Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Concepts clés et meilleures pratiques pour AWS Managed Microsoft AD
Vous pouvez tirer le meilleur parti de votre AWS Managed Microsoft AD en vous familiarisant avec les concepts clés et les meilleures pratiques. Les concepts clés vous aident à comprendre le fonctionnement de AWS Managed Microsoft AD. Les concepts clés incluent l'apprentissage d'informations supplémentaires sur le schéma Active Directory, le calendrier d'application des correctifs et les comptes de services gérés par des groupes. Le schéma Active Directory inclut des éléments tels que des attributs, des classes et des objets qui constituent AWS Managed Microsoft AD. AWS applique des mises à Microsoft jour AWS à vos contrôleurs de domaine Microsoft AD gérés en votre nom. Vous pouvez également en savoir plus sur les comptes de services gérés de groupe (gMSAs) et les utiliser avec votre Microsoft AD AWS géré.
Vous pouvez éviter les problèmes liés à votre AWS Managed Microsoft AD en appliquant les meilleures pratiques. Certaines de ces meilleures pratiques incluent :
+ Lorsque vous configurez votre AWS Managed Microsoft AD, configurez les groupes de sécurité en fonction de vos besoins, mémorisez l'identifiant et le mot de passe de votre compte administrateur et activez le paramètre du redirecteur conditionnel.
+ Lorsque vous utilisez votre AWS Managed Microsoft AD, ne modifiez pas l'unité organisationnelle AWS créée lors de la création de l'annuaire, surveillez les performances à l'aide d'outils tels qu'Amazon CloudWatch et Amazon SNS et utilisez des clients SMB 2.x.
+ Lorsque vous programmez des applications pour qu'elles fonctionnent avec AWS Managed Microsoft AD, utilisez le service Windows DC Locator, testez les modifications avant de les déployer dans des environnements de production et utilisez des requêtes LDAP efficaces pour éviter des cycles CPU importants dans un contrôleur de domaine.
**Topics**
+ [AWS Concepts clés de Microsoft AD gérés](ms_ad_key_concepts.md)
+ [AWS Meilleures pratiques en matière de gestion de Microsoft AD](ms_ad_best_practices.md)
# AWS Concepts clés de Microsoft AD gérés
Vous tirerez le meilleur parti de AWS Managed Microsoft AD si vous vous familiarisez avec les concepts clés suivants.
**Topics**
+ [Schéma Active Directory](#ms_ad_key_concepts_schema)
+ [Correctifs et maintenance pour AWS Managed Microsoft AD](#ms_ad_key_concepts_maintenance)
+ [Comptes de service administrés de groupe](#ms_ad_key_concepts_gmsa)
+ [Délégation Kerberos contrainte](#ms_ad_key_concepts_kerberos)
## Schéma Active Directory
Un schéma est la définition des attributs et classes qui font partie d'un annuaire distribué et sont similaires aux champs et tables d'une base de données. Les schémas incluent un ensemble de règles qui déterminent le type et le format des données qui peuvent être ajoutées ou incluses dans la base de données. La classe Utilisateur est l'exemple d'une *classe* qui est stockée dans la base de données. Certains exemples d'attributs de classe utilisateur peuvent inclure le prénom, le nom de famille, le numéro de téléphone de l'utilisateur, etc.
### Éléments du schéma
Les attributs, les classes et les objets sont les éléments de base qui sont utilisés pour créer des définitions d'objets dans le schéma. Vous trouverez ci-dessous des détails sur les éléments de schéma qu'il est important de connaître avant de commencer le processus d'extension de votre schéma AWS Managed Microsoft AD.
**Attributes**
Chaque attribut de schéma, qui est similaire au champ d'une base de données, possède plusieurs propriétés qui définissent les caractéristiques de l'attribut. Par exemple, la propriété utilisée par les clients LDAP pour lire et écrire l'attribut est `LDAPDisplayName`. La propriété `LDAPDisplayName` doit être unique sur tous les attributs et classes. Pour obtenir une liste complète des caractéristiques de l'attribut, veuillez consulter [Characteristics of Attributes](https://msdn.microsoft.com/en-us/library/ms675578(v=vs.85).aspx) (français non garanti) sur le site web MSDN. Pour plus d'informations sur la création d'un nouvel attribut, veuillez consulter [Defining a New Attribute](https://msdn.microsoft.com/en-us/library/ms675883(v=vs.85).aspx) (français non garanti) sur le site web MSDN.
**Classes**
Les classes sont analogues aux tables dans une base de données et disposent également de plusieurs propriétés à définir. Par exemple, le code `objectClassCategory` définit la catégorie de la classe. Pour obtenir une liste complète des caractéristiques de la classe, veuillez consulter [Characteristics of Object Classes](https://msdn.microsoft.com/en-us/library/ms675579(v=vs.85).aspx) (français non garanti) sur le site web MSDN. Pour plus d'informations sur la création d'une nouvelle classe, veuillez consulter [Defining a New Class](https://msdn.microsoft.com/en-us/library/ms675884(v=vs.85).aspx) (français non garanti) sur le site web MSDN.
