Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik terbaik untuk Microsoft AD yang AWS Dikelola
Berikut adalah beberapa saran dan pedoman yang harus Anda pertimbangkan untuk menghindari masalah dan mendapatkan hasil maksimal dari Microsoft AD yang AWS Dikelola.
Menyiapkan: Prasyarat
Pertimbangkan panduan ini sebelum membuat direktori Anda.
Verifikasikan Anda memiliki jenis direktori yang tepat
AWS Directory Service menyediakan berbagai cara untuk digunakan Microsoft Active Directory dengan AWS layanan lain. Anda dapat memilih directory service dengan fitur yang Anda butuhkan dengan biaya yang sesuai dengan anggaran Anda:
-
AWS Directory Service untuk Microsoft Active Directory adalah pengelola kaya fitur yang Microsoft Active Directory dihosting di cloud. AWS AWS Microsoft AD yang dikelola adalah pilihan terbaik Anda jika Anda memiliki lebih dari 5.000 pengguna dan memerlukan hubungan kepercayaan yang disiapkan antara direktori yang AWS dihosting dan direktori lokal Anda.
-
AD Connector hanya menghubungkan lokal Active Directory Anda yang sudah ada. AWS AD Connector adalah pilihan terbaik Anda saat Anda ingin menggunakan direktori on-premise Anda yang sudah ada dengan layanan AWS .
-
Simple AD adalah direktori berskala rendah dan berbiaya rendah dengan kompatibilitas dasarActive Directory. Ini mendukung 5.000 atau lebih sedikit pengguna, aplikasi yang kompatibel dengan Samba 4, dan LDAP kompatibilitas untuk LDAP aplikasi yang sadar.
Untuk perbandingan AWS Directory Service opsi yang lebih rinci, lihatMana yang harus dipilih.
Pastikan instans VPCs dan instans Anda dikonfigurasi dengan benar
Untuk terhubung ke, mengelola, dan menggunakan direktori Anda, Anda harus mengonfigurasi dengan benar VPCs bahwa direktori terkait. Lihat salah satu AWS Prasyarat Microsoft AD yang dikelolaPrasyarat AD Connector,, atau Prasyarat Simple AD untuk informasi tentang persyaratan VPC keamanan dan jaringan.
Jika Anda menambahkan instans ke domain Anda, pastikan bahwa Anda memiliki konektivitas dan akses jarak jauh ke instans Anda seperti yang dijelaskan di Bergabunglah dengan EC2 instans Amazon ke Anda AWS Microsoft AD yang Dikelola Active Directory.
Ketahui batasan Anda
Pelajari tentang berbagai batasan untuk jenis direktori spesifik Anda. Penyimpanan yang tersedia dan ukuran agregat objek Anda adalah satu-satunya keterbatasan terkait jumlah objek yang dapat Anda simpan dalam direktori Anda. Lihat AWS Kuota Microsoft AD yang dikelola, Kuota AD Connector, atau Kuota Simple AD untuk detail tentang direktori pilihan Anda.
