Go to Qiita Advent Calendar 2024 Top
LoginSignup
2
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@taiyang-ks(太 陽)

AWSで Active Directoryの構築(オンプレミス⇔AWS)

Posted at

AWSで Active Directory を利用

AWSでActive Directoryを利用する際に構築可能な3つのパターンが存在している。

Active Directory Server
on EC2		 AWS Directory Service
Simple AD		 AWS Directory Service
Managed Microsoft AD
ケース オンプレミスWindows Server での運用とあまり変えたくない方 小規模なディレクトリやAWS 内で完結する方 高い可用性と耐久性が必要なActive Directory を新たに構築したい方
運用・保守 自身で設計 AWS側で管理
Samba4 ベース		 AWS側で管理
Windows Server 2019 ベース
セキュリティ 自身で設計 CloudTrailを利用して監査ログの取得
自動アップデート		 CloudTrailを利用して監査ログの取得
自動アップデート
バックアップ 自身で設計 AWS側で設計
スナップショットを利用		 AWS側で設計
スナップショットを利用
ユースケース ・Active Directory 最新版の機能を使う
・ハイブリッド構成かつシングルドメイン		 ・小規模なユーザ管理、高度なグループポリシーを使用しない
・AWS 内で完結		 ・高い可用性と耐久性が必要
・オンプレとは信頼関係を維持

① Active Directory サーバー on EC2

オンプレミスWindows ServerをAmazon EC2で立てる為、ほとんど変えることなく使うことが出来る。

メリット

・Windows Server の標準機能が利用可能
・操作手順はオンプレミスとほとんど同じ

デメリット

・OS 以上のレイヤは運用保守の検討が必要 (Windows Update など)
・冗長化も可能。(EC2 を複数台立てた上で冗長化設計が必要)
・高額な料金になる場合がある

image.png

② AWS Directory Service (Simple AD)

小規模なディレクトリやAWS 内で完結する場合

Simple AD
    Samba 4 Active Directory Compatible Server を使用するスタンドアロンのマネージドディレクトリです
        ・スモール – 最大 500 ユーザー (ユーザー、グループ、コンピュータを含めて約 2,000 オブジェクト) をサポートします。
        ・ラージ – 最大 5,000 ユーザー (ユーザー、グループ、コンピュータを含めて約 20,000 オブジェクト) をサポートします。

メリット

・手軽に可用性や対障害性を向上させることができる
・従量課金で利用可能

デメリット

・AWS 外のコンポーネントの管理ができない
・既存ドメインとの信頼関係の設定不可
・ユーザ管理用に別途 EC2 インスタンスが必要

image.png

③AWS Directory Service (Managed Microsoft AD)

高い可用性と耐久性が必要なActive Directory を新たに構築する際に

Managed Microsoft AD
    ・Windows Server 2019 を使用
    ・Standard:最大 30,000* のディレクトリオブジェクト (ユーザー、グループ、コンピュータなど) をサポート、Enterprise:最大 500,000* のディレクトリオブジェクトを有する企業組織をサポート

メリット

・手軽に可用性や対障害性を向上させることができ、大規模な運用が可能
・既存の Microsoft AD 認証情報を使用して AWS リソースにアクセスすることで、よりスムーズなユーザーエクスペリエンスを提供できます

デメリット

・シングルフォレスト・シングルドメイン構成が必須
・WindowsのAdministrator 権限は利用不可。別途AdminがAWSから付与される
・Simple ADと比較すると料金やや高

③-1 AWSのドメインと、オンプレミスのドメインを2つ作り、信頼関係の構築の場合

・2つのドメインを作成することで、信頼関係を構築するというような形を取ることが出来る。
・- 拠点のコンピューターの管理はオンプレミスのActive Directoryで行う
・- AWSに移行したサーバーの管理はAWSのクラウドの方での管理を行う

image.png

③-2 ドメインを変えなく場合、EC2で構築する方法

Active DirectoryにManaged Microsoft ADを使わずにActive Directoryサーバーon EC2を使用する。この際、冗長化のため2台作成する。3台(オンプレミス1台、AWS2台)で1つのドメインとして構築。どちらかの拠点が使えなくなってしまった場合でも相互にリレーションとなり保管が可能となる。

image.png

2
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?