Conceitos básicos do Simple AD - AWS Directory Service
Pré-requisitos do Simple ADCrie seu Simple AD Active DirectoryO que é criado com seu Simple AD Active DirectoryConfigurar o DNS para Simple AD

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conceitos básicos do Simple AD

O Simple AD cria um diretório totalmente gerenciado baseado em Samba na nuvem. AWS Quando você cria um diretório com o Simple AD, AWS Directory Service cria dois controladores de domínio e servidores DNS em seu nome. Os controladores de domínio são criados em diferentes sub-redes em uma Amazon VPC. Essa redundância ajuda a garantir que seu diretório permaneça acessível mesmo se ocorrer uma falha.

Pré-requisitos do Simple AD

Para criar um Simple ADActive Directory, você precisa de uma Amazon VPC com o seguinte:

  • A VPC deve ter uma locação de hardware padrão.

  • A VPC não deve estar configurada com os seguintes VPC endpoints:

  • Pelo menos duas sub-redes em duas zonas de disponibilidade diferentes. As sub-redes devem estar no mesmo intervalo de roteamento entre domínios sem classe (CIDR). Se você deseja estender ou redimensionar a VPC para seu diretório, certifique-se de selecionar as duas sub-redes do controlador de domínio para o intervalo estendido de CIDR da VPC. Quando você cria um Simple AD, AWS Directory Service cria dois controladores de domínio e servidores DNS em seu nome.

  • Se você precisar de suporte a LDAPS com o Simple AD, recomendamos configurá-lo usando um Network Load Balancer conectado à porta 389. Esse modelo permite que você use um certificado forte para a conexão LDAPS, simplifique o acesso ao LDAPS por meio de um único endereço IP do NLB e faça failover automático via NLB. O Simple AD não é compatível com o uso de certificados autoassinados na porta 636. Para obter mais informações sobre como configurar o LDAPS com o Simple AD, consulte Como configurar um endpoint do LDAPS para o Simple AD no Blog de segurança da AWS .

  • Os seguintes tipos de criptografia devem estar habilitados no diretório:

    • RC4_HMAC_MD5

    • AES128_HMAC_SHA1

    • AES256_HMAC_SHA1

    • Futuros tipos de criptografia

      nota

      Desabilitar esses tipos de criptografia pode causar problemas de comunicação com o RSAT (Remote Server Administration Tools) e afetar a disponibilidade ou o seu diretório.

  • Para obter mais informações, consulte O que é a Amazon VPC? no Guia do usuário da Amazon VPC.

AWS Directory Service usa uma estrutura de duas VPC. As instâncias do EC2 que compõem seu diretório são executadas fora da sua AWS conta e são gerenciadas pela AWS. Elas têm dois adaptadores de rede ETH0 e ETH1. ETH0 é o adaptador de gerenciamento e existe fora da sua conta. ETH1 é criado em sua conta.

O intervalo de IP de gerenciamento da ETH0 rede do seu diretório é escolhido de maneira programática para garantir que não entre em conflito com a VPC em que seu diretório está implantado. Esse intervalo de IP pode estar em qualquer um dos seguintes pares (já que os diretórios são executados em duas sub-redes):

  • 10.0.1.0/24 e 10.0.2.0/24

  • 169.254.0.0/16

  • 192.168.1.0/24 e 192.168.2.0/24

Evitamos conflitos verificando o primeiro octeto do CIDR ETH1. Se ele começar com 10, escolheremos uma VPC 192.168.0.0/16 com sub-redes 192.168.1.0/24 e 192.168.2.0/24. Se o primeiro octeto for diferente de 10, escolheremos uma VPC 10.0.0.0/16 com sub-redes 10.0.1.0/24 e 10.0.2.0/24.

O algoritmo de seleção não inclui rotas em sua VPC. Portanto, é possível que um conflito de roteamento IP resulte desse cenário.

Crie seu Simple AD Active Directory

Para criar um novo Simple ADActive Directory, execute as etapas a seguir. Antes de iniciar este procedimento, verifique se você concluiu os pré-requisitos identificados em Pré-requisitos do Simple AD.

Para criar um Simple AD Active Directory

  1. No painel de navegação do console do AWS Directory Service, escolha Diretórios e escolha Configurar diretório.

  2. Na página Selecionar tipo do diretório, escolha Simple AD e, em seguida, escolha Próximo.

  3. Na página Enter directory information (Inserir informações do diretório), forneça as seguintes informações:

    Tamanho do diretório

    Selecione a opção de tamanho Small (Pequeno) ou Large (Grande). Para obter mais informações sobre os tamanhos, consulte Simple AD.

    Nome da organização

    Um nome de organização exclusivo para seu diretório que será usado para registrar dispositivos clientes.

    Esse campo só estará disponível se você estiver criando seu diretório como parte do lançamento WorkSpaces.

    Nome do DNS do diretório

    O nome completo do diretório, como corp.example.com.

    Nome de NetBIOS do diretório

    O nome curto do diretório, como CORP.

    Senha do administrador

    A senha do administrador do diretório. O processo de criação do diretório cria uma conta de administrador com o nome de usuário Administrator e essa senha.

