AWS Managed Microsoft AD 的最佳實務 - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Managed Microsoft AD 的最佳實務

以下是您應該考量的一些建議和準則,從而避免問題並充分運用 AWS Managed Microsoft AD。

設定:事前準備

建立目錄之前,請考量這些準則。

確認目錄類型是否正確

AWS Directory Service 提供多種方式來搭配其他 AWS 服務使用 Microsoft Active Directory。您可以依所需功能及成本預算,選擇目錄服務:

  • AWS Directory Service for Microsoft Active Directory 是託管在 AWS 雲端上的功能豐富的受管 Microsoft Active Directory。AWS如果您有超過 5,000 位使用者,而且需要在 AWS 託管目錄與您內部部署目錄之間設定信任關係,Managed Microsoft AD 會是您的最佳選擇。

  • AD Connector 會直接將您現有的內部部署 Active Directory 連線到 AWS。如果您想要將現有的內部部署目錄用於 AWS 服務,AD Connector 會是您的最佳選擇。

  • Simple AD 是與基本 Active Directory 相容的低規模兼低成本目錄。它支援最多 5,000 名使用者、Samba 4 相容應用程式,以及 LDAP 感知應用程式的 LDAP 相容性。

如需 AWS Directory Service 選項的更詳細比較資訊,請參閱「該選擇哪種」。

確認已正確設定您的 VPC 和執行個體

為了連線、管理及使用您的目錄,您必須正確設定與目錄相關聯的 VPC。如需 VPC 安全與聯網需求的資訊,請參閱「AWS Managed Microsoft AD 先決條件 」、「AD Connector 事前準備 」或「Simple AD 先決條件」。

如果您想要將執行個體新增至網域,請確定您具備連線能力並可遠端存取您的執行個體,如「將 Amazon EC2 實例加入到您的AWS受管 Microsoft AD 活動目錄」中所述。

留意您的限制

了解特定目錄類型的不同限制。您可以在目錄中儲存的物件數量僅受限於可用儲存空間和物件的彙總大小。有關所選目錄的詳細資訊,請參閱「AWS Managed Microsoft AD 配額」、「AD Connector 配額」或「Simple AD 配額」。

了解您目錄的 AWS 安全群組設定與用法

AWS 建立安全群組,並將之連接到您目錄的域控制站彈性網路介面。此安全群組封鎖到域控制站的不必要流量,並允許進行 Active Directory 通訊所必要的流量。AWS 將安全群組設定為僅開啟進行 Active Directory 通訊所需的連接埠。在預設群組態中,安全群組接受來自任何 IP 地址到這些連接埠的流量。AWS 將安全群組連接到域控制站的介面,這些介面可從對等或重新調整大小的 VPC 內進行存取。這些界面無法從網際網路存取,縱使您修改路由表、變更到 VPC 的網路連線與設定 NAT 閘道服務。因此,只有包含 VPC 網路路徑的執行個體和電腦才能存取目錄。由於您不需要設定特定地址範圍,因此簡化了設定作業。反之,您會設定在 VPC 的路由和安全群組,只允許來自信任執行個體和電腦的流量。

修改目錄安全群組

如果您想要提高目錄安全群組的安全,您可以予以修改,使其接受來自更嚴謹之 IP 地址清單的流量。例如,您可以將接受的地址從 0.0.0.0/0 變更為單一子網路或電腦特定的 CIDR 範圍。同樣地,您可以選擇將目標地址限制為您的網域控制站可通訊的地址。請只在您完全了解安全群組篩選的運作方式時才進行這類變更。如需詳細資訊,請參閱《Amazon EC2 使用者指南》中的適用於 Linux 執行個體的 Amazon EC2 安全群組一節。不當的變更可能會導致遺失與預定電腦和執行個體的通訊。AWS 建議您不要嘗試將額外的連接埠開放給域控制站,因為這會降低您目錄的安全。請仔細檢閱 AWS 共同的責任模型

