Prácticas recomendadas para Conector AD - AWS Directory Service
Configuración: requisitos previosProgramación de las aplicacionesUso del directorio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas para Conector AD

A continuación se indican algunas sugerencias y directrices que debe tener en cuenta para evitar problemas y sacar el máximo provecho del Conector AD.

Configuración: requisitos previos

Plantéese estas directrices antes de crear el directorio.

Compruebe que tena el tipo de directorio correcto

Directory Service proporciona varias formas de usar Microsoft Active Directory con otros servicios de AWS. Puede elegir el servicio de directorio con las características que necesita con un costo que se adapte a su presupuesto:

  • AWS Directory Service para Microsoft Active Directory es un Microsoft Active Directory administrado y con muchas características alojado en la nube de AWS. AWS Managed Microsoft AD es su mejor opción si tiene más de 5000 usuarios y necesita configurar una relación de confianza entre un directorio alojado en AWS y sus directorios en las instalaciones.

  • Conector AD simplemente conecta su servicio de Active Directory en las instalaciones existente a AWS. Conector AD es la mejor opción si desea utilizar su directorio en las instalaciones con los servicios de AWS.

  • Simple AD es un servicio de directorio económico a pequeña escala compatible con el servicio básico de Active Directory. Admite 5000 usuarios o menos, aplicaciones compatibles con Samba 4 y compatibilidad LDAP para aplicaciones compatibles con LDAP.

Si desea ver una comparación más detallada de las opciones de Directory Service, consulte ¿Cuál debe elegir?.

Asegúrese de que sus VPC y sus instancias se hayan configurado correctamente

Para gestionar y utilizar sus directorios, así como conectarse a ellos, debe configurar correctamente las VPC a las que están asociados los directorios. Consulte Requisitos previos para crear un AWS Managed Microsoft AD, Requisitos previos de Conector AD o Requisitos previos para Simple AD para obtener información sobre la seguridad de VPC y los requisitos de red.

Si está añadiendo una instancia a su dominio, asegúrese de que dispone de conectividad y acceso remoto a la instancia, tal y como se describe en Formas de unir una EC2 instancia de Amazon a tu Microsoft AD AWS gestionado.

Sea consciente de sus límites

Obtenga información sobre los distintos límites de su tipo de directorio específico. El almacenamiento disponible y el tamaño total de los objetos son las únicas limitaciones en cuanto al número de objetos que puede almacenar en el directorio. Consulte cualquiera de las opciones Cuotas de AWS Managed Microsoft AD, Cuotas de Conector AD o Cuotas de Simple AD para obtener más información sobre el directorio que ha elegido.

Comprender la configuración y el uso de los grupos de seguridad de AWS del directorio

AWS crea un grupo de seguridad y lo adjunta a las interfaces de red elásticas del directorio, a las que se puede acceder desde las VPC interconectadas o redimensionadas. AWS configura el grupo de seguridad para bloquear el tráfico innecesario al directorio y permite solo el necesario.

Modificación del grupo de seguridad del directorio

Si quiere modificar la seguridad de los directorios de grupos de seguridad, puede hacerlo. Realice esos cambios únicamente si comprende completamente cómo funcionan los filtros de los grupos de seguridad. Para obtener más información, consulte Grupos de seguridad de Amazon EC2 para instancias de Linux en la Guía del usuario de Amazon EC2. Los cambios incorrectos pueden provocar la pérdida de comunicación con los equipos e instancias previstos. AWS recomienda que no intente abrir puertos adicionales al directorio, ya que esto reduce su seguridad. Lea detenidamente el Modelo de responsabilidad compartida de AWS.

aviso

Técnicamente, puede asociar el grupo de seguridad del directorio a otras instancias de EC2 que se crearon. Sin embargo, AWS desaconseja esta práctica. AWS puede tener razones para modificar el grupo de seguridad sin previo aviso para responder a necesidades de seguridad o funcionales del directorio administrado. Estos cambios afectan a cualquier instancia a la que asocie el grupo de seguridad del directorio y puede interrumpir el funcionamiento de las instancias asociadas. Además, al asociar el grupo de seguridad del directorio a las instancias EC2 se puede crear un posible riesgo de seguridad para las instancias EC2.

Configurar sitios y subredes en las instalaciones correctamente al usar Conector AD

Si la red en las instalaciones tiene definidos sitios de Active Directory, debe asegurarse de que las subredes de la VPC en la que reside el directorio del Conector AD estén definidas en un sitio de Active Directory y que no existen conflictos entre las subredes de la VPC y las subredes de sus otros sitios.

Para detectar los controladores de dominio, directorio del Conector AD utiliza el sitio de Active Directory cuyos rangos de direcciones IP de subred que sean próximos a los de la VPC que contienen el directorio del Conector AD. Si hay un sitio cuyas subredes tienen los mismos rangos de direcciones IP que los de su VPC, el directorio del Conector AD detectará los controladores de dominio en ese sitio, que puede no estar físicamente cerca de su región.

Comprender restricciones de nombre de usuario para aplicaciones de AWS

Directory Service permite la mayoría de formatos de caracteres que se pueden utilizar en la creación de nombres de usuario. No obstante, existen restricciones de caracteres que se imponen en los nombres de usuario que se utilizarán para iniciar sesión en las aplicaciones de AWS como, por ejemplo, WorkSpaces, WorkDocs, Amazon WorkMail o Quick Suite Estas restricciones requieren que no se utilicen los siguientes caracteres:

  • Espacios

  • Caracteres multibyte

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

nota

El símbolo @ se permite siempre que preceda a un sufijo UPN.

Programación de las aplicaciones

Antes de programar sus aplicaciones, tenga en cuenta lo siguiente:

Pruebas de carga antes de la puesta en producción

Asegúrese de hacer pruebas de laboratorio con aplicaciones y solicitudes que sean representativos de su carga de trabajo de producción para confirmar que el directorio puede adaptarse a la carga de su aplicación. Si necesita capacidad adicional, distribuya las cargas en varios directorios de AD Connector.

Uso del directorio

Estas son algunas sugerencias que tener en cuenta al utilizar su directorio.

Rotar con regularidad sus credenciales de administrador

Cambie la contraseña de administrador de la cuenta del servicio del Conector AD con regularidad y asegúrese de que la contraseña sea coherente con las políticas de contraseñas de Active Directory existentes. Para obtener instrucciones sobre cómo cambiar la contraseña de la cuenta del servicio, consulte Actualización de las credenciales de la cuenta de servicio del Conector AD en la Consola de administración de AWS.

Utilizar directorios del Conector AD únicos para cada dominio

Los Conectores AD y sus dominios AD en las instalaciones deben tener una relación de confianza unívoca. Es decir, para cada dominio en las instalaciones, incluidos los dominios secundarios en un bosque de AD que desee autenticar, debe crear un Conector AD único. Cada Conector AD que cree deberá utilizar una cuenta de servicio diferente, incluso si está conectado al mismo directorio.

Compruebe si hay compatibilidad

Cuando utilice Conector AD, debe asegurarse de que el directorio en las instalaciones es y sigue siendo compatible con Directory Service. Para obtener más información acerca de sus responsabilidades, consulte nuestro modelo de responsabilidad compartida.