本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Simple AD 入門
Simple AD 會在 AWS 雲端。當您使用 Simple AD 創建目錄時, AWS Directory Service 代表您建立兩個網域控制站和DNS伺服器。網域控制站是在 Amazon 的不同子網路中建立的,VPC此冗餘有助於確保即使發生故障,您的目錄仍可存取。
主題
Simple AD 先決條件
若要建立 Simple AD Active Directory,您需要一個VPC具有以下內容的 Amazon:
-
VPC必須具有預設硬體租用。
-
不VPC得使用以下VPC端點進行配置:
-
路由 53 VPC 端點,其中包含解析為非公開狀態的 *.amazonaws.com 的DNS條件式覆寫 AWS IP 地址
-
-
在兩個不同的可用區域中至少有兩個子網路。子網路必須在相同的無類別網域間路由 () CIDR 範圍內。如果您想要擴充或調整目錄VPC的大小,請務必選取延伸VPCCIDR範圍的兩個網域控制站子網路。當您創建一個 Simple AD 時, AWS Directory Service 代表您建立兩個網域控制站和DNS伺服器。
-
如需有關CIDR範圍的詳細資訊,請參閱 Amazon VPC 使用者指南中的您VPCs和子網路的 IP 定址。
-
-
如果您需要 Simple AD 的LDAPS支援,建議您使用連接埠 389 的 Network Load Balancer 進行設定。此模型可讓您使用強式憑證進行LDAPS連線、簡化透LDAPS過單一 NLB IP 位址的存取,以及透過. NLB Simple AD 不支援在連接埠 636 上使用自簽章憑證。如需如何使用 Simple AD 進行LDAPS設定的詳細資訊,請參閱如何設定 Simple AD 的LDAPS端點
AWS 安全部落格。 -
您必須在目錄中啟用下列加密類型:
-
RC4_HMAC_MD5
-
AES128_HMAC_SHA1
-
AES256_HMAC_SHA1
-
未來加密類型
注意
停用這些加密類型可能會造成與 RSAT (遠端伺服器管理工具) 的通訊問題,並影響可用性或您的目錄。
-
-
如需詳細資訊,請參閱什麼是 AmazonVPC? 在 Amazon 用VPC戶指南。
AWS Directory Service 使用兩種VPC結構。構成目錄的EC2實例在您的外部運行 AWS 帳戶,並由 AWS。 他們有兩個網絡適配器,ETH0和ETH1。 ETH0是管理介面卡,而且存在於您的帳戶之外。 ETH1在您的帳戶中創建。
系統會以程式設計方式選擇目錄ETH0網路的管理 IP 範圍,以確保它不會與目錄的部署位VPC置衝突。此 IP 範圍可以是以下任一對 (因為目錄在兩個子網路中運作):
-
10.0.1.0/24 & 10.0.2.0/24
-
169.254.0.0/16
-
192.168.1.0/24 & 192.168.2.0/24
我們通過檢查的第一個八位字節來避免衝突。ETH1 CIDR如果它以 10 開頭,那麼我們選擇一個帶有 192.168.1.0/24 和 192.168.2.0/ VPC 24 的子網。如果第一個八位字節是 10 以外的任何其他字節,我們選擇一個 10.0.0.0/16,其中VPC包含 10.0.1.0/24 和 10.0.2.0/24 個子網。
選取演算法不包含您的路由VPC。因此,這種情況可能會導致 IP 路由衝突。
重要
如果任何 Simple AD 先決條件在建立 Simple AD 之後發生變更,您的 Simple AD 可能會受損。要解決您的「Simple AD 受損」狀態,您需要聯繫 AWS Support
創建您的 Simple AD Active Directory
建立新的 Simple AD Active Directory,執行下列步驟。開始此程序之前,請確定您已完成 Simple AD 先決條件 中所示的必要條件。
若要建立 Simple AD Active Directory
-
在 中AWS Directory Service 主控台
導覽窗格中,選擇 [目錄],然後選擇 [設定目錄]。 -
在選取目錄類型頁面上,選擇 Simple AD,然後選擇下一步。
-
在 Enter directory information (輸入目錄資訊) 頁面上,提供下列資訊:
- Directory size (目錄大小)
-
選擇 Small (小型) 或 Large (大型) 尺寸選項。如需尺寸的詳細資訊,請參閱 Simple AD。
- 組織名稱
