AWS での Active Directoryドメインサービス

クイックスタートリファレンスデプロイガイド

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

AWS での Active Directory ドメインサービス: クイックスタートリファレンスデプロイガイドCopyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

Table of Contentsホーム ............................................................................................................................................... 1

クイックスタートについて ........................................................................................................... 2概要 .................................................................................................................................................. 3

AWS での AD DS ....................................................................................................................... 3コストとライセンス .................................................................................................................... 3AWS サービス ........................................................................................................................... 3

デプロイのシナリオとアーキテクチャ .................................................................................................... 5シナリオ 1: 独自の AD DS を管理する .......................................................................................... 5シナリオ 2: オンプレミス AD DS を拡張する ................................................................................. 7シナリオ 3: AD DS を AWS Directory Service と共にデプロイする .................................................... 9

設計上の考慮事項 .............................................................................................................................. 11VPC 設定 ................................................................................................................................ 11セキュリティグループのイングレストラフィック ........................................................................... 12セキュアな管理アクセスの設定 ................................................................................................... 12AD の設計 ............................................................................................................................... 13

サイトトポロジ ................................................................................................................. 13高可用性のディレクトリドメインサービス ............................................................................ 14読み取り専用および書き込み可能なドメインコントローラー ................................................... 15Active Directory DNS と DHCP ........................................................................................... 15Windows Server インスタンスでの DNS 設定 ....................................................................... 16

デプロイ手順 .................................................................................................................................... 18ステップ 1. アカウントを準備する .............................................................................................. 18ステップ 2. クイックスタートを起動する ..................................................................................... 21ステップ 3. シナリオ 2 のデプロイ後のタスク .............................................................................. 31

オンプレミスネットワークを VPC に接続する ...................................................................... 32追加ドメインコントローラのデプロイ .................................................................................. 34AD サイトとサービスを設定する ......................................................................................... 36DNS 解決を設定する ......................................................................................................... 16

トラブルシューティング .................................................................................................................... 37セキュリティ .................................................................................................................................... 39その他のリソース .............................................................................................................................. 41フィードバック ................................................................................................................................. 42ドキュメントの改訂 .......................................................................................................................... 43

.............................................................................................................................................. 44

iii

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

AWS クラウドでの Active Directoryドメインサービス: クイックスタートリファレンスデプロイ

デプロイガイド

Santiago Cardenas

AWS クイックスタートリファレンスチーム、ソリューションアーキテクト

2014 年 3 月  (最終更新日 (p. 43): 2017 年 7 月)

このクイックスタートリファレンスデプロイガイドは、高可用性の Active Directory ドメインサービス (ADDS) をアマゾン ウェブ サービス (AWS) クラウドにデプロイするためのアーキテクチャ上の考慮事項と設定手順を含みます。また、デプロイを自動化する AWS CloudFormation テンプレートを表示および起動するリンクを提供します。

このガイドは、AWS クラウドで AD DS を起動するソリューションや、オンプレミス AD DS を AWS クラウドに拡張するソリューションを設計およびデプロイする、IT インフラストラクチャアーキテクトと管理者を対象としています。

以下のリンクは参考情報です。クイックスタートを起動する前に、アーキテクチャ、設定、ネットワークセキュリティなどの、このガイドで説明されている考慮事項を確認してください。

• AWS アカウントがあり、AD DS と AWS にすでに精通している場合は、AWS 上の新しい VPC に ADDS の新しいインストールをデプロイするクイックスタートを起動できます。デプロイには約 1 時間かかります。(既存のオンプレミス AD DS を AWS クラウドに拡張したり、AD DS と AWS DirectoryService をデプロイしたり、AD DS を既存の VPC インフラストラクチャにデプロイしたりするには、「デプロイ手順 (p. 18)」セクションを参照)

 

 • このテンプレートの内容を見る場合は、テンプレートを表示して、新しい AD DS のデプロイを自動化す

る AWS CloudFormation スクリプトを確認できます。テンプレートは、起動中にカスタマイズしたり、他のプロジェクト用にダウンロードして拡張したりできます。

 

1

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

クイックスタートについて

Note

クイックスタートリファレンスデプロイを実行する際は、AWS サービスの利用料金を負担する必要があります。クイックスタートを使用しても追加コストは発生しません。コストの見積もりについては、このクイックスタートで使用する各 AWS サービスの料金表ページを参照してください。

クイックスタートについてクイックスタートは、AWS クラウドでの主要なワークロード用の自動化リファレンスデプロイです。各クイックスタートでは、セキュリティと可用性に関する AWS ベストプラクティスに沿って、AWS で特定のワークロードをデプロイするために必要な AWS のコンピューティング、ネットワーク、ストレージ、その他のサービスを起動、設定、実行します。

2

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

AWS での AD DS

概要AWS での AD DS

アマゾン ウェブ サービス (AWS) は、信頼性とセキュリティに優れたクラウドインフラストラクチャ上に Microsoft Windows をベースとしたワークロードをデプロイするための、包括的なサービスおよびツールのセットを提供します。Active Directory ドメインサービス (AD DS) とドメインネームサーバー (DNS)は、Microsoft SharePoint、Microsoft Exchange、.NET アプリケーションを含む、エンタープライズクラスのさまざまな Microsoft ベースのソリューションの基盤となる、主要な Windows サービスです。

このクイックスタートは、AWS クラウドでワークロードを実行していて、AD DS および DNS サービスへのセキュアで低レイテンシーの接続を必要とする組織を対象としています。このガイドを読むことで、ITインフラストラクチャ担当者は、AWS クラウドで AD DS を起動したり、オンプレミスの AD DS を AWSクラウドへ拡張したりするためのソリューションを設計およびデプロイする方法をよく理解できます。

このクイックスタートは、Active Directory と DNS にすでに精通していることを前提としています。詳細については、Microsoft の製品ドキュメントを参照してください。

このガイドでは、AWS クラウドへの AD DS、ドメインコントローラーインスタンス、DNS サービスのデプロイを計画し、実行する場合に慎重に検討する必要がある、インフラストラクチャの設定に関するトピックを取り上げています。ここでは、一般的な Windows Server のインストールタスクやソフトウェア設定タスクについては取り上げません。ソフトウェアの設定とベストプラクティスに関する一般的な情報については、Microsoft 製品のドキュメントを参照してください。

コストとライセンスこのクイックスタートリファレンスデプロイの実行中に使用した AWS サービスのコストは、お客様が負担します。クイックスタートを使用しても追加コストは発生しません。コストの見積もりについては、このクイックスタートで使用する各 AWS サービスの料金表ページを参照してください。

このクイックスタートは、Microsoft Windows Server 2012 R2 用の Amazon マシンイメージ (AMI) を起動し、Windows Server オペレーティングシステムのライセンスを含みます。AMI はオペレーティングシステムの最新のサービスパックで定期的に更新されるため、アップグレードをインストールする必要はありません。Windows Server AMI には、クライアントアクセスライセンス (CAL) が必要なく、2 つの MicrosoftRemote Desktop Services ライセンスが含まれます。詳細については、「AWS での Microsoft ライセンス」を参照してください。

AWS のサービスこのクイックスタートで使用される AWS の主要コンポーネントには、次の AWS サービスが含まれます(AWS を初めて使用する場合は、AWS ドキュメントの「開始方法」セクションを参照)。

• Amazon VPC - Amazon Virtual Private Cloud (Amazon VPC) サービスは、AWS クラウドの隔離されたプライベートな部分をプロビジョンし、定義した仮想ネットワークで AWS サービスや他のリソースを起動できるようにします。独自の IP アドレス範囲の選択、サブネットの作成、ルートテーブル、ネットワークゲートウェイの設定など、仮想ネットワーク環境全体をお客様がコントロールできます。

• Amazon EC2 – Amazon Elastic Compute Cloud (Amazon EC2) サービスは、様々なオペレーティングシステムで仮想マシンインスタンスを起動できるようにします。既存の Amazon マシンイメージ (AMI) から選択することも、独自の仮想マシンイメージをインポートすることもできます。

3

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

AWS サービス

• NAT ゲートウェイ - NAT ゲートウェイはネットワークアドレス変換 (NAT) デバイスであり、プライベートサブネット内のインスタンスへのアウトバウンドインターネットアクセスを許可しますが、インターネットからのこれらのインスタンスへのアクセスは禁止します。NAT ゲートウェイは、NAT インスタンスよりも優れた可用性と帯域幅を実現します。NAT ゲートウェイサービスは、お客様に代わってNAT ゲートウェイの管理を担当するマネージドサービスです。

• AWS Direct Connect - AWS Direct Connect サービスを使用すると、AWS とオンプレミスデータセンターとの間でプライベート接続を確立できます。この接続を使用すると、仮想インターフェイスを作成して、複数の VPC へのプライベート接続を確立することで、お客様のネットワークパス内のインターネットサービスプロバイダーをバイパスできるようになります。

• AWS Directory Service - AWS Directory Service を使用すると、AWS クラウドで新しいディレクトリを簡単に設定して操作できます。このクイックスタートは、Microsoft Active Directory (Enterprise Edition)用の AWS Directory Service をサポートしているため、Microsoft Active Directory が提供するほとんどの機能と AWS アプリケーションとが統合されます。

4

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

シナリオ 1: 独自の AD DS を管理する

デプロイのシナリオとアーキテクチャ

このクイックスタートには、3 つのデプロイシナリオをサポートするための個別の AWS CloudFormationテンプレートが用意されています。各シナリオでは、新しい VPC を作成するか、既存の VPC インフラストラクチャを使用するかを選択できます。ニーズに最も適したシナリオを選択してください。

