AWS Práticas recomendadas gerenciadas do Microsoft AD - AWS Directory Service
Configuração do diretórioUsar o diretórioProgramação de aplicações para o diretório

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Práticas recomendadas gerenciadas do Microsoft AD

Aqui estão algumas sugestões e diretrizes que você deve considerar para evitar problemas e aproveitar ao máximo o AWS Managed Microsoft AD.

Práticas recomendadas para configurar o AWS Managed Microsoft AD

Aqui estão algumas sugestões e diretrizes para quando você estiver configurando o AWS Managed Microsoft AD:

Pré-requisitos

Considere essas diretrizes antes de criar seu diretório.

Verifique se você tem o tipo de diretório correto

AWS Directory Service fornece várias maneiras de usar Microsoft Active Directory com outros AWS serviços. Você pode escolher o serviço de diretório com os recursos necessários a um custo que caiba em seu orçamento:

  • AWS O Directory Service for Microsoft Active Directory é um serviço gerenciado rico em recursos Microsoft Active Directory hospedado na AWS nuvem. AWS O Microsoft AD gerenciado é sua melhor opção se você tiver mais de 5.000 usuários e precisar de uma relação de confiança configurada entre um diretório AWS hospedado e seus diretórios locais.

  • O AD Connector simplesmente conecta seu local existente Active Directory para AWS. O AD Connector é a melhor opção quando você deseja usar seu diretório on-premises existente com os serviços da AWS .

  • Simple AD é um diretório de baixa escala e baixo custo com Active Directory compatibilidade. Ele oferece suporte a até 5.000 usuários, aplicações compatíveis com Samba 4 e compatibilidade com LDAP para aplicações compatíveis com LDAP.

Para uma comparação mais detalhada das AWS Directory Service opções, consulteQual escolher.

Garanta que suas instâncias VPCs e instâncias estejam configuradas corretamente

Para se conectar, gerenciar e usar seus diretórios, você deve configurar adequadamente aqueles aos quais VPCs os diretórios estão associados. Consulte Pré-requisitos para criar um AWS Managed Microsoft AD, Pré-requisitos do AD Connector ou Pré-requisitos do Simple AD para obter informações sobre os requisitos de segurança e de rede da VPC.

Se estiver adicionando uma instância a seu domínio, verifique se você tem conectividade e acesso remoto à sua instância, conforme descrito em Formas de associar uma EC2 instância da Amazon ao seu Microsoft AD AWS gerenciado.

Conhecer seus limites

Saiba mais sobre os vários limites do seu tipo de diretório específico. O armazenamento disponível e o tamanho agregado dos seus objetos são as únicas limitações no número de objetos que você pode armazenar em seu diretório. Consulte AWS Cotas gerenciadas do Microsoft AD, Cotas do AD Connector ou Cotas do Simple AD para obter detalhes sobre o diretório escolhido.

Entenda a configuração e o uso do grupo de AWS segurança do seu diretório

AWS cria um grupo de segurança e o anexa às interfaces de rede elástica do controlador de domínio do seu diretório. Esse grupo de segurança bloqueia tráfego desnecessário para o controlador de domínio e permite o tráfego necessário para Active Directory comunicações. AWS configura o grupo de segurança para abrir somente as portas necessárias para Active Directory comunicações. Na configuração padrão, o grupo de segurança aceita tráfego para essas portas a partir do endereço AWS IPv4 CIDR gerenciado do Microsoft AD VPC. AWS anexa o grupo de segurança às interfaces dos seus controladores de domínio, que podem ser acessadas de dentro do seu peering ou redimensionado. VPCs Essas interfaces não são acessíveis pela Internet, mesmo que você modifique as tabelas de rotas, altere as conexões de rede à sua VPC e configure o Serviço do NAT Gateway. Sendo assim, apenas as instâncias e os computadores que têm um caminho de rede para a VPC podem acessar o diretório. Isso simplifica a configuração eliminando a necessidade de configurar intervalos de endereços específicos. Em vez disso, você configura rotas e grupos de segurança VPC que permitem o tráfego apenas de instâncias e computadores confiáveis.