警告

就技術而言,您可以將目錄所使用的安全群組與您所建立的其他 EC2 執行個體產生關聯。但 AWS 不推薦您這麼做。AWS 可能會為了滿足受管目錄的功能或安全需求,而有理由來修改安全群組,且不會另行通知。這類變更會影響任何與目錄安全群組相關聯的執行個體。此外,將目錄安全群組與您的 EC2 執行個體產生關聯可能會對您的 EC2 執行個體帶來安全風險。目錄安全群組接受必要 Active Directory 連接埠上來自任何 IP 地址的流量。如果您將此安全群組與具有連接到網際網路之公有 IP 地址的 EC2 執行個體產生關聯,則網際網路上的任何電腦都可以透過已開啟的連接埠與 EC2 執行個體通訊。

設定:建立您的目錄

以下是建立目錄時需考慮的一些建議。

記住您的管理員 ID 和密碼

在您設定目錄時,您會提供管理員帳戶的密碼。若是 AWS Managed Microsoft AD,該帳戶 ID 為 Admin。請記住您為此帳戶建立的密碼,否則您將無法新增物件至目錄。

建立 DHCP 選項集

我們建議您為 AWS Directory Service 目錄建立 DHCP 選項集,然後將該 DHCP 選項集指派給目錄所在的 VPC。如此一來,該 VPC 中的任何執行個體可以指向指定的網域,而且 DNS 伺服器可以解析其網域名稱。

如需 DHCP 選項集的詳細資訊,請參閱「建立 DHCP 選項集」。

啟用條件式轉寄站設定

下列條件式轉寄設定將此條件式轉寄器儲存在 Active Directory 中,複寫方式如下:應啟用。啟用這些設定可防止因基礎結構故障或過載失敗而更換節點時,條件式轉寄站設定消失。

部署其他網域控制器

根據預設,AWS 會建立存在於個別可用區域的兩個域控制站。如此可在軟體修補期間,以及可能讓一個網域控制器無法連線或無法使用的其他事件期間,提供錯誤復原力。我們建議部署其他網域控制器,以進一步增加復原力,並在影響網域控制器或可用區域存取的長期事件發生時,確保向外擴展效能。

如需詳細資訊,請參閱使用 Windows DC 定位器服務

了解 AWS 應用程式的使用者名稱限制

AWS Directory Service 支援可用於建構使用者名稱的大部分字元格式。但是,在用戶名上強制執行字符限制,這些用戶名將用於登錄AWS應用程序 WorkSpaces,例如 Amazon WorkDocs WorkMail,Amazon 或 Amazon QuickSight。這些限制要求不使用下列字元:

  • 空格

  • 多位元組字元

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

注意

@ 符號只可位於 UPN 尾碼之前。

使用您的目錄

以下是使用目錄時需謹記的一些建議。

請勿改變預先定義的使用者、群組和組織單位

當您使用 AWS Directory Service 啟動目錄時,AWS 會建立包含您所有目錄物件的組織單位 (OU)。此 OU 有您在建立目錄時所輸入的 NetBIOS 名稱,位於根網域中。根網域由 AWS 擁有和管理。這也會建立數個群組和管理使用者。

請勿移動、刪除或透過其他方式來改變這些預先定義的物件。這樣做可能會使您自己和 AWS 無法存取您的目錄。如需詳細資訊,請參閱什麼被創建與AWS管理 Microsoft AD 活動目錄

自動加入域

啟動要成為 AWS Directory Service 網域一部分的 Windows 執行個體時,在建立執行個體的過程中加入網域,通常會比之後手動新增執行個體更容易。若要自動加入網域,只要在啟動新的執行個體時,針對 Domain join directory (網域加入目錄) 選取正確的目錄即可。您可以在「將 Amazon EC2 Windows 實例無縫加入到您的AWS受管 Microsoft AD 活動目錄」中找到詳細資訊。

