Bewährte Methoden für AWS Managed Microsoft AD - AWS Directory Service
Einrichten: VoraussetzungenEinrichten: Erstellen Ihres VerzeichnissesVerwenden Ihres VerzeichnissesVerwalten Ihres VerzeichnissesProgrammieren Ihrer Anwendungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für AWS Managed Microsoft AD

Im Folgenden finden Sie einige Vorschläge und Richtlinien, die Sie berücksichtigen sollten, um Probleme zu vermeiden und das Beste aus AWS Managed Microsoft AD herauszuholen.

Einrichten: Voraussetzungen

Beachten Sie die folgenden Richtlinien, bevor Sie Ihr Verzeichnis erstellen.

Sicherstellen, dass Sie den richtigen Verzeichnistyp verwenden

AWS Directory Service bietet mehrere Möglichkeiten zur Verwendung Microsoft Active Directory mit anderen AWS Diensten. Sie können den Verzeichnisdienst mit den Funktionen wählen, die Sie benötigen, ohne Ihr Budget zu überlasten:

  • AWS Der Directory Service für Microsoft Active Directory ist ein funktionsreicher, verwalteter Dienst, der in der Microsoft Active Directory AWS Cloud gehostet wird. AWS Managed Microsoft AD ist die beste Wahl, wenn Sie mehr als 5.000 Benutzer haben und eine Vertrauensbeziehung zwischen einem AWS gehosteten Verzeichnis und Ihren lokalen Verzeichnissen einrichten möchten.

  • AD Connector verbindet einfach Ihr vorhandenes lokales System Active Directory mit AWS. AD Connector ist die beste Wahl, wenn Sie Ihr vorhandenes On-Premises-Verzeichnis mit AWS -Services verwenden möchten.

  • Simple AD ist ein niedriges, kostengünstiges Verzeichnis mit grundlegender Active Directory Kompatibilität. Es unterstützt 5 000 oder weniger Benutzer, Samba-4-kompatible Anwendungen und LDAP-Kompatibilität für LDAP-fähige Anwendungen.

Einen detaillierteren Vergleich der AWS Directory Service Optionen finden Sie unterWelche sollte man auswählen.

Sicherstellen, dass Ihre VPCs und Instances korrekt konfiguriert sind

Um eine Verbindung zu Ihren Verzeichnissen herzustellen, sie zu verwalten und zu nutzen, müssen Sie die VPCs, denen die Verzeichnisse zugeordnet sind, ordnungsgemäß konfigurieren. Weitere Informationen über die Anforderungen zur VPC-Sicherheit und Netzwerken finden Sie unter AWS Voraussetzungen für verwaltetes Microsoft AD, AD-Connector-Voraussetzungen oder Simple-AD-Voraussetzungen.

Wenn Sie Ihrer Domain eine Instance hinzufügen, stellen Sie sicher, dass Sie eine Verbindung und Remote-Zugriff auf Ihre Instance haben, wie in Verbinden Sie eine Amazon EC2 EC2-Instance mit Ihrem AWS Managed Microsoft AD Active Directory beschrieben.

Sich der eigenen Grenzen bewusst sein

Erfahren Sie mehr über die verschiedenen Beschränkungen für Ihren spezifischen Verzeichnistyp. Der verfügbare Speicherplatz und die Gesamtgröße Ihrer Objekte sind die einzigen Einschränkungen in Bezug auf die Anzahl der Objekte, die Sie in Ihrem Verzeichnis speichern können. Einzelheiten zu dem von Ihnen ausgewählten Verzeichnis finden Sie unter AWS Managed Microsoft AD-Kontingente, Kontingente für AD Connector oder Kontingente für Simple AD.

