Mejores prácticas para Microsoft AD AWS administrado - AWS Directory Service
Configuración: requisitos previosConfiguración: creación del directorioUso del directorioAdministración del directorioProgramación de las aplicaciones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Mejores prácticas para Microsoft AD AWS administrado

Estas son algunas sugerencias y pautas que debe tener en cuenta para evitar problemas y aprovechar al máximo Microsoft AD AWS administrado.

Configuración: requisitos previos

Plantéese estas directrices antes de crear el directorio.

Compruebe que tena el tipo de directorio correcto

AWS Directory Service proporciona varias formas de usarlo Microsoft Active Directory con otros AWS servicios. Puede elegir el servicio de directorio con las características que necesita con un costo que se adapte a su presupuesto:

  • AWS Directory Service para Microsoft Active Directory es un servicio gestionado y Microsoft Active Directory alojado en la AWS nube con muchas funciones. AWS Microsoft AD administrado es la mejor opción si tiene más de 5000 usuarios y necesita establecer una relación de confianza entre un directorio AWS hospedado y sus directorios locales.

  • AD Connector simplemente conecta su entorno local existente Active Directory a AWS. Conector AD es la mejor opción si desea utilizar su directorio en las instalaciones con los servicios de AWS .

  • Simple AD es un directorio de bajo coste y escala con Active Directory compatibilidad básica. Admite 5000 usuarios o menos, aplicaciones compatibles con Samba 4 y compatibilidad LDAP para aplicaciones compatibles con LDAP.

Para obtener una comparación más detallada de AWS Directory Service las opciones, consulte¿Cuál debe elegir?.

Asegúrese de que sus VPC y sus instancias se hayan configurado correctamente

Para gestionar y utilizar sus directorios, así como conectarse a ellos, debe configurar correctamente las VPC a las que están asociados los directorios. Consulte AWS Requisitos previos de Microsoft AD gestionado, Requisitos previos de Conector AD o Requisitos previos para Simple AD para obtener información sobre la seguridad de VPC y los requisitos de red.

Si está añadiendo una instancia a su dominio, asegúrese de que dispone de conectividad y acceso remoto a la instancia, tal y como se describe en Unir una instancia de Amazon EC2 a su AWS Microsoft AD gestionado Active Directory.

Sea consciente de sus límites

Obtenga información sobre los distintos límites de su tipo de directorio específico. El almacenamiento disponible y el tamaño total de los objetos son las únicas limitaciones en cuanto al número de objetos que puede almacenar en el directorio. Consulte cualquiera de las opciones AWS Cuotas administradas de Microsoft AD, Cuotas de Conector AD o Cuotas de Simple AD para obtener más información sobre el directorio que ha elegido.

Comprenda la configuración y el uso de los grupos de AWS seguridad de su directorio

AWS crea un grupo de seguridad y lo adjunta a las interfaces de red elásticas del controlador de dominio de su directorio. Este grupo de seguridad bloquea el tráfico innecesario al controlador de dominio, pero permite el necesario para las comunicaciones de Active Directory. AWS configura el grupo de seguridad para abrir solo los puertos necesarios para las comunicaciones de Active Directory. En la configuración predeterminada, el grupo de seguridad acepta el tráfico a estos puertos desde cualquier dirección IP. AWS adjunta el grupo de seguridad a las interfaces de los controladores de dominio a las que se puede acceder desde las VPC emparejadas o redimensionadas. A estas interfaces no se puede acceder desde Internet aunque modifique las tablas de enrutamiento, cambie las conexiones de red a la VPC y configure el servicio NAT Gateway. Como tal, solo las instancias y los equipos que tengan una ruta de red en la VPC pueden acceder al directorio. Esto simplifica la configuración, eliminando el requisito de configurar rangos de direcciones específicos. En su lugar, se configuran rutas y grupos de seguridad en la VPC que permiten el tráfico únicamente a partir de instancias y equipos de confianza.

Modificación del grupo de seguridad del directorio

Si desea aumentar la seguridad de los grupos de seguridad de sus directorios, puede modificarlos para que acepten tráfico de una lista más restrictiva de direcciones IP. Por ejemplo, puede cambiar las direcciones aceptadas desde 0.0.0.0/0 hasta un rango de CIDR que sea específico de una sola subred o un solo equipo. De forma similar, podría optar por restringir las direcciones de destino con las que puedan comunicarse sus controladores de dominio. Realice esos cambios únicamente si comprende completamente cómo funcionan los filtros de los grupos de seguridad. Para obtener más información, consulte Grupos de seguridad de Amazon EC2 para instancias de Linux en la Guía del usuario de Amazon EC2. Los cambios incorrectos pueden provocar la pérdida de comunicación con los ordenadores e instancias previstos. AWS recomienda no intentar abrir puertos adicionales al controlador de dominio, ya que esto reduce la seguridad del directorio. Lea detenidamente el Modelo de responsabilidad compartida de AWS.