**Identificateur d'objet (OID)**
Chaque classe et attribut doit posséder un OID unique pour tous vos objets. Les fournisseurs de logiciel doivent obtenir leurs propres OID pour garantir l'unicité. L'unicité permet d'éviter les conflits lorsque le même attribut est utilisé par plus d'une application à différentes fins. Pour garantir l'unicité, vous pouvez obtenir un OID racine auprès d'une autorité d'enregistrement de nom ISO. Sinon, vous pouvez obtenir un OID de base auprès de Microsoft. Pour plus d'informations à leur sujet OIDs et pour savoir comment les obtenir, consultez la section [Identifiants d'objets](https://msdn.microsoft.com/en-us/library/ms677614(v=vs.85).aspx) sur le site Web de MSDN.
**Attributs liés à un schéma**
Certains attributs sont liés entre deux classes par des liens suivants et précédents. Le meilleur exemple est les groupes. Lorsque vous observez un groupe, il vous montre les membres qui le composent ; si vous observez un utilisateur, vous pouvez voir les groupes auxquels il appartient. Lorsque vous ajoutez un utilisateur à un groupe, Active Directory crée un lien suivant vers le groupe. Ensuite, Active Directory ajoute un lien précédent à partir du groupe de l'utilisateur. Un ID de lien unique doit être généré lors de la création d'un attribut qui sera lié. Pour plus d'informations, veuillez consulter [Linked Attributes](https://msdn.microsoft.com/en-us/library/ms677270(v=vs.85).aspx) (français non garanti) sur le site web MSDN.
#### Rubriques en relation
+ [Quand étendre votre schéma AWS Managed Microsoft AD](ms_ad_schema_extensions.md#ms_ad_schema_when_to_extend)
+ [Tutoriel : extension de votre schéma Microsoft AD AWS géré](ms_ad_tutorial_extend_schema.md)
## Correctifs et maintenance pour AWS Managed Microsoft AD
AWS Le service d'annuaire pour Microsoft Active Directory, également connu sous le nom de AWS DS pour AWS Managed Microsoft AD, est en fait les services de domaine Microsoft Active Directory (AD DS), fournis sous forme de service géré. Le système utilise Microsoft Windows Server 2019 pour les contrôleurs de domaine (DCs) et y AWS ajoute un logiciel à des DCs fins de gestion des services. AWS mises à jour (correctifs) DCs pour ajouter de nouvelles fonctionnalités et maintenir le logiciel Microsoft Windows Server à jour. Pendant le processus d'application des correctifs, votre annuaire reste disponible pour utilisation.
### Garantie de la disponibilité
Par défaut, chaque répertoire est composé de deux DCs, chacun étant installé dans une zone de disponibilité différente. À votre convenance, vous pouvez en ajouter DCs pour augmenter encore la disponibilité. Pour les environnements critiques nécessitant une haute disponibilité et une tolérance aux pannes, nous recommandons d'en déployer d'autres. DCs AWS applique des correctifs DCs séquentiels, période pendant laquelle le contrôleur de domaine qui applique activement le correctif AWS n'est pas disponible. Si l'un ou plusieurs de vos répertoires DCs sont temporairement hors service, AWS reportez l'application des correctifs jusqu'à ce qu'au moins deux de vos annuaires soient opérationnels. DCs Cela vous permet d'utiliser l'autre DCs pendant le processus de correction, qui prend généralement 30 à 45 minutes par DC, bien que cette durée puisse varier. Pour garantir que vos applications puissent atteindre un contrôleur de domaine en fonctionnement en cas d'indisponibilité d'un ou de plusieurs d' DCs entre eux pour une raison quelconque, y compris pour l'application de correctifs, vos applications doivent utiliser le service de localisation de contrôleurs de domaine Windows et ne pas utiliser d'adresses de domaine statiques.
### Présentation de la planification d'application des correctifs
Pour maintenir le logiciel Microsoft Windows Server à jour sur votre ordinateur DCs, AWS utilisez les mises à jour Microsoft. Comme Microsoft met à disposition des correctifs cumulatifs mensuels pour Windows Server, elle AWS fait de son mieux pour tester et appliquer le correctif cumulatif à tous les clients DCs dans un délai de trois semaines calendaires. En outre, il AWS passe en revue les mises à jour publiées par Microsoft en dehors du récapitulatif mensuel en fonction de leur applicabilité et de leur urgence. DCs Pour les correctifs de sécurité considérés comme *critiques* ou *importants* par Microsoft et pour lesquels ils sont pertinents DCs, elle AWS met tout en œuvre pour tester et déployer le correctif dans un délai de cinq jours.
