Erste Schritte mit Simple AD - AWS Directory Service
Simple-AD-VoraussetzungenErstellen Sie Ihr Simple AD Active DirectoryWas wird mit Ihrem Simple AD Active Directory erstelltDNS für Simple AD konfigurieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit Simple AD

Simple AD erstellt ein vollständig verwaltetes, Samba-basiertes Verzeichnis in der AWS Cloud. Wenn Sie ein Verzeichnis mit Simple AD erstellen, AWS Directory Service erstellt in Ihrem Namen zwei Domänencontroller und DNS-Server. Die Domain-Controller werden in verschiedenen Subnetzen in einer Amazon VPC erstellt. Durch diese Redundanz wird sichergestellt, dass Ihr Verzeichnis auch bei einem Ausfall zugänglich bleibt.

Simple-AD-Voraussetzungen

Um ein Simple AD Active Directory zu erstellen, benötigen Sie eine Amazon-VPC mit den folgenden Komponenten:

  • Die VPC muss über Standard-Hardware-Tenancy verfügen.

  • Die VPC darf nicht mit den folgenden VPC-Endpunkten konfiguriert sein:

  • Mindestens zwei Subnetze in zwei verschiedenen Availability Zones. Die Subnetze müssen sich im gleichen CIDR-Bereich (Classless Inter-Domain Routing) befinden. Wenn Sie die VPC für Ihr Verzeichnis erweitern oder die Größe ändern wollen, stellen Sie sicher, dass beide Domain-Controller-Subnetze für den erweiterten VPC CIDR-Bereich ausgewählt sind. Wenn Sie ein Simple AD erstellen, AWS Directory Service erstellt es in Ihrem Namen zwei Domänencontroller und DNS-Server.

  • Wenn Sie LDAPS-Unterstützung mit Simple AD benötigen, empfehlen wir Ihnen, diese über einen Network Load Balancer zu konfigurieren, der mit Port 389 verbunden ist. Dieses Modell ermöglicht es Ihnen, ein leistungsstarkes Zertifikat für die LDAPS-Verbindung zu verwenden, den Zugriff auf LDAPS über eine einzelne NLB-IP-Adresse zu vereinfachen und einen automatischen Failover über den NLB durchzuführen. Simple AD unterstützt die Verwendung von selbstsignierten Zertifikaten an Port 636 nicht. Weitere Informationen zum Konfigurieren von LDAPS mit Simple AD finden Sie unter So konfigurieren Sie einen LDAPS-Endpunkt für Simple AD im AWS -Blog zur Sicherheit.

  • Die folgenden Verschlüsselungstypen müssen in dem Verzeichnis aktiviert werden:

    • RC4_HMAC_MD5

    • AES128_HMAC_SHA1

    • AES256_HMAC_SHA1

    • Zukünftige Verschlüsselungstypen

      Anmerkung

      Wenn diese Verschlüsselungstypen deaktiviert werden, kann dies zu Kommunikationsproblemen mit RSAT (Remote Server Administration Tools) und zu Auswirkungen auf die Verfügbarkeit oder Ihr Verzeichnis führen.

  • Weitere Informationen finden Sie unter Was ist Amazon VPC? im Amazon VPC-Benutzerhandbuch.

AWS Directory Service verwendet eine Struktur mit zwei VPCs. Die EC2-Instances, aus denen Ihr Verzeichnis besteht, laufen außerhalb Ihres AWS Kontos und werden von verwaltet. AWS Sie haben zwei Netzwerkadapter ETH0 und ETH1. ETH0 ist der Verwaltungsadapter und existiert außerhalb Ihres Kontos. ETH1 wird in Ihrem Konto erstellt.

Der Management-IP-Bereich des ETH0-Netzwerks Ihres Verzeichnisses wird programmatisch ausgewählt, um sicherzustellen, dass er nicht mit der VPC kollidiert, in der Ihr Verzeichnis bereitgestellt wird. Dieser IP-Bereich kann sich in einem der folgenden Paare befinden (da Verzeichnisse in zwei Subnetzen ausgeführt werden):

  • 10.0.1.0/24 und 10.0.2.0/24

  • 169.254.0.0/16

  • 192.168.1.0/24 und 192.168.2.0/24

Wir vermeiden Konflikte, indem wir das erste Oktett des ETH1-CIDR überprüfen. Wenn es mit einer 10 beginnt, dann wählen wir eine 192.168.0.0/16 VPC mit den Subnetzen 192.168.1.0/24 und 192.168.2.0/24. Wenn das erste Oktett etwas anderes als eine 10 ist, wählen wir eine 10.0.0.0/16 VPC mit den Subnetzen 10.0.1.0/24 und 10.0.2.0/24.

