的最佳实践Amazon微软 AD 托管 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

的最佳实践Amazon微软 AD 托管

以下是一些建议和指导方针,你应该考虑这些建议和指导方针,以避免出现问题并从中获得最大收益Amazon托管微软 AD。

设置:先决条件

创建目录之前请考虑以下这些准则。

确认您的目录类型正确

Amazon Directory Service 提供了多种方式来结合使用 Microsoft Active Directory 与其他 Amazon 服务。您可以根据预算成本选择具有适当功能的目录服务以满足您的需求:

  • Amazon微软活动目录服务活动目录是一款功能丰富的托管微软 Active Directory,托管在Amazon云。Amazon如果你有超过 5,000 名用户并且需要在用户之间建立信任关系,那么托管 Microsoft AD 是你的最佳选择Amazon托管目录和您的本地目录。

  • AD 连接器只需将您现有的本地活动目录连接到Amazon。当您想将现有的本地目录与 AD Connector 配合使用时,您的最佳选择Amazon服务。

  • 简单广告是一个低规模、低成本的目录,具有基本的活动目录兼容性。它支持 5,000 个或更少的用户、兼容 Samba 4 的应用程序,以及支持 LDAP 的应用程序的 LDAP 兼容性。

有关 Amazon Directory Service 选项的更详细比较,请参阅选择哪个

确保您的 VPC 和实例配置正确

为了连接、管理和使用您的目录,必须正确配置与这些目录关联的 VPC。任一查看AmazonMicrosoft ADAD Connetor,或简单的 AD 先决条件了解有关 VPC 安全和联网要求的信息。

如果要将实例添加到域,请确保您具有实例连接并且可以远程访问实例,如将 EC2 实例加入您的Amazon托管微软 AD 目录 中所述。

注意自己的极限

了解您的特定目录类型的各种限制。可用存储空间和对象的总大小是对目录中可以存储的对象数量的唯一限制。任一查看Amazon管理微软广告配额AD Connector 配额,或Simple AD 配额了解有关您选择的目录的详细信息。

了解你的目录Amazon安全组的配置和使用

Amazon创建一个安全组并将其附加到目录的域控制器上弹性网络接口。此安全组可阻止流向域控制器的不必要流量,并允许 Active Directory 通信所需的流量。Amazon将安全组配置为仅打开 Active Directory 通信所需的端口。在默认配置中,安全组接受来自任何 IP 地址的流量。Amazon将安全组附加到您的域控制器的接口,这些接口可以从您的对等设备内部进行访问或调整大小VPC。即使您修改路由表、更改与 VPC 的网络连接以及配置 NAT 网关服务,这些接口也无法从 Internet 访问。因此,只有具有指向 VPC 的网络路径的实例和计算机可以访问目录。这消除了配置特定地址范围的需求,从而简化了设置。而您只需要配置到 VPC 的路由和安全组,使其仅允许来自可信实例和计算机的流量。

修改目录安全组

如果您希望提升目录安全组的安全性,可以修改它们,接受来自更严格控制的 IP 地址列表的流量。例如,您可以将接受的地址从 0.0.0.0/0 更改为特定于单个子网或计算机的 CIDR 范围。同样,您可以选择将目标地址限制为您的域控制器可以与之通信的地址。只有在您完全了解安全组的筛选如何工作时,才进行这样的更改。有关更多信息,请参阅适用于 Linux 实例的亚马逊 EC2 安全组亚马逊 EC2 用户指南。不当的更改可能会导致与目标计算机和实例的通信中断。Amazon建议您不要尝试为域控制器打开其他端口,因为这会降低目录的安全性。请仔细查看Amazon责任共担模型

警告

从技术上来说,您可以将目录使用的安全组与您创建的其他 EC2 实例关联。但是,Amazon建议不要这样做。Amazon可能有理由在不另行通知的情况下修改安全组,以满足托管目录的功能或安全需求。此类更改会影响目录安全组相关联的任何实例。此外,将目录安全组与您的 EC2 实例关联起来会导致 EC2 实例潜在的安全风险。目录安全组在所需 Active Directory 端口上接收来自任何 IP 地址流量。如果您将此安全组与 EC2 实例关联而该实例具有连接到 Internet 的公共 IP 地址,则 Internet 上的任意计算机都可以在开放端口上与 EC2 实例通信。

设置:创建您的目录

下面是创建目录时应考虑的一些建议。

记住您的管理员 ID 和密码

设置目录时,需要提供管理员账户的密码。该账户 ID 是管理员为了Amazon托管微软 AD。请记住为此账户创建的密码;否则无法向您的目录中添加对象。

创建 DHCP 选项集

我们建议为 Amazon Directory Service 目录创建 DHCP 选项集并将 DHCP 选项集分配给该目录所在的 VPC。这样,该 VPC 中的任何实例都可以指向指定域,并且 DNS 服务器可以解析其域名。

