Práticas recomendadas para o Simple AD - AWS Directory Service
Configuração: pré-requisitosConfiguração: criar seu diretórioProgramar suas aplicações

Práticas recomendadas para o Simple AD

Estas são algumas sugestões e orientações que devem ser consideradas para evitar problemas e obter o máximo do Simple AD.

Configuração: pré-requisitos

Considere essas diretrizes antes de criar seu diretório.

Verifique se você tem o tipo de diretório correto

O Directory Service oferece várias formas de usar o Microsoft Active Directory com outros serviços da AWS. Você pode escolher o serviço de diretório com os recursos necessários a um custo que caiba em seu orçamento:

  • O AWS Directory Service para Microsoft Active Directory é um Microsoft Active Directory gerenciado e repleto de recursos, hospedado na nuvem da AWS. AWS O Managed Microsoft AD será sua melhor opção se você tiver mais de 5.000 usuários e precisar de uma configuração de relacionamento de confiança entre um diretório hospedado da AWS e seus diretórios on-premises.

  • O AD Connector simplesmente conecta seu Active Directory on-premises existente à AWS. O AD Connector é a melhor opção quando você deseja usar seu diretório on-premises existente com os serviços da AWS.

  • O Simple AD é um diretório de baixo custo e pequena escala com compatibilidade básica com o Active Directory. Ele oferece suporte a até 5.000 usuários, aplicações compatíveis com Samba 4 e compatibilidade com LDAP para aplicações compatíveis com LDAP.

Para obter uma comparação mais detalhada das opções do Directory Service, consulte Qual escolher.

Verificar se suas VPCs e instâncias estão configuradas corretamente

Para se conectar, gerenciar e usar seus diretórios, é necessário configurar corretamente as VPCs às quais seus diretórios estão associados. Consulte Pré-requisitos para criar um AWS Managed Microsoft AD, Pré-requisitos do AD Connector ou Pré-requisitos do Simple AD para obter informações sobre os requisitos de segurança e de rede da VPC.

Se estiver adicionando uma instância a seu domínio, verifique se você tem conectividade e acesso remoto à sua instância, conforme descrito em Maneiras de associar uma instância do Amazon EC2 ao AWS Managed Microsoft AD.

Conhecer seus limites

Saiba mais sobre os vários limites do seu tipo de diretório específico. O armazenamento disponível e o tamanho agregado dos seus objetos são as únicas limitações no número de objetos que você pode armazenar em seu diretório. Consulte Cotas do AWS Microsoft Managed AD, Cotas do AD Connector ou Cotas do Simple AD para obter detalhes sobre o diretório escolhido.

Entender a configuração do grupo de segurança da AWS do diretório e o uso

A AWS cria um grupo de segurança e o anexa às interfaces de rede elástica do controlador de domínio do diretório. A AWS configura o grupo de segurança para bloquear tráfego desnecessário para o diretório e permitir tráfego necessário.

Modificar o grupo de segurança do diretório

Você pode modificar grupos de segurança para os diretórios, mas faça-o apenas se conhecer a fundo a filtragem de grupos de segurança. Para obter mais informações, consulte Grupos de segurança do Amazon EC2 para instâncias do Linux no Guia do usuário do Amazon EC2. Alterações inadequadas podem interromper as comunicações com os computadores e instâncias pretendidos. A AWS recomenda não abrir portas adicionais no diretório, pois isso reduz a segurança. Analise o Modelo de Responsabilidade Compartilhada da AWS antes de fazer alterações.

Atenção

Tecnicamente, é possível associar os grupos de segurança do diretório a outras instâncias do EC2 que você criar. No entanto, a AWS não recomenda essa prática. A AWS pode ter razões para modificar o grupo de segurança sem aviso prévio para resolver necessidades funcionais ou de segurança do diretório gerenciado. Essas alterações afetam as instâncias às quais você associa o grupo de segurança do diretório e podem interromper a operação das instâncias associadas. Além disso, a associação do grupo de segurança do diretório às suas instâncias do EC2 cria um possível risco de segurança para essas instâncias do EC2.

Usar AWS Managed Microsoft AD se relações de confiança forem necessárias

O Simple AD não oferece suporte a relações de confiança. Se for necessário estabelecer uma confiança entre o diretório do Directory Service e outro diretório, você deverá usar o AWS Directory Service for Microsoft Active Directory.

Configuração: criar seu diretório

Estas são algumas sugestões a serem consideradas ao criar seu diretório.

Lembre-se de seu ID e senha de administrador

Ao configurar o diretório, você fornece uma senha para a conta de administrador. O ID de conta é Administrator para o Simple AD. Lembre-se da senha criada para essa conta. Caso contrário, você não poderá adicionar objetos a seu diretório.

Entender as restrições de nome de usuário para aplicações da AWS

Directory ServiceO oferece suporte para a maioria dos formatos de caracteres que podem ser usados na construção de nomes de usuário. No entanto, há restrições de caracteres aplicadas aos nomes de usuário que serão usados para fazer login em aplicações da AWS, como WorkSpaces, WorkDocs, Amazon WorkMail ou QuickSight. Essas restrições exigem que os seguintes caracteres não sejam usados:

  • Espaços

  • Caracteres multibyte

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

nota

O símbolo@é permitido, desde que ele preceda um sufixo UPN.

Programar suas aplicações

Antes de programar seus aplicativos, considere o seguinte:

Use o serviço de localização de DCs do Windows

Ao desenvolver aplicações, use o serviço de localização de DC do Windows ou o serviço Dynamic DNS (DDNS) do AWS Managed Microsoft AD para localizar os controladores de domínio (DCs). Não codifique aplicativos com o endereço de um DC. O serviço de localização de DC ajuda a garantir que a carga do diretório seja distribuída e permite que você aproveite a escalabilidade horizontal, adicionando controladores de domínio à implantação. Se você vincular o aplicativo a um DC fixo, e o DC passar por patches ou recuperação, seu aplicativo perderá acesso ao DC, em vez de usar um dos DCs restantes. Além disso, a codificação do DC pode resultar na criação de um ponto de acesso de um único DC. Em casos graves, a criação do ponto de acesso pode fazer com que o DC não responda. Esses casos também podem fazer com que a automação do diretório da AWS sinalize o diretório como prejudicado e podem acionar processos de recuperação que substituam o DC sem resposta.

Faça um teste de carga antes de implantar no ambiente de produção

Faça testes laboratoriais com objetos e solicitações que representam sua workload de produção para confirmar se o diretório é dimensionado conforme a carga da aplicação. Se precisar de capacidade adicional, você deverá usar o Directory Service for Microsoft Active Directory, o qual permite adicionar controladores de domínio para alta performance. Para obter mais informações, consulte Implantação de controladores de domínio adicionais do AWS Managed Microsoft AD.

Use consultas LDAP eficientes

Muitas consultas LDAP para um controlador de domínio em milhares de objetos podem consumir ciclos de CPU significativos em um único DC, resultando em pontos de acesso. Isso pode afetar aplicativos que compartilham o mesmo DC durante a consulta.