Procedure consigliate per AWS Managed Microsoft AD - AWS Directory Service
Configurazione: prerequisitiConfigurazione: creazione della directoryUtilizzo della directoryGestione della directoryProgrammazione delle applicazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Procedure consigliate per AWS Managed Microsoft AD

Ecco alcuni suggerimenti e linee guida da prendere in considerazione per evitare problemi e ottenere il massimo da AWS Managed Microsoft AD.

Configurazione: prerequisiti

Tieni presenti queste linee guida prima di creare la directory.

Verifica di avere il tipo di directory corretto

AWS Directory Service offre diverse modalità di utilizzo con altri AWS servizi. Puoi scegliere il servizio di directory con le caratteristiche di cui hai bisogno a un costo che si adatta al tuo budget:

  • AWS Directory Service per Microsoft Active Directory è un servizio gestito ricco di funzionalità ospitato sul AWS cloud. AWS Microsoft AD gestito è la scelta migliore se hai più di 5.000 utenti e hai bisogno di impostare una relazione di fiducia tra una directory AWS ospitata e le directory locali.

  • AD Connector collega semplicemente il tuo locale esistente Active Directory a AWS. Il connettore AD rappresenta la scelta migliore quando vuoi utilizzare la tua directory on-premise esistente tramite i servizi AWS .

  • Simple AD è una directory a basso costo e a basso costo con compatibilità di baseActive Directory. Supporta fino a 5.000 utenti, applicazioni compatibili con Samba 4 e compatibilità LDAP per applicazioni compatibili con LDAP.

Per un confronto più dettagliato delle AWS Directory Service opzioni, consulta. Quale scegliere

Verifica che i VPC e le istanze siano configurati correttamente

Per gestire, utilizzare e connetterti alle directory, è necessario configurare correttamente i VPC ai quali sono associate le directory. Consulta AWS Prerequisiti Microsoft AD gestiti, Prerequisiti di AD Connector o Prerequisiti di Simple AD per informazioni sulla sicurezza del VPC e sui requisiti di rete.

Se aggiungi un'istanza al dominio, assicurati di disporre della connessione e dell'accesso remoto all'istanza, come descritto in Unisci un'istanza Amazon EC2 alla tua directory gestita di AWS Microsoft AD Active Directory.

Sii consapevole dei limiti

Scopri i vari limiti per il tuo tipo di directory specifico. Lo spazio di archiviazione disponibile e la dimensione aggregata degli oggetti sono le uniche limitazioni al numero di oggetti che puoi archiviare nella directory. Consulta, Quote Microsoft AD gestito da AWS, Quote di AD Connector o Quote di Simple AD per maggiori dettagli sulla directory scelta.

Comprendi la configurazione e l'utilizzo del gruppo di AWS sicurezza della tua directory

AWS crea un gruppo di sicurezza e lo collega alle interfacce di rete elastiche del controller di dominio della directory. Questo gruppo di sicurezza blocca il traffico non necessario verso il controller di dominio e consente il traffico necessario per le comunicazioni con Active Directory. AWS configura il gruppo di sicurezza per aprire solo le porte necessarie per le comunicazioni con Active Directory. Nella configurazione predefinita, il gruppo di sicurezza accetta il traffico verso queste porte da qualsiasi indirizzo IP. AWS collega il gruppo di sicurezza alle interfacce dei controller di dominio accessibili dai tuoi VPC peerizzati o ridimensionati. Queste interfacce sono inaccessibili da Internet anche se modifichi le tabelle di routing, le connessioni di rete al VPC e configuri il servizio gateway NAT. In questo modo, solo le istanze e i computer che dispongono di un percorso di rete al VPC possono accedere alla directory. Questo semplifica la configurazione, evitando la necessità di configurare intervalli di indirizzi specifici. Al contrario, puoi configurare route e gruppi di sicurezza nel VPC che consentano il traffico solo da istanze e computer affidabili.

