7. Active Directoryサービス
• Active Directoryドメインサービス (AD DS)
• Active Directory フェデレーションサービス(ADFS)
• Active Directory 証明書サービス (AD CS)
• Active Directory ライトウェイトディレクトリサービス
(AD LDS)
• Active Directory Rights Managementサービス
(AD RMS)
11. OU(組織単位)の構造
• OU(組織単位)の中にユーザー、コンピュータ、グ
ループなどのオブジェクトが配置される
• グループポリシーの適⽤用範囲
Active Directoryドメイン
営業部 OU 経理部 OU
Member 001
Member 002
Member 003
Member 004
Member 101
Member 102
Member 103
Member 104
12. Flexible Single Master Operation(FSMO)
• Active Directoryドメインコントローラ(DC)には
FSMOと呼ばれる特別な役割があります。
• スキーマ・マスタ
– Active Directoryのデータベーススキーマを管理理
• ドメイン名前付け操作マスタ
– フォレストにおけるドメインの追加/削除
• RIDマスタ
– オブジェクトの固有識識別に使⽤用するSIDの⼀一部、RIDを管理理
• PDCエミュレータ
– NTドメインのプライマリドメインコントローラをエミュレート
• インフラストラクチャ・マスタ
– グループに所属しているユーザーアカウントの情報を管理理
14. AWS 上に DC を配置する場合
• 新規のActive Directory ドメインサービスの構築
Availability Zone Availability Zone
Direct Connect
VPN Connection
DC
(FSMO1)
クライアント
DC
(FSMO2)
・AZ を利利⽤用した冗⻑⾧長化
・リストア⽅方法について要検討
15. 既存DCを利利⽤用し、ハイブリッド運⽤用する場合
• 既存のActive Directory環境をAWSに拡張
DC
(FSMO)DCDC
Availability Zone Availability Zone
Direct Connect
VPN Connection
(FSMO)
クライアント
AZ を利利⽤用した冗⻑⾧長化
FSMO の配置場所を選定(AWS もしくは⾃自社環境)
16. DNS の配置
• 障害発⽣生時にも名前解決ができる状態を確保する
DNSDNSDNS
Availability Zone Availability Zone
Direct Connect
VPN Connection
DC
(FSMO)
DCDC
(FSMO)
クライアント
この障害の例例では、⾃自分⾃自⾝身に DNS がイ
ンストールされていないと名前解決ができ
ない状態に陥る。名前解決ができる状態を
確保することで DC の孤⽴立立を防ぐ。
17. 参照先 DNS の指定
• NIC の TCP/IP の設定
– 参照先 DNS には、DC 上の DNS を指定する
– AWS が提供する DNS は、(代替 DNS としても)参照しない
• DC の参照ができなくなり、ログオン障害が発⽣生する恐れ
• DC 間の複製障害が発⽣生する恐れ
• DC 上の DNS のフォワーダーに AWS が提供する DNS を設定
インターネットの名前解決は AWS
が提供する DNS にフォワード
23. IAMと Active Directory の認証連携
• AWS IAM の SAML 2.0
サポート
• Active Directory と SAML
2.0 による ID 連携が可能
– Active Directoryフェデレー
ションサービス を利利⽤用
• Active Directory の
ユーザーとグループを認証
と認可に使⽤用
参考情報:Enabling Federation to AWS using Windows Active Directory, ADFS, and SAML 2.0
http://blogs.aws.amazon.com/security/post/Tx71TWXXJ3UI14/Enabling-Federation-to-AWS-using-Windows-Active-
Directory-ADFS-and-SAML-2-0
24. グループのマッピング
• AWS の操作権限の単位を
セキュリティ グループとして作成
• IAM ロールを作成し、AWS の操作
権限を IAM ポリシーで定義
セキュリティ グループ(AD)と IAM ロールをマッピングが可能
53. 利利⽤用可能なリージョン
• 利利⽤用可能なAWSリージョン:
– US East (N.Virginia)
– US West (Oregon)
– EU (Ireland)
– Asia Pacific (Sydney)
– Asia Pacific (Tokyo)
• その他のリージョンは今後予定