• シナリオ 1: AWS クラウドに独自の AD DS インストールをデプロイして管理する。このシナリオのAWS CloudFormation テンプレートは、AWS クラウドインフラストラクチャを構築し、AWS クラウドに AD DS と AD 統合 DNS をセットアップして設定します。AWS Directory Service は含まれないため、AD DS のすべてのメンテナンスおよびモニタリングタスクはお客様が担当します。クイックスタートを既存の VPC インフラストラクチャにデプロイすることもできます。

• シナリオ 2: オンプレミス AD DS を AWS クラウドに拡張する。このシナリオの AWS CloudFormationテンプレートは自動的に、AD DS 用の基本 AWS クラウドインフラストラクチャを構築します。お客様は手動で、既存のネットワークを AWS に拡張し、ドメインコントローラーを昇格させる手順を実行します。シナリオ 1 と同様に、AD DS のすべてのタスクはお客様が担当します。クイックスタートを既存の VPC インフラストラクチャにデプロイすることもできます。

• シナリオ 3: AD DS を AWS Directory Service と共に AWS クラウドにデプロイする。このシナリオのAWS CloudFormation テンプレートは、基本 AWS クラウドインフラストラクチャを構築します。その後、マネージド AD DS 機能を提供する Microsoft AD 用の AWS Directory Service を AWS クラウドにデプロイします。高可用性のディレクトリトポロジの構築、ドメインコントローラーのモニタリング、バックアップとスナップショットの構成などの AD DS のタスクは、AWS Directory Service によって実行されます。最初の 2 つのシナリオと同様に、クイックスタートを既存の VPC インフラストラクチャにデプロイすることを選択できます。

以下のセクションでは、各シナリオのクイックスタートアーキテクチャについて説明し、クイックスタートテンプレートによる自動化について説明します。

シナリオ 1: 独自の AD DS を AWS にデプロイして管理する

このシナリオは、AWS Directory Service を使用せずに AWS クラウドに AD DS を新たにインストールすることに基づきます。このデプロイを自動化する AWS CloudFormation テンプレートは、以下のタスクを実行して、図 1 に示しているアーキテクチャをセットアップします。

• 2 つのアベイラビリティーゾーンにプライベートおよびパブリックサブネットを含む VPC をセットアップする。*

• パブリックサブネット内に 2 つの NAT ゲートウェイを設定する。*• プライベートおよびパブリックルートを設定する。*• リモートデスクトップゲートウェイへの管理アクセス用に VPC へのイングレストラフィックを有効にす

る。*• Windows Server 2012 R2 Amazon マシンイメージ (AMI) を起動し、AD DS と AD 統合 DNS をセット

アップして設定する。• インスタンス間のトラフィックに対してセキュリティグループとルールを設定する。• Active Directory サイトとサブネットをセットアップして設定する。

5

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

シナリオ 1: 独自の AD DS を管理する

* クイックスタートを既存の VPC にデプロイするテンプレートは、アスタリスクでマークされたタスクをスキップします。

6

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイドシナリオ 2: オンプレミス AD DS を拡張する

図 1: AWS での高可用性 AD DS のためのクイックスタートアーキテクチャ

このアーキテクチャでは、以下のようになります。

• ドメインコントローラーを異なるアベイラビリティーゾーンの 2 つのプライベート VPC サブネットにデプロイし、AD DS の可用性を高めます。

• NAT ゲートウェイをパブリックサブネットにデプロイし、プライベートサブネットでインスタンス用にアウトバウンドのインターネットアクセスを許可します。

• リモートデスクトップゲートウェイを Auto Scaling グループ内のパブリックサブネットにデプロイし、プライベートサブネット内のインスタンスへのセキュアなリモートアクセスを許可します。

Windows Server 2012 R2 が、リモートデスクトップゲートウェイおよびドメインコントローラーインスタンスに使用されます。AWS CloudFormation テンプレートは各インスタンスをブートストラップし、必要なコンポーネントをデプロイします。また、設定を確定して新しい AD フォレストを作成し、2 つのアベイラビリティーゾーンでインスタンスを Active Directory ドメインコントローラーに昇格させます。

このスタックをデプロイするには、「デプロイ手順 (p. 18)」セクションの手順に従ってください。このスタックのデプロイ後に、AD DS に依存するサーバーを VPC にデプロイすることができます。新しいインスタンスの DNS 設定は、VPC に関連付けられている最新の DHCP オプションセットを使用して準備されます。新しいインスタンスを、このデプロイの一部として作成されたドメインメンバーセキュリティグループに関連付ける必要もあります。

シナリオ 2: オンプレミス AD DS インストールをAWS クラウドに拡張する

このシナリオは、AD DS の新しいデプロイを選択しない場合に、AD DS の既存のインストールを使用し、オンプレミスネットワークを VPC に拡張するユーザー向けです。このデプロイを自動化する AWSCloudFormation テンプレートは、以下のタスクを実行します。

• 2 つのアベイラビリティーゾーンにプライベートおよびパブリックサブネットを含む Amazon VPC をセットアップする。*

• パブリックサブネット内に 2 つの NAT ゲートウェイを設定する。*• プライベートおよびパブリックルートを設定する。*• リモートデスクトップゲートウェイへの管理アクセス用に VPC へのイングレストラフィックを有効にす

る。*• Windows Server 2012 R2 AMI を起動する。• インスタンス間のトラフィックに対してセキュリティグループとルールを設定する。

* クイックスタートを既存の VPC にデプロイするテンプレートは、アスタリスクでマークされたタスクをスキップします。

AWS CloudFormation テンプレートは、図 2 に示しているアーキテクチャをデプロイします。ただし、仮想プライベートゲートウェイと VPN 接続は除きます。これらは手動で作成できます。

7

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイドシナリオ 2: オンプレミス AD DS を拡張する

図 2: オンプレミス AD DS を AWS に拡張するためのクイックスタートアーキテクチャ

このシナリオでは、VPC と仮想プライベートゲートウェイを使用して、IPsec VPN トンネルを介して独自のネットワークと通信できるようにする例を示しています。Active Directory はお客様のデータセンター

8

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

シナリオ 3: AD DS を AWS DirectoryService と共にデプロイする

にデプロイされ、Windows Server は 2 つの VPC サブネットにデプロイされます。VPN 接続のデプロイ後、Windows インスタンスをオンプレミス Active Directory フォレストのドメインコントローラーに昇格させることで、AWS クラウドでの AWS クラウドでの AD DS の可用性を高めることができます。

VPN 接続をデプロイし、サーバーをドメインコントローラーに昇格させたら、ウェブ、アプリケーション、またはデータベース層の空の VPC サブネット内に追加のインスタンスを起動できます。これらのインスタンスは、セキュアで低レイテンシーのディレクトリサービスと DNS のためにクラウドベースのドメインコントローラーにアクセスできます。AD DS の通信、認証リクエスト、および Active Directory レプリケーションを含むすべてのネットワークトラフィックは、プライベートサブネット内または VPN トンネル間でセキュリティ保護されます。

シナリオ 3: AD DS を AWS Directory Service と共に AWS クラウドにデプロイする

このシナリオは、AWS クラウドで AD DS をプロビジョンして管理するための AWS Directory Service が含まれている点を除いて、シナリオ 1 と同様です。AD DS を自分ですべて管理する代わりに、高可用性のディレクトリトポロジの構築、ドメインコントローラーのモニタリング、バックアップとスナップショットの設定などのタスクに AWS Directory Service を使用できます。

AWS Directory Service は、複数のアベイラビリティーゾーンにまたがって AD DS をデプロイし、障害の発生したドメインコントローラーを自動的に検出して置き換えます。AWS Directory Service はまた、パッチの管理、ソフトウェアの更新、データのレプリケーション、スナップショットのバックアップ、レプリケーションのモニタリング、ポイントインタイム復元など、時間のかかるタスクも実行します。AWSDirectory Service の詳細については、「製品の詳細」と AWS ドキュメントを参照してください。

このデプロイを自動化する AWS CloudFormation テンプレートは、以下のタスクを実行します。

• 2 つのアベイラビリティーゾーンにプライベートおよびパブリックサブネットを含む VPC をセットアップする。*

• パブリックサブネット内に 2 つの NAT ゲートウェイを設定する。*• プライベートおよびパブリックルートを設定する。*• リモートデスクトップゲートウェイへの管理アクセス用に Amazon VPC へのイングレストラフィックを

有効にする。*• インスタンス間のトラフィックに対してセキュリティグループとルールを設定する。• プライベートサブネットに AD DS をプロビジョンして管理するように AWS Directory Service を設定す

る。

* クイックスタートを既存の VPC にデプロイするテンプレートは、アスタリスクでマークされたタスクをスキップします。

図 3 に示しているのは、このシナリオのアーキテクチャです。

9

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

シナリオ 3: AD DS を AWS DirectoryService と共にデプロイする

図 3: AD DS を AWS Directory Service と共にデプロイするためのクイックスタートアーキテクチャ

10

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

VPC 設定

設計上の考慮事項十分に機能する AD DS を AWS クラウドにデプロイするには、特定の AWS サービスについてよく理解しておく必要があります。このセクションでは、新しい AD DS デプロイと、既存の AD DC デプロイのAWS クラウドへの拡張の両方に関する、重要な考慮事項について説明します。また、Amazon VPC を使用してクラウド内のネットワークを定義する方法、ドメインコントローラーの配置、Active Directory サイトとサービスの設定、Amazon VPC での DNS と DHCP のしくみについて説明します。