aviso

Técnicamente, puede asociar los grupos de seguridad que utiliza el directorio a otras instancias EC2 que cree. Sin embargo, no AWS recomienda esta práctica. AWS puede tener motivos para modificar el grupo de seguridad sin previo aviso para satisfacer las necesidades funcionales o de seguridad del directorio gestionado. Estos cambios afectan a cualquier instancia a la que asocie el grupo de seguridad del directorio. Además, al asociar el grupo de seguridad del directorio a sus instancias EC2 se crea un posible riesgo de seguridad para sus instancias EC2. El grupo de seguridad del directorio acepta tráfico en los puertos necesarios de Active Directory desde cualquier dirección IP. Si asocia este grupo de seguridad a una instancia EC2 con una dirección IP pública conectada a Internet, cualquier equipo en Internet puede comunicarse con su instancia EC2 en los puertos abiertos.

Configuración: creación del directorio

A continuación se indican algunas sugerencias que debe tener en cuenta en el momento de crear su directorio.

Recuerde su ID de administrador y su contraseña

Cuando se configura el directorio, se proporciona la contraseña de la cuenta de administrador. Ese ID de cuenta es Admin de AWS Managed Microsoft AD. Recuerde la contraseña que cree para esta cuenta; de lo contrario, no podrá añadir objetos a su directorio.

Crear un conjunto de opciones de DHCP

Le recomendamos que cree un conjunto de opciones de DHCP para su AWS Directory Service directorio y que asigne el conjunto de opciones de DHCP a la VPC en la que se encuentra su directorio. De esta forma, las instancias de la VPC pueden apuntar al dominio especificado y los servidores DNS pueden resolver sus nombres de dominio.

Para obtener más información sobre las opciones de DHCP, consulte Crear o cambiar un conjunto de opciones de DHCP.

Habilite la configuración del reenviador condicional

La siguiente configuración de reenvío condicional Guarde este reenviador condicional en Active Directory y replique de la siguiente manera: debe estar habilitado. Al habilitar esta configuración, se evitará que la configuración del reenviador condicional desaparezca cuando se sustituya un nodo debido a un fallo de infraestructura o a un fallo por sobrecarga.

Implementación de controladores de dominio adicionales

De forma predeterminada, AWS crea dos controladores de dominio que existen en zonas de disponibilidad independientes. Esto proporciona resistencia a errores durante la aplicación de parches de software y otros eventos que pueden provocar que no se pueda obtener acceso a un controlador de dominio o no esté disponible. Le recomendamos que implemente controladores de dominio adicionales para aumentar aún más la resiliencia y garantizar el rendimiento de escalado ascendente en caso de que se produzca un evento a largo plazo que afecte al acceso a un controlador de dominio o a una zona de disponibilidad.

Para obtener más información, consulte Utilice el servicio de localización de DC de Windows.

Comprender restricciones de nombre de usuario para aplicaciones de AWS

AWS Directory Service es compatible con la mayoría de los formatos de caracteres que se pueden utilizar en la construcción de nombres de usuario. Sin embargo, hay restricciones de caracteres que se aplican a los nombres de usuario que se utilizarán para iniciar sesión en AWS aplicaciones, como WorkSpaces Amazon WorkMail, WorkDocs Amazon o Amazon. QuickSight Estas restricciones requieren que no se utilicen los siguientes caracteres:

  • Espacios

  • Caracteres multibyte

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

nota

El símbolo @ se permite siempre que preceda a un sufijo UPN.

Uso del directorio

Estas son algunas sugerencias que tener en cuenta al utilizar su directorio.

No modificar los usuarios, los grupos, ni las unidades organizativas predefinidos

Al AWS Directory Service lanzar un directorio, AWS crea una unidad organizativa (OU) que contiene todos los objetos del directorio. Esta unidad organizativa, que tiene el nombre de NetBIOS que escribió al crear el directorio, se encuentra en la raíz del dominio. La raíz del dominio es propiedad de y está gestionada por AWS. También se crean varios grupos y un usuario administrativo.

No mueva, elimine ni modifique de ningún otro modo estos objetos predefinidos. Si lo hace, puede hacer que su directorio sea inaccesible tanto para usted como para. AWS Para obtener más información, consulte Qué se crea con su Active Directory AWS administrado de Microsoft AD.

Unirse a dominios de manera automática

Al lanzar una instancia de Windows que va a formar parte de un AWS Directory Service dominio, suele ser más fácil unirse al dominio como parte del proceso de creación de la instancia en lugar de añadirla manualmente más adelante. Para unirse automáticamente a un dominio, solo tiene que seleccionar el directorio correcto para Domain join directory al lanzar una nueva instancia. Puede encontrar detalles en Unir sin problemas una instancia de Amazon EC2 para Windows a su AWS Microsoft AD gestionado Active Directory.

