Erste Schritte mit Simple AD - AWS Directory Service
Simple-AD-VoraussetzungenErstellen Sie Ihr Simple AD Active DirectoryWas wird mit Ihrem Simple AD erstellt Active DirectoryDNSFür Simple AD konfigurieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit Simple AD

Simple AD erstellt ein vollständig verwaltetes, Samba-basiertes Verzeichnis im AWS Wolke. Wenn Sie ein Verzeichnis mit Simple AD erstellen, AWS Directory Service erstellt in Ihrem Namen zwei Domänencontroller und DNS Server. Die Domain-Controller werden in verschiedenen Subnetzen in einem Amazon erstellt. Durch VPC diese Redundanz wird sichergestellt, dass Ihr Verzeichnis auch bei einem Ausfall zugänglich bleibt.

Simple-AD-Voraussetzungen

So erstellen Sie ein Simple AD Active Directory, du benötigst einen Amazon VPC mit folgenden Eigenschaften:

  • Der VPC muss über eine standardmäßige Hardware-Tenancy verfügen.

  • Der VPC darf nicht mit den folgenden VPCEndpunkten konfiguriert werden:

  • Mindestens zwei Subnetze in zwei verschiedenen Availability Zones. Die Subnetze müssen sich im gleichen Classless Inter-Domain Routing () -Bereich befinden. CIDR Wenn Sie den VPC für Ihr Verzeichnis erweitern oder seine Größe ändern möchten, stellen Sie sicher, dass Sie beide Domänencontroller-Subnetze für den erweiterten Bereich auswählen. VPC CIDR Wenn Sie ein Simple AD erstellen, AWS Directory Service erstellt in Ihrem Namen zwei Domänencontroller und DNS Server.

  • Wenn Sie LDAPS Unterstützung für Simple AD benötigen, empfehlen wir, diese mithilfe eines Network Load Balancer zu konfigurieren, der an Port 389 angeschlossen ist. Dieses Modell ermöglicht es Ihnen, ein starkes Zertifikat für die LDAPS Verbindung zu verwenden, den Zugriff LDAPS über eine einzige NLB IP-Adresse zu vereinfachen und einen automatischen Failover über die durchzuführen. NLB Simple AD unterstützt die Verwendung von selbstsignierten Zertifikaten an Port 636 nicht. Weitere Informationen zur Konfiguration LDAPS mit Simple AD finden Sie unter So konfigurieren Sie einen LDAPS Endpunkt für Simple AD in der AWS Blog zum Thema Sicherheit.

  • Die folgenden Verschlüsselungstypen müssen in dem Verzeichnis aktiviert werden:

    • RC4_HMAC_MD5

    • AES128_HMAC_SHA1

    • AES256_HMAC_SHA1

    • Zukünftige Verschlüsselungstypen

      Anmerkung

      Die Deaktivierung dieser Verschlüsselungstypen kann zu Kommunikationsproblemen mit RSAT (Remoteserver-Verwaltungstools) führen und sich auf die Verfügbarkeit Ihres Verzeichnisses auswirken.

  • Weitere Informationen finden Sie unter Was ist AmazonVPC? im VPCAmazon-Benutzerhandbuch.

AWS Directory Service verwendet zwei VPC Strukturen. Die EC2 Instanzen, aus denen Ihr Verzeichnis besteht, laufen außerhalb Ihres AWS Konto und werden verwaltet von AWS. Sie haben zwei Netzwerkadapter ETH0 undETH1. ETH0ist der Verwaltungsadapter und existiert außerhalb Ihres Kontos. ETH1wird in Ihrem Konto erstellt.

Der Verwaltungs-IP-Bereich des ETH0 Netzwerks Ihres Verzeichnisses wird programmgesteuert ausgewählt, um sicherzustellen, dass er nicht mit dem Ort kollidiert, VPC an dem Ihr Verzeichnis bereitgestellt wird. Dieser IP-Bereich kann sich in einem der folgenden Paare befinden (da Verzeichnisse in zwei Subnetzen ausgeführt werden):

  • 10.0.1.0/24 und 10.0.2.0/24

  • 169.254.0.0/16

  • 192.168.1.0/24 und 192.168.2.0/24

Wir vermeiden Konflikte, indem wir das erste Oktett von überprüfen. ETH1 CIDR Wenn es mit einer 10 beginnt, wählen wir eine 192.168.0.0/16 VPC mit den Subnetzen 192.168.1.0/24 und 192.168.2.0/24. Wenn das erste Oktett etwas anderes als eine 10 ist, wählen wir ein 10.0.0.0/16 mit den Subnetzen 10.0.1.0/24 und 10.0.2.0/24. VPC

Der VPC Auswahlalgorithmus beinhaltet keine Routen auf Ihrem. Es ist daher möglich, dass dieses Szenario zu einem IP-Routing-Konflikt führt.

