本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 受管 Microsoft AD 最佳實務
以下是您應該考慮的一些建議和準則,以避免問題並充分利用 AWS Managed Microsoft AD。
主題
設定 AWS Managed Microsoft AD 的最佳實務
以下是設定 AWS Managed Microsoft AD 時的一些建議和準則:
必要條件
建立目錄之前,請考量這些準則。
確認目錄類型是否正確
AWS Directory Service 提供多種使用方式 Microsoft Active Directory 與其他 AWS 服務搭配使用。您可以依所需功能及成本預算,選擇目錄服務:
-
適用於 AWS Microsoft Active Directory 的 Directory Service 是功能豐富的受管服務 Microsoft Active Directory 託管在 AWS 雲端上。如果您有超過 5,000 名使用者,且需要在託管目錄和內部部署目錄之間設定信任關係, AWS 則 AWS 受管 Microsoft AD 是您的最佳選擇。
-
AD Connector 只需連接現有的內部部署 Active Directory 至 AWS。如果您想要將現有的內部部署目錄用於 AWS 服務,AD Connector 會是您的最佳選擇。
-
Simple AD 是具有基本 的低規模、低成本目錄 Active Directory 相容性。它支援 5,000 個或更少的使用者、Samba 4 相容應用程式,以及 LDAP感知應用程式的LDAP相容性。
如需 AWS Directory Service 選項的更詳細比較,請參閱 該選擇哪種。
確保您的 VPCs和 執行個體設定正確
若要連線至、管理和使用您的目錄,您必須正確設定與VPCs目錄相關聯的 。如需VPC安全和聯網需求Simple AD 先決條件的相關資訊建立 AWS Managed Microsoft AD 的先決條件,請參閱 AD Connector 事前準備、 或 。
如果您想要將執行個體新增至網域,請確定您具備連線能力並可遠端存取您的執行個體,如「將 Amazon EC2執行個體加入 AWS Managed Microsoft AD 的方法」中所述。
留意您的限制
了解特定目錄類型的不同限制。您可以在目錄中儲存的物件數量僅受限於可用儲存空間和物件的彙總大小。有關所選目錄的詳細資訊,請參閱「AWS 受管理的 Microsoft AD 配額」、「AD Connector 配額」或「Simple AD 配額」。
了解目錄 AWS 的安全群組組態和使用
AWS 會建立安全群組,並將其連接至目錄的網域控制器彈性網路介面 。此安全群組會封鎖網域控制器不必要的流量,並允許 所需的流量 Active Directory communications. AWS configing 安全群組僅開啟 所需的連接埠 Active Directory 通訊。在預設組態中,安全群組接受來自 AWS Managed Microsoft AD VPCIPv4CIDR地址到這些連接埠的流量。 會將安全群組 AWS 連接至網域控制器的介面,這些介面可從對等或調整大小的 中存取VPCs
修改目錄安全群組
如果您想要提高目錄安全群組的安全,您可以予以修改,使其接受來自更嚴謹之 IP 地址清單的流量。例如,您可以將接受的地址從VPCIPv4CIDR範圍變更為單一子網路或電腦特有CIDR的範圍。同樣地,您可以選擇將目標地址限制為您的網域控制站可通訊的地址。請只在您完全了解安全群組篩選的運作方式時才進行這類變更。如需詳細資訊,請參閱 Amazon 使用者指南 中的 Linux 執行個體的 Amazon EC2安全群組。 EC2 不當變更可能會導致與預期電腦和執行個體的通訊中斷。 AWS 建議您不要嘗試開啟網域控制器的其他連接埠,因為這會降低目錄的安全性。請仔細檢閱 AWS 共同的責任模型
警告
