リファレンスデプロイ

AWS での Active Directory Domain Services

AD DS 環境を作成または拡張する、あるいは AWS Directory Service と合わせて AD DS を使用する

デプロイガイドを表示する

このパートナーソリューションでは、アマゾン ウェブ サービス (AWS) クラウドに Microsoft Active Directory Domain Services (AD DS) をデプロイします。AD DS とドメインネームシステム (DNS) は、Microsoft SharePoint、Microsoft Exchange、.NET Framework アプリケーションといった多くのエンタープライズ向けの Microsoft ベースのソリューションの基盤となるコア Windows サービスです。

このパートナーソリューションは、AWS クラウドでワークロードを実行している組織が AD DS と DNS サービスへの安全で低レイテンシーの接続をセットアップするのに役立つように設計されています。すべての新規の AD DS インストールについて、パートナーソリューションは、AD DS と AD-integrated DNS をデプロイし、Active Directory サイトとサブネットをセットアップします。

パートナーソリューションは、3 つのシナリオに対応しています。

  • シナリオ 1: お客様自身で管理する、AWS クラウドベースの新規 AD DS 環境をデプロイ
  • シナリオ 2: 既存のオンプレミス AD DS を AWS に拡張
  • シナリオ 3: Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) をデプロイ

各シナリオで、新規 Virtual Private Cloud (VPC) を作成するか、既存の VPC インフラストラクチャを使用するかのオプションがあります。さらに、1 階層あるいは 2 階層 Microsoft Public Key Infrastructure のデプロイを選択できます。

このソリューションは AWS によって開発されました。

AWS Service Catalog の管理者は、このアーキテクチャをご自分のカタログに追加できます。 

AWS Service Catalog での使用
  •  構築するもの

  • シナリオ 1: 自身で管理する AD をデプロイ

    このシナリオでは、パートナーソルーションで以下のセットアップを行います (オプションとして、アベイラビリティーゾーン 1 での認証機関のデプロイを含みます)。

    • 高可用性のために、2 つのアベイラビリティーゾーンでパブリックサブネットとプライベートサブネットが設定された VPC。*
    • パブリックサブネット内:
      • マネージド Network Address Translation (NAT) ゲートウェイ。プライベートサブネット内のリソースによるアウトバウンドのインターネットアクセスを提供します。*
      • Auto Scaling グループに含まれる Remote Desktop Gateway (RD Gateway) インスタンス。プライベートサブネット内のインスタンスへの安全なリモートアクセスを提供します。*
    • プライベートサブネット内:
      • Windows Server フォーレストとドメイン機能レベル。インスタンス間トラフィックに対するセキュリティグループとルールを含みます。
    • AD DS および AD 統合 DNS をセットアップし設定するための AWS Systems Manager Automation ドキュメント。
    • パスワードを保存するための AWS Secrets Manager。

    * パートナーソリューションを既存の VPC にデプロイするテンプレートは、アスタリスクが付けられたコンポーネントをスキップし、既存の VPC 設定に誘導します。

    シナリオ 2: オンプレミス AD を拡張

    このシナリオでは、パートナーソルーションで以下のセットアップを行います。ただし、仮想プライベートネットワーク (VPN) ゲートウェイ、VPN 接続、およびカスタマーゲートウェイの場合は例外で、手動で作成します。

    • 高可用性のために、2 つのアベイラビリティーゾーンでパブリックサブネットとプライベートサブネットが設定された VPC。*
    • パブリックサブネット内:
      • プライベートサブネット内のリソースに対するアウトバウンドのインターネットアクセスをサポートするマネージド NAT ゲートウェイ。*
      • Auto Scaling グループに含まれる RD Gateway インスタンス。プライベートサブネット内のインスタンスへの安全なリモートアクセスを提供します。*
    • プライベートサブネット内:
      • Windows Server フォーレストとドメイン機能レベル。インスタンス間トラフィックに対するセキュリティグループとルールを含みます。
    • AD DS および AD 統合 DNS をセットアップし設定するための AWS Systems Manager Automation ドキュメント。
    • パスワードを保存するための AWS Secrets Manager。

