Simple AD 先决条件 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Simple AD 先决条件

要创建 Simple AD 目录,需要一个满足以下条件的 VPC:

  • 至少两个子网。要正确安装 Simple AD,您必须将两个域控制器安装在位于不同可用区的单独子网中。另外,这两个子网必须处于同一无类别域间路由 (CIDR) 范围内。如果您想针对您的目录扩展或调整 VPC 大小,请确保为扩展的 VPC CIDR 范围同时选择这两个域控制器子网。

  • VPC 必须具有默认硬件租户。

  • 不得 使用以下 VPC 终端节点配置 VPC:

  • 如果 Simple AD 需要 LDAPS 支持,我们建议您使用连接到端口 389 的 Network Load Balancer 进行配置。通过此模型,可以针对 LDAPS 连接使用强证书,通过单个 NLB IP 地址简化对 LDAPS 的访问,并通过 NLB 自动进行故障转移。Simple AD 不支持在端口 636 上使用自签名证书。有关如何使用 Simple AD 配置 LDAPS 的详细信息,请参阅如何为 Simple AD 配置 LDAPS 终端节点中的AmazonSecurity 博客.

  • 在目录中,必须启用下列加密类型:

    • RC4_HMAC_MD5

    • AES128_HMAC_SHA1

    • AES256_HMAC_SHA1

    • 未来的加密类型

      注意

      禁用这些加密类型会导致与 RSAT (远程服务器管理工具) 的通信问题,并影响可用性或您的目录。

Amazon Directory Service使用两个 VPC 结构。构成你的目录的 EC2 实例在你的外部运行Amazon账户,并由Amazon. 他们有两个网络适配器,ETH0ETH1.ETH0是管理适配器,存在于您的账户之外。ETH1是在您的账户中创建的。

你的目录的管理 IP 范围ETH0以编程方式选择网络,以确保它不会与部署目录的 VPC 发生冲突。此 IP 范围可以在以下任一对中(因为目录在两个子网中运行):

  • 10.0.1.0/24 & 10.0.2.0/24

  • 192.168.1.0/24 & 192.168.2.0/24

我们通过检查第一个八位字节来避免冲突ETH1CIDR。如果它以 10 开始,我们将选择一个 192.168.0.0.0/16 VPC,其中有 192.168.1.0/24 和 192.168.2.0/24 子网。如果第一个八位数除 10 外,我们将选择 10.0.0.0.0.0/16 VPC,其中有 10.0.1.0/24 和 10.0.2.0/24 子网。

选择算法不包括 VPC 上的路由。因此,这种情况可能会导致 IP 路由冲突。