AWS 管理 Microsoft AD 的最佳做法 - AWS Directory Service
設定:事前準備設定:建立您的目錄使用您的目錄管理您的目錄編寫程式設計自己的應用程式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 管理 Microsoft AD 的最佳做法

以下是您應該考慮的一些建議和指導方針,以避免發生問題並充分利用 AWS 受管理的 Microsoft AD。

設定:事前準備

建立目錄之前,請考量這些準則。

確認目錄類型是否正確

AWS Directory Service 提供多種與其他 AWS 服務搭配使用的方式。您可以依所需功能及成本預算,選擇目錄服務:

  • AWS Directory Service 的 Microsoft 活動目錄是一個功能豐富的託管在雲上 AWS 託管。 AWS 如果您有 5,000 個以上的使用者,而且需要在 AWS 託管目錄與內部部署目錄之間設定信任關係,則受管理 Microsoft AD 是您的最佳選擇。

  • AD 連接器只是將您現有的內部部署連接Active Directory到 AWS. 如果您想要將現有的內部部署目錄用於 AWS 服務,AD Connector 會是您的最佳選擇。

  • S@@ imple AD 是具有基本Active Directory相容性的低規模、低成本的目錄。它支援最多 5,000 名使用者、Samba 4 相容應用程式,以及 LDAP 感知應用程式的 LDAP 相容性。

如需更詳細的 AWS Directory Service 選項比較,請參閱該選擇哪種

確認已正確設定您的 VPC 和執行個體

為了連線、管理及使用您的目錄,您必須正確設定與目錄相關聯的 VPC。如需 VPC 安全與聯網需求的資訊,請參閱「AWS 管理 Microsoft AD 先決條件 」、「AD Connector 事前準備 」或「Simple AD 先決條件」。

如果您想要將執行個體新增至網域,請確定您具備連線能力並可遠端存取您的執行個體,如「將 Amazon EC2 實例加入您的 AWS 受管 Microsoft AD 活動目錄」中所述。

留意您的限制

了解特定目錄類型的不同限制。您可以在目錄中儲存的物件數量僅受限於可用儲存空間和物件的彙總大小。有關所選目錄的詳細資訊,請參閱「AWS Managed Microsoft AD 配額」、「AD Connector 配額」或「Simple AD 配額」。

瞭解目錄的 AWS 安全性群組組態和使用方式

AWS 建立安全性群組,並將其附加至目錄的網域控制站彈性網路介面。此安全群組封鎖到域控制站的不必要流量,並允許進行 Active Directory 通訊所必要的流量。 AWS 將安全群組設定為僅開啟進行 Active Directory 通訊所需的連接埠。在預設組態中,安全性群組會接受來自任何 IP 位址的這些連接埠的流量。 AWS 將安全性群組附加至您的網域控制站的介面,這些介面可從對等或調整大小的 VPC 中存取。這些界面無法從網際網路存取,縱使您修改路由表、變更到 VPC 的網路連線與設定 NAT 閘道服務。因此,只有包含 VPC 網路路徑的執行個體和電腦才能存取目錄。由於您不需要設定特定地址範圍,因此簡化了設定作業。反之,您會設定在 VPC 的路由和安全群組,只允許來自信任執行個體和電腦的流量。

修改目錄安全群組

如果您想要提高目錄安全群組的安全,您可以予以修改,使其接受來自更嚴謹之 IP 地址清單的流量。例如,您可以將接受的地址從 0.0.0.0/0 變更為單一子網路或電腦特定的 CIDR 範圍。同樣地,您可以選擇將目標地址限制為您的網域控制站可通訊的地址。請只在您完全了解安全群組篩選的運作方式時才進行這類變更。如需詳細資訊,請參閱《Amazon EC2 使用者指南》中的適用於 Linux 執行個體的 Amazon EC2 安全群組一節。不當的變更可能會導致與預定電腦和執行個體的通訊中斷。 AWS 建議您不要嘗試開啟網域控制站的其他連接埠,因為這會降低目錄的安全性。請仔細檢閱 AWS 共同的責任模型

