#検証中の為、常に追記していきます。

目的

Microsoft ADの検証およびサービス理解の為、利用時に気付いたことを雑記していく。

オンプレとの比較 (個人的に気付いた点)

• オンプレ作成時の「新しいフォレストを追加する」で常に作成される。
  オンプレ作成時の[既存のドメインコントローラーを追加する]、[新しいフォレストを既存のフォレストに追加する]という概念が無い様に思える。
  

• オンプレ作成時の「読み取り専用ドメインコントローラー(RODC)」に関するオプションがMicrosoft ADセットアップ時には無い。

• オンプレ作成時はDNSサーバーの構成についてオプションとなっているが、Microsoft ADの場合、DNSサーバーが常に一緒に構成される。

• オンプレ作成時の「DNS委任オプション」に関するオプションがMicrosoft ADセットアップ時には無い。

• フォレスト、ドメインの機能レベルは"Windows Server 2012 R2"で構成される。
  ※ドメインセットアップ時に機能レベルの指定は出来ない模様。
  

• 必ずマルチAZ構成のDC構築となり、2台共GCサーバーとして構成される。
  

• ディレクトリ復元モード(DSRM)のパスワードについてもAWS側で管理となる。

• マネージドサービスの為、作成される2台のDCサーバーについてデータベース、ログファイル、SYSVOLフォルダのパスについては指定不可。

• Built-in AdministratorアカウントはAWS側で管理の為、利用不可。
  ※Administratorアカウントのパスワードのリセットを試しましたがやっぱり弾かれました。
  

• 基本的にドメインのAdministarator権限は利用者側で保持出来ない模様。
  ※簡易的に確認しただけですが、Domain Adminsのグループにユーザーを加えられなくなっている。
  

• DNSについて前方参照ゾーン、逆引き参照ゾーンの両方が構成される。
  ※オンプレの場合、逆引き参照ゾーンは個別で構成する必要がある。

• DNSのゾーンについて以下の様に構成される。
  ※初期で構成されるゾーンについては同一設定である。
  

• DNSのゾーンエージングについても有効化されている。
  ※初期で構成されるゾーンについては同一設定である。
  

• 自動的に (おそらく)NetBIOS名のOU*1、配下に「Computers」、「Users」のOUが作成される。
  下記画面の「test」OUおよび配下OU以外ではオブジェクトの作成は出来ない。 (コンテナ内も作成不可)
  ドメイン参加したコンピューターはオンプレでは「Computers」コンテナにオブジェクトが追加されるが、Microsoft ADでは自動的に「test」OU以下の「Computers」OUに作成される。

コスト

• 料金詳細
  Microsoft AD (東京/時間料金)：0.445 USD (2016/9/4時点)

  運用期間	料金(東京)
  1日	10.68 USD
  30日	320.4 USD
  365日	3898.2 USD

• 個人的見解
  非常に魅力のあるサービスだと考える。
  Microsoft ADについて年間約40万円の料金と想定し、5年間で約200万円となる。
  AWS Directory ServiceのMicrosoft ADは構成として作成時にDCサーバー2台をそれぞれ別々のAZに配置する。
  オンプレで同構成を構築、運用するとなるとサーバー、ソフトウェアライセンス、UPS、ラックレンタル費用、電気代、バックアップ運用管理等に掛かる人件費等を諸々考慮するとまず、5年間で200万円では収まらない。
  マネージドサービスといった点でも非常にメリットあるサービスであると考える。