Melhores práticas para o AD Connector - AWS Directory Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Melhores práticas para o AD Connector

Estas são algumas sugestões e orientações que devem ser consideradas para evitar problemas e obter o máximo do AD Connector.

Configuração do: Pré-requisitos

Considere essas diretrizes antes de criar seu diretório.

Verifique se você tem o tipo de diretório correto

O AWS Directory Service fornece várias maneiras de usar o Microsoft Active Directory com outros serviços da AWS. Você pode escolher o serviço de diretório com os recursos necessários a um custo que caiba em seu orçamento:

  • AWS Directory Service para Microsoft Active DirectoryO é um Microsoft Active Directory gerenciado com muitos recursos, hospedado na nuvem AWS. O AWS Managed Microsoft AD será sua melhor opção se você tiver mais de 5.000 usuários e precisar de uma configuração de relacionamento de confiança entre um diretório hospedado da AWS e seus diretórios locais.

  • AD ConnectorO simplesmente conecta seu Active Directory local existente à AWS. O AD Connector é sua melhor opção quando você deseja usar seu diretório local existente com os serviços da AWS.

  • Simple ADO é um serviço acessível compatível com o serviço do Active Directory com os recursos comuns de diretório. Na maioria dos casos, o Simple AD é a opção mais barata e sua melhor opção, se você tiver 5.000 ou menos usuários e não precisar dos recursos mais avançados do Microsoft Active Directory.

Para obter uma comparação mais detalhada das opções do AWS Directory Service, consulteQual escolher.

Verifique se suas VPCs e instâncias estão configuradas corretamente

Para conectar-se, gerenciar e usar seus diretórios, você deve configurar corretamente as VPCs às quais seus diretórios estão associados. ConsultePré-requisitos do Microsoft AD gerenciados pela AWS,Pré-requisitos do AD Connector, ouPré-requisitos do Simple ADPara obter informações sobre os requisitos de segurança e de rede da VPC.

Se estiver adicionando uma instância a seu domínio, verifique se você tem conectividade e acesso remoto à sua instância, conforme descrito em Junte-se a uma instância do EC2 ao diretório do Microsoft AD gerenciado pela AWS.

Esteja ciente de seus limites

Saiba mais sobre os vários limites para o seu tipo de diretório específico. O armazenamento disponível e o tamanho agregado de seus objetos são as únicas limitações no número de objetos que você pode armazenar em seu diretório. ConsulteCotas do Microsoft AD gerenciadas pela,Cotas AD Connector, ouCotas Simple ADPara obter detalhes sobre o diretório escolhido.

Entenda a configuração do security group da AWS do seu diretório e use

A AWS cria um grupo de segurança e o anexa às interfaces de rede elástica do seu diretório que são acessíveis em suas VPCs emparelhadas ou redimensionadas. A AWS configura o grupo de segurança para bloquear o tráfego desnecessário para o diretório e permitir o tráfego necessário.

Modificar o grupo de segurança do diretório

Se você deseja modificar a segurança dos grupos de segurança de seus diretórios, você pode fazê-lo. Faça essas alterações apenas se você compreender totalmente como funciona a filtragem do grupo de segurança. Para obter mais informações, consulteGrupos de segurança do Amazon EC2 para instâncias do LinuxnoGuia do usuário do Amazon EC2. Alterações incorretas podem resultar na perda da comunicação com computadores e instâncias pretendidos. A AWS recomenda que você não tente abrir portas adicionais para o seu diretório, pois isso diminui a segurança dele. Reveja cuidadosamente o Modelo de responsabilidade compartilhada da AWS.

Atenção

Tecnicamente, é possível associar os grupos de segurança do diretório a outras instâncias do EC2 que você criar. Contudo, a AWS não recomenda essa prática. A AWS pode ter razões para modificar o grupo de segurança sem aviso prévio para resolver necessidades funcionais ou de segurança do diretório gerenciado. Essas alterações afetam as instâncias às quais você associa o grupo de segurança do diretório e podem interromper a operação das instâncias associadas. Além disso, a associação do grupo de segurança do diretório às suas instâncias do EC2 cria um possível risco de segurança para essas instâncias do EC2.

Configurar sites e sub-redes locais corretamente ao usar o AD Connector

Se a rede local tiver sites do Active Directory definidos, você deve verificar se as sub-redes da VPC onde o AD Connector reside estão definidas em um site do Active Directory e se não existem conflitos entre as sub-redes da VPC e as sub-redes de seus outros sites.

Para descobrir controladores de domínio, o AD Connector usa o site do Active Directory cujos intervalos de endereços IP de sub-rede estão próximos dos da VPC que contém o Conector do AD. Se você tiver um site cujas sub-redes têm os mesmos intervalos de endereços IP que os de sua VPC, o AD Connector descobrirá os controladores de domínio nesse site, que podem não estar fisicamente próximos de sua região.

Entenda as restrições de nome de AWS para aplicativos

O AWS Directory Service oferece suporte para a maioria dos formatos de caracteres que podem ser usados na construção de nomes de usuário. No entanto, há restrições de caracteres que são aplicadas em nomes de usuário que serão usadas para efetuar login em aplicativos AWS, como Amazon WorkSpaces, Amazon WorkDocs, Amazon WorkMail ou Amazon QuickSight. Essas restrições exigem que os seguintes caracteres não sejam usados:

  • Espaços

  • Caracteres multibyte

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

nota

O símbolo@é permitido, desde que ele preceda um sufixo UPN.

Programar seus aplicativos

Antes de programar seus aplicativos, considere o seguinte:

Teste de carga antes da implantação na produção

Faça testes laboratoriais com aplicativos e solicitações que representem sua carga de trabalho de produção para confirmar se o diretório é dimensionado de acordo com a carga de seu aplicativo. Se precisar de capacidade adicional, distribua suas cargas em vários diretórios do AD Connector.

Usar seu diretório

Estas são algumas sugestões a serem lembradas ao usar o diretório.

Alternar credenciais de administrador regularmente

Altere sua senha de administrador da conta de serviço do AD Connector regularmente e certifique-se de que a senha seja consistente com as políticas de senha do Active Directory existentes. Para obter instruções sobre como alterar a senha da conta de serviço, consulte Atualizar suas credenciais de conta de serviço do AD Connector no AWS Directory Service.

Usar conectores AD exclusivos para cada domínio

Os conectores do AD e seus domínios do AD no local têm uma relação de um para um. Ou seja, para cada domínio no local, incluindo domínios filhos em uma floresta do AD na qual você deseja se autenticar, é necessário criar um AD Connector exclusivo. Cada AD Connector que você criar deverá usar uma conta de serviço diferente, mesmo se estiver conectado ao mesmo diretório.

Verifique a compatibilidade

Ao usar o AD Connector, você deve garantir que seu diretório local seja e permaneça compatível com o AWS Directory Services. Para obter mais informações sobre suas responsabilidades, consulte nosso modelo de responsabilidade compartilhada.