警告

就技術而言,您可以將目錄所使用的安全群組與您所建立的其他 EC2 執行個體產生關聯。但是, AWS 建議不要這種做法。 AWS 可能有理由修改安全性群組,恕不另行通知,以解決受管理目錄的功能或安全性需求。這類變更會影響任何與目錄安全群組相關聯的執行個體。此外,將目錄安全群組與您的 EC2 執行個體產生關聯可能會對您的 EC2 執行個體帶來安全風險。目錄安全群組接受必要 Active Directory 連接埠上來自任何 IP 地址的流量。如果您將此安全群組與具有連接到網際網路之公有 IP 地址的 EC2 執行個體產生關聯,則網際網路上的任何電腦都可以透過已開啟的連接埠與 EC2 執行個體通訊。

設定:建立您的目錄

以下是建立目錄時需考慮的一些建議。

記住您的管理員 ID 和密碼

在您設定目錄時,您會提供管理員帳戶的密碼。該帳戶識別碼是管理 Microsoft AD 的 AWS 管理員。請記住您為此帳戶建立的密碼,否則您將無法新增物件至目錄。

建立 DHCP 選項集

建議您為 AWS Directory Service 目錄建立 DHCP 選項集,並將 DHCP 選項設定指派給目錄所在的 VPC。如此一來,該 VPC 中的任何執行個體可以指向指定的網域,而且 DNS 伺服器可以解析其網域名稱。

如需 DHCP 選項集的詳細資訊,請參閱「建立 DHCP 選項集」。

啟用條件式轉寄站設定

下列條件式轉寄設定將此條件式轉寄器儲存在 Active Directory 中,複寫方式如下:應啟用。啟用這些設定可防止因基礎結構故障或過載失敗而更換節點時,條件式轉寄站設定消失。

部署其他網域控制器

根據預設, AWS 會建立存在於不同可用區域中的兩個網域控制站。如此可在軟體修補期間,以及可能讓一個網域控制器無法連線或無法使用的其他事件期間,提供錯誤復原力。我們建議部署其他網域控制器,以進一步增加復原力,並在影響網域控制器或可用區域存取的長期事件發生時,確保向外擴展效能。

如需詳細資訊,請參閱 使用 Windows DC 定位器服務

了解 AWS 應用程式的使用者名稱限制

AWS Directory Service 為可用於建構使用者名稱的大多數字元格式提供支援。但是,在用戶名上強制執行字符限制,這些用戶名將用於登錄 AWS 應用程序 WorkSpaces,例如 Amazon WorkDocs WorkMail,Amazon 或 Amazon QuickSight。這些限制要求不使用下列字元:

  • 空格

  • 多位元組字元

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

注意

@ 符號只可位於 UPN 尾碼之前。

使用您的目錄

以下是使用目錄時需謹記的一些建議。

請勿改變預先定義的使用者、群組和組織單位

當您使用 AWS Directory Service 來啟動目錄時, AWS 會建立包含所有目錄物件的組織單位 (OU)。此 OU 有您在建立目錄時所輸入的 NetBIOS 名稱,位於根網域中。網域根目錄擁有及管理 AWS。這也會建立數個群組和管理使用者。

請勿移動、刪除或透過其他方式來改變這些預先定義的物件。這樣做可能會使您的目錄無法訪問您自己和 AWS. 如需詳細資訊,請參閱 什麼被創建與 AWS 管理 Microsoft AD 活動目錄

自動加入域

啟動屬於網域的 Windows 執行個體時,通常最簡單的方法是將 AWS Directory Service 網域加入為執行個體建立程序的一部分,而不是稍後手動新增執行個體。若要自動加入網域,只要在啟動新的執行個體時,針對 Domain join directory (網域加入目錄) 選取正確的目錄即可。您可以在「將 Amazon EC2 Windows 執行個體無縫加入您的 AWS 受管 Microsoft AD Active Directory」中找到詳細資訊。

