Memulai dengan Simple AD - AWS Directory Service
Prasyarat Simple ADBuat Simple AD Anda Active DirectoryApa yang dibuat dengan Simple AD Anda Active DirectoryKonfigurasikan DNS untuk Simple AD

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memulai dengan Simple AD

Simple AD membuat direktori berbasis Samba yang dikelola sepenuhnya di cloud. AWS Saat Anda membuat direktori dengan Simple AD, AWS Directory Service buat dua pengontrol domain dan server DNS atas nama Anda. Pengontrol domain dibuat dalam subnet yang berbeda di VPC Amazon, redundansi ini membantu memastikan bahwa direktori Anda tetap dapat diakses bahkan jika terjadi kegagalan.

Prasyarat Simple AD

Untuk membuat Simple ADActive Directory, Anda memerlukan VPC Amazon dengan yang berikut ini:

  • VPC harus memiliki penghunian perangkat keras default.

  • VPC tidak boleh dikonfigurasi dengan VPC endpoint berikut:

  • Setidaknya dua subnet di dua Availability Zone yang berbeda. Subnet harus berada dalam rentang Classless Inter-Domain Routing (CIDR) yang sama. Jika Anda ingin memperpanjang atau mengubah ukuran VPC untuk direktori Anda, maka pastikan untuk memilih kedua subnet pengendali domain untuk rentang VPC CIDR yang diperpanjang. Saat Anda membuat Simple AD, AWS Directory Service buat dua pengontrol domain dan server DNS atas nama Anda.

  • Jika Anda memerlukan dukungan LDAPS dengan Simple AD, kami sarankan Anda mengonfigurasinya menggunakan Network Load Balancer yang terhubung ke port 389. Model ini memungkinkan Anda untuk menggunakan sertifikat yang kuat untuk hubungan LDAPS, menyederhanakan akses ke LDAPS melalui alamat IP NLB tunggal, dan memiliki kegagalan otomatis melalui NLB. Simple AD tidak mendukung penggunaan sertifikat yang ditandatangani sendiri pada port 636. Untuk informasi selengkapnya tentang cara mengkonfigurasi LDAPS dengan Simple AD, lihat Cara mengkonfigurasi titik akhir LDAPS untuk Simple AD di Blog Keamanan AWS .

  • Jenis enkripsi berikut harus diaktifkan dalam direktori:

    • RC4_HMAC_MD5

    • AES128_HMAC_SHA1

    • AES256_HMAC_SHA1

    • Jenis enkripsi masa depan

      catatan

      Menonaktifkan jenis enkripsi ini dapat menyebabkan masalah komunikasi dengan RSAT (Remote Server Administration Tools) dan mempengaruhi ketersediaan atau direktori Anda.

  • Untuk informasi lebih lanjut, lihat Apa itu Amazon VPC? di Panduan Pengguna Amazon VPC.

AWS Directory Service menggunakan dua struktur VPC. Instans EC2 yang membentuk direktori Anda berjalan di luar AWS akun Anda, dan dikelola oleh. AWS Mereka memiliki dua adaptor jaringan, ETH0 dan ETH1. ETH0 adalah adaptor pengelola, dan berada di luar akun Anda. ETH1 dibuat dalam akun Anda.

Rentang IP pengelola jaringan ETH0 direktori Anda dipilih secara terprogram untuk memastikan tidak bertentangan dengan VPC tempat direktori Anda di-deploy. Rentang IP ini dapat berupa salah satu pasangan berikut (karena Direktori berjalan di dua subnet):

  • 10.0.1.0/24 & 10.0.2.0/24

  • 169.254.0.0/16

  • 192.168.1.0/24 & 192.168.2.0/24

Kami menghindari konflik dengan memeriksa oktet pertama dari ETH1 CIDR. Jika dimulai dengan 10, maka kami memilih VPC 192.168.0.0/16 dengan subnet 192.168.1.0/24 dan 192.168.2.0/24. Jika oktet pertama adalah yang lain selain 10, kami memilih VPC 10.0.0.0/16 dengan subnet 10.0.1.0/24 dan 10.0.2.0/24.

Algoritma pemilihan tidak mencakup rute pada VPC Anda. Oleh karena itu Anda dapat mengalami konflik IP perutean yang dihasilkan dari skenario ini.

Buat Simple AD Anda Active Directory

Untuk membuat Simple AD baruActive Directory, lakukan langkah-langkah berikut. Sebelum memulai prosedur ini, pastikan Anda telah menyelesaikan prasyarat yang diidentifikasi dalam Prasyarat Simple AD.

Untuk membuat Simple AD Active Directory

  1. Di panel navigasi konsol AWS Directory Service, pilih Direktori, lalu pilih Atur direktori.

  2. Di halaman Pilih jenis direktori, pilih Simple AD, lalu pilih Selanjutnya.

  3. Di halaman Masukkan informasi direktori, berikan informasi berikut:

    Ukuran direktori

    Pilih salah satu opsi ukuran Small atau Large. Untuk informasi selengkapnya tentang ukuran, lihat Simple AD.

    Nama organisasi

    Sebuah nama organisasi yang unik untuk direktori Anda yang akan digunakan untuk mendaftarkan perangkat klien.

    Bidang ini hanya tersedia jika Anda membuat direktori sebagai bagian dari peluncuran WorkSpaces.

    Nama DNS direktori

    Nama berkualifikasi penuh untuk direktori, seperti corp.example.com.

    Direktori nama NetBIOS

    Nama singkat untuk direktori, seperti CORP.

    Kata sandi administrator

    Kata sandi administrator direktori. Proses pembuatan direktori menciptakan akun administrator dengan nama pengguna Administrator dan kata sandi ini.

