Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Methoden für AD Connector
Hier finden Sie einige Vorschläge und Richtlinien, die Sie in Betracht ziehen sollten, um Probleme zu vermeiden und AD Connector bestmöglich zu nutzen.
Einrichten: Voraussetzungen
Beachten Sie die folgenden Richtlinien, bevor Sie Ihr Verzeichnis erstellen.
Sicherstellen, dass Sie den richtigen Verzeichnistyp verwenden
AWS Directory Service bietet mehrere Möglichkeiten zur Verwendung Microsoft Active Directory mit anderen AWS Diensten. Sie können den Verzeichnisdienst mit den Funktionen wählen, die Sie benötigen, ohne Ihr Budget zu überlasten:
-
AWS Der Directory Service für Microsoft Active Directory ist ein funktionsreicher, verwalteter Dienst, der in der Microsoft Active Directory AWS Cloud gehostet wird. AWS Managed Microsoft AD ist die beste Wahl, wenn Sie mehr als 5.000 Benutzer haben und eine Vertrauensbeziehung zwischen einem AWS gehosteten Verzeichnis und Ihren lokalen Verzeichnissen einrichten möchten.
-
AD Connector verbindet einfach Ihr vorhandenes lokales System Active Directory mit AWS. AD Connector ist die beste Wahl, wenn Sie Ihr vorhandenes On-Premises-Verzeichnis mit AWS -Services verwenden möchten.
-
Simple AD ist ein niedriges, kostengünstiges Verzeichnis mit grundlegender Active Directory Kompatibilität. Es unterstützt 5 000 oder weniger Benutzer, Samba-4-kompatible Anwendungen und LDAP-Kompatibilität für LDAP-fähige Anwendungen.
Einen detaillierteren Vergleich der AWS Directory Service Optionen finden Sie unterWelche sollte man auswählen.
Sicherstellen, dass Ihre VPCs und Instances korrekt konfiguriert sind
Um eine Verbindung zu Ihren Verzeichnissen herzustellen, sie zu verwalten und zu nutzen, müssen Sie die VPCs, denen die Verzeichnisse zugeordnet sind, ordnungsgemäß konfigurieren. Weitere Informationen über die Anforderungen zur VPC-Sicherheit und Netzwerken finden Sie unter Voraussetzungen für die Erstellung eines AWS verwalteten Microsoft AD, AD-Connector-Voraussetzungen oder Simple-AD-Voraussetzungen.
Wenn Sie Ihrer Domain eine Instance hinzufügen, stellen Sie sicher, dass Sie eine Verbindung und Remote-Zugriff auf Ihre Instance haben, wie in Möglichkeiten, eine EC2 Amazon-Instance mit Ihrem AWS Managed Microsoft AD zu verbinden beschrieben.
Sich der eigenen Grenzen bewusst sein
Erfahren Sie mehr über die verschiedenen Beschränkungen für Ihren spezifischen Verzeichnistyp. Der verfügbare Speicherplatz und die Gesamtgröße Ihrer Objekte sind die einzigen Einschränkungen in Bezug auf die Anzahl der Objekte, die Sie in Ihrem Verzeichnis speichern können. Einzelheiten zu dem von Ihnen ausgewählten Verzeichnis finden Sie unter AWS Verwaltete Microsoft AD-Kontingente, Kontingente für AD Connector oder Kontingente für Simple AD.
Machen Sie sich mit der Konfiguration und Verwendung der AWS Sicherheitsgruppen in Ihrem Verzeichnis vertraut
AWS erstellt eine Sicherheitsgruppe und fügt sie den elastischen Netzwerkschnittstellen Ihres Verzeichnisses hinzu, auf die von Ihren Peering-VPCs aus zugegriffen werden kann oder deren Größe geändert wurde.
Ändern der Verzeichnissicherheitsgruppe
Wenn Sie die Sicherheit der Sicherheitsgruppen Ihrer Verzeichnisse ändern möchten, können Sie dies tun. Nehmen Sie diese Änderungen nur vor, wenn Sie verstehen, wie Sicherheitsgruppenfilter funktionieren. Weitere Informationen finden Sie unter Amazon-EC2-Sicherheitsgruppen für Linux-Instances im Amazon-EC2-Benutzerhandbuch. Unsachgemäße Änderungen können zum Verlust der Kommunikation mit den vorgesehenen Computern und Instanzen führen. AWS empfiehlt, nicht zu versuchen, zusätzliche Ports für Ihr Verzeichnis zu öffnen, da dies die Sicherheit Ihres Verzeichnisses beeinträchtigt. Sehen Sie sich das AWS
-Modell übergreifender Verantwortlichkeit
Warnung
Es ist technisch möglich, dass Sie die Sicherheitsgruppe des Verzeichnisses anderen von Ihnen erstellten EC2-Instances zuordnen. AWS Empfiehlt jedoch, von dieser Vorgehensweise abzuraten. AWS kann Gründe haben, die Sicherheitsgruppe ohne vorherige Ankündigung zu ändern, um den Funktions- oder Sicherheitsanforderungen des verwalteten Verzeichnisses gerecht zu werden. Solche Änderungen wirken sich auf alle Instances aus, denen Sie die Verzeichnis-Sicherheitsgruppe zuordnen, und können den Betrieb der dazugehörigen Instances stören. Außerdem entsteht durch die Zuordnung der Verzeichnis-Sicherheitsgruppe zu Ihren EC2-Instances möglicherweise ein potenzielles Sicherheitsrisiko für Ihre EC2-Instances.
