Praktik terbaik untuk AD Connector - AWS Directory Service
Menyiapkan: PrasyaratMemprogram aplikasi AndaMenggunakan direktori Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik untuk AD Connector

Berikut adalah beberapa saran dan panduan yang harus Anda pertimbangkan untuk menghindari masalah dan mendapatkan hasil maksimal dari AD Connector.

Menyiapkan: Prasyarat

Pertimbangkan panduan ini sebelum membuat direktori Anda.

Verifikasikan Anda memiliki jenis direktori yang tepat

AWS Directory Service menyediakan berbagai cara untuk digunakan Microsoft Active Directory dengan AWS layanan lain. Anda dapat memilih directory service dengan fitur yang Anda butuhkan dengan biaya yang sesuai dengan anggaran Anda:

  • AWS Directory Service untuk Microsoft Active Directory adalah pengelola kaya fitur yang Microsoft Active Directory dihosting di cloud. AWS AWS Microsoft AD yang dikelola adalah pilihan terbaik Anda jika Anda memiliki lebih dari 5.000 pengguna dan memerlukan hubungan kepercayaan yang disiapkan antara direktori yang AWS dihosting dan direktori lokal Anda.

  • AD Connector hanya menghubungkan lokal Active Directory Anda yang sudah ada. AWS AD Connector adalah pilihan terbaik Anda saat Anda ingin menggunakan direktori on-premise Anda yang sudah ada dengan layanan AWS .

  • Simple AD adalah direktori berskala rendah dan berbiaya rendah dengan kompatibilitas dasarActive Directory. Ini mendukung 5.000 atau lebih sedikit pengguna, aplikasi yang kompatibel dengan Samba 4, dan kompatibilitas LDAP untuk aplikasi sadar LDAP.

Untuk perbandingan AWS Directory Service opsi yang lebih rinci, lihatMana yang harus dipilih.

Pastikan VPC dan instans Anda dikonfigurasi dengan benar

Untuk terhubung ke, mengelola, dan menggunakan direktori Anda, Anda harus mengkonfigurasi VPC yang terkait direktori dengan benar. Lihat Prasyarat untuk membuat iklan Microsoft yang Dikelola AWS, Prasyarat AD Connector, atau Prasyarat Simple AD untuk informasi tentang persyaratan keamanan dan jaringan VPC.

Jika Anda menambahkan instans ke domain Anda, pastikan bahwa Anda memiliki konektivitas dan akses jarak jauh ke instans Anda seperti yang dijelaskan di Cara untuk bergabung dengan EC2 instans Amazon ke Microsoft AD yang AWS Dikelola.

Ketahui batasan Anda

Pelajari tentang berbagai batasan untuk jenis direktori spesifik Anda. Penyimpanan yang tersedia dan ukuran agregat objek Anda adalah satu-satunya keterbatasan terkait jumlah objek yang dapat Anda simpan dalam direktori Anda. Lihat AWS Kuota Microsoft AD yang dikelola, Kuota AD Connector, atau Kuota Simple AD untuk detail tentang direktori pilihan Anda.

Memahami konfigurasi dan penggunaan grup AWS keamanan direktori Anda

AWS membuat grup keamanan dan melampirkannya ke antarmuka jaringan elastis direktori Anda yang dapat diakses dari dalam VPC peered atau diubah ukurannya. AWS mengkonfigurasi grup keamanan untuk memblokir lalu lintas yang tidak perlu ke direktori dan memungkinkan lalu lintas yang diperlukan.

Memodifikasi grup keamanan direktori

Jika Anda ingin mengubah keamanan grup keamanan direktori Anda, Anda dapat melakukannya. Hanya buat perubahan tersebut jika Anda sepenuhnya memahami cara kerja filter grup keamanan. Untuk informasi selengkapnya, lihat Grup Keamanan Amazon EC2 untuk instans Linux di Panduan Pengguna Amazon EC2. Perubahan yang tidak tepat dapat mengakibatkan hilangnya komunikasi ke komputer dan instance yang dituju. AWS merekomendasikan agar Anda tidak mencoba membuka port tambahan ke direktori Anda karena ini mengurangi keamanan direktori Anda. Harap tinjau dengan seksama Model Tanggung Jawab Bersama AWS.