VPC 設定Amazon VPC では、従来のオンプレミスのネットワークに非常によく似た仮想ネットワークトポロジを定義できます。VPC は複数のアベイラビリティーゾーンにまたがることができるため、独立したインフラストラクチャを物理的に離れた場所に配置できます。マルチ AZ 配置により、高可用性と耐障害性が実現されます。このガイドのシナリオでは、2 つのアベイラビリティーゾーンにドメインコントローラーを配置することで、AWS クラウドの AD DS サービスに対する、可用性が高くレイテンシーの低いアクセスが可能になっています。

各シナリオは、2 つのテンプレートによって自動化されます。1 つは、デプロイ用に新しい VPC を構築するテンプレート、もう 1 つは、既存の VPC にデプロイするテンプレートです。AWS クラウドでの高可用性 AD DS に対応するために、クイックスタートは以下の AWS ベストプラクティスに従って、基本的なAmazon VPC 構成を構築します (既存の VPC 用のテンプレートの場合は、この構成を求めます)。

• ドメインコントローラーは高可用性実現のために最低 2 つのアベイラビリティーゾーンに配置する。• ドメインコントローラーとその他のインターネットに接続されていないサーバーはプライベートサブ

ネットに配置する。• このガイドに付属のデプロイテンプレートによって起動されるインスタンスは、インターネット接続を

使用してブートストラッププロセス中に AWS CloudFormation エンドポイントに接続される。この設定をサポートするために、アウトバウンドインターネットアクセス用にパブリックサブネットで NAT ゲートウェイがホストされるようにします。これらのパブリックサブネットには、リモート管理用にリモートデスクトップゲートウェイもデプロイします。そのほか必要に応じて、リバースプロキシサーバーなどのコンポーネントも、これらのパブリックサブネットに配置できます。

この VPC アーキテクチャでは、2 つのアベイラビリティーゾーンが使用され、それぞれに固有のパブリックサブネットとプライベートサブネットがあります。お客様の環境の将来的な拡大に対応できるように、また、VPC サブネットの設計の複雑さを軽減するために、未割り当てのアドレス空間を十分に残しておくことをお勧めします。このクイックスタートでは、プライベートサブネットとパブリックサブネットの使用数を最低限に抑えることで大量のアドレス空間を提供する、デフォルトの VPC 設定を使用します。このクイックスタートでは、デフォルトで以下の CIDR 範囲を使用します。

VPC 10.0.0.0/16

プライベートサブネット A 10.0.0.0/17

  アベイラビリティーゾーン1         

10.0.0.0/19         

  アベイラビリティーゾーン 2 10.0.32.0/19

パブリックサブネット 10.0.128.0/18

  アベイラビリティーゾーン 1 10.0.128.0/20

  アベイラビリティーゾーン 2 10.0.144.0/20

11

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

セキュリティグループのイングレストラフィック

さらに、クイックスタートは、追加のサブネットのための予備のキャパシティーを提供して、時間の経過とともに拡張または変化する環境をサポートします。インターネットからは完全に分離すべき機密ワークロードがある場合には、これらのオプションのアドレス空間を使用して新しい VPC サブネットを作成することができます。このアプローチの背景情報と詳細については、「Amazon VPC を使用したモジュラー式のスケーラブルな仮想ネットワークアーキテクチャの構築」を参照してください。

セキュリティグループのイングレストラフィックAmazon EC2 インスタンスは、起動時に、ステートフルなファイアウォールとして機能するセキュリティグループと関連付ける必要があります。セキュリティグループに出入りするネットワークトラフィックを完全に制御でき、プロトコル、ポート番号、ソース/ターゲット IP アドレスまたはその他のセキュリティグループに限定したきめ細かなルールを構築できます。デフォルトでは、セキュリティグループからのすべてのエグレストラフィックが許可されます。ただし、イングレストラフィックは、インスタンスに到達するために適切なトラフィックを許可するように設定される必要があります。

『アマゾン ウェブ サービスでの Microsoft プラットフォームのセキュリティ保護』ホワイトペーパーでは、AWS インフラストラクチャをセキュリティで保護するためのさまざまな方法について説明しています。推奨事項には、セキュリティグループを使用してアプリケーション層間を隔離することが含まれます。入力トラフィックを厳しく制御し、Amazon EC2 インスタンスの攻撃領域を低減することが推奨されます。

独自の AD DS インストールをデプロイして管理する場合は、ドメインコントローラーとメンバーサーバーに、AD DS レプリケーション、ユーザー認証、Windows Time サービス、分散ファイルシステム (DFS) などのサービスのトラフィックを許可する、いくつかのセキュリティグループルールが必要です。これらのルールを、VPC 内で使用される特定の IP サブネットに制限することも検討する必要があります。

このガイドでは、後ほど、各シナリオの AWS CloudFormation テンプレートの一部として、各アプリケーション層にこれらのルールを実装する方法の例を示します。AWS CloudFormation テンプレートで使用されるポートマッピングの詳細なリストについては、このガイドの「セキュリティ (p. 39)」を参照してください。

ポートの完全なリストについては、Microsoft TechNet Library の「Active Directory および Active Directoryドメインサービスのポート要件」を参照してください。ルールの実装手順については、『Amazon EC2ユーザーガイド』の「セキュリティグループへのルールの追加」を参照してください。

リモートデスクトップゲートウェイを使用した安全な管理アクセス権の設定

高可用性 AD DS のアーキテクチャを設計する場合、可用性が高くかつセキュアなリモートアクセスも設計する必要があります。そのために、クイックスタートテンプレートは各アベイラビリティーゾーンにRemote Desktop (RD) Gateway をデプロイします。このアーキテクチャは、アベイラビリティーゾーンの停止時に、他のアベイラビリティーゾーンにフェイルオーバーした可能性のあるリソースにアクセスできるようにします。

RD ゲートウェイでは、HTTPS 経由で Remote Desktop Protocol (RDP) を使用して、インターネットのリモート管理者と Windows ベースの Amazon EC2 インスタンス間のセキュアな暗号化接続が確立されます。この際、仮想プライベートネットワーク (VPN) 接続は必要ありません。この設定により、管理者向けのリモート管理ソリューションを提供すると同時に、Windows ベースの Amazon EC2 インスタンスに対する攻撃対象領域を減らすことができます。

このクイックスタートに付属の AWS CloudFormation テンプレートは、「リモートデスクトップゲートウェイクイックスタート」で概説しているアーキテクチャと設定を自動的にデプロイします。

12

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

AD の設計

このガイドのデプロイ手順に従って AD インフラストラクチャを起動すると、最初に標準的な RDP TCPポート 3389 接続を使用してインスタンスに接続されます。その後、「リモートデスクトップゲートウェイクイックスタート」の手順に従って HTTPS での接続を保護できます。

Active Directory の設計独自の AD DS インフラストラクチャ (シナリオ 1 (p. 5) またはシナリオ 2 (p. 7)) を管理している場合は、以下のセクションで重要な設計上の考慮事項を確認してください。

サイトトポロジActive Directory のサイトトポロジにより、物理ネットワークや仮想ネットワークを論理的に定義することができます。Active Directory レプリケーションでは、ディレクトリの変更が 1 つのドメインコントローラーから別のドメインコントローラーへと送信され、最終的にはすべてのドメインコントローラーが更新されます。サイトトポロジは、同じサイト内のドメインコントローラーや、サイトの境界を超えたドメインコントローラーの間で Active Directory レプリケーションを制御します。サイト間のレプリケーショントラフィックは圧縮され、レプリケーションはサイトリンクに基づくスケジュールに従って実行されます。さらに、ドメインコントローラーはサイトトポロジを使用して、クライアントアフィニティを提供します。つまり、特定のサイト内に配置されたクライアントは、同じサイト内のドメインコントローラーを優先します。

AWS クラウドで AD DS を実行する場合、サイトトポロジは重大な設計上の考慮事項となります。優れた設計のサイトトポロジでは、VPC 内でアベイラビリティーゾーンとの関連付けが可能なサブネットを定義できます。この関連付けにより、ディレクトリサービスクエリ、AD DS レプリケーション、クライアント認証などのトラフィックが、ドメインコントローラーへの最も効率的なパスを使用するようになります。また、関連付けによって、レプリケーショントラフィックをきめ細かく制御できるようになります。

図 4 に示しているのは、VPC 内で動作する一般的な AD DS アーキテクチャの、サイトおよびサブネット定義の例です。Active Directory サイトとサービスのスナップインでは、Active Directory サイト (AZ1 とAZ2) が作成されています。サブネットが定義され、各サイトオブジェクトに関連付けられています。

13

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド高可用性のディレクトリドメインサービス

図 4: Active Directory サイトとサービスの設定

VPC 内で各アベイラビリティーゾーンを表す Active Directory サイトを作成することで、これらのサイトにサブネットを関連付けて、ドメイン参加済みインスタンスがそれらに最も近いドメインコントローラーを主に使用するように設定可能になります。これは、高可用性 AD DS のデプロイを維持するうえでも重要な設計上の設定となります。

高可用性のディレクトリドメインサービス非常に小規模な AD DS デプロイであっても、AWS クラウド環境には最低 2 つのドメインコントローラーを実装することをお勧めします。この設計によって耐障害性が高まり、1 つのドメインコントローラーに障害が発生しても、AD DS の可用性が損なわれることがありません。高可用性を実現するために、ドメインコントローラーは少なくとも 2 つのアベイラビリティーゾーンに実装することをお勧めします。