在技術上,您可以將目錄使用的安全群組與您建立的其他EC2執行個體建立關聯。不過,建議對此做法進行 AWS 建議。 AWS 可能有理由在未通知的情況下修改安全群組,以解決受管目錄的功能或安全需求。這類變更會影響任何與目錄安全群組相關聯的執行個體。此外,將目錄安全群組與EC2執行個體建立關聯會為您的EC2執行個體帶來潛在的安全風險。目錄安全群組接受所需 的流量 Active Directory 來自 AWS Managed Microsoft AD VPCIPv4CIDR地址的連接埠。如果您將此安全群組與已連接至網際網路的公有 IP 地址EC2執行個體建立關聯,則網際網路上的任何電腦都可以與已開啟連接埠上的EC2執行個體通訊。
建立 AWS Managed Microsoft AD
以下是您在建立 AWS Managed Microsoft AD 時需要考慮的一些建議。
記住您的管理員 ID 和密碼
在您設定目錄時,您會提供管理員帳戶的密碼。該帳戶 ID 是 Admin for AWS Managed Microsoft AD。請記住您為此帳戶建立的密碼,否則您將無法新增物件至目錄。
建立DHCP選項集
建議您為 AWS Directory Service 目錄建立DHCP選項集,並將DHCP選項集指派給VPC目錄所在的 。如此一來, 中任何VPC可以指向指定網域的執行個體,以及DNS伺服器都可以解析其網域名稱。
如需DHCP選項集的詳細資訊,請參閱 建立或變更 AWS Managed Microsoft AD DHCP的選項集。
啟用條件式轉送器設定
下列條件式轉送設定 將此條件式轉送器存放在 Active Directory 中,複寫如下:應啟用。啟用這些設定可確保當節點因基礎設施故障或過載故障而被取代時,條件式轉送器設定是持續性的。
條件式轉送器應在啟用上一個設定的網域控制器上建立。這將允許複寫到其他網域控制器。
部署其他網域控制器
根據預設, 會 AWS 建立存在於個別可用區域中的兩個網域控制器。如此可在軟體修補期間,以及可能讓一個網域控制器無法連線或無法使用的其他事件期間,提供錯誤復原力。我們建議部署其他網域控制器,以進一步增加復原力,並在影響網域控制器或可用區域存取的長期事件發生時,確保向外擴展效能。
如需詳細資訊,請參閱使用 Windows DC 定位器服務。
了解 AWS 應用程式的使用者名稱限制
AWS Directory Service 支援可用於建構使用者名稱的大多數字元格式。不過,使用者名稱上會強制執行字元限制,用於登入 AWS 應用程式,例如 WorkSpaces、Amazon WorkDocs WorkMail、Amazon 或 Amazon QuickSight。這些限制要求不使用下列字元:
-
空格
-
多位元組字元
-
!"#$%&'()*+,/:;<=>?@[\]^`{|}~
注意
只要 @ 符號在UPN尾碼之前,就可以使用。
使用 AWS Managed Microsoft AD 目錄時的最佳實務
以下是使用 AWS Managed Microsoft AD 時需要記住的一些建議。
主題
請勿改變預先定義的使用者、群組和組織單位
當您使用 AWS Directory Service 啟動目錄時, 會 AWS 建立組織單位 (OU),其中包含目錄的所有物件。此 OU 具有您在建立目錄時輸入的 NetBIOS 名稱,位於網域根中。網域根由 擁有和管理 AWS。這也會建立數個群組和管理使用者。
請勿移動、刪除或透過其他方式來改變這些預先定義的物件。這樣做會使您自己和 無法存取您的目錄 AWS。如需詳細資訊,請參閱使用 AWS Managed Microsoft AD 建立的內容。
自動加入域
啟動要成為 AWS Directory Service 網域一部分的 Windows 執行個體時,通常最容易加入網域作為執行個體建立程序的一部分,而不是稍後手動新增執行個體。若要自動加入網域,只要在啟動新的執行個體時,針對 Domain join directory (網域加入目錄) 選取正確的目錄即可。您可以在「將 Amazon EC2 Windows 執行個體加入您的 AWS Managed Microsoft AD Active Directory」中找到詳細資訊。