有关 DHCP 选项集的更多信息,请参阅 创建 DHCP 选项集

部署额外的域控制器

默认情况下,Amazon创建两个存在于不同可用区域的域控制器。在软件修补期间以及出现其他事件导致一个域控制器无法访问或不可用时,这提供了故障恢复能力。我们建议您部署额外的域控制器,以进一步提高恢复能力,并在出现较长期事件影响对某个域控制器或某个可用区的访问时,确保向外扩展性能。

有关更多信息,请参阅使用 Windows DC 定位器服务

了解的用户名限制Amazon应用程序

Amazon Directory Service 支持大多数可用于构造用户名的字符格式。但是,对于用于登录的用户名,有一些字符限制Amazon应用程序,例如 WorkSpaces,亚马逊 WorkDocs,亚马逊 WorkMail,或者亚马逊 QuickSight。这些限制要求不使用以下字符:

  • 空格

  • 多字节字符

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

注意

仅允许在 UPN 后缀之前使用 @ 符号。

使用你的目录

下面是使用目录时应记住的一些建议。

请勿更改预定义的用户、群组和组织单位

使用 Amazon Directory Service 启动目录时,Amazon 会创建一个包含所有目录对象的组织部门 (OU)。此 OU (具有您在创建目录时键入的 NetBIOS 名称) 位于域根目录中。此域根目录由 Amazon 拥有和管理。还会创建几个组和一个管理用户。

不要移动、删除或以任何其他方式更改这些预定义对象。否则,可能会使您自己和 Amazon 都无法访问您的目录。有关更多信息,请参阅会创造什么

自动加入域名

启动属于 Amazon Directory Service 域的一部分的 Windows 实例时,最简单的方法通常是在实例创建过程中加入域而不是在以后手动添加实例。要自动加入域,只需在启动新实例时为 Domain join directory 选择正确的目录。可以在无缝加入 Windows EC2 实例 中找到详细信息。

正确设置信任

在您之间建立信任关系时Amazon托管 Microsoft AD 目录和其他目录,请记住以下准则:

  • 信任类型必须在两侧匹配(林或外部)

  • 如果使用单向信任(在信任域上传出、在信任域上传入),请确保正确设置信任方向。

  • 完全限定域名 (FQDN) 和 NetBIOS 名称在林/域之间都必须唯一

有关设置信任关系的更多详细信息和特定说明,请参阅创建信任关系

管理您的目录

请考虑以下用于管理目录的建议。

跟踪您的域控制器性能

为了帮助优化扩展决策并提高目录弹性和性能,我们建议您使用 CloudWatch 指标。有关更多信息,请参阅使用性能指标监控域控制器

有关如何使用设置域控制器指标的说明 CloudWatch 控制台,请参阅如何实现自动化Amazon根据利用率指标管理微软 AD 扩展在Amazon安全博客。

仔细规划架构扩展

应用架构扩展时进行周全考虑,针对重要和频繁的查询为您的目录编制索引。慎重使用以免为目录过度地编制索引,因为索引将占用目录空间并且快速更改的索引值可能会导致性能问题。要添加索引,您必须创建一个轻型目录访问协议 (LDAP) 目录交换格式 (LDIF) 文件并扩展您的架构更改。有关更多信息,请参阅扩展你的架构

关于负载均衡器

不要在前面使用负载均衡器Amazon托管微软 AD 端点。Microsoft 设计了与域控制器 (DC) 发现算法 (查找在无外部负载平衡的情况下最易响应的运行 DC) 一起使用的 Active Directory (AD)。外部网络负载均衡器不正确地检测活动 DC,可能会导致您的应用程序发送给将出现、但未做好使用准备的 DC。有关更多信息,请参阅负载均衡器和活动目录在微软上 TechNet 它建议修复应用程序以正确使用 AD,而不是实现外部负载均衡器。

备份您的实例

如果决定将实例手动添加到现有 Amazon Directory Service 域,请先对该实例创建备份或拍摄快照。这在加入 Linux 实例时尤其重要。用于添加实例的某些过程如果执行不正确,可能使实例无法访问或不可用。有关更多信息,请参阅快照或恢复你的目录

设置 SNS 消息

借助亚马逊简单通知服务 (Amazon SNS),您可以在目录状态发生变化时收到电子邮件或短信 (SMS) 消息。如果您的目录从 Active 状态变为 ImpairedInoperable 状态,您将收到通知。当目录恢复为“Active”状态时,您也会收到通知。