Modificar o grupo de segurança do diretório

Para aumentar a segurança dos grupos de segurança de seus diretórios, você pode modificá-los para aceitar tráfego de uma lista mais restritiva de endereços IP. Por exemplo, você pode alterar os endereços aceitos do intervalo IPv4 CIDR da VPC para um intervalo CIDR específico para uma única sub-rede ou computador. Da mesma forma, você pode optar por restringir os endereços de destino com os quais seus controladores de domínio podem se comunicar. Faça essas alterações apenas se você compreender totalmente como funciona a filtragem do grupo de segurança. Para obter mais informações, consulte Grupos EC2 de segurança da Amazon para instâncias Linux no Guia EC2 do usuário da Amazon. Alterações impróprias podem resultar na perda de comunicações com os computadores e instâncias pretendidos. AWS recomenda que você não tente abrir portas adicionais para o controlador de domínio, pois isso diminui a segurança do seu diretório. Reveja cuidadosamente o Modelo de responsabilidade compartilhada da AWS.

Atenção

É tecnicamente possível associar os grupos de segurança, que seu diretório usa, a outras EC2 instâncias que você cria. No entanto, não AWS recomenda essa prática. AWS pode ter motivos para modificar o grupo de segurança sem aviso prévio para atender às necessidades funcionais ou de segurança do diretório gerenciado. Essas alterações afetam todas as instâncias com as quais você associa o grupo de segurança do diretório. Além disso, associar o grupo de segurança do diretório às suas EC2 instâncias cria um risco potencial de segurança para suas EC2 instâncias. O grupo de segurança do diretório aceita tráfego quando necessário Active Directory Portas do AWS endereço IPv4 CIDR gerenciado do Microsoft AD VPC. Se você associar esse grupo de segurança a uma EC2 instância que tenha um endereço IP público conectado à Internet, qualquer computador na Internet poderá se comunicar com sua EC2 instância nas portas abertas.

Criando seu Microsoft AD AWS gerenciado

Aqui estão algumas sugestões a serem consideradas ao criar seu Microsoft AD AWS gerenciado.

Lembre-se de seu ID e senha de administrador

Ao configurar o diretório, você fornece uma senha para a conta de administrador. Essa ID da conta é Admin for AWS Managed Microsoft AD. Lembre-se da senha criada para essa conta. Caso contrário, você não poderá adicionar objetos a seu diretório.

Criar um conjunto de opções de DHCP

Recomendamos que você crie um conjunto de opções de DHCP para seu AWS Directory Service diretório e atribua o conjunto de opções de DHCP à VPC em que seu diretório está. Dessa maneira, todas as instâncias nessa VPC podem apontar para o domínio especificado, e os servidores DNS podem resolver seus nomes de domínio.

Para obter mais informações sobre os conjuntos de opções DHCP, consulte Criação ou alteração de um conjunto de opções de DHCP para o AWS Managed Microsoft AD.

Habilitar configuração do encaminhador condicional

As configurações de encaminhamento condicional a seguir Armazene esse encaminhador condicional no Active Directory, replique-o da seguinte forma: devem estar habilitadas. A ativação dessas configurações garantirá que a configuração do encaminhador condicional seja persistente quando um nó for substituído devido a uma falha na infraestrutura ou falha de sobrecarga.

Os encaminhadores condicionais devem ser criados em um controlador de domínio com a configuração anterior habilitada. Isso permitirá a replicação para outros controladores de domínio.

Implantar controladores de domínio adicionais

Por padrão, AWS cria dois controladores de domínio que existem em zonas de disponibilidade separadas. Isso fornece resiliência a falhas durante a aplicação de patches de software e outros eventos que podem tornar um controlador de domínio inacessível ou indisponível. Recomendamos que você implante controladores de domínio adicionais para aumentar ainda mais a resiliência e garantir o desempenho da expansão no caso de um evento de longo prazo que afete o acesso a um controlador de domínio ou a uma zona de disponibilidade.

