AWS Meilleures pratiques en matière de gestion de Microsoft AD - AWS Directory Service
Configuration de votre annuaireUtilisation de votre annuaireProgrammation de vos applications pour votre annuaire

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Meilleures pratiques en matière de gestion de Microsoft AD

Voici quelques suggestions et directives à prendre en compte pour éviter les problèmes et tirer le meilleur parti de AWS Managed Microsoft AD.

Bonnes pratiques pour configurer un Microsoft AD AWS géré

Voici quelques suggestions et directives à suivre lors de la configuration de votre AWS Managed Microsoft AD :

Prérequis

Pensez à utiliser ces consignes avant de créer votre annuaire.

Vérifiez que vous avez le type d'annuaire approprié

AWS Directory Service fournit de multiples façons d'utiliser Microsoft Active Directory avec d'autres AWS services. Vous pouvez choisir le service d'annuaire doté des fonctionnalités dont vous avez besoin à un prix adapté à votre budget :

  • AWS Directory Service pour Microsoft Active Directory est un service géré riche en fonctionnalités Microsoft Active Directory hébergés sur le AWS cloud. AWS Managed Microsoft AD est votre meilleur choix si vous avez plus de 5 000 utilisateurs et que vous avez besoin d'établir une relation de confiance entre un annuaire AWS hébergé et vos annuaires locaux.

  • AD Connector connecte simplement vos locaux existants Active Directory à AWS. AD Connector est votre meilleur allié si vous souhaitez utiliser votre annuaire sur site existant avec les services AWS .

  • Simple AD est un annuaire à petite échelle et à faible coût avec des fonctionnalités de base Active Directory compatibilité. Il prend en charge 5 000 utilisateurs ou moins, les applications compatibles avec Samba 4 et la LDAP compatibilité avec les LDAP applications compatibles.

Pour une comparaison plus détaillée des AWS Directory Service options, voirQue choisir ?.

Assurez-vous que vos instances VPCs et instances sont correctement configurées

Pour vous connecter à vos annuaires, les gérer et les utiliser, vous devez configurer correctement les VPCs répertoires auxquels ils sont associés. Consultez l'un ou Conditions préalables à la création d'un Microsoft AWS AD géré l'Conditions préalables requises pour AD Connectorautre ou Prérequis pour Simple AD pour plus d'informations sur les exigences en VPC matière de sécurité et de mise en réseau.

Si vous ajoutez une instance à votre domaine, assurez-vous de disposer d'une connectivité et d'un accès à distance à votre instance, comme décrit dans Comment associer une EC2 instance Amazon à votre Microsoft AD AWS géré.

Tenez compte des limites

Découvrez les différentes limites applicables à votre type d'annuaire spécifique. Le stockage disponible et la taille globale de vos objets sont les seules limites quant au nombre d'objets que vous pouvez stocker dans votre annuaire. Consultez AWS Quotas Microsoft AD gérés, Quotas AD Connector ou Quotas Simple AD pour plus d'informations sur l'annuaire que vous avez choisi.

Comprenez la configuration et l'utilisation AWS des groupes de sécurité de votre annuaire

AWS crée un groupe de sécurité et l'attache aux interfaces réseau élastiques du contrôleur de domaine de votre annuaire. Ce groupe de sécurité bloque le trafic inutile vers le contrôleur de domaine et autorise le trafic nécessaire pour Active Directory communications. AWS configure le groupe de sécurité pour ouvrir uniquement les ports requis pour Active Directory communications. Dans la configuration par défaut, le groupe de sécurité accepte le trafic vers ces ports à partir de l'VPCIPv4CIDRadresse Microsoft AD AWS gérée. AWS attache le groupe de sécurité aux interfaces de vos contrôleurs de domaine accessibles depuis votre peered ou redimensionné. VPCs Ces interfaces sont inaccessibles depuis Internet même si vous modifiez les tables de routage, modifiez les connexions réseau vers les VPC vôtres et configurez le service NAT Gateway. Ainsi, seuls les instances et les ordinateurs dotés d'un chemin réseau VPC peuvent accéder au répertoire. Cela simplifie la configuration et vous permet de ne plus avoir à configurer des plages d'adresses spécifiques. Au lieu de cela, vous configurez des itinéraires et des groupes de sécurité VPC qui n'autorisent le trafic que depuis des instances et des ordinateurs fiables.

