Best practice per AD Connector - AWS Directory Service
Configurazione: prerequisitiProgrammazione delle applicazioniUtilizzo della directory

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice per AD Connector

Di seguito alcuni suggerimenti e linee guida da tenere in considerazione per evitare problemi e sfruttare al massimo AD Connector.

Configurazione: prerequisiti

Tieni presenti queste linee guida prima di creare la directory.

Verifica di avere il tipo di directory corretto

AWS Directory Service offre diverse modalità di utilizzo Microsoft Active Directory con altri AWS servizi. Puoi scegliere il servizio di directory con le caratteristiche di cui hai bisogno a un costo che si adatta al tuo budget:

  • AWS Directory Service per Microsoft Active Directory è un servizio gestito ricco di funzionalità Microsoft Active Directory ospitato sul AWS cloud. AWS Microsoft AD gestito è la scelta migliore se hai più di 5.000 utenti e hai bisogno di impostare una relazione di fiducia tra una directory AWS ospitata e le directory locali.

  • AD Connector collega semplicemente il tuo locale esistente Active Directory a AWS. Il connettore AD rappresenta la scelta migliore quando vuoi utilizzare la tua directory on-premise esistente tramite i servizi AWS .

  • Simple AD è una directory a basso costo e a basso costo con compatibilità di baseActive Directory. Supporta fino a 5.000 utenti, applicazioni compatibili con Samba 4 e compatibilità LDAP per applicazioni compatibili con LDAP.

Per un confronto più dettagliato delle AWS Directory Service opzioni, consulta. Quale scegliere

Verifica che i VPC e le istanze siano configurati correttamente

Per gestire, utilizzare e connetterti alle directory, è necessario configurare correttamente i VPC ai quali sono associate le directory. Consulta Prerequisiti per la creazione di un AWS Managed Microsoft AD, Prerequisiti di AD Connector o Prerequisiti di Simple AD per informazioni sulla sicurezza del VPC e sui requisiti di rete.

Se aggiungi un'istanza al dominio, assicurati di disporre della connessione e dell'accesso remoto all'istanza, come descritto in Modi per aggiungere un'EC2istanza Amazon al tuo AWS Managed Microsoft AD.

Sii consapevole dei limiti

Scopri i vari limiti per il tuo tipo di directory specifico. Lo spazio di archiviazione disponibile e la dimensione aggregata degli oggetti sono le uniche limitazioni al numero di oggetti che puoi archiviare nella directory. Consulta, AWS Quote Microsoft AD gestite, Quote di AD Connector o Quote di Simple AD per maggiori dettagli sulla directory scelta.

Comprendi la configurazione e l'utilizzo del gruppo di AWS sicurezza della tua directory

AWS crea un gruppo di sicurezza e lo collega alle interfacce di rete elastiche della tua directory, accessibili dall'interno dei tuoi VPC peerizzati o ridimensionati. AWS configura il gruppo di sicurezza per bloccare il traffico non necessario verso la directory e consente il traffico necessario.

Modifica del gruppo di sicurezza della directory

Se desideri modificare la sicurezza dei gruppi di sicurezza delle directory, puoi farlo. Apporta tali modifiche solo se hai compreso a pieno come funziona il filtraggio del gruppo di sicurezza. Per ulteriori informazioni, consulta Gruppi di sicurezza Amazon EC2 per le istanze Linux nella Guida per l'utente di Amazon EC2. Modifiche improprie possono causare la perdita delle comunicazioni verso i computer e le istanze previsti. AWS consiglia di non tentare di aprire porte aggiuntive nella directory in quanto ciò riduce la sicurezza della directory. Verifica attentamente il modello di responsabilità condivisa di AWS.

avvertimento

Tecnicamente, hai la possibilità di associare il gruppo di sicurezza della directory ad altre istanze EC2 da te create. Tuttavia, AWS sconsiglia questa pratica. AWS può avere motivi per modificare il gruppo di sicurezza senza preavviso per soddisfare le esigenze funzionali o di sicurezza della directory gestita. Tali modifiche influiscono sulle eventuali istanze con cui viene associato il gruppo di sicurezza della directory e possono interrompere il funzionamento delle istanze associate. Inoltre, associare il gruppo di sicurezza della directory alle istanze EC2 può creare un potenziale rischio per la sicurezza per le istanze EC2.

Configura i siti e le sottoreti on-premise correttamente quando utilizzi AD Connector

Se la tua rete on-premise ha siti di Active Directory definiti, è necessario accertarsi che le sottoreti nel VPC in cui AD Connector risiede siano definite in un sito Active Directory e che non vi siano conflitti tra le sottoreti del VPC e le sottoreti di altri siti.

Per individuare i controller di dominio, AD Connector utilizza il sito Active Directory i cui intervalli di indirizzi IP della sottorete sono vicini a quelli del VPC contenente AD Connector. Se disponi di un sito le cui sottoreti hanno gli stessi intervalli di indirizzi IP di quelli nel VPC, AD Connector individuerà i controller di dominio di tale sito, che potrebbero non essere fisicamente vicini alla tua regione.

Comprendi le restrizioni relative al nome utente per AWS le applicazioni

AWS Directory Service fornisce supporto per la maggior parte dei formati di caratteri che possono essere utilizzati nella creazione di nomi utente. Tuttavia, vengono applicate restrizioni sui caratteri ai nomi utente che verranno utilizzati per l'accesso ad AWS applicazioni, come WorkSpaces Amazon WorkMail, WorkDocs Amazon o Amazon. QuickSight Queste limitazioni richiedono che non vengano utilizzati i seguenti caratteri:

  • Spazi

  • Caratteri multibyte

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

Nota

Il simbolo @ è consentito purché preceda un suffisso UPN.

Programmazione delle applicazioni

Prima di programmare le applicazioni, valuta quanto segue:

Esecuzione di test di caricamento prima della produzione

Assicurati di effettuare test di laboratorio con le applicazioni e le richieste più importanti del tuo carico di lavoro di produzione per confermare che la directory si adatti al carico dell'applicazione. Se necessiti di ulteriore capacità, distribuisci i carichi su più directory AD Connector.

Utilizzo della directory

Di seguito sono elencati alcuni suggerimenti da tenere a mente quando utilizzi la directory.

Modifica periodica delle credenziali dell'amministratore

Modifica periodicamente la password dell'amministratore dell'account di servizio AD Connector e assicurati che sia coerente con le policy esistenti delle password di Active Directory. Per istruzioni su come modificare la password dell'account di servizio, consulta Aggiornamento delle credenziali dell'account del servizio AD Connector in AWS Management Console.

Utilizza AD Connectors univoci per ciascun dominio

AD Connectors e i domini AD on-premise hanno una relazione uno-a-uno. Ovvero per ciascun dominio on-premise, compresi i domini figlio in una foresta AD dove si desidera autenticarsi, devi creare un AD Connector univoco. Ogni AD Connector creato deve utilizzare un diverso account del servizio, anche se è connesso alla stessa directory.

Controlla la compatibilità

Quando si utilizza AD Connector, è necessario assicurarsi che la directory locale sia e rimanga compatibile con AWS Directory Service s. Per ulteriori informazioni sulle proprie responsabilità, consultare il nostro modello sulla responsabilità condivisa.