本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Simple AD
Simple AD 是由 Samba 4 Active Directory Compatible Server 提供支持的独立托管目录。它具有两种大小。
+ 小型 - 支持最多 500 个用户 (大约 2000 个对象,包括用户、组和计算机)。
+ 大型 - 支持最多 5000 个用户 (大约 20000 个对象,包括用户、组和计算机)。
Simple AD 提供了 AWS 托管 Microsoft AD 提供的部分功能,包括管理用户账户和群组成员资格、创建和应用群组策略、安全连接亚马逊 EC2 实例以及提供基于 Kerberos 的单点登录 (SSO) 的功能。但是,请注意,Simple AD 不支持诸如多因素身份验证 (MFA)、与其他域的信任关系、Active Directory 管理中心 PowerShell 、支持、Active Directory 回收站、群组托管服务帐户以及 POSIX 和 Microsoft 应用程序的架构扩展等功能。
Simple AD 具备许多优势:
+ Simple AD 可以更轻松地[管理运行 Linux 和 Windows 的亚马逊 EC2 实例](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_join_instance.html)以及在 AWS 云中部署 Windows 应用程序。
+ 现在使用的很多需要 Microsoft Active Directory 支持的应用程序和工具可与 Simple AD 一起使用。
+ Simple AD 中的用户账户允许访问 AWS 应用程序 WorkSpaces,例如 WorkDocs、或 Amazon WorkMail。
+ 您可以通过基于 IAM 角色的访问权限来管理 AWS 资源。 AWS 管理控制台
+ 每日自动快照支持 point-in-time恢复。
Simple AD 不支持以下任何服务之一:
+ Amazon WorkSpaces 应用程序
+ Amazon Chime
+ Amazon FSx
+ Amazon RDS for SQL Server
+ Amazon RDS for Oracle
+ AWS IAM Identity Center
+ 与其他域的信任关系
+ Active Directory 管理中心
+ PowerShell
+ Active Directory 回收站
+ 组托管服务账户
+ 适用于 POSIX 和 Microsoft 应用程序的架构扩展
继续阅读本部分中的主题,了解如何创建自己的 Simple AD。
**Topics**
+ [Simple AD 入门](simple_ad_getting_started.md)
+ [Simple AD 的最佳实践](simple_ad_best_practices.md)
+ [维护 Simple AD 目录](simple_ad_maintain.md)
+ [保护 Simple AD 目录](simple_ad_security.md)
+ [监控 Simple AD 目录](simple_ad_monitor.md)
+ [通过 Simple AD 访问 AWS 应用程序和服务](simple_ad_manage_apps_services.md)
+ [将 Amazon EC2 实例加入到您的 Simple AD 的方法](simple_ad_join_instance.md)
+ [Simple AD 中的用户和组管理](simple_ad_manage_users_groups.md)
+ [Simple AD 限额](simple_ad_limits.md)
+ [Simple AD 问题排查](simple_ad_troubleshooting.md)
# Simple AD 入门
Simple AD 在云中创建一个完全托管的、基于 Samba 的 AWS 目录。使用 Simple AD 创建目录时, Directory Service 会代表您创建两个域控制器和 DNS 服务器。域控制器在 Amazon VPC 的不同子网中创建;此冗余帮助确保即使在出现故障时您的目录仍可访问。
**Topics**
+ [Simple AD 先决条件](#prereq_simple)
+ [创建 Simple AD](#how_to_create_simple_ad)
+ [随 Simple AD 创建的内容](simple_ad_what_gets_created.md)
## Simple AD 先决条件
要创建 Simple AD Active Directory,需要一个满足以下条件的 Amazon VPC:
+ VPC 必须具有默认硬件租户。
您可以将其 IPv6 用于您的 VPC。有关更多信息,请参阅《*Amazon Virtual Private Cloud 用户指南》*[中对您的 VPC 的IPv6 支持](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html)。
+ 至少有两个子网位于两个不同的可用区,但网络类型必须相同。这两个子网必须处于同一无类别域间路由(CIDR)范围内。如果您想针对您的目录扩展或调整 VPC 大小,请确保为扩展的 VPC CIDR 范围同时选择这两个域控制器子网。当您创建 Simple AD 时, Directory Service 将代表您创建两个域控制器和 DNS 服务器。
+ 有关 CIDR 范围的更多信息,请参阅 Amazon *VPC 用户*指南中的[您的 VPCs 和子网的 IP 地址](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-ip-addressing.html)。
+ 如果您需要 Simple AD 支持 LDAPS,我们建议您使用连接到端口 389 的网络负载均衡器进行配置。通过此模型,可以针对 LDAPS 连接使用强证书,通过单个 NLB IP 地址简化对 LDAPS 的访问,并通过 NLB 自动进行故障转移。Simple AD 不支持在端口 636 上使用自签名证书。有关如何针对 Simple AD 配置 LDAPS 的更多信息,请参阅 **AWS 安全博客中的 [How to configure an LDAPS endpoint for Simple AD](https://aws.amazon.com/blogs/security/how-to-configure-ldaps-endpoint-for-simple-ad/)。
+ 在目录中,必须启用下列加密类型:
+ RC4\$1HMAC\$1 MD5
+ AES128\$1HMAC\$1 SHA1
+ AES256\$1HMAC\$1 SHA1
+ 未来的加密类型
**注意**
禁用这些加密类型会导致与 RSAT (远程服务器管理工具) 的通信问题,并影响可用性或您的目录。
+ 有关更多信息,请参阅《Amazon VPC 用户指南》**中的[什么是 Amazon VPC?](https://docs.aws.amazon.com//vpc/latest/userguide/what-is-amazon-vpc.html)。
Directory Service 使用双 VPC 结构。构成您目录的 EC2 实例在您的 AWS 账户之外运行,并由管理 AWS。其有 `ETH0` 和 `ETH1` 两个网络适配器。`ETH0` 是管理适配器,存在于您的账户之外。`ETH1` 在您的账户内创建。
目录的 `ETH0` 网络的管理 IP 范围以编程方式选择,以确保其不会与部署目录的 VPC 发生冲突。此 IP 范围可以是以下任一对(因为目录在两个子网中运行):
+ 10.0.1.0/24 和 10.0.2.0/24
+ 169.254.0.0/16
+ 192.168.1.0/24 和 192.168.2.0/24
我们通过检查 `ETH1` CIDR 的第一个八位字节来避免冲突。如果以 10 开头,那么我们就选择一个 192.168.0.0/16 VPC,其子网为 192.168.1.0/24 和 192.168.2.0/24。如果第一个八位字节不是 10,则我们选择一个 10.0.0.0/16 VPC,其子网为 10.0.1.0/24 和 10.0.2.0/24。
选择算法不包括您 VPC 上的路由。因此,这种情况可能会导致 IP 路由冲突。
**重要**
如果在创建 Simple AD 后更改了任何 Simple AD 先决条件,则您的 Simple AD 可能会**受损**。要解决 Simple AD 的**受损**状态,需要联系 [AWS 支持](https://aws.amazon.com/premiumsupport/)。
## 创建 Simple AD
此过程将指导您完成创建 Simple AD 所需的全部步骤。其目的是让您快速轻松地开始使用 Simple AD,但不适用于大规模生产环境。
**Topics**
+ [先决条件](#gsg_prereqs)
+ [创建适用于您的 Simple AD 的 Amazon VPC 并进行配置](#gsg_create_vpc)
+ [创建 Simple AD](#gsg_create_directory)
### 先决条件
此过程作出以下假设:
+ 您已经有一个活动 AWS 账户。
+ 在您想要使用 Simple AD VPCs 的区域,您的账户尚未达到亚马逊账户的上限。有关 VPC 的更多信息,请参阅《Amazon VPC 用户指南》**中的 [Amazon VPC 是什么?](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html)以及 [VPC 中的子网](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#VPCSubnet)。
+ 您在 CIDR 为 `10.0.0.0/16` 的区域中没有现有 VPC。
+ 您所在区域中存在可用的 Simple AD。有关更多信息,请参阅 [的地区可用性 Directory Service](regions.md)。
有关更多信息,请参阅 [Simple AD 先决条件](#prereq_simple)。
### 创建适用于您的 Simple AD 的 Amazon VPC 并进行配置
首先,您需要创建要与您的 Simple AD 结合使用的 Amazon VPC 并进行配置。在开始此过程之前,请确保您已完成 [先决条件](#gsg_prereqs)
您要创建的 VPC 将有两个公有子网。 Directory Service 在您的 VPC 中需要两个子网,并且每个子网必须位于不同的可用区中。
**创建 VPC**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在 **VPC 控制面板**上,选择**创建 VPC**。
1. 在 **VPC 设置**页面上,选择 **VPC 等**。
1. 完成字段,如下所示:
+ 将**名称标签自动生成**下的**自动生成的**保持选中状态。将**项目**更改到 `ADS VPC`。
+ **IPv4 CIDR 块**应该是。`10.0.0.0/16`
+ 保持 “**无 IPv6 CIDR 阻止**” 选项处于选中状态。
+ **租赁**应保持为**默认**。
+ 选择 **2** 作为**可用区数量 (AZs)**。
+ 对于**公有子网数量**,选择 **2**。**私有子网的数量**可以更改为 0。
+ 选择**自定义子网 CIDR 块**以配置公有子网 IP 地址范围。公有子网 CIDR 块应为 `10.0.0.0/20` 和 `10.0.16.0/20`。
1. 选择**创建 VPC**。创建 VPC 需要几分钟时间。
### 创建 Simple AD
要创建新的 Simple AD,请执行以下步骤。在开始此过程之前,请确保您已完成[先决条件](#gsg_prereqs)和[创建适用于您的 Simple AD 的 Amazon VPC 并进行配置](#gsg_create_vpc)中的以下步骤。
**创建 Simple AD**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**,然后选择**设置目录**。
1. 在**选择目录类型**页面上,选择 **Simple AD**,然后选择**下一步**。
1. 在**输入目录信息**页面上,提供以下信息:
**目录大小**
从**小型**或**大型**大小选项中进行选择。有关大小的更多信息,请参阅[Simple AD](directory_simple_ad.md)。
**组织名称**
您的目录的唯一组织名称,将用于注册客户端设备。
只有在启动时创建目录时,此字段才可用 WorkSpaces。
**目录 DNS 名称**
目录的完全限定名称,例如 `corp.example.com`。
**目录 NetBIOS 名称**
目录的短名称,如 `CORP`。
**管理员密码**
目录管理员的密码。目录创建过程将使用用户名 `Administrator` 和此密码创建一个管理员账户。
目录管理员密码区分大小写,且长度必须介于 8 到 64 (含) 个字符之间。至少,它还必须包含下列四种类别中三种类别的一个字符:
+ 小写字母 (a-z)
+ 大写字母 (A-Z)
+ 数字 (0-9)
+ 非字母数字字符 (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
**确认密码**
重新键入管理员密码。
请务必保存此密码。 Directory Service 不存储此密码,也无法找回。但是,您可以通过 Directory Service 控制台或使用 [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API 重置密码。
**目录描述**
目录的可选描述。
1. 在 **Choose VPC and subnets (选择 VPC 和子网)** 页面上,提供以下信息,然后选择 **Next (下一步)**。
**VPC**
目录的 VPC。
**子网**
为域控制器选择子网。两个子网必须位于不同的可用区。
1. 在 **Review & create (检查并创建)** 页面上,检查目录信息并进行任何必要的更改。如果信息正确,请选择 **Create directory (创建目录)**。目录创建需要几分钟时间。创建后,**Status** 值将更改为 **Active**。
有关随 Simple AD 创建的内容的更多信息,请参阅[随 Simple AD 创建的内容](simple_ad_what_gets_created.md)。
# 随 Simple AD 创建的内容
使用 Simple AD 创建活动目录时, Directory Service 会代表您执行以下任务:
+ 在 VPC 中设置基于 Samba 的目录。
+ 创建具有用户名 `Administrator` 和指定密码的目录管理员账户。您可以使用此账户管理您的目录。
**重要**
请务必保存此密码。 Directory Service 不存储此密码,也无法找回。但是,您可以通过 Directory Service 控制台或使用 [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API 重置密码。
+ 为目录控制器创建安全组。
+ 创建一个名为 `AWSAdminD-xxxxxxxx` 具有域管理员权限的账户。此帐户用于执行目录维护操作的自动操作,例如拍摄目录快照和 FSMO 角色 Directory Service 转移。此账户的凭证由 Directory Service进行安全存储。