Pahami konfigurasi grup AWS keamanan direktori Anda dan gunakan
AWS membuat grup keamanan dan melampirkannya ke antarmuka jaringan elastis pengontrol domain direktori Anda. Grup keamanan ini memblokir lalu lintas yang tidak perlu untuk pengendali domain dan memungkinkan lalu lintas yang diperlukan untuk komunikasi Direktori Aktif. AWS
mengonfigurasi grup keamanan untuk membuka hanya port-port yang diperlukan untuk komunikasi Direktori Aktif. Dalam konfigurasi default, grup keamanan menerima lalu lintas ke port ini dari VPC IPv4 CIDR alamat AD Microsoft yang AWS Dikelola. AWS melampirkan grup keamanan ke antarmuka pengontrol domain Anda yang dapat diakses dari dalam peered atau diubah ukurannya. VPCs
Memodifikasi grup keamanan direktori
Jika Anda ingin meningkatkan keamanan dari grup keamanan direktori Anda, Anda dapat memodifikasi mereka untuk menerima lalu lintas dari daftar alamat IP yang lebih ketat. Misalnya, Anda dapat mengubah alamat yang diterima dari VPC IPv4 CIDR rentang Anda ke CIDR rentang yang khusus untuk satu subnet atau komputer. Demikian pula, Anda dapat memilih untuk membatasi alamat tujuan yang di mana pengendali domain Anda bisa berkomunikasi. Hanya buat perubahan tersebut jika Anda sepenuhnya memahami cara kerja filter grup keamanan. Untuk informasi selengkapnya, lihat Grup EC2 keamanan Amazon untuk instans Linux di Panduan EC2 Pengguna Amazon. Perubahan yang tidak tepat dapat mengakibatkan hilangnya komunikasi ke komputer dan instance yang dituju. AWS merekomendasikan agar Anda tidak mencoba membuka port tambahan ke pengontrol domain karena ini mengurangi keamanan direktori Anda. Harap tinjau dengan seksama Model Tanggung Jawab Bersama AWS
Awas
Secara teknis dimungkinkan bagi Anda untuk mengaitkan grup keamanan, yang digunakan direktori Anda, dengan EC2 contoh lain yang Anda buat. Namun, AWS merekomendasikan untuk tidak melakukan praktik ini. AWS mungkin memiliki alasan untuk memodifikasi grup keamanan tanpa pemberitahuan untuk mengatasi kebutuhan fungsional atau keamanan direktori terkelola. Perubahan tersebut mempengaruhi setiap instans yang Anda asosiasikan dengan grup keamanan direktori. Selain itu, mengaitkan grup keamanan direktori dengan EC2 instans Anda menciptakan potensi risiko keamanan untuk instans AndaEC2. Grup keamanan direktori menerima lalu lintas pada port Direktori Aktif yang diperlukan dari VPC IPv4 CIDR alamat AD Microsoft yang AWS Dikelola. Jika Anda mengaitkan Grup Keamanan ini dengan EC2 instance yang memiliki alamat IP publik yang dilampirkan ke internet, maka komputer mana pun di internet dapat berkomunikasi dengan EC2 instans Anda di port yang dibuka.
Pengaturan: Membuat direktori Anda
Berikut adalah beberapa saran untuk dipertimbangkan saat Anda membuat direktori Anda.
Ingat ID dan kata sandi administrator Anda
Saat mengatur direktori Anda, Anda memberikan kata sandi untuk akun administrator. ID akun tersebut adalah Admin untuk Microsoft AD yang AWS Dikelola. Ingat kata sandi yang Anda buat untuk akun ini; jika tidak, Anda tidak akan dapat menambahkan objek ke direktori Anda.
Buat set DHCP opsi
Kami menyarankan Anda membuat set DHCP opsi untuk AWS Directory Service direktori Anda dan menetapkan DHCP opsi VPC yang disetel ke direktori Anda. Dengan begitu, setiap instance yang VPC dapat mengarah ke domain yang ditentukan, dan DNS server dapat menyelesaikan nama domain mereka.
Untuk informasi selengkapnya tentang kumpulan DHCP opsi, lihatMembuat atau Mengubah set DHCP opsi.
Aktifkan Pengaturan Forwarder Bersyarat
Pengaturan penerusan bersyarat berikut Simpan forwarder bersyarat ini di Active Directory, replikasi sebagai berikut: harus diaktifkan. Mengaktifkan pengaturan ini akan mencegah pengaturan forwarder bersyarat menghilang ketika node diganti karena kegagalan infrastruktur atau kegagalan kelebihan beban.
Men-deploy pengendali domain tambahan
Secara default, AWS buat dua pengontrol domain yang ada di Availability Zone terpisah. Hal ini memberikan ketahanan kesalahan selama patch perangkat lunak dan peristiwa lain yang dapat membuat satu pengendali domain tidak terjangkau atau tidak tersedia. Kami merekomendasikan Anda men-deploy pengendali domain tambahan untuk lebih meningkatkan ketahanan dan memastikan performa menskalakan keluar dalam peristiwa dari peristiwa jangka panjang yang mempengaruhi akses ke pengendali domain atau Availability Zone.
Untuk informasi selengkapnya, lihat Menggunakan layanan locator Windows DC.