Awas

Secara teknis Anda dapat mengasosiasikan grup keamanan direktori dengan instans EC2 lain yang Anda buat. Namun, AWS merekomendasikan untuk tidak melakukan praktik ini. AWS mungkin memiliki alasan untuk memodifikasi grup keamanan tanpa pemberitahuan untuk mengatasi kebutuhan fungsional atau keamanan direktori terkelola. Perubahan tersebut mempengaruhi setiap instans yang Anda asosiasikan dengan grup keamanan direktori dan dapat mengganggu operasi instans terkait. Selain itu, mengaitkan grup keamanan direktori dengan instans EC2 Anda dapat menciptakan risiko keamanan potensial untuk instans EC2 Anda.

Mengkonfigurasi situs dan subnet on-premise dengan benar saat menggunakan AD Connector

Jika jaringan on-premise Anda memiliki situs Direktori Aktif yang ditetapkan, Anda harus memastikan subnet di VPC tempat AD Connector Anda berada didefinisikan di situs Direktori Aktif, dan bahwa tidak ada konflik antara subnet di VPC dan subnet di situs Anda yang lainnya.

Untuk menemukan pengendali domain, AD Connector menggunakan situs Direktori Aktif yang rentang alamat IP subnet nya dekat dengan yang ada di VPC yang berisi AD Connector. Jika Anda memiliki situs yang subnetnya memiliki rentang alamat IP yang sama seperti yang ada di VPC Anda, AD Connector akan menemukan pengendali domain di situs tersebut, yang mungkin tidak secara fisik dekat dengan Region Anda.

Memahami batasan nama pengguna untuk AWS aplikasi

AWS Directory Service memberikan dukungan untuk sebagian besar format karakter yang dapat digunakan dalam pembangunan nama pengguna. Namun, ada batasan karakter yang diberlakukan pada nama pengguna yang akan digunakan untuk masuk ke AWS aplikasi, seperti, Amazon, WorkSpaces WorkDocs Amazon WorkMail, atau Amazon. QuickSight Pembatasan ini mengharuskan karakter berikut tidak digunakan:

  • Spasi

  • Karakter multibyte

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

catatan

Simbol @ diperbolehkan selama itu mendahului akhiran UPN.

Memprogram aplikasi Anda

Sebelum memprogram aplikasi Anda, pertimbangkan hal berikut:

Muat tes sebelum diluncurkan ke produksi

Pastikan untuk melakukan pengujian laboratorium dengan aplikasi dan permintaan yang mewakili beban kerja produksi Anda untuk mengkonfirmasi bahwa direktori meningkatkan skala ke beban aplikasi Anda. Jika Anda memerlukan kapasitas tambahan, sebarkan beban Anda di beberapa direktori AD Connector.

Menggunakan direktori Anda

Berikut adalah beberapa saran yang perlu diingat saat menggunakan direktori Anda.

Rotasi kredensial Admin secara teratur

Ubah kata sandi Admin akun layanan AD Connector Anda secara teratur, dan pastikan kata sandi konsisten dengan kebijakan kata sandi Direktori Aktif Anda yang sudah ada. Untuk petunjuk tentang cara mengubah kata sandi akun layanan, lihat Memperbarui kredensi akun layanan AD Connector Anda di AWS Management Console.

Gunakan AD Connector unik untuk setiap domain

AD Connector dan domain AD on-premise Anda memiliki hubungan 1-banding-1. Artinya, untuk setiap domain on-premise, termasuk domain anak di hutan AD yang ingin Anda autentikasi, Anda harus membuat AD Connector yang unik. Setiap AD Connector yang Anda buat harus menggunakan akun layanan yang berbeda, meskipun terhubung ke direktori yang sama.

Periksa kompatibilitas

Saat menggunakan AD Connector, Anda harus memastikan bahwa direktori lokal Anda dan tetap kompatibel dengan AWS Directory Service s. Untuk informasi selengkapnya tentang tanggung jawab Anda, silakan lihat model tanggung jawab bersama kami.