本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Simple AD 先决条件
要创建 Simple AD 目录,需要一个满足以下条件的 VPC:
-
至少两个子网。要正确安装 Simple AD,您必须将两个域控制器安装在位于不同可用区的单独子网中。另外,这两个子网必须处于同一无类别域间路由 (CIDR) 范围内。如果您想针对您的目录扩展或调整 VPC 大小,请确保为扩展的 VPC CIDR 范围同时选择这两个域控制器子网。
-
VPC 必须具有默认硬件租户。
-
不得 使用以下 VPC 终端节点配置 VPC:
Route53 VPC 终端节点其中包括 *.amazonaws.com 的 DNS 条件覆盖,解析为非公开AmazonIP 地址
-
如果 Simple AD 需要 LDAPS 支持,我们建议您使用连接到端口 389 的 Network Load Balancer 进行配置。通过此模型,可以针对 LDAPS 连接使用强证书,通过单个 NLB IP 地址简化对 LDAPS 的访问,并通过 NLB 自动进行故障转移。Simple AD 不支持在端口 636 上使用自签名证书。有关如何使用 Simple AD 配置 LDAPS 的详细信息,请参阅如何为 Simple AD 配置 LDAPS 终端节点
中的AmazonSecurity 博客. -
在目录中,必须启用下列加密类型:
-
RC4_HMAC_MD5
-
AES128_HMAC_SHA1
-
AES256_HMAC_SHA1
-
未来的加密类型
注意 禁用这些加密类型会导致与 RSAT (远程服务器管理工具) 的通信问题,并影响可用性或您的目录。
-
Amazon Directory Service使用两个 VPC 结构。构成目录的 EC2 实例在您的外部运行Amazon账户,并由管理Amazon. 他们有两个网络适配器,ETH0
和ETH1
.ETH0
是管理适配器,存在于您的账户之外。ETH1
是在您的账户中创建的。
你的目录的管理 IP 范围ETH0
以编程方式选择网络,以确保它不会与部署目录的 VPC 发生冲突。此 IP 范围可以在以下任一对中(因为目录在两个子网中运行):
-
10.0.1.0/24 & 10.0.2.0/24
-
192.168.1.0/24 & 192.168.2.0/24
我们通过检查第一个八位字节来避免冲突ETH1
CIDR。如果它以 10 开始,那么我们将选择一个 192.168.0.0/16 VPC,其中有 192.168.0.0/24 和 192.168.2.0/24 子网。如果第一个八位组不是 10,我们将选择 10.0.0/16 VPC,其中有 10.0.1.0/24 和 10.0.2.0/24 子网。
选择算法不包括 VPC 上的路由。因此,这种情况可能会导致 IP 路由冲突。