Machen Sie sich mit der Konfiguration und Verwendung der AWS Sicherheitsgruppen in Ihrem Verzeichnis vertraut

AWS erstellt eine Sicherheitsgruppe und fügt sie den elastischen Netzwerkschnittstellen des Domänencontrollers Ihres Verzeichnisses hinzu. Diese Sicherheitsgruppe blockiert unnötigen Datenverkehr zum Domain-Controller und lässt Datenverkehr zu, der für die Active-Directory-Kommunikation erforderlich ist. AWS konfiguriert die Sicherheitsgruppe so, dass nur die Ports geöffnet werden, die für die Active-Directory-Kommunikation erforderlich sind. In der Standardkonfiguration akzeptiert die Sicherheitsgruppe Datenverkehr zu diesen Ports von jeder beliebigen IP-Adresse aus. AWS hängt die Sicherheitsgruppe an die Schnittstellen Ihrer Domänencontroller an, auf die von Ihren Peering-VPCs aus zugegriffen werden kann oder deren Größe geändert wurde. Der Zugriff auf diese Schnittstellen ist nicht über das Internet möglich, auch wenn Sie Routing-Tabellen ändern, die Netzwerkverbindungen zu Ihrer VPC ändern und den NAT Gateway-Service konfigurieren. Daher können nur Instances und Computer, die über einen Netzwerkpfad in die VPC verfügen, auf das Verzeichnis zugreifen. Dies vereinfacht die Einrichtung, weil es nicht mehr erforderlich ist, spezifische Adressbereiche zu konfigurieren. Stattdessen konfigurieren Sie Routen und Sicherheitsgruppen in der VPC, die Datenverkehr von vertrauenswürdigen Instances und Computern aus zulassen.

Ändern der Verzeichnissicherheitsgruppe

Wenn Sie die Sicherheit der Sicherheitsgruppen Ihrer Verzeichnisse erhöhen wollen, können Sie sie so abändern, dass sie Datenverkehr von einer restriktiveren IP-Adressliste akzeptieren. Beispielsweise könnten Sie die akzeptierten Adressen von 0.0.0.0/0 in einen CIDR-Bereich ändern, der spezifisch für ein einzelnes Subnetz oder einen Computer ist. Ebenso könnten Sie die Zieladressen einschränken, mit denen Ihre Domain-Controller kommunizieren können. Nehmen Sie diese Änderungen nur vor, wenn Sie verstehen, wie Sicherheitsgruppenfilter funktionieren. Weitere Informationen finden Sie unter Amazon-EC2-Sicherheitsgruppen für Linux-Instances im Amazon-EC2-Benutzerhandbuch. Unsachgemäße Änderungen können zum Verlust der Kommunikation mit den vorgesehenen Computern und Instanzen führen. AWS empfiehlt, nicht zu versuchen, zusätzliche Ports für den Domänencontroller zu öffnen, da dies die Sicherheit Ihres Verzeichnisses beeinträchtigt. Sehen Sie sich das AWS -Modell übergreifender Verantwortlichkeit genau an.

Warnung

Es ist technisch möglich, dass Sie die Sicherheitsgruppen, die Ihr Verzeichnis verwendet, anderen EC2-Instances zuordnen, die Sie erstellen. AWS Empfiehlt jedoch von dieser Vorgehensweise ab. AWS kann Gründe haben, die Sicherheitsgruppe ohne vorherige Ankündigung zu ändern, um den Funktions- oder Sicherheitsanforderungen des verwalteten Verzeichnisses gerecht zu werden. Solche Änderungen wirken sich auf alle Instances aus, die Sie der Verzeichnis-Sicherheitsgruppe zuordnen. Außerdem entsteht durch die Zuordnung der Verzeichnis-Sicherheitsgruppe zu Ihren EC2-Instances ein potenzielles Sicherheitsrisiko für Ihre EC2-Instances. Die Verzeichnis-Sicherheitsgruppe akzeptiert Datenverkehr auf erforderlichen Active Directory-Ports von jeder beliebigen IP-Adresse aus. Wenn Sie diese Sicherheitsgruppe einer EC2-Instance zuordnen, die eine öffentliche IP-Adresse im Internet hat, kann jeder Computer im Internet über die geöffneten Ports mit Ihrer EC2-Instance kommunizieren.

Einrichten: Erstellen Ihres Verzeichnisses

Hier finden Sie einige Vorschläge, wie Sie Ihr Verzeichnis erstellen.