## Comptes de service administrés de groupe
Avec Windows Server 2012, Microsoft a introduit une nouvelle méthode que les administrateurs pouvaient utiliser pour gérer les comptes de service appelée comptes de service gérés de groupe (gMSAs). Grâce à gMSAs, les administrateurs de service n'ont plus besoin de gérer manuellement la synchronisation des mots de passe entre les instances de service. Un administrateur peut simplement créer un gMSA dans Active Directory, puis configurer plusieurs instances de service pour utiliser ce compte gMSA spécifique.
Pour accorder des autorisations permettant aux utilisateurs de AWS Managed Microsoft AD de créer un GMSA, vous devez ajouter leurs comptes en tant que membre du groupe de sécurité *AWS Delegated Managed Service Account Administrators*. Par défaut, le compte administrateur est membre de ce groupe. Pour plus d'informations sur gMSAs, consultez la section [Présentation des comptes de services gérés par le groupe](https://technet.microsoft.com/en-us/library/hh831782(v=ws.11).aspx) sur le TechNet site Web de Microsoft.
**Article AWS de blog sur la sécurité connexe**
+ [Comment AWS Managed Microsoft AD contribue à simplifier le déploiement et à améliorer la sécurité des applications .NET intégrées à Active Directory](https://aws.amazon.com/blogs/security/how-aws-managed-microsoft-ad-helps-to-simplify-the-deployment-and-improve-the-security-of-active-directory-integrated-net-applications/)
## Délégation Kerberos contrainte
La délégation Kerberos contrainte est une fonctionnalité de Windows Server. Cette fonctionnalité permet aux administrateurs de services de spécifier et d'appliquer les limites de confiance des applications en limitant la portée dans laquelle les services d'application peuvent agir au nom d'un utilisateur. Cela peut être utile lorsque vous avez besoin de spécifier les comptes de service frontaux qui sont autorisés à déléguer des tâches à leurs services dorsaux. La délégation Kerberos contrainte empêche également votre gMSA de se connecter à n'importe quel service pour le compte de vos utilisateurs Active Directory, ce qui évite le risque d'abus par un développeur malveillant.
Supposons, par exemple, que l'utilisateur jsmith se connecte à une application RH. Vous souhaitez que le serveur SQL applique les autorisations de base de données de jsmith. Cependant, par défaut, SQL Server ouvre la connexion à la base de données en utilisant les informations d'identification du compte hr-app-service de service qui s'applique, au lieu des autorisations configurées par jsmith. Vous devez permettre à l'application de paie RH d'accéder à la base de données SQL Server à l'aide des informations d'identification du jsmith. Pour ce faire, vous activez la délégation contrainte Kerberos pour le compte de hr-app-service service dans votre répertoire Managed AWS Microsoft AD dans. AWS Lorsque jdupont se connecte, Active Directory émet un ticket Kerberos que Windows utilise automatiquement lorsque jdupont tente d'accéder à d'autres services sur le réseau. La délégation Kerberos permet au hr-app-service compte de réutiliser le ticket Kerberos jsmith lors de l'accès à la base de données, appliquant ainsi des autorisations spécifiques à jsmith lors de l'ouverture de la connexion à la base de données.
Pour accorder des autorisations permettant aux utilisateurs de AWS Managed Microsoft AD de configurer la délégation contrainte Kerberos, vous devez ajouter leurs comptes en tant que membre du groupe de sécurité *AWS Delegated Kerberos* Delegation Administrators. Par défaut, le compte administrateur est membre de ce groupe. Pour plus d'informations sur la délégation contrainte de Kerberos, consultez la section [Présentation de la délégation contrainte de Kerberos sur le site Web de Microsoft](https://technet.microsoft.com/en-us/library/jj553400(v=ws.11).aspx). TechNet
La [délégation contrainte basée sur les ressources](https://docs.microsoft.com/en-us/windows-server/security/kerberos/kerberos-constrained-delegation-overview#resource-based-constrained-delegation-across-domains) a été introduite avec Windows Server 2012. Elle fournit à l'administrateur de service principal la possibilité de configurer la délégation contrainte pour le service.
# AWS Meilleures pratiques en matière de gestion de Microsoft AD
Voici quelques suggestions et directives à prendre en compte pour éviter les problèmes et tirer le meilleur parti de AWS Managed Microsoft AD.
**Topics**
+ [Bonnes pratiques pour configurer un Microsoft AD AWS géré](#ms_ad_best_practices_set_up)
+ [Bonnes pratiques lors de l'utilisation d'un annuaire Microsoft AD AWS géré](#ms_ad_bp_using_directory)
+ [Bonnes pratiques lors de la programmation de vos applications pour un Microsoft AD AWS géré](#program_apps)
## Bonnes pratiques pour configurer un Microsoft AD AWS géré
Voici quelques suggestions et directives à suivre lors de la configuration de votre AWS Managed Microsoft AD :
**Topics**
+ [Conditions préalables](#ms_ad_best_practices_prereq)
+ [Création de votre AWS compte Microsoft AD géré](#ms_ad_best_practices_create)
### Conditions préalables
Pensez à utiliser ces consignes avant de créer votre annuaire.
