Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSエンジニアのためのActive Directory入門

AWSエンジニアのためのActive Directory入門

社内勉強会で発表した内容です。

Takuya Shibata

May 12, 2020
Tweet

More Decks by Takuya Shibata

Other Decks in Technology

Transcript

  1. 4 アジェンダ 1. Active Directoryとは 2. AWS と Active Directory

    3. AWS 環境での Active Directory 構成例 4. その他もろもろ (時間があれば)
  2. 9 基本的な概念 オブジェクト • ドメインにおける管理対象のこと • 主なオブジェクトは以下 (他にももっとあるヨ) オブジェクト 説明

    特記事項 ユーザー ドメインに参加するユーザー Windowsのログオンユーザー コンピューター ドメインに参加するコンピューター プリンター ドメインで使用するプリンター 共有フォルダ ドメインで使用する共有フォルダ グループ ユーザーをまとめる器 ・主にアクセス権設定に使用 セキュリテグループ、配布グループ の種別がある 組織単位 (OU) ADのオブジェクトをまとめる器 ・グループポリシーの適用単位 ・権限委任の適用単位 名前に反して実際の組織構造を反映 させる必要は無い (もちろん反映しても良い)
  3. 12 基本的な概念 グループポリシー • グループポリシーの実体は所定のレジストリキー • クライアントPCがドメインコントローラーから ポリシー設定を取得し反映される • ポリシーは

    基本3値フラグ (もちろん、そうでないものも沢山ある) 状態 レジストリ設定 特記事項 未構成 レジストリキーが無い状態 この場合OS既定の設定となる 有効 キーに 有効値が設定される 1(DWORD) などの値 無効 キーに 無効値が設定される 0(DWORD) などの値
  4. 13 基本的な概念 グループポリシー基本設定 • Windows Server 2008からの機能 • 「基本設定」は通常のポリシーと別物 ドメインに参加するPCやユーザーへ

    所定の初期設定を実施する仕組み • 実施するだけなので、 設定を間違えた場合は効果が無い (通常ポリシーの様な強制力が無い) • 通常ポリシーの様に設定を差し戻すことが できない (Tattooing)
  5. 14 Active Directoryの実体 Active Directoryの各種機能はWindows Serverの “役割”として実装されている • Active Directory

    Domain Service (ADDS) • Domain Name Service (DNS) • その他ゆかいな仲間たち • Active Directory Certificate Services (ADCS) • Active Directory Federation Services (ADFS) • Active Directory Rights Management Service (ADRMS) • Active Directory Lightweight Directory Service (ADLDS)
  6. 15 Active Directory Domain Service (ADDS) と DNS こいつがいわゆるActive Directory本体

    • みんなが「ドメインコントローラー」って言ってるやつ • Active Directoryは内部でDNSを使うので ほぼ全ての場合でDNSサーバーと兼務される (Active Directory統合DNSゾーン) • ADDSが落ちるとADは死ぬので冗長化が必須 • 複数台によるレプリケーションが標準装備 • Flexible Single Master Operation (FSMO : フィズモ) • 操作マスタとも • ADは基本Multi-Masterだが、特定機能だけはSingle-Masterである必要 があり、それがFSMO
  7. 16 Active Directory Domain Service (ADDS) と DNS ADにおけるDNSの使いどころ •

    特殊なゾーンにADに係る情報を格納している
  8. 17 Active Directory Domain Service (ADDS) と DNS レプリケーション •

    サイト : 雑に言うとレプリケーション境界 • 基本的には地理境界と合わせる(AWSにおいては AZ や Region) • 設定としてはサブネット単位でサイト分割 • クライアントの認証先を決めるのにも使われる
  9. 18 Azure Active Directory (Azure AD) Active Directory と Azure

    Active Directory は まったくの別物だよ!気を付けてね! • さらにややこしい話をすると、 Azure Active Directory Domain Services も別物だよ! • こっちはAzure AD Domain Services とも言われ、 AWSで言うところのAWS Managed Microsoft AD と同等のサービス
  10. 23 Simple AD できること • ユーザー、グループ管理 (最大ユーザー数制限あり) • グループポリシー •

    Kerberos認証SSO ADDSでなくて Samba 4 によるAD互換サービス • 名前のとおり機能は限定的 できないこと • 信頼関係の構築 • Active Directory管理センター • PowerShell管理 • ごみ箱機能 • gMSO • スキーマ拡張
  11. 24 AWS Managed Microsoft AD (Microsoft AD) AWSが管理する Windows Server

    2012 R2 による Active Directoryサービス • 最低 2AZ (2Subnet) に2台のADDS + DNS • 設定でサーバー台数は 増やせる • マネージドサービスなので サーバー運用はAWSが やってくれる (自動メンテナンス)
  12. 25 AWS Managed Microsoft AD (Microsoft AD) AWSが管理するのでADのすべての機能は使えない (=サーバーやドメインの管理者にはなれない) •

    管理者ユーザーは admin (≠ administrator) • AWS Delegated Administrators グループ (≠ Domain Admins / Enterprise Admins) • ユーザーが使えるOUが限定されている • [NetBIOS名] OU • Computers OU / Users OU • 上記OUの配下に独自のOUをつくって運用
  13. 26 AWS Managed Microsoft AD (Microsoft AD) 基本的なところは Developers.IO 見て!