Ihre Administratoren-ID und das Passwort nicht vergessen

Wenn Sie Ihr Verzeichnis einrichten, geben Sie ein Passwort für das Administratorkonto ein. Diese Konto-ID lautet Admin für AWS Managed Microsoft AD. Merken Sie sich das Passwort, das Sie für dieses Konto erstellen. Andernfalls können Sie keine Objekte in Ihrem Verzeichnis hinzufügen.

Erstellen einer DHCP-Optionsliste

Wir empfehlen, dass Sie einen DHCP-Optionssatz für Ihr AWS Directory Service Verzeichnis erstellen und den DHCP-Optionssatz der VPC zuweisen, in der sich Ihr Verzeichnis befindet. Auf diese Weise können alle Instances in dieser VPC auf die angegebene Domain zeigen und DNS-Server können ihre Domain-Namen auflösen.

Weitere Informationen zu den DHCP-Optionen finden Sie unter Erstellen oder ändern Sie einen DHCP-Optionssatz.

Aktivieren Sie die Einstellung für die bedingte Weiterleitung

Die folgenden Einstellungen für die bedingte Weiterleitung Speichern Sie diese bedingte Weiterleitung in Active Directory und replizieren Sie sie wie folgt: sollten aktiviert sein. Durch die Aktivierung dieser Einstellungen wird verhindert, dass die Einstellung für die bedingte Weiterleitung verschwindet, wenn ein Knoten aufgrund eines Infrastruktur- oder Überlastungsausfalls ersetzt wird.

Bereitstellen zusätzlicher Domain-Controller

Standardmäßig werden zwei Domänencontroller AWS erstellt, die sich in separaten Availability Zones befinden. Dies sorgt für Fehlerresilienz während des Software-Patchings und anderen Ereignissen, aufgrund derer ein Domain-Controller möglicherweise nicht erreichbar oder nicht verfügbar ist. Wir empfehlen, zusätzliche Domain-Controller bereitzustellen, um die Resilienz weiter zu erhöhen und die Leistung der horizontalen Skalierung bei einem längerfristigen Ereignis sicherzustellen, das sich auf den Zugriff auf einen Domain-Controller oder eine Availability Zone auswirkt.

Weitere Informationen finden Sie unter Den Windows-DC-Suchservice verwenden.

Einschränkungen für Benutzernamen für AWS -Anwendungen verstehen

AWS Directory Service unterstützt die meisten Zeichenformate, die bei der Erstellung von Benutzernamen verwendet werden können. Es gibt jedoch Zeichenbeschränkungen, die für Benutzernamen gelten, die für die Anmeldung bei AWS Anwendungen wie WorkSpaces Amazon, Amazon oder Amazon WorkDocs verwendet werden. WorkMail QuickSight Diese Einschränkungen verlangen, dass die folgenden Zeichen nicht verwendet werden:

  • Leerzeichen

  • Multibyte-Zeichen

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

Anmerkung

Das Symbol @ ist zulässig, wenn es einem UPN-Suffix vorausgeht.

Verwenden Ihres Verzeichnisses

Hier finden Sie einige Vorschläge zur Verwendung Ihres Verzeichnisses.

Keine vordefinierten Benutzer, Gruppen und Organisationseinheiten ändern

Wenn Sie AWS Directory Service zum Starten eines Verzeichnisses verwenden, AWS wird eine Organisationseinheit (OU) erstellt, die alle Objekte Ihres Verzeichnisses enthält. Diese OU erhält den NetBIOS-Namen, den Sie beim Erstellen des Verzeichnisses eingegeben haben, und befindet sich im Domainstamm. Der Domänenstamm gehört und wird von diesem verwaltet AWS. Ebenso werden mehrere Gruppen und Benutzer erstellt.

Diese vordefinierten Objekte nicht verschieben, löschen oder auf andere Weise ändern! Dies kann dazu führen, dass sowohl Sie als auch Sie nicht auf Ihr Verzeichnis zugreifen können. AWS Weitere Informationen finden Sie unter Was wird mit Ihrem AWS Managed Microsoft AD Active Directory erstellt.

