Prácticas recomendadas para AWS Managed Microsoft AD - AWS Directory Service
Configuración del directorioUso del directorioProgramación de las aplicaciones para su directorio

Prácticas recomendadas para AWS Managed Microsoft AD

A continuación se indican algunas sugerencias y directrices que debe tener en cuenta para evitar problemas y sacar el máximo partido de AWS Managed Microsoft AD.

Prácticas recomendadas para configurar un AWS Managed Microsoft AD

A continuación, se presentan algunas sugerencias y directrices para configurar AWS Managed Microsoft AD:

Requisitos previos

Plantéese estas directrices antes de crear el directorio.

Compruebe que tena el tipo de directorio correcto

AWS Directory Service proporciona varias formas de usar Microsoft Active Directory con otros servicios de AWS. Puede elegir el servicio de directorio con las características que necesita con un costo que se adapte a su presupuesto:

  • AWS Directory Service para Microsoft Active Directory es un directorio de Microsoft Active Directory administrado y con muchas características alojado en la nube de AWS. AWS Managed Microsoft AD es su mejor opción si tiene más de 5000 usuarios y necesita configurar una relación de confianza entre un directorio alojado en AWS y sus directorios en las instalaciones.

  • Conector AD simplemente conecta su servicio de Active Directory en las instalaciones existente a AWS. Conector AD es la mejor opción si desea utilizar su directorio en las instalaciones con los servicios de AWS.

  • Simple AD es un servicio de directorio económico a pequeña escala compatible con el servicio básico de Active Directory. Admite 5000 usuarios o menos, aplicaciones compatibles con Samba 4 y compatibilidad LDAP para aplicaciones compatibles con LDAP.

Si desea ver una comparación más detallada de las opciones de AWS Directory Service, consulte ¿Cuál debe elegir?.

Asegúrese de que sus VPC y sus instancias se hayan configurado correctamente

Para gestionar y utilizar sus directorios, así como conectarse a ellos, debe configurar correctamente las VPC a las que están asociados los directorios. Consulte Requisitos previos para crear un AWS Managed Microsoft AD, Requisitos previos de Conector AD o Requisitos previos para Simple AD para obtener información sobre la seguridad de VPC y los requisitos de red.

Si está añadiendo una instancia a su dominio, asegúrese de que dispone de conectividad y acceso remoto a la instancia, tal y como se describe en Cómo vincular una instancia de Amazon EC2 a su directorio de AWS Managed Microsoft AD.

Sea consciente de sus límites

Obtenga información sobre los distintos límites de su tipo de directorio específico. El almacenamiento disponible y el tamaño total de los objetos son las únicas limitaciones en cuanto al número de objetos que puede almacenar en el directorio. Consulte cualquiera de las opciones Cuotas de AWS Managed Microsoft AD, Cuotas de Conector AD o Cuotas de Simple AD para obtener más información sobre el directorio que ha elegido.

Comprender la configuración y el uso de los grupos de seguridad de AWS del directorio

AWS crea un grupo de seguridad y lo asocia a las interfaces de red elásticas del controlador de dominio del directorio. Este grupo de seguridad bloquea el tráfico innecesario al controlador de dominio; no obstante, permite el tráfico necesario para las comunicaciones de Active Directory. AWS configura el grupo de seguridad para abrir solo los puertos necesarios para las comunicaciones de Active Directory. En la configuración predeterminada, el grupo de seguridad acepta tráfico hacia estos puertos desde la dirección CIDR IPv4 de la VPC de AWS Managed Microsoft AD. AWS adjunta el grupo de seguridad a las interfaces de sus controladores de dominio que son accesibles desde sus VPC emparejadas o redimensionadas. A estas interfaces no se puede acceder desde Internet aunque modifique las tablas de enrutamiento, cambie las conexiones de red a la VPC y configure el servicio NAT Gateway. Como tal, solo las instancias y los equipos que tengan una ruta de red en la VPC pueden acceder al directorio. Esto simplifica la configuración, eliminando el requisito de configurar rangos de direcciones específicos. En su lugar, se configuran rutas y grupos de seguridad en la VPC que permiten el tráfico únicamente a partir de instancias y equipos de confianza.

