本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Simple AD 的最佳实践
<a name="simple_ad_best_practices"></a>

为避免问题并充分利用 Simple AD，您应该考虑以下建议和准则。

## 设置：先决条件
<a name="simple_ad_best_practices_prereq"></a>

创建目录之前请考虑以下这些准则。

### 验证目录类型是否正确
<a name="choose_right_type"></a>

Directory Service 提供了多种与其他 AWS 服务Microsoft Active Directory配合使用的方式。您可以根据预算成本选择具有适当功能的目录服务以满足您的需求：
+ **AWS 微软目录服务 Active Directory** 是一款托管在云端的功能丰富的Microsoft Active Directory托管服务。 AWS AWS 如果您拥有超过 5,000 个用户，并且需要在托管目录和本地目录之间建立信任关系，那么 AWS 托管 Microsoft AD 是您的最佳选择。
+ **AD Con** nector 只需将您现有的本地活动目录连接到 AWS。当您想要将现有本地目录与 AWS 服务一起使用时，AD Connector 是您的最佳选择。
+ **Simple AD** 是一种小规模、低成本的目录，具有基础的 Active Directory 兼容性。其支持 5000 个或更少的用户、兼容 Samba 4 的应用程序，并支持 LDAP 感知型应用程序的 LDAP 兼容性。

有关 Directory Service 选项的更详细比较，请参阅[选择哪一个](what_is.md#choosing_an_option)。

### 确保您的 VPCs 和实例配置正确
<a name="vpc_config"></a>

为了连接、管理和使用您的目录，必须正确配置与 VPCs 这些目录关联的。有关 VPC 安全和网络要求的信息，请参阅 [创建 AWS 托管 Microsoft AD 的先决条件](ms_ad_getting_started.md#ms_ad_getting_started_prereqs)、[AD Connector 先决条件](ad_connector_getting_started.md#prereq_connector) 或 [Simple AD 先决条件](simple_ad_getting_started.md#prereq_simple)。

如果要将实例添加到域，请确保您具有实例连接并且可以远程访问实例，如[将 Amazon EC2 实例加入您的 AWS 托管微软 AD 的方法](ms_ad_join_instance.md) 中所述。

### 注意限制
<a name="aware_of_limits"></a>

了解特定目录类型的各种限制。对象的可用存储空间和总大小是可以存储在目录中的对象数量的唯一限制。有关所选目录的详细信息，请参阅 [AWS 托管微软 AD 配额](ms_ad_limits.md)、[AD Connector 配额](ad_connector_limits.md) 或 [Simple AD 限额](simple_ad_limits.md)。

### 了解目录 AWS 的安全组配置并使用
<a name="simple_ad_understandsecgroup"></a>

AWS 创建[安全组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule)并将其附加到目录的域控制器[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)。 AWS 将安全组配置为阻止不必要的目录流量并允许必要的流量。

#### 修改目录安全组
<a name="simple_ad_modifyingsecgroup"></a>

可修改目录的安全组，但只有在完全了解安全组筛选时才可以这么做。有关更多信息，请参阅《Amazon EC2 用户指南》**中的[适用于 Linux 实例的 Amazon EC2 安全组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)。不当的更改可能会中断与目标计算机和实例的通信。 AWS 建议不要为目录打开其他端口，因为这会降低安全性。在进行更改之前，请查看 [AWS 责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)。

**警告**  
从技术上来说，您可以将目录的安全组与您创建的其他 EC2 实例关联。但是， AWS 建议不要这样做。 AWS 可能有理由在不另行通知的情况下修改安全组，以满足托管目录的功能或安全需求。此类更改会影响您将目录安全组关联到的任何实例，并可能中断关联实例的操作。此外，将目录安全组与您的 EC2 实例关联可能为 EC2 实例带来潜在的安全风险。

### 如果需要信任，请使用 AWS 托管 Microsoft AD
<a name="use_mad_for_trusts"></a>

Simple AD 不支持信任关系。如果你需要在你的 Directory Service 目录和其他目录之间建立信任，你应该使用适用于 Microsoft Active Directory 的 AWS 目录服务。

## 设置：创建目录
<a name="simple_ad_best_practices_create"></a>

下面是创建目录时应考虑的一些建议。

### 记住管理员 ID 和密码
<a name="simple_ad_remember_pw"></a>

设置目录时，需要提供管理员账户的密码。此账户 ID 是 Simple AD 的 *管理员* ID。请记住为此账户创建的密码；否则无法向您的目录中添加对象。

### 了解 AWS 应用程序的用户名限制
<a name="simple_ad_usernamerestrictions"></a>

Directory Service 为大多数可用于构建用户名的字符格式提供支持。但是，对于用于登录 AWS 应用程序（例如、、Amazon WorkMail 或 Quick）的用户名有一些字符限制。 WorkSpaces WorkDocs这些限制要求不使用以下字符：
+ 空间
+ 多字节字符
+ \$1"\$1\$1%&'()\$1\$1,/:;<=>?@[\$1]^`\$1\$1\$1\$1

**注意**  
仅允许在 UPN 后缀之前使用 @ 符号。

## 为您的应用程序编程
<a name="simple_ad_program_apps"></a>

在为您的应用程序编程之前，请考虑以下事项：

### 使用 Windows DC 定位器服务
<a name="simple_ad_program_dc_locator"></a>

开发应用程序时，请使用 Windows DC 定位器服务或使用 AWS 托管 Microsoft AD 的动态 DNS (DDNS) 服务来定位域控制器 (DCs) ()。请勿使用 DC 的地址对应用程序进行硬编码。DC 定位器服务有助于确保分配目录负载，使您能够通过将域控制器添加到部署来利用水平扩展。如果您将应用程序绑定到固定的 DC，并且该 DC 正在进行修补或恢复，则您的应用程序将无法访问该 DC，而不是使用其余的 DC 之一。 DCs而且，DC 的硬编码可能导致在单一 DC 上出现热点。情况严重时，热点可能导致您的 DC 无法响应。此类情况还可能导致 AWS 目录自动化将目录标记为受损，并可能触发替换无响应的 DC 的恢复进程。

### 交付生产之前的负载测试
<a name="simple_ad_program_load_test"></a>

请务必对代表您的生产工作负载的对象和请求执行实验室测试，以确认目录将扩展至您的应用程序负载。如果您需要更多容量，则应使用 Directory Service Microsoft Active Directory，它允许您添加域控制器以获得高性能。有关更多信息，请参阅 [为你的 AWS 托管 Microsoft AD 部署额外的域控制器](ms_ad_deploy_additional_dcs.md)。

### 使用高效的 LDAP 查询
<a name="simple_ad_program_ldap_query"></a>

对域控制器进行的针对数千个对象的广泛 LDAP 查询在单个 DC 中会产生明显的 CPU 周期消耗，从而导致热点。这可能影响在查询期间共享同一 DC 的应用程序。