+ 自动创建弹性网络接口(ENI)并将其与每个域控制器相关联。它们中的每一个都对您 ENIs 的 VPC 和 Directory Service 域控制器之间的连接至关重要,切勿将其删除。您可以 Directory Service 通过描述来标识所有保留供使用的网络接口:“为*目录目录 ID AWS * 创建的网络接口”。有关更多信息,请参阅 *Amazon EC2 用户指南*中的[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)。Microsoft AD Active Directory AWS 托管的默认 DNS 服务器是无类域间路由 (CIDR) \$12 的 VPC DNS 服务器。有关更多信息,请参阅《Amazon VPC 用户指南》**中的 [Amazon DNS 服务器](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#AmazonDNS)。
**注意**
默认情况下,域控制器部署在一个区域的两个可用区,并连接到您的 Amazon 虚拟私有云(VPC)。每天自动备份一次,且加密 Amazon Elastic Block Store(EBS)卷以确保静态数据的安全。出现故障的域控制器会在同一可用区中使用相同的 IP 地址自动替换,并且可以使用最新的备份执行完全灾难恢复。
# Simple AD 的最佳实践
为避免问题并充分利用 Simple AD,您应该考虑以下建议和准则。
## 设置:先决条件
创建目录之前请考虑以下这些准则。
### 验证目录类型是否正确
Directory Service 提供了多种与其他 AWS 服务Microsoft Active Directory配合使用的方式。您可以根据预算成本选择具有适当功能的目录服务以满足您的需求:
+ **AWS 微软目录服务 Active Directory** 是一款托管在云端的功能丰富的Microsoft Active Directory托管服务。 AWS AWS 如果您拥有超过 5,000 个用户,并且需要在托管目录和本地目录之间建立信任关系,那么 AWS 托管 Microsoft AD 是您的最佳选择。
+ **AD Con** nector 只需将您现有的本地活动目录连接到 AWS。当您想要将现有本地目录与 AWS 服务一起使用时,AD Connector 是您的最佳选择。
+ **Simple AD** 是一种小规模、低成本的目录,具有基础的 Active Directory 兼容性。其支持 5000 个或更少的用户、兼容 Samba 4 的应用程序,并支持 LDAP 感知型应用程序的 LDAP 兼容性。
有关 Directory Service 选项的更详细比较,请参阅[选择哪一个](what_is.md#choosing_an_option)。
### 确保您的 VPCs 和实例配置正确
为了连接、管理和使用您的目录,必须正确配置与 VPCs 这些目录关联的。有关 VPC 安全和网络要求的信息,请参阅 [创建 AWS 托管 Microsoft AD 的先决条件](ms_ad_getting_started.md#ms_ad_getting_started_prereqs)、[AD Connector 先决条件](ad_connector_getting_started.md#prereq_connector) 或 [Simple AD 先决条件](simple_ad_getting_started.md#prereq_simple)。
如果要将实例添加到域,请确保您具有实例连接并且可以远程访问实例,如[将 Amazon EC2 实例加入您的 AWS 托管微软 AD 的方法](ms_ad_join_instance.md) 中所述。
### 注意限制
了解特定目录类型的各种限制。对象的可用存储空间和总大小是可以存储在目录中的对象数量的唯一限制。有关所选目录的详细信息,请参阅 [AWS 托管微软 AD 配额](ms_ad_limits.md)、[AD Connector 配额](ad_connector_limits.md) 或 [Simple AD 限额](simple_ad_limits.md)。
### 了解目录 AWS 的安全组配置并使用
AWS 创建[安全组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule)并将其附加到目录的域控制器[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)。 AWS 将安全组配置为阻止不必要的目录流量并允许必要的流量。
#### 修改目录安全组
可修改目录的安全组,但只有在完全了解安全组筛选时才可以这么做。有关更多信息,请参阅《Amazon EC2 用户指南》**中的[适用于 Linux 实例的 Amazon EC2 安全组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)。不当的更改可能会中断与目标计算机和实例的通信。 AWS 建议不要为目录打开其他端口,因为这会降低安全性。在进行更改之前,请查看 [AWS 责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)。
**警告**
从技术上来说,您可以将目录的安全组与您创建的其他 EC2 实例关联。但是, AWS 建议不要这样做。 AWS 可能有理由在不另行通知的情况下修改安全组,以满足托管目录的功能或安全需求。此类更改会影响您将目录安全组关联到的任何实例,并可能中断关联实例的操作。此外,将目录安全组与您的 EC2 实例关联可能为 EC2 实例带来潜在的安全风险。
### 如果需要信任,请使用 AWS 托管 Microsoft AD
Simple AD 不支持信任关系。如果你需要在你的 Directory Service 目录和其他目录之间建立信任,你应该使用适用于 Microsoft Active Directory 的 AWS 目录服务。
## 设置:创建目录
下面是创建目录时应考虑的一些建议。
### 记住管理员 ID 和密码
设置目录时,需要提供管理员账户的密码。此账户 ID 是 Simple AD 的 *管理员* ID。请记住为此账户创建的密码;否则无法向您的目录中添加对象。
### 了解 AWS 应用程序的用户名限制
Directory Service 为大多数可用于构建用户名的字符格式提供支持。但是,对于用于登录 AWS 应用程序(例如、、Amazon WorkMail 或 Quick)的用户名有一些字符限制。 WorkSpaces WorkDocs这些限制要求不使用以下字符:
+ 空间
+ 多字节字符
+ \$1"\$1\$1%&'()\$1\$1,/:;<=>?@[\$1]^`\$1\$1\$1\$1
**注意**
仅允许在 UPN 后缀之前使用 @ 符号。
## 为您的应用程序编程
在为您的应用程序编程之前,请考虑以下事项:
### 使用 Windows DC 定位器服务
开发应用程序时,请使用 Windows DC 定位器服务或使用 AWS 托管 Microsoft AD 的动态 DNS (DDNS) 服务来定位域控制器 (DCs) ()。请勿使用 DC 的地址对应用程序进行硬编码。DC 定位器服务有助于确保分配目录负载,使您能够通过将域控制器添加到部署来利用水平扩展。如果您将应用程序绑定到固定的 DC,并且该 DC 正在进行修补或恢复,则您的应用程序将无法访问该 DC,而不是使用其余的 DC 之一。 DCs而且,DC 的硬编码可能导致在单一 DC 上出现热点。情况严重时,热点可能导致您的 DC 无法响应。此类情况还可能导致 AWS 目录自动化将目录标记为受损,并可能触发替换无响应的 DC 的恢复进程。
### 交付生产之前的负载测试
请务必对代表您的生产工作负载的对象和请求执行实验室测试,以确认目录将扩展至您的应用程序负载。如果您需要更多容量,则应使用 Directory Service Microsoft Active Directory,它允许您添加域控制器以获得高性能。有关更多信息,请参阅 [为你的 AWS 托管 Microsoft AD 部署额外的域控制器](ms_ad_deploy_additional_dcs.md)。
### 使用高效的 LDAP 查询
对域控制器进行的针对数千个对象的广泛 LDAP 查询在单个 DC 中会产生明显的 CPU 周期消耗,从而导致热点。这可能影响在查询期间共享同一 DC 的应用程序。
# 维护 Simple AD 目录
您可以使用 AWS 管理控制台 来维护您的 Simple AD 并完成 day-to-day管理任务。维护 Simple AD 的方法包括:
+ [查看有关 Simple AD 的详细信息](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_view_directory_info.html),例如 DNS 名称、目录 ID 和目录状态。
+ [更新 Simple AD 的 DNS 地址](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_dns.html)。
+ [使用快照还原 Simple AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_snapshots.html)。您也可以创建快照和删除快照。
+ 当不再需要时,[删除您的 Simple AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_delete.html)。
# 查看 Simple AD 目录信息
**查看详细目录信息**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格的 **Active Directory** 下,选择**目录**。
1. 选择目录的目录 ID 链接。有关目录的信息显示在**目录详细信息**页面中。
有关 **Status** 字段的更多信息,请参阅[了解 Simple AD 目录状态](simple_ad_directory_status.md)。
![\[Simple AD 目录详细信息页面。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/simple_ad_directory_details.png)
# 更新目录网络类型
您可以将 Directory Service 目录的网络类型从更新 IPv4 为双栈(IPv4 和 IPv6)。更新网络类型以包含 IPv6 IP 地址所提供的地址空间大于 IPv4。 IPv4 而且 IPv6 沟通是相互独立的。
有关详细信息,请参阅[比较 IPv4 和 IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/ipv4-ipv6-comparison.html) *Amazon Virtual Private Cloud 用户指南*。
**重要**
这是单向操作,无法撤消。请先在非生产环境中测试。
## 先决条件
在更新目录网络类型之前,务必确保满足以下要求:
+ 您的 VPC 必须配置 IPv6 CIDR 范围。有关详细信息,请参阅《*Amazon Virtual Private Cloud 用户指南》*[中对您的 VPC 的IPv6 支持](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html)。
+ 拥有对 AWS 管理控制台的管理权限。
+ 目录必须处于活动状态。
+ 您拥有相应的 IAM 权限来修改 Directory Service 设置。
## 更新目录网络类型
**将目录更新为双栈网络**
**注意**
如果目录复制至多个区域,请在每个区域执行此更新。
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 选择目标目录。
1. 转到**网络和安全**选项卡。
1. 选择 “**添加 IPv6 支持**”。此选项仅适用于仅限目录 IPv4的目录。
IPv6 仅不支持目录。
1. 查看更新信息和定价详细信息。
1. 选择**添加**以确认更新。
启动更新后,目录状态在更新过程中变为**正在更新**。更新通常需要 15-30 分钟才能完成。完成后,目录状态将恢复为**活动**。
# 为 Simple AD 配置 DNS 服务器
根据您的网络架构和要求,您可以通过两种方式为 Simple AD 配置 DNS。
## 使用 Simple AD 作为主要 DNS
将您的客户端计算机配置为使用 Simple AD DNS 服务器 IP 地址作为其主 DNS 解析器。Simple AD 会将 DNS 请求转发到 Amazon 针对 Amazon VPC 提供的 DNS 服务器的 IP 地址。这些 DNS 服务器将解析在 Amazon Route 53 私有托管区中配置的名称。通过将您的本地计算机指向 Simple AD,您现在可以将 DNS 请求解析到私有托管区。有关 Route 53 的更多信息,请参阅[什么是 Route 53?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)。
在 Simple AD 创建 Simple AD 期间,该服务会对亚马逊进行可访问性测试,以确定要使用哪个 DNS 解析器:
+ **客户 VPC DNS 解析器 (ETH1)** — 当客户 VPC 解析器可以访问亚马逊时选择。此选项启用 Route 53 私有托管区域和解析器防火墙规则。
+ **亚马逊内部解析器 (ETH0)** — 在买家 VPC DNS 解析器 () 无法访问亚马逊时选择。ETH1使用此选项,Route 53 集成、私有托管区域和解析器防火墙规则将不起作用。
**重要**
DNS 解析器选择在 Simple AD 创建期间自动生成,之后无法修改。我们建议您在创建 Simple AD 以启用 Route 53 集成之前,确保您的 VPC 中可以解析亚马逊网站。
## 使用 Route 53 作为主要 DNS
您也可以使用 Route 53 作为您的主要 DNS 服务:
+ 将您的客户端计算机配置为使用 Route 53 解析器 IP 地址作为其主 DNS 解析器
+ 创建 Route 53 解析器规则,以便有条件地仅将您域的完全限定域名 (FQDN) 查询转发到 Simple AD
+ 这种方法将 Route 53 保留为权威 DNS 来源,而 Simple AD 仅处理特定域的查询
请注意,要使 Simple AD 能够响应外部 DNS 查询,必须将包含 Simple AD 的 VPC 的网络访问控制列表(ACL)配置为允许来自 VPC 外部的流量。
+ 如果您没有使用 Route 53 私有托管区,DNS 请求将被转发到公有 DNS 服务器。
+ 如果您使用的是 VPC 之外的自定义 DNS 服务器,并且想要使用私有 DNS,则必须重新配置为在 VPC 内的 EC2 实例上使用自定义 DNS 服务器。有关更多信息,请参阅[使用私有托管区域](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html)。
+ 如果您想让 Simple AD 同时使用 VPC 中的 DNS 服务器以及 VPC 外部的私有 DNS 服务器解析名称,则可以使用 DHCP 选项集执行此操作。有关详细示例,请参阅[此文章](https://aws.amazon.com/blogs/security/how-to-set-up-dns-resolution-between-on-premises-networks-and-aws-using-aws-directory-service-and-amazon-route-53/)。
+ [将您的 DN Directory Service' S 解析与 Amazon Route 53 Resolver](https://aws.amazon.com/blogs/networking-and-content-delivery/integrating-your-directory-services-dns-resolution-with-amazon-route-53-resolvers/).
