Amazon 微软 AD 托管最佳实践 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 微软 AD 托管最佳实践

以下是你应该考虑的一些建议和指南,以避免出现问题并充分利用 Amazon 托管 Microsoft AD。

设置 Amazon 托管 Microsoft AD 的最佳做法

以下是设置 Amazon 托管 Microsoft AD 时的一些建议和指南:

先决条件

创建目录之前请考虑以下这些准则。

验证目录类型是否正确

Amazon Directory Service 提供多种使用方式 Microsoft Active Directory 以及其他 Amazon 服务。您可以根据预算成本选择具有适当功能的目录服务以满足您的需求:

  • Amazon 适用于微软的目录服务 Active Directory 是一款功能丰富的托管服务 Microsoft Active Directory 托管在 Amazon 云上。 Amazon 如果您拥有超过 5,000 个用户,并且需要在托管目录和本地目录之间建立信任关系,那么 Amazon 托管 Microsoft AD 是您的最佳选择。

  • AD Con nector 只需连接您现有的本地环境即可 Active Directory 到 Amazon。当您想要将现有本地目录与 Amazon 服务一起使用时,AD Connector 是您的最佳选择。

  • S@@ imple AD 是一个低规模、低成本的目录,具有基本功能 Active Directory 兼容性。它支持 5,000 或更少的用户、兼容 Samba 4 的应用程序,并且LDAP兼容感知型应用程序。LDAP

有关 Amazon Directory Service 选项的更详细比较,请参阅选择哪一个

确保您的VPCs和实例配置正确

为了连接、管理和使用您的目录,必须正确配置与VPCs这些目录关联的。有关VPC安全和联网Simple AD 先决条件要求的信息,请参阅、或。创建 Amazon 托管 Microsoft AD 的先决条件 AD Connector 先决条件

如果要将实例添加到域,请确保您具有实例连接并且可以远程访问实例,如将亚马逊EC2实例加入您的微软 Amazon 托管广告的方法 中所述。

注意限制

了解特定目录类型的各种限制。对象的可用存储空间和总大小是可以存储在目录中的对象数量的唯一限制。有关所选目录的详细信息,请参阅 Amazon 托管微软 AD 配额AD Connector 配额Simple AD 限额

了解目录 Amazon 的安全组配置并使用

Amazon 创建安全组并将其附加到目录的域控制器弹性网络接口。此安全组可阻止流向域控制器的不必要流量,并允许必要的流量 Active Directory 通信。 Amazon 将安全组配置为仅打开所需的端口 Active Directory 通信。在默认配置中,安全组接受来自 Amazon 托管 Microsoft AD VPC IPv4 CIDR 地址的这些端口的流量。 Amazon 将安全组附加到您的域控制器的接口,这些接口可以从您的对等设备内部进行访问或调整大小。VPCs即使您修改了路由表、更改了您的VPC网络连接并配置了网NAT关服务,也无法从 Internet 访问这些接口。因此,只有具有网络路径的实例和计算机VPC才能访问该目录。这消除了配置特定地址范围的需求,从而简化了设置。相反,您可以将路由和安全组配置到仅VPC允许来自可信实例和计算机的流量。

修改目录安全组

如果您希望提升目录安全组的安全性,可以修改它们,接受来自更严格控制的 IP 地址列表的流量。例如,您可以将接受的地址从您的VPCIPv4CIDR范围更改为特定于单个子网或计算机的CIDR范围。同样,您可以选择将目标地址限制为您的域控制器可以与之通信的地址。只有在您完全了解安全组的筛选如何工作时,才进行这样的更改。有关更多信息,请参阅亚马逊EC2用户指南中的适用于 Linux 实例的亚马逊EC2安全组。不当的更改可能会导致与目标计算机和实例的通信中断。 Amazon 建议您不要尝试为域控制器打开其他端口,因为这会降低目录的安全性。请仔细查看 Amazon 责任共担模型

警告

从技术上讲,您可以将您的目录使用的安全组与您创建的其他EC2实例关联起来。但是, Amazon 建议不要这样做。 Amazon 可能有理由在不另行通知的情况下修改安全组,以满足托管目录的功能或安全需求。此类更改会影响目录安全组相关联的任何实例。此外,将目录安全组与您的EC2实例关联会给您的实例带来潜在的安全风险。EC2目录安全组根据需要接受流量 Active Directory 来自 Amazon 托管微软 AD VPC IPv4 CIDR 地址的端口。如果您将此安全组关联到互联网的公有 IP 地址的EC2实例,则互联网上的任何计算机都可以在打开的端口上与您的EC2实例通信。

创建你的 Microsoft Amazon 托管广告

以下是您在创建 Amazon 托管 Microsoft 广告时需要考虑的一些建议。

记住管理员 ID 和密码

设置目录时,需要提供管理员账户的密码。该帐户 ID 是 Amazon 托管 Microsoft AD 的管理员。请记住为此账户创建的密码;否则无法向您的目录中添加对象。

创建DHCP选项集

我们建议您为 Amazon Directory Service 目录创建DHCP选项集,并将这些DHCP选项集分配给您的目录所在VPC的。这样,其中的任何实例VPC都可以指向指定的域,并且DNS服务器可以解析其域名。

