Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Apa yang dibuat dengan Microsoft AD yang AWS Dikelola Saat Anda membuat Direktori Aktif dengan Microsoft AD yang AWS Dikelola, Directory Service lakukan tugas berikut atas nama Anda: + Secara otomatis membuat dan mengasosiasikan antarmuka jaringan elastis (ENI) dengan masing-masing pengendali domain Anda. Masing-masing ENIs penting untuk konektivitas antara VPC dan pengontrol Directory Service domain Anda dan tidak boleh dihapus. Anda dapat mengidentifikasi semua antarmuka jaringan yang dicadangkan untuk digunakan Directory Service dengan deskripsi: "AWS menciptakan antarmuka jaringan untuk *direktori-id* direktoriā€. Untuk informasi selengkapnya, lihat [Antarmuka Jaringan Elastis](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) di Panduan *Pengguna Amazon EC2*. Server DNS default dari Direktori Aktif Microsoft AD yang AWS Dikelola adalah server DNS VPC di Classless Inter-Domain Routing (CIDR) \+2. Untuk informasi selengkapnya, lihat [Server DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#AmazonDNS) *Amazon di Panduan Pengguna Amazon VPC*. **catatan** Pengontrol domain diterapkan di dua Availability Zone di suatu wilayah secara default dan terhubung ke Amazon VPC (VPC) Anda. Pencadangan diambil secara otomatis sekali sehari, dan volume Amazon EBS (EBS) dienkripsi untuk memastikan bahwa data diamankan saat istirahat. Pengendali domain yang gagal secara otomatis diganti di Availability Zone yang sama menggunakan alamat IP yang sama, dan pemulihan bencana penuh dapat dilakukan dengan menggunakan backup terbaru. + Persediaan Direktori Aktif dalam VPC Anda menggunakan dua pengendali domain untuk toleransi kesalahan dan ketersediaan tinggi. Pengendali domain yang lebih dapat disediakan untuk ketahanan yang lebih tinggi dan performa setelah direktori telah berhasil dibuat dan [Aktif](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_status.html). Untuk informasi selengkapnya, lihat [Menerapkan pengontrol domain tambahan untuk AWS Microsoft AD yang Dikelola](ms_ad_deploy_additional_dcs.md). **catatan** AWS tidak mengizinkan penginstalan agen pemantauan pada pengontrol domain Microsoft AD AWS Terkelola. + Membuat [grup AWS Keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) {{sg-1234567890abcdef0}} yang menetapkan aturan jaringan untuk lalu lintas masuk dan keluar dari pengontrol domain Anda. Aturan keluar default mengizinkan semua lalu lintas ke semua IPv4 alamat. Aturan masuk default hanya mengizinkan lalu lintas melalui port yang diperlukan oleh Active Directory dari blok IPv4 CIDR utama yang terkait dengan hosting VPC untuk iklan Microsoft Terkelola AWS Anda. Untuk keamanan tambahan, ENIs yang dibuat tidak memiliki Elastic yang IPs melekat padanya dan Anda tidak memiliki izin untuk melampirkan IP Elastis ke IP tersebut ENIs. Oleh karena itu secara default, satu-satunya lalu lintas masuk yang dapat berkomunikasi dengan Microsoft AD yang AWS Dikelola adalah VPC lokal. Anda dapat mengubah aturan grup keamanan untuk mengizinkan sumber lalu lintas tambahan, misalnya dari peered lain VPCs atau CIDRs dapat dijangkau melalui VPN. Gunakan sangat hati-hati jika Anda mencoba untuk mengubah aturan-aturan ini karena mungkin dapat merusak kemampuan Anda untuk berkomunikasi dengan pengendali domain Anda. Untuk informasi selengkapnya, lihat [AWS Praktik terbaik Microsoft AD yang dikelola](ms_ad_best_practices.md) dan [Meningkatkan konfigurasi keamanan jaringan Microsoft AD AWS Terkelola](ms_ad_network_security.md). Anda dapat menggunakan [daftar awalan]() untuk mengelola blok CIDR Anda dalam aturan grup keamanan. Daftar awalan memudahkan untuk mengelola dan mengkonfigurasi grup keamanan dan tabel rute. Anda dapat mengkonsolidasikan beberapa blok CIDR dengan port dan protokol yang sama untuk menskalakan lalu lintas jaringan Anda. + Dalam suatu Windows lingkungan, klien sering berkomunikasi melalui [Server Message Block (SMB)](https://learn.microsoft.com/en-us/windows/win32/fileio/microsoft-smb-protocol-and-cifs-protocol-overview) atau port 445. Protokol ini memfasilitasi berbagai tindakan seperti berbagi file dan printer dan komunikasi jaringan umum. Anda akan melihat lalu lintas klien pada port 445 ke antarmuka manajemen pengontrol domain AWS Microsoft AD Terkelola Anda. Lalu lintas ini terjadi karena klien SMB mengandalkan resolusi nama DNS (port 53) dan NetBIOS (port 138) untuk menemukan sumber daya domain AWS Microsoft AD Terkelola Anda. Klien ini diarahkan ke antarmuka yang tersedia pada pengontrol domain saat menemukan sumber daya domain. Perilaku ini