**注意**
Simple AD 域中不支持 DNS 动态更新。可以改为通过在加入域的实例上使用 DNS 管理器连接到目录,直接进行更改。
# 使用快照还原 Simple AD
AWS Directory Service 提供了为 Simple AD 目录手动拍摄数据快照的功能。这些快照可用于 point-in-time恢复您的目录。无法拍摄 AD Connector 目录的快照。
**Topics**
+ [为目录创建快照](#simple_ad_snapshot_create)
+ [从快照还原目录](#simple_ad_snapshot_restore)
+ [删除快照](#simple_ad_snapshot_delete)
## 为目录创建快照
快照可以用于将目录还原到拍摄快照的时间点时的状态。要创建目录的手动快照,请执行以下步骤。
**注意**
对于每个目录,限制为 5 个手动快照。如果已达到此限制,必须先删除一个现有手动快照才能创建另一个快照。
**创建手动快照**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 在**目录**页面上,选择您的目录 ID。
1. 在**目录详细信息**页面上,选择**维护**选项卡。
1. 在**快照**部分中,选择**操作**,然后选择**创建快照**。
1. 在**创建目录快照**对话框中,提供快照的名称(如果需要)。就绪后,选择**创建快照**。
根据目录的大小,可能需要几分钟时间来创建快照。快照准备就绪之后,**Status** 值更改为 `Completed`。
## 从快照还原目录
从快照还原目录等效于将目录移动回到以前的时间。目录快照在创建它们的目录中是唯一的。快照只能恢复到创建它们的目录。此外,手动快照支持的最长期限为 180 天。有关更多信息,请参阅 Microsoft 网站上的 [Active Directory 的系统状态备份的有用保质期](https://learn.microsoft.com/en-us/troubleshoot/windows-server/backup-and-storage/shelf-life-system-state-backup-ad)。
**警告**
我们建议您在恢复快照之前联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/);我们可以帮助您避免进行快照还原。任何快照还原都会导致数据丢失,因为它们是一些时间点。在还原操作完成之前,与该目录关联的所有 DCs 和 DNS 服务器都将处于脱机状态,这一点很重要。
要从快照还原目录,请执行以下步骤。
**从快照还原目录**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 在**目录**页面上,选择您的目录 ID。
1. 在**目录详细信息**页面上,选择**维护**选项卡。
1. 在**快照**部分,在列表中选择一个快照,选择**操作**,然后选择**还原快照**。
1. 查看**还原目录快照**对话框中的信息,然后选择**还原**。
对于 Simple AD 目录,可能需要几分钟时间来还原目录。目录成功还原之后,**状态**值会更改为 `Active`。会覆盖快照日期之后对目录进行的任何更改。
## 删除快照
**删除快照**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 在**目录**页面上,选择您的目录 ID。
1. 在**目录详细信息**页面上,选择**维护**选项卡。
1. 在**快照**部分中,选择**操作**,然后选择**删除快照**。
1. 确认您要删除快照,然后选择**删除**。
# 删除 Simple AD
删除 Simple AD 时,所有目录数据和快照都会被删除,并且无法恢复。删除目录之后,加入到目录的所有实例都保持不变。但是,不能使用目录凭证登录这些实例。需要使用实例的本地用户账户登录这些实例。
删除 AWS 托管的 Microsoft AD、Simple AD 或混合目录时,所有目录数据和快照都将被删除且无法恢复。删除目录之后,加入到目录的所有实例都保持不变。但是,不能使用目录凭证登录这些实例。需要使用实例的本地用户账户登录这些实例。
删除 AD Connector 时,本地目录保持不变。加入到目录的所有实例也保持不变,并保持加入本地目录。仍可以使用目录凭证登录这些实例。
**删除目录**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。确保您位于活动目录的部署 AWS 区域 位置。有关更多信息,请参阅[选择区域](https://docs.aws.amazon.com//awsconsolehelpdocs/latest/gsg/select-region.html)。
1. 确保未为要删除的目录启用任何 AWS 应用程序。启用的 AWS 应用程序将阻止你删除 AWS 托管的 Microsoft AD 或 Simple AD。
1. 在**目录**页面上,选择您的目录 ID。
1. 在 **Directory details (目录详细信息)** 页面上,选择 **Application management (应用程序管理)** 选项卡。在 “**AWS 应用程序和服务**” 部分,您可以看到您的目录启用了哪些 AWS 应用程序。
+ 禁用 AWS 管理控制台 访问权限。有关更多信息,请参阅 [禁用 AWS 管理控制台 访问权限](ms_ad_management_console_access.md#console_disable)。
+ 要禁用 Amazon WorkSpaces,您必须从 WorkSpaces 控制台的目录中取消注册该服务。有关更多信息,请参阅《*Amazon WorkSpaces 管理指南*》中的[删除目录](https://docs.aws.amazon.com/workspaces/latest/adminguide/delete-workspaces-directory.html)。
+ 要禁用 WorkDocs,您必须在 WorkDocs控制台中删除该 WorkDocs 站点。有关更多信息,请参阅《*Amazon WorkDocs 管理指南*》中的[删除网站](https://docs.aws.amazon.com/workdocs/latest/adminguide/delete_site.html)。
+ 要禁用亚马逊 WorkMail,您必须在亚马逊 WorkMail 控制台中删除亚马逊 WorkMail 组织。有关更多信息,请参阅《*Amazon WorkMail 管理员指南*》中的[移除组织](https://docs.aws.amazon.com/workmail/latest/adminguide/remove_organization.html)。
+ 要禁 FSx 用 Windows 版亚马逊 File Server,您必须从域中删除亚马逊 FSx 文件系统。有关更多信息,请参阅《*亚马逊 FSx 版 Windows 文件服务器用户指南》[中的 “使用 FSx 适用于 Windows 文件服务器的 Activ](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/aws-ad-integration-fsxW.html) e D* irectory”。
+ 要禁用 Amazon Relational Database Service,必须从域中移除 Amazon RDS 实例。有关更多信息,请参阅《Amazon RDS 用户指南》**中的[在域中管理数据库实例](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_SQLServerWinAuth.html#USER_SQLServerWinAuth.Managing)。
+ 要禁用 AWS Client VPN 服务,必须从 Client VPN 端点中删除目录服务。有关更多信息,请参阅《AWS Client VPN 管理员指南》**中的[使用客户端 VPN](https://docs.aws.amazon.com//vpn/latest/clientvpn-admin/cvpn-working.html)。
+ 要禁用 Amazon Connect,必须删除 Amazon Connect 实例。有关更多信息,请参阅《Amazon Connect 管理指南》**中的[删除 Amazon Connect 实例](https://docs.aws.amazon.com/connect/latest/adminguide/delete-connect-instance.html)。
+ 要禁用 Amazon Quick,您必须取消订阅 Amazon Quick。有关更多信息,请参阅《*Amazon 快速用户指南*》中的[关闭 Amazon Quick 账户](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html)。
**注意**
如果您正在使用 AWS IAM Identity Center 并且之前已将其连接到计划删除的 AWS 托管 Microsoft AD 目录,则必须先更改身份源,然后才能将其删除。有关更多信息,请参阅《IAM Identity Center User Guide》**中的 [Change your identity source](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-change.html)。
1. 在导航窗格中,选择**目录**。
1. 仅选择要删除的目录,然后单击**删除**。删除目录需要几分钟时间。目录删除之后,它会从目录列表中删除。
# 保护 Simple AD 目录
本部分介绍了保护 Simple AD 环境的注意事项。
**Topics**
+ [如何重置 Simple AD krbtgt 账户密码](#simple_ad_reset_krbtgt_acct_pswd)
## 如何重置 Simple AD krbtgt 账户密码
krbtgt 账户在 Kerberos 票证交换中起着重要的作用。krbtgt 账户是用于 Kerberos 票证授予票证(TGT)加密的特殊账户,它对于 Kerberos 身份验证协议的安全性发挥着至关重要的作用。在 Samba AD 中,krbtgt 表示为(已禁用的)用户账户。此账户的密码是在配置域时随机生成的。访问此密钥可能会导致无法检测到整个域泄露,因为无需审核即可打印新的 Kerberos 票证。有关更多信息,请参阅 [Samba 文档](https://wiki.samba.org/index.php/Samba_Security_Documentation#Particularly_critical_secret_attributes)。
建议每 90 天定期更改一次此密码。您可以重置已加入 Simple AD 的 Amazon EC2 Windows 实例的 krbtgt 账户密码。
**注意**
AWS Simple AD 由 Samba-ad 提供支持。Samba-AD 不存储 krbtgt 账户的 N-1 哈希值。因此,重置 krbtgt 账户密码后,Kerberos 客户端需要在下一次服务票证(ST)请求期间协商新的票证授予票证(TGT)。为了最大限度地减少潜在的服务中断,您应该计划在工作时间以外进行 krbtgt 账户密码重置。这种方法可以减轻对持续运营的影响,并确保身份验证能顺利持续地进行。
以下过程显示了如何通过 Amazon EC2 实例 Windows 重置 krbtgt 账户密码。
**先决条件**
+ 在开始此过程之前,请完成以下操作:
+ 您已通过域将 EC2 实例加入 Simple AD 目录。
+ 有关如何将 EC2 Windows 实例加入 Simple AD 的更多信息,请参阅[将 Amazon EC2 Windows 实例加入 Simple AD Active Directory](simple_ad_launching_instance.md)。
+ 您拥有 Simple AD 目录管理员凭证。您将以 Simple AD 目录管理员身份登录来执行此过程。
**注意**
有些公司, AWS 服务 比如亚马逊 WorkDocs 和亚马逊 WorkSpaces,会代表你制作一个 Simple AD。
**重置 Simple AD krbtgt 账户密码**
1. 打开位于 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 的 Amazon EC2 控制台。
1. 在 Amazon EC2 控制台中,选择**实例**,然后选择 Windows 实例。然后选择**连接**。
1. 在**连接到实例**页面中,选择 **RDP 客户端**。
1. 在 **Windows 安全**对话框中,复制 Windows Server 计算机的本地管理员凭证以登录。用户名可以采用以下格式:`NetBIOS-Name\administrator` 或 `DNS-Name\administrator`。例如,如果您按照[创建 Simple AD](simple_ad_getting_started.md#how_to_create_simple_ad) 中的过程进行操作,则用户名将为 `corp\administrator`。
1. 登录 Windows Server 计算机后,从“开始”菜单中选择 **Windows 管理工具**文件夹,以打开 **Windows 管理工具**。
![\[Windows Server start menu showing administrative tools and system management options.\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_5.png)
1. 在“Windows 管理工具”控制面板中,通过选择 **Active Directory 用户和计算机**,打开 **Active Directory 用户和计算机**。
![\[Windows Administrative Tools dashboard showing various system management shortcuts.\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_6.png)
1. 在 **Active Directory 用户和计算机**窗口中,选择**查看**,然后选择**启用高级功能**。
![\[View menu options in a software interface, with "Advanced Features" selected.\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_7.png)
1. 在 **Active Directory 用户和计算机**窗口中,从左侧面板中选择**用户**。
![\[Active Directory Users and Computers folder structure with Users folder highlighted.\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_8.png)
1. 找到名为 **krbtgt** 的用户,右键单击该用户并选择**重置密码**。
![\[Context menu with options including Reset Password, Move, Open Home Page, and Send Mail.\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_9.png)
1. 在新窗口中,输入新密码,再次输入新密码,然后选择**确定**以重置 krbtgt 账户密码。
![\[Password reset dialog with fields for new password, confirmation, and account options.\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_10.png)
1. 在“Windows 管理工具”控制面板中,选择 **Active Directory 站点和服务**。
![\[Windows Administrative Tools folder showing various Active Directory management shortcuts.\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_11.png)
1. 在“Active Directory 站点和服务”窗口中,依次展开**站点**、**默认的第一个站点名称**和**服务器**。
![\[Active Directory Sites and Services window showing expanded hierarchy with NTDS Settings.\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_12.png)
1. 在“NTDS 设置”窗口中,右键单击服务器并选择**立即复制**。
![\[Context menu showing "Replicate Now" option selected for a server in NTDS Settings window.\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_13.png)
1. 对其他服务器重复步骤 13 至 14。
# 监控 Simple AD 目录
您可以详细了解不同的 Simple AD 状态及其对您的 Simple AD 意味着什么,从而充分利用 Simple AD。您还可以使用诸如亚马逊简单通知 AWS 服务之类的服务来监控您的 Simple AD。Amazon Simple Notification Service 可以向您发送有关 Simple AD 目录状态的通知。
**Topics**
+ [了解 Simple AD 目录状态](simple_ad_directory_status.md)
+ [使用 Amazon Simple Notification Service 启用 Simple AD 目录状态通知](simple_ad_enable_notifications.md)
# 了解 Simple AD 目录状态
以下是目录的各种状态。
**活跃**
该目录运行正常。 Directory Service 未检测到您的目录存在任何问题。
**Creating**
当前正在创建该目录。目录创建过程通常需要 20 到 45 分钟,但可能因系统负载而异。
**已删除**
已删除该目录。已释放该目录的所有资源。一旦目录进入此状态,便无法恢复。
**Deleting**
当前正在删除该目录。目录将保持此状态,直到被完全删除。一旦目录进入此状态,将无法取消删除操作,目录也无法恢复。
**已失败**
无法创建该目录。请删除此目录。如果问题仍存在,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
**Impaired (受损)**
目录正在降级状态下运行。检测到一个或多个问题,可能有的目录操作未在完全有效地工作。目录处于此状态有多个可能的原因。这些原因包括正常的操作维护活动(如打补丁或 EC2 实例轮换)、其中一台域控制器上的某个应用程序临时成为热点,或者您对网络进行了更改(可能无意中破坏目录通信)。如果您更改 [Simple AD 先决条件](simple_ad_getting_started.md#prereq_simple)中概述的设置,您的目录可能会处于受损状态。有关更多信息,请参阅[微软 AD AWS 托管故障排除](ms_ad_troubleshooting.md)、[AD Connector 故障排除](ad_connector_troubleshooting.md)、[Simple AD 问题排查](simple_ad_troubleshooting.md)。对于与正常维护相关的问题, AWS 可在 40 分钟内解决这些问题。如果在查看故障排除主题后,您的目录处于受损状态的时间超过 40 分钟,我们建议您联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
