本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 AWS Managed Microsoft AD 建立的內容 當您使用 AWS Managed Microsoft AD 建立 Active Directory 時, 會代表您 Directory Service 執行下列任務: + 自動建立彈性網路介面 (ENI) 並將其與您的每個域控制站建立關聯。這些 ENIs 對 VPC 和 Directory Service 網域控制站之間的連線至關重要,絕不應刪除。您可以透過 Directory Service 描述識別保留給 使用的所有網路介面:「為 *directory-id*AWS 建立網路介面」。如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[彈性網路界面](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)。 AWS Managed Microsoft AD Active Directory 的預設 DNS 伺服器是位於無類別網域間路由 (CIDR)\+2 的 VPC DNS 伺服器。如需詳細資訊,請參閱《[Amazon VPC 使用者指南》中的 Amazon DNS 伺服器](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#AmazonDNS)。 ** **注意** 根據預設,網域控制站會部署在一個區域中的兩個可用區域,並連接到您的 Amazon VPC (VPC)。備份每天會自動執行一次,Amazon EBS (EBS) 磁碟區也會加密,以確保靜態資料的安全。一旦域控制站發生故障,將在同一可用區域中使用相同的 IP 地址自動替換,並且可以透過最新的備份執行完整的災難復原。 + 在 VPC 中使用兩個網域控制器來佈建 Active Directory,以提供容錯能力和高可用性。目錄已成功建立且處於[作用中](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_status.html)狀態後,便可佈建更多的網域控制器,以取得更高的彈性和效能。如需詳細資訊,請參閱[部署 AWS Managed Microsoft AD 的其他網域控制站](ms_ad_deploy_additional_dcs.md)。 **注意** AWS 不允許在 AWS Managed Microsoft AD 網域控制站上安裝監控代理程式。 + 建立[AWS 安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) {{sg-1234567890abcdef0}},為傳入和傳出網域控制站的流量建立網路規則。預設傳出規則允許所有 IPv4 地址的所有流量。預設傳入規則僅允許透過 Active Directory 從與 AWS Managed Microsoft AD 的 VPC 託管相關聯的主要 IPv4 CIDR 區塊所需的連接埠進行流量。為了提高安全性,已建立的 ENI 不會連接彈性 IP,且您沒有將彈性 IP 連接到這些 ENI 的許可。因此,根據預設,唯一可以與您的 AWS Managed Microsoft AD 通訊的傳入流量是本機 VPC。您可以變更安全群組規則以允許其他流量來源,例如透過 VPN 連線的其他對等 VPCs CIDRs。嘗試變更這些規則時請格外小心,因為這樣可能會破壞您與網域控制器之間的通訊能力。如需詳細資訊,請參閱[AWS Managed Microsoft AD 最佳實務](ms_ad_best_practices.md)及[增強 AWS Managed Microsoft AD 網路安全組態](ms_ad_network_security.md)。 您可以使用[字首清單]()來管理安全群組規則中的 CIDR 區塊。字首清單可讓您更輕鬆地管理和設定安全群組和路由表。您可以使用相同的連接埠和通訊協定來合併多個 CIDR 區塊,以擴展網路流量。 + 在Windows環境中,用戶端通常會透過[伺服器訊息區塊 (SMB)](https://learn.microsoft.com/en-us/windows/win32/fileio/microsoft-smb-protocol-and-cifs-protocol-overview) 或連接埠 445 進行通訊。此通訊協定有助於各種動作,例如檔案和印表機共用和一般網路通訊。您會在連接埠 445 看到用戶端流量流向 AWS Managed Microsoft AD 網域控制站的管理介面。 當 SMB 用戶端依賴 DNS (連接埠 53) 和 NetBIOS (連接埠 138) 名稱解析來尋找 AWS Managed Microsoft AD 網域資源時,就會發生此流量。在尋找網域資源時,這些用戶端會導向網域控制站上任何可用的界面。這種行為是預期的,通常發生在具有多個網路轉接器的環境中,其中 [SMB 多通道](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn610980(v=ws.11))允許用戶端在不同介面之間建立連線,以提高效能和備援。 預設會建立下列 AWS 安全群組規則: **傳入規則** **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) **傳出規則** **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) + 如需有關 Active Directory 使用的連接埠和通訊協定的詳細資訊,請參閱 Microsoft 文件中的 [Windows 的服務概觀和網路連接埠需求](https://learn.microsoft.com/en-US/troubleshoot/windows-server/networking/service-overview-and-network-port-requirements#system-services-ports)。 + 建立含有使用者名稱 Admin 與指定密碼的目錄管理員帳戶。此帳戶位於 下 Users OU(例如,公司 > 使用者)。您可以使用此帳戶來管理 中的目錄 AWS 雲端。如需詳細資訊,請參閱[AWS Managed Microsoft AD Administrator 帳戶和群組許可](ms_ad_getting_started_admin_account.md)。 **重要** 請務必儲存此密碼。 Directory Service 不會儲存此密碼,而且無法擷取。不過,您可以從 Directory Service 主控台或使用 [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html) API 重設密碼。 + 在網域根建立以下三個組織單位 (OU): **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) + 在 中建立下列群組AWS Delegated Groups OU: **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) **注意** 您可以將 新增至這些 AWS Delegated Groups。 + 建立並套用下列群組政策物件 (GPO): **注意** 您無權刪除、修改或取消連結這些 GPO。這是設計為保留供 AWS 使用。如果需要,您可以將它們連結到您控制的 OU。 **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) 如果您想要查看每個 GPO 的設定,可以從已啟用[群組政策管理主控台 (GPMC)](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753298(v=ws.10)) 的已加入域 Windows 執行個體檢視這些設定。 + default local accounts 為 AWS Managed Microsoft AD 管理建立下列項目: **重要** 請務必儲存管理員密碼。 Directory Service 不會儲存此密碼,而且無法擷取。不過,[您可以從 Directory Service 主控台](ms_ad_manage_users_groups_reset_password.md)或使用 [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html) API 重設密碼。 **Admin** Admin 是第一次directory administrator account建立 AWS Managed Microsoft AD 時建立的 。您在建立 AWS Managed Microsoft AD 時提供此帳戶的密碼。此帳戶位於 下 Users OU(例如,Corp > Users)。您可以使用此帳戶在 中管理您的 Active Directory AWS。如需詳細資訊,請參閱[AWS Managed Microsoft AD Administrator 帳戶和群組許可](ms_ad_getting_started_admin_account.md)。 **AWS*\_{{11111111111}}*** 任何以 開頭, AWS 後面接著底線且位於 的帳戶名稱AWS Reserved OU,都是服務受管帳戶。此服務受管帳戶由 用來與 Active Directory AWS 互動。這些帳戶會在 AWS Directory Service Data 啟用時建立,並搭配 Active Directory 上授權的每個新 AWS 應用程式建立。這些帳戶只能由 AWS 服務存取。 **krbtgt account** 在 AWS Managed Microsoft AD 使用的 Kerberos 票證交換中krbtgt account, 扮演重要角色。krbtgt account 是用於 Kerberos 票證授權 (TGT) 加密的特殊帳戶,在 Kerberos 身分驗證通訊協定的安全性中扮演重要角色。如需詳細資訊,請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn745899(v=ws.11)#krbtgt-account)。 AWS 每 90 天會自動輪換 AWS Managed Microsoft AD krbtgt account的密碼兩次。每 90 天兩次連續輪換之間有 24 小時的等待期。 如需管理員帳戶和 Active Directory 建立的其他帳戶的詳細資訊,請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-default-user-accounts)。