Wichtig

Wenn eine der Simple AD-Voraussetzungen nach der Erstellung Ihres Simple AD geändert wird, kann Ihr Simple AD beeinträchtigt werden. Um Ihren Simple AD AD-Impaired-Status zu lösen, müssen Sie sich an AWS Support.

Erstellen Sie Ihr Simple AD Active Directory

Um ein neues Simple AD zu erstellen Active Directory, führen Sie die folgenden Schritte aus. Bevor Sie dieses Verfahren beginnen, stellen Sie sicher, dass Sie die in Simple-AD-Voraussetzungen angegebenen Voraussetzungen erfüllt haben.

So erstellen Sie ein Simple AD Active Directory

  1. In der AWS Directory Service Wählen Sie im Navigationsbereich der Konsole Verzeichnisse und anschließend Verzeichnis einrichten aus.

  2. Wählen Sie auf der Seite Verzeichnistyp auswählen die Option Simple AD aus und klicken Sie dann auf Weiter.

  3. Geben Sie auf der Seite Enter directory information (Verzeichnisinformationen eingeben) die folgenden Informationen ein:

    Verzeichnisgröße

    Wählen Sie die Größenoption Small (Klein) oder Large (Groß). Weitere Informationen über Größen finden Sie unter Simple AD.

    Name der Organisation

    Ein eindeutiger Organisationsname für Ihr Verzeichnis, der für die Registrierung von Client-Geräten verwendet wird.

    Dieses Feld ist nur verfügbar, wenn Sie Ihr Verzeichnis im Rahmen des Starts erstellen WorkSpaces.

    DNSName des Verzeichnisses

    Den vollständig qualifizierten Namen für das Verzeichnis, z. B. corp.example.com.

    BIOSNetzname des Verzeichnisses

    Die kurzen Namen für das Verzeichnis, z. B. CORP.

    Administrator password

    Das Passwort für den Verzeichnisadministrator. Mit der Verzeichniserstellung wird ein Administratorkonto mit dem Benutzernamen Administrator und diesem Passwort angelegt.

    Das Verzeichnisadministrator-Passwort unterscheidet zwischen Groß-/ Kleinschreibung und muss zwischen 8 und 64 Zeichen lang sein. Zudem muss es mindestens ein Zeichen aus dreien der vier folgenden Kategorien enthalten:

    • Kleinbuchstaben (a – z)

    • Großbuchstaben (A – Z)

    • Zahlen (0 – 9)

    • Nicht-alphanumerische Zeichen (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Confirm password (Passwort bestätigen)

    Geben Sie das Administratorpasswort erneut ein.

    Verzeichnisbeschreibung

    Eine optionale Beschreibung des Verzeichnisses.

  4. Geben Sie auf der Seite Wählen VPC und Subnetze die folgenden Informationen ein, und klicken Sie dann auf Weiter.

    VPC

    Die VPC für das Verzeichnis.

    Subnets

    Wählen Sie Subnetze für die Domain-Controller aus. Die beiden Subnetze müssen zu verschiedenen Availability-Zonen gehören.

  5. Überprüfen Sie auf der Seite Review & create (Überprüfen und erstellen) die Verzeichnisinformationen und nehmen Sie gegebenenfalls Änderungen vor. Wenn die Informationen richtig sind, wählen Sie Create directory (Verzeichnis erstellen). Es dauert einige Minuten, bis das Verzeichnis erstellt wurde. Sobald sie erstellt wurden, ändert sich der Status in Active.

Was wird mit Ihrem Simple AD erstellt Active Directory

Wenn Sie eine erstellen Active Directory mit Simple AD, AWS Directory Service führt in Ihrem Namen die folgenden Aufgaben aus:

  • Richtet ein Samba-basiertes Verzeichnis innerhalb von ein. VPC

  • Erstellt ein Konto für den Verzeichnisadministrator mit dem Benutzernamen Administrator und dem angegebenen Passwort. Mit diesem Konto verwalten Sie das Verzeichnis.

