Mise en route avec Simple AD - AWS Directory Service
Prérequis pour Simple ADCréez votre Simple AD Active DirectoryQu'est-ce qui est créé avec votre Simple AD Active DirectoryConfiguration du DNS pour Simple AD

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mise en route avec Simple AD

Simple AD crée un annuaire entièrement géré basé sur Samba dans le AWS cloud. Lorsque vous créez un annuaire avec Simple AD, il AWS Directory Service crée deux contrôleurs de domaine et deux serveurs DNS en votre nom. Les contrôleurs de domaine sont créés dans différents sous-réseaux d'un Amazon VPC. Cette redondance permet de garantir que votre répertoire reste accessible même en cas de panne.

Prérequis pour Simple AD

Pour créer un Simple ADActive Directory, vous avez besoin d'un Amazon VPC avec les éléments suivants :

  • Le VPC doit avoir la location matérielle par défaut.

  • Le VPC ne doit pas être configuré avec le ou les points de terminaison de VPC suivants :

  • Au moins deux sous-réseaux dans deux zones de disponibilité différentes. Les sous-réseaux doivent se trouver dans la même plage de routage interdomaine sans classe (CIDR). Si vous souhaitez étendre ou redimensionner le VPC pour votre annuaire, assurez-vous de sélectionner les deux sous-réseaux de contrôleur de domaine pour la plage d'adresses CIDR de VPC étendu. Lorsque vous créez un Simple AD, vous AWS Directory Service créez deux contrôleurs de domaine et deux serveurs DNS en votre nom.

  • Si vous avez besoin du support LDAPS avec Simple AD, nous vous recommandons de le configurer à l'aide d'un Network Load Balancer connecté au port 389. Ce modèle vous permet d'utiliser un certificat fort pour la connexion LDAPS, de simplifier l'accès à LDAPS par le biais d'une seule adresse IP NLB et de définir un basculement automatique avec NLB. Simple AD ne prend pas en charge l'utilisation de certificats auto-signés sur le port 636. Pour plus d'informations sur la configuration de LDAPS avec Simple AD, reportez-vous à la section How to Configure an LDAPS Endpoint for Simple AD (Comment configurer un point de terminaison LDAPS pour Simple AD) dans le blog sur la sécuritéAWS .

  • Les types de chiffrement suivants doivent être activés dans l'annuaire :

    • RC4_HMAC_MD5

    • AES128_HMAC_SHA1

    • AES256_HMAC_SHA1

    • Futurs types de chiffrement

      Note

      Si vous désactivez ces types de chiffrement, cela risque d'engendrer des problèmes de communication avec les outils d'administration de serveur distant (RSAT) et de nuire à la disponibilité ou à votre annuaire.

  • Pour de plus amples informations, veuillez consulter Qu'est-ce qu'Amazon VPC ? dans le Guide de l'utilisateur Amazon VPC.

AWS Directory Service utilise une structure à deux VPC. Les instances EC2 qui constituent votre répertoire s'exécutent en dehors de votre AWS compte et sont gérées par AWS. Elles ont deux cartes réseau, ETH0 et ETH1. ETH0 est la carte de gestion et existe en dehors de votre compte. ETH1 est créé au sein de votre compte.

La plage d'adresses IP de gestion du réseau ETH0 de votre annuaire est choisie par programmation afin de garantir qu'elle n'entre pas en conflit avec le VPC sur lequel votre annuaire est déployé. Cette plage d'adresses IP peut être comprise dans l'une des paires suivantes (car les annuaires s'exécutent dans deux sous-réseaux) :

  • 10.0.1.0/24 et 10.0.2.0/24

  • 169,254,0,0/16

  • 192.168.1.0/24 et 192.168.2.0/24

Nous évitons les conflits en vérifiant le premier octet du CIDR ETH1. S'il commence par un 10, nous choisissons un VPC 192.168.0.0/16 avec des sous-réseaux 192.168.1.0/24 et 192.168.2.0/24. Si le premier octet est différent de 10, nous choisissons un VPC 10.0.0.0/16 avec des sous-réseaux 10.0.1.0/24 et 10.0.2.0/24.

L'algorithme de sélection n'inclut pas de routages dans votre VPC. Il est donc possible qu'un conflit de routage IP résulte de ce scénario.

Créez votre Simple AD Active Directory

Pour créer un nouveau Simple ADActive Directory, effectuez les étapes suivantes. Avant de commencer cette procédure, assurez-vous que vous avez terminé les prérequis identifiés dans Prérequis pour Simple AD.

Pour créer un Simple AD Active Directory

  1. Dans le panneau de navigation de la console AWS Directory Service, choisissez Annuaires, puis Configurer un annuaire.

  2. Sur la page Sélectionner un type d'annuaire, choisissez Simple AD, puis Suivant.

  3. Sur la page Enter directory information (Saisir les détails de l'annuaire), renseignez les informations suivantes :

    Taille de l'annuaire

    Faites votre choix parmi les options de taille Petit ou Large. Pour en savoir plus sur les tailles, veuillez consulter Simple AD.

    Nom de l'organisation

    Nom d'organisation unique pour votre répertoire qui sera utilisé pour enregistrer les appareils clients.

    Ce champ n'est disponible que si vous créez votre répertoire dans le cadre du lancement WorkSpaces.

    Nom de DNS de l'annuaire

    Nom complet de l'annuaire, par exemple corp.example.com.

    Nom NetBIOS de l'annuaire

    Nom court de l'annuaire, par exemple CORP.

    Mot de passe administrateur

    Mot de passe de l'administrateur de l'annuaire. Le processus de création d'un annuaire crée un compte d'administrateur avec le nom utilisateur Administrator et ce mot de passe.