Memahami pembatasan nama pengguna untuk aplikasi AWS
AWS Directory Service memberikan dukungan untuk sebagian besar format karakter yang dapat digunakan dalam pembangunan nama pengguna. Namun, ada batasan karakter yang diberlakukan pada nama pengguna yang akan digunakan untuk masuk ke AWS aplikasi, seperti, Amazon, WorkSpaces WorkDocs Amazon WorkMail, atau Amazon. QuickSight Pembatasan ini mengharuskan karakter berikut tidak digunakan:
-
Spasi
-
Karakter multibyte
-
!"#$%&'()*+,/:;<=>?@[\]^`{|}~
catatan
Simbol @ diperbolehkan selama itu mendahului UPN akhiran.
Menggunakan direktori Anda
Berikut adalah beberapa saran yang perlu diingat saat menggunakan direktori Anda.
Jangan mengubah pengguna, grup, dan unit organisasi yang telah ditetapkan
Saat Anda menggunakan AWS Directory Service untuk meluncurkan direktori, AWS buat unit organisasi (OU) yang berisi semua objek direktori Anda. OU ini, yang memiliki BIOS nama Net yang Anda ketik ketika Anda membuat direktori Anda, terletak di root domain. Root domain dimiliki dan dikelola oleh AWS. Beberapa grup dan pengguna administratif juga dibuat.
Jangan memindahkan, menghapus atau dengan cara lain mengubah objek yang telah ditetapkan. Melakukannya dapat membuat direktori Anda tidak dapat diakses oleh Anda sendiri dan AWS. Untuk informasi selengkapnya, lihat Apa yang diciptakan dengan Anda AWS Microsoft AD yang Dikelola .
Gabung domain secara otomatis
Saat meluncurkan instance Windows yang akan menjadi bagian dari AWS Directory Service domain, seringkali paling mudah untuk bergabung dengan domain sebagai bagian dari proses pembuatan instance daripada menambahkan instance secara manual nanti. Untuk menggabungkan domain secara otomatis, cukup pilih direktori yang benar untuk Direktori penggabungan domain saat meluncurkan instans baru. Anda dapat menemukan detailnya di Bergabunglah dengan instans Amazon EC2 Windows dengan mulus AWS Microsoft AD yang Dikelola Active Directory.
Atur kepercayaan dengan benar
Saat menyiapkan hubungan kepercayaan antara direktori Microsoft AD AWS Terkelola dan direktori lain, perhatikan panduan ini:
-
Jenis kepercayaan harus cocok di kedua sisi (Forest atau Eksternal)
-
Pastikan arah kepercayaan diatur dengan benar jika menggunakan kepercayaan satu arah (Keluar pada domain terpercaya, Masuk pada domain terpercaya)
-
Baik nama domain yang memenuhi syarat (FQDNs) dan BIOS nama Net harus unik di antara hutan/domain
Untuk detail selengkapnya dan petunjuk spesifik tentang cara mengatur hubungan kepercayaan, lihat Menciptakan hubungan kepercayaan.
Mengelola direktori Anda
Pertimbangkan saran ini untuk mengelola direktori Anda.
Lacak kinerja pengontrol domain Anda
Untuk membantu mengoptimalkan keputusan penskalaan dan meningkatkan ketahanan dan kinerja direktori, sebaiknya gunakan metrik. CloudWatch Untuk informasi selengkapnya, lihat Pantau pengontrol domain Anda dengan metrik kinerja.
Untuk petunjuk tentang cara mengatur metrik pengontrol domain menggunakan CloudWatch konsol, lihat Cara mengotomatiskan penskalaan AWS Microsoft AD Terkelola berdasarkan metrik pemanfaatan di
Berhati-hati merancang ekstensi skema
Terapkan ekstensi skema dengan cermat untuk mengindeks direktori Anda untuk kueri yang penting dan sering. Berhati-hati untuk tidak over-indeks direktori karena indeks mengkonsumsi ruang direktori dan dengan cepat mengubah nilai-nilai yang diindeks dapat mengakibatkan masalah performa. Untuk menambahkan indeks, Anda harus membuat file Lightweight Directory Access Protocol (LDAP) Directory Interchange Format (LDIF) dan memperpanjang perubahan skema Anda. Untuk informasi selengkapnya, lihat Perpanjang skema Anda.