    A senha do administrador do diretório diferencia maiúsculas de minúsculas e deve ter de 8 a 64 caracteres, inclusive. Ela também precisa conter pelo menos um caractere de três das quatro categorias a seguir:

    • Letras minúsculas (a-z)

    • Letras maiúsculas (A-Z)

    • Números (0-9)

    • Caracteres não alfanuméricos (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Confirmar senha

    Digite a senha do administrador novamente.

    Descrição do diretório

    Uma descrição opcional do diretório.

  4. Na página Choose VPC and subnets (Selecionar VPC e sub-redes), forneça as seguintes informações e selecione Next (Próximo).

    VPC

    A VPC do diretório.

    Subredes

    Selecione as sub-redes para os controladores de domínio. As duas sub-redes deve estar em diferentes zonas de disponibilidade.

  5. Na página Review & create (Revisar e criar), analise as informações do diretório e faça as alterações necessárias. Quando as informações estiverem corretas, escolha Create directory (Criar diretório). A criação do diretório leva vários minutos. Depois de criado, o valor de Status é alterado para Ativo.

O que é criado com seu Simple AD Active Directory

Quando você cria um Active Directory com o Simple AD, AWS Directory Service executa as seguintes tarefas em seu nome:

  • Configura de um diretório baseado em Samba na VPC.

  • Cria de uma conta de administrador do diretório com o nome de usuário Administrator e a senha especificada. Use essa conta para gerenciar seu diretório.

    Importante

    Certifique-se de salvar essa senha. AWS Directory Service não armazena essa senha e ela não pode ser recuperada. No entanto, você pode redefinir uma senha no AWS Directory Service console ou usando a ResetUserPasswordAPI.

  • Cria um grupo de segurança para os controladores do diretório.

  • Crie uma conta com o nome AWSAdminD-xxxxxxxx que tenha privilégios de administração de domínio. Essa conta é usada AWS Directory Service para realizar operações automatizadas para operações de manutenção de diretórios, como tirar instantâneos do diretório e transferir funções FSMO. As credenciais para essa conta são armazenadas com segurança pelo AWS Directory Service.

  • Cria e associa automaticamente uma interface de rede elástica (ENI) a cada um dos controladores de domínio. Cada um desses ENIs é essencial para a conectividade entre sua VPC AWS Directory Service e os controladores de domínio e nunca deve ser excluído. Você pode identificar todas as interfaces de rede reservadas para uso com AWS Directory Service a descrição: "interface de rede AWS criada para id de diretório”. Para obter mais informações, consulte Elastic Network Interfaces no Guia do usuário do Amazon EC2. O servidor DNS padrão do Microsoft AD AWS gerenciado Active Directory é o servidor VPC DNS em Classless Inter-Domain Routing (CIDR) +2. Para obter mais informações, consulte o servidor Amazon DNS no Guia do usuário da Amazon VPC.

    nota

    Por padrão, os controladores de domínio são implantados em duas zonas de disponibilidade em uma região e conectados à sua Amazon Virtual Private Cloud (VPC). Os backups são feitos automaticamente uma vez por dia, e os volumes do Amazon Elastic Block Store (EBS) são criptografados para garantir que os dados estejam protegidos em repouso. Os controladores de domínio que falham são substituídos automaticamente na mesma zona de disponibilidade usando o mesmo endereço IP, e uma recuperação completa de desastres pode ser realizada usando-se o backup mais recente.

Configurar o DNS para Simple AD

O Simple AD encaminha as solicitações de DNS para o endereço IP dos servidores de DNS fornecidos pela Amazon para sua Amazon VPC. Esses servidores de DNS resolverão os nomes configurados nas zonas hospedadas privadas do Amazon Route 53. Ao apontar os computadores on-premises para o Simple AD, agora é possível resolver solicitações de DNS para a zona hospedada privada. Para obter mais informações sobre o Route 53, consulte O que é o Route 53.

Observe que para habilitar o Simple AD para responder a consultas de DNS externas, a lista de controle de acesso (ACL) da VPC que contém o Simple AD deve ser configurada para permitir tráfego de fora da VPC.

  • Se você não estiver usando zonas hospedadas privadas do Route 53, suas solicitações de DNS serão encaminhadas para servidores de DNS públicos.

  • Se você estiver usando servidores DNS personalizados que estão fora da sua VPC e quiser usar um DNS privado, deverá reconfigurar para usar servidores DNS personalizados nas instâncias do EC2 em sua VPC. Para obter mais informações, consulte Como trabalhar com zonas hospedadas privadas.

  • Se desejar que o Simple AD resolva nomes usando servidores de DNS em sua VPC e servidores de DNS privados fora de sua VPC, você poderá fazer isso usando um conjunto de opções de DHCP. Para obter um exemplo detalhado, consulte este artigo.

nota

As atualizações dinâmicas de DNS não são compatíveis com domínios do Simple AD. Você pode fazer alterações conectando-se diretamente ao seu diretório usando o Gerenciador DNS em uma instância que integrada em seu domínio.