Bewährte Methoden für Simple AD

Hier sind einige Vorschläge und Richtlinien, die Sie berücksichtigen sollten, um Probleme zu vermeiden und Simple AD optimal zu nutzen.

Einrichten: Voraussetzungen

Beachten Sie die folgenden Richtlinien, bevor Sie Ihr Verzeichnis erstellen.

Sicherstellen, dass Sie den richtigen Verzeichnistyp verwenden

AWS Directory Service bietet mehrere Möglichkeiten zur Verwendung mit anderen AWS Diensten. Sie können den Verzeichnisdienst mit den Funktionen wählen, die Sie benötigen, ohne Ihr Budget zu überlasten:

• AWS Der Directory Service für Microsoft Active Directory ist ein funktionsreicher, verwalteter Dienst, der in der AWS Cloud gehostet wird. AWS Managed Microsoft AD ist die beste Wahl, wenn Sie mehr als 5.000 Benutzer haben und eine Vertrauensbeziehung zwischen einem AWS gehosteten Verzeichnis und Ihren lokalen Verzeichnissen einrichten möchten.

• AD Connector verbindet einfach Ihr vorhandenes lokales System Active Directory mit AWS. AD Connector ist die beste Wahl, wenn Sie Ihr vorhandenes On-Premises-Verzeichnis mit AWS -Services verwenden möchten.

• Simple AD ist ein niedriges, kostengünstiges Verzeichnis mit grundlegender Active Directory Kompatibilität. Es unterstützt 5 000 oder weniger Benutzer, Samba-4-kompatible Anwendungen und LDAP-Kompatibilität für LDAP-fähige Anwendungen.

Einen detaillierteren Vergleich der AWS Directory Service Optionen finden Sie unterWelche sollte man auswählen.

Sicherstellen, dass Ihre VPCs und Instances korrekt konfiguriert sind

Um eine Verbindung zu Ihren Verzeichnissen herzustellen, sie zu verwalten und zu nutzen, müssen Sie die VPCs, denen die Verzeichnisse zugeordnet sind, ordnungsgemäß konfigurieren. Weitere Informationen über die Anforderungen zur VPC-Sicherheit und Netzwerken finden Sie unter AWS Voraussetzungen für verwaltetes Microsoft AD, AD-Connector-Voraussetzungen oder Simple-AD-Voraussetzungen.

Wenn Sie Ihrer Domain eine Instance hinzufügen, stellen Sie sicher, dass Sie eine Verbindung und Remote-Zugriff auf Ihre Instance haben, wie in Verbinden Sie eine Amazon EC2 EC2-Instance mit Ihrem AWS Managed Microsoft AD Active Directory beschrieben.

Sich der eigenen Grenzen bewusst sein

Erfahren Sie mehr über die verschiedenen Beschränkungen für Ihren spezifischen Verzeichnistyp. Der verfügbare Speicherplatz und die Gesamtgröße Ihrer Objekte sind die einzigen Einschränkungen in Bezug auf die Anzahl der Objekte, die Sie in Ihrem Verzeichnis speichern können. Einzelheiten zu dem von Ihnen ausgewählten Verzeichnis finden Sie unter AWS Managed Microsoft AD-Kontingente, Kontingente für AD Connector oder Kontingente für Simple AD.

Machen Sie sich mit der Konfiguration und Verwendung der AWS Sicherheitsgruppen in Ihrem Verzeichnis vertraut

AWS erstellt eine Sicherheitsgruppe und fügt sie den elastischen Netzwerkschnittstellen des Domänencontrollers Ihres Verzeichnisses hinzu. AWS konfiguriert die Sicherheitsgruppe so, dass unnötiger Datenverkehr zum Verzeichnis blockiert wird, und lässt notwendigen Datenverkehr zu.

Ändern der Verzeichnissicherheitsgruppe

Wenn Sie die Sicherheit der Sicherheitsgruppen Ihrer Verzeichnisse ändern möchten, können Sie dies tun. Nehmen Sie diese Änderungen nur vor, wenn Sie verstehen, wie Sicherheitsgruppenfilter funktionieren. Weitere Informationen finden Sie unter Amazon-EC2-Sicherheitsgruppen für Linux-Instances im Amazon-EC2-Benutzerhandbuch. Unsachgemäße Änderungen können zum Verlust der Kommunikation mit den vorgesehenen Computern und Instanzen führen. AWS empfiehlt, nicht zu versuchen, zusätzliche Ports für Ihr Verzeichnis zu öffnen, da dies die Sicherheit Ihres Verzeichnisses beeinträchtigt. Sehen Sie sich das AWS -Modell übergreifender Verantwortlichkeit genau an.