    * パートナーソリューションを既存の VPC にデプロイするテンプレートは、アスタリスクが付けられたコンポーネントをスキップし、既存の VPC 設定に誘導します。

    シナリオ 3: AWS Managed Microsoft AD をデプロイ

    このシナリオでは以下のセットアップを行います。

    • 高可用性のために、2 つのアベイラビリティーゾーンでパブリックサブネットとプライベートサブネットが設定された VPC。*
    • パブリックサブネット内:
      • プライベートサブネット内のリソースに対するアウトバウンドのインターネットアクセスをサポートするマネージド NAT ゲートウェイ。*
      • Auto Scaling グループに含まれる RD Gateway インスタンス。プライベートサブネット内のインスタンスへの安全なリモートアクセスを提供します。*
    • プライベートサブネット内:
      • (オプション) インスタンス間トラフィックに対するセキュリティグループとルールを含む、管理インスタンスとして動作する Windows EC2 インスタンス。
    • AD DS および AD 統合 DNS をセットアップし設定するための AWS Systems Manager Automation ドキュメント。
    • パスワードを保存するための AWS Secrets Manager。
    • プライベートサブネットで AD DS をプロビジョニングし管理する AWS Directory Service。

    * パートナーソリューションを既存の VPC にデプロイするテンプレートは、アスタリスクが付けられたコンポーネントをスキップし、既存の VPC 設定に誘導します。

  •  デプロイ方法

  • デプロイメントガイドの指示に従って、AWS に AD DS 環境を構築します。デプロイプロセスには、以下の手順が含まれます。

    1. AWS アカウントをお持ちでない場合は、https://aws.amazon.com でサインアップし、アカウントにサインインしてください。
    2. パートナーソリューションを起動します。以下のオプションから選択できます。
    3. (シナリオ 2 のみ) いくつかの接続および設定タスクを完了させて、ハイブリッド環境が正常に動作していることを確認してください。

    Amazon は、本ソリューションで AWS と協力した AWS パートナーとユーザーデプロイ情報を共有する場合があります。  

    詳細についてデプロイメントガイドを表示する
  •  コストとライセンス

  • このパートナーソリューションリファレンスデプロイの実行中に使用した AWS のサービスおよびサードパーティーライセンスのコストは、お客様のご負担となります。このパートナーソリューションを使用しても追加コストは発生しません。

    このパートナーソリューションの AWS CloudFormation テンプレートには、カスタマイズ可能な設定パラメータが含まれています。インスタンスタイプなどの設定の一部は、デプロイにかかるコストに影響します。料金の見積もりについては、利用する AWS の各サービスの料金ページを参照してください。料金は変更される場合があります。

    ヒント: パートナーソリューションをデプロイした後、 AWS Cost and Usage Report を作成して、パートナーソリューションに関連するコストを追跡します。これらのレポートは、お客様のアカウントでの Amazon Simple Storage Service (Amazon S3) バケットへの請求メトリクスを提供します。毎月の使用量に基づいてコストを見積もり、月末のデータを集計します。詳細については、 AWS Cost and Usage Report とはを参照してください。

    このパートナーソリューションは、Microsoft Windows Server 2019 向けの Amazon マシンイメージ (AMI) を起動し、Windows Server オペレーティングシステム用のライセンスを含みます。AMI はオペレーティングシステムの最新サービスパックに合わせて定期的に更新されるため、更新をインストールする必要はありません。Windows Server AMI には、クライアントアクセスライセンス (CAL) は必要ありません。Microsoft Remote Desktop Services (RDS) ライセンスが 2 本含まれています。詳細については、AWS での Microsoft のライセンスを参照してください。