#### Vérifiez que vous avez le type d'annuaire approprié
Directory Service propose plusieurs méthodes d'utilisation Microsoft Active Directory avec d'autres AWS services. Vous pouvez choisir le service d'annuaire doté des fonctionnalités dont vous avez besoin à un prix adapté à votre budget :
+ **AWS Directory Service pour Microsoft Active Directory** est un service géré riche en fonctionnalités Microsoft Active Directory hébergé sur le AWS cloud. AWS Managed Microsoft AD est votre meilleur choix si vous avez plus de 5 000 utilisateurs et que vous avez besoin d'établir une relation de confiance entre un annuaire AWS hébergé et vos annuaires locaux.
+ **AD Connector** connecte simplement votre Active Directory local existant à AWS. AD Connector est votre meilleur allié si vous souhaitez utiliser votre annuaire sur site existant avec les services AWS .
+ **Simple AD** est un annuaire de base à moindres coûts qui offre une compatibilité de base avec Active Directory. Il prend en charge jusqu'à 5 000 utilisateurs, des applications compatibles avec Samba 4 et une compatibilité LDAP pour les applications LDAP.
Pour une comparaison plus détaillée des Directory Service options, voir[Que choisir ?](what_is.md#choosing_an_option).
#### Assurez-vous que vos instances VPCs et instances sont correctement configurées
Pour vous connecter à vos annuaires, les gérer et les utiliser, vous devez configurer correctement les VPCs répertoires auxquels ils sont associés. Consultez [Conditions préalables à la création d'un Microsoft AWS AD géré](ms_ad_getting_started.md#ms_ad_getting_started_prereqs), [Conditions préalables requises pour AD Connector](ad_connector_getting_started.md#prereq_connector) ou [Prérequis pour Simple AD](simple_ad_getting_started.md#prereq_simple) pour obtenir plus d'informations sur les exigences de sécurité et de mise en réseau des VPC.
Si vous ajoutez une instance à votre domaine, assurez-vous de disposer d'une connectivité et d'un accès à distance à votre instance, comme décrit dans [Comment joindre une instance Amazon EC2 à votre AWS Microsoft AD géré](ms_ad_join_instance.md).
#### Tenez compte des limites
Découvrez les différentes limites applicables à votre type d'annuaire spécifique. Le stockage disponible et la taille globale de vos objets sont les seules limites quant au nombre d'objets que vous pouvez stocker dans votre annuaire. Consultez [AWS Quotas Microsoft AD gérés](ms_ad_limits.md), [Quotas AD Connector](ad_connector_limits.md) ou [Quotas Simple AD](simple_ad_limits.md) pour plus d'informations sur l'annuaire que vous avez choisi.
#### Comprenez la configuration et l'utilisation AWS des groupes de sécurité de votre annuaire
AWS crée un [groupe de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule) et l'attache aux [interfaces réseau élastiques](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) du contrôleur de domaine de votre annuaire. Ce groupe de sécurité bloque le trafic inutile vers le contrôleur de domaine et autorise le trafic nécessaire aux communications Active Directory. AWS configure le groupe de sécurité pour ouvrir uniquement les ports requis pour les communications Active Directory. Dans la configuration par défaut, le groupe de sécurité accepte le trafic vers ces ports à partir de l'adresse IPv4 CIDR Microsoft AD VPC AWS gérée. AWS attache le groupe de sécurité aux interfaces de votre contrôleur de domaine accessibles depuis votre peered ou [VPCs](https://aws.amazon.com/vpc/)redimensionné. Ces interfaces n'étant pas accessibles depuis Internet, même si vous modifiez les tables de routage, changez les connexions réseau vers votre VPC et configurez le [service de passerelle NAT](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-nat-gateway.html). Par conséquent, seules les instances et les ordinateurs qui disposent d'un chemin d'accès réseau dans le VPC peuvent accéder à l'annuaire. Cela simplifie la configuration et vous permet de ne plus avoir à configurer des plages d'adresses spécifiques. Au lieu de cela, vous configurez dans le VPC des routes et des groupes de sécurité qui autorisent uniquement le trafic provenant d'instances et d'ordinateurs approuvés.
##### Modification du groupe de sécurité de l'annuaire
Si vous souhaitez renforcer la sécurité des groupes de sécurité de votre annuaire, vous pouvez les modifier pour accepter le trafic provenant d'une liste d'adresses IP plus restrictive. Par exemple, vous pouvez remplacer les adresses acceptées de votre plage d'adresses IPv4 CIDR VPC par une plage d'adresses CIDR spécifique à un sous-réseau ou à un seul ordinateur. De même, vous pouvez choisir de restreindre les adresses de destination vers lesquelles vos contrôleurs de domaine peuvent communiquer. Effectuez ces modifications uniquement si vous avez entièrement compris le fonctionnement du filtrage des groupes de sécurité. Pour plus d'informations, veuillez consulter la section [Amazon EC2 security groups for Linux instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html) (français non garanti) dans le *Guide de l'utilisateur Amazon EC2*. Des modifications inappropriées peuvent entraîner une perte de communication avec les ordinateurs et les instances concernés. AWS recommande de ne pas essayer d'ouvrir des ports supplémentaires vers le contrôleur de domaine car cela réduit la sécurité de votre répertoire. Lisez attentivement le [Modèle de responsabilité partagée AWS](https://aws.amazon.com/compliance/shared-responsibility-model/).