-
將用於登錄用戶端裝置的目錄的唯一組織名稱。
只有當您在啟動過程中建立目錄時,才能使用此欄位 WorkSpaces。
- 目錄DNS名稱
-
目錄的完全合格名稱,例如
corp.example.com。 - 目錄網路BIOS名稱
-
目錄的簡短名稱,例如:
CORP。 - Administrator password (管理員密碼)
-
目錄管理員的密碼。目錄建立程序會建立含有使用者名稱
Administrator與這組密碼的管理者帳戶。目錄管理者密碼區分大小寫,長度須介於 8 至 64 個字元之間。至少須有一位字元屬於以下四種類型中的三類:
-
小寫字母 (a-z)
-
大寫字母 (A-Z)
-
數字 (0-9)
-
非英數字元 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
-
- Confirm password (確認密碼)
-
重新輸入管理員密碼。
- 目錄描述
-
選擇填寫其他目錄說明。
-
在 [選擇VPC和子網路] 頁面上,提供下列資訊,然後選擇 [下一步]。
- VPC
-
目錄的。VPC
- 子網
-
選擇網域控制站的子網路。這兩個子網路必須位於不同的可用區域。
-
在 Review & create (檢閱和建立) 頁面上檢閱目錄資訊,並進行必要的變更。若資訊無誤,請選擇 Create directory (建立目錄)。建立目錄需要幾分鐘的時間。建立後,Status (狀態) 值會變更為 Active (作用中)。
什麼得到與您的 Simple AD 創建 Active Directory
當你創建一個 Active Directory 使用 Simple AD, AWS Directory Service 代表您執行下列工作:
-
在中設定以 Samba 為基礎的目錄。VPC
-
建立含有使用者名稱
Administrator與指定密碼的目錄管理員帳戶。您可以使用此帳戶來管理目錄。重要
請務必儲存此密碼。 AWS Directory Service 不儲存此密碼,也無法擷取密碼。但是,您可以從 AWS Directory Service 主控台或使用 ResetUserPasswordAPI.
-
建立目錄控制器的安全群組。
-
建立具備網域管理員權限的帳戶,其名為
AWSAdminD-。此帳戶由 AWS Directory Service 以執行目錄維護作業的自動化作業,例如建立目錄快照和FSMO角色傳輸。此帳戶的憑據由以下方式安全存儲 AWS Directory Service.xxxxxxxx -
自動建立 elastic network interface (ENI),並將其與每個網域控制站建立關聯。其中每一個對ENIs於您VPC和之間的連接至關重要 AWS Directory Service 域控制器,永遠不應該被刪除。您可以識別保留供搭配使用的所有網路介面卡 AWS Directory Service 通過描述:」AWS 為目錄目錄 ID「創建網絡接口。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的彈性網路界面。的預設DNS伺服器 AWS 管理 Microsoft AD Active Directory 是位於無類別網域間路由 (CIDR) +2 的VPCDNS伺服器。如需詳細資訊,請參閱 Amazon VPC使用者指南中的 Amazon DNS 伺服器。
注意
依預設,網域控制站會部署在區域中的兩個可用區域,並連接到 Amazon 虛擬私有雲端 (VPC)。每天會自動執行一次備份,而 Amazon 彈性區塊存放區 (EBS) 磁碟區會加密,以確保靜態資料的安全。一旦域控制站發生故障,將在同一可用區域中使用相同的 IP 地址自動替換,並且可以透過最新的備份執行完整的災難復原。
設定 DNS Simple AD
Simple AD 將DNS請求轉發到 Amazon 為您的 Amazon 提供的DNS服務器的 IP 地址。VPC這些DNS伺服器將會解析您在 Amazon Route 53 私有託管區域中設定的名稱。透過將內部部署電腦指向 Simple AD,您現在可以解決對私有託管區域的DNS請求。如需 Route 53 的詳細資訊,請參閱什麼是 Route 53。
請注意,若要讓 Simple AD 回應外部DNS查詢,必須將VPC包含 Simple AD 的網路存取控制清單 (ACL) 設定為允許來自外部的流量VPC。
注意
DNSSimple AD 網域不支援動態更新。您可以改為透過在加入網域的執行個體上使用 DNS Manager 連線至目錄,直接進行變更。