Modification du groupe de sécurité de l'annuaire

Si vous souhaitez renforcer la sécurité des groupes de sécurité de vos annuaires, vous pouvez les modifier pour accepter le trafic d'une liste d'adresses IP plus restrictive. Par exemple, vous pouvez remplacer les adresses acceptées de votre VPC IPv4 CIDR plage par une CIDR plage spécifique à un sous-réseau ou à un ordinateur. De même, vous pouvez choisir de restreindre les adresses de destination vers lesquelles vos contrôleurs de domaine peuvent communiquer. Effectuez ces modifications uniquement si vous avez entièrement compris le fonctionnement du filtrage des groupes de sécurité. Pour plus d'informations, consultez les groupes EC2 de sécurité Amazon pour les instances Linux dans le guide de EC2 l'utilisateur Amazon. Des modifications inappropriées peuvent entraîner une perte de communication avec les ordinateurs et les instances concernés. AWS recommande de ne pas essayer d'ouvrir des ports supplémentaires vers le contrôleur de domaine car cela réduit la sécurité de votre répertoire. Veuillez lire attentivement le modèle de responsabilité partagée AWS.

Avertissement

Il est techniquement possible d'associer les groupes de sécurité utilisés par votre annuaire à d'autres EC2 instances que vous créez. Il AWS déconseille toutefois cette pratique. AWS peut avoir des raisons de modifier le groupe de sécurité sans préavis pour répondre aux besoins fonctionnels ou de sécurité du répertoire géré. Ces modifications affectent toutes les instances avec lesquelles vous associez le groupe de sécurité de l'annuaire. En outre, l'association du groupe de sécurité de l'annuaire à vos EC2 instances crée un risque de sécurité potentiel pour vos EC2 instances. Le groupe de sécurité de l'annuaire accepte le trafic sur demande Active Directory ports provenant de l'VPCIPv4CIDRadresse Microsoft AD AWS gérée. Si vous associez ce groupe de sécurité à une EC2 instance dont l'adresse IP publique est connectée à Internet, n'importe quel ordinateur connecté à Internet peut communiquer avec votre EC2 instance sur les ports ouverts.

Création de votre AWS compte Microsoft AD géré

Voici quelques suggestions à prendre en compte lors de la création de votre AWS Managed Microsoft AD.

Rétention de vos ID et mot de passe d'administrateur

Lorsque vous configurez votre annuaire, vous fournissez un mot de passe pour le compte d'administrateur. Cet identifiant de compte est Admin for AWS Managed Microsoft AD. Retenez le mot de passe créé pour ce compte, sinon vous ne serez pas en mesure d'ajouter des objets à votre annuaire.

Création d'un ensemble DHCP d'options

Nous vous recommandons de créer un ensemble d'DHCPoptions pour votre AWS Directory Service répertoire et d'attribuer le jeu DHCP d'options à VPC celui dans lequel se trouve votre répertoire. Ainsi, toutes les instances VPC peuvent pointer vers le domaine spécifié, et DNS les serveurs peuvent résoudre leurs noms de domaine.

Pour plus d'informations sur DHCP les ensembles d'options, consultezCréation ou modification d'un ensemble DHCP d'options pour AWS Managed Microsoft AD.

Activer le paramètre du redirecteur conditionnel

Les paramètres de transfert conditionnel suivants Stockez ce redirecteur conditionnel dans Active Directory, répliquez-le comme suit : doit être activé. L'activation de ces paramètres garantit que le paramètre du redirecteur conditionnel est persistant lorsqu'un nœud est remplacé en raison d'une défaillance de l'infrastructure ou d'une panne de surcharge.

Les redirecteurs conditionnels doivent être créés sur un contrôleur de domaine avec le paramètre précédent activé. Cela permettra la réplication vers d'autres contrôleurs de domaine.

Déploiement de contrôleurs de domaine supplémentaires

Par défaut, AWS crée deux contrôleurs de domaine qui existent dans des zones de disponibilité distinctes. Cela fournit une résilience aux pannes lors de l'application des correctifs logiciels et d'autres événements qui peuvent rendre un contrôleur de domaine inaccessible ou indisponible. Nous vous recommandons de déployer des contrôleurs de domaine supplémentaires pour augmenter encore plus la résilience et garantir des performances d'augmentation en cas d'événement à long terme affectant l'accès à un contrôleur de domaine ou à une zone de disponibilité.