正確設定信任

當您在 AWS Managed Microsoft AD 目錄與另一個目錄之間設定信任關係時,請注意下列準則:

  • 信任類型必須在雙方比對 (樹系或外部)

  • 如果使用單向信任 (信任網域上的外寄、可信任網域上的傳入),請確定已正確設定信任方向

  • 完整網域名稱 (FQDN) 和 NetBIOS 名稱在樹系/網域之間必須是唯一的

如需設定信任關係的詳細資訊與特定說明,請參閱「建立信任關係」。

管理您的目錄

考慮以下針對管理目錄的建議。

追蹤域控制站效能

為了協助最佳化擴展決策並改善目錄恢復能力和效能,建議您使用 CloudWatch 指標。如需詳細資訊,請參閱透過效能指標監控域控制站

如需有關如何使用 CloudWatch 主控台設定網域控制站指標的指示,請參閱AWS安全性部落格中的如何根據使用率指標自動化AWS受管 Microsoft AD 擴展

仔細規劃結構描述延伸

經仔細考量後,套用結構描述延伸以建立目錄索引,供重要及頻繁查詢。請小心避免建立過多索引,因為索引會佔用目錄空間,而快速變更索引值會導致效能問題。若要新增索引,您必須建立輕量型目錄存取協定 (LDAP) 目錄交換格式 (LDIF) 檔案,並延伸您的結構描述變更。如需詳細資訊,請參閱擴展您的結構描述

關於負載平衡器

請勿在 AWS Managed Microsoft AD 終端節點前面使用負載平衡器。Microsoft 設計的 Active Directory (AD) 搭配一種網域控制站 (DC) 探索演算法使用,可找出具最佳回應速度的運作 DC,無需外部負載平衡。外部網路負載平衡器會錯誤偵測作用中的 DC,進而將您的應用程式傳送到尚未投入使用的 DC。如需詳細資訊,請參閱負載平衡器和 Microsoft 上的作用中目錄, TechNet 其中建議修正應用程式以正確使用 Active Directory,而不是實作外部負載平衡器。

備份您的執行個體

如果您決定將執行個體手動新增至現有的 AWS Directory Service 網域,請先對該執行個體進行備份或擷取快照。這在加入 Linux 執行個體時特別重要。某些用來新增執行個體的程序若未正確執行,可能會導致您的執行個體無法連線或無法使用。如需詳細資訊,請參閱建立目錄快照或還原目錄

設定 SNS 簡訊

使用 Amazon Simple Notification Service (Amazon SNS),當目錄狀態有所變更時,您便可以收到電子郵件或文字 (SMS) 簡訊。如果您的目錄從 Active (作用中) 狀態變成 Impaired (受損) 或 Inoperable (無法操作) 狀態,您就會收到通知。當目錄恢復到 Active (作用中) 狀態時,您也會收到通知。

另請記住,如果您有一個從 AWS Directory Service 接收訊息的 SNS 主題,請在從 Amazon SNS 主控台刪除該主題之前,將您的目錄與其他的 SNS 主題建立關聯。否則會有遺漏重要目錄狀態訊息的風險。如需如何設定 Amazon SNS 的資訊,請參閱 設定目錄狀態通知

應用程式目錄服務設定

AWS Managed Microsoft AD 可讓您自訂安全組態,以滿足合規和安全要求。AWSManaged Microsoft AD 部署並維護目錄中所有域控制站的組態,包括在新增區域或其他域控制站時。您可以為所有新目錄和現有目錄設定和套用這些安全設定。您可以按照 API 中編輯目錄安全設定或透過 UpdateSettings API 中的步驟,在主控台中執行此操作。