Tentang penyeimbang beban
Jangan gunakan penyeimbang beban di depan titik akhir Microsoft AD yang AWS Dikelola. Microsoft dirancang Direktori Aktif (AD) untuk digunakan dengan pengendali domain (DC) penemuan algoritme yang menemukan DC operasional paling responsif tanpa eksternal penyeimbangan beban. Penyeimbang beban jaringan eksternal mendeteksi aktif secara tidak akurat DCs dan dapat mengakibatkan aplikasi Anda dikirim ke DC yang akan muncul tetapi tidak siap untuk digunakan. Untuk informasi selengkapnya, lihat Load balancer dan Active Directory
Buat backup instans Anda
Jika Anda memutuskan untuk menambahkan instance secara manual ke AWS Directory Service domain yang ada, buat cadangan atau ambil snapshot dari instance tersebut terlebih dahulu. Hal ini sangat penting ketika menggabungkan instans Linux. Beberapa prosedur digunakan untuk menambahkan instans, jika tidak dilakukan dengan benar, dapat membuat instans Anda tidak terjangkau atau tidak dapat digunakan. Untuk informasi selengkapnya, lihat Snapshot atau pulihkan direktori Anda.
Mengatur SNS pesan
Dengan Amazon Simple Notification Service (AmazonSNS), Anda dapat menerima pesan email atau teks (SMS) saat status direktori Anda berubah. Anda akan diberi tahu jika direktori Anda berjalan dari status Aktif ke status Gangguan atau Tidak bisa dioperasi. Anda juga menerima notifikasi ketika direktori kembali ke status Aktif.
Juga ingat bahwa jika Anda memiliki SNS topik yang menerima pesan dari AWS Directory Service, sebelum menghapus topik itu dari SNS konsol Amazon, Anda harus mengaitkan direktori Anda dengan SNS topik yang berbeda. Jika tidak, Anda berisiko kehilangan pesan status direktori penting. Untuk informasi tentang cara mengatur AmazonSNS, lihatKonfigurasikan pemberitahuan status direktori dengan Amazon SNS.
Terapkan pengaturan layanan direktori
AWS Microsoft AD yang dikelola memungkinkan Anda menyesuaikan konfigurasi keamanan untuk memenuhi persyaratan kepatuhan dan keamanan Anda. AWS Microsoft AD yang dikelola menyebarkan dan memelihara konfigurasi ke semua pengontrol domain di direktori Anda, termasuk saat menambahkan wilayah baru atau pengontrol domain tambahan. Anda dapat mengonfigurasi dan menerapkan pengaturan keamanan ini untuk semua direktori baru dan yang sudah ada. Anda dapat melakukan ini di konsol dengan mengikuti langkah-langkah di dalam Edit pengaturan keamanan direktori atau melalui UpdateSettings API.
Untuk informasi selengkapnya, lihat Konfigurasikan pengaturan keamanan direktori.
Hapus aplikasi Amazon Enterprise sebelum menghapus direktori
Sebelum menghapus direktori yang terkait dengan satu atau beberapa Aplikasi Amazon Enterprise seperti,, Amazon WorkSpaces Application Manager WorkSpaces, Amazon, Amazon WorkDocs WorkMail AWS Management Console, atau Amazon Relational Database Service (RDSAmazon), Anda harus terlebih dahulu menghapus setiap aplikasi. Untuk informasi selengkapnya untuk cara menghapus aplikasi ini, lihat Menghapus iklan Microsoft yang AWS Dikelola.
Gunakan klien SMB 2.x saat mengakses dan berbagi SYSVOL NETLOGON
Komputer klien menggunakan Blok Pesan Server (SMB) untuk mengakses SYSVOL dan NETLOGON berbagi pada pengontrol domain Microsoft AD AWS Terkelola untuk Kebijakan Grup, skrip login, dan file lainnya. AWS Microsoft AD yang dikelola hanya mendukung SMB versi 2.0 (SMBv2) dan yang lebih baru.
