Simple AD 的最佳实践 - AWS Directory Service
设置:先决条件设置:创建目录为您的应用程序编程

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Simple AD 的最佳实践

为避免问题并充分利用 Simple AD,您应该考虑以下建议和准则。

设置:先决条件

创建目录之前请考虑以下这些准则。

验证目录类型是否正确

AWS Directory Service 提供多种使用方式 Microsoft Active Directory 以及其他 AWS 服务。您可以根据预算成本选择具有适当功能的目录服务以满足您的需求:

  • AWS 适用于微软的目录服务 Active Directory 是一款功能丰富的托管服务 Microsoft Active Directory 托管在 AWS 云上。 AWS 如果您拥有超过 5,000 个用户,并且需要在托管目录和本地目录之间建立信任关系,那么 AWS 托管 Microsoft AD 是您的最佳选择。

  • AD Con nector 只需连接您现有的本地环境即可 Active Directory 到 AWS。当您想要将现有本地目录与 AWS 服务一起使用时,AD Connector 是您的最佳选择。

  • S@@ imple AD 是一个低规模、低成本的目录,具有基本功能 Active Directory 兼容性。其支持 5000 个或更少的用户、兼容 Samba 4 的应用程序,并支持 LDAP 感知型应用程序的 LDAP 兼容性。

有关 AWS Directory Service 选项的更详细比较,请参阅选择哪一个

确保您的 VPCs 和实例配置正确

为了连接、管理和使用您的目录,必须正确配置与 VPCs 这些目录关联的。有关 VPC 安全和网络要求的信息,请参阅 创建 AWS Managed Microsoft AD 的先决条件AD Connector 先决条件Simple AD 先决条件

如果要将实例添加到域,请确保您具有实例连接并且可以远程访问实例,如将亚马逊 EC2 实例加入您的微软 AWS 托管广告的方法 中所述。

注意限制

了解特定目录类型的各种限制。对象的可用存储空间和总大小是可以存储在目录中的对象数量的唯一限制。有关所选目录的详细信息,请参阅 AWS 托管微软 AD 配额AD Connector 配额Simple AD 限额

了解目录 AWS 的安全组配置并使用

AWS 创建安全组并将其附加到目录的域控制器弹性网络接口。 AWS 将安全组配置为阻止不必要的目录流量并允许必要的流量。

修改目录安全组

如果要修改目录的安全组的安全性,则可以这样做。只有在您完全了解安全组的筛选如何工作时,才进行这样的更改。有关更多信息,请参阅亚马逊 EC2 用户指南中的适用于 Linux 实例的亚马逊 EC2 安全组。不当的更改可能会导致与目标计算机和实例的通信中断。 AWS 建议您不要尝试打开目录的其他端口,因为这会降低目录的安全性。请仔细查看 AWS 责任共担模型

警告

从技术上讲,您可以将目录的安全组与您创建的其他 EC2 实例关联起来。但是, AWS 建议不要这样做。 AWS 可能有理由在不另行通知的情况下修改安全组,以满足托管目录的功能或安全需求。此类更改会影响您将目录安全组关联到的任何实例,并可能中断关联实例的操作。此外,将目录安全组与您的 EC2 实例关联可能会给您的 EC2 实例带来潜在的安全风险。

如果需要信任,请使用 AWS 托管 Microsoft AD

Simple AD 不支持信任关系。如果你需要在你的 AWS Directory Service 目录和其他目录之间建立信任,你应该使用 Microsoft Active Directory 的 AWS 目录服务。

设置:创建目录

下面是创建目录时应考虑的一些建议。

记住管理员 ID 和密码

设置目录时,需要提供管理员账户的密码。此账户 ID 是 Simple AD 的 管理员 ID。请记住为此账户创建的密码;否则无法向您的目录中添加对象。

了解 AWS 应用程序的用户名限制

AWS Directory Service 为大多数可用于构建用户名的字符格式提供支持。但是,对于用于登录 AWS 应用程序(例如亚马逊、亚马逊或亚马 QuickSight逊 WorkDocs)的用户名 WorkSpaces,有一些字符限制。 WorkMail这些限制要求不使用以下字符:

  • 空间

  • 多字节字符

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

注意

仅允许在 UPN 后缀之前使用 @ 符号。

为您的应用程序编程

在为您的应用程序编程之前,请考虑以下事项:

使用 Windows DC 定位器服务

开发应用程序时,请使用 Windows DC 定位器服务或使用 AWS 托管 Microsoft AD 的动态 DNS (DDNS) 服务来定位域控制器 (DCs) ()。请勿使用 DC 的地址对应用程序进行硬编码。DC 定位器服务有助于确保分配目录负载,使您能够通过将域控制器添加到部署来利用水平扩展。如果您将应用程序绑定到固定的 DC,并且该 DC 正在进行修补或恢复,则您的应用程序将无法访问该 DC,而不是使用其余的 DC 之一。 DCs而且,DC 的硬编码可能导致在单一 DC 上出现热点。情况严重时,热点可能导致您的 DC 无法响应。此类情况还可能导致 AWS 目录自动化将目录标记为受损,并可能触发替换无响应的 DC 的恢复进程。

交付生产之前的负载测试

请务必对代表您的生产工作负载的对象和请求执行实验室测试,以确认目录将扩展至您的应用程序负载。如果您需要更多容量,则应使用 AWS Directory Service Microsoft Active Directory,它允许您添加域控制器以获得高性能。有关更多信息,请参阅 为你的 AWS 托管 Microsoft AD 部署额外的域控制器

使用高效的 LDAP 查询

对域控制器进行的针对数千个对象的广泛 LDAP 查询在单个 DC 中会产生明显的 CPU 周期消耗,从而导致热点。这可能影响在查询期间共享同一 DC 的应用程序。