Modificación del grupo de seguridad del directorio

Si desea aumentar la seguridad de los grupos de seguridad de sus directorios, puede modificarlos para que acepten tráfico de una lista más restrictiva de direcciones IP. Por ejemplo, podría cambiar las direcciones aceptadas de su rango CIDR IPv4 de la VPC a un rango CIDR específico de una sola subred o equipo. De forma similar, podría optar por restringir las direcciones de destino con las que puedan comunicarse sus controladores de dominio. Realice esos cambios únicamente si comprende completamente cómo funcionan los filtros de los grupos de seguridad. Para obtener más información, consulte Grupos de seguridad de Amazon EC2 para instancias de Linux en la Guía del usuario de Amazon EC2. Los cambios incorrectos pueden provocar la pérdida de comunicación con los equipos e instancias previstos. AWS recomienda que no intente abrir puertos adicionales al controlador de dominio, ya que esto reduce su seguridad. Lea detenidamente el Modelo de responsabilidad compartida de AWS.

aviso

Técnicamente, puede asociar los grupos de seguridad que utiliza el directorio a otras instancias EC2 que cree. Sin embargo, AWS desaconseja esta práctica. AWS puede tener razones para modificar el grupo de seguridad sin previo aviso para responder a necesidades de seguridad o funcionales del directorio administrado. Estos cambios afectan a cualquier instancia a la que asocie el grupo de seguridad del directorio. Además, al asociar el grupo de seguridad del directorio a sus instancias EC2 se crea un posible riesgo de seguridad para sus instancias EC2. El grupo de seguridad del directorio acepta tráfico en los puertos de Active Directory necesarios desde la dirección CIDR IPv4 de la VPC de AWS Managed Microsoft AD. Si asocia este grupo de seguridad a una instancia EC2 con una dirección IP pública conectada a Internet, cualquier equipo en Internet puede comunicarse con su instancia EC2 en los puertos abiertos.

Creación de un AWS Managed Microsoft AD

A continuación, se presentan algunas recomendaciones para tener en cuenta al crear un AWS Managed Microsoft AD.

Recuerde su ID de administrador y su contraseña

Cuando se configura el directorio, se proporciona la contraseña de la cuenta de administrador. El ID de esa cuenta es Admin para AWS Managed Microsoft AD. Recuerde la contraseña que cree para esta cuenta; de lo contrario, no podrá añadir objetos a su directorio.

Crear un conjunto de opciones de DHCP

Le recomendamos crear un conjunto de opciones de DHCP para su directorio de AWS Directory Service, así como asignar el conjunto de opciones de DHCP a la VPC donde se encuentre el directorio. De esta forma, las instancias de la VPC pueden apuntar al dominio especificado y los servidores DNS pueden resolver sus nombres de dominio.

Para obtener más información sobre las opciones de DHCP, consulte Cómo crear o modificar un conjunto de opciones de DHCP de AWS Managed Microsoft AD.

Habilitación de la configuración de reenviador condicional

La siguiente configuración de reenviador condicional Almacenar este reenviador condicional en Active Directory y replicarlo de la siguiente manera: debe estar habilitada. Al habilitar esta configuración, se garantizará que la configuración del reenviador condicional se mantenga cuando se sustituya un nodo debido a un fallo de infraestructura o a un fallo de sobrecarga.

Los reenviadores condicionales deben crearse en un controlador de dominio con la configuración anterior habilitada. Esto permitirá la replicación a otros controladores de dominio.

Implementación de controladores de dominio adicionales

De forma predeterminada, AWS crea dos controladores de dominio que existen en distintas zonas de disponibilidad. Esto proporciona resistencia a errores durante la aplicación de parches de software y otros eventos que pueden provocar que no se pueda obtener acceso a un controlador de dominio o no esté disponible. Le recomendamos que implemente controladores de dominio adicionales para aumentar aún más la resiliencia y garantizar el rendimiento de escalado ascendente en caso de que se produzca un evento a largo plazo que afecte al acceso a un controlador de dominio o a una zona de disponibilidad.

