Práticas recomendadas para o Simple AD - AWS Directory Service
Configuração: pré-requisitosConfiguração: criar seu diretórioProgramar suas aplicações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas para o Simple AD

Estas são algumas sugestões e orientações que devem ser consideradas para evitar problemas e obter o máximo do Simple AD.

Configuração: pré-requisitos

Considere essas diretrizes antes de criar seu diretório.

Verifique se você tem o tipo de diretório correto

AWS Directory Service fornece várias maneiras de usar Microsoft Active Directory com outros AWS serviços. Você pode escolher o serviço de diretório com os recursos necessários a um custo que caiba em seu orçamento:

  • AWS O Directory Service for Microsoft Active Directory é um serviço gerenciado rico em recursos Microsoft Active Directory hospedado na AWS nuvem. AWS O Microsoft AD gerenciado é sua melhor opção se você tiver mais de 5.000 usuários e precisar de uma relação de confiança configurada entre um diretório AWS hospedado e seus diretórios locais.

  • O AD Connector simplesmente conecta seu local existente Active Directory a. AWS O AD Connector é a melhor opção quando você deseja usar seu diretório on-premises existente com os serviços da AWS .

  • O Simple AD é um diretório de baixo custo, pequena escala e compatibilidade básica com o Active Directory. Ele oferece suporte a até 5.000 usuários, aplicações compatíveis com Samba 4 e compatibilidade com LDAP para aplicações compatíveis com LDAP.

Para uma comparação mais detalhada das AWS Directory Service opções, consulteQual escolher.

Garanta que suas instâncias VPCs e instâncias estejam configuradas corretamente

Para se conectar, gerenciar e usar seus diretórios, você deve configurar adequadamente aqueles aos quais VPCs os diretórios estão associados. Consulte Pré-requisitos para criar um AWS Managed Microsoft AD, Pré-requisitos do AD Connector ou Pré-requisitos do Simple AD para obter informações sobre os requisitos de segurança e de rede da VPC.

Se estiver adicionando uma instância a seu domínio, verifique se você tem conectividade e acesso remoto à sua instância, conforme descrito em Formas de associar uma EC2 instância da Amazon ao seu Microsoft AD AWS gerenciado.

Conhecer seus limites

Saiba mais sobre os vários limites do seu tipo de diretório específico. O armazenamento disponível e o tamanho agregado dos seus objetos são as únicas limitações no número de objetos que você pode armazenar em seu diretório. Consulte AWS Cotas gerenciadas do Microsoft AD, Cotas do AD Connector ou Cotas do Simple AD para obter detalhes sobre o diretório escolhido.

Entenda a configuração e o uso do grupo de AWS segurança do seu diretório

AWS cria um grupo de segurança e o anexa às interfaces de rede elástica do controlador de domínio do seu diretório. AWS configura o grupo de segurança para bloquear tráfego desnecessário para o diretório e permite o tráfego necessário.

Modificar o grupo de segurança do diretório

Se você deseja modificar a segurança dos grupos de segurança de seus diretórios, você pode fazê-lo. Faça essas alterações apenas se você compreender totalmente como funciona a filtragem do grupo de segurança. Para obter mais informações, consulte Grupos EC2 de segurança da Amazon para instâncias Linux no Guia EC2 do usuário da Amazon. Alterações impróprias podem resultar na perda de comunicações com os computadores e instâncias pretendidos. AWS recomenda que você não tente abrir portas adicionais para seu diretório, pois isso diminui a segurança do seu diretório. Reveja cuidadosamente o Modelo de responsabilidade compartilhada da AWS.

Atenção

É tecnicamente possível associar o grupo de segurança do diretório a outras EC2 instâncias criadas por você. No entanto, não AWS recomenda essa prática. AWS pode ter motivos para modificar o grupo de segurança sem aviso prévio para atender às necessidades funcionais ou de segurança do diretório gerenciado. Essas alterações afetam as instâncias às quais você associa o grupo de segurança do diretório e podem interromper a operação das instâncias associadas. Além disso, associar o grupo de segurança do diretório às suas EC2 instâncias pode criar um risco potencial de segurança para suas EC2 instâncias.

Use o Microsoft AD AWS gerenciado se forem necessárias relações de confiança

O Simple AD não oferece suporte a relações de confiança. Se precisar estabelecer uma relação de confiança entre seu AWS Directory Service diretório e outro diretório, use o AWS Directory Service for Microsoft Active Directory.

Configuração: criar seu diretório

Estas são algumas sugestões a serem consideradas ao criar seu diretório.

Lembre-se de seu ID e senha de administrador

Ao configurar o diretório, você fornece uma senha para a conta de administrador. O ID de conta é Administrator para o Simple AD. Lembre-se da senha criada para essa conta. Caso contrário, você não poderá adicionar objetos a seu diretório.

Entenda as restrições de nome de usuário para AWS aplicativos

AWS Directory Service fornece suporte para a maioria dos formatos de caracteres que podem ser usados na construção de nomes de usuário. No entanto, existem restrições de caracteres impostas aos nomes de usuário que serão usados para fazer login em AWS aplicativos, como WorkSpaces WorkMail, WorkDocs Amazon ou. QuickSight Essas restrições exigem que os seguintes caracteres não sejam usados:

  • Espaços

  • Caracteres multibyte

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

nota

O símbolo@é permitido, desde que ele preceda um sufixo UPN.

Programar suas aplicações

Antes de programar seus aplicativos, considere o seguinte:

Use o serviço de localização de DCs do Windows

Ao desenvolver aplicativos, use o serviço localizador de DC do Windows ou use o serviço DNS dinâmico (DDNS) do seu AWS Microsoft AD gerenciado para localizar controladores de domínio (). DCs Não codifique aplicativos com o endereço de um DC. O serviço de localização de DC ajuda a garantir que a carga do diretório seja distribuída e permite que você aproveite a escalabilidade horizontal, adicionando controladores de domínio à implantação. Se você vincular seu aplicativo a um DC fixo e o DC passar por patch ou recuperação, seu aplicativo perderá o acesso ao DC em vez de usar um dos restantes. DCs Além disso, a codificação do DC pode resultar na criação de um ponto de acesso de um único DC. Em casos graves, a criação do ponto de acesso pode fazer com que o DC não responda. Esses casos também podem fazer com que a automação do AWS diretório sinalize o diretório como prejudicado e desencadeie processos de recuperação que substituam o DC que não responde.

Faça um teste de carga antes de implantar no ambiente de produção

Faça testes laboratoriais com objetos e solicitações que representam sua workload de produção para confirmar se o diretório é dimensionado conforme a carga da aplicação. Se você precisar de capacidade adicional, use o AWS Directory Service Microsoft Active Directory, que permite adicionar controladores de domínio para obter alto desempenho. Para obter mais informações, consulte Implantação de controladores de domínio adicionais do AWS Managed Microsoft AD.

Use consultas LDAP eficientes

Muitas consultas LDAP para um controlador de domínio em milhares de objetos podem consumir ciclos de CPU significativos em um único DC, resultando em pontos de acesso. Isso pode afetar aplicativos que compartilham o mesmo DC durante a consulta.