**Avertissement**
Vous êtes techniquement en mesure d'associer les groupes de sécurité utilisés par votre annuaire avec d'autres instances EC2 que vous créez. Il AWS déconseille toutefois cette pratique. AWS peut avoir des raisons de modifier le groupe de sécurité sans préavis pour répondre aux besoins fonctionnels ou de sécurité du répertoire géré. Ces modifications affectent toutes les instances avec lesquelles vous associez le groupe de sécurité de l'annuaire. De plus, l'association du groupe de sécurité de l'annuaire avec vos instances EC2 entraîne un risque de sécurité potentiel pour vos instances EC2. Le groupe de sécurité de l'annuaire accepte le trafic sur les ports Active Directory requis à partir de l'adresse CIDR IPv4 Microsoft AD VPC AWS gérée. Si vous associez ce groupe de sécurité avec une instance EC2 dont l'adresse IP publique est rattachée à Internet, n'importe quel ordinateur sur Internet peut communiquer avec votre instance EC2 sur les ports ouverts.
### Création de votre AWS compte Microsoft AD géré
Voici quelques suggestions à prendre en compte lors de la création de votre AWS Managed Microsoft AD.
**Topics**
+ [Rétention de vos ID et mot de passe d'administrateur](#ms_ad_remember_pw)
+ [Créer un jeu d'options DHCP](#bp_create_dhcp_options_set)
+ [Activer le paramètre du redirecteur conditionnel](#bp_conditional_forwarder_settings)
+ [Déploiement de contrôleurs de domaine supplémentaires](#bp_create_additional_dcs)
+ [Comprendre les restrictions relatives aux noms d'utilisateur pour AWS les applications](#usernamerestrictions)
#### Rétention de vos ID et mot de passe d'administrateur
Lorsque vous configurez votre annuaire, vous fournissez un mot de passe pour le compte d'administrateur. Cet identifiant de compte est *Admin* for AWS Managed Microsoft AD. Retenez le mot de passe créé pour ce compte, sinon vous ne serez pas en mesure d'ajouter des objets à votre annuaire.
#### Créer un jeu d'options DHCP
Nous vous recommandons de créer un ensemble d'options DHCP pour votre Directory Service répertoire et d'attribuer le jeu d'options DHCP au VPC dans lequel se trouve votre répertoire. De cette façon, toutes les instances de ce VPC peuvent pointer vers le domaine spécifié, et les serveurs DNS peuvent résoudre leurs noms de domaine.
Pour plus d'informations sur les jeux d'options DHCP, veuillez consulter [Création ou modification d'un ensemble d'options DHCP pour AWS Managed Microsoft AD](dhcp_options_set.md).
#### Activer le paramètre du redirecteur conditionnel
Les paramètres de transfert conditionnel suivants *Stockez ce redirecteur conditionnel dans Active Directory, répliquez-le comme suit :* doit être activé. L'activation de ces paramètres garantit que le paramètre du redirecteur conditionnel est persistant lorsqu'un nœud est remplacé en raison d'une défaillance de l'infrastructure ou d'une panne de surcharge.
Les redirecteurs conditionnels doivent être créés sur un contrôleur de domaine avec le paramètre précédent activé. Cela permettra la réplication vers d'autres contrôleurs de domaine.
#### Déploiement de contrôleurs de domaine supplémentaires
Par défaut, AWS crée deux contrôleurs de domaine qui existent dans des zones de disponibilité distinctes. Cela fournit une résilience aux pannes lors de l'application des correctifs logiciels et d'autres événements qui peuvent rendre un contrôleur de domaine inaccessible ou indisponible. Nous vous recommandons de [déployer des contrôleurs de domaine supplémentaires](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_deploy_additional_dcs.html) pour augmenter encore plus la résilience et garantir des performances d'augmentation en cas d'événement à long terme affectant l'accès à un contrôleur de domaine ou à une zone de disponibilité.
Pour de plus amples informations, veuillez consulter [Utiliser le service Windows DC Locator](#program_dc_locator).
#### Comprendre les restrictions relatives aux noms d'utilisateur pour AWS les applications
Directory Service prend en charge la plupart des formats de caractères pouvant être utilisés dans la construction des noms d'utilisateur. Cependant, certaines restrictions de caractères sont appliquées aux noms d'utilisateur qui seront utilisés pour se connecter à AWS des applications WorkSpaces WorkDocs, telles que Amazon WorkMail ou Quick. Ces restrictions empêchent l'utilisation des caractères suivants :
+ Espaces
+ Caractères multioctets
+ \$1"\$1\$1%&'()\$1\$1,/:;<=>?@[\$1]^`\$1\$1\$1\$1
**Note**
Le symbole @ est autorisé s'il précède un suffixe UPN.