有关DHCP选项集的更多信息,请参阅为 Amazon 托管 Microsoft AD 创建或更改DHCP选项集

启用条件转发器设置

以下条件转发设置将此条件转发器存储在 Active Directory 中,按如下方式复制:应启用。启用这些设置将确保在由于基础架构故障或过载故障而更换节点时,条件转发器设置保持不变。

应在一个启用先前设置的域控制器上创建条件转发器。这将允许复制到其他域控制器。

部署额外的域控制器

默认情况下, Amazon 创建两个存在于不同可用区域中的域控制器。在软件修补期间以及出现其他事件导致一个域控制器无法访问或不可用时,这提供了故障恢复能力。我们建议您部署额外的域控制器,以进一步提高恢复能力,并在出现较长期事件影响对某个域控制器或某个可用区的访问时,确保向外扩展性能。

有关更多信息,请参阅 使用 Windows DC 定位器服务

了解 Amazon 应用程序的用户名限制

Amazon Directory Service 支持大多数可用于构造用户名的字符格式。但是,对于用于登录 Amazon 应用程序(例如亚马逊、亚马逊或亚马 QuickSight逊 WorkDocs)的用户名 WorkSpaces,有一些字符限制。 WorkMail这些限制要求不使用以下字符:

  • 空格

  • 多字节字符

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

注意

允许使用 @ 符号,只要它在UPN后缀之前即可。

使用 Amazon 托管 Microsoft AD 目录时的最佳做法

在使用 Amazon 托管 Microsoft AD 时,请记住以下建议。

不要更改预定义用户、组和组织单位

使用 Amazon Directory Service 启动目录时, Amazon 会创建一个包含目录中所有对象的组织单元 (OU)。此 OU 位于域根目录中,它具有您在创建目录时键入的网络BIOS名称。域根由所有和管理 Amazon。还会创建几个组和一个管理用户。

不要移动、删除或以任何其他方式更改这些预定义对象。这样做会使您自己和 Amazon您的目录都无法访问。有关更多信息,请参阅 用你的 Amazon 托管 Microsoft AD 创建了什么

自动加入域

启动要成为 Amazon Directory Service 域一部分的 Windows 实例时,通常最简单的方法是作为实例创建过程的一部分加入域,而不是稍后手动添加实例。要自动加入域,只需在启动新实例时为 Domain join directory 选择正确的目录。可以在将亚马逊 EC2 Windows 实例加入你的 Amazon 托管微软 AD Active Directory 中找到详细信息。

正确设置信任

在你的 Microsoft AD Amazon 托管目录与其他目录之间设置信任关系时,请记住以下准则:

  • 信任类型必须在两侧匹配(林或外部)

  • 如果使用单向信任(在信任域上传出、在信任域上传入),请确保正确设置信任方向。

  • 完全限定的域名 (FQDNs) 和网络BIOS名称在森林/域之间必须是唯一的

有关设置信任关系的更多详细信息和特定说明,请参阅在你的 Microsoft Amazon 托管 AD 和自我管理的 AD 之间建立信任关系

跟踪您的域控制器性能

为了帮助优化扩展决策并提高目录弹性和性能,我们建议您使用 CloudWatch 指标。有关更多信息,请参阅 CloudWatch 用于监控你的 Amazon 托管 Microsoft AD 域控制器的性能

有关如何使用控制 CloudWatch 台设置域控制器指标的说明,请参阅 Amazon 安全博客中的如何根据利用率指标自动扩展 Microsoft AD Amazon 托管

仔细规划架构扩展

应用架构扩展时进行周全考虑,针对重要和频繁的查询为您的目录编制索引。慎重使用以免为目录过度地编制索引,因为索引将占用目录空间并且快速更改的索引值可能会导致性能问题。要添加索引,必须创建轻量级目录访问协议 (LDAP) 目录交换格式 (LDIF) 文件并扩展架构更改。有关更多信息,请参阅 扩展你的 Amazon 托管微软 AD 架构

关于负载均衡器

请勿在 Amazon 托管 Microsoft AD 端点前使用负载平衡器。Microsoft 设计 Active Directory (AD) 用于域控制器 (DC) 发现算法,该算法无需外部负载平衡即可找到响应速度最快的运行 DC。外部网络负载均衡器不准确地检测到活动状态,DCs并可能导致您的应用程序被发送到即将启动但尚未准备就绪的 DC。有关更多信息,请参阅 Microsoft 上的负载平衡器和 Active Directory TechNet ,其中建议修复应用程序以正确使用 Active Directory,而不是实现外部负载均衡器。

创建实例的备份

如果您决定手动向现有 Amazon Directory Service 域中添加实例,请先对该实例进行备份或拍摄快照。这在加入 Linux 实例时尤其重要。用于添加实例的某些过程如果执行不正确,可能使实例无法访问或不可用。有关更多信息,请参阅 使用快照恢复你的 Amazon 托管 Microsoft AD