    Le mot de passe de l'administrateur de l'annuaire est sensible à la casse et doit comporter entre 8 et 64 caractères (inclus). Il doit également contenir au moins un caractère de trois des quatre catégories suivantes :

    • Lettres minuscules (a-z)

    • Lettres majuscules (A-Z)

    • Chiffres (0-9)

    • Caractères non alphanumériques (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Confirmer le mot de passe

    Saisissez à nouveau le mot de passe de l'administrateur.

    Description de l'annuaire

    Description facultative de l'annuaire.

  4. Sur la page Choose VPC and subnets (Choisir un VPC et des sous-réseaux), indiquez les informations suivantes, puis choisissez Next (Suivant).

    VPC

    VPC de l'annuaire.

    Sous-réseaux

    Choisissez les sous-réseaux pour les contrôleurs de domaine. Les deux sous-réseaux doivent être dans des zones de disponibilité différentes.

  5. Sur la page Review & create (Vérifier et créer), vérifiez les informations concernant l'annuaire et effectuez les modifications nécessaires. Lorsque les informations sont correctes, choisissez Create directory (Créer l'annuaire). La création de l'annuaire prend plusieurs minutes. Une fois l'annuaire créé, le champ Statut prend la valeur Actif.

Qu'est-ce qui est créé avec votre Simple AD Active Directory

Lorsque vous créez un Active Directory avec Simple AD, il AWS Directory Service exécute les tâches suivantes en votre nom :

  • Configure un annuaire basé sur Samba dans le VPC.

  • Création d'un compte d'administrateur d'annuaire avec le nom d'utilisateur Administrator et le mot de passe spécifié. Ce compte est utilisé pour gérer votre annuaire.

    Important

    Assurez-vous d'enregistrer ce mot de passe. AWS Directory Service ne stocke pas ce mot de passe et il ne peut pas être récupéré. Vous pouvez toutefois réinitialiser un mot de passe depuis la AWS Directory Service console ou à l'aide de l'ResetUserPasswordAPI.

  • Création d'un groupe de sécurité pour les contrôleurs de l'annuaire.

  • Crée un compte avec le nom AWSAdminD-xxxxxxxx qui dispose des privilèges d'administration de domaine. Ce compte est utilisé pour effectuer des opérations automatisées pour les opérations de maintenance des annuaires, telles que la prise de clichés d'annuaires et les transferts de rôles FSMO. AWS Directory Service Les informations d'identification pour ce compte sont stockées en toute sécurité par AWS Directory Service.

  • Crée et associe automatiquement une interface réseau Elastic (ENI) à chacun de vos contrôleurs de domaine. Chacun de ces ENI est essentiel à la connectivité entre votre VPC AWS Directory Service et les contrôleurs de domaine et ne doit jamais être supprimé. Vous pouvez identifier toutes les interfaces réseau réservées à l'utilisation AWS Directory Service par la description : « interface réseau AWS créée pour le répertoire directory-id ». Pour plus d'informations, consultez Elastic Network Interfaces dans le guide de l'utilisateur Amazon EC2. Le serveur DNS par défaut de AWS Managed Microsoft AD Active Directory est le serveur DNS VPC avec Classless Inter-Domain Routing (CIDR) +2. Pour plus d'informations, consultez le serveur Amazon DNS dans le guide de l'utilisateur Amazon VPC.

    Note

    Les contrôleurs de domaine sont déployés par défaut dans deux zones de disponibilité d'une région et connectés à votre cloud privé virtuel (VPC) Amazon. Les sauvegardes sont effectuées automatiquement une fois par jour, et les volumes Amazon Elastic Block Store (EBS) sont chiffrés pour garantir la sécurité des données au repos. Les contrôleurs de domaine qui échouent sont automatiquement remplacés dans la même zone de disponibilité à l'aide de la même adresse IP, et une reprise après sinistre complète peut être effectuée avec la dernière sauvegarde.

Configuration du DNS pour Simple AD

Simple AD transfère les demandes DNS à l'adresse IP des serveurs DNS fournis par Amazon pour votre VPC Amazon. Ces serveurs DNS résolvent les noms configurés dans vos zones hébergées privées Amazon Route 53. En pointant vos ordinateurs sur site vers votre Simple AD, vous pouvez désormais résoudre les demandes DNS dans la zone hébergée privée. Pour plus d'informations sur Route 53, veuillez consulter What is Route 53 (français non garanti).

Notez que pour activer votre Simple AD pour répondre aux requêtes DNS externes, la liste de contrôle d'accès (ACL) réseau pour le VPC contenant votre Simple AD doit être configurée pour autoriser le trafic depuis l'extérieur du VPC.

  • Si vous n'utilisez pas les zones hébergées privées Route 53, vos demandes DNS seront transmises aux serveurs DNS publics.

  • Si vous utilisez des serveurs DNS personnalisés situés en dehors de votre VPC et si vous souhaitez utiliser un DNS privé, vous devez procéder à une nouvelle configuration pour utiliser des serveurs DNS personnalisés sur des instances EC2 au sein de votre VPC. Pour plus d'informations, veuillez onsulter Utilisation des zones hébergées privées.

  • Si vous voulez que votre Simple AD résolve les noms à l'aide des serveurs DNS au sein de votre VPC et des serveurs DNS privés en dehors de votre VPC, vous pouvez le faire à l'aide d'un jeu d'options DHCP. Pour obtenir un exemple détaillé, veuillez consulter cet article.

Note

Les mises à jour dynamiques DNS ne sont pas prises en charge dans les domaines Simple AD. En revanche, vous pouvez effectuer les modifications directement en connectant votre annuaire à l'aide du Gestionnaire DNS sur une instance qui est jointe à votre domaine.