Protokol versi yang lebih baru menambahkan sejumlah fitur yang meningkatkan kinerja klien dan meningkatkan keamanan pengontrol domain dan klien Anda. SMBv2 Perubahan ini mengikuti rekomendasi oleh Tim Kesiapan Darurat Komputer Amerika Serikat
penting
Jika saat ini Anda menggunakan SMBv1 klien untuk mengakses SYSVOL dan NETLOGON berbagi pengontrol domain Anda, Anda harus memperbarui klien tersebut untuk digunakan SMBv2 atau yang lebih baru. Direktori Anda akan berfungsi dengan benar tetapi SMBv1 klien Anda akan gagal untuk terhubung ke SYSVOL dan NETLOGON berbagi pengontrol domain Microsoft AD AWS Terkelola Anda, dan juga tidak akan dapat memproses Kebijakan Grup.
SMBv1klien akan bekerja dengan server file SMBv1 kompatibel lainnya yang Anda miliki. Namun, AWS merekomendasikan agar Anda memperbarui semua SMB server dan klien Anda ke SMBv2 atau yang lebih baru. Untuk mempelajari selengkapnya tentang menonaktifkan SMBv1 dan memperbaruinya ke SMB versi yang lebih baru di sistem Anda, lihat postingan ini di Microsoft TechNet
Melacak Koneksi SMBv1 Jarak Jauh
Anda dapat meninjau log Peristiwa Microsoft Windows- SMBServer /Audit Windows dari jarak jauh yang menghubungkan ke pengontrol domain AWS Microsoft AD Terkelola, setiap peristiwa dalam log ini menunjukkan koneksi. SMBv1 Berikut adalah contoh informasi yang mungkin Anda lihat di salah satu log berikut:
SMB1akses
Alamat Klien: ###.#####. ###
Bimbingan:
Peristiwa ini menunjukkan bahwa klien mencoba mengakses server menggunakanSMB1. Untuk menghentikan SMB1 akses audit, gunakan Windows PowerShell cmdlet Set-. SmbServerConfiguration
Memprogram aplikasi Anda
Sebelum memprogram aplikasi Anda, pertimbangkan hal berikut:
Menggunakan layanan locator Windows DC
Saat mengembangkan aplikasi, gunakan layanan pencari lokasi Windows DC atau gunakan layanan Dynamic DNS (DDNS) dari Microsoft AD yang AWS Dikelola untuk menemukan pengontrol domain ()DCs. Jangan hard code aplikasi dengan alamat DC. Layanan locator DC membantu memastikan beban direktori didistribusikan dan memungkinkan Anda untuk mengambil keuntungan dari penskalaan horizontal dengan menambahkan pengendali domain untuk deployment Anda. Jika Anda mengikat aplikasi Anda ke DC tetap dan DC mengalami penambalan atau pemulihan, aplikasi Anda akan kehilangan akses ke DC alih-alih menggunakan salah satu yang tersisa. DCs Selain itu, hard coding DC dapat mengakibatkan hot spotting pada DC tunggal. Pada kasus yang parah, hot spotting dapat menyebabkan DC Anda menjadi tidak responsif. Kasus seperti itu juga dapat menyebabkan otomatisasi AWS direktori menandai direktori sebagai terganggu dan dapat memicu proses pemulihan yang menggantikan DC yang tidak responsif.
Muat tes sebelum diluncurkan ke produksi
Pastikan untuk melakukan pengujian laboratorium dengan aplikasi dan permintaan yang mewakili beban kerja produksi Anda untuk mengonfirmasi bahwa direktori menskalakan ke beban aplikasi Anda. Jika Anda memerlukan kapasitas tambahan, uji dengan tambahan DCs saat mendistribusikan permintaan di antara. DCs Untuk informasi selengkapnya, lihat Men-deploy pengendali domain tambahan.
Gunakan LDAP kueri yang efisien
LDAPKueri luas ke pengontrol domain di puluhan ribu objek dapat mengkonsumsi CPU siklus yang signifikan dalam satu DC, menghasilkan hot spotting. Hal ini dapat mempengaruhi aplikasi yang berbagi DC yang sama selama kueri.
