[レポート] WIN303 Microsoft Active Directory Deep Dive #reinvent
はじめに
本記事はAWS re:Invent 2018のセッション「WIN303 Microsoft Active Directory Deep Dive」 のレポートです。
セッション概要
Want to learn about your options for running Microsoft Active Directory on AWS? When you move Microsoft workloads to AWS, it is important to consider how to deploy Microsoft Active Directory in support of group policy management, authentication, and authorization. In this session, we discuss options for deploying Microsoft Active Directory to AWS, including AWS Managed Microsoft AD and deploying Active Directory to Windows on Amazon EC2. We cover such topics as how to integrate your on-premises Microsoft Active Directory environment to the cloud and how to leverage SaaS applications, such as Office 365, with the AWS Single Sign-On service.
スピーカーは以下の方。
- Ron Cully - Principal PM, AWS
レポート
AWS Directory Service for Microsoft Active Directory
フルマネージドのドメインコントローラー。
Amazonとユーザーの役割分担の話、ここは他のマネージドサービスと同じ。
運用はAmazon
- Multi-AZへのデプロイ
- パッチ管理
- モニター
- DCリカバリー
- インスタンスローテーション
- スナップショット機能
管理はユーザー
- ユーザー、グループ、GPOなどの管理
- パスワードポリシーの設定
- ドメインコントローラーの追加(必要なら)
- 信頼関係の構築
- フェデレーションの設定
エディションの違い
2つのエディションがある。
Standard | Enterprise | |
---|---|---|
Storage Capacity | 1GB | 17GB |
Performance Optimized | ~5,000 employees | Over 5,000 employees |
ユースケース
マネージドADのユースケース。
- AWSサービスのユーザーディレクトリとして。
- EC2上のWindows ServerやMSアプリケーション
- 他ドメインとの信頼関係(データセンターにある既存ドメインなど)
- Azure ADとの同期
- 外部WebアプリケーションとSSO
チュートリアル
チュートリアルに沿ったマネージドADの作り方を説明。
- DHCP option setsを設定する
- EC2用のセキュリティグループを作る
- IAMロールをEC2にアタッチ(AmazonEC2RoleForSSMを含める)
- キーペアファイルは無くさないように
- AD管理ツールをEC2上のWindowsマシンにインストール
管理用インスタンス
ADを管理するためのEC2インスタンスを作る。
以下の機能を追加する。
- グループポリシーの管理
- AD DS および AD LDS ツール
- DNS サーバーのツール
以下のツールがインストールされることを確認する。
- Active Directory 管理センター
- Active Directory ドメインと信頼関係
- Windows PowerShell の Active Directory モジュール
- Active Directory サイトとサービス
- Active Directory ユーザーとコンピュータ
- ADSI エディター
- DNS
- グループポリシーの管理
信頼関係
AWS上のドメインが信頼する側、OnPのドメインが信頼される側。
フォレスト単位で信頼することにも出来る、ドメインだけ信頼することにも出来る。
※手ブレしてしまい見づらいかもしれません。ご容赦ください。
ハイブリッド環境でのユースケース。
クロスアカウント
複数のAWSアカウントでディレクトリを共有出来る。
ディレクトリサービス用のVPCを作っておき、ピアリングするアーキテクチャ。
同じAWS OrganizationのAWSアカウントであればハンドシェイクは不要。
AWS Organization外のAWSアカウントの場合はハンドシェイクが必要。(手順が増える)
以上です。
さいごに
ドメインコントローラーのクラウドシフトは簡単ではない課題になることが多いと感じます。
このセッションで紹介されたように、AWS上では別ドメインを新規構築し、
既存ドメインと信頼関係を構築することをまず考えてみてはいかがでしょうか。