当目录处于受损状态时,请不要还原快照。解决受损问题极少需要快照还原。有关更多信息,请参阅 [使用快照恢复你的 AWS 托管 Microsoft AD](ms_ad_snapshots.md)。
**Inoperable (不可操作)**
该目录无法正常工作。所有目录终端节点都报告有问题。
**Requested (已请求)**
创建目录的请求当前正在等待处理。
**RestoreFailed**
从快照还原目录失败。请重试还原操作。如果这种情况继续存在,请尝试其他快照或联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
**Restoring (还原)**
当前正从自动或手动快照中还原目录。从快照还原通常需要几分钟时间,具体取决于快照中的目录数据大小。
有关更多信息,请参阅 [Simple AD 目录状态消息故障排除](simple_ad_troubleshooting_reasons.md)。
# 使用 Amazon Simple Notification Service 启用 Simple AD 目录状态通知
通过使用 Amazon Simple Notification Service(Amazon SNS),您可以在目录状态发生变化时接收电子邮件或文本(SMS)消息。如果您的目录从“活动”状态变为[“受损”或“不可操作”状态](simple_ad_directory_status.md),您将收到通知。当目录恢复为“活动”状态时,您也会收到通知。
## 工作原理
Amazon SNS 使用“主题”来收集和分发消息。每个主题都有一个或多个订阅用户,他们接收发布至该主题的消息。按照以下步骤,您可以在 Amazon SNS 主题中添加 Directory Service 出版商身份。当 Directory Service 检测到您的目录状态发生变化时,它会向该主题发布一条消息,然后将其发送给该主题的订阅者。
您可以关联多个目录作为单个主题的发布者。您还可以将目录状态消息添加到您之前在 Amazon SNS 中创建的主题。您可以对谁能够向主题发布内容和订阅主题进行详细的控制。有关 Amazon SNS 的完整信息,请参阅[什么是 Amazon SNS?](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)。
**为您的目录启用 SNS 消息发送**
1. 登录 AWS 管理控制台 并打开[Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)。
1. 在**目录**页面上,选择您的目录 ID。
1. 选择**维护**选项卡。
1. 在**目录监控**部分,选择**操作**,然后选择**创建通知**。
1. 在**创建通知**页面上,选择**选择通知类型**,然后选择**创建新通知**。或者,如果您现在已有一个 SNS 主题,您可以选择**关联现有 SNS 主题**以向该主题发送此目录的状态消息。
**注意**
如果您选择**创建新通知**,但之后使用与现有 SNS 主题相同的主题名称,则 Amazon SNS 不会创建新主题,只是向现有主题添加新的订阅信息。
如果您选择**关联现有 SNS 主题**,您只能选择与该目录位于同一区域的 SNS 主题。
1. 选择**收件人类型**,然后输入**收件人**联系信息。如果您为 SMS 输入电话号码,请只使用数字。不包括破折号、空格或圆括号。
1. (可选)为主题和 SNS 显示名称提供名称。显示名称为最多 10 个字符的短名称,包含在来自该主题的所有 SMS 消息中。使用 SMS 选项时必需提供显示名称。
**注意**
如果您使用只有[DirectoryServiceFullAccess](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/role_ds_full_access.html)托管策略的 IAM 用户或角色登录,则您的主题名称必须以 “DirectoryMonitoring” 开头。如果您想进一步自定义主题名称,您需要对 SNS 的额外权限。
1. 选择**创建**。
如果您想指定其他 SNS 订阅者,例如额外的电子邮件地址、Amazon SQS 队列 AWS Lambda或,则可以从 Amazon [SNS](https://console.aws.amazon.com//sns/v3/home.) 控制台执行此操作。
**从主题移除目录状态消息**
1. 登录 AWS 管理控制台 并打开[Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)。
1. 在**目录**页面上,选择您的目录 ID。
1. 选择**维护**选项卡。
1. 在**目录监控**部分,在列表中选择一个 SNS 主题名称,选择**操作**,然后选择**移除**。
1. 选择**移除 **。
这会移除您目录的选定 SNS 主题发布者身份。如果您要删除整个主题,可以通过 [Amazon SNS 控制台](https://console.aws.amazon.com/sns/v3/home.)执行此操作。
**注意**
在使用 SNS 控制台删除 Amazon SNS 主题之前,您应确保目录没有在向该主题发送状态消息。
如果您使用 SNS 控制台删除 Amazon SNS 主题,则 Directory Services 控制台中不会立即反映出此更改。直到目录下次向已删除的主题发布通知时,您才会获得通知,那时,您将在该目录的 **Monitoring** 选项卡上看到一个更新状态,指示无法找到该主题。
因此,为避免错过重要的目录状态消息,在删除任何从中 Directory Service接收消息的主题之前,请将您的目录与其他 Amazon SNS 主题相关联。
# 通过 Simple AD 访问 AWS 应用程序和服务
您可以向 Simple AD 用户授予访问 AWS 应用程序和服务的权限。其中一些 AWS 应用程序和服务包括:
+ Amazon WorkDocs
+ AWS 管理控制台
+ Amazon WorkSpaces
您还可以在 Simple AD 中使用访问权限 URLs 和单点登录。
**Topics**
+ [Simple AD 的应用程序兼容性策略](simple_ad_app_compatibility.md)
+ [允许您的 Simple AD 访问 AWS 应用程序和服务](simple_ad_enable_apps_services.md)
+ [使用 Simple AD 凭据启用访问权限 AWS 管理控制台](simple_ad_management_console_access.md)
+ [为 Simple AD 创建访问 URL](simple_ad_create_access_url.md)
+ [启用单点登录](simple_ad_single_sign_on.md)
# Simple AD 的应用程序兼容性策略
Simple AD 是 Samba 的实现,具备 Active Directory 的许多基本功能。由于大量使用Active Directory的定制和商业 off-the-shelf应用程序,他们 AWS 不会也无法对第三方应用程序与Simple AD的兼容性进行正式或广泛的验证。尽管我们与客户 AWS 合作,努力克服他们可能遇到的任何潜在应用程序安装难题,但我们无法保证任何应用程序现在或将来都与 Simple AD 兼容。
下列第三方应用程序与 Simple AD: 兼容:
+ 以下平台上的 Microsoft Internet Information Services (IIS):
+ Windows Server 2003 R2
+ Windows Server 2008 R1
+ Windows Server 2008 R2
+ Windows Server 2012
+ Windows Server 2012 R2
+ Microsoft SQL Server:
+ SQL Server 2005 R2 (Express、Web 和 Standard 版本)
+ SQL Server 2008 R2 (Express、Web 和 Standard 版本)
+ SQL Server 2012 (Express、Web 和 Standard 版本)
+ SQL Server 2014 (Express、Web 和 Standard 版本)
+ 微软 SharePoint:
+ SharePoint 2010 基金会
+ SharePoint 2010 年企业
+ SharePoint 2013 年企业
根据实际的 Active Directory,客户可以选择使用适用于 Microsoft Active Directory ([AWS 微软 AD 托管](directory_microsoft_ad.md)) 的 AWS 目录服务以获得更高的兼容性。
# 允许您的 Simple AD 访问 AWS 应用程序和服务
用户可以授权 Simple AD 授予 AWS 应用程序和服务(例如亚马逊 WorkSpaces)访问您的 Active Directory 的权限。可以启用或禁用以下 AWS 应用程序和服务以使用 Simple AD。
| AWS 应用程序/服务 | 更多信息…… |
| --- | --- |
| Amazon WorkDocs | 有关更多信息,请参阅《[Amazon WorkDocs 管理指南》](https://docs.aws.amazon.com/workdocs/latest/adminguide/) |
| Amazon WorkMail | 有关更多信息,请参阅《[Amazon WorkMail 管理员指南》](https://docs.aws.amazon.com/workmail/latest/adminguide/)。 |
| Amazon WorkSpaces | 你可以直接从中创建 Simple AD、 AWS 托管 Microsoft AD 或 AD Connecto WorkSpaces r。只需在创建工作区时启动 **Advanced Setup**。 有关更多信息,请参阅《[Amazon WorkSpaces 管理指南》](https://docs.aws.amazon.com/workspaces/latest/adminguide/)。 |
| AWS 管理控制台 | 有关更多信息,请参阅 [启用 AWS 管理控制台 使用 AWS 托管微软 AD 凭据进行访问](ms_ad_management_console_access.md)。 |
启用之后,可在要向其授予目录访问权限的应用程序或服务的控制台中管理对目录的访问权限。要在 Directory Service 控制台中查找上述 AWS 应用程序和服务链接,请执行以下步骤。
**显示适用于目录的应用程序和服务**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 在**目录**页面上,选择您的目录 ID。
1. 在 **Directory details (目录详细信息)** 页面上,选择 **Application management (应用程序管理)** 选项卡。
1. 查看 **AWS 应用程序和服务**部分下的列表。
有关如何使用对 AWS 应用程序和服务进行授权或取消授权的更多信息 Directory Service,请参阅[使用对 AWS 应用程序和服务的授权 Directory Service](ad_manage_apps_services_authorization.md)。
# 使用 Simple AD 凭据启用访问权限 AWS 管理控制台
Directory Service 允许您向目录成员授予访问权限 AWS 管理控制台。默认情况下,您的目录成员无权访问任何 AWS 资源。您可以为目录成员分配 IAM 角色,让他们能够访问各种 AWS 服务和资源。IAM 角色定义目录成员所拥有的服务、资源和访问权限级别。
目录必须首先具有访问 URL,然后您才能向目录成员授予控制台访问权限。有关如何查看目录详细信息和获取访问 URL 的更多信息,请参阅 [查看 AWS 托管微软 AD 目录信息](ms_ad_view_directory_info.md)。有关如何创建访问 URL 的更多信息,请参阅[为 AWS 托管 Microsoft AD 创建访问网址](ms_ad_create_access_url.md)。
有关如何创建 IAM 角色以及将其分配给目录成员的更多信息,请参阅 [向 Microsoft AD AWS 托管用户和群组授予使用 IAM 角色访问 AWS 资源的权限](ms_ad_manage_roles.md)。
**Topics**
+ [启用 AWS 管理控制台 访问权限](#simple_ad_console_enable)
+ [禁用 AWS 管理控制台 访问权限](#simple_ad_console_disable)
+ [设置登录会话长度](#simple_ad_console_session)
**相关 AWS 安全博客文章**
+ [如何 AWS 管理控制台 使用 AWS 托管 Microsoft AD 和您的本地凭据进行访问](https://aws.amazon.com/blogs/security/how-to-access-the-aws-management-console-using-aws-microsoft-ad-and-your-on-premises-credentials/)
**相关 AWS re:Post 文章**
+ [如何 AWS 管理控制台 为本地 Active Directory 用户授予访问权限?](https://repost.aws/knowledge-center/enable-active-directory-console-access)
## 启用 AWS 管理控制台 访问权限
默认情况下,不会为任何目录启用控制台访问。要为目录用户和组启用控制台访问,请执行以下步骤:
**启用控制台访问**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 在**目录**页面上,选择您的目录 ID。
1. 在 **Directory details (目录详细信息)** 页面上,选择 **Application management (应用程序管理)** 选项卡。
1. 在 **AWS 管理控制台** 部分下,选择**启用**。控制台访问现在已为目录启用。
**重要**
在用户使用访问 URL 登录控制台之前,您必须先将用户添加到 IAM 角色中。有关为用户分配 IAM 角色的一般信息,请参阅 [向现有 IAM 角色分配用户或组](assign_role.md)。分配 IAM 角色之后,用户就可以使用访问 URL 访问控制台了。例如,如果你的目录访问网址是 example-corp.awsapps.com,那么访问控制台的网址是。 https://example-corp.awsapps.com/console/
## 禁用 AWS 管理控制台 访问权限
要为目录用户和组禁用控制台访问,请执行以下步骤:
**禁用控制台访问**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 在**目录**页面上,选择您的目录 ID。
1. 在 **Directory details (目录详细信息)** 页面上,选择 **Application management (应用程序管理)** 选项卡。
1. 在 **AWS 管理控制台** 部分下,选择**禁用**。控制台访问现在已为目录禁用。
1. 如果有任何 IAM 角色已分配给目录中的用户或组,则**禁用**按钮可能不可用。在这种情况下,您必须删除目录的所有 IAM 角色分配再继续,包括目录中已删除的针对用户或组的分配,分别显示为**已删除用户**或**已删除组**。
删除所有 IAM 角色分配之后,重复以上步骤。
## 设置登录会话长度
默认情况下,用户在成功登录控制台之后以及注销之前,有 1 小时时间可使用其会话。在此之后,用户必须再次登录才能开始下一个 1 小时会话,然后再次注销。可以使用以下过程对每个会话将时间长度更改为最长 12 小时。
**设置 登录会话长度**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 在**目录**页面上,选择您的目录 ID。
1. 在 **Directory details (目录详细信息)** 页面上,选择 **Application management (应用程序管理)** 选项卡。
1. 在 **AWS 应用程序和服务** 部分下,选择 **AWS 管理控制台**。
1. 在 “**管理 AWS 资源访问权限**” 对话框中,选择 “**继续**”。
1. 在 **Assign users and groups to IAM roles** 页面中的 **Set login session length** 下方,编辑编号的值,然后选择 **Save**。
# 为 Simple AD 创建访问 URL
访问 URL 用于 AWS 应用程序和服务(例如 Amazon) WorkDocs,用于访问与您的目录关联的登录页面。此 URL 必须全局唯一。可以通过执行以下步骤为目录创建访问 URL。
**警告**
一旦为此目录创建应用程序访问 URL,就无法更改它。创建访问 URL 之后,其他人便无法使用它。如果删除目录,则访问 URL 也会删除,随后可以由任何其他账户所使用。
**创建访问 URL**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 在**目录**页面上,选择您的目录 ID。
1. 在 **Directory details (目录详细信息)** 页面上,选择 **Application management (应用程序管理)** 选项卡。
1. 在 **Application access URL (应用程序访问 URL)** 部分中,如果尚未向目录分配访问 URL,则会显示 **Create (创建)** 按钮。输入目录别名,然后选择 **Create (创建)**。如果返回 **Entity Already Exists** 错误,则指定目录别名已分配。选择另一个别名并重复此过程。
您的访问网址以 ** .awsapps.com 的格式显示。
# 启用单点登录
AWS Directory Service 允许您的用户 WorkDocs 从加入该目录的计算机进行访问,而无需单独输入其凭据。
启用单点登录之前,您需要执行其他步骤,以便使用户的 Web 浏览器可以支持单点登录。用户可能需要修改其 Web 浏览器设置来启用单点登录。
**注意**
只有在已加入到 Directory Service 目录中的计算机上才支持单点登录。未加入目录中的计算机上无法使用单点登录。
如果您的目录是 AD Connector 目录,且 AD Connector 服务账户没有权限添加或删除其服务委托人名称属性,则对于下面的步骤 5 和 6,您有两个选项:
1. 您可以继续操作,系统将提示您输入具有以下权限的目录用户的用户名和密码:可在 AD Connector 服务账户上添加或删除服务委托人名称属性。这些凭证仅用于启用单点登录,不由服务进行存储。不会更改 AD Connector 服务账户权限。
1. 您可以委托权限以允许 AD Connector 服务帐户添加或删除自身的服务主体名称属性,您可以使用有权修改 AD Connector 服务帐户权限的帐户在加入域的计算机上运行以下 PowerShell 命令。以下命令将使 AD Connector 服务账户能够仅为其自身添加和删除服务委托人名称属性。
```
$AccountName = 'ConnectorAccountName'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$RootDse = Get-ADRootDSE
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting AD Connector service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AclPath = $AccountProperties.DistinguishedName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for AD Connector service account.
