Prácticas recomendadas para Simple AD - AWS Directory Service
Configuración: requisitos previosConfiguración: creación del directorioProgramación de las aplicaciones

Prácticas recomendadas para Simple AD

A continuación se indican algunas sugerencias y directrices que debe considerar para evitar problemas y optimizar el uso de Simple AD.

Configuración: requisitos previos

Plantéese estas directrices antes de crear el directorio.

Compruebe que tena el tipo de directorio correcto

Directory Service proporciona varias formas de usar Microsoft Active Directory con otros servicios de AWS. Puede elegir el servicio de directorio con las características que necesita con un costo que se adapte a su presupuesto:

  • AWS Directory Service para Microsoft Active Directory es un Microsoft Active Directory administrado y con muchas características alojado en la nube de AWS. AWS Managed Microsoft AD es su mejor opción si tiene más de 5000 usuarios y necesita configurar una relación de confianza entre un directorio alojado en AWS y sus directorios en las instalaciones.

  • Conector AD simplemente conecta su servicio de Active Directory en las instalaciones existente a AWS. Conector AD es la mejor opción si desea utilizar su directorio en las instalaciones con los servicios de AWS.

  • Simple AD es un servicio de directorio económico a pequeña escala compatible con el servicio básico de Active Directory. Admite 5000 usuarios o menos, aplicaciones compatibles con Samba 4 y compatibilidad LDAP para aplicaciones compatibles con LDAP.

Si desea ver una comparación más detallada de las opciones de Directory Service, consulte ¿Cuál debe elegir?.

Asegúrese de que sus VPC y sus instancias se hayan configurado correctamente

Para gestionar y utilizar sus directorios, así como conectarse a ellos, debe configurar correctamente las VPC a las que están asociados los directorios. Consulte Requisitos previos para crear un AWS Managed Microsoft AD, Requisitos previos de Conector AD o Requisitos previos para Simple AD para obtener información sobre la seguridad de VPC y los requisitos de red.

Si está añadiendo una instancia a su dominio, asegúrese de que dispone de conectividad y acceso remoto a la instancia, tal y como se describe en Cómo vincular una instancia de Amazon EC2 a su directorio de AWS Managed Microsoft AD.

Sea consciente de sus límites

Obtenga información sobre los distintos límites de su tipo de directorio específico. El almacenamiento disponible y el tamaño total de los objetos son las únicas limitaciones en cuanto al número de objetos que puede almacenar en el directorio. Consulte cualquiera de las opciones Cuotas de AWS Managed Microsoft AD, Cuotas de Conector AD o Cuotas de Simple AD para obtener más información sobre el directorio que ha elegido.

Comprender la configuración y el uso de los grupos de seguridad de AWS del directorio

AWS crea un grupo de seguridad y lo adjunta a las interfaces de red elásticas del controlador de dominio del directorio. AWS configura el grupo de seguridad para bloquear el tráfico innecesario al directorio y permite solo el necesario.

Modificación del grupo de seguridad del directorio

Se pueden modificar los grupos de seguridad de sus directorios, pero solo puede hacerlo si comprende completamente el filtrado de grupos de seguridad. Para obtener más información, consulte Grupos de seguridad de Amazon EC2 para instancias de Linux en la Guía del usuario de Amazon EC2. Los cambios incorrectos pueden interrumpir las comunicaciones con los equipos e instancias previstos. AWS recomienda no abrir puertos adicionales a su directorio, ya que esto reduce la seguridad. Revise el modelo de responsabilidad compartida de AWS antes de realizar cambios.

aviso

Técnicamente, puede asociar el grupo de seguridad del directorio a otras instancias de EC2 que se crearon. Sin embargo, AWS desaconseja esta práctica. AWS puede tener razones para modificar el grupo de seguridad sin previo aviso para responder a necesidades de seguridad o funcionales del directorio administrado. Estos cambios afectan a cualquier instancia a la que asocie el grupo de seguridad del directorio y puede interrumpir el funcionamiento de las instancias asociadas. Además, al asociar el grupo de seguridad del directorio a las instancias EC2 se puede crear un posible riesgo de seguridad para las instancias EC2.

Utilice AWS Managed Microsoft AD si se requieren relaciones de confianza

Simple AD no admite relaciones de confianza. Si necesita establecer una relación de confianza entre su directorio de Directory Service y otro directorio, debe utilizar AWS Directory Service para Microsoft Active Directory.

Configuración: creación del directorio

A continuación se indican algunas sugerencias que debe tener en cuenta en el momento de crear su directorio.

Recuerde su ID de administrador y su contraseña

Cuando se configura el directorio, se proporciona la contraseña de la cuenta de administrador. El ID de esa cuenta es Administrador para Simple AD. Recuerde la contraseña que cree para esta cuenta; de lo contrario, no podrá añadir objetos a su directorio.

Comprender restricciones de nombre de usuario para aplicaciones de AWS

Directory Service permite la mayoría de formatos de caracteres que se pueden utilizar en la creación de nombres de usuario. No obstante, existen restricciones de caracteres que se imponen en los nombres de usuario que se utilizarán para iniciar sesión en las aplicaciones de AWS como, por ejemplo, WorkSpaces, WorkDocs, Amazon WorkMail o Quick Suite Estas restricciones requieren que no se utilicen los siguientes caracteres:

  • Espacios

  • Caracteres multibyte

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

nota

El símbolo @ se permite siempre que preceda a un sufijo UPN.

Programación de las aplicaciones

Antes de programar sus aplicaciones, tenga en cuenta lo siguiente:

Utilice el servicio de localización de DC de Windows

Cuando desarrolle aplicaciones, utilice el servicio de localización de controladores de dominio de Windows o utilice el servicio de DNS dinámico (DDNS) de AWS Managed Microsoft AD para localizar los controladores de dominio (DC). No incluya la dirección de un DC en el código de las aplicaciones. El servicio de localización de DC ayuda a garantizar la distribución de la carga de directorios y le permite aprovechar el escalado horizontal añadiendo controladores de dominio a su implementación. Si vincula la aplicación a un DC fijo y se somete a una operación de aplicación de parches o de recuperación a dicho DC, la aplicación perderá el acceso al DC en lugar de utilizar uno de los DC restantes. Además, la inclusión de un DC en el código de la aplicación puede provocar que dicho DC se sobrecargue. En casos graves, esto puede hacer que el DC deje de responder. En estos casos, también es posible que la automatización de directorios de AWS marque el directorio como deteriorado y que se activen procesos de recuperación que sustituyan el DC que no responde.

Pruebas de carga antes de la puesta en producción

Asegúrese de hacer pruebas de laboratorio con objetos y solicitudes que sean representativos de su carga de trabajo de producción para confirmar que el directorio puede adaptarse a la carga de su aplicación. Si necesita capacidad adicional, debe utilizar Directory Service para Microsoft Active Directory, lo que le permite agregar controladores de dominio para un alto rendimiento. Para obtener más información, consulte Implementación de controladores de dominio adicionales para el AWS Managed Microsoft AD.

Uso de consultas LDAP eficientes

Las consultas amplias de LDAP a un controlador de dominio con miles de objetos pueden consumir un número importante de ciclos de CPU en un único DC, lo que se traduce en una sobrecarga. Esto podría afectar a las aplicaciones que comparten el mismo DC durante la consulta.