本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AD Connector 的最佳實務
以下是您應該考量的一些建議和準則,從而避免問題並充分運用 AD Connector。
## 設定:事前準備
建立目錄之前,請考量這些準則。
### 確認目錄類型是否正確
Directory Service 提供多種方式可Microsoft Active Directory與其他 AWS 服務搭配使用。您可以依所需功能及成本預算,選擇目錄服務:
+ **AWS Directory Service for Microsoft Active Directory** 是一種功能豐富的受Microsoft Active Directory管 AWS 雲端託管。如果您有超過 5,000 名使用者,且需要在託管目錄和內部部署目錄之間 AWS 設定信任關係,則 AWS 受管 Microsoft AD 是您的最佳選擇。
+ **AD Connector** 只會將您現有的內部部署 Active Directory 連線到 AWS。如果您想要將現有的內部部署目錄用於 AWS 服務,AD Connector 會是您的最佳選擇。
+ **Simple AD** 是與基本 Active Directory 相容的低規模兼低成本目錄。它支援最多 5,000 名使用者、Samba 4 相容應用程式,以及 LDAP 感知應用程式的 LDAP 相容性。
如需 Directory Service 選項的更詳細比較,請參閱 [該選擇哪種](what_is.md#choosing_an_option)。
### 確認已正確設定您的 VPC 和執行個體
為了連線、管理及使用您的目錄,您必須正確設定與目錄相關聯的 VPC。如需 VPC 安全與聯網需求的資訊,請參閱「[建立 AWS Managed Microsoft AD 的先決條件](ms_ad_getting_started.md#ms_ad_getting_started_prereqs) 」、「[AD Connector 事前準備](ad_connector_getting_started.md#prereq_connector) 」或「[Simple AD 先決條件](simple_ad_getting_started.md#prereq_simple)」。
如果您想要將執行個體新增至網域,請確定您具備連線能力並可遠端存取您的執行個體,如「[將 Amazon EC2 執行個體加入 AWS Managed Microsoft AD 的方法](ms_ad_join_instance.md)」中所述。
### 留意您的限制
了解特定目錄類型的不同限制。您可以在目錄中儲存的物件數量僅受限於可用儲存空間和物件的彙總大小。有關所選目錄的詳細資訊,請參閱「[AWS Managed Microsoft AD 配額](ms_ad_limits.md)」、「[AD Connector 配額](ad_connector_limits.md)」或「[Simple AD 配額](simple_ad_limits.md)」。
### 了解目錄 AWS 的安全群組組態和使用
AWS 會建立[安全群組](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule),並將其連接到您目錄的[彈性網路介面](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html),這些介面可從對等或調整大小[VPCs](https://aws.amazon.com/vpc/) 內存取。 AWS 會設定安全群組以封鎖對目錄不必要的流量,並允許必要的流量。
#### 修改目錄安全群組
若要修改安全群組目錄的安全性,您可以這麼做。請只在您完全了解安全群組篩選的運作方式時才進行這類變更。如需詳細資訊,請參閱《Amazon EC2 使用者指南》**中的[適用於 Linux 執行個體的 Amazon EC2 安全群組](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)一節。不當變更可能會導致與預期電腦和執行個體的通訊中斷。 AWS 建議您不要嘗試開啟目錄的其他連接埠,因為這會降低目錄的安全性。請仔細檢閱 [AWS 共同的責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)。
**警告**
在技術上,您可以將目錄的安全群組與您建立的其他 EC2 執行個體建立關聯。不過,針對此實務 AWS 建議 。 AWS 可能有理由在不通知的情況下修改安全群組,以解決受管目錄的功能或安全需求。這類變更會影響您要與目錄安全群組建立關聯的任何執行個體,而且可能會干擾具關聯執行個體的操作。此外,將目錄安全群組與您的 EC2 執行個體產生關聯可能會對 EC2 執行個體帶來安全風險。
### 使用 AD Connector 時正確設定內部部署站台和子網路
如果您的內部部署網路已定義 Active Directory 站台,您必須確定 AD Connector 所在之 VPC 中的子網路已於 Active Directory 站台中定義,而且 VPC 中的子網路與其他站台中的子網路之間沒有任何衝突。
為了探索域控制站,AD Connector 會使用與含有 AD Connector 之 VPC 的子網路 IP 地址範圍相近的 Active Directory 站台。如果您站台的子網路與 VPC 的子網路有相同 IP 地址範圍,AD Connector 會探索該站台中的域控制站,實際上有可能與您的區域不相近。
### 了解 AWS 應用程式的使用者名稱限制
Directory Service 支援可用於建構使用者名稱的大多數字元格式。不過,在用於登入 AWS 應用程式的使用者名稱上會強制執行字元限制,例如 WorkSpaces、WorkDocs、Amazon WorkMail 或 Quick。這些限制要求不使用下列字元:
+ 空格
+ 多位元組字元
+ \$1"\$1\$1%&'()\$1\$1,/:;<=>?@[\$1]^`\$1\$1\$1\$1
**注意**
@ 符號只可位於 UPN 尾碼之前。
## 編寫程式設計自己的應用程式
編寫程式設計自己的應用程式之前,請考慮下列事項:
### 投入生產前先進行負載測試
請務必針對代表您生產工作負載的應用程式與請求執行實驗室測試,以確認目錄擴展至您的應用程式負載。如果您需要更多容量,將負載分散到多個 AD Connector 目錄。
## 使用您的目錄
以下是使用目錄時需謹記的一些建議。
### 定期輪換管理員憑證
請定期變更您的 AD Connector 服務帳戶管理員密碼,並確保密碼與您現有的 Active Directory 密碼政策保持一致。如需有關如何變更服務帳戶密碼的詳細資訊,請參閱[在 中更新您的 AD Connector 服務帳戶登入資料 AWS 管理主控台](ad_connector_update_creds.md)。
### 針對每個域使用唯一的 AD Connector
AD Connector 與您的內部部署 AD 域具有一對一關係。也就是說,對於每個內部部署域 (包括您要驗證的 AD 樹系子域),您皆必須建立唯一的 AD Connector。即使您建立的每個 AD Connector 都連線到同一個目錄,他們仍必須使用不同的服務帳戶。
### 檢查相容性
使用 AD Connector 時,您必須確保您的內部部署目錄與 保持相容 Directory Service。如需您責任的詳細資訊,請參閱我們的「[共同的責任模型](https://aws.amazon.com/compliance/shared-responsibility-model)」。