図 7 に示されている、このシナリオでは、分離型のスタンドアロン環境で、
AWS Cloud に AD DS がデプロイされています。このシナリオでは、AWS
Directory Service だけが使用されます。AD DS を自分でフルに管理する代わりに、
可用性の高いディレクトリトポロジの構築、ドメインコントローラーのモニタリ ング、バックアップとスナップショットの設定などのタスクに AWS Directory Service を使用できます。
図 7: クラウドのみ - AWS Directory Services (Microsoft AD)
31/55 ページ
シナリオ 2 と同様、2 つのアベイラビリティーゾーンにまたがる専用サブネット に AD DS (Microsoft AD) をデプロイし、AWS Cloud での AD DS の可用性を高め ます。Microsoft AD に加えて、WorkSpaces 認証または MFA 用に AD Connector がデプロイされます (3 つのシナリオすべてに共通)。これにより、Amazon VPC 内でロールや機能を分離することができます。これは、標準的なベストプラク ティスです (「設計上の考慮事項」でネットワークの分離に関する記述を参照し てください)。
シナリオ 3 は、すべてが含まれた標準的な設定であり、AWS Directory Service のデプロイ、パッチ、高可用性、モニタリングを AWS で管理したいお客様に適 しています。このシナリオは分離型であるため、本稼働に加えて、PoC (実証支 援) やラボ環境にも適しています。
図 7 では、AWS Directory Service の配置に加えて、ユーザーからワークスペー スへのトラフィックフローや、ワークスペースと AD サーバーおよび MFA サー バーとのやり取りについても示しています。
このアーキテクチャでは、次のコンポーネントまたは構造が使用されます。
アマゾン ウェブ サービス:
Amazon VPC: 2 つのアベイラビリティーゾーンに 4 つ以上のプライベー トサブネット (AD DS (Microsoft AD) 用に 2 つ、AD Connector または WorkSpaces 用に 2 つ) を持つ Amazon VPC を作成します (ロールの分離)。
DHCP オプションセット: Amazon VPC DHCP オプションセットを作成し ます。これにより、お客様指定のドメイン名と DNS (Microsoft AD) の定義 が可能になります。詳細については、「DHCP オプションセット」を参照 してください。
32/55 ページ
オプション: Amazon 仮想プライベートゲートウェイ: IPsec VPN トンネ ル (VPN) または AWS Direct Connect 接続を通じて、独自のネットワーク との通信を可能にします。オンプレミスのバックエンドシステム用に使用 します。
AWS Directory Service: Microsoft AD は、専用の VPC サブネットのペ アにデプロイされます (AD DS マネージドサービス)。
Amazon EC2: お客様の "オプションの" RADIUS サーバー (MFA 用)。
AWS Directory Service: AD Connector は、Amazon VPC プライベート サブネットのペアにデプロイされます。
Amazon WorkSpaces: WorkSpaces は、AD Connector と同じプライベー トサブネットにデプロイされます (「設計上の考慮事項」で AD Connector に関する記述を参照してください)。
お客様:
オプション: ネットワーク接続: 会社の VPN または AWS Direct Connect エ ンドポイント。
エンドユーザーデバイス: Amazon WorkSpaces サービスへのアクセスに使 用される、会社または BYOL のエンドユーザーデバイス (Windows、Mac、 iPad または Android タブレット、ゼロクライアント、Chromebook など) (「サポートされるプラットフォームとデバイス」を参照してください)。 シナリオ 2 と同様、このソリューションには、お客様のオンプレミスデータセン ターへの接続に対する依存、レイテンシー、データ送信コストの問題がありませ
ん (VPC 内で WorkSpaces に対するインターネットアクセスが有効になっている
場合を除く)。このシナリオは、分離型またはクラウドのみのシナリオとして設 計されているためです。
33/55 ページ
設計上の考慮事項