On-Premises-Standorte und Subnetze korrekt konfigurieren, wenn AD Connector verwendet wird
Wenn Ihr On-Premises-Netzwerk Active-Directory-Standorte definiert hat, müssen Sie sicherstellen, dass die Subnetze in der VPC, in der sich Ihr AD Connector befindet, in einem Active-Directory-Standort definiert sind, und dass es keine Konflikte zwischen den Subnetzen in Ihrer VPC und den Subnetzen in Ihren anderen Standorten gibt.
Um Domain-Controller zu entdecken, verwendet AD Connector den Active-Directory-Standort, dessen Subnetz-IP-Adressbereiche in der Nähe derjenigen in der VPC liegen, die AD Connector enthalten. Wenn Sie einen Standort haben, dessen Subnetze die gleichen IP-Adressbereiche haben wie die in Ihrer VPC, erkennt AD Connector die Domain-Controller in diesem Standort, die sich möglicherweise nicht in der Nähe Ihrer Region befinden.
Machen Sie sich mit Benutzernamenbeschränkungen für AWS Anwendungen vertraut
AWS Directory Service unterstützt die meisten Zeichenformate, die bei der Erstellung von Benutzernamen verwendet werden können. Es gibt jedoch Zeichenbeschränkungen, die für Benutzernamen gelten, die für die Anmeldung bei AWS Anwendungen wie WorkSpaces Amazon, Amazon oder Amazon WorkDocs verwendet werden. WorkMail QuickSight Diese Einschränkungen verlangen, dass die folgenden Zeichen nicht verwendet werden:
-
Leerzeichen
Multibyte-Zeichen
!"#$%&'()*+,/:;<=>?@[\]^`{|}~
Anmerkung
Das Symbol @ ist zulässig, wenn es einem UPN-Suffix vorausgeht.
Programmieren Ihrer Anwendungen
Stellen Sie folgende Überlegungen an, ehe Sie Ihre Anwendungen programmieren:
Auslastungstests vor der Inbetriebnahme
Führen Sie Labortests mit Anwendungen und Anforderungen durch, die Ihren Produktions-Workload darstellen, um sicherzustellen, dass das Verzeichnis entsprechend der Arbeitslast Ihrer Anwendung skaliert wird. Wenn Sie zusätzliche Kapazitäten benötigen, verteilen Sie Ihre Ladevorgänge über mehrere AD Connector-Verzeichnisse.
Verwenden Ihres Verzeichnisses
Hier finden Sie einige Vorschläge zur Verwendung Ihres Verzeichnisses.
Regelmäßig die Administrator-Anmeldeinformationen wechseln
Ändern Sie das AD-Connector-Administratorpasswort Ihres Servicekontos regelmäßig und stellen Sie sicher, dass das Passwort Ihren vorhandenen Active-Directory-Passwortrichtlinien entspricht. Anleitungen zum Ändern des Servicekonto-Passworts finden Sie unter Aktualisierung der Anmeldeinformationen Ihres AD Connector Connector-Dienstkontos in AWS Management Console.
Eindeutige AD-Connectors für jede Domain verwenden
AD Connectors und Ihre On-Premises-AD-Domains haben eine 1-zu-1-Beziehung. Das bedeutet, dass für jede On-Premises-Domain, einschließlich untergeordneter Domains in AD-Gesamtstrukturen, die Sie authentifizieren möchten, ein eindeutiger AD Connector erstellt werden muss. Für jeden AD Connector, den Sie erstellen, müssen Sie ein anderes Service-Konto verwenden, auch wenn sie mit dem gleichen Verzeichnis verbunden sind.
Überprüfen der Kompatibilität
Wenn Sie AD Connector verwenden, müssen Sie sicherstellen, dass Ihr lokales Verzeichnis mit AWS Directory Service s kompatibel ist und bleibt. Weitere Informationen zu Ihren Verantwortlichkeiten finden Sie in unserem Modell für übergreifende Verantwortlichkeit