Automatisch mit Domains verbinden

Beim Starten einer Windows-Instanz, die Teil einer AWS Directory Service Domäne sein soll, ist es oft am einfachsten, der Domäne im Rahmen der Instanzerstellung beizutreten, anstatt die Instanz später manuell hinzuzufügen. Um eine Domain automatisch hinzuzufügen, wählen Sie einfach das richtige Verzeichnis für Domain join directory beim Starten einer neuen Instance. Details finden Sie in Nahtloses Verbinden einer Amazon EC2 Windows-Instance mit Ihrem AWS Managed Microsoft AD Active Directory.

Vertrauensstellungen korrekt einrichten

Beachten Sie beim Einrichten einer Vertrauensstellung zwischen Ihrem AWS verwalteten Microsoft AD-Verzeichnis und einem anderen Verzeichnis die folgenden Richtlinien:

  • Der Vertrauenstyp muss auf beiden Seiten übereinstimmen (Gesamtstruktur oder Extern)

  • Stellen Sie sicher, dass die Vertrauensrichtung korrekt eingerichtet ist, wenn Sie eine unidirektionale Vertrauensstellung verwenden (Ausgehend von der Trusting Domain, Eingehend auf der Trusted Domain)

  • Sowohl vollqualifizierte Domainnamen (FQDNs) als auch NetBIOS-Namen müssen zwischen Gesamtstrukturen/Domains eindeutig sein

Weitere Details und Anweisungen zum Einrichten einer Vertrauensstellung finden Sie unter Erstellen einer Vertrauensstellung.

Verwalten Ihres Verzeichnisses

Beachten Sie die folgenden Vorschläge für die Verwaltung von Ihrem Verzeichnis.

Die Leistung Ihres Domain-Controllers verfolgen

Um Skalierungsentscheidungen zu optimieren und die Stabilität und Leistung von Verzeichnissen zu verbessern, empfehlen wir die Verwendung von CloudWatch Metriken. Weitere Informationen finden Sie unter Ihre Domain-Controller mit Leistungsmetriken überwachen.

Anweisungen zum Einrichten von Domänencontroller-Metriken mithilfe der CloudWatch Konsole finden Sie unter So automatisieren Sie die AWS verwaltete Microsoft AD-Skalierung auf der Grundlage von Nutzungsmetriken im AWS Sicherheitsblog.

Schemaerweiterungen sorgfältig planen

Wenden Sie Schemaerweiterungen gut durchdacht an, um Ihr Verzeichnis nach wichtigen und häufigen Abfragen zu indizieren. Achten Sie darauf, keinen zu umfangreichen Index zu verwenden, da Indizes viel Verzeichnisspeicherplatz beanspruchen und schnell ändernde indizierte Werte zu Leistungsproblemen führen können. Zum Hinzufügen von Indizes müssen Sie eine Lightweight Directory Access Protocol (LDAP) Directory Interchange Format (LDIF)-Datei erstellen und Ihre Schemaänderung erweitern. Weitere Informationen finden Sie unter Ihr Schema erweitern.

Über Load Balancer

Verwenden Sie keinen Load Balancer vor den AWS verwalteten Microsoft AD-Endpunkten. Microsoft hat Active Directory (AD) für die Nutzung eines Domain-Controller (DC)-Erkennungsalgorithmus entwickelt, der den reaktionsschnellsten DC ohne externen Lastausgleich findet. Externe Network Load Balancer erkennen aktive DCs nur ungenau. Dies kann dazu führen, dass Ihre Anwendung an einen DC gesendet wird, der noch nicht bereit ist. Weitere Informationen finden Sie unter Load Balancers and Active Directory auf Microsoft. Dort wird empfohlen TechNet , Anwendungen so zu reparieren, dass Active Directory korrekt verwendet wird, anstatt externe Load Balancer zu implementieren.