## Bonnes pratiques lors de l'utilisation d'un annuaire Microsoft AD AWS géré
Voici quelques suggestions à prendre en compte lorsque vous utilisez votre Microsoft AD AWS géré.
**Topics**
+ [Ne pas modifier les utilisateurs, groupes et unités d'organisation prédéfinis](#predefined_groups)
+ [Jonction automatique des domaines](#auto_join_domains)
+ [Configuration appropriée des relations d'approbation](#setup_trust_correctly)
+ [Suivez les performances de votre contrôleur de domaine](#bp_scale_dcs)
+ [Planifiez soigneusement les extensions de schéma](#manage_schema_extensions)
+ [À propos des équilibreurs de charge](#manage_load_balancer)
+ [Réalisation d'une sauvegarde de votre instance](#make_backups)
+ [Configuration de la messagerie SNS](#use_sns)
+ [Appliquer les paramètres du service d'annuaire](#ds-settings)
+ [Supprimez les applications d'entreprise Amazon avant de supprimer un annuaire](#remove_rds)
+ [Utiliser les clients SMB 2.x lors de l'accès aux partages SYSVOL et NETLOGON](#use_smbv2)
### Ne pas modifier les utilisateurs, groupes et unités d'organisation prédéfinis
Lorsque vous lancez un annuaire, il AWS crée une unité organisationnelle ( Directory Service UO) contenant tous les objets de votre répertoire. Cette unité organisationnelle, qui porte le nom NetBIOS que vous avez saisi lorsque vous avez créé votre annuaire, est située dans la racine du domaine. La racine du domaine est détenue et gérée par AWS. Plusieurs groupes et un utilisateur administratif sont créés.
Ne déplacez pas, ne supprimez pas ou ne modifiez pas ces objets prédéfinis. Cela peut rendre votre répertoire inaccessible à la fois par vous-même et AWS. Pour de plus amples informations, veuillez consulter [Qu'est-ce qui est créé avec votre Microsoft AD AWS géré](ms_ad_getting_started_what_gets_created.md).
### Jonction automatique des domaines
Lors du lancement d'une instance Windows destinée à faire partie d'un Directory Service domaine, il est souvent plus facile de rejoindre le domaine dans le cadre du processus de création de l'instance plutôt que de l'ajouter manuellement ultérieurement. Pour joindre automatiquement un domaine, il suffit de sélectionner l'annuaire approprié pour le paramètre **Domain join directory** lors du lancement d'une nouvelle instance. Pour plus de détails, veuillez consulter [Joindre une instance Windows Amazon EC2 à votre répertoire AWS Microsoft AD Active Directory géré](launching_instance.md).
### Configuration appropriée des relations d'approbation
Lorsque vous configurez une relation de confiance entre votre annuaire Microsoft AD AWS géré et un autre annuaire, tenez compte des consignes suivantes :
+ Le type d'approbation doit correspondre des deux côtés (forêt ou externe)
+ Assurez-vous que la direction d'approbation est correctement configurée si vous utilisez une approbation unidirectionnelle (sortante sur le domaine d'approbation, entrante sur le domaine approuvé)
+ Les noms de domaine complets (FQDNs) et les noms NetBIOS doivent être uniques entre les forêts et les domaines
Pour plus de détails et des instructions spécifiques sur la configuration d'une relation d'approbation, veuillez consulter [Création d'une relation de confiance entre votre Microsoft AD AWS géré et votre AD autogéré](ms_ad_setup_trust.md).
### Suivez les performances de votre contrôleur de domaine
Pour optimiser les décisions de dimensionnement et améliorer la résilience et les performances des annuaires, nous vous recommandons d'utiliser CloudWatch des métriques. Pour de plus amples informations, veuillez consulter [Utilisation CloudWatch pour surveiller les performances de vos contrôleurs de domaine Microsoft AD AWS gérés](ms_ad_monitor_dc_performance.md).
Pour obtenir des instructions sur la façon de configurer les métriques du contrôleur de domaine à l'aide de la CloudWatch console, consultez [Comment automatiser le dimensionnement de AWS Managed Microsoft AD en fonction des métriques d'utilisation](https://aws.amazon.com/blogs/security/how-to-automate-aws-managed-microsoft-ad-scaling-based-on-utilization-metrics/) dans le blog sur la AWS sécurité.