Warnung

Es ist technisch möglich, dass Sie die Sicherheitsgruppe des Verzeichnisses anderen von Ihnen erstellten EC2-Instances zuordnen. AWS Empfiehlt jedoch von dieser Vorgehensweise ab. AWS kann Gründe haben, die Sicherheitsgruppe ohne vorherige Ankündigung zu ändern, um den Funktions- oder Sicherheitsanforderungen des verwalteten Verzeichnisses gerecht zu werden. Solche Änderungen wirken sich auf alle Instances aus, denen Sie die Verzeichnis-Sicherheitsgruppe zuordnen, und können den Betrieb der dazugehörigen Instances stören. Außerdem entsteht durch die Zuordnung der Verzeichnis-Sicherheitsgruppe zu Ihren EC2-Instances möglicherweise ein potenzielles Sicherheitsrisiko für Ihre EC2-Instances.

Verwenden Sie AWS Managed Microsoft AD, wenn Vertrauensstellungen erforderlich sind

Simple AD unterstützt keine Vertrauensstellungen. Wenn Sie eine Vertrauensstellung zwischen Ihrem AWS Directory Service Verzeichnis und einem anderen Verzeichnis einrichten müssen, sollten Sie den AWS Directory Service für Microsoft Active Directory verwenden.

Einrichten: Erstellen Ihres Verzeichnisses

Hier finden Sie einige Vorschläge, wie Sie Ihr Verzeichnis erstellen.

Ihre Administratoren-ID und das Passwort nicht vergessen

Wenn Sie Ihr Verzeichnis einrichten, geben Sie ein Passwort für das Administratorkonto ein. Die Konto-ID für Simple AD lautet Administrator. Merken Sie sich das Passwort, das Sie für dieses Konto erstellen. Andernfalls können Sie keine Objekte in Ihrem Verzeichnis hinzufügen.

Machen Sie sich mit Benutzernamenbeschränkungen für AWS Anwendungen vertraut

AWS Directory Service unterstützt die meisten Zeichenformate, die bei der Erstellung von Benutzernamen verwendet werden können. Es gibt jedoch Zeichenbeschränkungen, die für Benutzernamen gelten, die für die Anmeldung bei AWS Anwendungen wie WorkSpaces Amazon, Amazon oder Amazon WorkDocs verwendet werden. WorkMail QuickSight Diese Einschränkungen verlangen, dass die folgenden Zeichen nicht verwendet werden:

• Leerzeichen

• Multibyte-Zeichen

• !"#$%&'()*+,/:;<=>?@[\]^`{|}~

Anmerkung

Das Symbol @ ist zulässig, wenn es einem UPN-Suffix vorausgeht.

Programmieren Ihrer Anwendungen

Stellen Sie folgende Überlegungen an, ehe Sie Ihre Anwendungen programmieren:

Den Windows-DC-Suchservice verwenden

Verwenden Sie bei der Entwicklung von Anwendungen den Windows DC Locator Service oder den Dynamic DNS (DDNS) -Dienst Ihres AWS verwalteten Microsoft AD, um nach Domänencontrollern (DCs) zu suchen. Nehmen Sie keine Hartkodierung an Anwendungen mit der Adresse eines Domain-Controllers vor. Der DC-Suchdienst sorgt für eine Verteilung der Verzeichnislast und ermöglicht Ihnen die Nutzung einer horizontalen Skalierung durch das Hinzufügen von Domain-Controllern zu Ihrer Bereitstellung. Wenn Sie Ihre Anwendung an einen bestimmten DC binden und ein Patchen oder eine Wiederherstellung des DCs durchgeführt wird, verliert Ihre Anwendung den Zugriff auf den DC und kann die restlichen DCs nicht nutzen. Darüber hinaus kann eine feste DC-Kodierung dazu führen, dass ein einzelner DC zu einem Hotspot wird. In extremen Fällen kann dies dazu führen, dass Ihr DC nicht mehr reagiert. Solche Fälle können auch dazu führen, dass die AWS Verzeichnisautomatisierung das Verzeichnis als beeinträchtigt kennzeichnet und Wiederherstellungsprozesse auslöst, die den nicht reagierenden DC ersetzen.

Auslastungstests vor der Inbetriebnahme

Führen Sie Labortests mit Objekten und Anforderungen durch, die Ihren Produktions-Workload darstellen, um sicherzustellen, dass das Verzeichnis entsprechend der Arbeitslast Ihrer Anwendung skaliert wird. Wenn Sie zusätzliche Kapazität benötigen, sollten Sie Microsoft Active Directory verwenden AWS Directory Service , mit dem Sie Domänencontroller hinzufügen können, um eine hohe Leistung zu erzielen. Weitere Informationen finden Sie unter Bereitstellen zusätzlicher Domain-Controller.

Effiziente LDAP-Abfragen verwenden

Umfassende LDAP-Abfragen für einen Domain-Controller über Tausende von Objekten können umfangreiche CPU-Zyklen auf einem einzelnen DC verursachen und ein Hot Spotting nach sich ziehen. Dies kann Auswirkungen auf Anwendungen haben, die während der Abfrage denselben DC verwenden.