COLUMN

1.AWS Directory Serviceとは？

AWS Directory Serviceとは、AWS上でMicrosoft Active Directory（AD）を使用できるようにするサービスです。Microsoft ADは、マイクロソフト社が提供するWindows OSに搭載されているディレクトリサービスで、Windowsネットワークのリソースを保管し、検索できるため、簡単にデータ管理が行えます。

AWS Directory Serviceを利用する場面は多くありますが、主な利用用途は、以下のとおりです。

• Windows環境のユーザー認証や、サーバー、クライアントの管理
• AWSサービス利用時の認証と、ユーザー管理
• AWSサインイン時のユーザー認証

AWS Directory Serviceは、既存の対応アプリケーションをクラウド上で使用するユーザー向けに、複数のディレクトリオプションを展開しています。ここからはAWS Directory Serviceの3種類のディレクトリタイプや、特徴、利用メリットについて見ていきましょう。

2.3種類のディレクトリタイプ

AWS Directory Serviceのディレクトリタイプは、以下の3種類があります。

• AWS Managed Microsoft AD
• Simple AD
• AD Connector

順番に見ていきましょう。

2-1.AWS Managed Microsoft AD

AWS Managed Microsoft ADは、名前のとおりMicrosoft ADをマネージドサービスとして提供するタイプです。実際のMicrosoft ADを、AWS上でそのまま利用できます。

AWS Managed Microsoft ADは更に、スタンダードとエンタープライズの2つのエディションに分けられ、エンタープライズは大きなストレージの取り扱いが可能です。AWS Managed Microsoft ADはAWS Directory Serviceの主要となるタイプであるため、覚えておくとよいでしょう。

2-2.Simple AD

Simple AD（Active Directory）は、ADの一部を使用できるディレクトリで、使用できる機能は以下のとおりです。

• ユーザーやグループメンバーの管理
• EC2インスタンスの接続
• Kerberosベースのシングルサインオン（SSO）　など

このほかAWS独自の機能であるモニタリングやスナップショットも利用できますが、管理センターやごみ箱、スキーマなどの一部機能に関しては利用できません。Simple ADにはスモールとラージの2種類があり、それぞれサポートできるユーザーや、オブジェクト数が異なります。

Simple ADの特徴は機能が限られるぶん、コスト面で安く済む点です。AWS Directory Serviceの基本的な機能を利用できればよいと感じる方は、Simple ADがおすすめといえるでしょう。

2-3.AD Connector

AD Connectorは、AWSのリソースをMicrosoft ADに接続するディレクトリゲートウェイです。AD Connectorを利用すれば、クラウド情報をキャッシュせずにディレクトリのやり取りを行ったり、ADユーザーが既存のAD認証情報でAWSのワークスペースにログインしたりできます。

AD Connectorにもスモールとラージの2種類があります。AWSを既存のディレクトリと接続したい場合やログイン可能な範囲を広げたい場合には、AD Connectorが適しているといえるでしょう。

【無料】NTT東日本のクラウドエンジニアがお客さまのクラウド化に関するお悩みにお答えします。

3.特長と利用メリット

AWS Directory Serviceを利用すれば、Microsoft ADでAWSのリソースを取り扱え、双方の特徴を活かして強固なディレクトリの形成が可能です。AWS Directory Serviceの特徴は、以下の8つが挙げられます。

1.Microsoft ADの機能をAWSで使用できる

2.可用性が高い

3.ディレクトリを共有できる

4.既存のMicrosoft ADと統合できる

5.シングルサインオン（SSO）が利用できる

6.複数のリージョンへレプリケートできる

7.インスタンスをドメインに参加させられる

8.ディレクトリをモニタリングできる

AWS Directory Serviceの特徴としてまず挙げられるのは、Microsoft ADの機能をAWS上で使用できる点です。ADやMicrosoft社が提供するWindows上の開発環境であるカスタム.NETや、データベース管理システムであるSQLサーバーをベースにしたワークロードをAWS上で実行できます。

またAWS Directory Serviceは高い可用性をもっている点も特徴です。可用性とはシステムが継続して稼働できる能力を示すもので、AWS Directory Serviceの場合、作成されたディレクトリは複数のアベイラビリティゾーンにデプロイされるため、障害が発生した場合でも、自動的に置換して対策を行ってくれます。

1つのディレクトリを複数のリソースで共有できる点も、AWS Directory Serviceの特徴です。RDSやEC2、WorkSpacesなどに対応していますが、共有には料金が発生する点には注意しましょう。

AWS Directory Serviceは、既存のMicrosoft ADと統合でき、シングルサインオン（SSO）の利用も可能です。SSOとは1回の認証で複数のシステムの利用が可能になる機能で、単一の認証情報を使ってAWSのリソースへアクセスできる点は便利で、大きなメリットといえるでしょう。

またAWS Directory Serviceは、複数のリージョンへのレプリケートが自動で行われます。Managed Microsoft ADのエンタープライズエディションでのみ使用できる機能ですが、可用性を高められ、パフォーマンスの向上にも繋がるでしょう。

