AWS

【AWS】AWS Directory Serviceとは?徹底解説!

  • このエントリーをはてなブックマークに追加



AWS Directory Serviceとは?

AWS Directory Serviceとは、AWSの提供するマネージドなディレクトリサービスです。

Active Directoryの互換サービスとなっており、デフォルトで冗長化・バックアップが設定済みとなっております。

AWS Directory Serviceには、以下の3つのディレクトリ設定パターンが存在します。

  1. AWS Managed Microsoft AD:AWSがホストするマネージドなActive Directoryサービスで、オンプレミスのActive Directoryと同様の機能を提供します。
  2. AD Connector:オンプレミスの既存Active DirectoryとAWSのリソースを連携するためのプロキシサービスです。AD Connectorを使用することで、クラウド側でユーザー管理を行わず、オンプレミスの認証情報を使ってAWSのリソースにアクセスすることができます。オンプレのみでユーザー管理を行うシンプルな構成となります。
  3. Simple AD:AWSがホストする、Active Directoryのライトバージョン(Active Directoryと互換性のあるSamba4サービスを利用)です。オンプレミスのActive Directoryと同様の基本機能を提供しますが、Active Directoryのフルバージョンとは異なり、一部の機能が制限されています。5000ユーザー以下でユーザー管理にて有効で、ユーザーとグループ管理だけで十分な場合などに利用されます。また、オンプレミスのAcitive Directoryと信頼関係を結ぶ事は出来ません。

AWS Managed Microsoft ADは、Active Directoryと同様の機能を持ち複数のAWSアカウントでシームレスな認証が可能となります。

AD Connectorは、オンプレミスのActive DirectoryとAWSのリソースをセキュアに連携させることができます。

Simple ADは、比較的小規模な組織やアプリケーション向けのディレクトリサービスとして最適です。

料金

AWS Directory Serviceの課金体系はディレクトリタイプや作成サイズによって異なり、以下の様になります。

  1. AWS Managed Microsoft AD:AWS Managed Microsoft ADには、1時間あたり0.1460USDが課金されるStandard Editionと、1時間あたり0.4450USDが課金されるEnterprise Editionが存在します。これらは概算値であり、アプリケーションの動作やパフォーマンスにより増減する可能性があります。
  2. AD Connector:1時間あたり0.08USDが課金されるスモールサイズと1時間あたり0.24USDが課金されるラージサイズが存在します。
  3. Simple AD:1時間あたり0.08USDが課金されるスモールサイズと1時間あたり0.24USDが課金されるラージサイズが存在します。

また、最初の30日間は無料での利用が可能です。

詳細については、AWS公式ページ(AWS Managed Microsoft AD)AWS公式ページ(AD Connector , Simple AD)を参照下さい。

ユースケース

AWS Directory Serviceには主に以下の様なユースケースがあります。

  1. マネージドADサーバーの構築:マルチAZや自動バックアップでディレクトリの管理負担を削減できます(ただし既存ADフォレストへの参加は非対応となります)。
  2. オンプレミスADのID情報をAWSにて利用:信頼関係設定により、オンプレミスADのID情報をAWSで利用可能となります。ADやサーバーを増やしたくない場合はAD Connectorを利用可能です。AD ConnectorはオンプレもしくはEC2サーバーに存在するAD情報を参照し、別サービスに受け渡すプロキシ的な役割を果します。
  3. 中・小規模な組織にで利用するディレクトリサービスとして利用する:Simple ADを利用して、低コストでドメインコントローラーを作成する事が可能です。ただしWindowsベースではない為、制約も存在します。

ハンズオン概要

以下で実際にAWS Directory Serviceを利用していきます。

AWS Directory ServiceにてAWS Managed Microsoft Active Directoryを利用し、Acitive Directoryを構築した後、Acitive Directory管理用のEC2インスタンスを構築します。

利用手順

※当ページでは2023年4月現在のDirectory Serviceについて解説します。クラウドサービスは頻繁にアップデートが施されるため、仕様が異なる可能性があります。