### Planifiez soigneusement les extensions de schéma
Appliquez soigneusement les extensions de schéma de manière à indexer votre annuaire pour les requêtes importantes et fréquentes. Veillez à ne pas trop indexer l'annuaire, car les index consomment de l'espace d'annuaire, et la modification rapide des valeurs indexées risque d'entraîner des problèmes de performance. Pour ajouter des index, vous devez créer un fichier LDIF (Directory Interchange Format) de LDAP (Lightweight Directory Access Protocol) et étendre la modification de votre schéma. Pour de plus amples informations, veuillez consulter [Étendez votre schéma AWS Managed Microsoft AD](ms_ad_schema_extensions.md).
### À propos des équilibreurs de charge
N'utilisez pas d'équilibreur de charge devant les points de terminaison Microsoft AD AWS gérés. MicrosoftActive Directory (AD) a été conçu pour être utilisé avec un algorithme de découverte du contrôleur de domaine (DC) qui trouve le contrôleur de domaine opérationnel le plus réactif sans équilibrage de charge externe. Les équilibreurs de charge réseau externes ne détectent pas correctement l'activité DCs et peuvent entraîner l'envoi de votre application vers un contrôleur de domaine qui arrive mais qui n'est pas prêt à être utilisé. Pour plus d'informations, voir [Équilibreurs de charge et Active Directory](https://social.technet.microsoft.com/wiki/contents/articles/33547.load-balancers-and-active-directory.aspx) sur Microsoft, TechNet qui recommande de corriger les applications pour qu'elles utilisent correctement Active Directory plutôt que d'implémenter des équilibreurs de charge externes.
### Réalisation d'une sauvegarde de votre instance
Si vous décidez d'ajouter manuellement une instance à un Directory Service domaine existant, effectuez d'abord une sauvegarde ou prenez un instantané de cette instance. Cela est particulièrement important lors de la jonction d'une instance Linux. Certaines des procédures utilisées pour ajouter une instance, si elles ne sont pas effectuées correctement, peuvent rendre votre instance inaccessible ou non utilisable. Pour de plus amples informations, veuillez consulter [Restauration de votre Microsoft AD AWS géré à l'aide de snapshots](ms_ad_snapshots.md).
### Configuration de la messagerie SNS
Avec Amazon Simple Notification Service (Amazon SNS), vous pouvez recevoir des e-mails ou des messages texte (SMS) lorsque le statut de votre annuaire change. Vous êtes averti lorsque votre annuaire passe du statut **Active** au statut **Impaired** ou **Inoperable**. Vous recevez également une notification lorsque l'annuaire renvoie un statut Active (Actif).
N'oubliez pas non plus que si vous avez une rubrique SNS qui reçoit des messages Directory Service, avant de supprimer cette rubrique de la console Amazon SNS, vous devez associer votre annuaire à une autre rubrique SNS. Sinon, vous risquez de manquer des messages importants sur le statut de l'annuaire. Pour savoir comment configurer Amazon SNS, veuillez consulter [Activation des notifications d'état de l'annuaire Microsoft AD AWS géré avec Amazon Simple Notification Service](ms_ad_enable_notifications.md).
### Appliquer les paramètres du service d'annuaire
AWS Managed Microsoft AD vous permet d'adapter votre configuration de sécurité pour répondre à vos exigences de conformité et de sécurité. AWS Managed Microsoft AD déploie et gère la configuration sur tous les contrôleurs de domaine de votre annuaire, y compris lors de l'ajout de nouvelles régions ou de contrôleurs de domaine supplémentaires. Vous pouvez configurer et appliquer ces paramètres de sécurité à tous vos annuaires nouveaux et existants. Vous pouvez le faire dans la console en suivant les étapes indiquées dans [Modifier les paramètres de sécurité de l'annuaire](ms_ad_directory_settings.md#edit-ds-settings) ou via l'[UpdateSettingsAPI](https://docs.aws.amazon.com//directoryservice/latest/devguide/API_UpdateSettings.html).
Pour de plus amples informations, veuillez consulter [Modification des paramètres de sécurité de l'annuaire Microsoft AD AWS géré](ms_ad_directory_settings.md).
### Supprimez les applications d'entreprise Amazon avant de supprimer un annuaire
Avant de supprimer un répertoire associé à une ou plusieurs applications Amazon Enterprise telles qu'Amazon WorkSpaces Application Manager WorkSpaces WorkDocs, Amazon ou Amazon WorkMail Relational Database Service (Amazon RDS), vous devez d'abord supprimer chaque application. AWS Management Console Pour en savoir plus sur la suppression de ces applications, veuillez consulter [Suppression de votre Microsoft AD AWS géré](ms_ad_delete.md).
### Utiliser les clients SMB 2.x lors de l'accès aux partages SYSVOL et NETLOGON
Les ordinateurs clients utilisent le module SMB (Server Message Block) pour accéder aux partages SYSVOL et NETLOGON sur les contrôleurs de domaine AWS Microsoft AD gérés pour la stratégie de groupe, les scripts de connexion et d'autres fichiers. AWS Managed Microsoft AD prend uniquement en charge les versions SMB 2.0 (SMBv2) et ultérieures.