Pour de plus amples informations, veuillez consulter Utilisez la commande Windows Service de localisation de DC.

Comprendre les restrictions sur le nom d'utilisateur pour les applications AWS

AWS Directory Service prend en charge la plupart des formats de caractères pouvant être utilisés dans la construction des noms d'utilisateur. Cependant, certaines restrictions de caractères sont appliquées aux noms d'utilisateur qui seront utilisés pour se connecter à AWS des applications, telles qu'Amazon WorkSpaces WorkDocs WorkMail, Amazon ou Amazon QuickSight. Ces restrictions empêchent l'utilisation des caractères suivants :

  • Espaces

  • Caractères multioctets

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

Note

Le symbole @ est autorisé tant qu'il précède un UPN suffixe.

Bonnes pratiques lors de l'utilisation d'un annuaire Microsoft AD AWS géré

Voici quelques suggestions à prendre en compte lorsque vous utilisez votre Microsoft AD AWS géré.

Ne pas modifier les utilisateurs, groupes et unités d'organisation prédéfinis

Lorsque vous lancez un annuaire, il AWS crée une unité organisationnelle ( AWS Directory Service UO) qui contient tous les objets de votre répertoire. Cette unité d'organisation, qui porte le BIOS nom réseau que vous avez saisi lors de la création de votre répertoire, se trouve dans la racine du domaine. La racine du domaine est détenue et gérée par AWS. Plusieurs groupes et un utilisateur administratif sont créés.

Ne déplacez pas, ne supprimez pas ou ne modifiez pas ces objets prédéfinis. Cela peut rendre votre répertoire inaccessible à la fois par vous-même et AWS. Pour de plus amples informations, veuillez consulter Qu'est-ce qui est créé avec votre Microsoft AD AWS géré.

Jonction automatique des domaines

Lors du lancement d'une instance Windows destinée à faire partie d'un AWS Directory Service domaine, il est souvent plus facile de rejoindre le domaine dans le cadre du processus de création de l'instance plutôt que de l'ajouter manuellement ultérieurement. Pour joindre automatiquement un domaine, il suffit de sélectionner l'annuaire approprié pour le paramètre Domain join directory lors du lancement d'une nouvelle instance. Pour plus de détails, veuillez consulter Joindre une instance Amazon EC2 Windows à votre compte Microsoft AD AWS géré Active Directory.

Configuration appropriée des relations d'approbation

Lorsque vous configurez une relation de confiance entre votre annuaire Microsoft AD AWS géré et un autre annuaire, gardez à l'esprit les consignes suivantes :

  • Le type d'approbation doit correspondre des deux côtés (forêt ou externe)

  • Assurez-vous que la direction d'approbation est correctement configurée si vous utilisez une approbation unidirectionnelle (sortante sur le domaine d'approbation, entrante sur le domaine approuvé)

  • Les noms de domaine complets (FQDNs) et les BIOS noms de réseau doivent être uniques entre les forêts et les domaines

Pour plus de détails et des instructions spécifiques sur la configuration d'une relation d'approbation, veuillez consulter Création d'une relation de confiance entre votre Microsoft AD AWS géré et votre AD autogéré.

Suivez les performances de votre contrôleur de domaine

Pour optimiser les décisions de dimensionnement et améliorer la résilience et les performances des annuaires, nous vous recommandons d'utiliser CloudWatch des métriques. Pour de plus amples informations, veuillez consulter Utilisation CloudWatch pour surveiller les performances de vos contrôleurs de domaine Microsoft AD AWS gérés.

Pour obtenir des instructions sur la façon de configurer les métriques du contrôleur de domaine à l'aide de la CloudWatch console, consultez Comment automatiser le dimensionnement de AWS Managed Microsoft AD en fonction des métriques d'utilisation dans le blog sur la AWS sécurité.

Planifiez soigneusement les extensions de schéma

Appliquez soigneusement les extensions de schéma de manière à indexer votre annuaire pour les requêtes importantes et fréquentes. Veillez à ne pas trop indexer l'annuaire, car les index consomment de l'espace d'annuaire, et la modification rapide des valeurs indexées risque d'entraîner des problèmes de performance. Pour ajouter des index, vous devez créer un fichier Lightweight Directory Access Protocol (LDAP) Directory Interchange Format (LDIF) et étendre votre modification de schéma. Pour de plus amples informations, veuillez consulter Étendez votre schéma AWS Managed Microsoft AD.

