AWS Black Belt Online Seminar AWS 上での Active Directory 構築 アマゾンウェブサービスジャパン株式会社 ソリューションアーキテクト渡邉源太 IT トランスフォーメーションコンサルタント 青柳柳雅之 2016.10.18
自 己紹介 名前 渡邉源太 (@gentaw0) 所属 アマゾンウェブサービスジャパン株式会社 技術本部レディネスソリューション部 ソリューションアーキテクト (Windows Specialist) 好きな AWS サービス Amazon WorkSpaces
自 己紹介 氏名 : 青柳柳雅之 ( あおやぎまさゆき ) 所属 プロフェッショナルサービス本部 IT トランスフォーメーションコンサルタント 仕事 AWS 社内のマイクロソフト技術の SME(Subject Matter Expert) AWS へのデータセンターマイグレーション計画 評価 好きな AWS サービス S3 3
AWS Black Belt Online Seminar とは AWSJのTechメンバがAWSに関する様々な事を紹介するオンラインセミナーです 火曜 12:00~ 13:00 主にAWSのソリューションや 業界カットでの使いどころなどを紹介 (例例 IoT 金金融業界向け etc.) 水曜 18:00~ 19:00 主にAWSサービスの紹介や アップデートの解説 (例例 EC2 RDS Lambda etc.) 最新の情報は下記をご確認下さい オンラインセミナーのスケジュール&申し込みサイト https://aws.amazon.com/jp/about- aws/events/webinars/ 4
Agenda AWSにおけるActive Directoryの展開 展開シナリオとアーキテクチャ 設計上の考慮事項 バックアップ / リストア フェデレーション まとめ 5
Agenda AWSにおけるActive Directoryの展開 展開シナリオとアーキテクチャ 設計上の考慮事項 バックアップ / リストア フェデレーション まとめ 6
ディレクトリとは ユーザに関わる各種情報を保管する仕組み ユーザ名 姓 名 部署 電話番号 メールアドレス パスワード グループ など ツリー状の構成とする事が多いことから ディレクトリと呼ばれる 関連 用語 :LDAP Active Directory OpenLDAP
Active Directory とは Windows ネットワークの基本的な認証とセキュリティ基盤 Windows 2000 から標準機能として実装されたディレクトリサービス NT ドメインからの反省省をふまえたアーキテクチャー ドメイン間の階層構造がとれない 同 一ネットワーク上に同じコンピュータ名が共存できない Security Account Manager(SAM) データベースの最 大容量量が 40MB まで
Active Directory ドメインサービス (AD DS) 高可 用性 ドメインコントローラーは異異なるアベイラビリティゾーンにある VPC サブネットにデプロイされる ロール Active Directory ドメインサービス (AD DS) グローバルカタログ (GC) Active Directory 統合ドメインサーバー (DNS) Remote Desktop ゲートウェイ リモート管理理 https://s3.amazonaws.com/quickstart-reference/microsoft/activedirectory/latest/doc/microsoft_active_directory_quick_start.pdf
クイックスタートリファレンス AWS ではマイクロソフト製品を AWS で展開するのに有益な情報をクイックスタートリファレンスデプロイで提供 ホワイトペーパーとリファレンスアーキテクチャを構成する CloudFormation テンプレートを提供 当 Webinar ではこの中で 以下の 2 つのクイックスタートリファレンスのホワイトペーパーの内容を中 心に説明 Active Directory Domain Services on the AWS Cloud Web Application Proxy and AD FS on the AWS Cloud AWS クイックスタートリファレンスデプロイ https://aws.amazon.com/jp/quickstart/ 10
Agenda AWSにおけるActive Directoryの展開 展開シナリオとアーキテクチャ 設計上の考慮事項 バックアップ / リストア フェデレーション まとめ 11
展開シナリオ Active Directory ドメインサービス (AD DS) を展開する 4 つのシナリオをこの章では説明 シナリオ シナリオ 1: オンプレミスのみに AD DS を展開 オンプレミス AD DS の配置 シナリオ 2: オンプレミスの AD DS を AWS クラウドに拡張 シナリオ 3: 新規の AD DS を AWS に展開 シナリオ 4:AD DS を AWS Directory Service で AWS クラウドに展開 AWS 12
シナリオ 1: オンプレミスのみに AD DS を配置 すべての AD のサービスが オンプレミスに存在 AWS とオンプレミスの接続を横切切るため 認証にレイテンシが発 生 テスト / 開発環境に向いており プロダクション環境には不不向き メンバー サーバー メンバー サーバー 認証 DC Availability Zone Availability Zone アクセス オンプレミスのデータセンター 13