Para obtener más información, consulte Uso del servicio de localización de DC de Windows.

Comprender restricciones de nombre de usuario para aplicaciones de AWS

AWS Directory Service permite la mayoría de formatos de caracteres que se pueden utilizar en la creación de nombres de usuario. No obstante, existen restricciones de caracteres que se imponen en los nombres de usuario que se utilizarán para iniciar sesión en las aplicaciones de AWS como, por ejemplo, WorkSpaces, Amazon WorkDocs, Amazon WorkMail o Amazon QuickSight. Estas restricciones requieren que no se utilicen los siguientes caracteres:

  • Espacios

  • Caracteres multibyte

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

nota

El símbolo @ se permite siempre que preceda a un sufijo UPN.

Prácticas recomendadas al usar un directorio de AWS Managed Microsoft AD

A continuación, se presentan algunas recomendaciones para tener en cuenta al utilizar AWS Managed Microsoft AD.

No modificar los usuarios, los grupos, ni las unidades organizativas predefinidos

Al utilizar AWS Directory Service para lanzar un directorio, AWS crea una unidad organizativa (OU) que contiene todos los objetos de su directorio. Esta unidad organizativa, que tiene el nombre de NetBIOS que escribió al crear el directorio, se encuentra en la raíz del dominio. La raíz del dominio es propiedad de , que también se encarga de su administració AWS. También se crean varios grupos y un usuario administrativo.

No mueva, elimine ni modifique de ningún otro modo estos objetos predefinidos. Si lo hace, puede impedir el acceso al directorio tanto por su parte como por parte de AWS. Para obtener más información, consulte ¿Qué se crea con AWS Managed Microsoft AD?.

Unirse a dominios de manera automática

Al lanzar una instancia de Windows que va a formar parte de un dominio de AWS Directory Service, suele ser más fácil unirse al dominio dentro del proceso de creación de instancias, en lugar de añadir manualmente la instancia más adelante. Para unirse automáticamente a un dominio, solo tiene que seleccionar el directorio correcto para Domain join directory al lanzar una nueva instancia. Puede encontrar detalles en Vinculación de una instancia de Amazon EC2 en Windows a su Active Directory de AWS Managed Microsoft AD.

Configurar relaciones de confianza correctamente

Cuando configure la relación de confianza entre su directorio de AWS Managed Microsoft AD y otro directorio, tenga en cuenta estas directrices:

  • El tipo de relación de confianza debe coincidir en ambos lados (bosque o externo)

  • Asegúrese de que la dirección de la relación de confianza esté configurada correctamente si se utiliza una relación de confianza unidireccional (saliente en el dominio origen de la confianza, entrante en el dominio destino de la confianza)

  • Los nombres de dominio completos (FQDN) y los nombres NetBIOS deben ser únicos entre bosques/dominios

Para más información e instrucciones específicas sobre cómo configurar una relación de confianza, consulte Creación de una relación de confianza entre el AWS Managed Microsoft AD y un AD autoadministrado.

Seguimiento del rendimiento de su controlador de dominio

Para ayudar a optimizar las decisiones de escalado y mejorar la resiliencia y el rendimiento de los directorios, le recomendamos que utilice las métricas de CloudWatch. Para obtener más información, consulte Uso de Amazon CloudWatch para supervisar el rendimiento de los controladores de dominio del AWS Managed Microsoft AD.

Para obtener instrucciones sobre cómo configurar las métricas de los controladores de dominio mediante la consola de CloudWatch, consulte Cómo automatizar el escalado de AWS Managed Microsoft AD según las métricas de utilización en el Blog de seguridad de AWS.

