翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # シナリオ 2: オンプレミス AD DS を に拡張する AWS (レプリカ) このシナリオはシナリオ 1 に似ています。ただし、このシナリオでは、カスタマー AD DS のレプリカが AD Connector と組み合わせて AWS にデプロイされます。これにより、Amazon Elastic Compute Cloud (Amazon EC2) で実行されている AD DS への認証またはクエリリクエストのレイテンシーが短縮されます。次の図は、各コンポーネントとユーザー認証フローの概要を示しています。 ![カスタマー AD DS のレプリカが AD Connector と組み合わせて AWS にデプロイされていることを示すサンプルアーキテクチャ。](http://docs.aws.amazon.com/ja_jp/whitepapers/latest/best-practices-deploying-amazon-workspaces/images/extend-customer-ad-cloud.png) シナリオ 1 と同様に、AD Connector はすべてのユーザーまたは MFA 認証に使用され、これが顧客の AD DS にプロキシされます ([前の図](scenario-1-using-ad-connector-to-proxy-authentication-to-on-premises-active-directory-service.md#fig5)を参照)。このシナリオでは、カスタマー AD DS は、 AWS クラウドで実行されているカスタマーのオンプレミス [AD フォレスト](https://ipwithease.com/what-is-a-forest-in-active-directory/) のドメインコントローラーとして昇格された Amazon EC2 インスタンス上の AZs にデプロイされます。各ドメインコントローラーは VPC プライベートサブネットにデプロイされ、 AWS クラウドで AD DS を高可用性にします。AD DS を にデプロイするためのベストプラクティスについては AWS、このドキュメント[の設計上の考慮事項](using-multi-region-aws-managed-active-directory-with-amazon-workspaces.md)セクションを参照してください。 WorkSpaces インスタンスがデプロイされると、クラウドベースのドメインコントローラーにアクセスして、安全で低レイテンシーのディレクトリサービスと DNS にアクセスできます。AD DS 通信、認証リクエスト、AD レプリケーションを含むすべてのネットワークトラフィックは、プライベートサブネット内、またはカスタマー VPN トンネルまたは Direct Connect 経由で保護されます。 このアーキテクチャでは、次のコンポーネントまたはコンストラクトを使用します。 ## AWS + **Amazon VPC** — 2 つの AZs にまたがる少なくとも 4 つのプライベートサブネットを持つ Amazon VPC の作成。2 つはカスタマー AD DS 用、2 つは AD Connector または Amazon 用です WorkSpaces。 + **DHCP オプションセット** — Amazon VPC DHCP オプションセットの作成。これにより、お客様は指定されたドメイン名と DNSs (AD DS local) を定義できます。詳細については、[「DHCP オプションセット](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html)」を参照してください。 + **Amazon Virtual Private Gateway** — IPsec VPN トンネルまたは AWS Direct Connect 接続を介した顧客所有のネットワークとの通信を有効にします。 + 「**Amazon EC2**」 + 専用プライベート VPC サブネットの Amazon EC2 インスタンスにデプロイされたカスタマー企業の AD DS ドメインコントローラー。 + 専用プライベート VPC サブネットの Amazon EC2 インスタンス上の MFA 用のカスタマー (オプション) RADIUS サーバー。 + **AWS ディレクトリサービス** — AD Connector は Amazon VPC プライベートサブネットのペアにデプロイされます。 + **Amazon WorkSpaces** — AD Connector と同じプライベートサブネットに WorkSpaces デプロイされます。詳細については、このドキュメントの[「Active Directory: サイトとサービス](design-considerations.md#active-directory-sites-and-services)」セクションを参照してください。 ## カスタマー + **ネットワーク接続** — 企業 VPN または AWS Direct Connect エンドポイント。 + **AD DS** — 企業 AD DS (レプリケーションに必要)。 + **MFA (オプション)** — 企業 RADIUS サーバー。 + **エンドユーザーデバイス** — Amazon WorkSpaces サービスへのアクセスに使用される企業デバイスまたは BYOL エンドユーザーデバイス (Windows、Mac、iPadsAndroid タブレット、ゼロクライアント、Chromebook など)。[サポートされているデバイスおよびウェブブラウザのクライアントアプリケーションのリスト](https://docs.aws.amazon.com/workspaces/latest/userguide/workspaces-user-getting-started.html#choose-client)を参照してください。このソリューションには、シナリオ 1 と同じ注意点はありません。Amazon WorkSpaces と AWS Directory Service は、接続に依存することはありません。 + **接続への依存** — お客様のデータセンターへの接続が失われた場合、認証と*オプションの* MFA がローカルで処理されるため、エンドユーザーは引き続き作業できます。 + **レイテンシー** — レプリケーショントラフィックを除き、すべての認証はローカルで低レイテンシーです。このドキュメントの[「Active Directory: サイトとサービス](design-considerations.md#active-directory-sites-and-services)」セクションを参照してください。 + **トラフィックコスト** — このシナリオでは、認証はローカルで、AD DS レプリケーションのみが VPN または Direct Connect リンクを通過するため、データ転送が減少します。 一般に、前の図に示すように、 WorkSpaces エクスペリエンスは強化されており、オンプレミスのドメインコントローラーへの接続に大きく依存しません。これは、特に AD DS グローバルカタログのクエリに関連して、顧客が何千ものデスクトップ WorkSpaces にスケーリングしたい場合にも当てはまります。このトラフィックは WorkSpaces 環境に対してローカルのままです。