十分に機能する AD DS を AWS Cloud にデプロイするには、Active Directory の 概念と特定の AWS サービスについてよく理解しておく必要があります。このセ クションでは、WorkSpaces 用に AD DS をデプロイする場合の設計上の重要な考 慮事項について説明します。また、AWS Directory Service を使用する場合の VPC のベストプラクティス、DHCP および DNS の要件、AD Connector の仕様、
Active Directory のサイトとサービスについても説明します。
VPC の設計
このドキュメントの「ネットワークに関する考慮事項」セクションに記載されて いるとおり、また、シナリオ 2 および 3 について説明したとおり、AWS Cloud の AD DS は、2 つのアベイラビリティーゾーンにまたがるプライベートサブ ネットの専用ペアにデプロイし、AD Connector または WorkSpaces のサブネッ トから分離する必要があります。このような構造にすることで、Amazon VPC 内 でロールや機能の分離に関する標準的なベストプラクティスを維持しつつ、
WorkSpaces への AD DS サービスに対して、可用性が高くレイテンシーを抑えた
アクセスを提供できます。
図 8 では、専用のプライベートサブネットへの AD DS と AD Connector の分離
(シナリオ 3) を示しています。この例では、すべてのサーバーが同じ Amazon
VPC にあるものと想定しています。
34/55 ページ
図 8: AD DS ネットワーク分離
図 9 は、シナリオ 1 と似た設計を示していますが、このシナリオでは、オンプレ ミス部分が専用の Amazon VPC に配置されています。
図 9: 専用の WorkSpaces VPC
注意: 既存の AWS デプロイメントで AD DS を使用している場合 は、WorkSpaces を専用の VPC に配置し、AD DS の通信用に VPC ピア接続を使用することをお勧めします。
35/55 ページ
AD DS 用の専用プライベートサブネットの作成に加えて、ドメインコントロー
ラーとメンバーサーバーには、AD DS レプリケーション、ユーザー認証、
Windows Time サービス、分散ファイル システム (DFS) などのサービスにトラ フィックを許可するために、複数のセキュリティグループルールが必要になり ます。
注意: ベストプラクティスでは、必要なセキュリティグループの ルールを WorkSpaces のプライベートサブネットに制限し、シナリ オ 2 の場合は、次の表に示すように、オンプレミスと AWS Cloud との間で双方向の AD DS 通信を有効にします。
プロトコル ポート 用途 送信先
tcp 53, 88, 135, 139, 389, 445, 464, 636
認証
(プライマリ)
Active Directory (プライベート データセンターまたは EC2)*
tcp 49152 – 65535 RPC
ハイポート Active Directory (プライベート データセンターまたは EC2)**
tcp 3268-3269 信頼 Active Directory (プライベート
データセンターまたは EC2)*
tcp 9389 リモートの
Microsoft Windows PowerShell ( オプション)
Active Directory (プライベート データセンターまたは EC2)*
udp 53, 88, 123, 137, 138, 389, 445, 464
認証
(プライマリ)
Active Directory (プライベート データセンターまたは EC2)*
udp 1812 認証 (MFA)
(オプション)
RADIUS (プライベートデータ センターまたは EC2)*
36/55 ページ
* 「Active Directory and Active Directory Domain Services Port Requirements」
を参照してください。
**「Windows のサービス概要およびネットワーク ポート要件」を参照してくだ
さい。
ルールを実装する詳しい手順については、Amazon Elastic Compute Cloud ユー ザーガイドの「セキュリティグループへのルールの追加」を参照してください。
VPC の設計: DHCP と DNS
Amazon VPC では、デフォルトで、インスタンスに DHCP サービスが提供され
ます。デフォルトでは、すべての VPC は、内部 DNS サーバーを提供します。こ の DNS サーバーは、Classless Inter-Domain Routing (CIDR) +2 のアドレス空間 を通じてアクセスでき、デフォルトの DHCP オプションセットを通じてすべて のインスタンスに割り当てられます。
DHCP オプションセットは、ドメイン名などの範囲オプションや、DHCP を介し てインスタンスに渡すべきネームサーバーを定義するために、Amazon VPC 内で 使用されます。VPC 内で Windows サービスが正しく動作するかどうかは、この
