本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Simple AD 入門
Simple AD 會在雲端中建立完全受控、以 Samba 為基礎的 AWS 目錄。當您使用 Simple AD 建立目錄時,請代表您 AWS Directory Service 建立兩個網域控制站和 DNS 伺服器。網域控制站是在 Amazon VPC 的不同子網路中建立的,此冗餘有助於確保即使發生故障,您的目錄仍可存取。
主題
Simple AD 先決條件
要創建一個 Simple ADActive Directory,您需要一個具有以下內容的 Amazon VPC:
-
VPC 必須具有預設硬體租用。
-
VPC 不得設定下列 VPC 端點:
-
路由 53 VPC 人雲端端點,其中包含解析為非公用 IP 位址的 DNS 條件式覆寫 AWS
-
-
在兩個不同的可用區域中至少有兩個子網路。子網路必須位於相同的無類別網域間路由 (CIDR) 範圍內。如果您想要為您的目錄擴展或調整 VPC 的規模,則務必針對延伸的 VPC CIDR 範圍選取兩個網域控制站子網路。當您建立 Simple AD 時, AWS Directory Service 會代表您建立兩個網域控制站和 DNS 伺服器。
-
如需 CIDR 範圍的詳細資訊,請參閱 Amazon VPC 使用者指南中的 VPC 和子網路的 IP 定址。
-
-
如果您需要 Simple AD 的 LDAPS 支援,我們建議您使用連線至連接埠 389 的 Network Load Balancer 進行設定。此模型可讓您使用強式憑證進行 LDAPS 連線、透過單一 NLB IP 地址簡化 LDAPS 存取,並透過 NLB 自動容錯移轉。Simple AD 不支援在連接埠 636 上使用自簽章憑證。如需如何設定 LDAPS 與簡易 AD 的詳細資訊,請參閱 AWS AWS 安全部落格中的如何設定適用於簡易 AD 的 LDAPS 端點
一文。 -
您必須在目錄中啟用下列加密類型:
-
RC4_HMAC_MD5
-
AES128_HMAC_SHA1
-
AES256_HMAC_SHA1
-
未來加密類型
注意
停用這些加密類型可能會導致與 RSAT (遠端伺服器管理工具) 的通訊問題,並影響您目錄的可用性。
-
-
如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的什麼是 Amazon VPC?。
AWS Directory Service 使用兩個 VPC 結構。構成目錄的 EC2 執行個體在您的 AWS 帳戶之外執行,並由管理 AWS。其使用兩種網路轉接器,ETH0 和 ETH1。ETH0 是管理轉接器,而且位於您的帳戶外部。ETH1 則是建立於您的帳戶內部。
目錄的 ETH0 網路的管理 IP 範圍以程式設計方式選擇,以確保它不會與部署目錄的 VPC 發生衝突。此 IP 範圍可以是以下任一對 (因為目錄在兩個子網路中運作):
-
10.0.1.0/24 & 10.0.2.0/24
-
169.254.0.0/16
-
192.168.1.0/24 & 192.168.2.0/24
我們透過檢查 ETH1 CIDR 的第一個八位元組來避免衝突。如果以 10 開頭,則我們選擇具有 192.168.1.0/24 和 192.168.2.0/24 子網路並且地址為 192.168.0.0/16 的 VPC。如果第一個八位元位元組不是 10,我們會選擇具有 10.0.1.0/24 和 10.0.2.0/24 子網路並且地址為 10.0.0.0/16 的 VPC。
選取演算法不包含 VPC 上的路由。因此,這種情況可能會導致 IP 路由衝突。
創建您的 Simple AD Active Directory
若要建立新的 Simple ADActive Directory,請執行下列步驟。開始此程序之前,請確定您已完成 Simple AD 先決條件 中所示的必要條件。
若要建立 Simple AD Active Directory
-
在 AWS Directory Service 主控台
中,選擇目錄,然後選擇設定目錄。 -
在選取目錄類型頁面上,選擇 Simple AD,然後選擇下一步。
-
在 Enter directory information (輸入目錄資訊) 頁面上,提供下列資訊:
- Directory size (目錄大小)
-
選擇 Small (小型) 或 Large (大型) 尺寸選項。如需尺寸的詳細資訊,請參閱 Simple AD。
- 組織名稱
-
將用於登錄用戶端裝置的目錄的唯一組織名稱。
只有當您在啟動過程中建立目錄時,才能使用此欄位 WorkSpaces。