アーキテクチャの可用性をさらに高め、災害の影響を軽減するのに役立つように、各アベイラビリティーゾーンにグローバルカタログサーバーと Active Directory DNS サーバーを配置することもお勧めします。グローバルカタログは、フォレスト全体を検索するしくみとなり、複数のドメインで構成されるフォレストでのログオン認証に必要です。各アベイラビリティーゾーンにグローバルカタログおよび DNS サーバーがない場合、AD DS クエリと認証トラフィックはアベイラビリティーゾーンをまたがる可能性があります。通常のオペレーションではこれは技術的な問題にはなりませんが、1 つのアベイラビリティーゾーンに障害が発生すると、AD DS サービス全体の可用性が損なわれる可能性があります。

これらの推奨事項を実現するために、各ドメインコントローラーをグローバルカタログおよび DNS サーバーにすることをお勧めします。この構成により、各アベイラビリティーゾーンの AD DS は独立して動作するようになり、災害によって障害が発生した場合でも AD DS の可用性が損なわれることはありません。このアーキテクチャの 1 つのアベイラビリティーゾーンがリージョンの他のリソースから切り離され

14

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

読み取り専用および書き込み可能なドメインコントローラー

たとしても、そのアベイラビリティーゾーンのインスタンスには、ユーザーを認証したり、ディレクトリのルックアップを実行したり、DNS クエリを解決したりすることができるローカルドメインコントローラーがあります。

小規模な環境の要件を満たすために、単一のアベイラビリティーゾーンが好ましい場合もあります。単一アベイラビリティーゾーンの AD DS 設計はお勧めしませんが、このアーキテクチャが採用されることも認識しています。この場合は、冗長性を持たせるために、アベイラビリティーゾーンには少なくとも 2 つのドメインコントローラーをデプロイすることをお勧めします。

シナリオ 1 (p. 5) 用に付属している AWS CloudFormation テンプレートは、高可用性 AD DS アーキテクチャをサポートする Active Directory サイトとサービスの設定を自動的に構築します。AD DS を手動でデプロイする予定の場合は、AD DS トラフィックが最適なパスを使用するように、サブネットを適切なサイトへマップしてください。

サイトの作成、グローバルカタログサーバーの追加、サイトリンクの作成と管理の詳細については、Microsoft のドキュメント「Active Directory サイトとサービス」を参照してください。

読み取り専用および書き込み可能なドメインコントローラー読み取り専用ドメインコントローラー (RODC) は、AD DS データベースのコピーを保管し、認証リクエストに応答しますが、アプリケーションやその他のサーバーが書き込みを行うことはできません。RODC は通常、物理的なセキュリティが保証できない場所にデプロイされます。たとえば、オンプレミスのシナリオでは、鍵の掛かった安全な収納庫やサーバールームで物理サーバーを保護できない離れた支社に RODCをデプロイすることがあります。

書き込み可能なドメインコントローラーは、マルチマスターモデルで運用します。変更はフォレスト内の書き込み可能なサーバーで行うことができ、行われた変更はフォレスト全体のサーバーにレプリケートされます。いくつかの主要な機能および Microsoft のエンタープライズアプリケーションには、書き込み可能なドメインコントローラーへの接続が必要です。

エンタープライズアプリケーションサーバーを AWS クラウドにデプロイする予定の場合は、RODC が望ましい選択肢となるとは限りません。たとえば、RODC はエンドユーザーのパスワードのリセットを処理することができません。また、Microsoft Exchange Server は RODC を使用してディレクトリのルックアップを実行することができません。RODC を検討する前に、アプリケーションの要件、AD DS における依存関係、および互換性を十分に把握するようにしてください。

VPC 内の Active Directory DNS と DHCPVPC では、デフォルトで、インスタンスに Dynamic Host Configuration Protocol (DHCP) サービスが提供されます。DHCP 範囲を管理する必要はありません。ソリューションのデプロイ時に定義する VPC サブネットに作成されます。これらの DHCP サービスを無効にすることはできないため、独自の DHCP サーバーをデプロイせずに、DHCP サービスを使用する必要があります。

VPC は内部 DNS サーバーも提供しています。この DNS は、インターネットアクセスの基本的な名前解決サービスをインスタンスに提供し、クイックスタートを起動するときのブートストラッププロセス中に、AWS CloudFormation や Amazon Simple Storage Service (Amazon S3) などの AWS サービスエンドポイントにアクセスするために不可欠です。

Amazon が提供する DNS サーバーの設定は、DHCP オプションセットに基づいて VPC で起動されたインスタンスに割り当てられます。DHCP オプションセットは、ドメイン名などの範囲オプションや、DHCPを介してインスタンスに渡す必要のあるネームサーバーを定義するために、Amazon VPC 内で使用されます。Amazon が提供する DNS は、パブリック DNS 解決にのみ使用されます。

Amazon が提供する DNS は Active Directory への名前解決サービスの提供には使用できないため、ドメイン参加済み Windows インスタンスが Active Directory DNS を使用するように設定されていることを確認する必要があります。

15

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイドWindows Server インスタンスでの DNS 設定

Active Directory DNS サーバー設定を Windows インスタンスに静的に割り当てるための代替手段として、カスタム DHCP オプションセットを使用してそれらの設定を指定することもできます。これにより、DHCP を介して、Active Directory DNS サフィックスおよび DNS server IP アドレスを VPC 内のネームサーバーとして割り当てることができます。

Note

domain-name-servers フィールドの IP アドレスは常に同じ順序で返されます。リストの最初の DNS サーバーに障害が発生した場合、インスタンスは 2 番目の IP にフォールバックし、ホスト名の解決が正常に続行されます。ただし、通常のオペレーションでは、リストの最初の DNSサーバーが常に DNS リクエストを処理します。DNS クエリが複数のサーバーに均等に分散されるようにするには、インスタンスの DNS サーバー設定を静的に定義することを検討してください。

カスタム DHCP オプションセットの作成と VPC との関連付けの詳細については、『Amazon VPC ユーザーガイド』の「DHCP オプションセットの使用」を参照してください。

Note

シナリオ 1 (p. 5) とシナリオ 3 (p. 9) 用に、AWS CloudFormation テンプレートは、AWSDirectory Service のドキュメントで推奨されているように、DHCP オプションセットで ActiveDirectory ドメインコントローラーをネームサーバーとして設定します。つまり、ドメインに参加する必要があるインスタンスは、変更を必要とせずに、自動的に参加可能になります。

Windows Server インスタンスでの DNS 設定ドメイン参加済み Windows インスタンスで、ホスト (A) レコードとリバースルックアップ (PTR) レコードが自動的に Active Directory 統合 DNS に登録されるようにするには、ネットワーク接続のプロパティを図 5 に示すように設定してください。

図 5: ドメイン参加済み Windows インスタンスの詳細 TCP/IP 設定

16

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイドWindows Server インスタンスでの DNS 設定

ネットワーク接続のデフォルト設定では、接続のアドレスを自動的に DNS に登録するようになっています。つまり、図 5 に示しているように、[Register this connection's addresses in DNS] オプションが自動的にオンになっています。この設定により、ホスト (A) レコードの動的な登録が管理されます。ただし、2番目のオプション [Use this connection's DNS suffix in DNS registration] も同時にオンにしないと、PTR レコードの動的な登録は実行されません。

VPC 内のインスタンス数が少ない場合は、ネットワーク接続の手動設定を選択することもできます。大規模に導入されているお客様の場合、この設定を Active Directory グループポリシーを使用しているすべてのWindows インスタンスに適用することができます。手順については、Microsoft TechNet Library の「IPv4および IPv6 の [詳細設定] - [DNS] タブ」を参照してください。

17

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

ステップ 1. アカウントを準備する

デプロイ手順このセクションの手順に従って、AWS アカウントの設定、テンプレートの起動、およびデプロイのカスタマイズを行います。

ステップ 1. AWS アカウントを準備するクイックスタートをデプロイする前に、AWS アカウントが適切に設定されていることを以下の手順に従って確認します。

1. AWS アカウントを取得済みでない場合は、http://aws.amazon.com で画面上の指示に従って作成します。 サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて PIN を入力することが求められます。

2. ナビゲーションバーのリージョンセレクターを使用して、AD DS を AWS にデプロイする AWS リージョンを選択します。

図 6: AWS リージョンの選択

データセンターや社内ネットワークに最も近いリージョンを選択して、AWS で実行されているシステム間、および企業ネットワーク上のシステムとユーザー間のネットワークレイテンシーを削減するためにリージョンを選択することを検討します。

重要

シナリオ 3 (p. 9) をデプロイする場合、AWS Directory Service は AWS ドキュメントの「AWS のリージョンとエンドポイント」 ページに記載されているリージョンでのみ使用できることに注意してください。リージョンを選択する前に、そのリージョンで目的のサービスが使用可能かどうかを確認することをお勧めします。使用可能でないと、デプロイは失敗します。

3. 任意のリージョンでキーペアを作成します。これを行うには、Amazon EC2 コンソールのナビゲーションペインで [Key Pairs]、[Create Key Pair] を選択し、名前を入力して [Create] を選択します。

18

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

ステップ 1. アカウントを準備する

図 8: キーペアの作成

Amazon EC2 はパブリックキー暗号を使用して、ログイン情報の暗号化と復号を行います。インスタンスにログイン可能にするには、キーペアを作成する必要があります。Windows インスタンスでは、Amazon EC2 コンソールからキーペアを使用して管理者パスワードを取得し、『Amazon ElasticCompute Cloud ユーザーガイド』の「手順」で説明しているように、リモートデスクトッププロトコル (RDP) を使用してログインします。

