Simple AD 入门 - Amazon Directory Service
Simple AD 先决条件创建 Simple AD
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Simple AD 入门

Simple AD 在云中创建一个完全托管的、基于 Samba 的 Amazon 目录。使用 Simple AD 创建目录时, Amazon Directory Service 会代表您创建两个域控制器和 DNS 服务器。域控制器在 Amazon VPC 的不同子网中创建;此冗余帮助确保即使在出现故障时您的目录仍可访问。

主题

Simple AD 先决条件

创建 Simple AD Active Directory,你需要一个具备以下条件的 Amazon VPC:

  • VPC 必须具有默认硬件租户。

  • 至少两个子网位于不同的可用区。这两个子网必须处于同一无类别域间路由(CIDR)范围内。如果您想针对您的目录扩展或调整 VPC 大小,请确保为扩展的 VPC CIDR 范围同时选择这两个域控制器子网。创建 Simple AD 时, Amazon Directory Service 会代表您创建两个域控制器和 DNS 服务器。

  • 如果您需要 Simple AD 支持 LDAPS,我们建议您使用连接到端口 389 的网络负载均衡器进行配置。通过此模型,可以针对 LDAPS 连接使用强证书,通过单个 NLB IP 地址简化对 LDAPS 的访问,并通过 NLB 自动进行故障转移。Simple AD 不支持在端口 636 上使用自签名证书。有关如何针对 Simple AD 配置 LDAPS 的更多信息,请参阅 Amazon 安全博客中的 How to configure an LDAPS endpoint for Simple AD

  • 在目录中,必须启用下列加密类型:

    • RC4_HMAC_ MD5

    • AES128_HMAC_ SHA1

    • AES256_HMAC_ SHA1

    • 未来的加密类型

      注意

      禁用这些加密类型会导致与 RSAT (远程服务器管理工具) 的通信问题,并影响可用性或您的目录。

  • 有关更多信息,请参阅《Amazon VPC 用户指南》中的什么是 Amazon VPC?

Amazon Directory Service 使用双 VPC 结构。构成您目录的 EC2 实例在您的 Amazon 账户之外运行,并由管理 Amazon。其有 ETH0ETH1 两个网络适配器。ETH0 是管理适配器,存在于您的账户之外。ETH1 在您的账户内创建。

目录的 ETH0 网络的管理 IP 范围以编程方式选择,以确保其不会与部署目录的 VPC 发生冲突。此 IP 范围可以是以下任一对(因为目录在两个子网中运行):

  • 10.0.1.0/24 和 10.0.2.0/24

  • 169.254.0.0/16

  • 192.168.1.0/24 和 192.168.2.0/24

我们通过检查 ETH1 CIDR 的第一个八位字节来避免冲突。如果以 10 开头,那么我们就选择一个 192.168.0.0/16 VPC,其子网为 192.168.1.0/24 和 192.168.2.0/24。如果第一个八位字节不是 10,则我们选择一个 10.0.0.0/16 VPC,其子网为 10.0.1.0/24 和 10.0.2.0/24。

选择算法不包括您 VPC 上的路由。因此,这种情况可能会导致 IP 路由冲突。

重要

如果在创建 Simple AD 后更改了任何 Simple AD 先决条件,则您的 Simple AD 可能会受损。要解决 Simple AD 的受损状态,需要联系 Amazon Web Services 支持

创建 Simple AD

此过程将指导您完成创建 Simple AD 所需的全部步骤。其目的是让您快速轻松地开始使用 Simple AD,但不适用于大规模生产环境。

先决条件

此过程作出以下假设:

  • 您已经有一个活动 Amazon Web Services 账户。

  • 您的账户尚未达到您想要使用 VPCs Simple AD 的地区的亚马逊上限。有关 VPC 的更多信息,请参阅《Amazon VPC 用户指南》中的 Amazon VPC 是什么?以及 VPC 中的子网

  • 您在 CIDR 为 10.0.0.0/16 的区域中没有现有 VPC。

  • 您所在区域中存在可用的 Simple AD。有关更多信息,请参阅 的地区可用性 Amazon Directory Service

有关更多信息,请参阅 Simple AD 先决条件

创建适用于您的 Simple AD 的 Amazon VPC 并进行配置

首先,您需要创建要与您的 Simple AD 结合使用的 Amazon VPC 并进行配置。在开始此过程之前,请确保您已完成 先决条件

您将创建的 VPC 将有两个公有子网。 Amazon Directory Service 在您的 VPC 中需要两个子网,并且每个子网必须位于不同的可用区中。

创建 VPC

  1. 打开位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

  2. VPC 控制面板上,选择创建 VPC

  3. VPC 设置页面上,选择 VPC 等

  4. 完成字段,如下所示:

    • 名称标签自动生成下的自动生成的保持选中状态。将项目更改到 ADS VPC

    • IPv4 CIDR 块应该是。10.0.0.0/16

    • 保持 “无 IPv6 CIDR 阻止” 选项处于选中状态。

    • 租赁应保持为默认

    • 选择 2 作为可用区数量 (AZs)

    • 对于公有子网数量,选择 2私有子网的数量可以更改为 0。

    • 选择自定义子网 CIDR 块以配置公有子网 IP 地址范围。公有子网 CIDR 块应为 10.0.0.0/2010.0.16.0/20

  5. 选择创建 VPC。创建 VPC 需要几分钟时间。

创建 Simple AD

要创建新的 Simple AD,请执行以下步骤。在开始此过程之前,请确保您已完成先决条件创建适用于您的 Simple AD 的 Amazon VPC 并进行配置中的以下步骤。

创建 Simple AD

  1. Amazon Directory Service 控制台导航窗格中,选择目录,然后选择设置目录

  2. 选择目录类型页面上,选择 Simple AD,然后选择下一步

  3. 输入目录信息页面上,提供以下信息:

    目录大小

    小型大型大小选项中进行选择。有关大小的更多信息,请参阅Simple AD

    组织名称

    您的目录的唯一组织名称,将用于注册客户端设备。

    只有在启动时创建目录时,此字段才可用 WorkSpaces。

    目录 DNS 名称

    目录的完全限定名称,例如 corp.example.com

    目录 NetBIOS 名称

    目录的短名称,如 CORP

    管理员密码

    目录管理员的密码。目录创建过程将使用用户名 Administrator 和此密码创建一个管理员账户。

    目录管理员密码区分大小写,且长度必须介于 8 到 64 (含) 个字符之间。至少,它还必须包含下列四种类别中三种类别的一个字符:

    • 小写字母 (a-z)

    • 大写字母 (A-Z)

    • 数字 (0-9)

    • 非字母数字字符 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    确认密码

    重新键入管理员密码。

    重要

    请务必保存此密码。 Amazon Directory Service 不存储此密码,也无法找回。但是,您可以通过 Amazon Directory Service 控制台或使用 ResetUserPasswordAPI 重置密码。

    目录描述

    目录的可选描述。

  4. Choose VPC and subnets (选择 VPC 和子网) 页面上,提供以下信息,然后选择 Next (下一步)

    VPC

    目录的 VPC。

    子网

    为域控制器选择子网。两个子网必须位于不同的可用区。

  5. Review & create (检查并创建) 页面上,检查目录信息并进行任何必要的更改。如果信息正确,请选择 Create directory (创建目录)。目录创建需要几分钟时间。创建后,Status 值将更改为 Active

有关随 Simple AD 创建的内容的更多信息,请参阅随 Simple AD 创建的内容