Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Methoden für Simple AD
Hier sind einige Vorschläge und Richtlinien, die Sie berücksichtigen sollten, um Probleme zu vermeiden und Simple AD optimal zu nutzen.
Einrichten: Voraussetzungen
Beachten Sie die folgenden Richtlinien, bevor Sie Ihr Verzeichnis erstellen.
Sicherstellen, dass Sie den richtigen Verzeichnistyp verwenden
AWS Directory Service bietet mehrere Möglichkeiten zur Verwendung Microsoft Active Directory mit anderen AWS Diensten. Sie können den Verzeichnisdienst mit den Funktionen wählen, die Sie benötigen, ohne Ihr Budget zu überlasten:
-
AWS Der Directory Service für Microsoft Active Directory ist ein funktionsreicher, verwalteter Dienst, der in der Microsoft Active Directory AWS Cloud gehostet wird. AWS Managed Microsoft AD ist die beste Wahl, wenn Sie mehr als 5.000 Benutzer haben und eine Vertrauensbeziehung zwischen einem AWS gehosteten Verzeichnis und Ihren lokalen Verzeichnissen einrichten möchten.
-
AD Connector verbindet einfach Ihr vorhandenes lokales System Active Directory mit AWS. AD Connector ist die beste Wahl, wenn Sie Ihr vorhandenes On-Premises-Verzeichnis mit AWS -Services verwenden möchten.
-
Simple AD ist ein niedriges, kostengünstiges Verzeichnis mit grundlegender Active Directory Kompatibilität. Es unterstützt 5 000 oder weniger Benutzer, Samba-4-kompatible Anwendungen und LDAP-Kompatibilität für LDAP-fähige Anwendungen.
Einen detaillierteren Vergleich der AWS Directory Service Optionen finden Sie unterWelche sollte man auswählen.
Stellen Sie sicher, dass Ihre VPCs und Instances korrekt konfiguriert sind
Um eine Verbindung zu Ihren Verzeichnissen herzustellen, sie zu verwalten und zu verwenden, müssen Sie die Verzeichnisse, VPCs denen die Verzeichnisse zugeordnet sind, ordnungsgemäß konfigurieren. Weitere Informationen über die Anforderungen zur VPC-Sicherheit und Netzwerken finden Sie unter Voraussetzungen für die Erstellung eines AWS verwalteten Microsoft AD, AD-Connector-Voraussetzungen oder Simple-AD-Voraussetzungen.
Wenn Sie Ihrer Domain eine Instance hinzufügen, stellen Sie sicher, dass Sie eine Verbindung und Remote-Zugriff auf Ihre Instance haben, wie in Möglichkeiten, eine EC2 Amazon-Instance mit Ihrem AWS Managed Microsoft AD zu verbinden beschrieben.
Sich der eigenen Grenzen bewusst sein
Erfahren Sie mehr über die verschiedenen Beschränkungen für Ihren spezifischen Verzeichnistyp. Der verfügbare Speicherplatz und die Gesamtgröße Ihrer Objekte sind die einzigen Einschränkungen in Bezug auf die Anzahl der Objekte, die Sie in Ihrem Verzeichnis speichern können. Einzelheiten zu dem von Ihnen ausgewählten Verzeichnis finden Sie unter AWS Verwaltete Microsoft AD-Kontingente, Kontingente für AD Connector oder Kontingente für Simple AD.
Machen Sie sich mit der Konfiguration und Verwendung der AWS Sicherheitsgruppen Ihres Verzeichnisses vertraut
AWS erstellt eine Sicherheitsgruppe und fügt sie den elastischen Netzwerkschnittstellen des Domänencontrollers Ihres Verzeichnisses hinzu. AWS konfiguriert die Sicherheitsgruppe so, dass unnötiger Datenverkehr zum Verzeichnis blockiert wird, und lässt den erforderlichen Datenverkehr zu.
Ändern der Verzeichnissicherheitsgruppe
Sie können Sicherheitsgruppen für Ihre Verzeichnisse ändern, aber nur, wenn Sie die Sicherheitsgruppenfilterung vollständig verstehen. Weitere Informationen finden Sie unter EC2 Amazon-Sicherheitsgruppen für Linux-Instances im EC2 Amazon-Benutzerhandbuch. Unsachgemäße Änderungen können die Kommunikation mit den vorgesehenen Computern und Instances stören. AWS empfiehlt, keine zusätzlichen Ports für Ihr Verzeichnis zu öffnen, da dies die Sicherheit verringert. Prüfen Sie das Modell der AWS geteilten Verantwortung
Warnung
Es ist technisch möglich, die Sicherheitsgruppe des Verzeichnisses mit anderen von Ihnen EC2 erstellten Instanzen zu verknüpfen. AWS Empfiehlt jedoch von dieser Vorgehensweise ab. AWS kann Gründe haben, die Sicherheitsgruppe ohne vorherige Ankündigung zu ändern, um den Funktions- oder Sicherheitsanforderungen des verwalteten Verzeichnisses gerecht zu werden. Solche Änderungen wirken sich auf alle Instances aus, denen Sie die Verzeichnis-Sicherheitsgruppe zuordnen, und können den Betrieb der dazugehörigen Instances stören. Darüber hinaus kann die Zuordnung der Verzeichnissicherheitsgruppe zu Ihren EC2 Instances ein potenzielles Sicherheitsrisiko für Ihre EC2 Instances darstellen.
