AWSエンジニアのためのActive Directory入門

AWSエンジニアのための Active Directory入門 2020.05.12 第42回このサービスは俺に聞け勉強会 (クラスメソッド社内勉強会) Takuya Shibata

2 自己紹介 Takuya Shibata - AWS事業本部コンサルティング部 - ソリューションアーキテクト -
2018年12月入社 - Microsoft MVP (PowerShell) - 好きなAWSサービス

3 はじめにわたしは PowerShell のMVPですが、 Active Directory のMVPではないので過度な期待はしないでネ！

4 アジェンダ 1. Active Directoryとは 2. AWS と Active Directory
3. AWS 環境での Active Directory 構成例 4. その他もろもろ (時間があれば)

5 Active Directoryとは

6 Active Directoryとは Microsoftの提供する「ディレクトリサービス」とりあえずは「組織内のコンピューターとユーザーを一元管理するやつ」くらいの認識でOK • コンピューター •
コンピューター名、OS • ユーザー、グループ • ユーザーアカウント、各種属性 • 権限まわり • 認証まわり

7 基本的な概念ドメイン、フォレスト、信頼関係

8 基本的な概念信頼関係の方向 • 信頼関係には「方向」がある（片方向、双方向）

9 基本的な概念オブジェクト • ドメインにおける管理対象のこと • 主なオブジェクトは以下 (他にももっとあるヨ) オブジェクト説明
特記事項ユーザードメインに参加するユーザー Windowsのログオンユーザーコンピュータードメインに参加するコンピュータープリンタードメインで使用するプリンター共有フォルダドメインで使用する共有フォルダグループユーザーをまとめる器・主にアクセス権設定に使用セキュリテグループ、配布グループの種別がある組織単位 (OU) ADのオブジェクトをまとめる器・グループポリシーの適用単位・権限委任の適用単位名前に反して実際の組織構造を反映させる必要は無い (もちろん反映しても良い)

10 基本的な概念グループポリシー • ドメインに参加しているコンピューターおよびユーザーに対して可能な一括設定（大抵は機能制限）

11 基本的な概念グループポリシー • ポリシーの適用単位は “基本”OU • サイトポリシー、ドメインポリシーもある (必要になるケースはそう多くない) •
セキュリティフィルターといった適用条件も設定可能 (必要なときだけ使う)

12 基本的な概念グループポリシー • グループポリシーの実体は所定のレジストリキー • クライアントPCがドメインコントローラーからポリシー設定を取得し反映される • ポリシーは
基本３値フラグ (もちろん、そうでないものも沢山ある) 状態レジストリ設定特記事項未構成レジストリキーが無い状態この場合OS既定の設定となる有効キーに有効値が設定される 1(DWORD) などの値無効キーに無効値が設定される 0(DWORD) などの値

13 基本的な概念グループポリシー基本設定 • Windows Server 2008からの機能 • 「基本設定」は通常のポリシーと別物ドメインに参加するPCやユーザーへ
所定の初期設定を実施する仕組み • 実施するだけなので、設定を間違えた場合は効果が無い (通常ポリシーの様な強制力が無い) • 通常ポリシーの様に設定を差し戻すことができない (Tattooing)

14 Active Directoryの実体 Active Directoryの各種機能はWindows Serverの “役割”として実装されている • Active Directory
Domain Service (ADDS) • Domain Name Service (DNS) • その他ゆかいな仲間たち • Active Directory Certificate Services (ADCS) • Active Directory Federation Services (ADFS) • Active Directory Rights Management Service (ADRMS) • Active Directory Lightweight Directory Service (ADLDS)

15 Active Directory Domain Service (ADDS) と DNS こいつがいわゆるActive Directory本体
• みんなが「ドメインコントローラー」って言ってるやつ • Active Directoryは内部でDNSを使うのでほぼ全ての場合でDNSサーバーと兼務される (Active Directory統合DNSゾーン) • ADDSが落ちるとADは死ぬので冗長化が必須 • 複数台によるレプリケーションが標準装備 • Flexible Single Master Operation (FSMO : フィズモ) • 操作マスタとも • ADは基本Multi-Masterだが、特定機能だけはSingle-Masterである必要があり、それがFSMO

16 Active Directory Domain Service (ADDS) と DNS ADにおけるDNSの使いどころ •
特殊なゾーンにADに係る情報を格納している

17 Active Directory Domain Service (ADDS) と DNS レプリケーション •
サイト : 雑に言うとレプリケーション境界 • 基本的には地理境界と合わせる（AWSにおいては AZ や Region) • 設定としてはサブネット単位でサイト分割 • クライアントの認証先を決めるのにも使われる