さらにAWS Directory Serviceは、EC2インスタンスをドメインに参加させられます。既存インスタンスであっても、EC2インスタンス上で管理を行うEC2Configを使用することで、参加可能です。

AWS Directory Serviceの最後の特徴は、 ディレクトリをモニタリングできる点です。モニタリングを行うことで動作や削除、障害などのステータスをチェックできます。

【無料】NTT東日本のクラウドエンジニアがお客さまのクラウド化に関するお悩みにお答えします。

4.AWSにおけるActive Directoryの構築手順

AWSにおけるActive Directoryの構築手順は、以下のとおりです。

• AWS Directory Serviceを利用するための初期設定を行う
• 前提条件を確認する
• AWS Managed Microsoft ADの作成を行う

なお構築手順は複数ありますが、今回は特徴やメリットでも例に挙げたAWS Managed Microsoft ADに絞って解説します。AWS Directory Serviceの主要タイプであるAWS Managed Microsoft ADの構築手順を、順番に見ていきましょう。

4-1.Step1. AWS Directory Serviceを利用するための初期設定

はじめに、AWS Directory Serviceを利用するための初期設定を行います。初期設定の手順は、以下のとおりです。

• AWS Managed Microsoft ADディレクトリを起動する
• Amazon EC2インスタンスをドメインに参加させる
• 参加したEC2インスタンスへのシングルサインオンをテストする

前述しましたが、今回はAWS Managed Microsoft ADの構築手順の解説であるため、AWS Directory Serviceでディレクトリタイプ「Managed Microsoft AD」を選択しましょう。スタンダードまたはエンタープライズのエディションを選択し、DNSドメイン名の入力を行ってください。

AWS Managed Microsoft ADディレクトリを起動したら、Amazon EC2インスタンスをドメインに参加させます。ADのDomain Controller（DC）およびDNS（Domain Name System）が所属する、VPCとAZを指定しましょう。

DCとDNSの設定が終われば、「システムのプロパティ」から「コンピュータ名/ドメイン名の変更」画面を開き、「所属するグループ」でドメインを選択し、参加するドメイン名を入力します。「OK」を押すとドメイン管理者のユーザー名とパスワード入力画面が表示されるため入力を行い、ドメインを参加させましょう。

参加したEC2インスタンスへのシングルサインオンをテストし、問題なく行えれば、初期設定は完了です。

4-2.Step2. 前提条件の確認

初期設定が終わった後は、AWS Managed Microsoft ADを構築するための前提条件を確認しましょう。AWS Managed Microsoft ADの前提条件は、以下のとおりです。

• VPCの設定として、2つ以上のサブネットに紐づける必要がある
• 各サブネットは、それぞれ異なるアベイラビリティゾーンにある必要がある
• VPCにはデフォルトのハードウェアテナンシーが必要である
• AWSアドレス空間”198.18.0.0/15”のアドレスを使用すると、VPC内でマネージド型Microsoft ADの作成はできない
• AWS Directory Serviceは、Active Directoryを使用したNATの使用はサポートしていない

最後の前提条件については、NATを使用した場合、レプリケーションエラーが発生する可能性があるため、注意しましょう。前提条件が満たない場合、AWS Managed Microsoft ADの構築が行えなくなるため、必ず確認しておいてください。

4-3.Step3. AWS Managed Microsoft ADの作成

初期設定を行い、前提条件を確認したら、AWS Managed Microsoft ADの作成に入りましょう。AWS Managed Microsoft ADの作成手順は、以下のとおりです。

• AWS Directory Serviceコンソールのナビゲーションペインで、Directories」、「Set up directory」の順に選択する
• 「Select directory type」のページで「AWS Managed Microsoft AD」を選択する
• 「Enter directory information」ページにて、エディションやディレクトリDNS名、Adminパスワードなどを入力する
• 「Review&create」ページでディレクトリ情報を確認し、間違いがなければ「Create directory」を選択する

ディレクトリ情報の入力ページで行う詳細な項目は、以下のとおりです。

• ディレクトリのDNS名
• ディレクトリのNetBIOS名
• ディレクトリの説明
• Adminパスワード、パスワードの確認
• ディレクトリ用のVPC
• サブネットの選択

ディレクトリの作成にかかる時間は、20〜40分です。ステータス値が「Active」に切り替わっていれば、作成が完了しています。

【無料】NTT東日本のクラウドエンジニアがお客さまのクラウド化に関するお悩みにお答えします。

5.利用料金

AWS Directory Derviceの利用料金は、使用するマネージド型ディレクトリのタイプと、サイズ、リージョンに基づいて決定されます。いずれのタイプでも30日間の無料トライアルがありますが、一部トライアルには含まれていない機能やサイズもあるため、注意しましょう。

5-1.AWS Managed Microsoft ADの料金

AWS Managed Microsoft ADの料金は、ドメインコントローラーの数や、共有しているアカウント数、エディション、リージョンにより異なります。たとえばリージョンを東京とした場合の料金は、以下のとおりです。

