Prácticas recomendadas para Simple AD - AWS Directory Service
Configuración: requisitos previosConfiguración: creación del directorioProgramación de las aplicaciones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas para Simple AD

A continuación se indican algunas sugerencias y directrices que debe considerar para evitar problemas y optimizar el uso de Simple AD.

Configuración: requisitos previos

Plantéese estas directrices antes de crear el directorio.

Compruebe que tena el tipo de directorio correcto

AWS Directory Service proporciona múltiples formas de usar Microsoft Active Directory con otros AWS servicios. Puede elegir el servicio de directorio con las características que necesita con un costo que se adapte a su presupuesto:

  • AWS Directory Service para Microsoft Active Directory es un servicio gestionado rico en funciones Microsoft Active Directory alojado en la nube. AWS AWS Microsoft AD administrado es la mejor opción si tiene más de 5000 usuarios y necesita establecer una relación de confianza entre un directorio AWS hospedado y sus directorios locales.

  • AD Connector simplemente conecta su entorno local existente Active Directory a AWS. Conector AD es la mejor opción si desea utilizar su directorio en las instalaciones con los servicios de AWS .

  • Simple AD es un directorio de baja escala y bajo costo con Active Directory compatibilidad. Admite 5000 usuarios o menos, aplicaciones compatibles con Samba 4 y compatibilidad LDAP para aplicaciones compatibles con LDAP.

Para obtener una comparación más detallada de AWS Directory Service las opciones, consulte¿Cuál debe elegir?.

Asegúrese de que sus instancias VPCs y estén configuradas correctamente

Para poder conectarse a sus directorios, administrarlos y usarlos, debe configurar correctamente los directorios a los VPCs que están asociados. Consulte Requisitos previos para crear un AWS Managed Microsoft AD, Requisitos previos de Conector AD o Requisitos previos para Simple AD para obtener información sobre la seguridad de VPC y los requisitos de red.

Si está añadiendo una instancia a su dominio, asegúrese de que dispone de conectividad y acceso remoto a la instancia, tal y como se describe en Formas de unir una EC2 instancia de Amazon a tu Microsoft AD AWS gestionado.

Sea consciente de sus límites

Obtenga información sobre los distintos límites de su tipo de directorio específico. El almacenamiento disponible y el tamaño total de los objetos son las únicas limitaciones en cuanto al número de objetos que puede almacenar en el directorio. Consulte cualquiera de las opciones AWS Cuotas administradas de Microsoft AD, Cuotas de Conector AD o Cuotas de Simple AD para obtener más información sobre el directorio que ha elegido.

Comprenda la configuración y el uso de los grupos de AWS seguridad de su directorio

AWS crea un grupo de seguridad y lo adjunta a las interfaces de red elásticas del controlador de dominio de su directorio. AWS configura el grupo de seguridad para bloquear el tráfico innecesario al directorio y permite el tráfico necesario.

Modificación del grupo de seguridad del directorio

Si desea modificar la seguridad de los grupos de seguridad de sus directorios, puede hacerlo. Realice esos cambios únicamente si comprende completamente cómo funcionan los filtros de los grupos de seguridad. Para obtener más información, consulta los grupos EC2 de seguridad de Amazon para instancias de Linux en la Guía del EC2 usuario de Amazon. Los cambios incorrectos pueden provocar la pérdida de las comunicaciones con los ordenadores e instancias previstos. AWS recomienda que no intente abrir puertos adicionales al directorio, ya que esto reduce la seguridad del directorio. Lea detenidamente el Modelo de responsabilidad compartida de AWS.

aviso

Técnicamente, es posible asociar el grupo de seguridad del directorio a otras EC2 instancias que cree. Sin embargo, no AWS recomienda esta práctica. AWS puede tener motivos para modificar el grupo de seguridad sin previo aviso para satisfacer las necesidades funcionales o de seguridad del directorio gestionado. Estos cambios afectan a cualquier instancia a la que asocie el grupo de seguridad del directorio y puede interrumpir el funcionamiento de las instancias asociadas. Además, asociar el grupo de seguridad del directorio a EC2 las instancias puede suponer un posible riesgo de seguridad para EC2 las instancias.

Utilice Microsoft AD AWS administrado si se requieren confianzas

Simple AD no admite relaciones de confianza. Si necesita establecer una relación de confianza entre su AWS Directory Service directorio y otro directorio, debe usar AWS Directory Service para Microsoft Active Directory.

Configuración: creación del directorio

A continuación se indican algunas sugerencias que debe tener en cuenta en el momento de crear su directorio.

Recuerde su ID de administrador y su contraseña

Cuando se configura el directorio, se proporciona la contraseña de la cuenta de administrador. El ID de esa cuenta es Administrador para Simple AD. Recuerde la contraseña que cree para esta cuenta; de lo contrario, no podrá añadir objetos a su directorio.

Comprenda las restricciones de nombre de usuario para AWS las aplicaciones

AWS Directory Service proporciona compatibilidad con la mayoría de los formatos de caracteres que se pueden utilizar en la construcción de nombres de usuario. Sin embargo, hay restricciones de caracteres que se aplican a los nombres de usuario que se utilizarán para iniciar sesión en AWS aplicaciones, como WorkSpaces Amazon WorkMail, WorkDocs Amazon o Amazon. QuickSight Estas restricciones requieren que no se utilicen los siguientes caracteres:

  • Espacios

  • Caracteres multibyte

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

nota

El símbolo @ se permite siempre que preceda a un sufijo UPN.

Programación de las aplicaciones

Antes de programar sus aplicaciones, tenga en cuenta lo siguiente:

Utilice el servicio de localización de DC de Windows

Al desarrollar aplicaciones, utilice el servicio de localización de Windows DC o el servicio DNS dinámico (DDNS) de su AWS Microsoft AD administrado para localizar los controladores de dominio (DCs). No incluya la dirección de un DC en el código de las aplicaciones. El servicio de localización de DC ayuda a garantizar la distribución de la carga de directorios y le permite aprovechar el escalado horizontal añadiendo controladores de dominio a su implementación. Si vincula la aplicación a un DC fijo y el DC se somete a parches o se recupera, la aplicación perderá el acceso al DC en lugar de utilizar uno de los restantes. DCs Además, la inclusión de un DC en el código de la aplicación puede provocar que dicho DC se sobrecargue. En casos graves, esto puede hacer que el DC deje de responder. En estos casos, la automatización de AWS directorios también puede marcar el directorio como dañado y desencadenar procesos de recuperación que sustituyan al DC que no responde.

Pruebas de carga antes de la puesta en producción

Asegúrese de hacer pruebas de laboratorio con objetos y solicitudes que sean representativos de su carga de trabajo de producción para confirmar que el directorio puede adaptarse a la carga de su aplicación. Si necesita capacidad adicional, debe utilizarla AWS Directory Service para Microsoft Active Directory, que le permite agregar controladores de dominio para obtener un alto rendimiento. Para obtener más información, consulte Implementación de controladores de dominio adicionales para su Microsoft AD AWS administrado.

Uso de consultas LDAP eficientes

Las consultas amplias de LDAP a un controlador de dominio con miles de objetos pueden consumir un número importante de ciclos de CPU en un único DC, lo que se traduce en una sobrecarga. Esto podría afectar a las aplicaciones que comparten el mismo DC durante la consulta.