旧
      • FSMOを移行
      • 仮DCを降格してAWS上にDCを移動
  • AWSとActive Directoryの認証連携
  • IAMとADの連携
      • ADFS
      • S3でのデモ

今回のセッションではADの話しを聞きたかったので参加しました。
AD on AWSを聞く貴重な機会でした。
AWSでADを扱う資料がまだすくなく、大変勉強になりました。

資料つくりますって公開するそうです。期待しています!

以上、あまりレポートじゃないレポートでした。