Les protocoles SMBv2 et les versions plus récentes ajoutent un certain nombre de fonctionnalités qui améliorent les performances des clients et renforcent la sécurité de vos contrôleurs de domaine et de vos clients. Cette modification fait suite aux recommandations de l'équipe de [préparation aux situations d'urgence informatique des États-Unis d'Amérique](https://www.us-cert.gov/ncas/current-activity/2017/01/16/SMB-Security-Best-Practices) et de [Microsoft](https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/) concernant la désactivation. SMBv1
**Important**
Si vous utilisez actuellement des SMBv1 clients pour accéder aux partages SYSVOL et NETLOGON de votre contrôleur de domaine, vous devez mettre à jour ces clients pour qu'ils soient utilisés ou plus récents. SMBv2 Votre annuaire fonctionnera correctement, mais vos SMBv1 clients ne parviendront pas à se connecter aux partages SYSVOL et NETLOGON de vos contrôleurs de domaine AWS Microsoft AD gérés et ne pourront pas non plus traiter la politique de groupe.
SMBv1 les clients fonctionneront avec tous les autres serveurs de fichiers SMBv1 compatibles dont vous disposez. Il vous AWS recommande toutefois de mettre à jour tous vos serveurs et clients SMB vers une version plus récente. SMBv2 [Pour en savoir plus sur sa désactivation SMBv1 et sa mise à jour vers des versions SMB plus récentes sur vos systèmes, consultez ces articles publiés sur [Microsoft TechNet](https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/) et dans la documentation. Microsoft](https://learn.microsoft.com/en-US/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3?tabs=server)
**Suivi des connexions SMBv1 à distance**
Vous pouvez consulter le journal des événements **Microsoft-Windows- SMBServer /Audit** Windows en vous connectant à distance au contrôleur de domaine AWS Microsoft AD géré. Tous les événements de ce journal indiquent des connexions. SMBv1 Voici un exemple des informations que vous pouvez voir dans l'un de ces journaux :
*SMB1 accès*
*Adresse du client : \$1\$1\$1.\$1\$1\$1.\$1\$1\$1.\$1\$1\$1*
*Conseils :*
*Cet événement indique qu'un client a tenté d'accéder au serveur en utilisant SMB1. Pour arrêter d'auditer SMB1 l'accès, utilisez l'PowerShellapplet de commande Set-. SmbServerConfiguration*
## Bonnes pratiques lors de la programmation de vos applications pour un Microsoft AD AWS géré
Avant de programmer vos applications pour qu'elles fonctionnent avec AWS Managed Microsoft AD, tenez compte des points suivants :
**Topics**
+ [Utiliser le service Windows DC Locator](#program_dc_locator)
+ [Testez la charge avant de lancer la production](#program_load_test)
+ [Utilisez des requêtes LDAP efficaces](#program_ldap_query)
### Utiliser le service Windows DC Locator
Lorsque vous développez des applications, utilisez le service Windows DC Locator ou le service DNS dynamique (DDNS) de votre Managed AWS Microsoft AD pour localiser les contrôleurs de domaine (DCs). Ne codez pas en dur les applications avec l'adresse d'un contrôleur de domaine. Le service de localisation des contrôleurs de domaine permet de garantir que l'annuaire est distribué et vous permet de tirer parti de la mise à l'échelle horizontale en ajoutant des contrôleurs de domaine à votre déploiement. Si vous liez votre application à un contrôleur de domaine fixe et que le contrôleur de domaine est soumis à des correctifs ou à une restauration, votre application perdra l'accès au contrôleur de domaine au lieu d'utiliser l'un des autres contrôleurs. DCs En outre, le codage en dur du contrôleur de domaine peut entraîner la création d'un point chaud sur un seul contrôleur de domaine. Dans des cas extrêmes, la création de ce point chaud peut entraîner une absence de réponse de votre contrôleur de domaine. Dans de tels cas, l'automatisation de l' AWS annuaire peut également signaler le répertoire comme étant altéré et peut déclencher des processus de restauration qui remplacent le contrôleur de domaine qui ne répond pas.
### Testez la charge avant de lancer la production
Assurez-vous de procéder à des tests avec des objets et des requêtes représentatifs de votre charge de travail de production afin de confirmer que l'annuaire s'adapte à la charge de travail de votre application. Si vous avez besoin de capacité supplémentaire, testez avec des capacités supplémentaires DCs tout en répartissant les demandes entre les DCs. Pour de plus amples informations, veuillez consulter [Déploiement de contrôleurs de domaine supplémentaires pour votre Microsoft AD AWS géré](ms_ad_deploy_additional_dcs.md).
### Utilisez des requêtes LDAP efficaces
De vastes requêtes LDAP effectuées dans un contrôleur de domaine sur des dizaines de milliers d'objets peuvent consommer des cycles de processeur considérables sur un seul contrôleur de domaine, ce qui se traduit par la création de points chauds. Ces points chauds peuvent affecter les applications qui partagent le même contrôleur de domaine lors de la requête.