※2023年9月時点の料金です。

5-2.Simple ADの料金

Simple ADの料金は、サイズと稼働時間により決定します。

リージョンを東京とした場合の1時間あたりの料金は、以下のとおりです。

※2023年9月時点の料金です。

5-3.AD Connectorの料金

AD Connectorの料金も、サイズと稼働時間により決定します。

仕組みや料金もSimple ADとほぼ同様で、東京リージョンでの種類ごとの1時間あたりの料金は、以下のとおりです。

※2023年9月時点の料金です。

料金は変更される可能性もあるため、利用する際は公式サイトから必ず確認してください。

6.トラブルシューティング

最後に、AWS Directory Serviceを利用していくうえで発生する可能性があるトラブルについての解決方法をいくつか提示します。トラブルが起きた際に冷静に対処できるよう、このようなトラブルが発生する可能性があることも、ぜひ頭に入れておいてください。

6-1.AWS Directory Serviceのパスワードリセット方法は？

AWS Directory Serviceのパスワードを忘れた場合、ユーザーにおいても管理者においても、以下の方法でパスワードのリセットが可能です。

＜ユーザーがパスワードをリセットする方法3つ＞

• Directory Serviceコンソールより「ユーザーパスワードのリセット」を行う
• Windows PowerShellにて「Reset-DSUserPassword」を行う
• AWS CLIにて「reset-user-password」を行う

＜管理者がユーザーのパスワードをリセットする方法＞

• AWSマネジメントコンソールで「Directory Service」のページを開き、自身のDirectoryページを開く
• ユーザーパスワードのリセットをクリックし、必要な情報を入力して実行する

6-2.一部のユーザーがディレクトリで認証されない場合は？

一部のユーザーがディレクトリで認証されない場合、ユーザーカウントのKerberos事前認証を有効にしておく必要があります。Kerberos事前認証は、ユーザーがTGT（Ticket Granting Ticket）の要求時、各自のシークレットパスワードでタイムスタンプを暗号化し、KDC（Key Distribution Center）に送信するセキュリティ機能です。

Kerberos事前認証の有効については、新しいユーザーカウントのデフォルト設定となっていますので、変更にしないように注意しましょう。

6-3.ディレクトリ作成時に「AZ Constrained」(AZ 制約) エラーが表示される場合は？

ディレクトリ作成時にAZ制約エラーが表示される場合、別のアベイラビリティゾーンのサブネットを選択し、ディレクトリを再度作成する必要があります。

2012年以前に作成されたAWSアカウントの中には、AWS Directory Serviceディレクトリをサポートしていないアベイラビリティゾーンにアクセスできるものがあるためです。

【無料】NTT東日本のクラウドエンジニアがお客さまのクラウド化に関するお悩みにお答えします。

7.AWS Directory Serviceを導入するならぜひNTT東日本にご相談ください

AWS Directory Serviceは、AWS上でMicrosoft ADを利用できるようにするためのサービスです。AWS Directory Serviceを利用すれば、Microsoft ADの機能をAWSで使用できるほか、可用性が高い、ディレクトリを共有できるなど、多くのメリットがあります。

しかし3種類のディレクトリタイプからどれを選べばよいかわからなかったり、構築手順が合っているのか不安だったりと、思うように導入できない場合もあるでしょう。特にクラウドサービスはクラウド上で重要な情報を扱う場合もあるため、間違った手順で進めてしまうと、後々後悔することになるかもしれません。

AWS Directory Serviceの導入について疑問や不安がある場合、NTT東日本にご相談ください。NTT東日本にはAWSやAzureの資格を持つプロが在籍しているため、スムーズにお客さまの悩みに寄り添い、解決します。

ネットワーク設計から運用までNTT東日本が一貫してサポートを行うため、スピーディなクラウド化がのぞめます。150社以上の実績を持つNTT東日本のクラウド導入・運用サービスを、ぜひお試しください。

NTT東日本のクラウド導入・運用サービス

AWS Directory Serviceについてまとめ

AWS Directory ServiceはAWS上でMicrosoft ADを使えるようにするためのサービスで、可用性が高い点やディレクトリを共有できる点、シングルサインオンが利用できる点、複数リージョンへレプリケーションできる点など、多くの特徴とメリットを持っています。構築手順も難しくはないものの、慣れていない方にとっては、初期設定や前提条件の確認、ディレクトリの作成など、不安に思う部分も多いのではないでしょうか。

AWS Directory Serviceについて疑問や悩みがある場合、NTT東日本にお任せください。多くの実績を持つクラウドのプロたちが、お客さまの悩みを解決します。クラウド化に向けてのストレスと手間を軽減し、最適なクラウド化の実現を、スムーズにワンストップで支援します。

以下のページにサービスの詳しい概要が書いてありますので、興味のある方はご確認ください。

NTT東日本のクラウド導入・運用サービス

• Amazon Web Services(AWS)は、米国その他の諸国における、Amazon.com, Inc.またはその関連会社の商標です。