Mise en route avec Simple AD - AWS Directory Service
Prérequis pour Simple ADCréez votre Simple AD Active DirectoryQu'est-ce qui est créé avec votre Simple AD Active DirectoryConfiguration DNS pour Simple AD

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mise en route avec Simple AD

Simple AD crée un annuaire entièrement géré basé sur Samba dans le AWS nuage. Lorsque vous créez un annuaire avec Simple AD, AWS Directory Service crée deux contrôleurs de domaine et deux DNS serveurs en votre nom. Les contrôleurs de domaine sont créés dans différents sous-réseaux d'un Amazon. VPC Cette redondance permet de garantir que votre répertoire reste accessible même en cas de panne.

Prérequis pour Simple AD

Pour créer un Simple AD Active Directory, vous avez besoin d'un Amazon VPC avec les éléments suivants :

  • Le VPC doit avoir une location matérielle par défaut.

  • Le ne VPC doit pas être configuré avec le ou les points de VPC terminaison suivants :

  • Au moins deux sous-réseaux dans deux zones de disponibilité différentes. Les sous-réseaux doivent se trouver dans la même plage de routage interdomaine sans classe ()CIDR. Si vous souhaitez étendre ou redimensionner le VPC répertoire, assurez-vous de sélectionner les deux sous-réseaux du contrôleur de domaine pour la plage étendue VPCCIDR. Lorsque vous créez un Simple AD, AWS Directory Service crée deux contrôleurs de domaine et deux DNS serveurs en votre nom.

  • Si vous avez besoin d'LDAPSassistance avec Simple AD, nous vous recommandons de le configurer à l'aide d'un Network Load Balancer connecté au port 389. Ce modèle vous permet d'utiliser un certificat solide pour la LDAPS connexion, de simplifier l'accès LDAPS via une adresse NLB IP unique et de bénéficier d'un basculement automatique via le. NLB Simple AD ne prend pas en charge l'utilisation de certificats auto-signés sur le port 636. Pour plus d'informations sur la configuration LDAPS avec Simple AD, consultez Comment configurer un LDAPS point de terminaison pour Simple AD dans le AWS Blog sur la sécurité.

  • Les types de chiffrement suivants doivent être activés dans l'annuaire :

    • RC4_HMAC_MD5

    • AES128_HMAC_SHA1

    • AES256_HMAC_SHA1

    • Futurs types de chiffrement

      Note

      La désactivation de ces types de chiffrement peut entraîner des problèmes de communication avec RSAT (outils d'administration de serveurs distants) et avoir un impact sur la disponibilité de votre annuaire.

  • Pour plus d'informations, consultez Qu'est-ce qu'Amazon VPC ? dans le guide de VPC l'utilisateur Amazon.

AWS Directory Service utilise une VPC structure à deux niveaux. Les EC2 instances qui composent votre répertoire s'exécutent en dehors de votre AWS compte, et sont gérés par AWS. Ils ont deux adaptateurs réseau, ETH0 etETH1. ETH0est l'adaptateur de gestion et existe en dehors de votre compte. ETH1est créé dans votre compte.

La plage d'adresses IP de gestion du ETH0 réseau de votre annuaire est choisie par programmation afin de garantir qu'elle n'entre pas en conflit avec l'VPCendroit où votre annuaire est déployé. Cette plage d'adresses IP peut être comprise dans l'une des paires suivantes (car les annuaires s'exécutent dans deux sous-réseaux) :

  • 10.0.1.0/24 et 10.0.2.0/24

  • 169,254,0,0/16

  • 192.168.1.0/24 et 192.168.2.0/24

Nous évitons les conflits en vérifiant le premier octet du ETH1CIDR. S'il commence par un 10, nous choisissons un 192.168.0.0/16 VPC avec les sous-réseaux 192.168.1.0/24 et 192.168.2.0/24. Si le premier octet est autre chose qu'un 10, nous choisissons un 10.0.0.0/16 VPC avec des sous-réseaux 10.0.1.0/24 et 10.0.2.0/24.

L'algorithme de sélection n'inclut pas les itinéraires de votreVPC. Il est donc possible qu'un conflit de routage IP résulte de ce scénario.

Important

Si l'un des prérequis de Simple AD est modifié après la création de votre Simple AD, celui-ci peut devenir altéré. Pour résoudre le problème lié à la fonction Simple AD, vous devez contacter AWS Support.

Créez votre Simple AD Active Directory

Pour créer un nouveau Simple AD Active Directory, effectuez les opérations suivantes. Avant de commencer cette procédure, assurez-vous que vous avez terminé les prérequis identifiés dans Prérequis pour Simple AD.

Pour créer un Simple AD Active Directory

  1. Dans AWS Directory Service dans le volet de navigation de la console, choisissez Répertoires, puis sélectionnez Configurer le répertoire.

  2. Sur la page Sélectionner un type d'annuaire, choisissez Simple AD, puis Suivant.

  3. Sur la page Enter directory information (Saisir les détails de l'annuaire), renseignez les informations suivantes :

    Taille de l'annuaire

    Faites votre choix parmi les options de taille Petit ou Large. Pour en savoir plus sur les tailles, veuillez consulter Simple AD.

    Nom de l'organisation

    Nom d'organisation unique pour votre répertoire qui sera utilisé pour enregistrer les appareils clients.

    Ce champ n'est disponible que si vous créez votre répertoire dans le cadre du lancement WorkSpaces.

    DNSNom du répertoire

    Nom complet de l'annuaire, par exemple corp.example.com.

    BIOSNom du réseau du répertoire

    Nom court de l'annuaire, par exemple CORP.

    Mot de passe administrateur

    Mot de passe de l'administrateur de l'annuaire. Le processus de création d'un annuaire crée un compte d'administrateur avec le nom utilisateur Administrator et ce mot de passe.

