Best practice per Simple AD - AWS Directory Service
Configurazione: prerequisitiConfigurazione: creazione della directoryProgrammazione delle applicazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice per Simple AD

Ecco alcuni suggerimenti e linee guida da prendere in considerazione per evitare problemi e ottenere il massimo da Simple AD.

Configurazione: prerequisiti

Tieni presenti queste linee guida prima di creare la directory.

Verifica di avere il tipo di directory corretto

AWS Directory Service offre diverse modalità di utilizzo Microsoft Active Directory con altri AWS servizi. Puoi scegliere il servizio di directory con le caratteristiche di cui hai bisogno a un costo che si adatta al tuo budget:

  • AWS Directory Service per Microsoft Active Directory è un servizio gestito ricco di funzionalità Microsoft Active Directory ospitato sul AWS cloud. AWS Microsoft AD gestito è la scelta migliore se hai più di 5.000 utenti e hai bisogno di impostare una relazione di fiducia tra una directory AWS ospitata e le directory locali.

  • AD Connector collega semplicemente il tuo locale esistente Active Directory a AWS. Il connettore AD rappresenta la scelta migliore quando vuoi utilizzare la tua directory on-premise esistente tramite i servizi AWS .

  • Simple AD è una directory a basso costo e a basso costo con compatibilità di baseActive Directory. Supporta fino a 5.000 utenti, applicazioni compatibili con Samba 4 e compatibilità LDAP per applicazioni compatibili con LDAP.

Per un confronto più dettagliato delle AWS Directory Service opzioni, consulta. Quale scegliere

Verifica che i VPC e le istanze siano configurati correttamente

Per gestire, utilizzare e connetterti alle directory, è necessario configurare correttamente i VPC ai quali sono associate le directory. Consulta AWS Prerequisiti Microsoft AD gestiti, Prerequisiti di AD Connector o Prerequisiti di Simple AD per informazioni sulla sicurezza del VPC e sui requisiti di rete.

Se aggiungi un'istanza al dominio, assicurati di disporre della connessione e dell'accesso remoto all'istanza, come descritto in Unisci un'EC2istanza Amazon al tuo AWS Managed Microsoft AD Active Directory.

Sii consapevole dei limiti

Scopri i vari limiti per il tuo tipo di directory specifico. Lo spazio di archiviazione disponibile e la dimensione aggregata degli oggetti sono le uniche limitazioni al numero di oggetti che puoi archiviare nella directory. Consulta, AWS Quote Microsoft AD gestite, Quote di AD Connector o Quote di Simple AD per maggiori dettagli sulla directory scelta.

Comprendi la configurazione e l'utilizzo del gruppo di AWS sicurezza della tua directory

AWS crea un gruppo di sicurezza e lo collega alle interfacce di rete elastiche del controller di dominio della directory. AWS configura il gruppo di sicurezza per bloccare il traffico non necessario verso la directory e consente il traffico necessario.

Modifica del gruppo di sicurezza della directory

Se desideri modificare la sicurezza dei gruppi di sicurezza delle directory, puoi farlo. Apporta tali modifiche solo se hai compreso a pieno come funziona il filtraggio del gruppo di sicurezza. Per ulteriori informazioni, consulta Gruppi di sicurezza Amazon EC2 per le istanze Linux nella Guida per l'utente di Amazon EC2. Modifiche improprie possono causare la perdita delle comunicazioni verso i computer e le istanze previsti. AWS consiglia di non tentare di aprire porte aggiuntive nella directory in quanto ciò riduce la sicurezza della directory. Verifica attentamente il modello di responsabilità condivisa di AWS.

avvertimento

Tecnicamente, hai la possibilità di associare il gruppo di sicurezza della directory ad altre istanze EC2 da te create. Tuttavia, AWS sconsiglia questa pratica. AWS può avere motivi per modificare il gruppo di sicurezza senza preavviso per soddisfare le esigenze funzionali o di sicurezza della directory gestita. Tali modifiche influiscono sulle eventuali istanze con cui viene associato il gruppo di sicurezza della directory e possono interrompere il funzionamento delle istanze associate. Inoltre, associare il gruppo di sicurezza della directory alle istanze EC2 può creare un potenziale rischio per la sicurezza per le istanze EC2.

Usa AWS Managed Microsoft AD se sono richiesti trust

Simple AD non supporta relazioni di trust. Se è necessario stabilire un trust tra la propria AWS Directory Service directory e un'altra directory, è necessario utilizzare AWS Directory Service per Microsoft Active Directory.

Configurazione: creazione della directory

Di seguito sono elencati alcuni suggerimenti da considerare durante la creazione della directory.

Ricorda l'ID amministratore e la password

Quando configuri la directory, fornisci una password per l'account amministratore. Questo ID account è Amministratore per Simple AD. Ricorda la password creata per questo account; altrimenti sarai in grado di aggiungere oggetti alla directory.

Comprendi le restrizioni relative al nome utente per AWS le applicazioni

AWS Directory Service fornisce supporto per la maggior parte dei formati di caratteri che possono essere utilizzati nella creazione di nomi utente. Tuttavia, vengono applicate restrizioni sui caratteri ai nomi utente che verranno utilizzati per l'accesso ad AWS applicazioni, come WorkSpaces Amazon WorkMail, WorkDocs Amazon o Amazon. QuickSight Queste limitazioni richiedono che non vengano utilizzati i seguenti caratteri:

  • Spazi

  • Caratteri multibyte

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

Nota

Il simbolo @ è consentito purché preceda un suffisso UPN.

Programmazione delle applicazioni

Prima di programmare le applicazioni, valuta quanto segue:

Utilizzo del servizio di localizzazione DC di Windows

Durante lo sviluppo di applicazioni, utilizza il servizio di localizzazione di Windows DC o il servizio DNS dinamico (DDNS) di Managed AWS Microsoft AD per individuare i controller di dominio (DC). Non effettuare l'hard coding delle applicazioni con l'indirizzo di un DC. Il servizio di localizzazione DC garantisce che il carico della directory venga distribuito e ti consente di sfruttare i vantaggi della scalabilità orizzontale aggiungendo i controller dei domini alla distribuzione. Se associ l'applicazione a un DC fisso e si deve applicare una patch o eseguire una procedura di ripristino, l'applicazione perde l'accesso al DC e non utilizza uno dei DC restanti. Inoltre, l'hard coding di un DC può provocare la creazione di "hot spot" su un solo DC. In casi gravi, gli hot spot possono provocare un blocco del DC. In questi casi è inoltre possibile che l'automazione delle AWS directory contrassegni la directory come compromessa e avviare processi di ripristino che sostituiscono il controller di dominio che non risponde.

Esecuzione di test di caricamento prima della produzione

Assicurati di effettuare test di laboratorio con gli oggetti e le richieste più importanti del tuo carico di lavoro di produzione per confermare che la directory si adatti al carico dell'applicazione. Se è necessaria una capacità aggiuntiva, è consigliabile utilizzare AWS Directory Service Microsoft Active Directory, che consente di aggiungere controller di dominio per prestazioni elevate. Per ulteriori informazioni, consulta Distribuzione di controller di dominio aggiuntivi.

Utilizzo delle query LDAP

Query LDAP estese su un controller di dominio e migliaia di oggetti possono consumare cicli di CPU significativi in un singolo DC e generare così hot spot. L'operazione potrebbe incidere sulle applicazioni che condividono lo stesso DC durante la query.