Ein Backup Ihrer Instance erstellen

Wenn Sie einer vorhandenen AWS Directory Service Domäne manuell eine Instanz hinzufügen möchten, erstellen Sie zunächst eine Sicherungskopie oder erstellen Sie einen Snapshot dieser Instanz. Dies ist besonders wichtig, wenn der Beitritt zu einer Linux-Instance erfolgt. Einige der Verfahren zum Hinzufügen einer Instance können, wenn sie nicht richtig durchgeführt werden, Ihre Instance nicht erreichbar oder nicht verwendungsfähig machen. Weitere Informationen finden Sie unter Ein Snapshot Ihres Verzeichnisses herstellen oder es wiederherstellen.

SNS-Messaging einrichten

Mit Amazon Simple Notification Service (Amazon SNS) können Sie E-Mail- oder Text-Nachrichten (SMS) erhalten, wenn sich der Status Ihres Verzeichnisses ändert. Sie werden benachrichtigt, wenn Ihr Verzeichnis von einem Active-Status in einen Impaired- oder Inoperable-Status übergeht. Außerdem erhalten Sie eine Benachrichtigung, wenn das Verzeichnis in einen aktiven Status zurückkehrt.

Denken Sie auch daran, dass Sie, wenn Sie ein SNS-Thema haben AWS Directory Service, von dem Nachrichten empfangen werden, Ihr Verzeichnis einem anderen SNS-Thema zuordnen sollten, bevor Sie dieses Thema aus der Amazon SNS-Konsole löschen. Andernfalls riskieren Sie, wichtige Verzeichnis-Statusmeldungen zu verpassen. Informationen zum Einrichten von Amazon SNS; finden Sie unter Konfiguration von Verzeichnisstatusbenachrichtigungen mit Amazon SNS.

Verzeichnisdienst-Einstellungen anwenden

AWS Mit Managed Microsoft AD können Sie Ihre Sicherheitskonfiguration an Ihre Compliance- und Sicherheitsanforderungen anpassen. AWS Managed Microsoft AD stellt die Konfiguration auf allen Domänencontrollern in Ihrem Verzeichnis bereit und verwaltet sie, auch wenn neue Regionen oder zusätzliche Domänencontroller hinzugefügt werden. Sie können diese Sicherheitseinstellungen für alle Ihre neuen und vorhandenen Verzeichnisse konfigurieren und anwenden. Sie können dies in der Konsole tun, indem Sie den Schritten in Sicherheitseinstellungen für Verzeichnisse bearbeiten oder über die UpdateSettings API folgen.

Weitere Informationen finden Sie unter Verzeichnis-Sicherheitseinstellungen konfigurieren.

Amazon Enterprise-Anwendungen vor dem Löschen eines Verzeichnisses entfernen

Bevor Sie ein Verzeichnis löschen, das mit einer oder mehreren Amazon Enterprise Applications wie Amazon WorkSpaces Application Manager, Amazon WorkDocs, Amazon oder Amazon WorkMail Relational Database Service (Amazon RDS) verknüpft ist, müssen Sie zunächst jede Anwendung entfernen. WorkSpaces AWS Management Console Weitere Informationen zum Entfernen dieser Anwendungen finden Sie unter Löschen Sie Ihr AWS verwaltetes Microsoft AD.

Beim Zugriff auf die SYSVOL- und NETLOGON-Freigaben SMB 2.x-Clients verwenden

Client-Computer verwenden Server Message Block (SMB), um auf die SYSVOL- und NETLOGON-Freigaben auf AWS verwalteten Microsoft AD-Domänencontrollern für Gruppenrichtlinien, Anmeldeskripts und andere Dateien zuzugreifen. AWS Managed Microsoft AD unterstützt nur SMB Version 2.0 (SMBv2) und neuer.

Die Protokolle SMBv2 und neuere Version fügen eine Reihe von Features hinzu, die die Clientleistung verbessern und die Sicherheit Ihrer Domain-Controller und Clients erhöhen. Diese Änderung folgt den Empfehlungen vom United States Computer Emergency Readiness Team und von Microsoft, SMBv1 zu deaktivieren.

