Simple AD 入门 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Simple AD 入门

Simple AD 在云中创建一个完全托管的、基于 Samba 的 Amazon 目录。使用 Simple AD 创建目录时, Amazon Directory Service 会代表您创建两个域控制器和DNS服务器。域控制器在 Amazon 的不同子网中创建,VPC这种冗余有助于确保即使发生故障,您的目录仍可访问。

Simple AD 先决条件

创建 Simple AD Active Directory,你需要一台VPC具备以下条件的 Amazon:

  • VPC必须具有默认的硬件租约。

  • VPC不得使用以下VPC端点配置:

  • 两个不同的可用区中至少有两个子网。子网必须处于相同的无类域间路由 () CIDR 范围内。如果要扩展目录或调整其大小,请确保VPC为扩展VPCCIDR范围选择两个域控制器子网。创建 Simple AD 时, Amazon Directory Service 会代表您创建两个域控制器和DNS服务器。

  • 如果您需要 Simple AD 的LDAPS支持,我们建议您使用连接到端口 389 的 Network Load Balancer 对其进行配置。此模型使您能够使用强证书进行LDAPS连接,简化LDAPS通过单个 NLB IP 地址进行的访问,并通过进行自动故障转移。NLBSimple AD 不支持在端口 636 上使用自签名证书。有关如何使用 Simple AD LDAPS 进行配置的更多信息,请参阅Amazon 安全博客中的如何为 Simple AD 配置LDAPS终端节点

  • 在目录中,必须启用下列加密类型:

    • RC4_HMAC_MD5

    • AES128_HMAC_SHA1

    • AES256_HMAC_SHA1

    • 未来的加密类型

      注意

      禁用这些加密类型可能会导致与RSAT(远程服务器管理工具)的通信问题,并影响目录的可用性。

  • 有关更多信息,请参阅什么是亚马逊VPC? 在《亚马逊VPC用户指南》中。

Amazon Directory Service 使用二元VPC结构。构成您目录的EC2实例在您的 Amazon 账户之外运行,并由管理 Amazon。其有 ETH0ETH1 两个网络适配器。ETH0 是管理适配器,存在于您的账户之外。ETH1 在您的账户内创建。

目录ETH0网络的管理 IP 范围是以编程方式选择的,以确保它与目录的部署VPC位置不冲突。此 IP 范围可以是以下任一对(因为目录在两个子网中运行):

  • 10.0.1.0/24 和 10.0.2.0/24

  • 169.254.0.0/16

  • 192.168.1.0/24 和 192.168.2.0/24

我们可以通过检查的第一个八位组来避免冲突。ETH1 CIDR如果它以 10 开头,那么我们选择一个带有 192.168.1.0/24 和 192.168.2.0/24 子网的 192.168.0.0/16 VPC。如果第一个八位组是 10 以外的任何其他八位组,我们选择一个 10.0.0.0/16,子网为 10.0.1.0/24,子网为 10.0.2.0/ VPC 24。

选择算法不包括您的路线VPC。因此,这种情况可能会导致 IP 路由冲突。

重要

如果在创建 Simple AD 后更改了任何 Simple AD 先决条件,则您的简单 AD 可能会受损。要解决您的 Simple AD 受损状态,您需要联系Amazon Web Services Support

制作你的 Simple AD

此过程将引导您完成创建 Simple AD 的所有必要步骤。它旨在帮助您快速轻松地开始使用 Simple AD,但不适用于大规模制作环境。

先决条件

此过程假设以下几点:

  • 你有一个活跃 Amazon Web Services 账户的。

  • 您的账户尚未达到您想要使用 VPCs Simple AD 的地区的亚马逊上限。有关的更多信息VPC,请参阅 Amazon 是什么VPC? 以及 Amazon VPC 用户指南VPC中的子网

  • 您在该地区没有现有 VPC a CIDR 为10.0.0.0/16

  • 您所在的地区有 Simple AD 可用。有关更多信息,请参阅 的地区可用性 Amazon Directory Service

有关更多信息,请参阅 Simple AD 先决条件

为您的 Simple AD 创建和配置您的亚马逊 VPC

首先,您将创建并配置一个VPC用于您的 Simple AD 的 Amazon。在开始此过程之前,请确保您已完成 先决条件

VPC您将创建的将有两个公有子网。 Amazon Directory Service 需要在您的中有两个子网VPC,并且每个子网必须位于不同的可用区中。

创建一个 VPC
  1. 打开亚马逊VPC控制台,网址为https://console.aws.amazon.com/vpc/

  2. VPC控制面板中,选择创建VPC

  3. VPC“设置” 下,选择VPC及更多

  4. 完成字段,如下所示:

    • 名称标签自动生成下的自动生成的保持选中状态。将项目更改到 ADS VPC

    • IPv4CIDR块应该是10.0.0.0/16

    • 选中 “不IPv6CIDR阻止” 选项。

    • 租赁应保持为默认

    • 选择 2 作为可用区数量 (AZs)

    • 对于公有子网数量,选择 2私有子网的数量可以更改为 0。

    • 选择自定义子网CIDR块以配置公有子网 IP 地址范围。公有子网CIDR块应为10.0.0.0/2010.0.16.0/20

  5. 选择 “创建” VPC。需要几分钟VPC才能创建。

制作你的 Simple AD

要创建新的 Simple AD,请执行以下步骤。在开始此过程之前,请确保已在先决条件和中完成以下操作为您的 Simple AD 创建和配置您的亚马逊 VPC

创建 Simple AD
  1. Amazon Directory Service 控制台导航窗格中,选择目录,然后选择设置目录

  2. 选择目录类型页面上,选择 Simple AD,然后选择下一步

  3. 输入目录信息页面上,提供以下信息:

    目录大小

    小型大型大小选项中进行选择。有关大小的更多信息,请参阅Simple AD

    组织名称

    您的目录的唯一组织名称,将用于注册客户端设备。

    只有在启动时创建目录时,此字段才可用 WorkSpaces。

    目录DNS名

    目录的完全限定名称,例如 corp.example.com

    目录网BIOS名

    目录的短名称,如 CORP

    管理员密码

    目录管理员的密码。目录创建过程将使用用户名 Administrator 和此密码创建一个管理员账户。

    目录管理员密码区分大小写,且长度必须介于 8 到 64 (含) 个字符之间。至少,它还必须包含下列四种类别中三种类别的一个字符:

    • 小写字母 (a-z)

    • 大写字母 (A-Z)

    • 数字 (0-9)

    • 非字母数字字符 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    确认密码

    重新键入管理员密码。

    重要

    请务必保存此密码。 Amazon Directory Service 不存储此密码,也无法找回。但是,您可以从 Amazon Directory Service 控制台重置密码,也可以使用重置密码ResetUserPasswordAPI。

    目录描述

    目录的可选描述。

  4. 选择VPC和子网页面上,提供以下信息,然后选择下一步

    VPC

    VPC对应于目录。

    子网

    为域控制器选择子网。两个子网必须位于不同的可用区。

  5. Review & create (检查并创建) 页面上,检查目录信息并进行任何必要的更改。如果信息正确,请选择 Create directory (创建目录)。目录创建需要几分钟时间。创建后,Status 值将更改为 Active

有关使用 Simple AD 创建的内容的更多信息,请参阅用你的 Simple AD 创作了什么