AWSで Active Directory を利用
AWSでActive Directoryを利用する際に構築可能な3つのパターンが存在している。
| Active Directory Server on EC2 |
AWS Directory Service Simple AD |
AWS Directory Service Managed Microsoft AD |
|
|---|---|---|---|
| ケース | オンプレミスWindows Server での運用とあまり変えたくない方 | 小規模なディレクトリやAWS 内で完結する方 | 高い可用性と耐久性が必要なActive Directory を新たに構築したい方 |
| 運用・保守 | 自身で設計 | AWS側で管理 Samba4 ベース |
AWS側で管理 Windows Server 2019 ベース |
| セキュリティ | 自身で設計 | CloudTrailを利用して監査ログの取得 自動アップデート |
CloudTrailを利用して監査ログの取得 自動アップデート |
| バックアップ | 自身で設計 | AWS側で設計 スナップショットを利用 |
AWS側で設計 スナップショットを利用 |
| ユースケース | ・Active Directory 最新版の機能を使う ・ハイブリッド構成かつシングルドメイン |
・小規模なユーザ管理、高度なグループポリシーを使用しない ・AWS 内で完結 |
・高い可用性と耐久性が必要 ・オンプレとは信頼関係を維持 |
① Active Directory サーバー on EC2
オンプレミスWindows ServerをAmazon EC2で立てる為、ほとんど変えることなく使うことが出来る。
メリット
・Windows Server の標準機能が利用可能
・操作手順はオンプレミスとほとんど同じ
デメリット
・OS 以上のレイヤは運用保守の検討が必要 (Windows Update など)
・冗長化も可能。(EC2 を複数台立てた上で冗長化設計が必要)
・高額な料金になる場合がある
② AWS Directory Service (Simple AD)
小規模なディレクトリやAWS 内で完結する場合
Simple AD
Samba 4 Active Directory Compatible Server を使用するスタンドアロンのマネージドディレクトリです
・スモール – 最大 500 ユーザー (ユーザー、グループ、コンピュータを含めて約 2,000 オブジェクト) をサポートします。
・ラージ – 最大 5,000 ユーザー (ユーザー、グループ、コンピュータを含めて約 20,000 オブジェクト) をサポートします。
メリット
・手軽に可用性や対障害性を向上させることができる
・従量課金で利用可能
デメリット
・AWS 外のコンポーネントの管理ができない
・既存ドメインとの信頼関係の設定不可
・ユーザ管理用に別途 EC2 インスタンスが必要
③AWS Directory Service (Managed Microsoft AD)
高い可用性と耐久性が必要なActive Directory を新たに構築する際に
Managed Microsoft AD
・Windows Server 2019 を使用
・Standard:最大 30,000* のディレクトリオブジェクト (ユーザー、グループ、コンピュータなど) をサポート、Enterprise:最大 500,000* のディレクトリオブジェクトを有する企業組織をサポート
メリット
・手軽に可用性や対障害性を向上させることができ、大規模な運用が可能
・既存の Microsoft AD 認証情報を使用して AWS リソースにアクセスすることで、よりスムーズなユーザーエクスペリエンスを提供できます
デメリット
・シングルフォレスト・シングルドメイン構成が必須
・WindowsのAdministrator 権限は利用不可。別途AdminがAWSから付与される
・Simple ADと比較すると料金やや高
③-1 AWSのドメインと、オンプレミスのドメインを2つ作り、信頼関係の構築の場合
・2つのドメインを作成することで、信頼関係を構築するというような形を取ることが出来る。
・- 拠点のコンピューターの管理はオンプレミスのActive Directoryで行う
・- AWSに移行したサーバーの管理はAWSのクラウドの方での管理を行う
③-2 ドメインを変えなく場合、EC2で構築する方法
Active DirectoryにManaged Microsoft ADを使わずにActive Directoryサーバーon EC2を使用する。この際、冗長化のため2台作成する。3台(オンプレミス1台、AWS2台)で1つのドメインとして構築。どちらかの拠点が使えなくなってしまった場合でも相互にリレーションとなり保管が可能となる。