18 Azure Active Directory (Azure AD) Active Directory と Azure
Active Directory はまったくの別物だよ！気を付けてね！ • さらにややこしい話をすると、 Azure Active Directory Domain Services も別物だよ！ • こっちはAzure AD Domain Services とも言われ、 AWSで言うところのAWS Managed Microsoft AD と同等のサービス

19 Azure Active Directory (Azure AD) https://jpazureid.github.io/blog/azure-active-directory/azure-ad-ds-scenario/ 今日はここの話！

20 AWS と Active Directory

21 AWS Directory Service

22 AWS Directory Service

23 Simple AD できること • ユーザー、グループ管理 (最大ユーザー数制限あり) • グループポリシー •
Kerberos認証SSO ADDSでなくて Samba 4 によるAD互換サービス • 名前のとおり機能は限定的できないこと • 信頼関係の構築 • Active Directory管理センター • PowerShell管理 • ごみ箱機能 • gMSO • スキーマ拡張

24 AWS Managed Microsoft AD (Microsoft AD) AWSが管理する Windows Server
2012 R2 による Active Directoryサービス • 最低 2AZ (2Subnet) に2台のADDS + DNS • 設定でサーバー台数は増やせる • マネージドサービスなのでサーバー運用はAWSがやってくれる (自動メンテナンス)

25 AWS Managed Microsoft AD (Microsoft AD) AWSが管理するのでADのすべての機能は使えない (＝サーバーやドメインの管理者にはなれない) •
管理者ユーザーは admin (≠ administrator) • AWS Delegated Administrators グループ (≠ Domain Admins / Enterprise Admins) • ユーザーが使えるOUが限定されている • [NetBIOS名] OU • Computers OU / Users OU • 上記OUの配下に独自のOUをつくって運用

26 AWS Managed Microsoft AD (Microsoft AD) 基本的なところは Developers.IO 見て！
• AWS Managed Microsoft ADを試してみた (2019年版) • https://dev.classmethod.jp/articles/try-microsoft-ad-2019/ • Microsoft AD(AWS Directory Service)を利用する上で注意すること • https://dev.classmethod.jp/articles/notes-for-microsoft-ad-aws-directory-service/ • Microsoft AD(AWS Directory Service)でパスワードポリシーが管理できるようになりました • https://dev.classmethod.jp/articles/aws-directory-service-microsoft-ad-password-policy/ • [アップデート]Microsoft AD(AWS Directory Service)でDCを追加して冗長性と性能を向上できます • https://dev.classmethod.jp/articles/microsoft-ad-aws-directory-service-increase-dc/ 他にもいっぱい記事はあるヨ！

27 Active Directory Connector (AD Connector) AD Connector は、クラウドの情報をキャッシュせずにディレクトリリクエストをオンプレミスの
Microsoft Active Directory へリダイレクトするのに使用するディレクトリゲートウェイです。 - 管理ガイドより引用

28 Active Directory Connector (AD Connector) AWSサービスがAWSで管理されていないADへアクセスするためのゲートウェイ、もしくは、 AWSで管理されていないADをAWSから認識可能にする (ディレクトリIDを付ける)ためのサービス

29 Active Directory Connector (AD Connector) ディレクトリIDを付けるのが目的のひとつなので、 AD Connector と
ドメインは 1対1 で紐づく

30 AWS 環境での Active Directory 構成例

31 AWS 環境での Active Directory 構成例ちょっと古いけどこのBlack Beltの資料見て！ • https://www.slideshare.net/AmazonWebServicesJapan/aws-
black-belt-online-seminar-2016-awsactive-directory

32 AWS 環境での Active Directory 構成例４つのシナリオ 1. オンプレ環境にあるADDSをAWSから使う 2.
オンプレ環境とAWS上にADDS(on EC2)を構築 3. AWSにADDS on EC2を構築 4. AWSにAWS Managed Microsoft ADを構築

33 1.オンプレ環境にあるADDSをAWSから使う

34 1.オンプレ環境にあるADDSをAWSから使う

35 1.オンプレ環境にあるADDSをAWSから使う • ADはローカルネットワークで疎通する必要がある • VPNやDirect Connectによる接続が必須 • VPNやDirect Connect回線が死ぬとAWS側接続が全滅する
• 単純にEC2がドメインに参加するだけならAD Connector は必須ではない • AD ConnectorはWorkSpacesなどのサービス利用が基本 • DNSがオンプレにあることによるめんどうくささ • Amazon DNSはVPC外からのクエリを受け付けない＝Route 53 Resolverといったフォーワーダーが必要になる場合 • VPC Endpoint(Private Link)を使うばあい