Para obter mais informações, consulte Use o comando Windows Serviço de localização de DC.

Entender as restrições de nome de usuário para aplicações da AWS

AWS Directory Service fornece suporte para a maioria dos formatos de caracteres que podem ser usados na construção de nomes de usuário. No entanto, existem restrições de caracteres impostas aos nomes de usuário que serão usados para fazer login em AWS aplicativos, como WorkSpaces Amazon WorkMail, WorkDocs Amazon ou Amazon. QuickSight Essas restrições exigem que os seguintes caracteres não sejam usados:

  • Espaços

  • Caracteres multibyte

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

nota

O símbolo@é permitido, desde que ele preceda um sufixo UPN.

Práticas recomendadas ao usar um diretório AWS gerenciado do Microsoft AD

Aqui estão algumas sugestões que você deve ter em mente ao usar seu Microsoft AD AWS gerenciado.

Não altere usuários, grupos e unidades organizacionais predefinidos

Quando você usa AWS Directory Service para iniciar um diretório, AWS cria uma unidade organizacional (OU) que contém todos os objetos do seu diretório. Essa OU, que tem o nome de NetBIOS que você digitou quando criou seu diretório, está localizada na raiz do domínio. A raiz do domínio pertence e é gerenciada por AWS. Vários grupos e um usuário administrativo também são criados.

Não mova, exclua ou altere de qualquer maneira esses objetos predefinidos. Isso pode tornar seu diretório inacessível tanto para você quanto AWS para. Para obter mais informações, consulte O que é criado com o AWS Managed Microsoft AD.

Associe automaticamente a domínios

Ao iniciar uma instância do Windows que fará parte de um AWS Directory Service domínio, geralmente é mais fácil ingressar no domínio como parte do processo de criação da instância, em vez de adicioná-la manualmente posteriormente. Para ingressar automaticamente em um domínio, basta selecionar o diretório correto para Domain join directory ao executar uma nova instância. Você pode localizar detalhes em Unindo uma instância EC2 do Amazon Windows ao seu Microsoft AD AWS gerenciado Active Directory.

Configure relações de confiança corretamente

Ao configurar a relação de confiança entre seu diretório AWS gerenciado do Microsoft AD e outro diretório, tenha em mente estas diretrizes:

  • O tipo de confiança deve corresponder em ambos os lados (Floresta ou Externa)

  • Verifique se a direção de confiança está configurada corretamente se estiver usando uma confiança unidirecional (Saída em domínio confiável, Entrada em domínio confiável)

  • Tanto os nomes de domínio totalmente qualificados (FQDNs) quanto os nomes NetBIOS devem ser exclusivos entre florestas/domínios

Para obter mais detalhes e instruções específicas sobre como configurar uma relação de confiança, consulte Criando uma relação de confiança entre seu Microsoft AD AWS gerenciado e o AD autogerenciado.

Acompanhe a performance do seu controlador de domínio

Para ajudar a otimizar as decisões de escalabilidade e melhorar a resiliência e o desempenho do diretório, recomendamos que você use CloudWatch métricas. Para obter mais informações, consulte Usando CloudWatch para monitorar o desempenho dos controladores de domínio AWS gerenciados do Microsoft AD.

Para obter instruções sobre como configurar as métricas do controlador de domínio usando o CloudWatch console, consulte Como automatizar o escalonamento AWS gerenciado do Microsoft AD com base nas métricas de utilização no Blog de Segurança. AWS

Planeje cuidadosamente as extensões de esquema

Aplique cuidadosamente extensões de esquema para indexar seu diretório para consultas frequentes e importantes. Cuidado para não indexar em excesso o diretório, pois índices consomem espaço do diretório, e valores indexados que mudam com muita rapidez podem causar problemas de desempenho. Para adicionar índices, crie um arquivo LDIF (Directory Interchange Format) do LDAP (Lightweight Directory Access Protocol) e estenda sua alteração do esquema. Para obter mais informações, consulte Estenda seu esquema AWS gerenciado do Microsoft AD.

