本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AD Connector 最佳实践
为避免问题并充分利用 AD Connector,您应该考虑以下建议和准则。
## 设置:先决条件
创建目录之前请考虑以下这些准则。
### 验证目录类型是否正确
Directory Service 提供了多种与其他 AWS 服务Microsoft Active Directory一起使用的方式。您可以根据预算成本选择具有适当功能的目录服务以满足您的需求:
+ **AWS 微软目录服务 Active Directory** 是一款托管在云端的功能丰富的Microsoft Active Directory托管服务。 AWS AWS 如果您拥有超过 5,000 个用户,并且需要在托管目录和本地目录之间建立信任关系,那么 AWS 托管 Microsoft AD 是您的最佳选择。
+ **AD Con** nector 只需将您现有的本地活动目录连接到 AWS。当您想要将现有本地目录与 AWS 服务一起使用时,AD Connector 是您的最佳选择。
+ **Simple AD** 是一种小规模、低成本的目录,具有基础的 Active Directory 兼容性。其支持 5000 个或更少的用户、兼容 Samba 4 的应用程序,并支持 LDAP 感知型应用程序的 LDAP 兼容性。
有关 Directory Service 选项的更详细比较,请参阅[选择哪一个](what_is.md#choosing_an_option)。
### 确保您的 VPCs 和实例配置正确
为了连接、管理和使用您的目录,必须正确配置与 VPCs 这些目录关联的。有关 VPC 安全和网络要求的信息,请参阅 [创建 AWS 托管 Microsoft AD 的先决条件](ms_ad_getting_started.md#ms_ad_getting_started_prereqs)、[AD Connector 先决条件](ad_connector_getting_started.md#prereq_connector) 或 [Simple AD 先决条件](simple_ad_getting_started.md#prereq_simple)。
如果要将实例添加到域,请确保您具有实例连接并且可以远程访问实例,如[将 Amazon EC2 实例加入您的 AWS 托管微软 AD 的方法](ms_ad_join_instance.md) 中所述。
### 注意限制
了解特定目录类型的各种限制。对象的可用存储空间和总大小是可以存储在目录中的对象数量的唯一限制。有关所选目录的详细信息,请参阅 [AWS 托管微软 AD 配额](ms_ad_limits.md)、[AD Connector 配额](ad_connector_limits.md) 或 [Simple AD 限额](simple_ad_limits.md)。
### 了解目录 AWS 的安全组配置并使用
AWS 创建[安全组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule)并将其附加到目录的[弹性网络接口,这些接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)可从您的对等网络内部进行访问或调整大小[VPCs](https://aws.amazon.com/vpc/)。 AWS 将安全组配置为阻止不必要的目录流量并允许必要的流量。
#### 修改目录安全组
如果要修改安全组目录的安全性,可以这样做。只有在您完全了解安全组的筛选如何工作时,才进行这样的更改。有关更多信息,请参阅《Amazon EC2 用户指南》**中的[适用于 Linux 实例的 Amazon EC2 安全组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)。不当的更改可能会导致与目标计算机和实例的通信中断。 AWS 建议您不要尝试打开目录的其他端口,因为这会降低目录的安全性。请仔细查看 [AWS 责任共担模型](https://aws.amazon.com/compliance/shared-responsibility-model/)。
**警告**
从技术上来说,您可以将目录的安全组与您创建的其他 EC2 实例关联。但是, AWS 建议不要这样做。 AWS 可能有理由在不另行通知的情况下修改安全组,以满足托管目录的功能或安全需求。此类更改会影响您将目录安全组关联到的任何实例,并可能中断关联实例的操作。此外,将目录安全组与您的 EC2 实例关联可能为 EC2 实例带来潜在的安全风险。
### 使用 AD Connector 时正确配置本地站点和子网
如果您的本地网络中已定义 Active Directory 站点,您必须确保在 Active Directory 站点中您 AD Connector 所在的 VPC 内定义了子网,并且 VPC 中的子网与您其他站点中的子网之间不存在冲突。
为发现域控制器,AD Connector 将使用子网 IP 地址范围与包含 AD Connector 的 VPC 中的子网 IP 地址范围接近的 Active Directory 站点。如果您的一个站点具有 IP 地址范围与您 VPC 中的 IP 地址范围相同的子网,则 AD Connector 将发现该站点中的域控制器,但该站点的实际地点不一定靠近您的区域。
### 了解 AWS 应用程序的用户名限制
Directory Service 支持大多数可用于构造用户名的字符格式。但是,对于用于登录 AWS 应用程序(例如、、Amazon WorkMail 或 Quick)的用户名有一些字符限制。 WorkSpaces WorkDocs这些限制要求不使用以下字符:
+ 空间
+ 多字节字符
+ \$1"\$1\$1%&'()\$1\$1,/:;<=>?@[\$1]^`\$1\$1\$1\$1
**注意**
仅允许在 UPN 后缀之前使用 @ 符号。
## 为您的应用程序编程
在为您的应用程序编程之前,请考虑以下事项:
### 交付生产之前的负载测试
请务必对代表您的生产工作负载的应用程序和请求执行实验室测试,以确认目录将扩展至您的应用程序负载。如果您需要更多容量,请将您的负载分布在多个 AD Connector 目录中。
## 使用目录
下面是使用目录时应记住的一些建议。
### 定期交替管理员凭证
定期更改您的 AD Connector 服务账户管理员密码,并确保密码与您现有的 Active Directory 密码策略一致。有关如何更改服务账户密码的说明,请参阅 [在中更新您的 AD Connector 服务账号凭证 AWS 管理控制台](ad_connector_update_creds.md)。
### 对每个域使用唯一的 AD Connector
AD Connector 和本地 AD 域具有 1 对 1 关系。也就是说,对于每个本地域,包括 AD 林中您要针对其进行身份验证的子域,您必须创建唯一的 AD Connector。您创建的每个 AD Connector 都必须使用不同的服务账户,即使将其连接到同一目录时也是如此。
### 兼容性检查
使用 AD Connector 时,必须确保您的本地目录与兼容 Directory Service。有关您的责任的更多信息,请参阅我们的[责任共担模型](https://aws.amazon.com/compliance/shared-responsibility-model)。