Modifica del gruppo di sicurezza della directory

Se desideri aumentare la sicurezza dei gruppi di sicurezza delle directory, puoi modificarli affinché accettino traffico da un elenco di indirizzi IP più restrittivo. Ad esempio, puoi modificare gli indirizzi accettati da 0.0.0.0/0 a un intervallo CIDR specifico di una sottorete o un computer singoli. Analogamente, puoi scegliere di limitare gli indirizzi di destinazione con i quali i controller di dominio possono comunicare. Apporta tali modifiche solo se hai compreso a pieno come funziona il filtraggio del gruppo di sicurezza. Per ulteriori informazioni, consulta Gruppi di sicurezza Amazon EC2 per le istanze Linux nella Guida per l'utente di Amazon EC2. Modifiche improprie possono causare la perdita delle comunicazioni con i computer e le istanze previsti. AWS consiglia di non tentare di aprire porte aggiuntive al controller di dominio in quanto ciò riduce la sicurezza della directory. Verifica attentamente il modello di responsabilità condivisa di AWS.

avvertimento

Tecnicamente, hai la possibilità di associare i gruppi di sicurezza utilizzati dalla directory ad altre istanze EC2 da te create. Tuttavia, AWS sconsiglia questa pratica. AWS può avere motivi per modificare il gruppo di sicurezza senza preavviso per soddisfare le esigenze funzionali o di sicurezza della directory gestita. Tali modifiche coinvolgono tutte le istanze alle quali hai associato il gruppo di sicurezza della directory. Inoltre, associare il gruppo di sicurezza della directory alle istanze EC2 crea un potenziale rischio per la sicurezza per le istanze EC2. Il gruppo di sicurezza della directory accetta traffico sulle porte Active Directory necessarie proveniente da qualsiasi indirizzo IP. Se associ tale gruppo di sicurezza a un'istanza EC2 che dispone di un indirizzo IP pubblico collegato a Internet, qualsiasi computer su Internet può comunicare con l'istanza EC2 sulle porte aperte.

Configurazione: creazione della directory

Di seguito sono elencati alcuni suggerimenti da considerare durante la creazione della directory.

Ricorda l'ID amministratore e la password

Quando configuri la directory, fornisci una password per l'account amministratore. L'ID dell'account è Admin for AWS Managed Microsoft AD. Ricorda la password creata per questo account; altrimenti sarai in grado di aggiungere oggetti alla directory.

Creazione di un set di opzioni DHCP

Ti consigliamo di creare un set di opzioni DHCP per la tua AWS Directory Service directory e di assegnare le opzioni DHCP impostate al VPC in cui si trova la directory. Questo permette alle istanze in tale VPC di puntare al dominio specificato, mentre i server DNS possono risolvere i propri nomi di dominio.

Per ulteriori informazioni sui set opzioni DHCP, consulta Creazione di un set di opzioni DHCP.

Abilita l'impostazione condizionale del forwarder

Le seguenti impostazioni di inoltro condizionale Archivia questo server d'inoltro condizionale in Active Directory, esegui la replica come segue: dovrebbe essere abilitato. L'attivazione di queste impostazioni impedirà che l'impostazione del forwarder condizionale scompaia quando un nodo viene sostituito a causa di un guasto dell'infrastruttura o di un sovraccarico.

Distribuzione di controller di dominio aggiuntivi

Per impostazione predefinita, AWS crea due controller di dominio che esistono in zone di disponibilità separate. Ciò fornisce resilienza ai guasti durante l'applicazione di patch software e altri eventi che potrebbero rendere un controller di dominio irraggiungibile o non disponibile. Ti consigliamo di distribuire controller di dominio aggiuntivi per aumentare ulteriormente la resilienza e garantire prestazioni di scalabilità orizzontale in caso di un evento a lungo termine che influisce sull'accesso a un controller di dominio o a una zona di disponibilità.