シナリオ 2: オンプレミスの AD DS を AWS クラウドに拡張 既存のオンプレミスのAD DSをAWSのVPCに拡張するシナリオ VPC 上のサーバーは VPC 上にあるドメインコントローラーやDNSに接続可能 Remote Management & Administration Elastic IPs Elastic IPs RDGW RDGW Public Subnet DC/ GC/ DNS Private Subnet Public Subnet DC/ GC/ DNS Private Subnet DC オンプレミスのデータセンター 14
シナリオ 3: 新規の AD DS を AWS に展開 EC2 に AD DS を新しくインストールするシナリオ オンプレミスに AD DS は存在せず VPC のみにフォレスト / ドメインが存在 Elastic IPs Elastic IPs RDGW RDGW Public Subnet Public Subnet DC/ GC/ DNS Private Subnet DC/ GC/ DNS Private Subnet 15
シナリオ 4:AD DS を AWS Directory Service で AWS クラウドに展開 EC2 に AD DS を構築するのではなく AWS Directory Service (Microsoft AD) を利利 用 Microsoft AD は Windows Server 2012 R2 をベースとするフルマネージドのディレクトリサービス Elastic IPs Elastic IPs RDGW RDGW Public Subnet Public Subnet AWS Directory Service Private Subnet AWS Directory Service Private Subnet 16
Microsoft AD: オンプレミスとの信頼関係 信頼関係 DC1 Seattle C-DCA Private Subnet company.cloud C-DCB Private Subnet Direct Connect company.local Availability Zone A Availability Zone B DC2 Tacoma Corporate Network
AWS Directory Service を使 用する場合の考慮事項 (Microsoft AD) Domain Admins の権限は AWS 側が保持しているため 制約あり オンプレミスとの信頼関係構築 他のドメインへの参加 スキーマの拡張 機能レベル Microsoft AD のフォレストと信頼関係を構築可能 Microsoft AD の機能 / 制約 既存のドメインにMicrosoft ADのDCを参加させることは不不可 フォレスト間で信頼関係を構築するのは可能 URLで申請する事で可能 https://aws.amazon.com/jp/directoryservice/schema- extensions/ Windows Server 2012 R2 機能レベル 権限の委譲 DNS Group Policyの利利 用 ユーザー数 権限の委譲が可能 DNS 構成 ( 追加 削除 レコード ゾーン フォワーダの更更新 ) の管理理 DNS イベントログの参照 セキュリティイベントログの参照が可能 それ以外のログは参照不不可 グループポリシーオブジェクトの作成と OU へのリンクが可能 ただし ドメインレベルのリンクは不不可能 ドメインユーザーのパスワードポリシーの変更更は不不可 ( ドメインレベルの GPO で設定する必要があるが 権限なし ) 最 大で 50,000 ユーザー 200,000 のオブジェクト ( ユーザー コンピュータ その他 )
Agenda AWSにおけるActive Directoryの展開 展開シナリオとアーキテクチャ 設計上の考慮事項 バックアップ / リストア フェデレーション まとめ 19
Active Directory のベストプラクティスの適 用 Active Directory のベストプラクティスの適 用 マイクロソフト社が提供する設計ガイドの多くを適 用することが可能 特に以下の点は有 用 フォレスト / ドメイン /OU の設計 サイトトポロジ 例例 )AD DS 設計ガイド ( マイクロソフト社の TechNet) https://technet.microsoft.com/en- us/library/817d84f0- a0c3-4776- 8ea3-20054f342a70 20
ベストプラクティス適 用の例例 アベイラビリティゾーン (AZ) を 1 つの個別のデータセンターとみなした配置 可能な限りシンプルな構成を検討 VPC に AD DS を拡張してもオンプレミスの AD DS とあわせてシングルフォレスト シングルドメインを構成 拠点 1 拠点 2 DC DC DC DC DC DC 拠点 3 DC DC 拠点 4 DC DC Availability Zone Availability Zone 21
設計上の考慮事項 VPC の構成 セキュリティグループ サイト DNS と DHCP Remote Desktop Gateway Elastic IPs Elastic IPs Remote Management & Administration RDGW Public Subnet RDGW Public Subnet ネットワーク FSMO の配置 DC/ GC/ DNS DC/ GC/ DNS DC Private Subnet Private Subnet Active Directory サイトのトポロジ サイト 高い可 用性を持つ AD DS(DC/GC/DNS) バックアップとリストア オンプレミスのデータセンター 22
VPC の構成 ドメインコントローラーをマルチアベイラビリティゾーンに配置 これにより 高可 用性と耐障害性を提供 ドメインコントローラーとインターネットに接続しないサーバーは Private Subnet に配置 リモート管理理のために Remote Desktop Gateway を Public Subnet に配置 必要な IP アドレスの増加に備え サブネットに 十分なアドレス数を確保 特にオンプレミスのみに AD DS を配置した場合は オンプレミスと AWS の間のネットワークの間に冗 長構成を検討 23