Wichtig

Wenn Sie derzeit SMBv1-Clients für den Zugriff auf die SYSVOL- und NETLOGON-Freigaben Ihres Domain-Controllers verwenden, müssen Sie diese Clients aktualisieren, um SMBv2 oder neuer zu verwenden. Ihr Verzeichnis wird ordnungsgemäß funktionieren, aber Ihre SMBv1-Clients können keine Verbindung zu den SYSVOL- und NETLOGON-Freigaben Ihrer AWS verwalteten Microsoft AD-Domänencontroller herstellen und können auch keine Gruppenrichtlinien verarbeiten.

SMBv1-Clients arbeiten mit allen anderen vorhandenen SMBv1-kompatiblen Dateiservern. AWS Empfiehlt jedoch, dass Sie alle Ihre SMB-Server und -Clients auf SMBv2 oder neuer aktualisieren. Weitere Informationen zur Deaktivierung von SMBv1 und zur Aktualisierung auf neuere SMB-Versionen auf Ihren Systemen finden Sie in diesen Beiträgen auf Microsoft und Support. TechNet

Verfolgen von SMBv1-Remoteverbindungen

Sie können das Microsoft-Windows-SMBServer/Audit Windows-Ereignisprotokoll überprüfen, wenn Sie eine Remoteverbindung mit dem AWS verwalteten Microsoft AD-Domänencontroller herstellen. Alle Ereignisse in diesem Protokoll weisen auf SMBv1-Verbindungen hin. Im Folgenden finden Sie ein Beispiel für die Informationen, die Sie in einem dieser Protokolle finden können:

SMB1-Zugriff

Clientadresse: ###.###.###.###

Leitfaden:

Dieses Ereignis deutet darauf hin, dass ein Client versucht hat, mithilfe von SMB1 auf den Server zuzugreifen. Um die Überwachung des SMB1-Zugriffs zu beenden, verwenden Sie das Cmdlet Set-. Windows PowerShell SmbServerConfiguration

Programmieren Ihrer Anwendungen

Stellen Sie folgende Überlegungen an, ehe Sie Ihre Anwendungen programmieren:

Den Windows-DC-Suchservice verwenden

Verwenden Sie bei der Entwicklung von Anwendungen den Windows DC Locator Service oder den Dynamic DNS (DDNS) -Dienst Ihres AWS verwalteten Microsoft AD, um nach Domänencontrollern (DCs) zu suchen. Nehmen Sie keine Hartkodierung an Anwendungen mit der Adresse eines Domain-Controllers vor. Der DC-Suchdienst sorgt für eine Verteilung der Verzeichnislast und ermöglicht Ihnen die Nutzung einer horizontalen Skalierung durch das Hinzufügen von Domain-Controllern zu Ihrer Bereitstellung. Wenn Sie Ihre Anwendung an einen bestimmten DC binden und ein Patchen oder eine Wiederherstellung des DCs durchgeführt wird, verliert Ihre Anwendung den Zugriff auf den DC und kann die restlichen DCs nicht nutzen. Darüber hinaus kann eine feste DC-Kodierung dazu führen, dass ein einzelner DC zu einem Hotspot wird. In extremen Fällen kann dies dazu führen, dass Ihr DC nicht mehr reagiert. Solche Fälle können auch dazu führen, dass die AWS Verzeichnisautomatisierung das Verzeichnis als beeinträchtigt kennzeichnet und Wiederherstellungsprozesse auslöst, die den nicht reagierenden DC ersetzen.

Auslastungstests vor der Inbetriebnahme

Führen Sie Labortests mit Objekten und Anforderungen durch, die Ihren Produktions-Workload darstellen, um sicherzustellen, dass das Verzeichnis entsprechend der Arbeitslast Ihrer Anwendung skaliert wird. Wenn Sie weitere Kapazitäten benötigen, führen Sie den Test mit zusätzlichen DCs durch, während Anforderungen an die DCs verteilt werden. Weitere Informationen finden Sie unter Bereitstellen zusätzlicher Domain-Controller.

Effiziente LDAP-Abfragen verwenden

Umfassende LDAP-Abfragen für einen Domain-Controller bei tausenden von Objekten können umfangreiche CPU-Zyklen auf einem einzelnen DC verursachen und ein Hot Spotting nach sich ziehen. Dies kann Auswirkungen auf Anwendungen haben, die während der Abfrage denselben DC verwenden.