Sobre balanceadores de carga

Não use um balanceador de carga na frente dos endpoints AWS gerenciados do Microsoft AD. Microsoft projetado Active Directory (AD) para uso com um algoritmo de descoberta de controlador de domínio (DC) que encontra o DC operacional mais responsivo sem balanceamento de carga externo. Os balanceadores de carga de rede externos detectam ativos de forma imprecisa DCs e podem fazer com que seu aplicativo seja enviado para um DC que está chegando, mas não está pronto para uso. Para obter mais informações, consulte Balanceadores de carga e Active Directory na Microsoft TechNet , que recomenda corrigir aplicativos para usar o Active Directory corretamente em vez de implementar balanceadores de carga externos.

Faça um backup da sua instância

Se você decidir adicionar manualmente uma instância a um AWS Directory Service domínio existente, primeiro faça um backup ou tire um instantâneo dessa instância. Isso é especialmente importante ao ingressar em uma instância do Linux. Alguns dos procedimentos usados para adicionar uma instância, se não forem executados corretamente, podem tornar sua instância inacessível ou não utilizável. Para obter mais informações, consulte Restaurando seu Microsoft AD AWS gerenciado com instantâneos.

Configure o sistema de mensagens do SNS

Com o Amazon Simple Notification Service (Amazon SNS), é possível receber mensagens de e-mail ou de texto (SMS) quando o status de seu diretório é alterado. Você será notificado se o status do diretório mudar de Active para Impaired ou Inoperable. Você também recebe uma notificação quando o diretório retorna para um status Active.

Lembre-se também de que, se você tiver um tópico do SNS que recebe mensagens de AWS Directory Service, antes de excluir esse tópico do console do Amazon SNS, você deve associar seu diretório a um tópico do SNS diferente. Caso contrário, você correrá o risco de perder mensagens de status importantes do diretório. Para obter informações sobre como configurar o Amazon SNS, consulte Habilitando notificações AWS gerenciadas de status de diretório do Microsoft AD com o Amazon Simple Notification Service.

Aplique configurações do serviço de diretório

AWS O Microsoft AD gerenciado permite que você personalize sua configuração de segurança para atender aos requisitos de conformidade e segurança. AWS O Microsoft AD gerenciado implanta e mantém a configuração em todos os controladores de domínio em seu diretório, inclusive ao adicionar novas regiões ou controladores de domínio adicionais. Você pode definir e aplicar essas configurações de segurança para todos os diretórios novos e existentes. Você pode fazer isso no console seguindo as etapas na UpdateSettingsAPI Editar configurações de segurança do diretório ou por meio dela.

Para obter mais informações, consulte Editando configurações de segurança do diretório AWS gerenciado do Microsoft AD.

Remova aplicações da Amazon Enterprise antes de excluir um diretório

Antes de excluir um diretório associado a um ou mais aplicativos empresariais da Amazon, como, WorkSpaces Amazon WorkSpaces Application Manager, Amazon WorkDocs, Amazon ou Amazon WorkMail Relational Database Service (Amazon RDS), você deve primeiro remover cada aplicativo. AWS Management Console Para obter mais informações sobre como remover esses aplicativos, consulte Excluindo seu Microsoft AWS AD gerenciado.

Use clientes do SMB 2.x ao acessar os compartilhamentos SYSVOL e NETLOGON

Os computadores clientes usam o Server Message Block (SMB) para acessar os compartilhamentos SYSVOL e NETLOGON nos controladores de domínio gerenciados AWS do Microsoft AD para Política de Grupo, scripts de login e outros arquivos. AWS O Microsoft AD gerenciado oferece suporte somente para SMB versão 2.0 (SMBv2) e versões mais recentes.

