Simple AD 最佳實務 - AWS Directory Service
設定:事前準備設定:建立您的目錄編寫程式設計自己的應用程式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Simple AD 最佳實務

以下是您應該考慮的一些建議和指導方針,以避免出現問題並充分利用 Simple AD。

設定:事前準備

建立目錄之前,請考量這些準則。

確認目錄類型是否正確

AWS Directory Service 提供多種Microsoft Active Directory與其他 AWS 服務搭配使用的方式。您可以依所需功能及成本預算,選擇目錄服務:

  • AWS Directory Service 的 Microsoft 活動目錄是一個功能豐富的Microsoft Active Directory託管在雲上 AWS 託管。 AWS 如果您有 5,000 個以上的使用者,而且需要在 AWS 託管目錄與內部部署目錄之間設定信任關係,則受管理 Microsoft AD 是您的最佳選擇。

  • AD 連接器只是將您現有的內部部署連接Active Directory到 AWS. 如果您想要將現有的內部部署目錄用於 AWS 服務,AD Connector 會是您的最佳選擇。

  • S@@ imple AD 是具有基本Active Directory相容性的低規模、低成本的目錄。它支援最多 5,000 名使用者、Samba 4 相容應用程式,以及 LDAP 感知應用程式的 LDAP 相容性。

如需更詳細的 AWS Directory Service 選項比較,請參閱該選擇哪種

確認已正確設定您的 VPC 和執行個體

為了連線、管理及使用您的目錄,您必須正確設定與目錄相關聯的 VPC。如需 VPC 安全與聯網需求的資訊,請參閱「AWS 管理 Microsoft AD 先決條件 」、「AD Connector 事前準備 」或「Simple AD 先決條件」。

如果您想要將執行個體新增至網域,請確定您具備連線能力並可遠端存取您的執行個體,如「將 Amazon EC2 執行個體加入您的 AWS 受管 Microsoft AD Active Directory」中所述。

留意您的限制

了解特定目錄類型的不同限制。您可以在目錄中儲存的物件數量僅受限於可用儲存空間和物件的彙總大小。有關所選目錄的詳細資訊,請參閱「AWS 受管理的 Microsoft AD 配額」、「AD Connector 配額」或「Simple AD 配額」。

瞭解目錄的 AWS 安全性群組組態和使用方式

AWS 建立安全性群組,並將其附加至目錄的網域控制站彈性網路介面。 AWS 設定安全群組以封鎖目錄的不必要流量,並允許必要的流量。

修改目錄安全群組

如果您要修改目錄安全群組的安全,您可以這麼做。請只在您完全了解安全群組篩選的運作方式時才進行這類變更。如需詳細資訊,請參閱《Amazon EC2 使用者指南》中的適用於 Linux 執行個體的 Amazon EC2 安全群組一節。不當的變更可能會導致與預定電腦和執行個體的通訊中斷。 AWS 建議您不要嘗試開啟目錄的其他連接埠,因為這會降低目錄的安全性。請仔細檢閱 AWS 共同的責任模型

警告

就技術而言,您可以將目錄的安全群組與您所建立的其他 EC2 執行個體產生關聯。但是, AWS 建議不要這種做法。 AWS 可能有理由修改安全性群組,恕不另行通知,以解決受管理目錄的功能或安全性需求。這類變更會影響您要與目錄安全群組建立關聯的任何執行個體,而且可能會干擾具關聯執行個體的操作。此外,將目錄安全群組與您的 EC2 執行個體產生關聯可能會對 EC2 執行個體帶來安全風險。

如果需要信任,請使用 AWS 受管理的 Microsoft AD

Simple AD 不支援信任關係。如果您需要建立您的 AWS Directory Service 目錄和另一個目錄之間的信任,您應該使用 AWS Directory Service 的 Microsoft Active Directory。

設定:建立您的目錄

以下是建立目錄時需考慮的一些建議。

記住您的管理員 ID 和密碼

在您設定目錄時,您會提供管理員帳戶的密碼。若是 Simple AD,該帳戶 ID 為 Administrator。請記住您為此帳戶建立的密碼,否則您將無法新增物件至目錄。

瞭解應用程式的使 AWS 用者名

AWS Directory Service 為可用於建構使用者名稱的大多數字元格式提供支援。但是,在用戶名上強制執行字符限制,這些用戶名將用於登錄 AWS 應用程序 WorkSpaces,例如 Amazon WorkDocs WorkMail,Amazon 或 Amazon QuickSight。這些限制要求不使用下列字元:

  • 空格

  • 多位元組字元

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

注意

@ 符號只可位於 UPN 尾碼之前。

編寫程式設計自己的應用程式

編寫程式設計自己的應用程式之前,請考慮下列事項:

使用 Windows DC 定位器服務

開發應用程式時,請使用 Windows DC 定位器服務或使用 AWS 管理 Microsoft AD 的動態 DNS (DDNS) 服務來尋找網域控制站 (DC)。請勿使用 DC 地址將應用程式寫死在程式碼中。DC 定位器服務可新增網域控制站到您的部署,協助確保目錄負載分散並讓您充分利用水平擴展。如果您將應用程式繫結到固定的 DC,而該 DC 正在進行修補或復原,則您的應用程式將無法存取該 DC,而不會使用其中一個剩餘的 DC。此外,DC 硬編碼會導致單一 DC 產生熱點。在嚴重的情況下,熱點可能會導致您的 DC 無法回應。這種情況也可能會導致 AWS 目錄自動化將目錄標記為受損,並可能觸發取代無回應 DC 的復原程序。

投入生產前先進行負載測試

請務必針對代表您的生產工作負載的物件與請求執行實驗室測試,以確認目錄擴展至您的應用程式負載。如果您需要額外的容量,您應該使 AWS Directory Service 用 Microsoft Active Directory,這可讓您新增網域控制站以獲得高效能。如需詳細資訊,請參閱 部署其他網域控制器

使用高效 LDAP 查詢

從上千個物件針對網域控制站執行廣泛 LDAP 查詢,會佔用單一 DC 的大量 CPU 周期,進而產生熱點現象。這可能會導致查詢期間使用相同 DC 的應用程式受到影響。