4. 必要に応じて、m4.xlarge インスタンスタイプのサービス制限の引き上げをリクエストします。これを行うには、AWS サポートセンターで、[Create Case]、[Service Limit Increase]、[EC2 instances] の順に選択し、上限緩和フォームのフィールドに入力します。このインスタンスタイプの現在のデフォルト制限は 20 インスタンスです。

このインスタンスタイプを使用する既存のデプロイがすでに存在し、このリファレンスデプロイでデフォルトの制限を超えている可能性がある場合は、制限の引き上げをリクエストする必要があります。新しいサービスの上限が有効になるには、数日かかる場合があります。詳細については、『AWSドキュメント』の「Amazon EC2 サービスの制限」を参照してください。

19

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

ステップ 1. アカウントを準備する

図 8: サービス制限の引き上げリクエスト

20

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

ステップ 2. クイックスタートを起動するこのセクションでは、AWS CloudFormation コンソールにテンプレートをデプロイするための一般的な手順と、シナリオ (p. 5)ごとのリンクおよびパラメータ表を示します。

1. 以下のいずれかのオプションを選択して、AWS アカウントに AWS CloudFormation テンプレートをデプロイします。オプションの選択については、このガイドのデプロイシナリオ (p. 5)の説明を参照してください。

シナリオ 1 (p. 5)

AWS での独自の AD DS インストールのデプロイと管理

(または既存の VPC で起動)

シナリオ 2 (p. 7)

AWS へのオンプレミス AD DS の拡張

(または既存の VPC で起動)

シナリオ 3 (p. 9)

AWS Directory Service によるAD DS の AWS へのデプロイ

(または既存の VPC で起動)

テンプレートはデフォルトで米国東部 (オハイオ) リージョンで起動されます。ナビゲーションバーのリージョンセレクターを使用することで、リージョンを変更できます。

各デプロイには約 1 時間かかります。

Note

このクイックスタートリファレンスデプロイの実行中に使用した AWS サービスのコストは、お客様が負担します。このクイックスタートを使用しても追加コストは発生しません。コストの見積もりについては、このクイックスタートで使用する各 AWS サービスの料金表ページを参照してください。

2. [Select Template] ページで、AWS CloudFormation テンプレートのデフォルト URL をそのままにし、[Next] を選択します。

3. [Specify Details] ページで、テンプレートのパラメータを確認します。入力が必須のパラメータの値を指定します。他のすべてのパラメータのデフォルト設定を確認し、必要に応じてカスタマイズします。パラメータの確認とカスタマイズが終了したら、[Next] を選択します。

Note

テンプレートをダウンロードして編集し、固有のデプロイシナリオに基づいた独自のパラメータを作成することもできます。

以下の表では、シナリオ 1 (p. 21)、シナリオ 2 (p. 25)、シナリオ 3 (p. 28) ごとに使用するパラメータおよび説明を示します。

Note

シナリオごとに提供されている 2 つのテンプレートでは、一部を除いて、パラメータが共通です。たとえば、既存の VPC 用のテンプレートでも、既存の VPC 環境での VPC とプライベートサブネット ID の入力を求められます。

シナリオ 1: 独自の AD DS をデプロイして管理するためのパラメータ

新規の VPC 用のテンプレートを表示       既存の VPC 用のテンプレートを表示21

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

ネットワーク設定:

パラメータラベル パラメーター名 デフォルト 説明

アベイラビリティーゾーン

利用可能ゾーン 入入入入 VPC でサブネットに使用するアベイラビリティーゾーンのリスト。クイックスタートでは、リストから 2 つのアベイラビリティーゾーンを使用し、指定した論理的順序が保持されます。

VPC CIDR VPCCIDR 10.0.0.0/16 Amazon VPC の CIDRブロック。

Private Subnet 1 CIDR PrivateSubnet1CIDR 10.0.0.0/19 アベイラビリティーゾーン 1 にあるプライベートサブネットのCIDR ブロック.

Private Subnet 2 CIDR PrivateSubnet2CIDR 10.0.32.0/19 アベイラビリティーゾーン 2 にあるプライベートサブネットのCIDR ブロック.

Public Subnet 1 CIDR PublicSubnet1CIDR 10.0.128.0/20 アベイラビリティーゾーン 1 にあるパブリック サブネットのCIDR ブロック.

Public Subnet 2 CIDR PublicSubnet2CIDR 10.0.144.0/20 アベイラビリティーゾーン 2 にあるパブリック サブネットのCIDR ブロック.

Allowed RemoteDesktop GatewayExternal Access CIDR

RDGWCIDR 入入入入 Remote DesktopGateway インスタンスへの外部アクセス用に許可された CIDR ブロック。この値は信頼された CIDR ブロックに設定することをお勧めします。

Amazon EC2 設定:

パラメータラベル パラメーター名 デフォルト 説明

22

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

Key Pair Name KeyPairName 入入入入 パブリック/プライベートキーペアを指定することで、起動後にインスタンスに安全に接続できます。AWS アカウントを作成した際に、指定したリージョンで作成したキーペアです

Domain Controller 1Instance Type

ADServer1InstanceType m4.xlarge 1 番目の ActiveDirectory インスタンスの EC2 インスタンスタイプ

Domain Controller 1NetBIOS Name

ADServer1NetBIOSNameDC1 最初の Active Directoryサーバーの NetBIOS名。この長さは最大 15文字です。

Domain Controller 1Private IP Address

ADServer1PrivateIP 10.0.0.10 アベイラビリティーゾーン 1 にある 1 番目の Active Directoryサーバーの固定プライベート IP.

Domain Controller 2Instance Type

ADServer2InstanceType m4.xlarge 2 番目の ActiveDirectory インスタンスの EC2 インスタンスタイプ

Domain Controller 2NetBIOS Name

ADServer2NetBIOSNameDC2 2 番目の ActiveDirectory サーバーのNetBIOS 名。この長さは最大 15 文字です。

Domain Controller 2Private IP Address

ADServer2PrivateIP 10.0.32.10 アベイラビリティーゾーン 1 にある 2 番目の Active Directoryサーバーの固定プライベート IP.

Remote DesktopGateway InstanceType

RDGWInstanceType t2.large 最初のリモートデスクトップゲートウェイインスタンスの EC2 インスタンスタイプ。

Microsoft Active Directory 設定:

パラメータラベル パラメーター名 デフォルト 説明

Domain DNS Name DomainDNSName example.com フォレストルートドメインの完全修飾ドメイン名 (FQDN)。

23

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

Domain NetBIOSName

DomainNetBIOSName 例 以前のバージョンのWindows を使用しているユーザーのドメインの NetBIOS 名。この長さは最大 15 文字です。

Restore ModePassword

RestoreModePassword 入入入入 ドメインコントローラーを復元モードで起動する際の個別の管理者アカウントのパスワードこれは、8 文字以上の複雑なパスワードであることが必要です。

Domain Admin UserName

DomainAdminUser StackAdmin ドメイン管理者として追加されるアカウントのユーザー名これはデフォルトの管理者アカウントとは異なります。

Domain AdminPassword

DomainAdminPassword 入入入入 ドメイン管理者ユーザーのパスワード. これは、8 文字以上の複雑なパスワードであることが必要です。

Microsoft リモートデスクトップゲートウェイ設定:

パラメータラベル パラメーター名 デフォルト 説明

Number of RDGWHosts

NumberOfRDGWHosts 1 作成する RD ゲートウェイインスタンスの数。1〜4 インスタンスを選択できます。

AWS クイックスタート設定:

パラメータラベル パラメーター名 デフォルト 説明

24

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

Quick Start S3 BucketName

QSS3BucketName quickstart-reference クイックスタートのテンプレートとスクリプトがインストールされる S3 バケット。クイックスタートをカスタマイズまたは拡張して独自に使用する場合は、クイックスタートアセットのコピー用に作成した S3 バケットの名前をこのパラメータで指定します。バケット名には、数字、小文字、大文字、ハイフンを含めることができますが、先頭または末尾にハイフンは使用しないでください。

Quick Start S3 KeyPrefix

QSS3KeyPrefix microsoft/activedirectory/latest/

クイックスタートアセットのコピーのフォルダをシミュレートするために使用するS3 キー名プレフィックス。クイックスタートを独自にカスタマイズまたは拡張する場合は、このプレフィックスを使用します。このプレフィックスには、数字、小文字、大文字、ハイフン、スラッシュを含めることができます。

シナリオ 2: オンプレミス AD DS を AWS に拡張するためのパラメータ

新規の VPC 用のテンプレートを表示       既存の VPC 用のテンプレートを表示

Note

このテンプレートのデフォルトの CIDR 範囲は、使用を開始するための例であり、特定の要件に合わせて変更できます。提供されている CIDR ブロックは、オンプレミスネットワークと重複する可能性があることに注意してください。重複する場合、VPN 接続を正常にデプロイするには、一意の CIDR 範囲を使用する必要があります。

ネットワーク設定:

パラメータラベル パラメーター名 デフォルト 説明

25

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

アベイラビリティーゾーン

利用可能ゾーン 入入入入 VPC でサブネットに使用するアベイラビリティーゾーンのリスト。クイックスタートでは、リストから 2 つのアベイラビリティーゾーンを使用し、指定した論理的順序が保持されます。

VPC CIDR VPCCIDR 10.0.0.0/16 VPC の CIDR ブロック

Private Subnet 1 CIDR PrivateSubnet1CIDR 10.0.0.0/19 アベイラビリティーゾーン 1 にあるプライベートサブネットのCIDR ブロック.