设置SNS消息传递

借助亚马逊简单通知服务 (AmazonSNS),当您的目录状态发生变化时,您可以收到电子邮件或短信 (SMS) 消息。如果您的目录从 Active 状态变为 ImpairedInoperable 状态,您将收到通知。当目录恢复为“活动”状态时,您也会收到通知。

另请记住,如果您的SNS主题接收来自的消息 Amazon Directory Service,则在从 Amazon SNS 控制台删除该主题之前,应将您的目录与其他SNS主题相关联。否则您可能错过重要的目录状态消息。有关如何设置 Amazon 的信息SNS,请参阅使用亚马逊简单通知服务启用 Amazon 托管 Microsoft AD 目录状态通知

应用目录服务设置

Amazon 托管 Microsoft AD 允许你定制安全配置,以满足你的合规和安全要求。 Amazon Microsoft AD 会将配置部署并维护到您目录中的所有域控制器,包括在添加新区域或其他域控制器时。您可以为所有新目录和现有目录配置和应用这些安全设置。您可以按照中的步骤编辑目录安全设置或通过中的步骤在控制台中执行此操作UpdateSettingsAPI

有关更多信息,请参阅 编辑 Amazon 托管微软 AD 目录安全设置

在删除目录之前删除 Amazon Enterprise 应用程序

在删除与一个或多个亚马逊企业应用程序(如亚马逊 WorkSpaces 应用程序管理器、亚马逊 WorkSpaces、亚马逊或亚马逊 WorkDocs关系数据库服务 (A WorkMail mazonRDS))关联的目录之前,必须先删除每个应用程序。 Amazon Web Services Management Console有关如何删除这些应用程序的更多信息,请参阅删除你的 Microsoft Amazon 托管广告

访问SYSVOL和NETLOGON共享时使用 SMB 2.x 客户端

客户端计算机使用服务器消息块 (SMB) 访问SYSVOL和NETLOGON共享 Amazon 托管 Microsoft AD 域控制器上的组策略、登录脚本和其他文件。 Amazon 托管 Microsoft AD 仅支持 2.0 (SMBv2) 及更高SMB版本。

新版本SMBv2的协议增加了许多功能,这些功能可以提高客户端性能并提高域控制器和客户端的安全性。此更改遵循了美国计算机应急准备小组Microsoft 提出的禁用建议SMBv1。

重要

如果您当前使用SMBv1客户端访问域控制器的SYSVOL和NETLOGON共享,则必须更新这些客户端才能使用SMBv2或更新版本。您的目录可以正常运行,但您的SMBv1客户端将无法连接到您的 Amazon 托管 Microsoft AD 域控制器的SYSVOL和NETLOGON共享,也将无法处理组策略。

SMBv1客户机将与您拥有的任何其他SMBv1兼容文件服务器配合使用。但是, Amazon 建议您将所有SMB服务器和客户机更新为SMBv2或更新版本。要了解有关在系统上禁用它SMBv1并将其更新到新SMB版本的更多信息,请查看 Microsoft TechNet 上的这些帖子和 Microsoft 文档

跟踪SMBv1远程连接

你可以远程查看连接到托管微软 AD 域控制器的微软-Windows-SMBServer/Audi Amazon t Windows 事件日志,该日志中的任何事件都表示连接。SMBv1以下是您可能会在某个日志中看到的信息示例:

SMB1访问

客户端地址:###.###.###.###

指南:

此事件表示客户端试图使用访问服务器SMB1。要停止审核SMB1访问权限,请使用 Windows PowerShell cmdlet Set-。SmbServerConfiguration

为 Amazon 托管 Microsoft AD 编程应用程序时的最佳实践

在对应用程序进行编程使其与 Amazon 托管 Microsoft AD 配合使用之前,请考虑以下几点:

使用 Windows DC 定位器服务

开发应用程序时,使用 Windows DC 定位器服务或使用 Amazon 托管 Microsoft AD 的动态 DNS (DDNS) 服务来定位域控制器 (DCs)。请勿使用 DC 的地址对应用程序进行硬编码。DC 定位器服务有助于确保分配目录负载,使您能够通过将域控制器添加到部署来利用水平扩展。如果您将应用程序绑定到固定的 DC,并且该 DC 正在进行修补或恢复,则您的应用程序将无法访问该 DC,而不是使用其余的 DC 之一。DCs而且,DC 的硬编码可能导致在单一 DC 上出现热点。情况严重时,热点可能导致您的 DC 无法响应。此类情况还可能导致 Amazon 目录自动化将目录标记为受损,并可能触发替换无响应的 DC 的恢复进程。

交付生产之前的负载测试

请务必对代表您的生产工作负载的对象和请求执行实验室测试,以确认目录将扩展至您的应用程序负载。如果您需要更多容量,请在两者之间分配请求DCs时使用其他容量进行测试DCs。有关更多信息,请参阅 为你的 Amazon 托管 Microsoft AD 部署额外的域控制器

使用高效的LDAP查询

跨成千上万个对象对域控制器进行广泛LDAP查询可能会消耗单个 DC 中的大量CPU周期,从而导致热点。这可能影响在查询期间共享同一 DC 的应用程序。