36 DNSがオンプレにあることによるめんどうくささ

37 2.オンプレ環境とAWS上にADDS(on EC2)を構築

40 DNSのフォーワーダー設定はさらにめんどうくさい

41 設定を複製させず個別に設定する？

42 設定を複製させRoute 53 Resolverに寄せる？

43 2.オンプレ環境とAWS上にADDS(on EC2)を構築 • AWSからのアクセスをADDS on EC2に寄せることで耐障害性を上げる • DNSは個別設定、DHCPオプションセットで分離可能
• 認証は”サイト分割”しないとAWSとオンプレを分離できない • DNSのフォーワーダー設定が異常にめんどうになる • EC2はAmazon DNSへフォーワード可能、オンプレはAmazon DNSへフォーワード不可 • 一見いいとこ取りに見えるが、結構罠が多い • サイト設計、DNS設計をきちんとできる人向け • 大規模環境でないと構築・運用コストがペイしなそう

44 3. AWSにADDS on EC2を構築

47 3. AWSにADDS on EC2を構築 • 良くも悪くもADDSをただシフトしただけ • ADの全機能を使いたい人向け •
オンプレADからAWSへ移行する人向け

48 4. AWSにAWS Managed Microsoft ADを構築

51 4. AWSにAWS Managed Microsoft ADを構築 • ADの全機能を使わなくても良い人向け • AWSサービスとの連携でADが欲しい人向け
• オンプレADとは信頼関係を結ぶだけで良い人向け

52 より高度なActive Directory構成例 re:Inventに良いセッションがあります！ブログ書いてるので見て！！ • https://dev.classmethod.jp/articles/re-invent-2019-report-win312-shibata/

53 その他もろもろ

54 AWSでADを構築する際のサイト設計地味にちゃんと書いているドキュメントが無いクイックスタートでは Region 毎にサイト分割する設計になっている • 個人的には Region
毎の分割で良いと思ってる • 対障害性を考えると AZ 毎の分割をしたほうが良い… のだが、現実問題として綺麗なAZ障害なんて無い… • オンプレ環境とAWS環境でサイトを分けるかは、正直、ケースバイケース • ADDSがオンプレ/AWSに混在する場合は分けておいたほうが安全

55 Active Directoryのバックアップオフィシャルな方法は、Windows Server Backup によるバックアップのみ • ADは内部でExtensible Storage
Engine (ESE) と呼ばれるデータベースを使っている＝EBSのスナップショットはバックアップにならない • ADDS on EC2の場合、ADDSの内最低2台以上でバックアップ専用のEBSを追加アタッチしておく • 全ADDSでバックアップを取得する方が設計・運用は楽 • バックアップには有効期限があるので定期的に取得すること • 読み取り専用ドメインコントローラー(RODC)は対象外

56 Active Directoryのリストア Active Directoryのデータベースはレプリケーションされている。このため、ADDS on EC2の場合、何の調整もなく Root
Volumeのスナップショットを戻すリストアをしてしまうと過去データをレプリケーションしてしまい不整合に陥る。 • ADDSはEBSスナップショットからリストアしない • Hyper-Vは「VM-generation ID」を導入してこの問題を解決（詳細はググって）

57 Active Directory障害対策 “プロ”の資料見て！ • https://www.slideshare.net/wintechq/active-directory-13260358

58 AWS Managed Microsoft ADのバックアップ AWS Managed Microsoft ADでは「スナップショット」というバックアップがある
• 自動バックアップ、手動取得も可能 • バックアップの実体は不明 • リストアはAWSに完全におまかせ (90分程度のダウンタイムが発生する)

59 Active Directoryの移行、バージョンアップ ADDSのインプレースアップグレードは切り戻しができないので極力やらない方が良いざっくり以下の手順でやるほうが良い 1. 新バージョンのADDSを新たにドメイン参加 2. 新バージョンのADDSをドメインコントローラーに昇格
3. 新バージョンのADDSにFSMOを転送 4. 旧バージョンのADDSを降格 5. 旧バージョンの元ADDSサーバーを脱ドメイン

60 ざっくり例 : 初期状態

61 ざっくり例 : 移行先EC2の構築

62 ざっくり例 : ドメインコントローラー昇格

63 ざっくり例 : FSMO転送

64 ざっくり例 : 旧サーバーの降格、ドメイン離脱

65 まとめ Active Directory完全に理解した？フィードバック、マサカリはいつでも歓迎です

AWSエンジニアのためのActive Directory入門

AWSエンジニアのためのActive Directory入門

More Decks by Takuya Shibata

Other Decks in Technology

Featured

Transcript