本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Simple AD 最佳實務
以下是您應該考慮的一些建議和指導方針,以避免問題並充分利用 Simple AD。
## 設定:事前準備
建立目錄之前,請考量這些準則。
### 確認目錄類型是否正確
Directory Service 提供多種方式可Microsoft Active Directory與其他 AWS 服務搭配使用。您可以依所需功能及成本預算,選擇目錄服務:
+ **AWS Directory Service for Microsoft Active Directory** 是一種功能豐富的受Microsoft Active Directory管 AWS 雲端託管。如果您有超過 5,000 名使用者,且需要在託管目錄和內部部署目錄之間 AWS 設定信任關係,則 AWS 受管 Microsoft AD 是您的最佳選擇。
+ **AD Connector** 只會將您現有的內部部署 Active Directory 連線到 AWS。如果您想要將現有的內部部署目錄用於 AWS 服務,AD Connector 會是您的最佳選擇。
+ **Simple AD** 是與基本 Active Directory 相容的低規模兼低成本目錄。它支援最多 5,000 名使用者、Samba 4 相容應用程式,以及 LDAP 感知應用程式的 LDAP 相容性。
如需 Directory Service 選項的更詳細比較,請參閱 [該選擇哪種](what_is.md#choosing_an_option)。
### 確認已正確設定您的 VPC 和執行個體
為了連線、管理及使用您的目錄,您必須正確設定與目錄相關聯的 VPC。如需 VPC 安全與聯網需求的資訊,請參閱「[建立 AWS Managed Microsoft AD 的先決條件](ms_ad_getting_started.md#ms_ad_getting_started_prereqs) 」、「[AD Connector 事前準備](ad_connector_getting_started.md#prereq_connector) 」或「[Simple AD 先決條件](simple_ad_getting_started.md#prereq_simple)」。
如果您想要將執行個體新增至網域,請確定您具備連線能力並可遠端存取您的執行個體,如「[將 Amazon EC2 執行個體加入 AWS Managed Microsoft AD 的方法](ms_ad_join_instance.md)」中所述。
### 留意您的限制
了解特定目錄類型的不同限制。您可以在目錄中儲存的物件數量僅受限於可用儲存空間和物件的彙總大小。有關所選目錄的詳細資訊,請參閱「[AWS Managed Microsoft AD 配額](ms_ad_limits.md)」、「[AD Connector 配額](ad_connector_limits.md)」或「[Simple AD 配額](simple_ad_limits.md)」。
### 了解目錄 AWS 的安全群組組態和使用
AWS 會建立[安全群組](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule),並將其連接至目錄的網域控制器[彈性網路介面](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)。 AWS 會設定安全群組,以封鎖至目錄不必要的流量,並允許必要的流量。
#### 修改目錄安全群組
您可以修改目錄的安全群組,但前提是您完全了解安全群組篩選。如需詳細資訊,請參閱《Amazon EC2 使用者指南》**中的[適用於 Linux 執行個體的 Amazon EC2 安全群組](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)一節。不當變更可能會中斷與預期電腦和執行個體的通訊。 AWS 建議不要開啟其他連接埠至您的目錄,因為這會降低安全性。在進行變更之前,請檢閱[AWS 共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)。
**警告**
在技術上,您可以將目錄的安全群組與您建立的其他 EC2 執行個體建立關聯。不過,針對此實務 AWS 建議 。 AWS 可能有理由在未通知的情況下修改安全群組,以解決受管目錄的功能或安全需求。這類變更會影響您要與目錄安全群組建立關聯的任何執行個體,而且可能會干擾具關聯執行個體的操作。此外,將目錄安全群組與您的 EC2 執行個體產生關聯可能會對 EC2 執行個體帶來安全風險。
### 如果需要信任,請使用 AWS Managed Microsoft AD
Simple AD 不支援信任關係。如果您需要在 Directory Service 目錄和另一個目錄之間建立信任,您應該使用 AWS Directory Service for Microsoft Active Directory。
## 設定:建立您的目錄
以下是建立目錄時需考慮的一些建議。
### 記住您的管理員 ID 和密碼
在您設定目錄時,您會提供管理員帳戶的密碼。若是 Simple AD,該帳戶 ID 為 *Administrator*。請記住您為此帳戶建立的密碼,否則您將無法新增物件至目錄。
### 了解 AWS 應用程式的使用者名稱限制
Directory Service 支援可用於建構使用者名稱的大多數字元格式。不過,在用於登入 AWS 應用程式的使用者名稱上會強制執行字元限制,例如 WorkSpaces、WorkDocs、Amazon WorkMail 或 Quick。這些限制要求不使用下列字元:
+ 空格
+ 多位元組字元
+ \!"\#$%&'()\*\+,/:;<=>?@[\\]^`{\|}\~
**注意**
@ 符號只可位於 UPN 尾碼之前。
## 編寫程式設計自己的應用程式
編寫程式設計自己的應用程式之前,請考慮下列事項:
### 使用 Windows DC 定位器服務
開發應用程式時,請使用 Windows DC 定位器服務,或使用 AWS Managed Microsoft AD 的動態 DNS (DDNS) 服務來尋找網域控制站 DCs)。請勿使用 DC 地址將應用程式寫死在程式碼中。DC 定位器服務可新增網域控制站到您的部署,協助確保目錄負載分散並讓您充分利用水平擴展。如果您將應用程式繫結到固定的 DC,而該 DC 正在進行修補或復原,則您的應用程式將無法存取該 DC,而不會使用其中一個剩餘的 DC。此外,DC 硬編碼會導致單一 DC 產生熱點。在嚴重的情況下,熱點可能會導致您的 DC 無法回應。這類情況也可能導致 AWS 目錄自動化將目錄標記為受損,並可能觸發取代無回應 DC 的復原程序。
### 投入生產前先進行負載測試
請務必針對代表您的生產工作負載的物件與請求執行實驗室測試,以確認目錄擴展至您的應用程式負載。如果您需要額外的容量,您應該將 Directory Service 用於 Microsoft Active Directory,這可讓您新增網域控制站以獲得高效能。如需詳細資訊,請參閱[部署 AWS Managed Microsoft AD 的其他網域控制站](ms_ad_deploy_additional_dcs.md)。
### 使用高效 LDAP 查詢
從上千個物件針對網域控制站執行廣泛 LDAP 查詢,會佔用單一 DC 的大量 CPU 周期,進而產生熱點現象。這可能會導致查詢期間使用相同 DC 的應用程式受到影響。