Os SMBv2 protocolos de versões mais recentes adicionam vários recursos que melhoram o desempenho do cliente e aumentam a segurança de seus controladores de domínio e clientes. Essa alteração segue as recomendações da Equipe de Preparação para Emergências de Computadores dos Estados Unidos da América e da Microsoft para desabilitar. SMBv1

Importante

Se você atualmente usa SMBv1 clientes para acessar os compartilhamentos SYSVOL e NETLOGON do seu controlador de domínio, você deve atualizar esses clientes para usar ou mais novos. SMBv2 Seu diretório funcionará corretamente, mas seus SMBv1 clientes não conseguirão se conectar aos compartilhamentos SYSVOL e NETLOGON dos controladores de domínio gerenciados do AWS Microsoft AD e também não conseguirão processar a Política de Grupo.

SMBv1 os clientes funcionarão com qualquer outro servidor de arquivos SMBv1 compatível que você tenha. No entanto, AWS recomenda que você atualize todos os seus servidores e clientes SMB para SMBv2 ou mais novos. Para saber mais sobre como desativá-lo SMBv1 e atualizá-lo para versões SMB mais recentes em seus sistemas, consulte essas postagens na Microsoft e TechNet Microsoft Documentação.

Rastreando conexões SMBv1 remotas

Você pode revisar o log de eventos do SMBServerMicrosoft-Windows-/Audit do Windows conectando-se remotamente ao controlador de domínio gerenciado do AWS Microsoft AD. Qualquer evento nesse registro indica conexões. SMBv1 Veja abaixo um exemplo das informações que você poderá ver em um desses logs:

SMB1 access

Endereço do cliente: ###.###.###.###

Orientação:

Esse evento indica que um cliente tentou acessar o servidor usando SMB1. Para interromper a auditoria do SMB1 acesso, use o Windows PowerShell Conjunto de cmdlets-. SmbServerConfiguration

Melhores práticas ao programar seus aplicativos para um Microsoft AD AWS gerenciado

Antes de programar seus aplicativos para funcionarem com o AWS Managed Microsoft AD, considere o seguinte:

Use o comando Windows Serviço de localização de DC

Ao desenvolver aplicativos, use o Windows Serviço localizador de DC ou use o serviço DNS Dinâmico (DDNS) do seu AWS Microsoft AD gerenciado para localizar controladores de domínio (). DCs Não codifique aplicativos com o endereço de um DC. O serviço de localização de DC ajuda a garantir que a carga do diretório seja distribuída e permite que você aproveite a escalabilidade horizontal, adicionando controladores de domínio à implantação. Se você vincular seu aplicativo a um DC fixo e o DC passar por patch ou recuperação, seu aplicativo perderá o acesso ao DC em vez de usar um dos restantes. DCs Além disso, a codificação do DC pode resultar na criação de um ponto de acesso de um único DC. Em casos graves, a criação do ponto de acesso pode fazer com que o DC não responda. Esses casos também podem fazer com que a automação do AWS diretório sinalize o diretório como prejudicado e desencadeie processos de recuperação que substituam o DC que não responde.

Faça um teste de carga antes de implantar no ambiente de produção

Faça testes laboratoriais com objetos e solicitações que representam sua workload de produção para confirmar se o diretório é dimensionado conforme a carga da aplicação. Se você precisar de capacidade adicional, teste com mais DCs enquanto distribui as solicitações entre o. DCs Para obter mais informações, consulte Implantando controladores de domínio adicionais para seu AWS Microsoft AD gerenciado.

Use consultas LDAP eficientes

Muitas consultas LDAP para um controlador de domínio em dezenas de milhares de objetos podem consumir ciclos de CPU significativos em um único DC, resultando em pontos de acesso. Isso pode afetar aplicativos que compartilham o mesmo DC durante a consulta.