正確設定信任
在 AWS Managed Microsoft AD 目錄和另一個目錄之間設定信任關係時,請記住下列指導方針:
-
信任類型必須在雙方比對 (樹系或外部)
-
如果使用單向信任 (信任網域上的外寄、可信任網域上的傳入),請確定已正確設定信任方向
-
完整網域名稱 (FQDNs) 和 NetBIOS 名稱在樹系/網域之間必須是唯一的
如需設定信任關係的詳細資訊與特定說明,請參閱「在 AWS Managed Microsoft AD 與自我管理 AD 之間建立信任關係」。
追蹤域控制站效能
為了協助最佳化擴展決策並改善目錄彈性和效能,建議您使用 CloudWatch 指標。如需詳細資訊,請參閱使用 CloudWatch 監控 AWS Managed Microsoft AD 網域控制站的效能。
如需如何使用 CloudWatch 主控台設定網域控制器指標的指示,請參閱 安全部落格中的 AWS 如何根據使用率指標自動化 AWS Managed Microsoft AD 擴展
仔細規劃結構描述延伸
經仔細考量後,套用結構描述延伸以建立目錄索引,供重要及頻繁查詢。請小心避免建立過多索引,因為索引會佔用目錄空間,而快速變更索引值會導致效能問題。若要新增索引,您必須建立輕量型目錄存取協定 (LDAP) 目錄交換格式 (LDIF) 檔案,並延長結構描述變更。如需詳細資訊,請參閱擴展您的 AWS Managed Microsoft AD 結構描述。
關於負載平衡器
請勿在 AWS Managed Microsoft AD 端點前面使用負載平衡器。Microsoft 設計 Active Directory (AD) 可搭配網域控制器 (DC) 探索演算法使用,該演算法會尋找回應最靈敏的操作 DC,而不需要外部負載平衡。外部網路負載平衡器偵測不準確,DCs可能導致您的應用程式傳送至即將上線但尚未準備好使用的 DC。如需詳細資訊,請參閱 Microsoft 上的負載平衡器和 Active Directory
備份您的執行個體
如果您決定手動將執行個體新增至現有 AWS Directory Service 網域,請先備份或擷取該執行個體的快照。這在加入 Linux 執行個體時特別重要。某些用來新增執行個體的程序若未正確執行,可能會導致您的執行個體無法連線或無法使用。如需詳細資訊,請參閱使用快照還原 AWS Managed Microsoft AD。
設定SNS訊息
透過 Amazon Simple Notification Service (Amazon SNS),您可以在目錄狀態變更時收到電子郵件或簡訊 (SMS)。如果您的目錄從 Active (作用中) 狀態變成 Impaired (受損) 或 Inoperable (無法操作) 狀態,您就會收到通知。當目錄恢復到 Active (作用中) 狀態時,您也會收到通知。
另請記住,如果您的主題SNS接收來自 的訊息 AWS Directory Service,則在從 Amazon SNS主控台刪除該主題之前,您應該將目錄與不同的SNS主題建立關聯。否則會有遺漏重要目錄狀態訊息的風險。如需有關如何設定 Amazon 的資訊SNS,請參閱 使用 Amazon Simple Notification Service 啟用 AWS Managed Microsoft AD 目錄狀態通知。
應用程式目錄服務設定
AWS Managed Microsoft AD 可讓您自訂您的安全組態以符合您的合規和安全需求。 AWS Managed Microsoft AD 會將組態部署和維護到目錄中的所有網域控制站,包括新增新區域或其他網域控制站時。您可以為所有新目錄和現有目錄設定和套用這些安全設定。您可以依照 編輯目錄安全設定或 中的步驟,在主控台中執行此操作UpdateSettingsAPI。
如需詳細資訊,請參閱編輯 AWS Managed Microsoft AD 目錄安全設定。
刪除目錄前先移除 Amazon 企業應用程式