如需詳細資訊,請參閱設定目錄安全設定

刪除目錄前先移除 Amazon 企業應用程式

刪除與一或多個 Amazon 企業應用程式 (例如、、Amazon 應用程式管理員 WorkSpaces、Amazon WorkSpaces WorkDocs、Amazon 關聯式資料庫服務或 Amazon RDS) 相關聯的目錄之前,您必須先移除每個應用程式。 WorkMail AWS Management Console如需移除應用程式的詳細資訊,請參閱刪除 AWS Managed Microsoft AD相關文章。

存取 SYSVOL 和 NETLOGON 共用時,請使用 SMB 2.x 用戶端

用戶端電腦使用伺服器訊息區塊 (SMB),在 AWS Managed Microsoft AD 域控制站上存取 SYSVOL 和 NETLOGON 共用,來處理群組政策、登入指令碼和其他檔案。AWSManaged Microsoft AD 僅支援 SMB 版本 2.0 (SMBv2) 及更新版本。

SMBv2 和較新版本通訊協定會新增多項功能,以改善用戶端效能,並增加網域控制器和用戶端的安全性。這項變更遵循美國電腦緊急應變小組Microsoft 的建議來停用 SMBv1。

重要

如果您目前使用 SMBv1 用戶端來存取網域控制器的 SYSVOL 和 NETLOGON 共用,您必須更新那些用戶端,以使用 SMBv2 或更新版本。您的目錄將正常運作,但 SMBv1 用戶端將無法連線到 AWS Managed Microsoft AD 域控制站的 SYSVOL 和 NETLOGON 共用,而且也將無法處理群組政策。

SMBv1 用戶端將使用您擁有的任何其他 SMBv1 相容檔案伺服器。不過,AWS 建議您將所有 SMB 伺服器和用戶端更新為 SMBv2 或更新版本。若要深入了解如何停用 SMBv1 並將其更新為系統上較新的 SMB 版本,請參閱 Microsoft TechNet 和 Support 部門上的這些張貼文章。

追蹤 SMBv1 遠端連線

您可以檢視遠端連線至 AWS Managed Microsoft AD 域控制站的 Microsoft–Windows–SMBServer/Audit Windows 事件日誌,此日誌中的任何事件都表示存在 SMBv1 連線。以下是您在其中一個日誌中可能會看到的資訊範例:

SMB1 存取權

客戶地址:###.###.###.###

指導:

此事件表示用戶端嘗試使用 SMB1 存取伺服器。若要停止稽核 SMB1 存取,請使用 Windows 指 PowerShell 令程式集-。SmbServerConfiguration

編寫程式設計自己的應用程式

編寫程式設計自己的應用程式之前,請考慮下列事項:

使用 Windows DC 定位器服務

開發應用程式時,使用 Windows DC 定位器服務,或使用 AWS Managed Microsoft AD 的動態 DNS (DDNS) 服務來定位域控制站 (DC)。請勿使用 DC 地址將應用程式寫死在程式碼中。DC 定位器服務可新增網域控制站到您的部署,協助確保目錄負載分散並讓您充分利用水平擴展。如果您將應用程式繫結到固定的 DC,而該 DC 正在進行修補或復原,則您的應用程式將無法存取該 DC,而不會使用其中一個剩餘的 DC。此外,DC 硬編碼會導致單一 DC 產生熱點。在嚴重的情況下,熱點可能會導致您的 DC 無法回應。這種情況還可能導致 AWS 目錄自動將該目錄標記為受損,且可能觸發修復程序來取代無法回應的 DC。

投入生產前先進行負載測試

請務必針對代表您的生產工作負載的物件與請求執行實驗室測試,以確認目錄擴展至您的應用程式負載。如果您需要更多容量,請測試額外的 DC 並在 DC 之間發佈請求。如需詳細資訊,請參閱部署其他網域控制器

使用高效 LDAP 查詢

從上萬個物件針對網域控制站執行廣泛 LDAP 查詢,會佔用單一 DC 的大量 CPU 周期,進而產生熱點現象。這可能會導致查詢期間使用相同 DC 的應用程式受到影響。