Private Subnet 2 CIDR PrivateSubnet2CIDR 10.0.32.0/19 アベイラビリティーゾーン 2 にあるプライベートサブネットのCIDR ブロック.

Public Subnet 1 CIDR PublicSubnet1CIDR 10.0.128.0/20 アベイラビリティーゾーン 1 にあるパブリック サブネットのCIDR ブロック.

Public Subnet 2 CIDR PublicSubnet2CIDR 10.0.144.0/20 アベイラビリティーゾーン 2 にあるパブリック サブネットのCIDR ブロック.

Allowed RemoteDesktop GatewayExternal Access CIDR

RDGWCIDR 入入入入 Remote DesktopGateway インスタンスへの外部アクセス用に許可された CIDR ブロック。この値は信頼された CIDR ブロックに設定することをお勧めします。

Amazon EC2 設定:

パラメータラベル パラメーター名 デフォルト 説明

Key Pair Name KeyPairName 入入入入 パブリック/プライベートキーペアを指定することで、起動後にインスタンスに安全に接続できます。AWS アカウントを作成した際に、指定したリージョンで作成したキーペアです

26

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

Domain Controller 1Instance Type

ADServer1InstanceType m4.xlarge 1 番目の ActiveDirectory インスタンスの EC2 インスタンスタイプ

Domain Controller 1NetBIOS Name

ADServer1NetBIOSNameDC1 最初の Active Directoryサーバーの NetBIOS名。この長さは最大 15文字です。

Domain Controller 1Private IP Address

ADServer1PrivateIp 10.0.0.10 アベイラビリティーゾーン 1 にある 1 番目の Active Directoryサーバーの固定プライベート IP.

Domain Controller 2Instance Type

ADServer2InstanceType m4.xlarge 2 番目の ActiveDirectory インスタンスの EC2 インスタンスタイプ

Domain Controller 2NetBIOS Name

ADServer2NetBIOSNameDC2 2 番目の ActiveDirectory サーバーのNetBIOS 名。この長さは最大 15 文字です。

Domain Controller 2Private IP Address

ADServer2PrivateIp 10.0.32.10 アベイラビリティーゾーン 1 にある 2 番目の Active Directoryサーバーの固定プライベート IP.

Remote DesktopGateway InstanceType

RDGWInstanceType t2.large 最初のリモートデスクトップゲートウェイインスタンスの EC2 インスタンスタイプ。

Microsoft リモートデスクトップゲートウェイ設定:

パラメータラベル パラメーター名 デフォルト 説明

Number of RDGWHosts

NumberOfRDGWHosts 1 作成する RD ゲートウェイインスタンスの数。1〜4 インスタンスを選択できます。

管理者ユーザー AdminUser StackAdmin 新しいローカル管理者アカウントのユーザー名。

Admin Password AdminPassword 入入入入 管理者アカウントのパスワード。これは、8文字以上の複雑なパスワードであることが必要です。

27

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

Domain DNS Name DomainDNSName example.com フォレストルートドメインの完全修飾ドメイン名 (FQDN)。

AWS クイックスタート設定:

パラメータラベル パラメーター名 デフォルト 説明

Quick Start S3 BucketName

QSS3BucketName quickstart-reference クイックスタートのテンプレートとスクリプトがインストールされる S3 バケット。クイックスタートをカスタマイズまたは拡張して独自に使用する場合は、クイックスタートアセットのコピー用に作成した S3 バケットの名前をこのパラメータで指定します。バケット名には、数字、小文字、大文字、ハイフンを含めることができますが、先頭または末尾にハイフンは使用しないでください。

Quick Start S3 KeyPrefix

QSS3KeyPrefix microsoft/activedirectory/latest/

クイックスタートアセットのコピーのフォルダをシミュレートするために使用するS3 キー名プレフィックス。クイックスタートを独自にカスタマイズまたは拡張する場合は、このプレフィックスを使用します。このプレフィックスには、数字、小文字、大文字、ハイフン、スラッシュを含めることができます。

シナリオ 3: AWS Directory Service を使用して AD DS をデプロイするためのパラメータ

新規の VPC 用のテンプレートを表示       既存の VPC 用のテンプレートを表示

ネットワーク設定:

パラメータラベル パラメーター名 デフォルト 説明

28

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

アベイラビリティーゾーン

利用可能ゾーン 入入入入 VPC でサブネットに使用するアベイラビリティーゾーンのリスト。クイックスタートでは、リストから 2 つのアベイラビリティーゾーンを使用し、指定した論理的順序が保持されます。

VPC CIDR VPCCIDR 10.0.0.0/16 Amazon VPC の CIDRブロック。

Private Subnet 1 CIDR PrivateSubnet1CIDR 10.0.0.0/19 アベイラビリティーゾーン 1 にあるプライベートサブネットのCIDR ブロック.

Private Subnet 2 CIDR PrivateSubnet2CIDR 10.0.32.0/19 アベイラビリティーゾーン 2 にあるプライベートサブネットのCIDR ブロック.

Public Subnet 1 CIDR PublicSubnet1CIDR 10.0.128.0/20 アベイラビリティーゾーン 1 にあるパブリック サブネットのCIDR ブロック.

Public Subnet 2 CIDR PublicSubnet2CIDR 10.0.144.0/20 アベイラビリティーゾーン 2 にあるパブリック サブネットのCIDR ブロック.

Allowed RemoteDesktop GatewayExternal Access CIDR

RDGWCIDR 入入入入 Remote DesktopGateway インスタンスへの外部アクセス用に許可された CIDR ブロック。この値は信頼された CIDR ブロックに設定することをお勧めします。

Amazon EC2 設定:

パラメータラベル パラメーター名 デフォルト 説明

Key Pair Name KeyPairName 入入入入 パブリック/プライベートキーペアを指定することで、起動後にインスタンスに安全に接続できます。AWS アカウントを作成した際に、指定したリージョンで作成したキーペアです

29

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

Remote DesktopGateway InstanceType

RDGWInstanceType t2.large 最初のリモートデスクトップゲートウェイインスタンスの EC2 インスタンスタイプ。

Microsoft Active Directory 設定:

パラメータラベル パラメーター名 デフォルト 説明

Domain DNS Name DomainDNSName example.com フォレストルートドメインの完全修飾ドメイン名 (FQDN)。

Domain NetBIOSName

DomainNetBIOSName 例 以前のバージョンのWindows を使用しているユーザーのドメインの NetBIOS 名。この長さは最大 15 文字です。

Domain AdminPassword

DomainAdminPassword 入入入入 ドメイン管理者ユーザーのパスワード. これは、8 文字以上の複雑なパスワードであることが必要です。

Microsoft リモートデスクトップゲートウェイ設定:

パラメータラベル パラメーター名 デフォルト 説明

Number of RDGWHosts

NumberOfRDGWHosts 1 作成する RD ゲートウェイインスタンスの数。1〜4 インスタンスを選択できます。

AWS クイックスタート設定:

パラメータラベル パラメーター名 デフォルト 説明

30

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイドステップ 3. シナリオ 2 のデプロイ後のタスク

Quick Start S3 BucketName

QSS3BucketName quickstart-reference クイックスタートのテンプレートとスクリプトがインストールされる S3 バケット。クイックスタートをカスタマイズまたは拡張して独自に使用する場合は、クイックスタートアセットのコピー用に作成した S3 バケットの名前をこのパラメータで指定します。バケット名には、数字、小文字、大文字、ハイフンを含めることができますが、先頭または末尾にハイフンは使用しないでください。

Quick Start S3 KeyPrefix

QSS3KeyPrefix microsoft/activedirectory/latest/

クイックスタートアセットのコピーのフォルダをシミュレートするために使用するS3 キー名プレフィックス。クイックスタートを独自にカスタマイズまたは拡張する場合は、このプレフィックスを使用します。このプレフィックスには、数字、小文字、大文字、ハイフン、スラッシュを含めることができます。

4. [Options] ページでは、スタック内のリソースのタグ (キー値のペア) を指定し、追加オプションを設定できます。終了したら、[Next] を選択します。

5. [Review] ページで、テンプレート設定を確認して確定します。[Capabilities] で、テンプレートによって IAM リソースが作成されることを確認するチェックボックスをオンにします。

6. [Create] を選択してスタックをデプロイします。7. スタックの状態をモニタリングします。ステータスが [CREATE_COMPLETE] になったら、AD DS ク

ラスターは準備完了です。

ステップ 3. デプロイ後のタスク (シナリオ 2 のみ)オンプレミスの AD DS を AWS クラウドに拡張する場合 (シナリオ 2 (p. 7)) は、スタックが正常に作成された後で、以下のタスクを手動で実行する必要があります。

1. AWS Direct Connect または VPN 接続を使用してオンプレミスネットワークを VPC に接続します。2. ドメインコントローラを AWS クラウドに追加し、AD DS へのアクセスを必要とする AWS のリソース

に対して信頼性が高く、レイテンシーが低いネットワーク接続を提供します。3. オンプレミス Active Directory サイトとサービスを適切に設定し、VPC 内のアベイラビリティーゾーン

を表すサイトとサブネットを含めます。

31

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

オンプレミスネットワークを VPC に接続する

4. プライベートサブネット 1 およびプライベートサブネット 2 の Windows Server インスタンスを、Active Directory ドメインのドメインコントローラに昇格します。

5. 次のいずれかの方法を使用して、インスタンスが AD DNS を介して名前を解決できるようにします。• Windows インスタンスに AD DNS サーバーを静的に割り当てます。