セキュリティグループの Ingress トラフィック セキュリティグループにより ネットワークトラフィックを制御可能 デフォルトで Egress トラフィックはすべて許可 Ingress トラフィックは適切切な設定が必要 AD DS を AWS に構築する際は ドメインコントローラーやメンバーサーバーに対して いくつかのセキュリティグループのルール設定が必要 Active Directory が必要とするポートのリストは以下を参照 ホワイトペーパー :Microsoft Active Directory Domain Services on the AWS Cloud Active Directory and Active Directory Domain Services Port Requirements Active Directory and Active Directory Domain Services Port Requirements (Microsoft TechNet Library) https://technet.microsoft.com/en- us/library/8daead2d- 35c1-4b58- b123- d32a26b1f1dd 24
VPC 内の DNS と DHCP Amazon VPC 内で起動されたインスタンスは DHCP Option Setにより デフォルトではAmazon provided DNSが設定 ( パブリックDNS 名前解決のみに使 用 ) 別のDNSを 用意し 各メンバーサーバーのDNS 設定でそのDNSを設定するか DHCP Option SetにそのDNSを設定する必要あり VPCではDHCPが提供されている DHCPサービスは停 止できないため 独 自に DHCPを構築するのではなく 提供されたDHCPを使 用 DC/ GC/ DNS 同じ Subnet 内の優先 DNS サーバーとして 設定 Availability Zone メンバーサーバー Amazon Provided DNS DNS 設定の例例 インターネットの名前解決をフォワード 他の Subnet の DNS サーバーや オンプレミスの DNS サーバーを代替 DNS サーバーとして設定 DNS 25
Remote Desktop Gateway Remote Desktop Gateway は Remote Desktop Protocol (RDP) over HTTPS を使 用して インターネットのリモート管理理者と Windows ベースの Amazon EC2 インスタンスを VPN 接続なしにセキュアで暗号化された接続を確 立立 AZ の障害の際には 他の AZ にフェールオーバーしたリソースに Remote Desktop Gateway からアクセス可能 Internet Gateway Remote Management & Administration Elastic IPs Elastic IPs RDGW RDGW Public Subnet Public Subnet
高可 用性を持つ AD DS ドメインコントローラーをマルチ AZ に配置 マルチ AZ は 高可 用性と耐障害性を提供 グローバルカタログサーバー (GC) と DNS を各 AZ に配置 もし各 AZ にこれらのサーバーを配置しない場合は AD DS クエリと認証のトラフィックは AZ をまたぐことになる また AZ 障害の場合はこれらのサーバーが機能しなくなる DC/ GC/ DNS DC/ GC/ DNS Availability Zone Availability Zone 27
Active Directory サイトのトポロジ AWS ではアベイラビリティゾーンをサイト ( 個別のデータセンター ) とみなす サイト内の PC やメンバーサーバーは同じサイトにある DC に優先的にリクエストを投げる Elastic IPs Elastic IPs サイト間レプリケーション RDGW RDGW Public Subnet DC/ GC/ DNS Private Subnet サイト Public Subnet DC/ GC/ DNS Private Subnet サイト DC/GC/ DNS サイト 28
操作マスタ (FSMO) の配置 FSMO は冗 長構成を取ることができないため 代替構成が可能な スタンバイ操作マスター を 用意 これを VPC 内の DC に配置可能 DR の観点からオンプレミスから離離れた場所である VPC に配置するのは有効 もちろんオンプレ側にバックアップの FSMO を置くのもあり DC (FSMO) DC DC DC Availability Zone Availability Zone 29
Agenda AWSにおけるActive Directoryの展開 展開シナリオとアーキテクチャ 設計上の考慮事項 バックアップ / リストア フェデレーション まとめ 30
DC のバックアップ Volume Shadow Copy サービス (VSS) により Active Directory サービスの起動中にバックアップをとることが可能 Windows Server バックアップ その他の Active Directory 互換のバックアップツールを使 用している場合は そのまま使 用可能 バックアップツールによって取得されたバックアップデータが保管されているボリュームのスナップショットを取得し データを保全 DC VSS でバックアップを EBS に保存 スナップショットを取得 31 Amazon EBS Snapshot