DHCP の範囲オプションによって左右されるため、正しく設定する必要がありま
す。前に示した各シナリオでは、ドメイン名とネームサーバーを定義する独自の 範囲を作成し、割り当てます。これにより、ドメインに参加した Windows イン スタンスまたは WorkSpaces が、Active Directory DNS を使用するように設定さ れます。次の表は、WorkSpaces と AWS Directory Services が正しく動作するた めに作成する必要のある DHCP 範囲オプションのカスタムセット例を示してい ます。
37/55 ページ
パラメーター 値
名前タグ
キーに name、value に特定の文字列を指定し て、タグを作成します。
例: exampleco.com
ドメイン名 exampleco.com
ドメインネームサーバー
カンマで区切った、DNS サーバーの IP アドレ ス。
例: 10.0.0.10、10.0.1.10
NTP サーバー このフィールドは空白にしておきます。
NetBIOS ネームサーバー
ドメインネームサーバーと同様に、コンマで区 切った IP を入力します。
例: 10.0.0.10、10.0.1.10
NetBIOS ノードの種類 2
カスタム DHCP オプション設定を作成し、Amazon VPC と関連付ける方法の詳 細については、Amazon Virtual Private Cloud ユーザーガイドの「DHCP オプ ションセットを使用する」を参照してください。
シナリオ 1 では、DHCP 範囲はオンプレミスの DNS または AD DS になります。
これは、シナリオ 2 または 3 では、ローカルにデプロイされたディレクトリサー ビスになります (Amazon EC2 の AD DS か、AWS Directory Services: Microsoft
AD)。AWS Cloud に配置する各ドメインコントローラーを、グローバルカタログ
とディレクトリが統合された DNS にすることをお勧めします。
38/55 ページ
Active Directory: サイトとサービス
シナリオ 2 では、サイトとサービスは AD DS の正しい機能の重要なコンポーネ ントです。サイトトポロジは、同じサイト内のドメインコントローラーや、サイ トの境界を超えたドメインコントローラーの間で Active Directory レプリケー ションを制御します。シナリオ 2 では、2 つ以上のサイトが存在します (オンプ レミスとクラウド内の AWS WorkSpaces)。正しいサイトトポロジを定義するこ とにより、クライアントアフィニティを確保できます。つまり、クライアント
(この場合は WorkSpaces) に、クライアント側で指定されたローカルドメインコ
ントローラーが使用されます。
図 10: Active Directory サイトとサービス: クライアントアフィニティ
ベストプラクティス: オンプレミスの AD DS と AWS Cloud との間 のサイトリンクについて、最大コストを定義しておきます。図 10 は、サイトに依存しないクライアントアフィニティを確保するため にサイトリンクに割り当てるコストの例です (コスト 100)。
39/55 ページ
このような関連付けにより、AD DS レプリケーション、クライアント認証など のトラフィックで、ドメインコントローラーへの最も効率的なパスが使用される ようになります。シナリオ 2 および 3 の場合は、レイテンシーの短縮とクロスリ ンクトラフィックの削減につながります。
Multi-Factor Authentication (MFA)
MFA を実装するには、WorkSpaces インフラストラクチャで AWS Directory Service として AD Connector を使用し、RADIUS サーバーを指定する必要があり ます。このドキュメントでは RADIUS サーバーのデプロイメントについては説 明しませんが、前の「AD DS デプロイメントのシナリオ」セクションには、各 シナリオでの RADIUS の配置について記載されています。
MFA – 2 要素認証
Amazon WorkSpaces では、AWS Directory Service である AD Connector と、お 客様所有の RADIUS サーバーを通じて MFA がサポートされます。有効になる と、ユーザーは各自の WorkSpace デスクトップへの認証用に、WorkSpaces ク ライアントに [Username]、[Password]、および [MFA Code] を指定するよ う求められます。
図 11: MFA が有効になった場合の WorkSpaces クライアント