ログイン

まずは、AWS公式ページからAzureにログインしましょう。

VPCの作成

AWS Directory Serviceを作成するには、2つの異なるAZに配置されたサブネットを保持したVPCを1つ作成する必要があります。

以下の条件のVPCを作成します。

  • 名前:test-ds-vpc
  • IPv4 CIDR ブロック:10.0.0.0/16
  • AZの数:2
  • プライベートサブネットの数:2

AWS Directory Serviceの作成

検索バーに”Directory Service”と入力し、”Directory Service”を選択します。

遷移先にて、”ディレクトリのセットアップ”を押下します。

ステップ1の”ディレクトリタイプを選択”では、”AWS Managed Microsoft AD”を選択し、”次へ”を押下します。

前述の通り、ディレクトリタイプには複数の選択肢がありますが、今回はAWS Management ADを利用します。

ステップ2の”ディレクトリ情報を入力”では、以下の様に設定を行います。

  • エディション:Standard Editionを選択します。
    • Standard Edition:小中規模なビジネスに利用します。1GBのストレージが提供され、最大300000個のディレクトリオブジェクトを登録できます。
    • Enterprise Edition:大規模なビジネスに利用します。17GBのストレージが提供され、最大500000個のディレクトリオブジェクトを登録できます。また、Enterprise Editionでは、ディレクトリデータを複数のリージョンに自動的にレプリケートするので、複数リージョンでの同期が可能です。
  • ディレクトリのDNS名:作成するディレクトリのFQDNを設定します。ここで指定したDNS名がディレクトリのDNS名となります。こちらのDNS名はVPC内の名前解決でのみ利用されます。今回は”test.com”と指定します。
  • ディレクトリのNetBIOS名:ディレクトリを一意に特定する為の短い識別子です。任意の項目となります。今回は指定しません。
  • ディレクトリの説明:ディレクトリに関する任意の説明を記載します。
  • Adminパスワード:ユーザー”Admin”に対し、パスワードを付与します。
  • パスワードを確認:パスワードの再確認です。Adminパスワードで入力した値と同じものを入力します。

Step3の”VPCとサブネットを選択”では以下の様に先程作成したVPCを選択します。

上記の設定が完了したら、”作成”を押下します。作成には数十分掛かります。

EC2の作成

作成したAWS Managed Microsoft ADを管理するEC2を作成します。このEC2にログインし、AWS Managed Microsoft ADにユーザーを追加・削除したり、権限の付与などを行います。

EC2の作成画面より以下を設定します。※詳細のEC2作成方法については、【AWS】EC2とは?徹底解説!を参照下さい。

“Name and tags”は以下の様に設定します。

“アプリケーション及びOSイメージ(Amazon マシンイメージ)”はWindowsを選択します。

サブネットは先程作成した、Directory Serviceと同じものを利用します。その他の設定はデフォルトとします。

EC2インスタンスが作成できたら、”接続”を押下し、RDP接続を行います。

EC2のドメイン参加

RDP接続が完了したら、各種設定を行い、EC2がAWS Managed Microsoft Active DirectoryにAdminとして参加できるようにします。

RDP接続したら、左下の検索バーに”ncpa.cpl”と入力・押下します。

“Ethernet”を右クリックし、”Properties”を押下します。

“Inernet Protocol Version 4″を選択し、”Properties”を押下します。

“Prefferd DNS Service”にDirectory ServiceのIPアドレスを登録し、OKを押下します(Directory ServiceのIPアドレスの参照方法は以下を参照)。

IPアドレスは以下のようにDirectory ServiceのDNSアドレスより参照します。2つIPアドレスが表示されていますが、どちらを利用しても問題ありません。

エクスプローラーを開き、”This PC”を右クリック、”Properties”を選択します。

表示されたポップアップをスクロールし、”Rename this PC(advanced)”を押下します。

“Change”を押下します。

“Domain”にDirectory Serviceに付与したDNS名を登録します。

“OK”を押下すると、ポップアップが表示されますので、ユーザー:Admin、 パスワード:Directory Service作成時に作成したパスワードを入力します。

※エラーが発生する場合は、Powershellにて”ipconfig /all”コマンドを利用し、”DNS Servers”にDirectory ServiceのIPアドレスが登録されている事を確認した後、”ping ${Directory ServiceのDNS名}”コマンドで通信がDirectory Serviceへ到達するか確認します。

再起動が要求されるため、”Restart Now”を選択し、再起動します。

再起動が正常に完了したら、ドメイン参加が完了です。

Acitive Directory管理ツールのインストール

EC2にAcitive Directoryを管理する為のツールをインストールします。

EC2インスタンス一覧画面に移動し、再起動したインスタンスに接続します。

接続時は、”${Directory ServiceのDNSから.comを除いた文字列}\Admin”とAdminパスワードを利用してログインします。

RDP接続が完了したら、Server Managerを開き、”Add roles and features”を選択します。

“Before You Begin”タブは、デフォルトのままで”Next”を押下します。

“Installation Type”では、デフォルトの”Role-based or feature-based installation”を押下します。

“Server Selection”タブもデフォルトのまま”Next”を押下します。

“Server Roles”タブもデフォルトのままで”Next”を押下します。

“Features”タブでは、”Remote Server Administration Tools”配下”Role Administration Tools”の下の”AD DS and AD LDS Tools”, “Active Directory Certificate Services Tools”, “Active Directory Rights Management Services Tools”を選択し、”Next”を押下します。

“Confirmation”タブでは内容を確認し、”Install”を押下します。

インストールが完了したら再起動を行い、再度EC2インスタンス一覧画面より、接続を行います(Directory ServiceのAdminユーザーでログインします)。

Active Directory管理

上記のインストールが完了したら、Active Directoryの管理を実施してみます。今回はユーザーの追加を行ってみます。

ログインしたら、”Windows Administrative Tools”を押下します。

“Active Directory users and Computers”を押下します。

test.com > test > Usersのディレクトリに移動し、右クリックでNew > Userから新規ユーザーを追加します。

任意の名前とログインにて利用する名前を設定します。

同じようにパスワードも設定します。

作成したユーザーが追加されていれば完了です。上記の手順にてActive Directoryの管理を行います。

関連記事

【AWS】EC2とは?徹底解説!

  • このエントリーをはてなブックマークに追加

お問い合わせ

    このサイトはreCAPTCHAによって保護されており、Googleのプライバシーポリシー利用規約が適用されます。

    コメントを残す

    *