助け合いフォーラム
AWSへ移行するにあたり、運用にかかる負荷が最小限になる方法は次のうちどれか。
正解
AWS Directory Serviceを作成してWindowsインスタンス群を管理する
解説
ADはネットワーク上のリソース情報(ユーザアカウントやデバイスなど)を一元管理でき、ユーザーやWindowsサーバーの管理・認証ができます。AWS Directory Serviceも同様の機能を持つので、オンプレミスのADと同様にWindowsインスタンス群を管理できます。
したがって正解は
・AWS Directory Serviceを作成してWindowsインスタンス群を管理する
です。
その他の選択肢については、以下のとおりです。
・Windowsインスタンス群の中から1つにADを導入して、他のWindowsインスタンスを管理する
各WindowsインスタンスはWebアプリケーションを展開しているのでインターネットからのアクセスがあります。インターネットからアクセス可能なインスタンスにADを導入すると、ADへの不正アクセスの恐れがあります。
セキュリティ上、適切ではないので誤りです。
・AD用のEC2インスタンスを作成してWindowsインスタンス群を管理する
AD用のEC2インスタンスの運用が発生します。
マネージドサービスであるAWS Directory Serviceを利用する方が、運用にかかる負荷が最小限になるので誤りです。
・オンプレミスのADと連携したAWS Directory Serviceを作成して、Windowsインスタンス群を管理する
AWS Directory Serviceは、オンプレミスのADと同様にWindowsインスタンス群を管理できます。
オンプレミスのADと連携する必要はないので、誤りです。
参考
AWS Directory Serviceは、MicrosoftのActive Directory (AD) をAWS上で提供するマネージドサービスです。
ADはネットワーク上のリソース情報(ユーザアカウントやデバイスなど)を一元管理でき、ユーザーやWindowsサーバーの管理・認証ができます。AWS Directory Serviceも同様の機能を持つのに加え、他のAWSサービスと連携することでAWSサービスへの認証にADを利用できます。
![【図を表示】](https://ping-t-production-strg.s3.ap-northeast-1.amazonaws.com/uploads/question_image/file/23047/k58826.jpg?X-Amz-Expires=600&X-Amz-Date=20240727T023124Z&X-Amz-Security-Token=IQoJb3JpZ2luX2VjEAcaDmFwLW5vcnRoZWFzdC0xIkgwRgIhAJ7mkC5JfvSdLioYGKPvL4LNMvPwvSDw5e6Trr2wGIteAiEA3PTHM4A2nrwe%2FsKtasucFN4M2bX8SdlW8y7dOzQ7puAqsQQI4P%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FARAAGgw2MjM0Mjk4MjcyNzUiDCdr3QPeyekWGLgFlSqFBKpCSz3SbveHUOGK2zeHLuVO2cItM42HqGJgxnLQS8wor%2BLtL3EVqtpbI8I26UG8TqsQ8ROdervHWNtEF2b0YDJeJ9OA1lTqIYRGfXT%2F0vga3BjTreZymRtCJxCBhuiBlLx6LQiOAsHh%2FqccRNGloBAcTGOzTHzFySnilRiwHeUfF7A5ENm3WS77BOMgNIZfQ%2BqOl8DiCoR%2F4pFqTREpbE2newnXyJLC2naNMvWg1VqNXBmsUkeGPKModBV7IXhjp1KuIo9uTCVLHTNNGeQ4QqJXaMCzwY2TCu7f5A%2B2AI9RzVu2xa8dHndhkOWtL3p4ayYMuYoNaeoGWRjuvKAfvdYlpLmHd%2BI8qb%2FC3r%2B5QEGEwE6pzDvX9RBseNeDx8xV0oY3WH47HS2TwZrFSsSIXfbkWRUtqnwGPsh6HHGcZ%2BttEmkB0id8owV%2F%2BkDcKcBkVSnEZ14UIczdWOipIytNI88HHsMahQhW0FL%2FV8DANDrF%2B0iLCjVNlTQpqDd0TBecXiGaUeXwyxJJtZBty4IzeiiGodEmdZvMXRG5J8BWMG5rjxSe2gTe%2BZWtFkw9B0DCFxZM%2Bz2LeV%2BDRXD0Ztn4Rjqo4pKn1IJTo2XPksV3q%2FS25FfXPCV%2BgYiqfEWMhZEBnMMp%2FlJQQ9O5lQWu%2FO3Rpbv0WmlwCYOqfaxafD26T5iJNCIiFkcw0N6QtQY6pQHbqvxSzEhMcFvQGQ8HD8a0AHu3DdZP%2FFuA131Jli24oxUqgn74dE0s2tjZNl10mAmXJ5spI8Xq5uL5E8yYKCD3dkwfq5sjHkAWdViw1VYA64tvvmrYdURs3iermXNq44RnmgovPmGbpOgB4SNjrt6dNp7tl00mC8JEZu%2BNsrX97GRXuPviHi2WTlfk2%2FmfdOlDwvz8NsaG50T63jElW1sev%2BBZ0UU%3D&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=ASIAZCJ2QHLF74BLTX7P%2F20240727%2Fap-northeast-1%2Fs3%2Faws4_request&X-Amz-SignedHeaders=host&X-Amz-Signature=f7318dcc21f78bee267eae41605ef278546dc5c5c687317146e58b47be131875)