$ObjectAcl = Get-ACL -Path "AD:\$AclPath"
# Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
```
**使用启用或禁用单点登录 WorkDocs**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 在**目录**页面上,选择您的目录 ID。
1. 在 **Directory details (目录详细信息)** 页面上,选择 **Application management (应用程序管理)** 选项卡。
1. 在 “**应用程序访问 URL**” 部分,选择 “**启用**” 以启用单点登录。 WorkDocs
如果您没有看到**启用**按钮,则可能需要首先创建访问 URL,然后才能显示此选项。有关如何创建访问 URL 的更多信息,请参阅[为 AWS 托管 Microsoft AD 创建访问网址](ms_ad_create_access_url.md)。
1. 在**为此目录启用单点登录**对话框中,选择**启用**。单点登录已为目录启用。
1. 如果以后要使用禁用单点登录 WorkDocs,请选择 “**禁用**”,然后在 “**禁用此目录的单点登录” 对话框中**,再次选择 “**禁用**”。
**Topics**
+ [IE 和 Chrome 的单点登录](#ie_sso)
+ [Firefox 的单点登录](#firefox_sso)
## IE 和 Chrome 的单点登录
要使 Microsoft 的 Internet Explorer(IE)和 Google 的 Chrome 浏览器可以支持单点登录,必须在客户端计算机上执行以下任务:
+ 将您的访问网址(例如 https://**.awsapps.com)添加到允许进行单点登录的网站列表中。
+ 启用活动脚本 (JavaScript)。
+ 允许自动登录。
+ 启用集成身份验证。
您或您的用户手动执行这些任务,也可以使用组策略设置更改这些设置。
**Topics**
+ [Windows 上单点登录的手动更新](#ie_sso_manual_windows)
+ [OS X 上单点登录的手动更新](#chrome_sso_manual_mac)
+ [单点登录的组策略设置](#ie_sso_gpo)
### Windows 上单点登录的手动更新
要在 Windows 计算机上手动启用单点登录,请在客户端计算机上执行以下步骤。其中一些设置可能已正确设置。
**在 Windows 上为 Internet Explorer 和 Chrome 手动启用单点登录**
1. 要打开 **Internet Properties** 对话框,请选择 **Start** 菜单,在搜索框中键入 `Internet Options`,然后选择 **Internet Options**。
1. 通过执行以下步骤将访问 URL 添加到适用于单点登录的经审批站点列表中:
1. 在 **Internet Properties** 对话框中选择 **Security** 选项卡。
1. 选择 **Local intranet**,然后选择 **Sites**。
1. 在 **Local intranet** 对话框中,选择 **Advanced**。
1. 将访问 URL 添加到网站列表,然后选择 **Close**。
1. 在 **Local intranet** 对话框中,选择 **OK**。
1. 要启用活动脚本,请执行以下步骤:
1. 在 **Internet Properties** 对话框的 **Security** 选项卡中,选择 **Custom level**。
1. 在 **Security Settings - Local Intranet Zone** 对话框中,向下滚动到 **Scripting**,然后在 **Active scripting** 下选择 **Enable**。
1. 在 **Security Settings - Local Intranet Zone** 对话框中,选择 **OK**。
1. 要启用自动登录,请执行以下步骤:
1. 在 **Internet Properties** 对话框的 **Security** 选项卡中,选择 **Custom level**。
1. 在 **Security Settings - Local Intranet Zone** 对话框中,向下滚动到 **User Authentication** 并在 **Logon** 下选择 **Automatic logon only in Intranet zone**。
1. 在 **Security Settings - Local Intranet Zone** 对话框中,选择 **OK**。
1. 在 **Security Settings - Local Intranet Zone** 对话框中,选择 **OK**。
1. 要启用集成身份验证,请执行以下步骤:
1. 在 **Internet Properties** 对话框中选择 **Advanced** 选项卡。
1. 向下滚动到 **Security**,然后选择 **Enable Integrated Windows Authentication**。
1. 在 **Internet Properties** 对话框中,选择 **OK**。
1. 关闭并重新打开浏览器让这些更改生效。
### OS X 上单点登录的手动更新
要在 OS X 上为 Chrome 手动启用单点登录,请在客户端计算机上执行以下步骤。需要计算机上的管理员权限才能完成这些步骤。
**在 OS X 上为 Chrome 手动启用单点登录**
1. 通过运行以下命令将您的访问网址添加到[AuthServerAllowlist](https://chromeenterprise.google/policies/#AuthServerAllowlist)策略中:
```
defaults write com.google.Chrome AuthServerAllowlist "https://.awsapps.com"
```
1. 打开 **System Preferences**,转到 **Profiles** 面板,然后删除 `Chrome Kerberos Configuration` 配置文件。
1. 重新启动 Chrome,然后在 Chrome 中打开 chrome://policy 以确认新设置已实施。
### 单点登录的组策略设置
域管理员可以实施组策略设置以在加入域的客户端计算机上进行单点登录更改。
**注意**
如果您使用 Chrome 政策管理网域内计算机上的 Chrome 网络浏览器,则必须将访问网址添加到[AuthServerAllowlist](https://chromeenterprise.google/policies/#AuthServerAllowlist)政策中。有关设置 Chrome 策略的更多信息,请转到 [Policy Settings in Chrome](https://source.chromium.org/chromium/chromium/src/+/main:docs/enterprise/add_new_policy.md)。
**使用组策略设置为 Internet Explorer 和 Chrome 启用单点登录**
1. 通过执行以下步骤创建新的组策略对象:
1. 打开组策略管理工具,导航到您的域并选择 **Group Policy Objects**。
1. 在主菜单中,选择 **Action**,然后选择 **New**。
1. 在**新建 GPO** 对话框中,为组策略对象输入一个描述性名称(如 `IAM Identity Center Policy`),将**源 Starter GPO** 保留为**(无)**。单击**确定**。
1. 通过执行以下步骤将访问 URL 添加到适用于单点登录的经审批站点列表中:
1. 在组策略管理工具中,导航到您的域,选择**组策略对象**,打开 IAM Identity Center 策略的上下文(右键单击)菜单,然后选择**编辑**。
1. 在策略树中,导航到 **User Configuration** > **Preferences** > **Windows Settings**。
1. 在 **Windows Settings** 列表中,打开 **Registry** 的上下文 (右键单击) 菜单并选择 **New registry item**。
1. 在 **New Registry Properties** 对话框中,输入以下设置,然后选择 **OK**:
**Action**
`Update`
**Hive**
`HKEY_CURRENT_USER`
**路径**
`Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\`
的**值来自您的访问网址。如果访问 URL 是 `https://examplecorp.awsapps.com`,则别名是 `examplecorp`,注册表项是 `Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp`。
**Value name**
`https`
**值类型**
`REG_DWORD`
**Value data**
`1`
1. 要启用活动脚本,请执行以下步骤:
1. 在组策略管理工具中,导航到您的域,选择**组策略对象**,打开 IAM Identity Center 策略的上下文(右键单击)菜单,然后选择**编辑**。
1. 在策略树中,导航到 **Computer Configuration** > **Policies** > **Administrative Templates** > **Windows Components** > **Internet Explorer** > **Internet Control Panel** > **Security Page** > **Intranet Zone**。
1. 在 **Intranet Zone** 列表中,打开 **Allow active scripting** 的上下文 (右键单击) 菜单,选择 **Edit**。
1. 在 **Allow active scripting** 对话框中,输入以下设置,然后选择 **OK**:
+ 选择 **Enabled** 单选按钮。
+ 在 **Options** 下,将 **Allow active scripting** 设置为 **Enable**。
1. 要启用自动登录,请执行以下步骤:
1. 在组策略管理工具中,导航到您的域,选择“Group Policy Objects”,打开 SSO 策略的上下文 (右键单击) 菜单,然后选择 **Edit**。
1. 在策略树中,导航到 **Computer Configuration** > **Policies** > **Administrative Templates** > **Windows Components** > **Internet Explorer** > **Internet Control Panel** > **Security Page** > **Intranet Zone**。
1. 在 **Intranet Zone** 列表中,打开 **Logon options** 的上下文 (右键单击) 菜单,选择 **Edit**。
1. 在 **Logon options** 对话框中,输入以下设置,然后选择 **OK**:
+ 选择 **Enabled** 单选按钮。
+ 在 **Options** 下,将 **Logon options** 设置为 **Automatic logon only in Intranet zone**。
1. 要启用集成身份验证,请执行以下步骤:
1. 在组策略管理工具中,导航到您的域,选择**组策略对象**,打开 IAM Identity Center 策略的上下文(右键单击)菜单,然后选择**编辑**。
1. 在策略树中,导航到 **User Configuration** > **Preferences** > **Windows Settings**。
1. 在 **Windows Settings** 列表中,打开 **Registry** 的上下文 (右键单击) 菜单并选择 **New registry item**。
1. 在 **New Registry Properties** 对话框中,输入以下设置,然后选择 **OK**:
**Action**
`Update`
**Hive**
`HKEY_CURRENT_USER`
**路径**
`Software\Microsoft\Windows\CurrentVersion\Internet Settings`
**Value name**
`EnableNegotiate`
**值类型**
`REG_DWORD`
**Value data**
`1`
1. 如果 **Group Policy Management Editor** 窗口仍打开,关闭该窗口。
1. 通过执行以下步骤将新策略分配给您的域:
1. 在组策略管理树中,打开您的域的上下文 (右键单击) 菜单,然后选择 **Link an Existing GPO**。
1. 在**组策略对象**列表中,选择 IAM Identity Center 策略,然后选择**确定**。
这些更改会在客户端上的下一次策略更新之后,或是在下次用户登录时生效。
## Firefox 的单点登录
要允许 Mozilla Firefox 浏览器支持单点登录,请将您的访问网址(例如 https://**.awsapps.com)添加到允许进行单点登录的网站列表中。这可以手动执行,也可以使用脚本自动进行。
**Topics**
+ [单点登录的手动更新](#firefox_sso_manual)
+ [单点登录的自动更新](#firefox_sso_script)
### 单点登录的手动更新
要在 Firefox 中将访问 URL 手动添加到经审批站点列表中,请在客户端计算机上执行以下步骤。
**在 Firefox 中将访问 URL 手动添加到经审批站点列表中**
1. 打开 Firefox,然后打开 `about:config` 页面。
1. 打开 `network.negotiate-auth.trusted-uris` 首选项,然后将访问 URL 添加到站点列表中。使用逗号 (,) 分隔多个条目。
### 单点登录的自动更新
作为域管理员,可以使用脚本在网络上的所有计算机上将访问 URL 添加到 Firefox `network.negotiate-auth.trusted-uris` 用户首选项。欲了解更多信息,请访问 [https://support.mozilla。 org/en-US/questions/939037](https://support.mozilla.org/en-US/questions/939037)。
# 将 Amazon EC2 实例加入到您的 Simple AD 的方法
当 Amazon EC2 实例启动时,您可以将其无缝加入到您的 Active Directory 域中。有关更多信息,请参阅 [将 Amazon EC2 Windows 实例加入您的 AWS 托管微软 AD 活动目录](launching_instance.md)。您还可以使用 A [AWS Systems Manager ut](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) omation 直接从 Directory Service 控制台启动 EC2 实例并将其加入 Active Directory 域。
如果需要手动将 EC2 实例加入 Active Directory 域,则必须在正确的区域和安全组或子网中启动该实例,然后将该实例加入该域。
要能够远程连接到这些实例,必须具有从所连接的网络到实例的 IP 连接。在大多数情况下,这要求互联网网关连接到 VPC,并且实例具有公有 IP 地址。
**Topics**
+ [将 Amazon EC2 Windows 实例加入 Simple AD Active Directory](simple_ad_launching_instance.md)
+ [将 Amazon EC2 Linux 实例加入 Simple AD Active Directory](simple_ad_linux_domain_join.md)
+ [委派 Simple AD 的目录加入权限](simple_ad_directory_join_privileges.md)
+ [为 Simple AD 创建 DHCP 选项集](simple_ad_dhcp_options_set.md)
# 将 Amazon EC2 Windows 实例加入 Simple AD Active Directory
您可以启动 Amazon EC2 Windows 实例并将其加入 Simple AD 或者,您可以手动将现有 EC2 Windows 实例加入 Simple AD
------
#### [ Seamlessly join an EC2 Windows ]
要通过域无缝加入 EC2 实例,需要完成以下操作:
**先决条件**
+ 拥有 Simple AD。要了解更多信息,请参阅[创建 Simple AD](simple_ad_getting_started.md#how_to_create_simple_ad)。
+ 您需要拥有以下 IAM 权限,才能无缝加入 EC2 Windows 实例:
+ 具有以下 IAM 权限的 IAM 实例配置文件:
+ `AmazonSSMManagedInstanceCore`
+ `AmazonSSMDirectoryServiceAccess`
+ 要通过域将 EC2 无缝加入到 Simple AD,用户需要以下 IAM 权限:
+ Directory Service 权限:
+ `"ds:DescribeDirectories"`
+ `"ds:CreateComputer"`
+ Amazon VPC 权限:
+ `"ec2:DescribeVpcs"`
+ `"ec2:DescribeSubnets"`
+ `"ec2:DescribeNetworkInterfaces"`
+ `"ec2:CreateNetworkInterface"`
+ `"ec2:AttachNetworkInterface"`
+ EC2 权限;
+ `"ec2:DescribeInstances"`
+ `"ec2:DescribeImages"`
+ `"ec2:DescribeInstanceTypes"`
+ `"ec2:RunInstances"`
+ `"ec2:CreateTags"`
+ AWS Systems Manager 权限:
+ `"ssm:DescribeInstanceInformation"`
+ `"ssm:SendCommand"`
+ `"ssm:GetCommandInvocation"`
+ `"ssm:CreateBatchAssociation"`
创建 Simple AD 时,会创建一个包含入站与出站规则的安全组。要了解有关这些规则与端口的更多信息,请参阅[随 Simple AD 创建的内容](simple_ad_what_gets_created.md)。要通过域无缝加入 EC2 Windows 实例,您启动实例的 VPC 应按照 Simple AD 安全组入站和出站规则允许的端口,允许相同的端口。
+ 根据网络安全和防火墙设置,您可能需要允许额外的出站流量。此流量将通过 HTTPS(端口 443)到达以下端点:
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/simple_ad_launching_instance.html)
+ 建议使用能够解析 Simple AD 域名的 DNS 服务器。要实现此操作,可创建 DHCP 选项集。请参阅[为 Simple AD 创建 DHCP 选项集](simple_ad_dhcp_options_set.md)了解更多信息。
+ 如果选择不创建 DHCP 选项集,则 DNS 服务器将是静态的,并由 Simple AD 进行配置。
1. 登录 AWS 管理控制台 并打开 Amazon EC2 控制台,网址为[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。
1. 在导航栏中,选择与现有目录 AWS 区域 相同的目录。
1. 在 **EC2 控制面板**的**启动实例**部分,选择**启动实例**。
1. 在**启动实例**页面的**名称和标签**部分下,输入您要用于 Windows EC2 实例的名称。
1. (可选)选择**添加其他标签**,添加一个或多个标签密钥值对,以组织、跟踪或控制对此 EC2 实例的访问权限。
1. 在**应用程序和操作系统映像(Amazon 机器映像)**部分,在**快速入门**窗格中选择 **Windows**。您可以从**Amazon 机器映像(AMI)**下拉列表中更改 Windows Amazon 机器映像(AMI)。
1. 在**实例类型**部分,从**实例类型**下拉列表中选择要使用的实例类型。
1. 在**密钥对(登录)**部分,您可以选择创建新密钥对,或从现有密钥对中进行选择。
1. 要创建新的密钥对,请选择**新建新密钥对**。
1. 输入密钥对的名称,然后为**密钥对类型**和**私钥文件格式**选择一个选项。
1. 要以可与 OpenSSH 一起使用的格式保存私钥,请选择 **pem**。要以可与 PuTTY 一起使用的格式保存私钥,请选择 **ppk**。
1. 选择**创建密钥对**。
1. 您的浏览器会自动下载私有密钥文件。将私有密钥文件保存在安全位置。
**重要**
这是您保存私有密钥文件的唯一机会。
1. 在**启动实例**页面的**网络设置**部分下,选择**编辑**。从 **VPC – *必需***下拉列表中选择创建目录的 **VPC**。
1. 从**子网**下拉列表中选择 VPC 中的其中一个公有子网。选择的子网必须将所有外部流量都路由到互联网网关。否则将无法远程连接到实例。
有关如何连接到互联网网关的更多信息,请参阅《Amazon VPC 用户指南》**中的[使用互联网网关连接到互联网](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html)。
1. 在**自动分配公有 IP** 下,选择**启用**。
有关公共和私有 IP 寻址的更多信息,请参阅《Amazon EC2 用户指南》**中的 [Amazon EC2 实例 IP 寻址](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html)。
1. 对于**防火墙(安全组)**设置,您可以使用默认设置或进行更改以满足您的需求。
1. 对于**配置存储**设置,您可以使用默认设置或进行更改以满足您的需求。
1. 选择**高级详细信息**部分,从**域加入目录**下拉列表中选择您的域。
**注意**
选择域加入目录后,您可能会看到:
![\[选择域加入目录时出现错误消息。您现有的 SSM 文档存在错误。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/SSM-Error-Message.png)
当 EC2 启动向导识别到某个现有 SSM 文档包含意外属性时,会发生此错误。您可以执行以下操作之一:
如果您之前编辑了 SSM 文档且属性为预期属性,请选择关闭并继续启动 EC2 实例,不做任何更改。
选择“在此处删除现有 SSM 文档”链接以删除 SSM 文档。这将允许创建包含正确属性的 SSM 文档。启动 EC2 实例时,将自动创建 SSM 文档。
1. 对于 **IAM 实例配置文件**,您可以选择现有的 IAM 实例配置文件或创建新的 IAM 实例配置文件。从 IAM 实例配置文件下拉列表中选择一个SSMDirectoryServiceAccess附有 **Ama** **zon SSMManaged InstanceCore** 和 Amazon AWS 托管策略**的 IAM 实例配置文件**。要创建新的 IAM 配置文件,请选择**创建新的 IAM 配置文件**链接,然后执行以下操作:
1. 选择**创建角色**。
1. 在**选择受信任的实体**下,选择 **AWS 服务**。
1. 在 **Use case**(使用案例)下,选择 **EC2**。
1. 在 “**添加权限**” 下的策略列表中,选择 **Amazon SSMManaged InstanceCore 和 Ama** **zon SSMDirectory ServiceAccess** 政策。在搜索框中键入 **SSM** 以筛选列表。选择**下一步**。
**注意**
**Amazon SSMDirectory ServiceAccess** 提供将实例加入由管理的活动目录的权限 Directory Service。**Amazon SSMManaged InstanceCore** 提供使用该 AWS Systems Manager 服务所需的最低权限。有关创建具有这些权限的角色的更多信息,以及您可以分配给 IAM 角色的其他权限和策略的信息,请参阅《AWS Systems Manager 用户指南》**中的[为 Systems Manager 创建 IAM 实例配置文件](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html)。
1. 在**名称、查看和创建**页面上,输入**角色名称**。您将需要此角色名称来附加到 EC2 实例。
1. (可选)您可以在**描述**字段中提供 IAM 实例配置文件的描述。
1. 选择**创建角色**。
1. 返回**启动实例**页面,选择 **IAM 实例配置文件**旁边的刷新图标。您的新 IAM 实例配置文件应显示在 **IAM 实例配置文件**下拉列表中。选择新的配置文件,其余设置保留默认值。
1. 选择**启动实例**。
------
#### [ Manually join an EC2 Windows ]
要将现有 Amazon EC2 Windows 实例手动加入 Simple AD Active Directory,必须使用 [将 Amazon EC2 Windows 实例加入 Simple AD Active Directory](#simple_ad_launching_instance)中指定的参数启动该实例。
您将需要 Simple AD DNS 服务器的 IP 地址。此信息可以在**目录服务** > **目录** > 目录的**目录 ID** 链接 > **目录详细信息**以及**网络与安全**下找到。
![\[在 Directory Service 控制台的目录详细信息页面上,突出显示所 Directory Service 提供的 DNS 服务器的 IP 地址。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/directory_details_highlighted.png)
**将 Windows 实例加入 Simple AD Active Directory**
1. 使用任何远程桌面协议客户端连接到实例。
1. 在实例上打开 TCP/ IPv4 属性对话框。
1. 打开 **Network Connections**。
**提示**
您可以在实例上从命令提示符运行以下命令,直接打开 **Network Connections**。
```
%SystemRoot%\system32\control.exe ncpa.cpl
```
1. 打开任何已启用网络连接的上下文菜单 (右键单击),然后选择 **Properties**。
1. 在连接属性对话框中,打开 (双击) **Internet Protocol Version 4**。
1. 选择**使用以下 DNS 服务器地址**,将**首选 DNS 服务器**地址和**备用 DNS 服务器**地址更改为 Simple AD 提供的 DNS 服务器的 IP 地址,然后选择**确定**。
![\[“互联网协议版本 4 (TCP/IPv4) 属性” 对话框突出显示了首选 DNS 服务器和备用 DNS 服务器字段。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/dns_server_addresses.png)
1. 打开实例的 **System Properties** 对话框,选择 **Computer Name** 选项卡,然后选择 **Change**。
**提示**
您可以在实例上从命令提示符运行以下命令,打开 **System Properties** 对话框。
```
%SystemRoot%\system32\control.exe sysdm.cpl
```
1. 在**成员**字段中,选择**域**,输入 Simple AD Active Directory 的完全限定名称,然后选择**确定**。
1. 当系统提示输入域管理员的名称和密码时,输入具有域加入权限的账户的用户名和密码。有关委托这些权限的更多信息,请参阅[委派 Simple AD 的目录加入权限](simple_ad_directory_join_privileges.md)。
**注意**
可以输入完全限定的域名或 NetBIOS 名称,后跟反斜杠(\$1),然后是用户名。用户名应为 **Administrator**。例如,**corp.example.com\$1administrator** 或 **corp\$1administrator**。
1. 收到欢迎加入域的消息之后,重新启动实例使更改生效。
现在实例已加入 Simple AD Active Directory 域,您可以远程登录该实例并安装实用工具来管理目录,如添加用户和组。Active Directory 管理工具可用于创建用户和组。有关更多信息,请参阅 [安装适用于 Simple AD 的 Active Directory 管理工具](simple_ad_install_ad_tools.md)。
------
# 将 Amazon EC2 Linux 实例加入 Simple AD Active Directory
您可以在 AWS 管理控制台中启动 Amazon EC2 实例并将其加入 Simple AD。您也可以手动将 EC2 Linux 实例加入 Simple AD。
支持以下 Linux 实例分发版和版本:
+ Amazon Linux AMI 2018.03.0
+ Amazon Linux 2(64 位 x86)
+ Red Hat Enterprise Linux 8 (HVM)(64 位 x86)
+ Ubuntu Server 18.04 LTS 和 Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ SUSE Linux 企业服务器 15 SP1
**注意**
Ubuntu 14 和 Red Hat Enterprise Linux 7 和 8 之前的发行版不支持无缝域加入功能。
**Topics**
+ [将 Amazon EC2 Linux 实例无缝加入 Simple AD Active Directory](simple_ad_seamlessly_join_linux_instance.md)
+ [手动将 Amazon EC2 Linux 实例加入 Simple AD Active Directory](simple_ad_join_linux_instance.md)
# 将 Amazon EC2 Linux 实例无缝加入 Simple AD Active Directory
此过程会将 Amazon EC2 Linux 实例无缝加入 Simple AD Active Directory。
支持以下 Linux 实例分发版和版本:
+ Amazon Linux AMI 2018.03.0
+ Amazon Linux 2(64 位 x86)
+ Red Hat Enterprise Linux 8 (HVM)(64 位 x86)
+ Ubuntu Server 18.04 LTS 和 Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ SUSE Linux 企业服务器 15 SP1
**注意**
Ubuntu 14 和 Red Hat Enterprise Linux 7 和 8 之前的发行版不支持无缝域加入功能。
## 先决条件
您需要完成本节中的过程,才能设置通过域无缝加入 Linux 实例。
### 选择无缝域名加入服务账户
您可以将 Linux 计算机无缝加入 Simple AD 域。要执行此操作,您必须创建一个具有创建计算机账户权限的用户账户,才能将计算机加入域。尽管*域管理员*或其他组的成员可能有足够的权限将计算机加入域,但我们不建议使用此角色。作为最佳实践,我们建议您使用具有将计算机加入域所需最低权限的服务账户。
有关如何处理并委托权限到服务账户委托权限以创建计算机账户的信息,请参阅 [向您的服务账户委派权限](ad_connector_getting_started.md#connect_delegate_privileges)。
### 创建密钥以存储域服务账户
您可以使用 AWS Secrets Manager 存储域名服务帐户。有关更多信息,请参阅[创建 AWS Secrets Manager 密钥](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret.html)。
**注意**
Secrets Manager 会产生相关费用。有关更多信息,请参阅《AWS Secrets Manager User Guide》**中的 [Pricing](https://docs.aws.amazon.com//secretsmanager/latest/userguide/intro.html#asm_pricing)。
**创建密钥并存储域服务账户信息**
1. 登录 AWS 管理控制台 并打开 AWS Secrets Manager 控制台,网址为[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)。
1. 选择**存储新密钥**。
1. 在 **Store a new secret**(存储新密钥)页面上,执行以下操作:
1. 在**密钥类型**下,选择**其他密钥类型**。
1. 在**键/值对**下,执行以下操作:
1. 在第一个框中,输入 **awsSeamlessDomainUsername**。在同一行的下一个框中,输入您服务账户的用户名。例如,如果您之前使用过该 PowerShell 命令,则服务帐户名称将为**awsSeamlessDomain**。
**注意**
必须完全按照原样输入 **awsSeamlessDomainUsername**。确保前后均没有任何空格。否则,域加入将失败。
![\[在 AWS Secrets Manager 控制台的 “选择密钥类型” 页面上。在密钥类型下选择其他类型的密钥并输入 awsSeamlessDomainUsername 作为键值。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/secrets_manager_1.png)
1. 选择**添加行**。
1. 在新行的第一个框中输入 **awsSeamlessDomainPassword**。在同一行的下一个框中,输入服务账户密码。
**注意**
必须完全按照原样输入 **awsSeamlessDomainPassword**。确保前后均没有任何空格。否则,域加入将失败。
1. 在**加密密钥**下,保留默认值 `aws/secretsmanager`。选择此选项时, AWS Secrets Manager 始终会对密钥进行加密。您也可以选择您创建的密钥。
1. 选择**下一步**。
1. 在 “**密钥名称**” 下,使用以下格式输入包含您的目录 ID 的密钥名称,*d-xxxxxxxxx*替换为您的目录 ID:
```
aws/directory-services/d-xxxxxxxxx/seamless-domain-join
```
这将用于检索应用程序中的密钥。
**注意**
您必须**aws/directory-services/*d-xxxxxxxxx*/seamless-domain-join**完全按原样输入,但要*d-xxxxxxxxxx*用您的目录 ID 替换。确保前后均没有空格。否则,域加入将失败。
![\[在 AWS Secrets Manager 控制台的配置密钥页面上。输入密钥名称并突出显示。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/secrets_manager_2.png)
1. 将其他所有内容都设置为默认值,然后选择**下一步**。
1. 在**配置自动轮换**下,选择**禁用自动轮换**,然后选择**下一步**。
存储此密钥后,您可以为其启用轮换。
1. 查看设置,然后选择**存储**以保存更改。Secrets Manager 控制台将返回您账户中的密钥列表,并且列表中现在包含新的密钥。
1. 从列表中选择您新创建的密钥名称,并记下**密钥 ARN** 值。您需要在下一部分中使用该名称。
### 为域服务账户密钥启用轮换
我们建议您定期轮换密钥以改善安全状况。
**为域服务账户密钥启用轮换**
+ 按照《*AWS Secrets Manager 用户指南*》中[为 AWS Secrets Manager 密钥设置自动轮换](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html)中的说明进行操作。
对于步骤 5,使用《AWS Secrets Manager 用户指南》**中的轮换模板 [Microsoft Active Directory 凭证](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_available-rotation-templates.html#template-AD-password)。
如需帮助,请参阅《*AWS Secrets Manager 用户指南》*中的[AWS Secrets Manager 轮换疑难解答](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html)。
### 创建所需 IAM policy 和角色
使用以下先决条件步骤创建自定义策略,该策略允许对您的 Secrets Manager 无缝域加入密钥(您之前创建的)进行只读访问,并创建新的 Linux EC2 DomainJoin IAM 角色。
#### 创建 Secrets Manager IAM 读取策略
您可以使用 IAM 控制台创建策略,授予对 Secrets Manager 密钥的只读访问权限。
**创建 Secrets Manager IAM 读取策略**
1. 以有权创建 IAM 策略的用户 AWS 管理控制台 身份登录。然后在上打开 IAM 控制台[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中的**访问管理**下,选择**策略**。
1. 选择**创建策略**。
