Simple AD 入門 - AWS Directory Service
Simple AD 先決條件建立您的 Simple AD

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Simple AD 入門

Simple AD 在 AWS 雲端中建立完全受管的 Samba 型目錄。當您使用 Simple AD 建立目錄時, 會代表您 AWS Directory Service 建立兩個網域控制站和DNS伺服器。網域控制器是在 Amazon 的不同子網路中建立的VPC,此備援有助於確保您的目錄即使發生故障,仍可存取。

主題

Simple AD 先決條件

建立 Simple AD Active Directory,您需要VPC具有下列項目的 Amazon:

  • VPC 必須有預設硬體租用。

  • VPC 不得設定下列VPC端點 (以下端點)

  • 兩個不同可用區域中至少有兩個子網路。子網路必須位於相同的無類別網域間路由 (CIDR) 範圍內。如果您想要擴展或調整目錄VPC的大小,請務必為延伸VPCCIDR範圍選取兩個網域控制器子網路。當您建立 Simple AD 時, 會代表您 AWS Directory Service 建立兩個網域控制站和DNS伺服器。

  • 如果您需要 Simple AD 的LDAPS支援,建議您使用連線至連接埠 389 的 Network Load Balancer 進行設定。此模型可讓您使用強大的憑證進行LDAPS連線、LDAPS透過單一 NLB IP 地址簡化對 的存取,以及透過 自動容錯移轉NLB。Simple AD 不支援在連接埠 636 上使用自簽章憑證。如需如何使用 LDAPS Simple AD 設定的詳細資訊,請參閱 AWS 安全部落格 中的如何設定 Simple AD LDAPS端點

  • 您必須在目錄中啟用下列加密類型:

    • RC4_HMAC_MD5

    • AES128_HMAC_SHA1

    • AES256_HMAC_SHA1

    • 未來加密類型

      注意

      停用這些加密類型可能會導致與 RSAT(遠端伺服器管理工具) 的通訊問題,並影響可用性或您的目錄。

  • 如需詳細資訊,請參閱 Amazon 使用者指南 中的什麼是 Amazon VPC? VPC

AWS Directory Service 使用兩個VPC結構。組成目錄的EC2執行個體會在 AWS 您的帳戶之外執行,並由 管理 AWS。其使用兩種網路轉接器,ETH0ETH1ETH0 是管理轉接器,而且位於您的帳戶外部。ETH1 則是建立於您的帳戶內部。

以程式設計方式選擇目錄ETH0網路的管理 IP 範圍,以確保它不會與部署目錄VPC的 衝突。此 IP 範圍可以是以下任一對 (因為目錄在兩個子網路中運作):

  • 10.0.1.0/24 & 10.0.2.0/24

  • 169.254.0.0/16

  • 192.168.1.0/24 & 192.168.2.0/24

我們檢查 的第一個八位元組以避免衝突ETH1CIDR。如果其以 10 開頭,則我們選擇 192.168.0.0/16 VPC 搭配 192.168.1.0/24 和 192.168.2.0/24 子網路。如果第一個八位元組是 10 以外的任何其他八位元組,我們會選擇 10.0.0.0/16 VPC 搭配 10.0.1.0/24 和 10.0.2.0/24 子網路。

選擇演算法不包含 上的路由VPC。因此,這種情況可能會導致 IP 路由衝突。

重要

如果在建立 Simple AD 之後變更任何 Simple AD 先決條件,您的 Simple AD 可能會變成受損。若要解決 Simple AD 受損狀態,您需要聯絡 AWS Support

建立您的 Simple AD

此程序會引導您完成建立 Simple AD 的所有必要步驟。它旨在讓您快速輕鬆地開始使用 Simple AD,但不適用於大規模生產環境。

必要條件

此程序假設下列事項:

如需詳細資訊,請參閱Simple AD 先決條件

VPC 為 Simple AD 建立和設定 Amazon

首先,您將建立並設定 Amazon,VPC以搭配 Simple AD 使用。開始此程序之前,請確定您已完成 必要條件

VPC 您要建立的 將有兩個公有子網路。在 中 AWS Directory Service 需要兩個子網路VPC,且每個子網路都必須位於不同的可用區域。

建立 VPC

  1. 在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/

  2. VPC儀表板 中,選擇建立 VPC

  3. VPC設定 下,選擇 VPC 和更多

  4. 如下所示填入欄位:

    • 保持選取名稱標籤自動產生下的自動產生。將專案改為 ADS VPC

    • IPv4 CIDR 區塊應為 10.0.0.0/16

    • 保留未選取IPv6CIDR區塊選項。

    • 租用應保留為預設

    • 針對可用區域數目 (AZs) 選取 2

    • 針對公有子網路數量,選擇 2私有子網路數量可以改為 0。

    • 選擇自訂子網路CIDR區塊以設定公有子網路 IP 地址範圍。公有子網路CIDR區塊應為 10.0.0.0/2010.0.16.0/20

  5. 選擇建立 VPC。建立 VPC 需要幾分鐘的時間。

建立您的 Simple AD

若要建立新的 Simple AD,請執行下列步驟。開始此程序之前,請確定您已在 必要條件和 中完成下列操作VPC 為 Simple AD 建立和設定 Amazon

建立 Simple AD

  1. AWS Directory Service 主控台中,選擇目錄,然後選擇設定目錄

  2. 選取目錄類型頁面上,選擇 Simple AD,然後選擇下一步

  3. Enter directory information (輸入目錄資訊) 頁面上,提供下列資訊:

    Directory size (目錄大小)

    選擇 Small (小型)Large (大型) 尺寸選項。如需尺寸的詳細資訊,請參閱 Simple AD

    組織名稱

    將用於登錄用戶端裝置的目錄的唯一組織名稱。

    只有在您建立目錄作為啟動 的一部分時,才能使用此欄位 WorkSpaces。

    目錄DNS名稱

    目錄的完全合格名稱,例如 corp.example.com

    Directory NetBIOS 名稱

    目錄的簡短名稱,例如:CORP

    Administrator password (管理員密碼)

    目錄管理員的密碼。目錄建立程序會使用使用者名稱Administrator和此密碼建立管理員帳戶。

    目錄管理者密碼區分大小寫,長度須介於 8 至 64 個字元之間。至少須有一位字元屬於以下四種類型中的三類:

    • 小寫字母 (a-z)

    • 大寫字母 (A-Z)

    • 數字 (0-9)

    • 非英數字元 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Confirm password (確認密碼)

    重新輸入管理員密碼。

    重要

    請務必儲存此密碼。 AWS Directory Service 不會儲存此密碼,且無法擷取。不過,您可以從 AWS Directory Service 主控台或使用 ResetUserPassword 重設密碼API。

    目錄描述

    選擇填寫其他目錄說明。

  4. 選擇VPC和子網路頁面上,提供以下資訊,然後選擇下一步。

    VPC

    目錄VPC的 。

    子網

    選擇網域控制站的子網路。這兩個子網路必須位於不同的可用區域。

  5. Review & create (檢閱和建立) 頁面上檢閱目錄資訊,並進行必要的變更。若資訊無誤,請選擇 Create directory (建立目錄)。建立目錄需要幾分鐘的時間。建立後,Status (狀態) 值會變更為 Active (作用中)。

如需使用 Simple AD 建立項目的詳細資訊,請參閱 使用 Simple AD 建立的內容