Der Auswahlalgorithmus berücksichtigt nicht die Routen auf Ihrer VPC. Es ist daher möglich, dass dieses Szenario zu einem IP-Routing-Konflikt führt.

Erstellen Sie Ihr Simple AD Active Directory

Gehen Sie wie folgt vorActive Directory, um ein neues Simple AD zu erstellen. Bevor Sie dieses Verfahren beginnen, stellen Sie sicher, dass Sie die in Simple-AD-Voraussetzungen angegebenen Voraussetzungen erfüllt haben.

So erstellen Sie ein Simple AD Active Directory

  1. Wählen Sie im Navigationsbereich AWS Directory Service -Konsole den Eintrag Verzeichnisse und wählen Sie Verzeichnis einrichten aus.

  2. Wählen Sie auf der Seite Verzeichnistyp auswählen die Option Simple AD aus und klicken Sie dann auf Weiter.

  3. Geben Sie auf der Seite Enter directory information (Verzeichnisinformationen eingeben) die folgenden Informationen ein:

    Verzeichnisgröße

    Wählen Sie die Größenoption Small (Klein) oder Large (Groß). Weitere Informationen über Größen finden Sie unter Simple AD.

    Name der Organisation

    Ein eindeutiger Organisationsname für Ihr Verzeichnis, der für die Registrierung von Client-Geräten verwendet wird.

    Dieses Feld ist nur verfügbar, wenn Sie Ihr Verzeichnis im Rahmen des Starts erstellen WorkSpaces.

    DNS-Name des Verzeichnisses

    Den vollständig qualifizierten Namen für das Verzeichnis, z. B. corp.example.com.

    NetBIOS-Name des Verzeichnisses

    Die kurzen Namen für das Verzeichnis, z. B. CORP.

    Administrator password

    Das Passwort für den Verzeichnisadministrator. Mit der Verzeichniserstellung wird ein Administratorkonto mit dem Benutzernamen Administrator und diesem Passwort angelegt.

    Das Verzeichnisadministrator-Passwort unterscheidet zwischen Groß-/ Kleinschreibung und muss zwischen 8 und 64 Zeichen lang sein. Zudem muss es mindestens ein Zeichen aus dreien der vier folgenden Kategorien enthalten:

    • Kleinbuchstaben (a – z)

    • Großbuchstaben (A – Z)

    • Zahlen (0 – 9)

    • Nicht-alphanumerische Zeichen (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Confirm password (Passwort bestätigen)

    Geben Sie das Administratorpasswort erneut ein.

    Verzeichnisbeschreibung

    Eine optionale Beschreibung des Verzeichnisses.

  4. Geben Sie auf der Seite Choose VPC and subnets (VPC und Subnetze wählen) die folgenden Informationen an und wählen Sie dann Next (Weiter).

    VPC

    Die VPC für das Verzeichnis.

    Subnets

    Wählen Sie Subnetze für die Domain-Controller aus. Die beiden Subnetze müssen zu verschiedenen Availability-Zonen gehören.

  5. Überprüfen Sie auf der Seite Review & create (Überprüfen und erstellen) die Verzeichnisinformationen und nehmen Sie gegebenenfalls Änderungen vor. Wenn die Informationen richtig sind, wählen Sie Create directory (Verzeichnis erstellen). Es dauert einige Minuten, bis das Verzeichnis erstellt wurde. Sobald sie erstellt wurden, ändert sich der Status in Active.

Was wird mit Ihrem Simple AD Active Directory erstellt

Wenn Sie ein Active Directory mit Simple AD erstellen, AWS Directory Service führt es die folgenden Aufgaben in Ihrem Namen aus:

  • Installiert ein Samba-basiertes Verzeichnis in der VPC.

  • Erstellt ein Konto für den Verzeichnisadministrator mit dem Benutzernamen Administrator und dem angegebenen Passwort. Mit diesem Konto verwalten Sie das Verzeichnis.

    Wichtig

    Achten Sie darauf, dieses Passwort zu speichern. AWS Directory Service speichert dieses Passwort nicht und es kann nicht abgerufen werden. Sie können ein Passwort jedoch über die AWS Directory Service Konsole oder mithilfe der ResetUserPasswordAPI zurücksetzen.