1. 选择 **JSON** 选项卡,然后复制以下 JSON 策略文档中的文本。然后将其粘贴到 **JSON** 文本框中。
**注意**
确保将区域和资源 ARN 替换为您之前创建的密钥的实际区域和资源 ARN。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join"
]
}
]
}
```
1. 完成后,选择**下一步**。策略验证程序将报告任何语法错误。有关更多信息,请参阅[验证 IAM policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html)。
1. 在**检查策略**页面上,输入一个策略名称,例如 **SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read**。查看**摘要**部分,以查看您的策略授予的权限。选择**创建策略**,保存更改。托管策略列表中将显示新策略,并且现在已准备好附加到身份中。
**注意**
我们建议您为每个密钥创建一个策略。这样做可以确保实例只能访问相应的密钥,并在实例受损时将影响降至最低。
#### 创建 Linux EC2 DomainJoin 角色
您可以使用 IAM 控制台创建用于域加入 Linux EC2 实例的角色。
**创建 Linux EC2 DomainJoin 角色**
1. 以有权创建 IAM 策略的用户 AWS 管理控制台 身份登录。然后在上打开 IAM 控制台[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中的**访问管理**下,选择**角色**。
1. 在内容窗格中,选择**创建角色**。
1. 在**选择受信任实体的类型**下,选择 **AWS 服务**。
1. 在**使用案例**下,选择 **EC2**,然后选择**下一步**。
![\[在 IAM 控制台的 “选择可信实体” 页面上。 AWS 服务和 EC2 已选中。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/iam-console-trusted-entity.png)
1. 对于**筛选策略**,执行以下操作:
1. 输入 **AmazonSSMManagedInstanceCore**。然后选择列表中该项目的复选框。
1. 输入 **AmazonSSMDirectoryServiceAccess**。然后选择列表中该项目的复选框。
1. 输入 **SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read**(或您在上一过程中创建的策略名称)。然后选择列表中该项目的复选框。
1. 添加了上面列出的三个策略后,选择**创建角色**。
**注意**
Amazon SSMDirectory ServiceAccess 提供将实例加入由管理的活动目录的权限 Directory Service。Amazon SSMManaged InstanceCore 提供使用该 AWS Systems Manager 服务所需的最低权限。有关创建具有这些权限的角色的更多信息,以及您可以分配给 IAM 角色的其他权限和策略的信息,请参阅《AWS Systems Manager 用户指南》**中的[为 Systems Manager 创建 IAM 实例配置文件](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html)。
1. 在**角色名称**字段中,输入新角色的名称,如 **LinuxEC2DomainJoin** 或您喜欢的其他名称。
1. (可选)对于**角色描述**,请输入描述。
1. (可选)在**步骤 3:添加标签**下选择**添加新标签**以添加标签。标签键值对用于组织、跟踪或控制此角色的访问权限。
1. 选择**创建角色**。
## 将 Linux 实例无缝加入 Simple AD Active Directory
**无缝加入 Linux 实例**
1. 登录 AWS 管理控制台 并打开 Amazon EC2 控制台,网址为[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。
1. 从导航栏的区域选择器中,选择与现有目录 AWS 区域 相同的目录。
1. 在 **EC2 控制面板**的**启动实例**部分,选择**启动实例**。
1. 在**启动实例**页面的**名称和标签**部分下,输入您要用于 Linux EC2 实例的名称。
1. *(可选)*选择**添加其他标签**,添加一个或多个标签键值对,以组织、跟踪或控制此 EC2 实例的访问权限。
1. 在**应用程序和操作系统映像(Amazon 机器映像)**部分中,选择您想要启动的 Linux AMI。
**注意**
使用的 AMI 必须具有 AWS Systems Manager (SSM 代理)版本 2.3.1644.0 或更高版本。要通过从该 AMI 启动实例来检查 AMI 中已安装的 SSM Agent 版本,请参阅[获取当前安装的 SSM Agent 版本](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-get-version.html)。如果您需要升级 SSM Agent,请参阅[在适用于 Linux 的 EC2 实例上安装和配置 SSM Agent](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html)。
SSM 在将 Linux 实例加入 Active Directory 域时使用 `aws:domainJoin` 插件。该插件将 Linux 实例的主机名更改为 EC2 AMAZ-*XXXXXXX* 格式。有关 `aws:domainJoin` 的更多信息,请参阅《AWS Systems Manager 用户指南》**中的 [AWS Systems Manager 命令文档插件参考](https://docs.aws.amazon.com//systems-manager/latest/userguide/documents-command-ssm-plugin-reference.html#aws-domainJoin)。
1. 在**实例类型**部分,从**实例类型**下拉列表中选择要使用的实例类型。
1. 在**密钥对(登录)**部分,您可以选择创建新密钥对,或从现有密钥对中进行选择。要创建新的密钥对,请选择**新建新密钥对**。输入密钥对的名称,然后为**密钥对类型**和**私钥文件格式**选择一个选项。要以可与 OpenSSH 一起使用的格式保存私钥,请选择 **pem**。要以可与 PuTTY 一起使用的格式保存私钥,请选择 **ppk**。选择**创建密钥对**。您的浏览器会自动下载私有密钥文件。将私有密钥文件保存在安全位置。
**重要**
这是您保存私有密钥文件的唯一机会。
1. 在**启动实例**页面的**网络设置**部分下,选择**编辑**。从 **VPC – *必需***下拉列表中选择创建目录的 **VPC**。
1. 从**子网**下拉列表中选择 VPC 中的其中一个公有子网。选择的子网必须将所有外部流量都路由到互联网网关。否则将无法远程连接到实例。
有关如何连接到互联网网关的更多信息,请参阅《Amazon VPC 用户指南》**中的[使用互联网网关连接到互联网](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html)。
1. 在**自动分配公有 IP** 下,选择**启用**。
有关公共和私有 IP 寻址的更多信息,请参阅《Amazon EC2 用户指南》**中的 [Amazon EC2 实例 IP 寻址](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html)。
1. 对于**防火墙(安全组)**设置,您可以使用默认设置或进行更改以满足您的需求。
1. 对于**配置存储**设置,您可以使用默认设置或进行更改以满足您的需求。
1. 选择**高级详细信息**部分,从**域加入目录**下拉列表中选择您的域。
**注意**
选择域加入目录后,您可能会看到:
![\[选择域加入目录时出现错误消息。您现有的 SSM 文档存在错误。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/SSM-Error-Message.png)
当 EC2 启动向导识别到某个现有 SSM 文档包含意外属性时,会发生此错误。您可以执行以下操作之一:
如果您之前编辑了 SSM 文档且属性为预期属性,请选择关闭并继续启动 EC2 实例,不做任何更改。
选择“在此处删除现有 SSM 文档”链接以删除 SSM 文档。这将允许创建包含正确属性的 SSM 文档。启动 EC2 实例时,将自动创建 SSM 文档。
1. 对于 **IAM 实例配置文件**,请选择您之前在先决条件部分**步骤 2:创建 Linux EC2 DomainJoin 角色中创建的 IAM 角色**。
1. 选择**启动实例**。
**注意**
如果您要使用 SUSE Linux 进行无缝域加入,则需要重新启动才能进行身份验证。要从 Linux 终端重启 SUSE,请键入 **sudo reboot**。
# 手动将 Amazon EC2 Linux 实例加入 Simple AD Active Directory
除 Amazon EC2 Windows 实例外,您还可以将特定 Amazon EC2 Linux 实例加入 Simple AD Active Directory。支持以下 Linux 实例分发版和版本:
+ Amazon Linux AMI 2018.03.0
+ Amazon Linux 2(64 位 x86)
+ Amazon Linux 2023 AMI
+ Red Hat Enterprise Linux 8 (HVM)(64 位 x86)
+ Ubuntu Server 18.04 LTS 和 Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ SUSE Linux 企业服务器 15 SP1
**注意**
其他 Linux 分发版和版本可能会正常运行,但未经过测试。
## 先决条件
必须先按照 [将 Amazon EC2 Linux 实例无缝加入 Simple AD Active Directory](simple_ad_seamlessly_join_linux_instance.md) 中指定的步骤启动实例,然后才能将 Amazon Linux、CentOS、Red Hat 或 Ubuntu 实例加入目录。
**重要**
以下某些过程如果未正确执行,可能会使实例无法访问或不可用。因此,我们强烈建议在执行这些过程之前对实例创建备份或拍摄快照。
**将 Linux 实例加入目录**
使用以下选项卡之一对特定 Linux 实例执行步骤:
------
#### [ Amazon Linux ]
1. 使用任何 SSH 客户端连接到实例。
1. 将 Linux 实例配置为使用 Directory Service提供的 DNS 服务器的 DNS 服务器 IP 地址。可以通过在附加到 VPC 的 DHCP 选项集中进行设置,或是通过在实例上手动设置,来执行此操作。如果要手动设置,请参阅 AWS 知识中心的[如何为私有 EC2 实例分配静态 DNS 服务器](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/),以了解有关为特定 Linux 分发版和版本设置持久性 DNS 服务器的指导。
1. 确保 64 位 Amazon Linux 实例为最新状态。
```
sudo yum -y update
```
1. 在 Linux 实例上安装所需的 Amazon Linux 软件包。
**注意**
其中一些程序包可能已安装。
安装程序包时,可能会遇到几个弹出配置屏幕。通常可以将这些屏幕中的字段保留为空白。
Amazon Linux
```
sudo yum install samba-common-tools realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation
```
**注意**
有关确定您所使用的 Amazon Linux 版本的帮助,请参阅《**Amazon EC2 用户指南(适用于 Linux 实例)》中的[识别 Amazon Linux 映像](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/amazon-linux-ami-basics.html#amazon-linux-image-id)。
1. 使用以下命令将实例加入目录。
```
sudo realm join -U join_account@EXAMPLE.COM example.com --verbose
```
*join\$1account@EXAMPLE.COM*
*example.com*网域中具有域加入权限的账户。在出现提示时输入账户的密码。有关委托这些权限的更多信息,请参阅[为托 AWS 管 Microsoft AD 委派目录加入权限](directory_join_privileges.md)。
*example.com*
目录的完全限定 DNS 名称。
```
...
* Successfully enrolled machine in realm
```
1. 设置 SSH 服务以允许进行密码身份验证。
1. 在文本编辑器中打开 `/etc/ssh/sshd_config` 文件。
```
sudo vi /etc/ssh/sshd_config
```
1. 将 `PasswordAuthentication` 设置为 `yes`。
```
PasswordAuthentication yes
```
1. 重新启动 SSH 服务。
```
sudo systemctl restart sshd.service
```
或者:
```
sudo service sshd restart
```
1. 重新启动实例之后,使用任何 SSH 客户端连接到它,然后通过执行以下步骤将域管理员组添加到 sudoers 列表:
1. 使用以下命令打开 `sudoers` 文件:
```
sudo visudo
```
1. 将以下内容添加到 `sudoers` 文件的底部并保存该文件。
```
## Add the "Domain Admins" group from the example.com domain.
%Domain\ Admins@example.com ALL=(ALL:ALL) ALL
```
(以上示例使用“\$1”形成 Linux 空格字符。)
------
#### [ CentOS ]
1. 使用任何 SSH 客户端连接到实例。
1. 将 Linux 实例配置为使用 Directory Service提供的 DNS 服务器的 DNS 服务器 IP 地址。可以通过在附加到 VPC 的 DHCP 选项集中进行设置,或是通过在实例上手动设置,来执行此操作。如果要手动设置,请参阅 AWS 知识中心的[如何为私有 EC2 实例分配静态 DNS 服务器](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/),以了解有关为特定 Linux 分发版和版本设置持久性 DNS 服务器的指导。
1. 确保 CentOS 7 实例为最新状态。
```
sudo yum -y update
```
1. 在 Linux 实例上安装所需 CentOS 7 软件包。
**注意**
其中一些程序包可能已安装。
安装程序包时,可能会遇到几个弹出配置屏幕。通常可以将这些屏幕中的字段保留为空白。
```
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
```
1. 使用以下命令将实例加入目录。
```
sudo realm join -U join_account@example.com example.com --verbose
```
*join\$1account@example.com*
*example.com*网域中具有域加入权限的账户。在出现提示时输入账户的密码。有关委托这些权限的更多信息,请参阅[为托 AWS 管 Microsoft AD 委派目录加入权限](directory_join_privileges.md)。
*example.com*
目录的完全限定 DNS 名称。
```
...
* Successfully enrolled machine in realm
```
1. 设置 SSH 服务以允许进行密码身份验证。
1. 在文本编辑器中打开 `/etc/ssh/sshd_config` 文件。
```
sudo vi /etc/ssh/sshd_config
```
1. 将 `PasswordAuthentication` 设置为 `yes`。
```
PasswordAuthentication yes
```
1. 重新启动 SSH 服务。
```
sudo systemctl restart sshd.service
```
或者:
```
sudo service sshd restart
```
1. 重新启动实例之后,使用任何 SSH 客户端连接到它,然后通过执行以下步骤将域管理员组添加到 sudoers 列表:
1. 使用以下命令打开 `sudoers` 文件:
```
sudo visudo
```
1. 将以下内容添加到 `sudoers` 文件的底部并保存该文件。
```
## Add the "Domain Admins" group from the example.com domain.
%Domain\ Admins@example.com ALL=(ALL:ALL) ALL
```
(以上示例使用“\$1”形成 Linux 空格字符。)
------
#### [ Red hat ]
1. 使用任何 SSH 客户端连接到实例。
1. 将 Linux 实例配置为使用 Directory Service提供的 DNS 服务器的 DNS 服务器 IP 地址。可以通过在附加到 VPC 的 DHCP 选项集中进行设置,或是通过在实例上手动设置,来执行此操作。如果要手动设置,请参阅 AWS 知识中心的[如何为私有 EC2 实例分配静态 DNS 服务器](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/),以了解有关为特定 Linux 分发版和版本设置持久性 DNS 服务器的指导。
1. 确保 Red Hat - 64 位实例为最新状态。
```
sudo yum -y update
```
1. 在 Linux 实例上安装所需的 Red Hat 程序包。
**注意**
其中一些程序包可能已安装。
安装程序包时,可能会遇到几个弹出配置屏幕。通常可以将这些屏幕中的字段保留为空白。
```
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
```
1. 使用以下命令将实例加入目录。
```
sudo realm join -v -U join_account example.com --install=/
```
*join\$1account*
域中具有*example.com*域加入权限的帐户的**AMAccount名称**。在出现提示时输入账户的密码。有关委托这些权限的更多信息,请参阅[为托 AWS 管 Microsoft AD 委派目录加入权限](directory_join_privileges.md)。
*example.com*
目录的完全限定 DNS 名称。
```
...
