的最佳实践Simple AD - AWS Directory Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

的最佳实践Simple AD

为避免问题并充分利用 ,您应该考虑以下建议和准则。AWS Managed Microsoft AD.

Setting up: Prerequisites

创建目录之前请考虑以下这些准则。

验证您是否有正确的目录类型

AWS Directory Service 提供了多种方式来结合使用 Microsoft Active Directory 与其他 AWS 服务。您可以根据预算成本选择具有适当功能的目录服务以满足您的需求:

  • AWS Directory Service for Microsoft Active Directory 是在 AWS 云中托管的功能丰富的托管 Microsoft Active Directory。如果您的用户数超过 5000,并且需要在 AWS 托管目录与您的本地目录之间建立信任关系,则 AWS Managed Microsoft AD 是您的最佳选择。

  • AD Connector 将您现有的本地 Active Directory 直接连接到 AWS。当您想要将现有本地目录与 AWS 服务一起使用时,AD Connector 是您的最佳选择。

  • Simple AD 是具有常用目录功能并与 Active Directory 兼容的低成本服务。在大多数情况下,Simple AD 是成本最低的选择,如果您的用户数不超过 5000,并且不需要更高级的 Microsoft Active Directory 功能,这是您的最佳选择。

有关 AWS Directory Service 选项的更详细比较,请参阅选择哪个选项

确保 VPC 和实例得到正确地配置

要连接到、管理和使用目录,必须正确配置目录所关联的 VPC。有关 VPC 安全和网络要求的信息,请参阅 AWS Managed Microsoft AD先决条件AD Connector先决条件Simple AD先决条件

如果要将实例添加到域,请确保您具有实例连接并且可以远程访问实例,如将 EC2 实例加入 AWS Managed Microsoft AD 目录 中所述。

注意限制

了解您特定目录类型的不同限制。您可以在您的目录中存储的对象的数量仅受可能存储空间和您的对象的聚合大小的限制。有关您选定的目录的详细信息,请参阅 AWS Managed Microsoft AD 配额AD Connector 配额Simple AD 配额

Understand your directory’s AWS security group configuration and use

AWS 创建安全组并将其附加到目录的域控制器弹性网络接口. AWS 将配置安全组以阻止到目录的不必要的流量并允许必要的流量。

Modifying the directory security group

如果要修改目录的安全组的安全性,则可以这样做。只有在您完全了解安全组的筛选如何工作时,才进行这样的更改。For more information, see Amazon EC2 security groups for Linux instances in the Amazon EC2 User Guide. 不正确的更改可能会导致丢失与目标计算机和实例的通信。AWS 建议您不要尝试打开到您的目录的其他端口,因为这会降低目录的安全性。请仔细查看 AWS 责任共担模型.

警告

从技术上来说,您可以将目录的安全组与您创建的其他 EC2 实例关联。不过,AWS 建议不要采用这种做法。AWS 可能会由于某些原因在未经通知的情况下修改安全组,以满足托管目录的功能或安全需求。此类更改会影响您将目录安全组关联到的任何实例,并可能中断关联实例的操作。此外,将目录安全组与您的 EC2 实例关联可能为 EC2 实例带来潜在的安全风险。

Use AWS Managed Microsoft AD if trusts are required

Simple AD 不支持信任关系。如果需要在 AWS Directory Service 目录与其他目录之间建立信任,则应使用 AWS Directory Service for Microsoft Active Directory.

Setting up: Creating your directory

下面是创建目录时应考虑的一些建议。

Remember your administrator ID and password

设置目录时,需要提供管理员账户的密码。此账户 ID 是 管理员Simple AD. ID。请记住为此账户创建的密码;否则无法向您的目录中添加对象。

Understand username restrictions for AWS applications

AWS Directory Service 支持大多数可用于构造用户名的字符格式。但是,对于登录到 AWS 应用程序(例如 Amazon WorkSpaces、Amazon WorkDocs、Amazon WorkMail 或 Amazon QuickSight.)所用的用户名有一些字符限制。这些限制要求不使用以下字符:

  • 空格

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

注意

仅允许在 UPN 后缀之前使用 @ 符号。

Programming your applications

在为您的应用程序编程之前,请考虑以下事项:

Use the Windows DC locator service

开发应用程序时,请使用 Windows DC 定位器服务或使用 AWS Managed Microsoft AD 的动态 DNS (DDNS) 服务找到域控制器 (DC) 所在位置。请勿使用 DC 的地址对应用程序进行硬编码。DC 定位器服务有助于确保分配目录负载,使您能够通过将域控制器添加到部署来利用水平扩展。If you bind your application to a fixed DC and the DC undergoes patching or recovery, your application will lose access to the DC instead of using one of the remaining DCs. Furthermore, hard coding of the DC can result in hot spotting on a single DC. 情况严重时,热点可能导致您的 DC 无法响应。此类情况可能还会导致 AWS 目录自动化功能将目录标记为“受损”,并且可能触发更换无响应 DC 的恢复过程。

Load test before rolling out to production

请务必对代表您的生产工作负载的对象和请求执行实验室测试,以确认目录将扩展至您的应用程序负载。如果您需要更多容量,则应使用 AWS Directory Service for Microsoft Active Directory,以便能添加域控制器以获得高性能。有关更多信息,请参阅 部署额外的域控制器.

Use efficient LDAP queries

对域控制器进行的针对数千个对象的广泛 LDAP 查询在单个 DC 中会产生明显的 CPU 周期消耗,从而导致热点。这可能影响在查询期间共享同一 DC 的应用程序。