Nozioni di base su Simple AD

Simple AD crea una directory completamente gestita basata su Samba nel cloud. AWS Quando crei una directory con Simple AD, AWS Directory Service crea due controller di dominio e server DNS per tuo conto. I controller di dominio vengono creati in diverse sottoreti in un Amazon VPC. Questa ridondanza aiuta a garantire che la directory rimanga accessibile anche in caso di errore.

Prerequisiti di Simple AD

Per creare un Simple ADActive Directory, è necessario un Amazon VPC con quanto segue:

• Il VPC deve disporre di una tenancy hardware predefinita.

• Il VPC non deve essere configurato con i seguenti endpoint VPC:

  • Endpoint VPC Route53 che includono sostituzioni condizionali DNS per *.amazonaws.com che si risolvono in indirizzi IP non pubblici AWS

  • CloudWatch Endpoint VPC

  • Endpoint VPC di Systems Manager

  • Endpoint VPC del Servizio di token di sicurezza

• Almeno due sottoreti in due diverse zone di disponibilità. Le sottoreti devono appartenere allo stesso intervallo CIDR (Classless Inter-Domain Routing). Se si desidera estendere o ridimensionare il VPC per la directory, assicurarsi di selezionare entrambe le sottoreti dei controller di dominio per l'intervallo CIDR VPC esteso. Quando crei un Simple AD, AWS Directory Service crea due controller di dominio e server DNS per tuo conto.

  • Per ulteriori informazioni sulla gamma CIDR, consulta la sezione Indirizzamento IP per i tuoi VPC e sottoreti nella Amazon VPC User Guide.

• Se hai bisogno del supporto LDAPS con Simple AD, consigliamo di configurarlo utilizzando un Network Load Balancer collegato alla porta 389. Questo modello consente di utilizzare un certificato sicuro per la connessione LDAPS, di semplificare l'accesso a LDAPS attraverso un solo indirizzo IP NLB e di avere il failover automatico nell'NLB. Simple AD non supporta l'uso di certificati autofirmati sulla porta 636. Per ulteriori informazioni su come configurare LDAPS con Simple AD, consulta Come configurare un endpoint LDAPS per Simple AD nel Blog di AWS sulla sicurezza.

• I seguenti tipi di crittografia devono essere abilitati nella directory:

  • RC4_HMAC_MD5

  • AES128_HMAC_SHA1

  • AES256_HMAC_SHA1

  • Tipi di crittografia futuri

    Nota

    La disabilitazione di questi tipi di crittografia può causare problemi di comunicazione tra RSAT (Remote Server Administration Tools) e può influire sulla disponibilità della directory.

• Per ulteriori informazioni, consultare Che cos'è Amazon VPC? nella Guida per l'utente di Amazon VPC

AWS Directory Service utilizza una struttura a due VPC. Le istanze EC2 che compongono la tua directory vengono eseguite all'esterno del tuo AWS account e sono gestite da. AWS Hanno due schede di rete, ETH0 e ETH1. ETH0 è la scheda di gestione ed è al di fuori del tuo account. ETH1 viene creata all'interno dell'account.

L'intervallo IP di gestione della rete ETH0 della directory viene scelto a livello di codice per garantire che non sia in conflitto con il VPC in cui è distribuita la directory. Questo intervallo IP può trovarsi in una delle seguenti coppie (poiché le directory vengono eseguite in due sottoreti):

• 10.0.1.0/24 e 10.0.2.0/24

• 169.254,0/16

• 192.168.1.0/24 e 192.168.2.0/24

Evitiamo i conflitti controllando il primo ottetto del CIDR. ETH1. Se inizia con un 10, scegliamo un VPC 192.168.0.0/16 con le sottoreti 192.168.1.0/24 e 192.168.2.0/24. Se il primo ottetto è diverso da un 10, scegliamo un VPC 10.0.0.0/16 con le sottoreti 10.0.1.0/24 e 10.0.2.0/24.

L'algoritmo di selezione non include i percorsi del VPC. È quindi possibile avere un conflitto di routing IP da questo scenario.

Crea il tuo Simple AD Active Directory

Per creare un nuovo Simple ADActive Directory, procedi nel seguente modo. Prima di iniziare la procedura, assicurati di soddisfare i prerequisiti illustrati in Prerequisiti di Simple AD.

Per creare un Simple AD Active Directory

1. Nel riquadro di navigazione della console AWS Directory Service, scegli Directory, quindi seleziona Configura directory.

2. Nella pagina Seleziona il tipo di directory, scegli Simple AD, quindi seleziona Successivo.

3. Nella pagina Enter directory information (Inserisci le informazioni sulla directory) inserisci le seguenti informazioni:

   Dimensione della directory

   Scegliere tra l'opzione di dimensione Small (Piccola) o Large (Grande). Per ulteriori informazioni sulle dimensioni, consulta Simple AD.

   Nome organizzazione

   Un nome dell'organizzazione univoco per la directory che viene utilizzato per registrare i dispositivi client.

   Questo campo è disponibile solo se stai creando la tua directory durante il lancio WorkSpaces.

   Nome DNS directory

   Il nome completo della directory, ad esempio corp.example.com.

   Nome NetBIOS della directory

   Nome breve per la directory, ad esempio CORP.