  • Erstellt eine Sicherheitsgruppe für die Verzeichniscontroller.

  • Erstellt ein Konto mit dem Namen AWSAdminD-xxxxxxxx, das Domain-Administrator-Berechtigungen hat. Dieses Konto wird von verwendet AWS Directory Service , um automatisierte Vorgänge zur Verzeichnisverwaltung durchzuführen, z. B. das Erstellen von Verzeichnis-Snapshots und FSMO-Rollenübertragungen. Die Anmeldeinformationen für dieses Konto werden von AWS Directory Service sicher gespeichert.

  • Erstellt automatisch eine Elastic-Network-Schnittstelle (ENI) und ordnet sie jedem Ihrer Domain-Controller zu. Jede dieser ENIs ist für die Konnektivität zwischen Ihrer VPC und den AWS Directory Service Domänencontrollern unerlässlich und sollte niemals gelöscht werden. Sie können alle Netzwerkschnittstellen, die für die Verwendung reserviert sind, AWS Directory Service anhand der Beschreibung identifizieren: "Netzwerkschnittstelle für Verzeichnis-ID AWS wurde erstellt“. Weitere Informationen finden Sie unter Elastic Network Interfaces im Amazon EC2 EC2-Benutzerhandbuch für Windows-Instances. Der Standard-DNS-Server von AWS Managed Microsoft AD Active Directory ist der VPC-DNS-Server bei Classless Inter-Domain Routing (CIDR) +2. Weitere Informationen finden Sie unter Amazon DNS-Server im Amazon VPC-Benutzerhandbuch.

    Anmerkung

    Domain-Controller werden standardmäßig in zwei Availability Zones in einer Region eingesetzt und mit Ihrer Amazon Virtual Private Cloud (VPC) verbunden. Backups werden automatisch einmal pro Tag erstellt, und die Volumes des Amazon Elastic Block Store (EBS) sind verschlüsselt, um sicherzustellen, dass die Daten im Ruhezustand sicher sind. Domain-Controller, die ausfallen, werden automatisch in derselben Availability Zone unter Verwendung derselben IP-Adresse ersetzt, und eine vollständige Notfallwiederherstellung kann unter Verwendung des letzten Backups durchgeführt werden.

DNS für Simple AD konfigurieren

Simple AD leitet DNS-Anfragen an die IP-Adresse des von Amazon bereitgestellten DNS-Servers für Ihre VPC weiter. Diese DNS-Server lösen Namen auf, die in Ihren Amazon Route 53 privat gehosteten Zonen konfiguriert sind. Indem Sie Ihre On-Premises-Computer auf Ihr Simple AD verweisen, können Sie nun DNS-Anfragen in der privaten gehosteten Zone auflösen. Weitere Informationen zu Route 53 finden Sie unter Was ist Route 53.

Beachten Sie, dass für die Bereitstellung Ihrer Simple AD, um externe DNS-Abfragen zu beantworten, die Netzwerk-Zugriffssteuerungsliste (ACL) für die VPC mit Ihrer Simple AD so konfiguriert sein muss, dass Datenverkehr von außerhalb der VPC zugelassen wird.

  • Wenn Sie nicht Route 53 privat gehostete Zonen verwenden, werden Ihre DNS-Anfragen zu öffentlichen DNS-Servern weitergeleitet.

  • Wenn Sie benutzerdefinierte DNS-Server verwenden, die außerhalb Ihrer VPC liegen, und private DNS verwenden möchten, müssen Sie neu konfigurieren, um benutzerdefinierte DNS-Server auf EC2-Instances innerhalb Ihrer VPC zu verwenden. Weitere Informationen finden Sie unter Arbeiten mit privat gehosteten Zonen.

  • Wenn Sie möchten, dass Ihr Simple AD Namen mit DNS-Servern innerhalb Ihrer VPC und privaten DNS-Servern außerhalb Ihrer VPC auflöst, verwenden Sie hierzu einen DHCP-Optionssatz. Ein detailliertes Beispiel finden Sie in diesem Artikel.

Anmerkung

Dynamische DNS-Aktualisierungen werden von Simple-AD-Domains nicht unterstützt. Stattdessen können Sie die Änderungen direkt vornehmen, indem Sie Ihr Verzeichnis per DNS-Manager mit einer Instance verbinden, die Ihrer Domain zugeordnet ist.