Per ulteriori informazioni, consulta Utilizzo del servizio di localizzazione DC di Windows.

Informazioni sulle limitazioni per il nome utente delle applicazioni AWS

AWS Directory Service fornisce il supporto per la maggior parte dei formati di caratteri che possono essere utilizzati nella costruzione di nomi utente. Tuttavia, vengono applicate restrizioni sui caratteri ai nomi utente che verranno utilizzati per l'accesso ad AWS applicazioni, come WorkSpaces Amazon WorkMail, WorkDocs Amazon o Amazon. QuickSight Queste limitazioni richiedono che non vengano utilizzati i seguenti caratteri:

  • Spazi

  • Caratteri multibyte

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

Nota

Il simbolo @ è consentito purché preceda un suffisso UPN.

Utilizzo della directory

Di seguito sono elencati alcuni suggerimenti da tenere a mente quando utilizzi la directory.

Non modificare utenti, gruppi e unità organizzative predefiniti

Quando si utilizza AWS Directory Service per avviare una directory, AWS crea un'unità organizzativa (OU) che contiene tutti gli oggetti della directory. Questa unità organizzativa, che ha lo stesso nome NetBIOS che hai digitato al momento della creazione della directory, si trova nella radice del dominio. La radice del dominio è di proprietà e gestita da AWS. Vengono creati anche diversi gruppi e un utente amministrativo.

Non spostare, eliminare o modificare in qualsiasi altro modo questi oggetti predefiniti. In questo modo potresti rendere la tua directory inaccessibile sia a te che a. AWS Per ulteriori informazioni, consulta Cosa viene creato con AWS Managed Microsoft AD Active Directory.

Unisci i domini automaticamente

Quando si avvia un'istanza di Windows che deve far parte di un AWS Directory Service dominio, spesso è più semplice aggiungere l'istanza al dominio come parte del processo di creazione dell'istanza piuttosto che aggiungere manualmente l'istanza in un secondo momento. Per unire un dominio automaticamente, semplicemente seleziona la directory corretta in Domain join directory (Directory aggiunta dominio) quando avvii una nuova istanza. Puoi trovare i dettagli in Unisci senza problemi un'istanza Windows di Amazon EC2 al tuo AWS Managed Microsoft AD Active Directory.

Configura i trust correttamente

Quando si imposta una relazione di trust tra la directory AWS Managed Microsoft AD e un'altra directory, è necessario tenere presenti queste linee guida:

  • Il tipo di trust deve corrispondere su entrambi i lati (foresta o esterno)

  • Assicurarsi che la direzione di trust sia impostata correttamente se si utilizza un trust unidirezionale (In uscita su dominio trusting, In entrata su dominio trusted)

  • Sia i nomi di dominio completo (FQDN) sia i nomi NetBIOS devono essere univoci tra foreste e domini

Per ulteriori dettagli e istruzioni specifiche su come configurare una relazione di trust, consulta Creazione di una relazione di trust.

Gestione della directory

Considera questi suggerimenti per gestire la directory.

Tieni traccia delle prestazioni del controller di dominio

Per ottimizzare le decisioni di scalabilità e migliorare la resilienza e le prestazioni delle directory, si consiglia di utilizzare CloudWatch le metriche. Per ulteriori informazioni, consulta Monitorare i controller di dominio con parametri delle prestazioni.

Per istruzioni su come configurare le metriche dei controller di dominio utilizzando la CloudWatch console, vedi Come automatizzare il ridimensionamento gestito di AWS Microsoft AD in base alle metriche di utilizzo nel Security Blog. AWS

Pianificazione delle estensioni dello schema

Applica con attenzione le estensioni dello schema per indicizzare le directory per le query importanti e frequenti. Ti consigliamo di non eseguire un numero eccessivo di indicizzazioni poiché gli indici occupano rapidamente lo spazio della directory e una modifica rapida dei valori indicizzati può essere la causa di eventuali problemi di prestazioni. Per aggiungere indici, è necessario creare un file a LDIF (Directory Interchange Format) per LDAP (Lightweight Directory Access Protocol ) ed estendere la modifica dello schema. Per ulteriori informazioni, consulta Estensione dello schema.