- 目錄 DNS 名稱
-
目錄的完全合格名稱,例如
corp.example.com。 - 目錄 NetBIOS 名稱
-
目錄的簡短名稱,例如:
CORP。 - Administrator password (管理員密碼)
-
目錄管理員的密碼。目錄建立程序會建立含有使用者名稱
Administrator與這組密碼的管理者帳戶。目錄管理者密碼區分大小寫,長度須介於 8 至 64 個字元之間。至少須有一位字元屬於以下四種類型中的三類:
-
小寫字母 (a-z)
-
大寫字母 (A-Z)
-
數字 (0-9)
-
非英數字元 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
-
- Confirm password (確認密碼)
-
重新輸入管理員密碼。
- 目錄描述
-
選擇填寫其他目錄說明。
-
在 Choose VPC and subnets (選擇 VPC 和子網路) 頁面上,提供下列資訊,然後選擇 Next (下一步)。
- VPC
-
目錄的 VPC。
- 子網
-
選擇網域控制站的子網路。這兩個子網路必須位於不同的可用區域。
-
在 Review & create (檢閱和建立) 頁面上檢閱目錄資訊,並進行必要的變更。若資訊無誤,請選擇 Create directory (建立目錄)。建立目錄需要幾分鐘的時間。建立後,Status (狀態) 值會變更為 Active (作用中)。
什麼得到與您的 Simple AD 創建 Active Directory
當您Active Directory使用 Simple AD 建立時,請代表您 AWS Directory Service 執行下列工作:
-
設定 VPC 內的 Samba 目錄。
-
建立含有使用者名稱
Administrator與指定密碼的目錄管理員帳戶。您可以使用此帳戶來管理目錄。重要
請務必儲存此密碼。 AWS Directory Service 不儲存此密碼,也無法擷取密碼。不過,您可以從 AWS Directory Service 主控台或使用 ResetUserPasswordAPI 重設密碼。
-
建立目錄控制器的安全群組。
-
建立具備網域管理員權限的帳戶,其名為
AWSAdminD-。此帳戶可用 AWS Directory Service 來執行目錄維護作業的自動化作業,例如擷取目錄快照和 FSMO 角色傳輸。此帳戶的登入資料會由 AWS Directory Service安全地存放。xxxxxxxx -
自動建立彈性網路介面 (ENI) 並將其與您的每個域控制站建立關聯。這些 ENI 中的每一個對於 VPC 和 AWS Directory Service 網域控制站之間的連線都是必不可少的,而且永遠不會刪除。您可以 AWS Directory Service 通過以下描述來識別所有保留用於的網絡接口:「為目錄目錄 ID AWS 創建的網絡接口」。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的彈性網路界面。 AWS 管理 Microsoft AD 的預設 DNS 伺服器Active Directory是無類別網域間路由 (CIDR) +2 下的 VPC 擬私人雲端 DNS 伺服器。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的 Amazon DNS 伺服器。
注意
依預設,域控制站會跨區域中的兩個可用區域部署,並連線至您的 Amazon Virtual Private Cloud (VPC)。每天自動進行一次備份,並且對 Amazon Elastic Block Store (EBS) 磁碟區進行加密,以確保靜態資料的安全。一旦域控制站發生故障,將在同一可用區域中使用相同的 IP 地址自動替換,並且可以透過最新的備份執行完整的災難復原。
設定 Simple AD 的 DNS
Simple AD 會將 DNS 請求轉送到 Amazon 為您 VPC 提供的 DNS 伺服器 IP 地址。這些 DNS 伺服器會解析您在 Amazon Route 53 私有託管區域中設定的名稱。只要將您的內部部署電腦指向您的 Simple AD,您就可以解析私有託管區域的 DNS 請求。如需 Route 53 的詳細資訊,請參閱什麼是 Route 53。
請注意,若要讓您的 Simple AD 回應外部 DNS 查詢,包含您 Simple AD 之 VPC 網路存取控制清單 (ACL) 必須設定成允許 VPC 以外的流量。
注意
Simple AD 域不支援 DNS 動態更新。您可以改使用已加入您網域之執行個體上的 DNS 管理員來連線到您的目錄,直接進行變更。