—または—• VPC の新しい DHCP オプションセットで domain-name-servers フィールドを設定し、Active

Directory DNS をホストしている AWS ベースのドメインコントローラを含めます。

以下のセクションでは、これらのデプロイ後のタスクについて詳しく説明します。

オンプレミスネットワークを VPC に接続するデフォルトでは、Virtual Private Cloud 内に起動されるインスタンスとユーザー独自のネットワークとの通信はできません。既存の AD DS を AWS クラウドに拡張するには、オンプレミスネットワークを VPC に拡張する必要があります。これを行うための 2 つの方法として、IPsec Virtual Private Network (VPN) トンネルの使用と AWS Direct Connect の使用について以下に説明します。

IPSec VPN トンネルの使用オンプレミスネットワークを VPC に拡張する最も一般的な方法は、IPSec VPN トンネルを使用することです。VPC 内では、VPN トンネルの Amazon 側で VPN コンセントレータとなる仮想プライベートゲートウェイを作成できます。カスタマーゲートウェイは、その接続の作業者側のアンカーです。カスタマーゲートウェイは、物理デバイスにすることも、ソフトウェアアプライアンスにすることもできます。

図 9: オンプレミスネットワークから VPC への単一の VPN 接続

32

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

オンプレミスネットワークを VPC に接続する

複数の VPN 設定オプションを利用できます。これには、複数のオンプレミスカスタマーゲートウェイを使用する機能と、冗長性を持つ VPN 接続を設定してフェイルオーバーを提供する機能が含まれます。詳細については、「VPN の設定例」 (Amazon VPC ユーザーガイド) を参照してください。使用できるハードウェアまたはソフトウェアアプリケーションの詳細については、Amazon VPC ネットワーク管理者ガイドの「Amazon でテスト済みのカスタマーゲートウェイデバイス」および「カスタマーゲートウェイの要件」でも参照できます。

AWS Direct Connect の使用AWS Direct Connect は、お客様の内部ネットワークを AWS Direct Connect ロケーションに、標準の 1 ギガビットまたは 10 ギガビットイーサネット光ファイバケーブルを介して接続するサービスです。ケーブルの一端がお客様のルーターに、他方が AWS Direct Connect のルーターに接続されます。この接続を使用すると、AWS クラウド (Amazon EC2、Amazon S3、Amazon VPC など) への仮想インターフェイスを直接作成できるため、お客様のネットワークパスでインターネットサービスプロバイダーをバイパスできます。

33

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

追加ドメインコントローラのデプロイ

図 10: AWS Direct Connect がネットワークと連結される方法

AWS Direct Connect でオンプレミスネットワークをクラウドに拡張する場合、最大の冗長性を得るため、2 本の専用接続を設定することを検討してください。2 本の専用接続をプロビジョンする際の設定は、アクティブ/アクティブ (BGP マルチパス) やアクティブ/パッシブ (フェイルオーバー) を含めて複数の選択が可能です。

フェイルオーバー設定では、1 つの接続リンクでトラフィックを処理します。このリンクが利用不可になると、スタンバイ接続リンクがアクティブになります。両方の接続リンクをアクティブに設定することをお勧めします。これにより、ネットワークトラフィックが両方の接続間で負荷分散されます。アクティブな接続では、1 つの接続リンクが利用不可になった場合、すべてのトラフィックは他方の接続リンクを介してルーティングされます。

実装の詳細については、AWS Direct Connect ユーザーガイドの「開始方法」を参照してください。

追加のドメインコントローラを AWS クラウドにデプロイするAWS Direct Connect または VPN 接続を使用して VPC からオンプレミスリソースへのアクセスを提供できますが、さらに AWS クラウドにドメインコントローラを追加することをお勧めします。追加のドメインコントローラは、AD DS へのアクセスを必要とする AWS のリソースに対して、信頼性が高く、レイテンシーが低いネットワーク接続を提供します。また、オンプレミスのインフラストラクチャが停止した場合に、AWS クラウドでの AD DS の可用性が維持されます。

図 11 に示すアーキテクチャでは、単一の Active Directory フォレストが VPN 接続を使用してオンプレミスデプロイから VPC に拡張されています。VPC 内で、グローバルカタログおよび DNS サーバーとして設定された追加のドメインコントローラが、既存の Active Directory フォレストでデプロイされます。

34

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

追加ドメインコントローラのデプロイ

図 11: オンプレミスと VPC での単一の AD フォレストとドメインコントローラ

このタイプの環境では、顧客ネットワークが Active Directory サイトとサービスで定義済みです。たとえば、192.168.1.0/24 ネットワークのサブネット定義とともに、オンプレミスネットワークに対応するサイト定義がすでに存在します。次のステップでは、 VPC にあるネットワークコンポーネントをサポートするために Active Directory サイトとサービスを設定します。

35

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

AD サイトとサービスを設定する

Active Directory サイトとサービスを設定するAWS でアベイラビリティーゾーンを参照するには、追加の Active Directory サイトを作成する必要があります。 VPC サブネットで使用される 10.0.0.0/19 および 10.0.32.0/19 CIDR ブロックは、Active Directoryサイトとサービスに追加する必要があります。次に、サブネットを各 AWS アベイラビリティーゾーンごとに AD DS サイト定義に関連付けることができます。VPC のウェブ層、アプリケーション層、およびデータベース層の追加のサブネットは、各 AWS サイトオブジェクトにマッピングできます。オンプレミスサイトと AWS クラウドサイトの両方をサイトリンクにマッピングできます。サイトリンクはカスタムの間隔で、または必要に応じて特定の時間帯にレプリケートするよう設定できます。

Active Directory サイトとサービスを適切に設定すると、VPC から実行される AD DS クエリと認証リクエストを、同じ AWS アベイラビリティーゾーンのローカルドメインコントローラで処理できます。この設定により、ネットワークのレイテンシーが減り、それ以外の方法では VPN でオンプレミスインフラストラクチャへの移動が必要になる可能性があるトラフィックが最小化されます。

DNS 解決を設定するVPC を作成し、AWS Direct Connect または VPN 接続を使用してオンプレミスネットワークへの接続を確立したら、次のステップとしてドメインコントローラとして機能する Windows インスタンスを起動します。Windows インスタンスをオンプレミス Active Directory ドメインに参加させてドメインコントローラに昇格させるには、DNS 解決が適切に設定されていることを確認する必要があります。

前述したように、デフォルトでは、VPC 内に起動されたインスタンスに対して Amazon 提供の DNS サーバーが割り当てられますが、このサーバーではオンプレミスインフラストラクチャの DNS 解決が提供されません。これに対応するには、以下の 2 つの方法があります。

• Windows インスタンスに DNS サーバー設定を手動で割り当てます。この静的な DNS 設定は、最初にオンプレミスの Active Directory DNS サーバーを指定します。インスタンスをドメインコントローラに昇格させたら、クラウドベースの Active Directory DNS サーバーの IP アドレスを使用して、それ以降のDNS クエリがオンプレミス環境に戻るリンクをトラバースしないように設定を変更します。

—または—• 最初に VPC DHCP オプションセットを設定し、オンプレミスの Active Directory DNS サーバーの IP ア

ドレスを VPC で起動されたインスタンスに割り当てます。Windows インスタンスがドメインに参加してドメインコントローラに昇格すると、新しい DHCP オプションセットを作成して AWS で実行中のActive Directory DNS サーバーインスタンスの IP アドレスを割り当てることができます。

36

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

トラブルシューティングQ. クイックスタートの起動時に CREATE_FAILED エラーが発生しました。

A. AWS CloudFormation でスタックの作成に失敗した場合は、[Rollback on failure] を [No] に設定してテンプレートを再起動することをお勧めします (この設定は AWS CloudFormation コンソールの [Options]ページで [Advanced] にあります)。この設定では、スタックの状態は保持され、インスタンスは実行されたままになるため、トラブルシューティングを行うことができます (%ProgramFiles%\Amazon\EC2ConfigService と C:\cfn\log のログファイルの参照が必要になります)。

重要

[Rollback on failure] を [No] に設定すると、このスタックに対して AWS 料金が発生し続けます。トラブルシューティングが完了したら、必ずスタックを削除してください。

以下の表は、発生する可能性のある特定の CREATE_FAILED エラーメッセージのリストです。

CREATE_FAILED エラーメッセージ

考えられる原因 対応方法

API: ec2: RunInstances Notauthorized for images: ami-ID

テンプレートが期限切れになった AMI を参照しています。

AWS は AMI を定期的に更新していますが、その更新スケジュールが AWS AMI の更新と常に同期されるとは限りません。このエラーメッセージが表示された場合は、AWS に連絡してください。新しい AMI ID でテンプレートを更新します。

テンプレートをダウンロードし、AWSWinRegionMap のマップをお客様のリージョンの最新の AMI ID で更新することもできます。

We currently do not havesufficient m4.xlarge capacity inthe AZ you requested

いずれかのインスタンスに、より大きいインスタンスタイプが必要です。

より大きいキャパシティーをサポートするインスタンスタイプに切り替えるか、AWS サポートセンターのリクエストフォームに記入してインスタンスタイプまたはリージョンについてAmazon EC2 制限を引き上げてください。制限の引き上げは、リクエストされたリージョンに関連付けられます。