Informazioni sui sistemi di bilanciamento del carico

Non utilizzare un sistema di bilanciamento del carico davanti agli endpoint Microsoft AD AWS gestiti. Microsoft Active Directory (AD) è stata progettata per essere utilizzata con un algoritmo di individuazione dei controller dei domini (DC) per individuare quelli più reattivi senza il bilanciamento del carico esterno. I Network Load Balancer esterni rilevano in modo inaccurato i DC attivi e possono essere la causa dell'invio della tua applicazione a un DC previsto ma non ancora pronto per l'utilizzo. Per ulteriori informazioni, consulta Load balancer e Active Directory su Microsoft, TechNet che consiglia di correggere le applicazioni per utilizzare Active Directory correttamente anziché implementare bilanciamenti del carico esterni.

Fai un backup dell'istanza

Se decidi di aggiungere manualmente un'istanza a un AWS Directory Service dominio esistente, esegui prima un backup o scatta un'istantanea di quell'istanza. Ciò è particolarmente importante quando aggiungi un'istanza Linux. Alcune delle procedure utilizzate per aggiungere un'istanza, se non vengono eseguite correttamente, possono rendere l'istanza non raggiungibile o inutilizzabile. Per ulteriori informazioni, consulta Snapshot o ripristino della directory.

Configura la messaggistica SNS

Tramite Amazon Simple Notification Service (Amazon SNS), puoi ricevere messaggi e-mail o di testo (SMS) quando lo stato della directory cambia. Riceverai una notifica se la directory passa dallo stato Active (Attivo) agli stati Impaired (Insufficiente) o Inoperable (Inutilizzabile). Puoi anche ricevere una notifica quando la directory torna a uno stato Active (Attivo).

Ricorda inoltre che se hai un argomento SNS da cui riceve messaggi AWS Directory Service, prima di eliminarlo dalla console Amazon SNS, devi associare la tua directory a un argomento SNS diverso. In caso contrario, rischi di non ricevere importanti messaggi sullo stato della directory. Per informazioni su come configurare Amazon SNS, consulta Configura le notifiche sullo stato delle directory con Amazon SNS.

Applica le impostazioni del servizio di directory

AWS Microsoft AD gestito consente di personalizzare la configurazione di sicurezza per soddisfare i requisiti di conformità e sicurezza. AWS Microsoft AD gestito distribuisce e mantiene la configurazione su tutti i controller di dominio nella directory, anche quando si aggiungono nuove aree o controller di dominio aggiuntivi. È possibile configurare e applicare queste impostazioni di sicurezza per tutte le directory nuove ed esistenti. Puoi eseguire questa operazione nella console seguendo i passaggi inclusi Modifica delle impostazioni di sicurezza della directory o tramite l'API. UpdateSettings

Per ulteriori informazioni, consulta Configurazione delle impostazioni di sicurezza della directory.

Rimozione delle applicazioni Amazon Enterprise prima di eliminare una directory

Prima di eliminare una directory associata a una o più applicazioni Amazon Enterprise come Amazon WorkSpaces Application Manager WorkSpaces, Amazon WorkDocs, Amazon o Amazon WorkMail Relational Database Service (Amazon RDS), devi prima rimuovere ogni applicazione. AWS Management Console Per ulteriori informazioni su come rimuovere queste applicazioni, consulta Elimina il tuo AWS Managed Microsoft AD.

Utilizzo dei client SMB 2.x quando si accede alle condivisioni SYSVOL e NETLOGON

I computer client utilizzano Server Message Block (SMB) per accedere alle condivisioni SYSVOL e NETLOGON sui controller di dominio AWS Microsoft AD gestiti per Criteri di gruppo, script di accesso e altri file. AWS Microsoft AD gestito supporta solo la versione SMB 2.0 (SMBv2) e successive.