diharapkan dan sering terjadi di lingkungan dengan beberapa adaptor jaringan dan di mana [SMB Multichannel](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn610980(v=ws.11)) memungkinkan klien untuk membuat koneksi di berbagai antarmuka untuk meningkatkan kinerja dan redundansi. Aturan grup AWS Keamanan berikut dibuat secara default: **Aturan Masuk** **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) **Aturan Keluar** **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) + Untuk informasi selengkapnya tentang port dan protokol yang digunakan oleh Active Directory, lihat [Ringkasan layanan dan persyaratan port jaringan untuk Windows dalam Microsoft dokumentasi](https://learn.microsoft.com/en-US/troubleshoot/windows-server/networking/service-overview-and-network-port-requirements#system-services-ports). + Membuat akun administrator direktori dengan nama pengguna Admin dan kata sandi yang ditentukan. Akun ini terletak di bawah Users OU (Misalnya, Corp > Pengguna). Anda menggunakan akun ini untuk mengelola direktori Anda di AWS Cloud. Untuk informasi selengkapnya, lihat [AWS Akun Administrator Microsoft AD yang dikelola dan izin grup](ms_ad_getting_started_admin_account.md). **penting** Pastikan untuk menyimpan kata sandi ini. Directory Service tidak menyimpan kata sandi ini, dan tidak dapat diambil. Namun, Anda dapat mengatur ulang kata sandi dari Directory Service konsol atau dengan menggunakan [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API. + Menciptakan tiga unit organisasi berikut (OUs) di bawah root domain: **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) + Membuat grup berikut diAWS Delegated Groups OU: **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) **catatan** Anda dapat menambahkan iniAWS Delegated Groups. + Membuat dan menerapkan Objek Kebijakan Grup berikut (GPOs): **catatan** Anda tidak memiliki izin untuk menghapus, memodifikasi, atau memutuskan tautan ini. GPOs Ini adalah desain karena mereka dicadangkan untuk AWS digunakan. Anda dapat menautkannya ke OUs yang Anda kendalikan jika diperlukan. **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) Jika Anda ingin melihat pengaturan dari setiap GPO, Anda dapat melihat mereka dari instans Windows yang tergabung domain misalnya dengan [Konsol Manajemen kebijakan grup (GPMC)](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753298(v=ws.10))diaktifkan. + Membuat hal berikut default local accounts untuk manajemen Microsoft AD yang AWS Dikelola: **penting** Pastikan untuk menyimpan kata sandi admin. Directory Service tidak menyimpan kata sandi ini, dan tidak dapat diambil. Namun, Anda [dapat mengatur ulang kata sandi dari Directory Service konsol](ms_ad_manage_users_groups_reset_password.md) atau dengan menggunakan [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API. **Admin** AdminIni adalah yang directory administrator account dibuat ketika AD Microsoft yang AWS Dikelola pertama kali dibuat. Anda memberikan kata sandi untuk akun ini saat membuat iklan Microsoft AWS Terkelola. Akun ini terletak di bawah Users OU (Misalnya, Corp > Pengguna). Anda menggunakan akun ini untuk mengelola Direktori Aktif Anda di AWS. Untuk informasi selengkapnya, lihat [AWS Akun Administrator Microsoft AD yang dikelola dan izin grup](ms_ad_getting_started_admin_account.md). **AWS*\_{{11111111111}}*** Setiap nama akun yang dimulai dengan AWS diikuti dengan garis bawah dan terletak di AWS Reserved OU adalah akun yang dikelola layanan. Akun yang dikelola layanan ini digunakan oleh AWS untuk berinteraksi dengan Active Directory. Akun-akun ini dibuat ketika AWS Directory Service Data diaktifkan dan dengan setiap AWS aplikasi baru yang diotorisasi di Active Directory. Akun ini hanya dapat diakses oleh AWS layanan. **krbtgt account** Ini krbtgt account memainkan peran penting dalam pertukaran tiket Kerberos yang digunakan oleh AWS Microsoft AD Terkelola Anda. krbtgt accountIni adalah akun khusus yang digunakan untuk enkripsi tiket pemberian tiket Kerberos (TGT), dan memainkan peran penting dalam keamanan protokol otentikasi Kerberos. Untuk informasi selengkapnya, lihat [dokumentasi Microsoft](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn745899(v=ws.11)#krbtgt-account). AWS secara otomatis memutar krbtgt account kata sandi untuk Microsoft AD AWS Terkelola Anda dua kali setiap 90 hari. Ada masa tunggu 24 jam antara dua rotasi berturut-turut setiap 90 hari. Untuk informasi selengkapnya tentang akun admin dan akun lain yang dibuat oleh Active Directory, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-default-user-accounts).