Práticas recomendadas para o AD Connector - AWS Directory Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas para o AD Connector

Estas são algumas sugestões e orientações que devem ser consideradas para evitar problemas e aproveitar ao máximo o AD Connector.

Configuração: pré-requisitos

Considere essas diretrizes antes de criar seu diretório.

Verifique se você tem o tipo de diretório correto

AWS Directory Service fornece várias maneiras de usar Microsoft Active Directory com outros AWS serviços. Você pode escolher o serviço de diretório com os recursos necessários a um custo que caiba em seu orçamento:

  • AWS O Directory Service for Microsoft Active Directory é um serviço gerenciado rico em recursos Microsoft Active Directory hospedado na AWS nuvem. AWS O Microsoft AD gerenciado é sua melhor opção se você tiver mais de 5.000 usuários e precisar de uma relação de confiança configurada entre um diretório AWS hospedado e seus diretórios locais.

  • O AD Connector simplesmente conecta seu local existente Active Directory a. AWS O AD Connector é a melhor opção quando você deseja usar seu diretório on-premises existente com os serviços da AWS .

  • Simple AD é um diretório de baixa escala e baixo custo com compatibilidade básicaActive Directory. Ele oferece suporte a até 5.000 usuários, aplicações compatíveis com Samba 4 e compatibilidade com LDAP para aplicações compatíveis com LDAP.

Para uma comparação mais detalhada das AWS Directory Service opções, consulteQual escolher.

Verificar se suas VPCs e instâncias estão configuradas corretamente

Para se conectar, gerenciar e usar seus diretórios, é necessário configurar corretamente as VPCs às quais seus diretórios estão associados. Consulte AWS Pré-requisitos gerenciados do Microsoft AD, Pré-requisitos do AD Connector ou Pré-requisitos do Simple AD para obter informações sobre os requisitos de segurança e de rede da VPC.

Se estiver adicionando uma instância a seu domínio, verifique se você tem conectividade e acesso remoto à sua instância, conforme descrito em Associe uma instância do Amazon EC2 ao seu AWS Microsoft AD gerenciado Active Directory.

Conhecer seus limites

Saiba mais sobre os vários limites do seu tipo de diretório específico. O armazenamento disponível e o tamanho agregado dos seus objetos são as únicas limitações no número de objetos que você pode armazenar em seu diretório. Consulte AWS Cotas gerenciadas do Microsoft AD, Cotas do AD Connector ou Cotas do Simple AD para obter detalhes sobre o diretório escolhido.

Entenda a configuração e o uso do grupo de AWS segurança do seu diretório

AWS cria um grupo de segurança e o anexa às interfaces de rede elástica do seu diretório, que podem ser acessadas de dentro de suas VPCs emparelhadas ou redimensionadas. AWS configura o grupo de segurança para bloquear tráfego desnecessário para o diretório e permite o tráfego necessário.

Modificar o grupo de segurança do diretório

Se você deseja modificar a segurança dos grupos de segurança de seus diretórios, você pode fazê-lo. Faça essas alterações apenas se você compreender totalmente como funciona a filtragem do grupo de segurança. Para obter mais informações, consulte Grupos de segurança do Amazon EC2 para instâncias do Linux no Guia do usuário do Amazon EC2. Alterações impróprias podem resultar na perda de comunicações com os computadores e instâncias pretendidos. AWS recomenda que você não tente abrir portas adicionais para seu diretório, pois isso diminui a segurança do seu diretório. Reveja cuidadosamente o Modelo de responsabilidade compartilhada da AWS.

Atenção

Tecnicamente, é possível associar os grupos de segurança do diretório a outras instâncias do EC2 que você criar. No entanto, não AWS recomenda essa prática. AWS pode ter motivos para modificar o grupo de segurança sem aviso prévio para atender às necessidades funcionais ou de segurança do diretório gerenciado. Essas alterações afetam as instâncias às quais você associa o grupo de segurança do diretório e podem interromper a operação das instâncias associadas. Além disso, a associação do grupo de segurança do diretório às suas instâncias do EC2 cria um possível risco de segurança para essas instâncias do EC2.

Configurar corretamente os sites e sub-redes on-premises ao usar o AD Connector

Se sua rede on-premises tiver sites do Active Directory definidos, você deverá verificar se as sub-redes da VPC em que o AD Connector reside estão definidas em um site do Active Directory e se não existem conflitos entre as sub-redes da VPC e as sub-redes dos outros sites.

Para descobrir controladores de domínio, o AD Connector usa o site do Active Directory cujos intervalos de endereços IP de sub-rede estão próximos dos da VPC que contém o AD Connector. Se você tiver um site cujas sub-redes têm os mesmos intervalos de endereços IP que os de sua VPC, o AD Connector descobrirá os controladores de domínio nesse site, o qual pode não estar fisicamente próximo de sua região.

Entenda as restrições de nome de usuário para AWS aplicativos

AWS Directory Service fornece suporte para a maioria dos formatos de caracteres que podem ser usados na construção de nomes de usuário. No entanto, existem restrições de caracteres impostas aos nomes de usuário que serão usados para fazer login em AWS aplicativos, como WorkSpaces Amazon WorkMail, WorkDocs Amazon ou Amazon. QuickSight Essas restrições exigem que os seguintes caracteres não sejam usados:

  • Espaços

  • Caracteres multibyte

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

nota

O símbolo@é permitido, desde que ele preceda um sufixo UPN.

Programar suas aplicações

Antes de programar seus aplicativos, considere o seguinte:

Faça um teste de carga antes de implantar no ambiente de produção

Faça testes laboratoriais com aplicativos e solicitações que representem sua workload de produção para confirmar se o diretório é dimensionado de acordo com a carga da aplicação. Se precisar de capacidade adicional, distribua suas cargas em vários diretórios do AD Connector.

Usar o diretório

Estas são algumas sugestões a serem lembradas ao usar o diretório.

Alterne as credenciais de administrador regularmente

Altere sua senha de administrador da conta de serviço do AD Connector regularmente e certifique-se de que a senha seja consistente com as políticas de senha do Active Directory existentes. Para obter instruções sobre como alterar a senha da conta de serviço, consulte Atualizar suas credenciais da conta de serviço do AD Connector no AWS Directory Service.

Use AD Connectors exclusivos para cada domínio

Os AD Connectors e seus domínios do AD on-premises têm uma relação de um para um. Ou seja, para cada domínio on-premises, incluindo domínios filhos em uma floresta do AD na qual você deseja se autenticar, é necessário criar um AD Connector exclusivo. Cada AD Connector que você criar deverá usar uma conta de serviço diferente, mesmo se estiver conectado ao mesmo diretório.

Verifique a compatibilidade

Ao usar o AD Connector, você deve garantir que seu diretório local seja e permaneça compatível com AWS Directory Service s. Para obter mais informações sobre suas responsabilidades, consulte nosso modelo de responsabilidade compartilhada.