    Wichtig

    Achten Sie darauf, dieses Passwort zu speichern. AWS Directory Service speichert dieses Passwort nicht und es kann nicht abgerufen werden. Sie können ein Passwort jedoch über den AWS Directory Service Konsole oder mithilfe der ResetUserPasswordAPI.

  • Erstellt eine Sicherheitsgruppe für die Verzeichniscontroller.

  • Erstellt ein Konto mit dem Namen AWSAdminD-xxxxxxxx, das Domain-Administrator-Berechtigungen hat. Dieses Konto wird verwendet von AWS Directory Service um automatisierte Vorgänge zur Verzeichnisverwaltung durchzuführen, wie z. B. das Erstellen von Verzeichnis-Snapshots und FSMO Rollenübertragungen. Die Anmeldeinformationen für dieses Konto werden sicher gespeichert von AWS Directory Service.

  • Erstellt automatisch eine elastic network interface (ENI) und ordnet sie jedem Ihrer Domänencontroller zu. Jedes dieser ENIs Elemente ist für die Konnektivität zwischen Ihrem VPC und AWS Directory Service Domänencontroller und sollten niemals gelöscht werden. Sie können alle Netzwerkschnittstellen identifizieren, die für die Verwendung mit reserviert sind AWS Directory Service anhand der Beschreibung:“AWS hat eine Netzwerkschnittstelle für das Verzeichnis Directory-ID“ erstellt. Weitere Informationen finden Sie unter Elastic Network Interfaces im EC2Amazon-Benutzerhandbuch. Der DNS Standardserver des AWS Verwaltetes Microsoft AD Active Directory ist der VPC DNS Server bei Classless Inter-Domain Routing (CIDR) +2. Weitere Informationen finden Sie unter DNSAmazon-Server im VPCAmazon-Benutzerhandbuch.

    Anmerkung

    Domain-Controller werden standardmäßig in zwei Availability Zones in einer Region bereitgestellt und mit Ihrer Amazon Virtual Private Cloud (VPC) verbunden. Backups werden automatisch einmal täglich erstellt, und die Amazon Elastic Block Store (EBS) -Volumes werden verschlüsselt, um sicherzustellen, dass Daten im Ruhezustand geschützt sind. Domain-Controller, die ausfallen, werden automatisch in derselben Availability Zone unter Verwendung derselben IP-Adresse ersetzt, und eine vollständige Notfallwiederherstellung kann unter Verwendung des letzten Backups durchgeführt werden.

DNSFür Simple AD konfigurieren

Simple AD leitet DNS Anfragen an die IP-Adresse der von Amazon bereitgestellten DNS Server für Ihr Amazon weiter. VPC Diese DNS Server lösen Namen auf, die in Ihren privaten gehosteten Zonen von Amazon Route 53 konfiguriert sind. Indem Sie Ihre lokalen Computer auf Ihr Simple AD verweisen, können Sie jetzt DNS Anfragen an die private gehostete Zone lösen. Weitere Informationen zu Route 53 finden Sie unter Was ist Route 53.

Beachten Sie, dass die Netzwerkzugriffskontrollliste (ACL) für die, die Ihr Simple AD VPC enthält, so konfiguriert sein muss, dass Datenverkehr von außerhalb des zugelassen wird, damit Ihr Simple AD auf externe DNS Anfragen antworten kannVPC.

  • Wenn Sie keine privat gehosteten Zonen von Route 53 verwenden, werden Ihre DNS Anfragen an öffentliche DNS Server weitergeleitet.

  • Wenn Sie benutzerdefinierte DNS Server verwenden, die sich außerhalb Ihrer befinden, VPC und Sie private Server verwenden möchtenDNS, müssen Sie die Konfiguration neu konfigurieren, um benutzerdefinierte DNS Server auf Ihren EC2 VPC Instanzen zu verwenden. Weitere Informationen finden Sie unter Arbeiten mit privat gehosteten Zonen.

  • Wenn Sie möchten, dass Ihr Simple AD Namen sowohl über DNS Server innerhalb Ihrer VPC als auch über private DNS Server außerhalb Ihres auflöstVPC, können Sie dies mithilfe eines DHCP Optionssatzes tun. Ein detailliertes Beispiel finden Sie in diesem Artikel.

Anmerkung

DNSdynamische Updates werden in Simple AD AD-Domänen nicht unterstützt. Sie können die Änderungen stattdessen direkt vornehmen, indem Sie mithilfe von DNS Manager auf einer Instanz, die mit Ihrer Domain verknüpft ist, eine Verbindung zu Ihrem Verzeichnis herstellen.