另请记住,如果你有一个接收来自的消息的 SNS 主题Amazon Directory Service,在从 Amazon SNS 控制台中删除该主题之前,应将您的目录与其他 SNS 主题相关联。否则您可能错过重要的目录状态消息。有关如何设置亚马逊 SNS 的信息,请参阅配置目录状态通知

应用目录服务设置

Amazon托管 Microsoft AD 允许您定制安全配置,以满足您的合规性和安全性要求。Amazon托管 Microsoft AD 会将配置部署并维护到您目录中的所有域控制器,包括在添加新区域或其他域控制器时。您可以为所有新目录和现有目录配置和应用这些安全设置。您可以按照中的步骤在控制台中执行此操作编辑目录安全设置或者通过UpdateSettings API

有关更多信息,请参阅配置目录安全设置

删除目录之前移除亚马逊企业版应用程序

在删除与一个或多个亚马逊企业应用程序关联的目录之前,例如, WorkSpaces,亚马逊 WorkSpaces 亚马逊应用程序经理 WorkDocs,亚马逊 WorkMail,Amazon Web Services Management Console,或亚马逊关系数据库服务 (Amazon RDS),您必须先移除每个应用程序。有关如何删除这些应用程序的更多信息,请参阅删除目录

访问 SYSVOL 和 NETLOGON 共享时使用 SMB 2.x 客户端

客户端计算机使用服务器消息块 (SMB) 访问上的 SYSVOL 和 NETLOGON 共享Amazon用于管理组策略、登录脚本和其他文件的 Microsoft AD 域控制器。Amazon托管微软 AD 仅支持 SMB 版本 2.0 (SMBv2) 及更高版本。

SMBv2 和更新版本的协议增加了许多功能,可以提高客户端性能以及域控制器和客户端的安全性。此更改遵循了以下建议美国计算机应急准备小组微软禁用 SMBv1。

重要

如果您当前使用 SMBv1 客户端来访问域控制器的 SYSVOL 和 NETLON 共享,请务必更新这些客户端以使用 SMBv2 或更新版本。你的目录可以正常运行,但你的 SMBv1 客户端将无法连接到你的 SYSVOL 和 NETLOGON 共享Amazon托管 Microsoft AD 域控制器,也将无法处理组策略。

SMBv1 客户端将与您拥有的任何其他兼容 SMBv1 的文件服务器配合使用。但是,Amazon建议您将所有 SMB 服务器和客户端更新为 SMBv2 或更高版本。要了解有关在系统上禁用 SMBv1 并将其更新到较新 SMB 版本的更多信息,请参阅以下帖子微软 TechNet支持

跟踪 SMBv1 远程连接

你可以查看微软-Windows-smbServer/AuditWindows 事件日志远程连接到Amazon托管 Microsoft AD 域控制器,此日志中的任何事件都表示 SMBv1 连接。以下是您可能会在某个日志中看到的信息示例:

SMB1 访问

客户端地址:###.###.###.###

指南:

此事件表示客户端试图使用 SMB1 访问服务器。要停止审计 SMB1 访问权限,请使用 Windows PowerShell cmdlet Set-SmbServerConfiguration。

对应用程序进行编程

在为您的应用程序编程之前,请考虑以下事项:

使用 Windows DC 定位器服务

开发应用程序时,请使用 Windows DC 定位器服务或使用你的动态 DNS (DDNS) 服务Amazon管理微软 AD 以定位域控制器 (DC)。请勿使用 DC 的地址对应用程序进行硬编码。DC 定位器服务有助于确保分配目录负载,使您能够通过将域控制器添加到部署来利用水平扩展。如果您将应用程序绑定到固定 DC 并且 DC 进行修补或恢复,则您的应用程序将失去对 DC 的访问权限而不是使用其余的 DC。而且,DC 的硬编码可能导致在单一 DC 上出现热点。情况严重时,热点可能导致您的 DC 无法响应。此类情况可能还会导致 Amazon 目录自动化功能将目录标记为“受损”,并且可能触发更换无响应 DC 的恢复过程。

在投入生产之前进行负载测试

请务必对代表您的生产工作负载的对象和请求执行实验室测试,以确认目录将扩展至您的应用程序负载。如果您需要更多容量,请在 DC 间分配请求时测试其他 DC。有关更多信息,请参阅部署额外的域控制器

使用高效的 LDAP 查询

对域控制器进行的针对数万个对象的广泛 LDAP 查询在单个 DC 中会产生明显的 CPU 周期消耗,从而导致热点。这可能影响在查询期间共享同一 DC 的应用程序。