Prácticas recomendadas para Simple AD - AWS Directory Service
Configuración: requisitos previosConfiguración: creación del directorioProgramación de las aplicaciones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas para Simple AD

Estas son algunas sugerencias y pautas que debe tener en cuenta para evitar problemas y aprovechar al máximo Simple AD.

Configuración: requisitos previos

Plantéese estas directrices antes de crear el directorio.

Compruebe que tena el tipo de directorio correcto

AWS Directory Service proporciona varias formas de usarlo Microsoft Active Directory con otros AWS servicios. Puede elegir el servicio de directorio con las características que necesita con un costo que se adapte a su presupuesto:

  • AWS Directory Service para Microsoft Active Directory es un servicio gestionado y Microsoft Active Directory alojado en la AWS nube con muchas funciones. AWS Microsoft AD administrado es la mejor opción si tiene más de 5000 usuarios y necesita establecer una relación de confianza entre un directorio AWS hospedado y sus directorios locales.

  • AD Connector simplemente conecta su entorno local existente Active Directory a AWS. Conector AD es la mejor opción si desea utilizar su directorio en las instalaciones con los servicios de AWS .

  • Simple AD es un directorio de bajo coste y escala con Active Directory compatibilidad básica. Admite 5000 usuarios o menos, aplicaciones compatibles con Samba 4 y compatibilidad LDAP para aplicaciones compatibles con LDAP.

Para obtener una comparación más detallada de AWS Directory Service las opciones, consulte¿Cuál debe elegir?.

Asegúrese de que sus VPC y sus instancias se hayan configurado correctamente

Para gestionar y utilizar sus directorios, así como conectarse a ellos, debe configurar correctamente las VPC a las que están asociados los directorios. Consulte AWS Requisitos previos de Microsoft AD administrado, Requisitos previos de Conector AD o Requisitos previos para Simple AD para obtener información sobre la seguridad de VPC y los requisitos de red.

Si está añadiendo una instancia a su dominio, asegúrese de que dispone de conectividad y acceso remoto a la instancia, tal y como se describe en Unir una EC2 instancia de Amazon a su Microsoft AD AWS gestionado Active Directory.

Sea consciente de sus límites

Obtenga información sobre los distintos límites de su tipo de directorio específico. El almacenamiento disponible y el tamaño total de los objetos son las únicas limitaciones en cuanto al número de objetos que puede almacenar en el directorio. Consulte cualquiera de las opciones AWS Cuotas administradas de Microsoft AD, Cuotas de Conector AD o Cuotas de Simple AD para obtener más información sobre el directorio que ha elegido.

Comprenda la configuración y el uso de los grupos de AWS seguridad de su directorio

AWS crea un grupo de seguridad y lo adjunta a las interfaces de red elásticas del controlador de dominio de su directorio. AWS configura el grupo de seguridad para bloquear el tráfico innecesario al directorio y permite el tráfico necesario.

Modificación del grupo de seguridad del directorio

Si desea modificar la seguridad de los grupos de seguridad de sus directorios, puede hacerlo. Realice esos cambios únicamente si comprende completamente cómo funcionan los filtros de los grupos de seguridad. Para obtener más información, consulte Grupos de seguridad de Amazon EC2 para instancias de Linux en la Guía del usuario de Amazon EC2. Los cambios incorrectos pueden provocar la pérdida de comunicaciones con los equipos e instancias previstos. AWS recomienda que no intente abrir puertos adicionales al directorio, ya que esto reduce la seguridad del directorio. Lea detenidamente el Modelo de responsabilidad compartida de AWS.

aviso

Técnicamente, puede asociar el grupo de seguridad del directorio a otras instancias EC2 que cree. Sin embargo, no AWS recomienda esta práctica. AWS puede tener motivos para modificar el grupo de seguridad sin previo aviso para satisfacer las necesidades funcionales o de seguridad del directorio gestionado. Estos cambios afectan a cualquier instancia a la que asocie el grupo de seguridad del directorio y puede interrumpir el funcionamiento de las instancias asociadas. Además, al asociar el grupo de seguridad del directorio a las instancias EC2 se puede crear un posible riesgo de seguridad para las instancias EC2.

Utilice Microsoft AD AWS administrado si se requieren confianzas

Simple AD no admite relaciones de confianza. Si necesita establecer una relación de confianza entre su AWS Directory Service directorio y otro directorio, debe usar AWS Directory Service para Microsoft Active Directory.

Configuración: creación del directorio

A continuación se indican algunas sugerencias que debe tener en cuenta en el momento de crear su directorio.

Recuerde su ID de administrador y su contraseña

Cuando se configura el directorio, se proporciona la contraseña de la cuenta de administrador. El ID de esa cuenta es Administrador para Simple AD. Recuerde la contraseña que cree para esta cuenta; de lo contrario, no podrá añadir objetos a su directorio.

Comprenda las restricciones de nombre de usuario para AWS las aplicaciones

AWS Directory Service proporciona compatibilidad con la mayoría de los formatos de caracteres que se pueden utilizar en la construcción de nombres de usuario. Sin embargo, hay restricciones de caracteres que se aplican a los nombres de usuario que se utilizarán para iniciar sesión en AWS aplicaciones, como WorkSpaces Amazon WorkMail, WorkDocs Amazon o Amazon. QuickSight Estas restricciones requieren que no se utilicen los siguientes caracteres:

  • Espacios

  • Caracteres multibyte

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

nota

El símbolo @ se permite siempre que preceda a un sufijo UPN.

Programación de las aplicaciones

Antes de programar sus aplicaciones, tenga en cuenta lo siguiente:

Utilice el servicio de localización de DC de Windows

Al desarrollar aplicaciones, utilice el servicio de localización de Windows DC o el servicio DNS dinámico (DDNS) de su AWS Microsoft AD administrado para localizar los controladores de dominio (DC). No incluya la dirección de un DC en el código de las aplicaciones. El servicio de localización de DC ayuda a garantizar la distribución de la carga de directorios y le permite aprovechar el escalado horizontal añadiendo controladores de dominio a su implementación. Si vincula la aplicación a un DC fijo y se somete a una operación de aplicación de parches o de recuperación a dicho DC, la aplicación perderá el acceso al DC en lugar de utilizar uno de los DC restantes. Además, la inclusión de un DC en el código de la aplicación puede provocar que dicho DC se sobrecargue. En casos graves, esto puede hacer que el DC deje de responder. En estos casos, la automatización de AWS directorios también puede marcar el directorio como dañado y desencadenar procesos de recuperación que sustituyan al DC que no responde.

Pruebas de carga antes de la puesta en producción

Asegúrese de hacer pruebas de laboratorio con objetos y solicitudes que sean representativos de su carga de trabajo de producción para confirmar que el directorio puede adaptarse a la carga de su aplicación. Si necesita capacidad adicional, debe utilizarla AWS Directory Service para Microsoft Active Directory, que le permite agregar controladores de dominio para obtener un alto rendimiento. Para obtener más información, consulte Implementación de controladores de dominio adicionales.

Uso de consultas LDAP eficientes

Las consultas amplias de LDAP a un controlador de dominio con miles de objetos pueden consumir un número importante de ciclos de CPU en un único DC, lo que se traduce en una sobrecarga. Esto podría afectar a las aplicaciones que comparten el mismo DC durante la consulta.