リストア :DC のシステム全体のスナップショットは取得しない DC のシステム全体のスナップショットを取得しない USN ロールバックを誘発する ロールバックが発 生した DC はドメイン環境から隔離離され 複製パートナーと して 見見なされなくなる スナップショットには 3 台 目の DC に 関する情報が保存されていない DC の数は 1 台と認識識 DC ドメインに追加 これをリストアすることでDBに不不整合 DC の数は 2 台と認識識 DC DC DC の数は 3 台と認識識 スナップショット取得 DC ドメインに追加 32 https://technet.microsoft.com/ja- jp/library/dd363545(v=ws.10).aspx
リストア : ディレクトリサービス復復元モード (DSRM) の利利 用 EC2 Windows インスタンスで DSRM をサポート DC をディレクトリサービス復復元モード (DSRM, Directory Service Resiliency Mode) でブートし 権限のあるリストアを実 行行 権限のあるリストアとは 過去の時点の DC の情報を他の DC に復復元すること これを 行行わない場合 他の DC が持つ最新の情報で リストアされた DC の内容が上書きされる 33 http://docs.aws.amazon.com/ja_jp/awsec2/latest/windowsguide/common-issues.html#boot-dsrm
Agenda AWSにおけるActive Directoryの展開 展開シナリオとアーキテクチャ 設計上の考慮事項 バックアップ / リストア フェデレーション まとめ 34
Active Directory フェデレーションサービス (ADFS) セキュリティで保護された ID 連携 ( フェデレーション ) と Web シングルサインオン (SSO) を提供 AD DS/AD LDS で認証されたユーザーに対してセキュリティトークンを発 行行 (SAML 1.1/2.0) Office 365 や Google Apps へのシングルサインオン (SSO) にも利利 用される
ADFS/WAP のリファレンスアーキテクチャ VPN 接続なし に 外部のユーザー が Web Application Proxy(WAP) を経由して Private Subnet に DC/ GC/ DNS Private Subnet ADFS RDGW WAP Public Subnet Elastic IPs 配置された ADFS に アクセス可能 DC/ GC/ DNS ADFS RDGW WAP Elastic IPs 外部のユーザー Private Subnet Public Subnet https://s3.amazonaws.com/quickstart- reference/microsoft/wapadfs/latest/doc/web_ Application_ Proxy_ and_ ADFS_ on_ the_ AWS_ Cloud.pdf 36
設計上の考慮事項 : サイジング データベース マイクロソフトから提供されている ADFS サーバーの台数の推奨値を参考 ユーサー数 構成 1,000 以下 最低でも 2 台のドメインコントローラーに共存 ( できればマルチ AZ 配置 ) 1,000 ~ 15,000 他のロールと共存させず 専 用のマシンに ADFS と WAP をインストールし冗 長構成 データベースは WID (Windows Internal Database) でも可 15,000 ~ 60,000 最低でも 5 台の ADFS サーバーと 2 台の WAP サーバーが必要 データベースは WID の代わりに SQL Server を使 用する 前提となる HW プロファイルは 8 CPU コア 4GiB RAM 1 Gigabit ネットワークコネクション 37
設計上の考慮事項 ロードバランサー 高可 用性を 目的として WAP も ADFS サーバーも ELB の利利 用が可能 WAP は Internet- facing load balancer を使 用し ADFS サーバーは Internal load balancer を使 用 インスタンスタイプ サイジングのページの HW プロファイルを満たす EC2 インスタンスとして C4.2xlarge (8 vcpu コア 15GiB) が対応 メモリが HW プロファイルよりもリッチではあるが このインスタンスは EBS 最適化インスタンスであり 高い IOPS を実現可能 38
シナリオ 1: WAP を経由して社内の Web アプリケーションを公開 ネットワークアイソレーション WAP を経由した Web アプリケーションの公開は これらがインターネットには決してさらされないことを意味 SharePoint/OWA/Lync やカスタムアプリケーションなどの Web ベースのアプリケーションを公開可能 Denial- of- service (DOS) からの保護 スロットリング キューなどのメカニズムで DOS からの保護を実装 多要素認証 ADFS による事前認証は スマートカード デバイス認証などをサポート ワークプレイスジョイン 既知のデバイスのみ アプリケーションにアクセスする権限を付与 これによるユーザーは個 人のラップトップ タブレット スマートフォンを使って組織のリソースにアクセス可能 Planning to Publish Applications Using Web Application Proxy https://technet.microsoft.com/en- us/library/dn383650.aspx
シナリオ 2: コンソールフェデレーション AWS ルートアカウントやIAMユーザークレデンシャルの代わりに Active Directoryのユーザー名とパスワードでAWSのマネジメントコンソールにサインインが可能 AWS は SAML 2.0 (Security Assertion Markup Language) を使 用した ID フェデレーションをサポート ADFS (4) AssumeRoleWithSAML STS DC/ GC/ DNS AD (1) ブラウザから リクエスト ADFS (3) SAML トークン クライアント (6) リダイレクト 40