問題文が情報不足
問題文中に「オンプレミスのADはWebアプリケーションが動作しているWindowsサーバー群のみ管理している」との記述がありますが、これではADの同期要件が不明確です。問題文は、オンプレミスのADとの連携や同期の必要性についてより明確にするべきです。
問題文は、オンプレミスのADと新しいAWS Directory Serviceとの間で発生する運用負荷についてもっと明確に言及する必要があります。特に、2重のディレクトリサービス管理が運用負荷に与える影響を強調することが重要です。
Active Directory(AD)と同期しない=新たにActive Directory(AD)を構築する必要があるのですが、たとえAWS ManagedのActive Directory(AD)で新規で構築してもこちらの方が負荷が高くないでしょうか。
Active Directory(AD)における既存のユーザーアカウント、グループポリシーはすべてこのAWS Directory Serviceで同じことが実現できるかの検証やテストはもとより、問題で問われている運用面においてもADの管理が2重になるので負荷が増える気しかしないのです。
一応、問題に”なお、オンプレミスのADはWebアプリケーションが動作しているWindowsサーバー群のみ管理している。”となっていますが、これでは弱いです。だから、オンプレADを辞めて、AWS Directory Serviceに完全移行したら楽だね。という風にはなりませんし、不明確です。
とても紛らわしいので、”なお、オンプレミスのADはWebアプリケーションが動作しているWindowsサーバー群のみ管理している。”の言葉を消し、
”オンプレミスのADはWebアプリケーションが動作しているWindowsサーバー群以外のサーバーも管理している。”として、ADの同期が必須である。でないと2重管理になる。ということにして、設問の回答を
”オンプレミスのADと連携したAWS Directory Serviceを作成して、Windowsインスタンス群を管理する”
とすればよいのではないでしょうか。
回答を
”AWS Directory Serviceを作成してWindowsインスタンス群を管理する”
にした場合の誤りの理由については
設問ではオンプレADを利用しており、AWS Directory Serviceを新たに構築すると、Direcotory serviceを2重管理しなくてはならず、運用の負荷が増えることが想定されることから誤りです。
とできるのではないでしょうか。
設問に
同社はAWSへWebアプリケーションの移行を計画しており、各WindowsサーバーをEC2 Windowsインスタンスに切り替える予定
オンプレミスのADはWebアプリケーションが動作しているWindowsサーバー群のみ管理している
とあるので、オンプレミスのAD環境すべてAWS上に移行することを要件をしていると思いました。
オンプレミスAD環境の一部を残したい要件が見当たらなかったのですが、何から「オンプレADを辞めて、AWS Directory Serviceに完全移行したら楽だね。という風にはなりませんし、不明確です。」と判断されたのでしょうか?
コメント
・・・、これではADの同期要件が不明確です。
オンプレミスのADと新しいAWS Directory Serviceとの間で発生する運用負荷についてもっと明確に…
これでは弱いです。だから、オンプレADを辞めて、AWS Directory Serviceに完全移行したら楽だね。という風にはなりませんし…
とても紛らわしいので、”なお、オンプレミスのADはWebアプリケーションが動作しているWindowsサーバー群のみ管理している。”の言葉を消し…
そのような「問われている部分以外の、問題の裏の裏」まで考察する必要は無いように思います。
そんなことをしていると、回答の時間が無くなります。
ただ単純に、「WebアプリケーションサーバはADで連携されているんだなぁ」「ADはWebアプリケーションサーバのみで使われているんだなぁ」
「AWSに移行した方が得をする状況なんだろうなぁ」くらいで充分でしょう。
「そこは『その会社に、それを善しとする事情と条件がある』ので、そういう構成にしている」と割り切るべきです。
『オンプレミスのADと新しいAWS Directory Serviceとの間で発生する運用負荷』
問題文中「各WindowsサーバーをEC2 Windowsインスタンスに切り替える」とあることから、
オンプレのWindowsサーバはすべてAWS移行、と考えるのが自然です。
そのうえで、上記の一文をどのように解釈しているかは判然としませんが、
「オンプレ・AWSのAD同時運用 or オンプレAD・AWS DS間連携」という観点であれば、誤答として解説されています。
コメント
この投稿に対して返信しませんか?
g genpana
2023/12/29 02:47
各WindowsサーバーをEC2 Windowsインスタンスに切り替える予定である。 →これはつまり、各オンプレミスのWindowsサーバー WindowsServer(AD) WindowsServer(App1) WindowsServer(App2) WidowseServer(App*)... をすべてEC2のWindowsインスタンスにきかえるんだな。と判断できるのかなと思いました。 ですので、”なお、オンプレミスのADはWebアプリケーションが動作しているWindowsサーバー群のみ管理している。” という文が=ADを移行しなくてもよいよとうメッセージなのかなっとも思いましたが、だとすると”各WindowsサーバーをEC2 Windowsインスタンスに切り替える”という文と矛盾する部分でもあり、この点が不明確である思っております。