    • AWS Managed Microsoft ADを試してみた (2019年版) • https://dev.classmethod.jp/articles/try-microsoft-ad-2019/ • Microsoft AD(AWS Directory Service)を利用する上で注意すること • https://dev.classmethod.jp/articles/notes-for-microsoft-ad-aws-directory-service/ • Microsoft AD(AWS Directory Service)でパスワードポリシーが管理できる ようになりました • https://dev.classmethod.jp/articles/aws-directory-service-microsoft-ad-password-policy/ • [アップデート]Microsoft AD(AWS Directory Service)でDCを追加して 冗長性と性能を向上できます • https://dev.classmethod.jp/articles/microsoft-ad-aws-directory-service-increase-dc/ 他にもいっぱい記事はあるヨ!
  14. 27 Active Directory Connector (AD Connector) AD Connector は、クラウドの情報をキャッシュせず にディレクトリリクエストをオンプレミスの

    Microsoft Active Directory へリダイレクトするのに 使用するディレクトリゲートウェイです。 - 管理ガイドより引用
  15. 32 AWS 環境での Active Directory 構成例 4つのシナリオ 1. オンプレ環境にあるADDSをAWSから使う 2.

    オンプレ環境とAWS上にADDS(on EC2)を構築 3. AWSにADDS on EC2を構築 4. AWSにAWS Managed Microsoft ADを構築
  16. 35 1.オンプレ環境にあるADDSをAWSから使う • ADはローカルネットワークで疎通する必要がある • VPNやDirect Connectによる接続が必須 • VPNやDirect Connect回線が死ぬとAWS側接続が全滅する

    • 単純にEC2がドメインに参加するだけならAD Connector は必須ではない • AD ConnectorはWorkSpacesなどのサービス利用が基本 • DNSがオンプレにあることによるめんどうくささ • Amazon DNSはVPC外からのクエリを受け付けない =Route 53 Resolverといったフォーワーダーが必要になる場合 • VPC Endpoint(Private Link)を使うばあい
  17. 43 2.オンプレ環境とAWS上にADDS(on EC2)を構築 • AWSからのアクセスをADDS on EC2に寄せることで 耐障害性を上げる • DNSは個別設定、DHCPオプションセットで分離可能

    • 認証は”サイト分割”しないとAWSとオンプレを分離できない • DNSのフォーワーダー設定が異常にめんどうになる • EC2はAmazon DNSへフォーワード可能、 オンプレはAmazon DNSへフォーワード不可 • 一見いいとこ取りに見えるが、結構罠が多い • サイト設計、DNS設計をきちんとできる人向け • 大規模環境でないと構築・運用コストがペイしなそう
  18. 54 AWSでADを構築する際のサイト設計 地味にちゃんと書いているドキュメントが無い クイックスタートでは Region 毎にサイト分割する 設計になっている • 個人的には Region

    毎の分割で良いと思ってる • 対障害性を考えると AZ 毎の分割をしたほうが良い… のだが、現実問題として綺麗なAZ障害なんて無い… • オンプレ環境とAWS環境でサイトを分けるかは、正直、 ケースバイケース • ADDSがオンプレ/AWSに混在する場合は分けておいたほうが 安全
  19. 55 Active Directoryのバックアップ オフィシャルな方法は、Windows Server Backup によるバックアップのみ • ADは内部でExtensible Storage

    Engine (ESE) と呼ば れるデータベースを使っている =EBSのスナップショットはバックアップにならない • ADDS on EC2の場合、ADDSの内最低2台以上で バックアップ専用のEBSを追加アタッチしておく • 全ADDSでバックアップを取得する方が設計・運用は楽 • バックアップには有効期限があるので定期的に取得すること • 読み取り専用ドメインコントローラー(RODC)は対象外
  20. 56 Active Directoryのリストア Active Directoryのデータベースはレプリケーション されている。 このため、ADDS on EC2の場合、何の調整もなく Root

    Volumeのスナップショットを戻すリストアを してしまうと過去データをレプリケーションしてしまい 不整合に陥る。 • ADDSはEBSスナップショットからリストアしない • Hyper-Vは「VM-generation ID」を導入して この問題を解決(詳細はググって)
  21. 58 AWS Managed Microsoft ADのバックアップ AWS Managed Microsoft ADでは 「スナップショット」というバックアップがある

    • 自動バックアップ、手動取得も可能 • バックアップの実体は不明 • リストアはAWSに完全におまかせ (90分程度のダウンタイムが発生する)
  22. 66