正確設定信任

在您的 AWS 受管理 Microsoft AD 目錄與其他目錄之間設定信任關係時,請記住下列準則:

  • 信任類型必須在雙方比對 (樹系或外部)

  • 如果使用單向信任 (信任網域上的外寄、可信任網域上的傳入),請確定已正確設定信任方向

  • 完整網域名稱 (FQDN) 和 NetBIOS 名稱在樹系/網域之間必須是唯一的

如需設定信任關係的詳細資訊與特定說明,請參閱「建立信任關係」。

管理您的目錄

考慮以下針對管理目錄的建議。

追蹤域控制站效能

為了協助最佳化擴展決策並改善目錄恢復能力和效能,建議您使用 CloudWatch 指標。如需詳細資訊,請參閱 透過效能指標監控域控制站

如需有關如何使用 CloudWatch 主控台設定網域控制站指標的指示,請參閱 AWS 安全性部落格中的如何根據使用率指標自動化 AWS 受管 Microsoft AD 擴展

仔細規劃結構描述延伸

經仔細考量後,套用結構描述延伸以建立目錄索引,供重要及頻繁查詢。請小心避免建立過多索引,因為索引會佔用目錄空間,而快速變更索引值會導致效能問題。若要新增索引,您必須建立輕量型目錄存取協定 (LDAP) 目錄交換格式 (LDIF) 檔案,並延伸您的結構描述變更。如需詳細資訊,請參閱 擴展您的結構描述

關於負載平衡器

請勿在 AWS 受管理的 Microsoft AD 端點前面使用負載平衡器。Microsoft 設計的 Active Directory (AD) 搭配一種網域控制站 (DC) 探索演算法使用,可找出具最佳回應速度的運作 DC,無需外部負載平衡。外部網路負載平衡器會錯誤偵測作用中的 DC,進而將您的應用程式傳送到尚未投入使用的 DC。如需詳細資訊,請參閱負載平衡器和 Microsoft 上的作用中目錄, TechNet 其中建議修正應用程式以正確使用 Active Directory,而不是實作外部負載平衡器。

備份您的執行個體

如果您決定手動將執行個體新增至現有 AWS Directory Service 網域,請先建立備份或建立該執行個體的快照。這在加入 Linux 執行個體時特別重要。某些用來新增執行個體的程序若未正確執行,可能會導致您的執行個體無法連線或無法使用。如需詳細資訊,請參閱 建立目錄快照或還原目錄

設定 SNS 簡訊

使用 Amazon Simple Notification Service (Amazon SNS),當目錄狀態有所變更時,您便可以收到電子郵件或文字 (SMS) 簡訊。如果您的目錄從 Active (作用中) 狀態變成 Impaired (受損) 或 Inoperable (無法操作) 狀態,您就會收到通知。當目錄恢復到 Active (作用中) 狀態時,您也會收到通知。

另請記住,如果您有接收訊息的 SNS 主題 AWS Directory Service,則在從 Amazon SNS 主控台刪除該主題之前,應將目錄與其他 SNS 主題建立關聯。否則會有遺漏重要目錄狀態訊息的風險。如需如何設定 Amazon SNS 的資訊,請參閱 使用 Amazon SNS 設定目錄狀態通知

應用程式目錄服務設定

AWS 受管理的 Microsoft AD 可讓您自訂安全性組態,以符合您的合規性和安全性需求。 AWS 受管理的 Microsoft AD 會將組態部署並維護到目錄中的所有網域控制站,包括新增區域或其他網域控制站時。您可以為所有新目錄和現有目錄設定和套用這些安全設定。您可以按照 API 中編輯目錄安全設定或透過 UpdateSettings API 中的步驟,在主控台中執行此操作。