Instance ID did not stabilize リージョンの IOPS を超えています。

AWS サポートセンターのリクエストフォームに記入して、制限を引き上げてください。

System Administrator passwordmust contain at least 8 characters

マスターパスワードに $ などの特殊文字が含まれています。

[RestoreModePassword] または[DomainAdminPassword] パラメータのパスワードを変更し、クイックスタートを再起動します。

37

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

CREATE_FAILED エラーメッセージ

考えられる原因 対応方法

大文字、小文字、数字で構成される 8 文字以上の複雑なパスワードを使用する必要があります。@ や $ などの特殊文字は使用しないでください。

追加情報については、AWS ウェブサイトの「AWS CloudFormation のトラブルシューティング」を参照してください。

Q. AWS Cloudformation テンプレートをデプロイしたときにサイズ制限エラーが発生しました。

A. クイックスタートテンプレートは、AWS から提供された場所または別の S3 バケットから起動することをお勧めします。コンピュータのローカルコピーまたは S3 以外の場所からテンプレートをデプロイする場合は、スタックの作成時にテンプレートサイズの制限を受けることがあります。AWS CloudFormationの制限の詳細については、AWS ドキュメントを参照してください。

38

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

セキュリティAWS は、Amazon EC2 や Amazon VPC サービスなど、アプリケーションのインフラストラクチャをプロビジョンするために使用できる構成要素のセットを提供します。このモデルでは、物理セキュリティなど一部のセキュリティ機能が AWS の責任分担であり、これらについては「AWS セキュリティホワイトペーパー」で説明されています。アプリケーションへのアクセス制御など、その他の機能はアプリケーション開発者の責任分担であり、Microsoft プラットフォームでツールが提供されています。

このガイドの自動デプロイオプションに従っていれば、付属の AWS CloudFormation テンプレートによって必要なセキュリティグループが自動的に設定されています。これらのセキュリティグループを参考のためにここに示します。

セキュリティグループ 関連付け インバウンドソース ポート

VPCCIDR TCP5985、TCP53、UDP53、TCP80

DomainMemberSG UDP123、TCP135、UDP138、TCP445、UDP445、TCP464、UDP464、TCP49152-65535、UDP49152-65535、TCP389、UDP389、TCP636、TCP3268、TCP3269、TCP88、UDP88、UDP67、UDP2535、TCP9389

PrivateSubnet2CIDR (セカンダリ DC がデプロイされるサブネット)

UDP123、TCP135、UDP137、UDP138、TCP445、UDP445、TCP464、UDP464、TCP49152-65535、UDP49152-65535、TCP389、UDP389、TCP636、TCP3268、TCP3269、TCP88、UDP88、UDP67、UDP2535、UDP5355、UDP137、TCP139、TCP5722、TCP9389

PublicSubnet1CIDR (アベイラビリティーゾーン 1 でリモートデスクトップゲートウェイがデプロイされるサブネット)

TCP3389、(ICMP -1)

DomainControllerSG1 DC1

PublicSubnet2CIDR (アベイラビリティーゾーン 2 でリモートデスクトップゲートウェイがデプロイされるサブネット)

TCP3389、(ICMP -1)

VPCCIDR TCP5985、TCP53、UDP53、TCP80

DomainMemberSG UDP123、TCP135、UDP138、TCP445、UDP445、TCP464、UDP464、TCP49152-65535、UDP49152-65535、TCP389、UDP389、TCP636、TCP3268、TCP3269、TCP88、UDP88、UDP67、UDP2535、TCP9389

PrivateSubnet1CIDR (最初の DC がデプロイされるサブネット)

UDP123、TCP135、UPD137、UDP138、TCP445、UDP445、TCP464、UDP464、TCP49152-65535、UDP49152-65535、TCP389、UDP389、TCP636、TCP3268、TCP3269、TCP88、UDP88、UDP67、UDP2535、UDP5355、UDP137、TCP139、TCP5722、TCP9389

PublicSubnet1CIDR (アベイラビリティーゾーン 1 でリモートデスクトップゲートウェイがデプロイされるサブネット)

TCP3389、(ICMP -1)

DomainControllerSG2 DC2

PublicSubnet2CIDR (アベイラビリティーゾーン 2 でリモートデスクトップゲートウェイがデプロイされるサブネット)

TCP3389、(ICMP -1)

39

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

セキュリティグループ 関連付け インバウンドソース ポート

PrivateSubnet1CIDR (プライマリ DC がデプロイされるサブネット)

TCP5985、TCP53、UDP53、TCP49152-65535、UDP49152-65535

PrivateSubnet2CIDR (セカンダリ DC がデプロイされるサブネット)

TCP5985、TCP53、UDP53、TCP49152-65535、UDP49152-65535

PublicSubnet1CIDR (アベイラビリティーゾーン 1 でリモートデスクトップゲートウェイがデプロイされるサブネット)

TCP3389

DomainMemberSG RDGW1、RDGW2

PublicSubnet2CIDR (アベイラビリティーゾーン 2 でリモートデスクトップゲートウェイがデプロイされるサブネット)

TCP3389

RDGWSecurityGroup RDGW1、RDGW2 RDGWCIDR (注を参照) TCP3389

重要

RDP は、一時的であってもテスト目的であっても、インターネット全体に開かないでください。詳細については、Amazon セキュリティ情報を参照してください。ポートやソーストラフィックは、アプリケーションの機能をサポートするために最小限必要な範囲のみに常に制限します。リモートデスクトップゲートウェイの保護の詳細については、『アマゾン ウェブ サービスでの Microsoft プラットフォームの保護』ホワイトペーパーを参照してください。

40

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

その他のリソースAWS サービス

• AWS CloudFormation• Windows 用 Amazon EC2 ユーザーガイド• Amazon VPC:

• ユーザーガイド• 基本シナリオ• ネットワーク管理者ガイド

• NAT ゲートウェイ• AWS Direct Connect• AWS Directory Service

Active Directory ドメインサービス

• Active Directory ドメインサービス• Active Directory サイトとサービス

AWS での Microsoft ソフトウェアのデプロイ

• AWS での Microsoft• AWS での Microsoft プラットフォームの保護

クイックスタートリファレンスデプロイ

• AWS クイックスタートのホームページ• Amazon VPC を使用したモジュール式のスケーラブルな仮想ネットワークアーキテクチャの構築• AWS での Microsoft リモートデスクトップゲートウェイ

41

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

フィードバックの送信GitHub リポジトリでは、このクイックスタートのテンプレートとスクリプトのダウンロード、コメントの投稿、および他のユーザーとのカスタマイズ内容の共有ができます。

42

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

ドキュメントの改訂日付 変更 場所

2017年7月日 RD ゲートウェイデプロイとAmazon S3 の移植性に関するAWS Directory Service; の機能強化の推奨事項に従って DHCP オプションを更新。

ガイド全体での変更、テンプレートの更新

2016 年 8 月 クイックスタートアセットの場所を設定する場合のパラメータを追加。

デプロイ手順 (p. 18) (テンプレートのカスタマイズテーブル)

2016 年 7 月 3 つすべてのシナリオに、既存のVPC 内にクイックスタートをデプロイするためのオプションを追加。NAT ゲートウェイと更新された VPC 設定を使用するようにテンプレートを更新。

デプロイシナリオ (p. 5)

デプロイ手順 (p. 18)

テンプレートの更新

2016 年 4 月 AWS Directory Service forMicrosoft AD を使用して AD DSをプロビジョンおよび管理する新しいシナリオを追加。

さらに、NAT インスタンスをNAT ゲートウェイサービスに置換。AD ドメインおよびフォレストの機能を Windows Server2012 R2 にアップグレード。パラメータグループとラベルを使いやすいようにテンプレートを更新。

シナリオ 3 (p. 9)

新機能を反映するためにドキュメント全体の追加更新

テンプレートの更新

2015 年 9 月 パフォーマンスと価格を改善するため、サンプルテンプレートで Active Directory と RDGateway インスタンスのデフォルトのタイプを m3.xlarge からm4.xlarge に変更しました。

デプロイ手順 (p. 18) (テンプレートのカスタマイズテーブル)

2015 年 3 月 拡張をサポートして複雑性を低減するため、基盤となる VPC 設計を最適化しました。

VPC の推奨事項 (p. 11)、アーキテクチャ図 (p. 6)の更新、テンプレートの更新

2014 年 11 月 サンプルテンプレートで、NATInstanceType のデフォルトタイプを t2.small に変更し、欧州 (フランクフルト) リージョンをサポート。

デプロイ手順 (p. 18) (テンプレートのカスタマイズテーブル)

2014 年 3 月 日 初版発行 –

43

AWS での Active Directory ドメインサービス クイックスタートリファレンスデプロイガイド

注意このデプロイガイドは、情報提供のみを目的としています。本書は、発行時点における AWS の現行製品と慣行を表したものであり、それらは予告なく変更されることがあります。お客様は本文書の情報および AWS 製品の使用について独自に評価する責任を負うものとします。これらの情報は、明示または黙示を問わずいかなる保証も伴うことなく、「現状のまま」提供されるものです。本文書内のいかなるものも、AWS、その関係者、サプライヤ、またはライセンサーからの保証、表明、契約的なコミットメント、条件や確約を意味するものではありません。お客様に対する AWS の責任は AWS 契約によって規定されています。また、本文書は、AWS とお客様との間の契約に属するものではなく、また、当該契約が本文書によって修正されることもありません。

このガイドに付属のソフトウェアは Apache License バージョン 2.0 (以下 "License") の下で使用許諾されます。License に準拠する場合にのみ、このファイルを使用できます。License のコピーは、http://aws.amazon.com/apache2.0/ か、このファイルに添付されている "license" ファイルにあります。このコードは、明示的にも黙示的にも、いかなる種類の保証や条件もなく、"現状有姿" で配布されます。License の下での言語に基づくアクセス権限と制限については、License を参照してください。

44