Configurar relaciones de confianza correctamente

Al configurar una relación de confianza entre el directorio AWS administrado de Microsoft AD y otro directorio, tenga en cuenta estas pautas:

  • El tipo de relación de confianza debe coincidir en ambos lados (bosque o externo)

  • Asegúrese de que la dirección de la relación de confianza esté configurada correctamente si se utiliza una relación de confianza unidireccional (saliente en el dominio origen de la confianza, entrante en el dominio destino de la confianza)

  • Los nombres de dominio completos (FQDN) y los nombres NetBIOS deben ser únicos entre bosques/dominios

Para más información e instrucciones específicas sobre cómo configurar una relación de confianza, consulte Creación de una relación de confianza.

Administración del directorio

Tenga en cuenta estas sugerencias para gestionar su directorio.

Seguimiento del rendimiento de su controlador de dominio

Para ayudar a optimizar las decisiones de escalado y mejorar la resiliencia y el rendimiento de los directorios, le recomendamos que utilice CloudWatch métricas. Para obtener más información, consulte Supervisión de sus controladores de dominio con métricas de rendimiento.

Para obtener instrucciones sobre cómo configurar las métricas del controlador de dominio mediante la CloudWatch consola, consulte Cómo automatizar el escalado AWS administrado de Microsoft AD en función de las métricas de uso en el blog AWS de seguridad.

Planifique cuidadosamente las extensiones del esquema

Debe aplicar cuidadosamente las extensiones del esquema para indexar el directorio para las consultas importantes y frecuentes. Tenga cuidado de no sobreindexar el directorio, ya que los índices consumen espacio en el directorio y los valores indexados que cambian rápidamente pueden provocar problemas de desempeño. Para añadir índices, debe crear un archivo de formato ligero de intercambio de directorios (LDIF) del protocolo ligero de acceso a directorios (LDAP) y extender el cambio de esquema. Para obtener más información, consulte Ampliar el esquema.

Acerca de los equilibradores de carga

No utilices un balanceador de carga delante de los puntos finales de Microsoft AD AWS administrados. Microsoft diseñó Active Directory (AD) para su uso con un algoritmo de detección de controladores de dominio (DC) que encuentra el DC operativo con mayor capacidad de respuesta sin balanceo de carga externo. Los balanceadores de carga de red externos detectan incorrectamente los DC activos y pueden hacer que la aplicación se envíe a un DC que se está iniciando, pero que no está listo para su uso. Para obtener más información, consulte Equilibradores de carga y Active Directory en Microsoft, TechNet donde se recomienda corregir las aplicaciones para que usen Active Directory correctamente en lugar de implementar balanceadores de carga externos.

Haga una copia de seguridad de la instancia

Si decide añadir manualmente una instancia a un AWS Directory Service dominio existente, primero haga una copia de seguridad o tome una instantánea de esa instancia. Esto es especialmente importante a la hora de unirse a una instancia de Linux. Algunos de los procedimientos utilizados para agregar una instancia, si no se realizan correctamente, pueden hacer que la instancia resulte inaccesible o inservible. Para obtener más información, consulte Creación de una instantánea o restauración del directorio.

Configuración de la mensajería SNS

Con Amazon Simple Notification Service (Amazon SNS), puede recibir mensajes de correo electrónico o de texto (SMS) cuando cambie el estado del directorio. Se le notificará si el directorio pasa de un estado Activo a Deteriorado o Inoperable. También recibirá una notificación cuando el directorio vuelva a estar en estado activo.

Recuerde también que si tiene un tema de SNS del que recibe mensajes AWS Directory Service, antes de eliminarlo de la consola de Amazon SNS, debe asociar su directorio a un tema de SNS diferente. En caso contrario, se arriesga a perder importantes mensajes de estado del directorio. Para obtener información sobre cómo configurar Amazon SNS, consulte Configurar las notificaciones de estado del directorio con Amazon SNS.

Aplicación de la configuración del servicio de directorio

AWS Microsoft AD administrado le permite personalizar su configuración de seguridad para cumplir con sus requisitos de cumplimiento y seguridad. AWS Microsoft AD administrado implementa y mantiene la configuración en todos los controladores de dominio de su directorio, incluso al agregar nuevas regiones o controladores de dominio adicionales. Puede configurar y aplicar estas opciones de seguridad a todos los directorios nuevos y existentes. Puede hacerlo en la consola siguiendo los pasos de la UpdateSettings API Editar la configuración de seguridad del directorio o a través de ella.

Para obtener más información, consulte Establecimiento de la configuración de seguridad del directorio.

