AWS Directory Service
管理指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

Simple AD 先决条件

要创建 Simple AD 目录,需要一个满足以下条件的 VPC:

  • 至少两个子网。要正确安装 Simple AD,您必须将两个域控制器安装在位于不同可用区的单独子网中。另外,这两个子网必须处于同一无类别域间路由 (CIDR) 范围内。如果您想针对您的目录扩展或调整 VPC 大小,请确保为扩展的 VPC CIDR 范围同时选择这两个域控制器子网。

  • 在将目录部署到其中的两个子网之间必须打开以下端口。要使 AWS Directory Service 为您创建的域控制器可以互相通信,这是必需的。

    • TCP/UDP 53 - DNS

    • TCP/UDP 88 - Kerberos authentication

    • UDP 123 - NTP

    • TCP 135 - RPC

    • UDP 137-138 - Netlogon

    • TCP 139 - Netlogon

    • TCP/UDP 389 - LDAP

    • TCP/UDP 445 - SMB

    • TCP 636 - LDAPS (LDAP over TLS/SSL)

    • TCP 873 - Rsync

    • TCP 3268 - Global Catalog

    • TCP/UDP 1024-65535 - Ephemeral ports for RPC

  • VPC 必须具有默认硬件租户。

  • 如果 Simple AD 需要 LDAPS 支持,我们建议您使用在 EC2 实例上运行的 Elastic Load Balancer 和 HA 代理进行配置。通过此模型,可以针对 LDAPS 连接使用强证书,通过单个 ELB IP 地址简化对 LDAPS 的访问,并通过 HA 代理自动进行故障转移。有关如何针对 Simple AD 配置 LDAPS 的更多信息,请参阅 AWS 安全博客中的如何为 Simple AD 配置 LDAPS 终端节点。

  • 在目录中,必须启用下列加密类型:

    • RC4_HMAC_MD5

    • AES128_HMAC_SHA1

    • AES256_HMAC_SHA1

    • 未来的加密类型

      注意

      禁用这些加密类型会导致与 RSAT (远程服务器管理工具) 的通信问题,并影响可用性或您的目录。