如需詳細資訊,請參閱 設定目錄安全設定

刪除目錄前先移除 Amazon 企業應用程式

刪除與一或多個 Amazon 企業應用程式 (例如、、Amazon 應用程式管理員 WorkSpaces、Amazon WorkSpaces WorkDocs、Amazon 關聯式資料庫服務或 Amazon RDS) 相關聯的目錄之前,您必須先移除每個應用程式。 WorkMail AWS Management Console如需移除應用程式的詳細資訊,請參閱刪除您 AWS 託管的 Microsoft AD相關文章。

存取 SYSVOL 和 NETLOGON 共用時,請使用 SMB 2.x 用戶端

用戶端電腦會使用伺服器訊息區 (SMB) 來存取群組原則、登入指令碼和其他檔案的 AWS 受管理 Microsoft AD 網域控制站上的 SYSVOL 和 NETLOGON 共用。 AWS 管理 Microsoft AD 僅支援中小企業 2.0 版 (SMBv2) 及更新版本。

SMBv2 和較新版本通訊協定會新增多項功能,以改善用戶端效能,並增加網域控制器和用戶端的安全性。這項變更遵循美國電腦緊急應變小組Microsoft 的建議來停用 SMBv1。

重要

如果您目前使用 SMBv1 用戶端來存取網域控制器的 SYSVOL 和 NETLOGON 共用,您必須更新那些用戶端,以使用 SMBv2 或更新版本。您的目錄可以正常運作,但 SMBv1 用戶端將無法連線到 AWS 受管理的 Microsoft AD 網域控制站的 SYSVOL 和 NETLOGON 共用,而且也將無法處理群組原則。

SMBv1 用戶端將使用您擁有的任何其他 SMBv1 相容檔案伺服器。不過, AWS 建議您將所有 SMB 伺服器和用戶端更新為 SMBv2 或更新版本。若要深入了解如何停用 SMBv1 並將其更新為系統上較新的 SMB 版本,請參閱 Microsoft TechNet 和 Support 部門上的這些張貼文章。

追蹤 SMBv1 遠端連線

您可以從遠端連線至 AWS 受管理的 Microsoft AD 網域控制站,檢閱 Microsoft SMB伺服器/稽核視窗事件記錄檔,此記錄檔中的任何事件都會指出 SMBv1 連線。以下是您在其中一個日誌中可能會看到的資訊範例:

SMB1 存取權

客戶地址:###.###.###.###

指導:

此事件表示用戶端嘗試使用 SMB1 存取伺服器。若要停止稽核 SMB1 存取,請使用Windows PowerShell指令程式集-。SmbServerConfiguration

編寫程式設計自己的應用程式

編寫程式設計自己的應用程式之前,請考慮下列事項:

使用 Windows DC 定位器服務

開發應用程式時,請使用 Windows DC 定位器服務或使用 AWS 管理 Microsoft AD 的動態 DNS (DDNS) 服務來尋找網域控制站 (DC)。請勿使用 DC 地址將應用程式寫死在程式碼中。DC 定位器服務可新增網域控制站到您的部署,協助確保目錄負載分散並讓您充分利用水平擴展。如果您將應用程式繫結到固定的 DC,而該 DC 正在進行修補或復原,則您的應用程式將無法存取該 DC,而不會使用其中一個剩餘的 DC。此外,DC 硬編碼會導致單一 DC 產生熱點。在嚴重的情況下,熱點可能會導致您的 DC 無法回應。這種情況也可能會導致 AWS 目錄自動化將目錄標記為受損,並可能觸發取代無回應 DC 的復原程序。

投入生產前先進行負載測試

請務必針對代表您的生產工作負載的物件與請求執行實驗室測試,以確認目錄擴展至您的應用程式負載。如果您需要更多容量,請測試額外的 DC 並在 DC 之間發佈請求。如需詳細資訊,請參閱 部署其他網域控制器

使用高效 LDAP 查詢

從上萬個物件針對網域控制站執行廣泛 LDAP 查詢,會佔用單一 DC 的大量 CPU 周期,進而產生熱點現象。這可能會導致查詢期間使用相同 DC 的應用程式受到影響。