在刪除與一或多個 Amazon Enterprise 應用程式相關聯的目錄之前,例如 Amazon WorkSpaces Application Manager WorkSpaces、Amazon WorkMail、 WorkDocsAmazon 或 Amazon Relational Database Service (AmazonRDS) AWS Management Console,您必須先移除每個應用程式。如需移除應用程式的詳細資訊,請參閱刪除 AWS Managed Microsoft AD相關文章。
存取 SMB SYSVOL和 NETLOGON共用時使用 2.x 用戶端
用戶端電腦使用 Server Message Block (SMB) 來存取 SYSVOL和 NETLOGON 共用 AWS Managed Microsoft AD 網域控制器上的群組政策、登入指令碼和其他檔案。 AWS Managed Microsoft AD 僅支援 2SMB.0 版 (SMBv2) 及更新版本。
SMBv2 和較新的版本通訊協定新增了許多功能,可改善用戶端效能並提高網域控制器和用戶端的安全性。此變更遵循美國電腦緊急整備團隊
重要
如果您目前使用SMBv1用戶端來存取網域控制器的 SYSVOL和 NETLOGON共用,則必須更新這些用戶端以使用 SMBv2或更新版本。您的目錄將正常運作,但SMBv1用戶端將無法連線至 AWS Managed Microsoft AD 網域控制站的 SYSVOL和 NETLOGON共用,也無法處理群組政策。
SMBv1 用戶端將與您擁有的任何其他SMBv1相容檔案伺服器搭配使用。不過, AWS 建議您將所有SMB伺服器和用戶端更新為 SMBv2或更新版本。若要進一步了解如何在系統上停用SMBv1並更新至較新的SMB版本,請參閱 Microsoft TechNet
追蹤SMBv1遠端連線
您可以檢閱遠端連線至 AWS Managed Microsoft AD 網域控制器的 Microsoft-WindowsSMBServer/Audit Windows 事件日誌,此日誌中的任何事件都會指示SMBv1連線。以下是您在其中一個日誌中可能會看到的資訊範例:
SMB1 存取
客戶地址:###.###.###.###
指導:
此事件表示用戶端嘗試使用 存取伺服器SMB1。若要停止稽核SMB1存取權,請使用 Windows PowerShell cmdlet 集-SmbServerConfiguration。
為 AWS Managed Microsoft AD 編寫應用程式程式設計時的最佳實務
在設定應用程式以使用 AWS Managed Microsoft AD 之前,請考慮下列事項:
使用 Windows DC 定位器服務
開發應用程式時,請使用 Windows DC 定位器服務,或使用 AWS Managed Microsoft AD 的動態 DNS(DDNS) 服務來尋找網域控制站 (DCs)。請勿使用 DC 地址將應用程式寫死在程式碼中。DC 定位器服務可新增網域控制站到您的部署,協助確保目錄負載分散並讓您充分利用水平擴展。如果您將應用程式繫結至固定的 DC,而 DC 進行修補或復原,您的應用程式將失去對 DC 的存取權,而不是使用其餘的 之一DCs。此外,DC 硬編碼會導致單一 DC 產生熱點。在嚴重的情況下,熱點可能會導致您的 DC 無法回應。這類情況也可能導致 AWS 目錄自動化將目錄標記為受損,並可能觸發復原程序來取代無回應的 DC。
投入生產前先進行負載測試
請務必針對代表您的生產工作負載的物件與請求執行實驗室測試,以確認目錄擴展至您的應用程式負載。如果您需要額外的容量,請在在 之間分發請求DCs時,使用其他 進行測試DCs。如需詳細資訊,請參閱部署 AWS Managed Microsoft AD 的其他網域控制器。
使用有效的LDAP查詢
數萬個物件對網域控制器的廣泛LDAP查詢,可能會在單一 DC 中耗用大量CPU週期,導致熱點。這可能會導致查詢期間使用相同 DC 的應用程式受到影響。