AWS Identity and Access Management (IAM) AWS 操作をよりセキュアに 行行うための認証 認可の仕組み AWS 利利 用者の認証と アクセスポリシーを管理理 AWS 操作のためのグループ ユーザー ロールの作成が可能 グループ ユーザーごとに 実 行行出来る操作を規定できる ユーザーごとに認証情報の設定が可能 開発チーム 運 用チーム
シナリオ 2ʼ :AD Connector によるフェデレーション 1) IAMロールをADユーザーにアサイン AWS Directory Service コンソール経由 2) ADユーザーはaccess URL 経由でログイン mycompany.awsapps.com/console AD User1 User2 Group1 ReadOnly Admin 1 AD 認証情報でログイン 3 AWS Management Console への AssumeRoke S3-Access 2 LDAP と Kerberos リクエストを VPN 越えでプロキシ AD
シナリオ 3: ADFS + Office 365 の連携 Active Directory フェデレーションサービス (ADFS) を Idp として利利 用 Office 365 との間でユーザーを同期 DC/ GC/ DNS ADFS RDGW WAP Elastic IPs Private Subnet Public Subnet ディレクトリ同期 SAML 2.0 DC/ GC/ DNS ADFS RDGW WAP Elastic IPs Private Subnet Public Subnet
シナリオ 3ʼ : IDaaS + Office 365 の連携 IDaaS(Okta OneLogin PingFederation など ) を利利 用するシナリオ Office 365 以外のサービスとも連携可能 DC/ GC/ DNS RDGW AD Connector Elastic IPs Private Subnet Public Subnet DC/ GC/ DNS RDGW AD Connector Elastic IPs ディレクトリ同期 SAML 2.0 Private Subnet Public Subnet
外部サービスとのシングルサインオン (SSO) IDaaS SaaS DC/ GC/ DNS Active Directory C-DCA C-DCB AD Connector ディレクトリ連携 AWS Directory Serivice WS- federation/ SAML 2.0/OAuth2.0/ OpenID Connect
Agenda AWSにおけるActive Directoryの展開 展開シナリオとアーキテクチャ 設計上の考慮事項 バックアップ / リストア フェデレーション まとめ 46
まとめ Amazon Web Services は Active Directory をはじめとする Windows ワークロードにフォーカス 既存のドメイン構成を AWS 上に拡張し Active Directory に関する従来の設計のベストプラクティスを適 用可能 フェデレーションを利利 用して AWS Management Console や外部サービスとのシングルサインオン (SSO) が実現可能 47
参考資料料 Active Directory https://technet.microsoft.com/ja- jp/windowsserver/ff699017.aspx#01 Active Directory Domain Services on the AWS Cloud http://docs.aws.amazon.com/ja_ jp/quickstart/latest/active- directory- ds/welcome.html Active Directory Domain Services on the AWS Cloud http://www.slideshare.net/amazonwebservices/biz303- active- directory- in- the- aws- cloud- aws- reinvent- 2014 Web Application Proxy and AD FS on the AWS Cloud https://s3.amazonaws.com/quickstart- reference/microsoft/wapadfs/ latest/doc/web_ Application_ Proxy_ and_ ADFS_ on_ the_ AWS_ Cloud.pdf 48
オンラインセミナー資料料の配置場所 AWS クラウドサービス活 用資料料集 http://aws.amazon.com/jp/aws- jp- introduction/ AWS Solutions Architect ブログ 最新の情報 セミナー中の Q&A 等が掲載されています http://aws.typepad.com/sajp/ 49
公式 Twitter/Facebook AWS の最新情報をお届けします @awscloud_ jp 検索索 もしくは http://on.fb.me/1vr8ywm 最新技術情報 イベント情報 お役 立立ち情報 お得なキャンペーン情報などを 日々更更新しています! 50
AWS の導 入 お問い合わせのご相談 AWS クラウド導 入に関するご質問 お 見見積り 資料料請求をご希望のお客様は 以下のリンクよりお気軽にご相談ください https://aws.amazon.com/jp/contact- us/aws- sales/ AWS 問い合わせ で検索索してください