    Le mot de passe de l'administrateur de l'annuaire est sensible à la casse et doit comporter entre 8 et 64 caractères (inclus). Il doit également contenir au moins un caractère de trois des quatre catégories suivantes :

    • Lettres minuscules (a-z)

    • Lettres majuscules (A-Z)

    • Chiffres (0-9)

    • Caractères non alphanumériques (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Confirmer le mot de passe

    Saisissez à nouveau le mot de passe de l'administrateur.

    Description de l'annuaire

    Description facultative de l'annuaire.

  4. Sur la page Choisir VPC et sous-réseaux, fournissez les informations suivantes, puis choisissez Next.

    VPC

    Le VPC pour le répertoire.

    Sous-réseaux

    Choisissez les sous-réseaux pour les contrôleurs de domaine. Les deux sous-réseaux doivent être dans des zones de disponibilité différentes.

  5. Sur la page Review & create (Vérifier et créer), vérifiez les informations concernant l'annuaire et effectuez les modifications nécessaires. Lorsque les informations sont correctes, choisissez Create directory (Créer l'annuaire). La création de l'annuaire prend plusieurs minutes. Une fois l'annuaire créé, le champ Statut prend la valeur Actif.

Qu'est-ce qui est créé avec votre Simple AD Active Directory

Lorsque vous créez un Active Directory avec Simple AD, AWS Directory Service exécute les tâches suivantes en votre nom :

  • Configure un répertoire basé sur Samba dans le. VPC

  • Création d'un compte d'administrateur d'annuaire avec le nom d'utilisateur Administrator et le mot de passe spécifié. Ce compte est utilisé pour gérer votre annuaire.

    Important

    N'oubliez pas d'enregistrer ce mot de passe. AWS Directory Service ne stocke pas ce mot de passe et il ne peut pas être récupéré. Toutefois, vous pouvez réinitialiser un mot de passe à partir du AWS Directory Service console ou en utilisant le ResetUserPasswordAPI.

  • Création d'un groupe de sécurité pour les contrôleurs de l'annuaire.

  • Crée un compte avec le nom AWSAdminD-xxxxxxxx qui dispose des privilèges d'administration de domaine. Ce compte est utilisé par AWS Directory Service pour effectuer des opérations automatisées pour les opérations de maintenance des annuaires, telles que la prise de clichés d'annuaires et les transferts de FSMO rôles. Les informations d'identification de ce compte sont stockées de manière sécurisée par AWS Directory Service.

  • Crée et associe automatiquement une elastic network interface (ENI) à chacun de vos contrôleurs de domaine. Chacun de ces ENIs éléments est essentiel pour la connectivité entre votre VPC et AWS Directory Service contrôleurs de domaine et ne doivent jamais être supprimés. Vous pouvez identifier toutes les interfaces réseau réservées à une utilisation avec AWS Directory Service par la description : »AWS interface réseau créée pour le répertoire directory-id ». Pour plus d'informations, consultez Elastic Network Interfaces dans le guide de EC2 l'utilisateur Amazon. Le DNS serveur par défaut du AWS Microsoft AD géré Active Directory est le VPC DNS serveur situé à Classless Inter-Domain Routing (CIDR) +2. Pour plus d'informations, consultez le DNSserveur Amazon dans le guide de VPC l'utilisateur Amazon.

    Note

    Les contrôleurs de domaine sont déployés par défaut dans deux zones de disponibilité d'une région et connectés à votre Amazon Virtual Private Cloud (VPC). Les sauvegardes sont effectuées automatiquement une fois par jour, et les volumes Amazon Elastic Block Store (EBS) sont chiffrés pour garantir la sécurité des données au repos. Les contrôleurs de domaine qui échouent sont automatiquement remplacés dans la même zone de disponibilité à l'aide de la même adresse IP, et une reprise après sinistre complète peut être effectuée avec la dernière sauvegarde.

Configuration DNS pour Simple AD

Simple AD transmet les DNS demandes à l'adresse IP des DNS serveurs fournis par Amazon pour votre Amazon. VPC Ces DNS serveurs résoudront les noms configurés dans vos zones hébergées privées Amazon Route 53. En pointant vos ordinateurs locaux vers votre Simple AD, vous pouvez désormais résoudre les DNS demandes adressées à la zone hébergée privée. Pour plus d'informations sur Route 53, veuillez consulter What is Route 53 (français non garanti).

Notez que pour permettre à votre Simple AD de répondre à des DNS requêtes externes, la liste de contrôle d'accès réseau (ACL) VPC contenant votre Simple AD doit être configurée pour autoriser le trafic provenant de l'extérieur deVPC.

  • Si vous n'utilisez pas les zones hébergées privées Route 53, vos DNS demandes seront transmises aux DNS serveurs publics.

  • Si vous utilisez des DNS serveurs personnalisés extérieurs au vôtre VPC et que vous souhaitez utiliser le mode privéDNS, vous devez le reconfigurer pour utiliser des DNS serveurs personnalisés sur les EC2 instances de votreVPC. Pour plus d'informations, veuillez onsulter Utilisation des zones hébergées privées.

  • Si vous souhaitez que votre Simple AD résolve les noms en utilisant à la fois des DNS serveurs internes VPC et des DNS serveurs privés externesVPC, vous pouvez le faire à l'aide d'un ensemble d'DHCPoptions. Pour obtenir un exemple détaillé, veuillez consulter cet article.

Note

DNSles mises à jour dynamiques ne sont pas prises en charge dans les domaines Simple AD. Vous pouvez plutôt effectuer les modifications directement en vous connectant à votre annuaire à l'aide du DNS gestionnaire sur une instance jointe à votre domaine.