Planifique cuidadosamente las extensiones del esquema

Debe aplicar cuidadosamente las extensiones del esquema para indexar el directorio para las consultas importantes y frecuentes. Tenga cuidado de no sobreindexar el directorio, ya que los índices consumen espacio en el directorio y los valores indexados que cambian rápidamente pueden provocar problemas de desempeño. Para añadir índices, debe crear un archivo de formato ligero de intercambio de directorios (LDIF) del protocolo ligero de acceso a directorios (LDAP) y extender el cambio de esquema. Para obtener más información, consulte Ampliación del esquema del AWS Managed Microsoft AD.

Acerca de los equilibradores de carga

No utilice un equilibrador de carga delante de los puntos de conexión de AWS Managed Microsoft AD. Microsoft diseñó Active Directory (AD) para su uso con un algoritmo de descubrimiento de controladores de dominio (DC) que encuentra el controlador de dominio operativo más receptivo sin necesidad del equilibrador de carga externo. Los balanceadores de carga de red externos detectan incorrectamente los DC activos y pueden hacer que la aplicación se envíe a un DC que se está iniciando, pero que no está listo para su uso. Para obtener más información, consulte Equilibradores de carga y Active Directory en Microsoft TechNet, que recomienda corregir las aplicaciones para utilizar AD correctamente en lugar de implementar los equilibradores de carga externos.

Haga una copia de seguridad de la instancia

Si decide añadir manualmente una instancia a un dominio existente de AWS Directory Service, haga primero un backup o una instantánea de la instancia. Esto es especialmente importante a la hora de unirse a una instancia de Linux. Algunos de los procedimientos utilizados para agregar una instancia, si no se realizan correctamente, pueden hacer que la instancia resulte inaccesible o inservible. Para obtener más información, consulte Restauración del AWS Managed Microsoft AD con instantáneas.

Configuración de la mensajería SNS

Con Amazon Simple Notification Service (Amazon SNS), puede recibir mensajes de correo electrónico o de texto (SMS) cuando cambie el estado del directorio. Se le notificará si el directorio pasa de un estado Activo a Deteriorado o Inoperable. También recibirá una notificación cuando el directorio vuelva a estar en estado activo.

Recuerde también que si tiene un tema de SNS que recibe mensajes de AWS Directory Service, antes de eliminarlo desde la consola de Amazon SNS, debe asociar su directorio a otro tema de SNS. En caso contrario, se arriesga a perder importantes mensajes de estado del directorio. Para obtener información sobre cómo configurar Amazon SNS, consulte Habilitación de notificaciones de estado del directorio del AWS Managed Microsoft AD con Amazon Simple Notification Service.

Aplicación de la configuración del servicio de directorio

AWS Managed Microsoft AD le permite personalizar su configuración de seguridad para cumplir con los requisitos de cumplimiento y seguridad. AWS Managed Microsoft AD implementa y mantiene la configuración en todos los controladores de dominio del directorio, incluso al agregar nuevas regiones o controladores de dominio adicionales. Puede configurar y aplicar estas opciones de seguridad a todos los directorios nuevos y existentes. Puede hacerlo en la consola si sigue los pasos en Editar la configuración de seguridad del directorio o mediante la API UpdateSettings.

Para obtener más información, consulte Edición de la configuración de seguridad del directorio de AWS Managed Microsoft AD.

Elimine las aplicaciones de Amazon Enterprise antes de eliminar un directorio

Antes de eliminar un directorio asociado a una o más aplicaciones empresariales de Amazon, como WorkSpaces, Amazon WorkSpaces Application Manager, Amazon WorkDocs, Amazon WorkMail, AWS Management Console o Amazon Relational Database Service (Amazon RDS), primero debe eliminar cada aplicación. Para obtener más información sobre cómo eliminar estas aplicaciones, consulte Eliminación del AWS Managed Microsoft AD.

Utilizar clientes SMB 2.x al acceder a los recursos compartidos SYSVOL y NETLOGON

Los equipos cliente utilizan el bloque de mensajes de servidor (SMB) para tener acceso a los recursos compartidos SYSVOL y NETLOGON en controladores de dominio de AWS Managed Microsoft AD para la política de grupo, scripts de inicio de sesión y otros archivos. AWS Managed Microsoft AD solo es compatible con SMB versión 2.0 (SMBv2) y versiones posteriores.

