【レポート】WIN302 – Deep Dive on Active Directory – From One to Many AWS Regions #reinvent #win302

2017.11.29

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

日本にいます。西澤です。

AWS re:Invent 2017の気分を少しでも体感しようと、セッション「Deep Dive on Active Directory – From One to Many AWS Regions」を日本からレポートします。

このセッションの概要

  • Active Directory Domain Services (AD DS) on EC2
  • クラウドにおけるAD DSの重要性
  • AWSへのAD DSデプロイにおける考慮事項
  • AD DSの複数リージョンへのデプロイ

AD DSとは何か?

  • ADの機能
    • Domainサービス -> このセッションではこちらを話題にする
    • Federationサービス
    • Certificateサービス
    • Rights Mangementサービス
    • Lightweight Directoryサービス
  • AD DSとは?
    • 電話帳のようなもの
  • AD DSがなぜ重要なのか?
    • ユーザ、サーバ、クライアント、ネットワークデバイス、アプリケーション等を管理する
  • なぜAWSでAD DSが必要なのか?
    • エンタープライズのAWSへの移行が加速している
    • クラウドがデファクトに
    • エンタープライズ環境ではMSアプリケーションが欠かせない
    • アプリケーションから低いレーテンシーで利用できる
  • エコシステム
    • 多数のConsulting & Tecnologyパートナー
  • AWSへのデプロイシナリオ
    • グローバル企業のデプロイ
    • 災害対策(DR)目的のデプロイ
    • エンタープライズアプリケーションのデプロイ
    • オンプレミスとのハイブリッド環境でのデプロイ

AD DSのデプロイにおける考慮事項

  • 基本設計
    • パッチ、監視、バックアップ、可用性はユーザ責任
    • 2つ以上のAZにDCを配置しHA構成に
    • AZをデータセンターと捉えて考える
  • セキュリティ
    • ADとしてのベストプラクティスはAWS上でも有用
    • DCへのアクセスを制御
    • DCはインターネットにさらさず、プライベートサブネットに配置
    • NACLとSecurityGroupで必要なポート以外はオープンにしない
  • ネットワーク
    • レプリケーショントポロジー
    • ハイブリッド構成、DirectConnect/VPN等
    • VPCピアリングの活用
  • IPアドレス、DNS
    • プライベートIP
    • DCを配置するサブネット
    • DNSサーバ設定
    • DHCP options set
  • マルチリージョンDCに関する考慮事項
    • 各リージョンで複数AZにDCを配置する
    • 複数リージョンをオンプレDC経由で通信させる構成を推奨
    • IPSec VPN tunnelやtransit VPC構成も
  • AD DS設定に関する考慮事項
    • 信頼関係なしで分離したforestをデプロイ、リージョン間の通信はADレプリケーション
    • Federation用に新しいforestをデプロイ
    • Kerberos認証用に新しいforestをデプロイ
    • レプリカや子ドメインを利用して、corp forestを拡張
  • グローバルカタログ
    • シングルドメインforestなら全てのDCにGCを使う
    • マルチドメインforestなら帯域制限、インフラストラクチャ操作マスタのロールに注意
  • DCのインストール
  • ADのバックアップとリカバリー
    • スナップショットとは使わない
      • 一貫性が保証されない
      • VM IDはEC2ではサポートされない
    • Windows System State backupsを使う
    • バックアップ先には専用のEBSボリュームを用意する
      • 過去分はS3,Glacierも利用
  • Office365連携で必要な要素
    • AD on EC2
    • AD FS
    • AD Sync
    • AD service account
    • Microsoft Azure AD Connect

AWSへのAD DSデプロイオプション

  • Single Region/Single VPC
    • 最もシンプル
    • 新規か、既存の拡張か
    • オンプレ環境との接続性
    • MultiAZ
    • AZ別にSiteを分けるとレーテンシーが少ない
    • NACL、SecurityGroup設定

  • Single Region/Multiple VPCs
    • サービス基盤用のVPCとインフラ基盤のVPCを分ける
    • VPC Peeringを利用
    • 全てのVPCにDCを用意するかどうかを検討
    • インフラ基盤を集約したVPCにのみDCを用意する構成ではSiteは1つにする

  • Multiple Regions/Single VPC
    • Regionは離れているので、Region別にDCは必須
    • オンプレとの接続構成が重要
    • Direct Connect Gatewayを活用

  • Global Reference Architecture
    • Direct Connectでオンプレから接続可能なVPCがどれかを意識する

Multi Region ADのデモ

下記構成について実際の環境をAWS Management ConsoleやAD設定を参照しながら、細かい具体的な設定の説明がありました。

まとめ

AD on EC2を検討している方が好著しなければいけない要素がギュッと凝縮されていますので、ぜひ動画をご覧いただければと思います。

どこかの誰かのお役に立てば嬉しいです。