AWS Directory Service
管理指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AD Connector 的最佳实践

为避免问题并充分利用 AD Connector,您应该考虑以下建议和准则。

设置:先决条件

创建目录之前请考虑以下这些准则。

Verify You Have the Right Directory Type

AWS Directory Service provides multiple ways to use Microsoft Active Directory with other AWS services. You can choose the directory service with the features you need at a cost that fits your budget:

  • AWS Directory Service for Microsoft Active Directory is a feature-rich managed Microsoft Active Directory hosted on the AWS cloud. AWS Managed Microsoft AD is your best choice if you have more than 5,000 users and need a trust relationship set up between an AWS hosted directory and your on-premises directories.

  • AD Connector simply connects your existing on-premises Active Directory to AWS. AD Connector is your best choice when you want to use your existing on-premises directory with AWS services.

  • Simple AD is an inexpensive Active Directory–compatible service with the common directory features. In most cases, Simple AD is the least expensive option and your best choice if you have 5,000 or fewer users and don’t need the more advanced Microsoft Active Directory features.

For a more detailed comparison of AWS Directory Service options, see 选择哪一个.

Ensure Your VPCs and Instances are Configured Correctly

In order to connect to, manage, and use your directories, you must properly configure the VPCs that the directories are associated with. See either AWS Managed Microsoft AD 先决条件, AD Connector 先决条件, or Simple AD 先决条件 for information about the VPC security and networking requirements.

If you are adding an instance to your domain, ensure that you have connectivity and remote access to your instance as described in 将 EC2 实例加入 AWS Managed Microsoft AD 目录.

Be Aware of Your Limits

Learn about the various limits for your specific directory type. The available storage and the aggregate size of your objects are the only limitations on the number of objects you may store in your directory. See either AWS Managed Microsoft AD 的限制, AD Connector 的限制, or Simple AD 的限制 for details about your chosen directory.

了解目录的 AWS 安全组配置和使用

AWS 会创建一个安全组并将其附加到您的目录的弹性网络接口,该接口可从您的对等的或调整大小的 VPC 中访问。AWS 将配置安全组以阻止到目录的不必要的流量并允许必要的流量。

修改目录安全组

如果要修改目录的安全组的安全性,则可以这样做。只有在您完全了解安全组的筛选如何工作时,才进行这样的更改。有关更多信息,请参阅 Amazon EC2 用户指南 中的适用于 Linux 实例的 Amazon EC2 安全组。不正确的更改可能会导致丢失与目标计算机和实例的通信。AWS 建议您不要尝试打开到您的目录的其他端口,因为这会降低目录的安全性。请仔细查看 AWS 责任共担模型

警告

从技术上来说,您可以将目录的安全组与您创建的其他 EC2 实例关联。不过,AWS 建议不要采用这种做法。AWS 可能会由于某些原因在未经通知的情况下修改安全组,以满足托管目录的功能或安全需求。此类更改会影响您将目录安全组关联到的任何实例,并可能中断关联实例的操作。此外,将目录安全组与您的 EC2 实例关联可能为 EC2 实例带来潜在的安全风险。

使用 AD Connector 时正确配置本地站点和子网

如果您的本地网络中已定义 Active Directory 站点,您必须确保在 Active Directory 站点中您 AD Connector 所在的 VPC 内定义了子网,并且 VPC 中的子网与您其他站点中的子网之间不存在冲突。

为发现域控制器,AD Connector 将使用子网 IP 地址范围与包含 AD Connector 的 VPC 中的子网 IP 地址范围接近的 Active Directory 站点。如果您的一个站点具有 IP 地址范围与您 VPC 中的 IP 地址范围相同的子网,则 AD Connector 将发现该站点中的域控制器,但该站点的实际地点不一定靠近您的区域。

了解 AWS 应用程序的用户名限制

AWS Directory Service 支持大多数可用于构造用户名的字符格式。但是,对于登录到 AWS 应用程序(例如 Amazon WorkSpaces、Amazon WorkDocs、Amazon WorkMail 或 Amazon QuickSight)所用的用户名有一些字符限制。这些限制要求不使用以下字符:

  • 空格

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

注意

仅允许在 UPN 后缀之前使用 @ 符号。

为您的应用程序编程

在为您的应用程序编程之前,请考虑以下事项:

交付生产之前的负载测试

请务必对代表您的生产工作负载的应用程序和请求执行实验室测试,以确认目录将扩展至您的应用程序负载。如果您需要更多容量,请将您的负载分布在多个 AD Connector 目录中。

使用目录

下面是使用目录时应记住的一些建议。

定期交替管理员凭证

定期更改您的 AD Connector 服务账户管理员密码,并确保密码与您现有的 Active Directory 密码策略一致。有关如何更改服务账户密码的说明,请参阅 在 AWS Directory Service 中更新 AD Connector 服务账户凭证

对每个域使用唯一的 AD Connector

AD Connector 和本地 AD 域具有 1 对 1 关系。也就是说,对于每个本地域,包括 AD 林中您要针对其进行身份验证的子域,您必须创建一个唯一的 AD Connector。您创建的每个 AD Connector 都必须使用不同的服务账户,即使将它们连接到同一目录时也是如此。

兼容性检查

在使用 AD Connector 时,必须确保您的本地目录与 AWS Directory Services 始终兼容。有关您的责任的更多信息,请参阅我们的责任共担模型