Simple AD先决条件 - AWS Directory Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Simple AD先决条件

要创建 Simple AD 目录,需要一个满足以下条件的 VPC:

  • 至少两个子网。要正确安装 Simple AD,您必须将两个域控制器安装在位于不同可用区的单独子网中。另外,这两个子网必须处于同一无类别域间路由 (CIDR) 范围内。如果您想针对您的目录扩展或调整 VPC 大小,请确保为扩展的 VPC CIDR 范围同时选择这两个域控制器子网。

  • VPC 必须具有默认硬件租户。

  • 不得 使用以下 VPC 终端节点:配置 VPC:

  • 如果 Simple AD 需要 LDAPS 支持,我们建议您使用在 EC2 实例上运行的 Elastic Load Balancer 和 HA 代理进行配置。通过此模型,可以针对 LDAPS 连接使用强证书,通过单个 ELB IP 地址简化对 LDAPS 的访问,并通过 HA 代理自动进行故障转移。For more information about how to configure LDAPS with Simple AD, see How to configure an LDAPS endpoint for Simple AD in the AWS Security Blog.

  • 在目录中,必须启用下列加密类型:

    • RC4_HMAC_MD5

    • AES128_HMAC_SHA1

    • AES256_HMAC_SHA1

    • 未来的加密类型

      注意

      禁用这些加密类型会导致与 RSAT (远程服务器管理工具) 的通信问题,并影响可用性或您的目录。

AWS Directory Service 使用双 VPC 结构。构成目录的 EC2 实例在您的 AWS 账户外部运行,并由 AWS 管理。它们有两个网络适配器 ETH0ETH1ETH0 是管理适配器,存在于在您的账户之外。ETH1 是在您的账户中创建的。

可以通过编程方式选择目录的 ETH0 网络的管理 IP 范围,以确保它与在其中部署目录的 VPC 不冲突。该 IP 范围可以是以下任一对(因为目录在两个子网中运行):

  • 10.0.1.0/24 与 10.0.2.0/24

  • 192.168.1.0/24 与 192.168.2.0/24

我们通过检查 ETH1 CIDR 的第一个八位字节来避免冲突。如果以 10 开头,我们选择一个 192.168.0.0/16 VPC,其中包含 192.168.1.0/24 和 192.168.2.0/24 子网。如果第一个八位字节不是 10,我们选择一个 10.0.0.0/16 VPC,其中包含 10.0.1.0/24 和 10.0.2.0/24 子网。

选择算法不包括 VPC 上的路由。因此,在这种情况下可能会导致 IP 路由冲突。