À propos des équilibreurs de charge

N'utilisez pas d'équilibreur de charge devant les points de terminaison Microsoft AD AWS gérés. Microsoft conçu Active Directory (AD) à utiliser avec un algorithme de découverte du contrôleur de domaine (DC) qui trouve le contrôleur de domaine opérationnel le plus réactif sans équilibrage de charge externe. Les équilibreurs de charge réseau externes ne détectent pas correctement l'activité DCs et peuvent entraîner l'envoi de votre application vers un contrôleur de domaine qui arrive mais qui n'est pas prêt à être utilisé. Pour plus d'informations, voir Équilibreurs de charge et Active Directory sur Microsoft, TechNet qui recommande de corriger les applications pour qu'elles utilisent correctement Active Directory plutôt que d'implémenter des équilibreurs de charge externes.

Réalisation d'une sauvegarde de votre instance

Si vous décidez d'ajouter manuellement une instance à un AWS Directory Service domaine existant, effectuez d'abord une sauvegarde ou prenez un instantané de cette instance. Cela est particulièrement important lors de la jonction d'une instance Linux. Certaines des procédures utilisées pour ajouter une instance, si elles ne sont pas effectuées correctement, peuvent rendre votre instance inaccessible ou non utilisable. Pour de plus amples informations, veuillez consulter Restauration de votre Microsoft AD AWS géré à l'aide de snapshots.

Configuration de la SNS messagerie

Avec Amazon Simple Notification Service (AmazonSNS), vous pouvez recevoir des e-mails ou des SMS (SMS) lorsque le statut de votre annuaire change. Vous êtes averti lorsque votre annuaire passe du statut Active au statut Impaired ou Inoperable. Vous recevez également une notification lorsque l'annuaire renvoie un statut Active (Actif).

N'oubliez pas non plus que si vous avez un SNS sujet qui reçoit des messages AWS Directory Service, avant de le supprimer de la SNS console Amazon, vous devez associer votre annuaire à un autre SNS sujet. Sinon, vous risquez de manquer des messages importants sur le statut de l'annuaire. Pour plus d'informations sur la configuration d'AmazonSNS, consultezActivation des notifications d'état de l'annuaire Microsoft AD AWS géré avec Amazon Simple Notification Service.

Appliquer les paramètres du service d'annuaire

AWS Managed Microsoft AD vous permet d'adapter votre configuration de sécurité pour répondre à vos exigences de conformité et de sécurité. AWS Managed Microsoft AD déploie et gère la configuration sur tous les contrôleurs de domaine de votre annuaire, y compris lors de l'ajout de nouvelles régions ou de contrôleurs de domaine supplémentaires. Vous pouvez configurer et appliquer ces paramètres de sécurité à tous vos annuaires nouveaux et existants. Vous pouvez le faire dans la console en suivant les étapes décrites dans Modifier les paramètres de sécurité de l'annuaire ou via le UpdateSettingsAPI.

Pour de plus amples informations, veuillez consulter Modification des paramètres de sécurité de l'annuaire Microsoft AD AWS géré.

Supprimez les applications d'entreprise Amazon avant de supprimer un annuaire

Avant de supprimer un répertoire associé à une ou plusieurs applications Amazon Enterprise telles qu'Amazon WorkSpaces Application Manager WorkSpaces, Amazon WorkDocs, Amazon ou Amazon WorkMail Relational Database Service (RDSAmazon), vous devez d'abord supprimer chaque application. AWS Management Console Pour en savoir plus sur la suppression de ces applications, veuillez consulter Suppression de votre Microsoft AD AWS géré.

Utilisez des clients SMB 2.x pour accéder aux partages SYSVOL et NETLOGON

Les ordinateurs clients utilisent Server Message Block (SMB) pour accéder aux contrôleurs de domaine Microsoft AD AWS gérés SYSVOL et aux NETLOGON partages sur ceux-ci pour la politique de groupe, les scripts de connexion et d'autres fichiers. AWS Managed Microsoft AD ne prend en charge que les SMB versions 2.0 (SMBv2) et ultérieures.