Los protocolos SMBv2 y versiones más recientes agregan una serie de características que mejoran el rendimiento del cliente y aumentan la seguridad de los controladores de dominio y los clientes. Este cambio sigue las recomendaciones del United Stated Computer Emergency Readiness Team y Microsoft para deshabilitar SMBv1.

importante

Si actualmente utiliza clientes SMBv1 para tener acceso a los recursos compartidos SYSVOL y NETLOGON de su controlador de dominio, debe actualizar esos clientes para utilizar SMBv2 o versiones posteriores. El directorio funcionará correctamente, pero los clientes SMBv1 no podrán conectarse a los recursos compartidos SYSVOL y NETLOGON de sus controladores de dominio de AWS Managed Microsoft AD y tampoco podrán procesar la política de grupo.

Los clientes SMBv1 funcionarán con cualquier otro servidor de archivos compatible con SMBv1 que tenga. Sin embargo, AWS recomienda que actualice todos los servidores y clientes SMB a SMBv2 o posterior. Para obtener más información sobre cómo deshabilitar SMBv1 y actualizarlo a versiones más recientes de SMB en sus sistemas, consulte estas publicaciones en Microsoft TechNet y en la Documentación de Microsoft.

Seguimiento de conexiones remotas SMBv1

Puede revisar el registro de eventos de Windows Microsoft-Windows-SMBServer/Audit que se conecta de forma remota al controlador de dominio de AWS Managed Microsoft AD. Cualquier evento en este registro indica conexiones SMBv1. A continuación se muestra un ejemplo de la información que puede ver en uno de estos registros:

Acceso SMB1

Dirección del cliente: ###.###.###.###

Directrices:

Este evento indica que un cliente intentó acceder al servidor mediante SMB1. Para detener la auditoría del acceso a SMB1, utilice el cmdlet Set-SmbServerConfiguration de Windows PowerShell.

Prácticas recomendadas a la hora de programar las aplicaciones para un AWS Managed Microsoft AD

Antes de programar las aplicaciones para que funcionen con AWS Managed Microsoft AD, tenga en cuenta lo siguiente:

Uso del servicio de localización de DC de Windows

Cuando desarrolle aplicaciones, utilice el servicio de localización de DC de Windows o utilice el servicio de DNS dinámico (DDNS) de AWS Managed Microsoft AD para localizar los controladores de dominio (DC). No incluya la dirección de un DC en el código de las aplicaciones. El servicio de localización de DC ayuda a garantizar la distribución de la carga de directorios y le permite aprovechar el escalado horizontal añadiendo controladores de dominio a su implementación. Si vincula la aplicación a un DC fijo y se somete a una operación de aplicación de parches o de recuperación a dicho DC, la aplicación perderá el acceso al DC en lugar de utilizar uno de los DC restantes. Además, la inclusión de un DC en el código de la aplicación puede provocar que dicho DC se sobrecargue. En casos graves, esto puede hacer que el DC deje de responder. En estos casos, también es posible que la automatización de directorios de AWS marque el directorio como deteriorado y que se activen procesos de recuperación que sustituyan el DC que no responde.

Pruebas de carga antes de la puesta en producción

Asegúrese de hacer pruebas de laboratorio con objetos y solicitudes que sean representativos de su carga de trabajo de producción para confirmar que el directorio puede adaptarse a la carga de su aplicación. Si necesita capacidad adicional, pruebe con DC adicionales para que las solicitudes se distribuyan entre los DC disponibles. Para obtener más información, consulte Implementación de controladores de dominio adicionales para el AWS Managed Microsoft AD.

Uso de consultas LDAP eficientes

Las consultas amplias de LDAP a un controlador de dominio con decenas de miles de objetos pueden consumir un número importante de ciclos de CPU en un único DC, lo que se traduce en una sobrecarga. Esto podría afectar a las aplicaciones que comparten el mismo DC durante la consulta.