Verwenden Sie AWS Managed Microsoft AD, wenn Vertrauensstellungen erforderlich sind
Simple AD unterstützt keine Vertrauensstellungen. Wenn Sie eine Vertrauensstellung zwischen Ihrem AWS Directory Service Verzeichnis und einem anderen Verzeichnis einrichten müssen, sollten Sie den AWS Directory Service für Microsoft Active Directory verwenden.
Einrichten: Erstellen Ihres Verzeichnisses
Hier finden Sie einige Vorschläge, wie Sie Ihr Verzeichnis erstellen.
Ihre Administratoren-ID und das Passwort nicht vergessen
Wenn Sie Ihr Verzeichnis einrichten, geben Sie ein Passwort für das Administratorkonto ein. Die Konto-ID für Simple AD lautet Administrator. Merken Sie sich das Passwort, das Sie für dieses Konto erstellen. Andernfalls können Sie keine Objekte in Ihrem Verzeichnis hinzufügen.
Machen Sie sich mit Benutzernamenbeschränkungen für AWS Anwendungen vertraut
AWS Directory Service unterstützt die meisten Zeichenformate, die bei der Erstellung von Benutzernamen verwendet werden können. Es gibt jedoch Zeichenbeschränkungen, die für Benutzernamen gelten, die für die Anmeldung bei AWS Anwendungen verwendet werden, wie WorkSpaces, WorkDocs WorkMail, Amazon oder. QuickSight Diese Einschränkungen verlangen, dass die folgenden Zeichen nicht verwendet werden:
-
Leerzeichen
Multibyte-Zeichen
!"#$%&'()*+,/:;<=>?@[\]^`{|}~
Anmerkung
Das Symbol @ ist zulässig, wenn es einem UPN-Suffix vorausgeht.
Programmieren Ihrer Anwendungen
Stellen Sie folgende Überlegungen an, ehe Sie Ihre Anwendungen programmieren:
Den Windows-DC-Suchservice verwenden
Verwenden Sie bei der Entwicklung von Anwendungen den Windows DC-Locator-Dienst oder den Dynamic DNS-Dienst (DDNS) Ihres AWS verwalteten Microsoft AD, um nach Domänencontrollern zu suchen (DCs). Nehmen Sie keine Hartkodierung an Anwendungen mit der Adresse eines Domain-Controllers vor. Der DC-Suchdienst sorgt für eine Verteilung der Verzeichnislast und ermöglicht Ihnen die Nutzung einer horizontalen Skalierung durch das Hinzufügen von Domain-Controllern zu Ihrer Bereitstellung. Wenn Sie Ihre Anwendung an einen festen DC binden und der DC gepatcht oder wiederhergestellt wird, verliert Ihre Anwendung den Zugriff auf den DC, anstatt einen der verbleibenden zu verwenden. DCs Darüber hinaus kann eine feste DC-Kodierung dazu führen, dass ein einzelner DC zu einem Hotspot wird. In extremen Fällen kann dies dazu führen, dass Ihr DC nicht mehr reagiert. Solche Fälle können auch dazu führen, dass die AWS Verzeichnisautomatisierung das Verzeichnis als beeinträchtigt kennzeichnet und Wiederherstellungsprozesse auslöst, die den nicht reagierenden DC ersetzen.
Auslastungstests vor der Inbetriebnahme
Führen Sie Labortests mit Objekten und Anforderungen durch, die Ihren Produktions-Workload darstellen, um sicherzustellen, dass das Verzeichnis entsprechend der Arbeitslast Ihrer Anwendung skaliert wird. Wenn Sie zusätzliche Kapazität benötigen, sollten Sie Microsoft Active Directory verwenden AWS Directory Service , mit dem Sie Domänencontroller hinzufügen können, um eine hohe Leistung zu erzielen. Weitere Informationen finden Sie unter Bereitstellung zusätzlicher Domänencontroller für Ihr AWS verwaltetes Microsoft AD.
Effiziente LDAP-Abfragen verwenden
Umfassende LDAP-Abfragen für einen Domain-Controller über Tausende von Objekten können umfangreiche CPU-Zyklen auf einem einzelnen DC verursachen und ein Hot Spotting nach sich ziehen. Dies kann Auswirkungen auf Anwendungen haben, die während der Abfrage denselben DC verwenden.