    Kata sandi administrator direktori peka akan huruf besar kecil dan harus terdiri dari 8 sampai 64 karakter, inklusif. Kata sandi juga harus berisi minimal satu karakter dalam tiga dari empat kategori berikut:

    • Huruf kecil (a-z)

    • Huruf besar (A-Z)

    • Angka (0-9)

    • Karakter non-alfanumerik (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Konfirmasikan kata sandi

    Ketik ulang kata sandi administrator.

    Deskripsi direktori

    Deskripsi opsional untuk direktori.

  4. Pada halaman Pilih VPC dan subnet, berikan informasi berikut ini, lalu pilih Selanjutnya.

    VPC

    VPC untuk direktori.

    Subnet

    Pilih subnet untuk pengendali domain. Kedua subnet harus berada di Zona Ketersediaan yang berbeda.

  5. Pada halaman Tinjau & buat, tinjau informasi direktori dan buat perubahan yang diperlukan. Jika informasi sudah benar, pilih Buat direktori. Ini akan memerlukan beberapa menit sampai direktori dibuat. Setelah dibuat, nilai Status berubah ke Aktif.

Apa yang dibuat dengan Simple AD Anda Active Directory

Saat Anda membuat Active Directory dengan Simple AD, AWS Directory Service lakukan tugas-tugas berikut atas nama Anda:

  • Mengatur direktori berbasis Samba dalam VPC.

  • Membuat akun administrator direktori dengan nama pengguna Administrator dan kata sandi yang ditentukan. Anda menggunakan akun ini untuk mengelola direktori.

    penting

    Pastikan untuk menyimpan kata sandi ini. AWS Directory Service tidak menyimpan kata sandi ini, dan tidak dapat diambil. Namun, Anda dapat mengatur ulang kata sandi dari AWS Directory Service konsol atau dengan menggunakan ResetUserPasswordAPI.

  • Membuat grup keamanan untuk pengontrol direktori.

  • Membuat akun dengan nama AWSAdminD-xxxxxxxx yang memiliki hak istimewa admin domain. Akun ini digunakan oleh AWS Directory Service untuk melakukan operasi otomatis untuk operasi pemeliharaan direktori, seperti mengambil snapshot direktori dan transfer peran FSMO. Kredensial untuk akun ini disimpan dengan aman oleh AWS Directory Service.

  • Secara otomatis membuat dan mengasosiasikan antarmuka jaringan elastis (ENI) dengan masing-masing pengendali domain Anda. Masing-masing ENI ini penting untuk konektivitas antara VPC AWS Directory Service dan pengontrol domain Anda dan tidak boleh dihapus. Anda dapat mengidentifikasi semua antarmuka jaringan yang dicadangkan untuk digunakan AWS Directory Service dengan deskripsi: "AWS menciptakan antarmuka jaringan untuk direktori-id direktoriā€. Untuk informasi selengkapnya, lihat Antarmuka Jaringan Elastis di Panduan Pengguna Amazon EC2. Server DNS default dari Microsoft AD yang AWS Dikelola Active Directory adalah server DNS VPC di Classless Inter-Domain Routing (CIDR) +2. Untuk informasi selengkapnya, lihat Server DNS Amazon di Panduan Pengguna Amazon VPC.

    catatan

    Pengendali domain di-deploy di dua Availability Zone di suatu Region secara default dan terhubung ke Amazon Virtual Private Cloud (VPC) Anda. Backup secara otomatis diambil sekali per hari, dan volume Amazon Elastic Block Store (EBS) dienkripsi untuk memastikan bahwa data diamankan saat istirahat. Pengendali domain yang gagal secara otomatis diganti di Availability Zone yang sama menggunakan alamat IP yang sama, dan pemulihan bencana penuh dapat dilakukan dengan menggunakan backup terbaru.

Konfigurasikan DNS untuk Simple AD

Simple AD meneruskan permintaan DNS ke alamat IP server DNS yang disediakan Amazon untuk VPC Amazon Anda. Server DNS ini akan menyelesaikan nama yang dikonfigurasi di zona host pribadi Amazon Route 53 Anda. Dengan mengarahkan komputer on-premise ke Simple AD Anda, Anda sekarang dapat menyelesaikan permintaan DNS ke zona yang di-hosting pribadi. Untuk informasi selengkapnya tentang Route 53, lihat Apa itu Route 53.

Perhatikan bahwa untuk mengaktifkan Simple AD untuk menanggapi permintaan DNS eksternal, access control list (ACL) jaringan untuk VPC yang berisi Simple AD Anda harus dikonfigurasi untuk mengizinkan lalu lintas dari luar VPC.

  • Jika Anda tidak menggunakan Route 53 zona yang di-hosting pribadi, permintaan DNS Anda akan diteruskan ke server DNS publik.

  • Jika Anda menggunakan server DNS kustom yang berada di luar VPC Anda dan Anda ingin menggunakan DNS pribadi, Anda harus mengkonfigurasi ulang untuk menggunakan server DNS kustom pada instans EC2 dalam VPC Anda. Untuk informasi selengkapnya, lihat Bekerja dengan zona yang di-hosting pribadi.

  • Jika Anda ingin Simple AD untuk menyelesaikan nama menggunakan kedua server DNS dalam VPC Anda dan server DNS pribadi di luar VPC Anda, Anda dapat melakukannya menggunakan set opsi DHCP. Untuk contoh terperinci, lihat artikel ini.

catatan

Pembaruan dinamis DNS tidak didukung di domain Simple AD. Sebagai gantinya Anda dapat membuat perubahan secara langsung dengan menghubungkan ke direktori Anda menggunakan Pengelola DNS pada instans yang digabungkan ke domain Anda.