Les protocoles SMBv2 et les versions plus récentes ajoutent un certain nombre de fonctionnalités qui améliorent les performances des clients et renforcent la sécurité de vos contrôleurs de domaine et de vos clients. Cette modification fait suite aux recommandations de l'équipe de préparation aux situations d'urgence informatique des États-Unis et de Microsoft concernant la désactivationSMBv1.

Important

Si vous utilisez actuellement des SMBv1 clients pour accéder à votre contrôleur de domaine SYSVOL et à NETLOGON ses partages, vous devez mettre à jour ces clients pour qu'ils soient utilisés SMBv2 ou plus récents. Votre annuaire fonctionnera correctement, mais vos SMBv1 clients ne parviendront pas à se connecter aux SYSVOL NETLOGON partages de vos contrôleurs de domaine Microsoft AD AWS gérés et ne pourront pas non plus traiter la politique de groupe.

SMBv1les clients fonctionneront avec tous les autres serveurs de fichiers SMBv1 compatibles dont vous disposez. Il vous AWS recommande toutefois de mettre à jour tous vos SMB serveurs et clients vers une SMBv2 version plus récente. Pour en savoir plus sur sa désactivation SMBv1 et sa mise à jour vers des SMB versions plus récentes sur vos systèmes, consultez ces publications sur Microsoft et TechNet Microsoft De la documentation.

Suivi des connexions SMBv1 à distance

Vous pouvez consulter le journal des événements Microsoft-Windows- SMBServer /Audit Windows en vous connectant à distance au contrôleur de domaine AWS Microsoft AD géré. Tous les événements de ce journal indiquent des connexions. SMBv1 Voici un exemple des informations que vous pouvez voir dans l'un de ces journaux :

SMB1accès

Adresse du client : ###.###.###.###

Conseils :

Cet événement indique qu'un client a tenté d'accéder au serveur en utilisantSMB1. Pour arrêter d'auditer SMB1 l'accès, utilisez Windows PowerShell applet de commande Set-. SmbServerConfiguration

Bonnes pratiques lors de la programmation de vos applications pour un Microsoft AD AWS géré

Avant de programmer vos applications pour qu'elles fonctionnent avec AWS Managed Microsoft AD, tenez compte des points suivants :

Utilisez la commande Windows Service de localisation de DC

Lorsque vous développez des applications, utilisez Windows service DC Locator ou utilisez le service Dynamic DNS (DDNS) de votre AWS Managed Microsoft AD pour localiser les contrôleurs de domaine (DCs). Ne codez pas en dur les applications avec l'adresse d'un contrôleur de domaine. Le service de localisation des contrôleurs de domaine permet de garantir que l'annuaire est distribué et vous permet de tirer parti de la mise à l'échelle horizontale en ajoutant des contrôleurs de domaine à votre déploiement. Si vous liez votre application à un contrôleur de domaine fixe et que le contrôleur de domaine est soumis à des correctifs ou à une restauration, votre application perdra l'accès au contrôleur de domaine au lieu d'utiliser l'un des autres contrôleurs. DCs En outre, le codage en dur du contrôleur de domaine peut entraîner la création d'un point chaud sur un seul contrôleur de domaine. Dans des cas extrêmes, la création de ce point chaud peut entraîner une absence de réponse de votre contrôleur de domaine. Dans de tels cas, l'automatisation de l' AWS annuaire peut également signaler le répertoire comme étant altéré et peut déclencher des processus de restauration qui remplacent le contrôleur de domaine qui ne répond pas.

Testez la charge avant de lancer la production

Assurez-vous de procéder à des tests avec des objets et des requêtes représentatifs de votre charge de travail de production afin de confirmer que l'annuaire s'adapte à la charge de travail de votre application. Si vous avez besoin de capacité supplémentaire, testez avec des capacités supplémentaires DCs tout en répartissant les demandes entre lesDCs. Pour de plus amples informations, veuillez consulter Déploiement de contrôleurs de domaine supplémentaires pour votre Microsoft AD AWS géré.

Utilisez des LDAP requêtes efficaces

LDAPLes requêtes étendues adressées à un contrôleur de domaine portant sur des dizaines de milliers d'objets peuvent nécessiter des CPU cycles importants dans un seul contrôleur de domaine, ce qui entraîne des points chauds. Ces points chauds peuvent affecter les applications qui partagent le même contrôleur de domaine lors de la requête.