I protocolli SMBv2 e le versioni successive aggiungono una serie di caratteristiche che migliorano le prestazioni dei client e aumentano la sicurezza dei controller di dominio e dei client. Questa modifica segue le raccomandazioni di United States Computer Emergency Readiness Team (US-CERT) e di Microsoft per disabilitare il protocollo SMBv1.

Importante

Se attualmente si utilizzano client SMBv1 per accedere alle condivisioni SYSVOL e NETLOGON del controller di dominio, è necessario aggiornare tali client per utilizzare SMBv2 o una versione più recente. La directory funzionerà correttamente, ma i client SMBv1 non riusciranno a connettersi alle condivisioni SYSVOL e NETLOGON dei controller di dominio Microsoft AD AWS gestiti e non saranno inoltre in grado di elaborare i criteri di gruppo.

I client SMBv1 funzioneranno con tutti i file server compatibili con SMBv1 di cui dispone l'utente. Tuttavia, si AWS consiglia di aggiornare tutti i server e client SMB a SMBv2 o versioni successive. Per ulteriori informazioni sulla disabilitazione di SMBv1 e sull'aggiornamento alle versioni SMB più recenti sui sistemi, consulta questi post su Microsoft and Support. TechNet

Tracciamento delle connessioni remote SMBv1

È possibile esaminare il registro eventi di Microsoft-Windows-SMBServer/Audit Windows collegandosi in remoto al controller di dominio AWS Microsoft AD gestito, tutti gli eventi in questo registro indicano connessioni SMBv1. Di seguito è riportato un esempio delle informazioni che è possibile visualizzare in uno di questi log:

Accesso SMB1

Indirizzo client: ###.###.###.###

Linee guida:

Questo evento indica che un client ha tentato di accedere al server utilizzando SMB1. Per interrompere il controllo dell'accesso Windows PowerShell SMB1, utilizzare SmbServerConfiguration il cmdlet Set-.

Programmazione delle applicazioni

Prima di programmare le applicazioni, valuta quanto segue:

Utilizzo del servizio di localizzazione DC di Windows

Durante lo sviluppo di applicazioni, utilizza il servizio di localizzazione di Windows DC o il servizio DNS dinamico (DDNS) di Managed AWS Microsoft AD per individuare i controller di dominio (DC). Non effettuare l'hard coding delle applicazioni con l'indirizzo di un DC. Il servizio di localizzazione DC garantisce che il carico della directory venga distribuito e ti consente di sfruttare i vantaggi della scalabilità orizzontale aggiungendo i controller dei domini alla distribuzione. Se associ l'applicazione a un DC fisso e si deve applicare una patch o eseguire una procedura di ripristino, l'applicazione perde l'accesso al DC e non utilizza uno dei DC restanti. Inoltre, l'hard coding di un DC può provocare la creazione di "hot spot" su un solo DC. In casi gravi, gli hot spot possono provocare un blocco del DC. In questi casi è inoltre possibile che l'automazione delle AWS directory contrassegni la directory come compromessa e avviare processi di ripristino che sostituiscono il controller di dominio che non risponde.

Esecuzione di test di caricamento prima della produzione

Assicurati di effettuare test di laboratorio con gli oggetti e le richieste più importanti del tuo carico di lavoro di produzione per confermare che la directory si adatti al carico dell'applicazione. Qualora fosse necessaria una maggiore capacità, prova altri DC mentre distribuisci le richieste tra i vari DC. Per ulteriori informazioni, consulta Distribuzione di controller di dominio aggiuntivi.

Utilizzo delle query LDAP

Query LDAP estese su un controller di dominio e decine di migliaia di oggetti possono consumare cicli di CPU significativi in un singolo DC e generare così hot spot. L'operazione potrebbe incidere sulle applicazioni che condividono lo stesso DC durante la query.