Elimine las aplicaciones de Amazon Enterprise antes de eliminar un directorio

Antes de eliminar un directorio asociado a una o más aplicaciones empresariales de Amazon, WorkSpaces como Amazon WorkSpaces Application Manager, Amazon WorkDocs, Amazon o Amazon WorkMail Relational Database Service (Amazon RDS), primero debe eliminar cada aplicación. AWS Management Console Para obtener más información sobre cómo eliminar estas aplicaciones, consulte Elimine su Microsoft AD AWS administrado.

Utilizar clientes SMB 2.x al acceder a los recursos compartidos SYSVOL y NETLOGON

Los ordenadores cliente utilizan el bloque de mensajes del servidor (SMB) para acceder a los recursos compartidos SYSVOL y NETLOGON en los controladores de dominio gestionados de AWS Microsoft AD para la política de grupo, los scripts de inicio de sesión y otros archivos. AWS Managed Microsoft AD solo es compatible con SMB versión 2.0 (SMBv2) y versiones posteriores.

Los protocolos SMBv2 y versiones más recientes agregan una serie de características que mejoran el rendimiento del cliente y aumentan la seguridad de los controladores de dominio y los clientes. Este cambio sigue las recomendaciones del United Stated Computer Emergency Readiness Team y Microsoft para deshabilitar SMBv1.

importante

Si actualmente utiliza clientes SMBv1 para tener acceso a los recursos compartidos SYSVOL y NETLOGON de su controlador de dominio, debe actualizar esos clientes para utilizar SMBv2 o versiones posteriores. Su directorio funcionará correctamente, pero sus clientes SMBv1 no podrán conectarse a los recursos compartidos SYSVOL y NETLOGON de sus controladores de dominio gestionados de AWS Microsoft AD y tampoco podrán procesar la política de grupo.

Los clientes SMBv1 funcionarán con cualquier otro servidor de archivos compatible con SMBv1 que tenga. Sin embargo, le AWS recomienda que actualice todos sus servidores y clientes SMB a SMBv2 o a una versión más reciente. Para obtener más información sobre cómo deshabilitar SMBv1 y actualizarlo a las versiones SMB más recientes en sus sistemas, consulte estas publicaciones en Microsoft y en la documentación. TechNet Microsoft

Seguimiento de conexiones remotas SMBv1

Puede revisar el registro de eventos de Microsoft-Windows-SMBServer/Audit Windows conectándose de forma remota al controlador de dominio administrado de AWS Microsoft AD; cualquier evento de este registro indica conexiones SMBv1. A continuación se muestra un ejemplo de la información que puede ver en uno de estos registros:

Acceso SMB1

Dirección del cliente: ###.###.###.###

Directrices:

Este evento indica que un cliente intentó acceder al servidor mediante SMB1. Para dejar de auditar el acceso a SMB1, utilice el cmdlet Set-. Windows PowerShell SmbServerConfiguration

Programación de las aplicaciones

Antes de programar sus aplicaciones, tenga en cuenta lo siguiente:

Utilice el servicio de localización de DC de Windows

Al desarrollar aplicaciones, utilice el servicio de localización de Windows DC o el servicio DNS dinámico (DDNS) de su AWS Microsoft AD administrado para localizar los controladores de dominio (DC). No incluya la dirección de un DC en el código de las aplicaciones. El servicio de localización de DC ayuda a garantizar la distribución de la carga de directorios y le permite aprovechar el escalado horizontal añadiendo controladores de dominio a su implementación. Si vincula la aplicación a un DC fijo y se somete a una operación de aplicación de parches o de recuperación a dicho DC, la aplicación perderá el acceso al DC en lugar de utilizar uno de los DC restantes. Además, la inclusión de un DC en el código de la aplicación puede provocar que dicho DC se sobrecargue. En casos graves, esto puede hacer que el DC deje de responder. En estos casos, la automatización de AWS directorios también puede marcar el directorio como dañado y desencadenar procesos de recuperación que sustituyan al DC que no responde.

Pruebas de carga antes de la puesta en producción

Asegúrese de hacer pruebas de laboratorio con objetos y solicitudes que sean representativos de su carga de trabajo de producción para confirmar que el directorio puede adaptarse a la carga de su aplicación. Si necesita capacidad adicional, pruebe con DC adicionales para que las solicitudes se distribuyan entre los DC disponibles. Para obtener más información, consulte Implementación de controladores de dominio adicionales.

Uso de consultas LDAP eficientes

Las consultas amplias de LDAP a un controlador de dominio con decenas de miles de objetos pueden consumir un número importante de ciclos de CPU en un único DC, lo que se traduce en una sobrecarga. Esto podría afectar a las aplicaciones que comparten el mismo DC durante la consulta.