   Administrator password (Password dell'amministratore)

   La password dell'amministratore della directory. Con il processo di creazione della directory viene generato un account amministratore con nome utente Administrator e questa password.

   La password dell'amministratore della directory applica la distinzione tra maiuscole e minuscole e deve contenere tra 8 e 64 caratteri. Deve anche contenere un carattere di almeno tre delle seguenti quattro categorie:

   • Lettere minuscole (a-z)

   • Lettere maiuscole (A-Z)

   • Numeri (0-9)

   • Caratteri non alfanumerici (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

   Conferma la password

   Digitare di nuovo la password dell'amministratore.

   Descrizione della directory

   Descrizione opzionale della directory.

4. Nella pagina Choose VPC and subnets (Scegli VPC e sottoreti) fornire le seguenti informazioni, quindi selezionare Next (Successivo).

   VPC

   VPC per la directory.

   Sottoreti

   Scegli le sottoreti per i controller di dominio. Le due sottoreti devono trovarsi in diverse zone di disponibilità.

5. Nella pagina Review & create (Rivedi e crea), esaminare le informazioni relative alla directory ed eseguire eventuali modifiche. Quando le informazioni sono corrette, scegli Create Directory (Crea directory). Per creare la directory sono necessari alcuni minuti. Una volta creato, il valore Status cambia in Active (Attivo).

Cosa viene creato con il tuo Simple AD Active Directory

Quando crei un file Active Directory con Simple AD, AWS Directory Service esegue le seguenti attività per tuo conto:

• Configura una directory basata su Samba all'interno del VPC.

• Crea un account amministratore della directory con il nome utente Administrator e la password specificata. Puoi utilizzare questo account per gestire le directory.

  Importante

  Assicurati di salvare questa password. AWS Directory Service non memorizza questa password e non può essere recuperata. Tuttavia, è possibile reimpostare una password dalla AWS Directory Service console o utilizzando l'ResetUserPasswordAPI.

• Crea un gruppo di sicurezza per i controller della directory.

• Crea l'account AWSAdminD-xxxxxxxx con privilegi di amministratore del dominio. Questo account viene utilizzato per AWS Directory Service eseguire operazioni automatizzate per le operazioni di manutenzione delle directory, come l'acquisizione di istantanee delle directory e il trasferimento di ruoli FSMO. Le credenziali di questo account vengono archiviate in modo sicuro da AWS Directory Service.

• crea e associa automaticamente una interfaccia di rete elastica (ENI) a ciascuno dei controller di dominio. Ciascuno di questi ENI è essenziale per la connettività tra il VPC AWS Directory Service e i controller di dominio e non deve mai essere eliminato. È possibile identificare tutte le interfacce di rete riservate all'uso AWS Directory Service mediante la descrizione: "interfaccia di rete AWS creata per directory directory-id». Per ulteriori informazioni, consulta Elastic Network Interfaces nella Amazon EC2 User Guide. Il server DNS predefinito di AWS Managed Microsoft AD Active Directory è il server DNS VPC presso Classless Inter-Domain Routing (CIDR) +2. Per ulteriori informazioni, consulta Amazon DNS server nella Amazon VPC User Guide.

  Nota

  Per impostazione predefinita, i controller di dominio sono distribuiti in due zone di disponibilità in una regione e connessi al tuo cloud privato virtuale (VPC) Amazon. I backup vengono eseguiti automaticamente una volta al giorno e i volumi Amazon Elastic Block Store (EBS) sono crittografati per garantire che i dati siano protetti quando sono inattivi. Iin caso di guasto, i controller di dominio vengono sostituiti automaticamente nella stessa zona di disponibilità utilizzando lo stesso indirizzo IP ed è possibile eseguire un ripristino di emergenza completo utilizzando il backup più recente.

Configurazione del DNS per Simple AD

Simple AD inoltra le richieste DNS all'indirizzo IP dei server DNS forniti da Amazon VPC. Questi server DNS risolvono i nomi configurati nelle zone ospitate private Amazon Route 53. Puntando i computer on-premise a Simple AD, ora puoi risolvere le richieste DNS nella zona ospitata privata. Per ulteriori informazioni su Route 53, consulta Che cos'è Amazon Route 53?.

Per abilitare il Simple AD alla risposta a query DNS esterne, devi configurare la lista di controllo degli accessi (ACL) di rete per il VPC contenente il Simple AD per consentire il traffico dall'esterno del VPC.

• Se non utilizzi le zone ospitate private Route 53, le richieste DNS vengono inoltrate a server DNS pubblici.

• Se si utilizzano server DNS personalizzati che sono al di fuori del VPC e si desidera utilizzare un DNS privato, sarà necessario riconfigurarli per l'utilizzo di server DNS personalizzati su istanze EC2 all'interno del VPC. Per ulteriori informazioni, consulta Utilizzo delle zone ospitate private.

• Se desideri che il Simple AD risolva i nomi utilizzando sia i server DNS all'interno del VPC sia quelli privati al di fuori del VPC, puoi utilizzare un set di opzioni DHCP. Per un esempio dettagliato, consulta questo articolo.

Nota

Gli aggiornamenti dinamici del DNS non sono supportati nei domini di Simple AD. È invece possibile apportare direttamente le modifiche collegandosi alla directory utilizzando DNS Manager su un'istanza che è stata aggiunta al dominio.