* Successfully enrolled machine in realm
```
1. 设置 SSH 服务以允许进行密码身份验证。
1. 在文本编辑器中打开 `/etc/ssh/sshd_config` 文件。
```
sudo vi /etc/ssh/sshd_config
```
1. 将 `PasswordAuthentication` 设置为 `yes`。
```
PasswordAuthentication yes
```
1. 重新启动 SSH 服务。
```
sudo systemctl restart sshd.service
```
或者:
```
sudo service sshd restart
```
1. 重新启动实例之后,使用任何 SSH 客户端连接到它,然后通过执行以下步骤将域管理员组添加到 sudoers 列表:
1. 使用以下命令打开 `sudoers` 文件:
```
sudo visudo
```
1. 将以下内容添加到 `sudoers` 文件的底部并保存该文件。
```
## Add the "Domain Admins" group from the example.com domain.
%Domain\ Admins@example.com ALL=(ALL:ALL) ALL
```
(以上示例使用“\$1”形成 Linux 空格字符。)
------
#### [ Ubuntu ]
1. 使用任何 SSH 客户端连接到实例。
1. 将 Linux 实例配置为使用 Directory Service提供的 DNS 服务器的 DNS 服务器 IP 地址。可以通过在附加到 VPC 的 DHCP 选项集中进行设置,或是通过在实例上手动设置,来执行此操作。如果要手动设置,请参阅 AWS 知识中心的[如何为私有 EC2 实例分配静态 DNS 服务器](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/),以了解有关为特定 Linux 分发版和版本设置持久性 DNS 服务器的指导。
1. 确保您的 Ubuntu - 64 位实例为最新状态。
```
sudo apt-get update
sudo apt-get -y upgrade
```
1. 在 Linux 实例上安装所需的 Ubuntu 程序包。
**注意**
其中一些程序包可能已安装。
安装程序包时,可能会遇到几个弹出配置屏幕。通常可以将这些屏幕中的字段保留为空白。
```
sudo apt-get -y install sssd realmd krb5-user samba-common packagekit adcli
```
1. 禁用反向 DNS 解析,并将默认领域设置为您的域的 FQDN。Ubuntu 实例在 DNS 中**必须** 可以反向解析,领域才能使用。否则,您必须在 /etc/krb5.conf 中禁用 DNS,如下所示:
```
sudo vi /etc/krb5.conf
```
```
[libdefaults]
default_realm = EXAMPLE.COM
rdns = false
```
1. 使用以下命令将实例加入目录。
```
sudo realm join -U join_account example.com --verbose
```
*join\$1account@example.com*
域中具有*example.com*域加入权限的帐户的**AMAccount名称**。在出现提示时输入账户的密码。有关委托这些权限的更多信息,请参阅[为托 AWS 管 Microsoft AD 委派目录加入权限](directory_join_privileges.md)。
*example.com*
目录的完全限定 DNS 名称。
```
...
* Successfully enrolled machine in realm
```
1. 设置 SSH 服务以允许进行密码身份验证。
1. 在文本编辑器中打开 `/etc/ssh/sshd_config` 文件。
```
sudo vi /etc/ssh/sshd_config
```
1. 将 `PasswordAuthentication` 设置为 `yes`。
```
PasswordAuthentication yes
```
1. 重新启动 SSH 服务。
```
sudo systemctl restart sshd.service
```
或者:
```
sudo service sshd restart
```
1. 重新启动实例之后,使用任何 SSH 客户端连接到它,然后通过执行以下步骤将域管理员组添加到 sudoers 列表:
1. 使用以下命令打开 `sudoers` 文件:
```
sudo visudo
```
1. 将以下内容添加到 `sudoers` 文件的底部并保存该文件。
```
## Add the "Domain Admins" group from the example.com domain.
%Domain\ Admins@example.com ALL=(ALL:ALL) ALL
```
(以上示例使用“\$1”形成 Linux 空格字符。)
------
**注意**
使用 Simple AD 时,如果在 Linux 实例上创建用户账户时使用了“强制用户在首次登录时更改密码”选项,则该用户无法使用 **kpasswd** 首次更改其密码。要首次更改密码,域管理员必须使用 Active Directory 管理工具更新用户密码。
## 通过 Linux 实例管理账户
要通过 Linux 实例管理 Simple AD 中的账户,您必须更新您的 Linux 实例上的特定配置文件,如下所示:
1. ****在 /.conf 文件中将 **krb5\$1use\$1kdcin** fo 设置为 False。etc/sssd/sssd****例如:
```
[domain/example.com]
krb5_use_kdcinfo = False
```
1. 需要重启 sssd 服务配置才能生效:
```
$ sudo systemctl restart sssd.service
```
或者,您也可以使用:
```
$ sudo service sssd start
```
1. 如果您将通过 CentOS Linux 实例管理用户,还必须编辑文件 **/etc/smb.conf** 以包括:
```
[global]
workgroup = EXAMPLE.COM
realm = EXAMPLE.COM
netbios name = EXAMPLE
security = ads
```
## 限制账户登录访问
因为所有账户都是在 Active Directory 中定义的,因此默认情况下,目录中的所有用户都可以登录该实例。可以在 **sssd.conf** 中使用 **ad\$1access\$1filter** 来仅允许特定用户登录到实例。例如:
```
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
```
*memberOf*
指示仅当用户是特定组的成员时,才允许他们访问实例。
*cn*
应具有访问权限的组的通用名称。在此示例中,组名为*admins*。
*ou*
这是上面的组所在的组织单位。在此示例中,OU 是*Testou*。
*dc*
这是您的域的域组成部分。在本示例中,*example*。
*dc*
这是附加域组成部分。在本示例中,*com*。
您必须手动将 **ad\$1access\$1filter** 添加到 **/etc/sssd/sssd.conf**。
在文本编辑器中打开 **/etc/sssd/sssd.conf** 文件。
```
sudo vi /etc/sssd/sssd.conf
```
执行此操作之后,**sssd.conf** 可能类似于下面这样:
```
[sssd]
domains = example.com
config_file_version = 2
services = nss, pam
[domain/example.com]
ad_domain = example.com
krb5_realm = EXAMPLE.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
```
需要重启 sssd 服务配置才能生效:
```
sudo systemctl restart sssd.service
```
或者,您也可以使用:
```
sudo service sssd restart
```
## ID 映射
可以通过两种方法执行 ID 映射,以维护 UNIX/Linux 用户标识符(UID)和组标识符(GID)以及 Windows 和 Active Directory 安全标识符(SID)身份之间的统一体验。这些方法如下:
1. 集中化
1. 分布式
**注意**
Active Directory 中的集中式用户身份映射需要可移植操作系统接口或 POSIX。
**集中式用户身份映射**
Active Directory 或其他轻型目录访问协议(LDAP)服务为 Linux 用户提供 UID 和 GID。在 Active Directory 中,如果配置了 POSIX 扩展,这些标识符将存储在用户的属性中:
+ UID:Linux 用户名(字符串)
+ UID 号:Linux 用户 ID 号(整数)
+ GID 号:Linux 组 ID 号(整数)
要将 Linux 实例配置为使用 Active Directory 提供的 UID 和 GID,请在 sssd.conf 文件中设置 `ldap_id_mapping = False`。在设置此值之前,请确认您已向 Active Directory 中的用户和组添加了 UID、UID 号和 GID 号。
**分布式用户身份映射**
如果 Active Directory 没有 POSIX 扩展名,或者如果您选择不集中管理身份映射,Linux 可以计算 UID 和 GID 值。Linux 使用用户的唯一安全标识符(SID)来保持一致性。
要配置分布式用户 ID 映射,请在 sssd.conf 文件中设置 `ldap_id_mapping = True`。
**常见问题**
如果设置 `ldap_id_mapping = False`,有时启动 SSSD 服务会失败。此失败的原因是由于更改 UIDs 不支持。建议在每次从 ID 映射更改为 POSIX 属性,或从 POSIX 属性更改为 ID 映射时删除 SSSD 缓存。有关 ID 映射与 ldap\$1id\$1mapping 参数的更多详细信息,请参阅 Linux 命令行中的 sssd-ldap(8) 手册页。
## 连接到 Linux 实例
当用户使用 SSH 客户端连接到实例时,系统会提示他们输入用户名。用户可以采用 `username@example.com` 或 `EXAMPLE\username` 格式输入用户名。响应将类似于以下内容,具体取决于您使用的 Linux 发行版:
**Amazon Linux、Red Hat Enterprise Linux 和 CentOS Linux**
```
login as: johndoe@example.com
johndoe@example.com's password:
Last login: Thu Jun 25 16:26:28 2015 from XX.XX.XX.XX
```
**SUSE Linux**
```
SUSE Linux Enterprise Server 15 SP1 x86_64 (64-bit)
As "root" (sudo or sudo -i) use the:
- zypper command for package management
- yast command for configuration management
Management and Config: https://www.suse.com/suse-in-the-cloud-basics
Documentation: https://www.suse.com/documentation/sles-15/
Forum: https://forums.suse.com/forumdisplay.php?93-SUSE-Public-Cloud
Have a lot of fun...
```
**Ubuntu Linux**
```
login as: admin@example.com
admin@example.com@10.24.34.0's password:
Welcome to Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-1057-aws x86_64)
* Documentation: https://help.ubuntu.com
* Management: https://landscape.canonical.com
* Support: https://ubuntu.com/advantage
System information as of Sat Apr 18 22:03:35 UTC 2020
System load: 0.01 Processes: 102
Usage of /: 18.6% of 7.69GB Users logged in: 2
Memory usage: 16% IP address for eth0: 10.24.34.1
Swap usage: 0%
```
# 委派 Simple AD 的目录加入权限
要将计算机加入到目录,需要有权将计算机加入到目录的账户。
对于 Simple AD,**域管理员**组的成员拥有足够权限将计算机加入到目录。
但是根据最佳实践,应使用只拥有所需的最小权限的账户。以下过程演示如何创建名为 `Joiners` 的新组,并向此组委派将计算机加入到目录所需的权限。
您必须在已加入到目录且已安装 **Active Directory 用户和计算机** MMC 管理单元的计算机上执行此过程。您还必须以域管理员身份登录。
**要委托 Simple AD 的加入权限**
1. 打开 **Active Directory User and Computers** 并在导航树中选择您的域根。
1. 在左侧的导航树中,打开 **Users** 的上下文菜单 (右键单击),选择 **New**,然后选择 **Group**。
1. 在 **New Object - Group** 框中,键入以下内容,然后选择 **OK**。
+ 对于 **Group name (组名称)**,键入 **Joiners**。
+ 对于 **Group scope**,选择 **Global**。
+ 对于 **Group type**,选择 **Security**。
1. 在导航树中,选择您的域根。从 **Action** 菜单中选择 **Delegate Control**。
1. 在 **Delegation of Control Wizard** 页面上,选择 **Next**,然后选择 **Add**。
1. 在 **Select Users, Computers, or Groups** 框中,键入 `Joiners`,然后选择 **OK**。如果找到多个对象,请选择上面创建的 `Joiners` 组。选择**下一步**。
1. 在 **Tasks to Delegate** 页面上,选择 **Create a custom task to delegate**,然后选择 **Next**。
1. 选择 **Only the following objects in the folder**,然后选择 **Computer objects**。
1. 选择 **Create selected objects in this folder**,然后选择 **Delete selected objects in this folder**。然后选择**下一步**。
![\[“委派控制向导 Active Directory 对象类型”对话框仅选择文件夹中的以下对象、用户对象、在此文件夹中创建选定对象以及删除此文件夹中的选定对象。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/aduc_delegate_join_linux.png)
1. 选择 **Read** 和 **Write**,然后选择 **Next**。
![\[“委派控制向导权限”对话框中选择了以下权限:常规权限、特定于属性权限和读取权限。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/aduc_delegate_join_permissions.png)
1. 在 **Completing the Delegation of Control Wizard** 页面上验证信息,然后选择 **Finish**。
1. 使用强密码创建一个用户,并将该用户添加到 `Joiners` 组。然后,用户将有足够的权限 Directory Service 连接到该目录。
# 为 Simple AD 创建 DHCP 选项集
AWS 建议您为 Directory Service 目录创建 DHCP 选项集,并将 DHCP 选项集分配给您的目录所在的 VPC。这使该 VPC 中的任何实例都可以指向指定域和 DNS 服务器以解析其域名。
有关 DHCP 选项集的更多信息,请参阅[https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html)《Amazon VPC 用户指南》中的 *DHCP 选项集*。
**为目录创建 DHCP 选项集**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **DHCP Options Sets**,然后选择 **Create DHCP options set**。
1. 在**创建 DHCP 选项集**页面上,输入目录的以下值:
**名称**
选项集的可选标签。
**域名**
目录的完全限定名称,例如 `corp.example.com`。
**域名服务器**
您 AWS提供的目录的 DNS 服务器的 IP 地址。
可以转到 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格,选择**目录**,然后选择正确的目录 ID,从而找到这些地址。
**NTP 服务器**
将此字段留空。
**NetBIOS 名称服务器**
将此字段留空。
**NetBIOS 节点类型**
将此字段留空。
1. 选择**创建 DHCP 选项集**。新的 DHCP 选项集会出现在您的 DHCP 选项列表中。
1. 记下新的 DHCP 选项集的 ID (dopt-*xxxxxxxx*)。使用它将新选项集与 VPC 相关联。
**更改与 VPC 相关联的 DHCP 选项集。**
在您创建 DHCP 选项集之后,您便无法再修改这些选项。如果您希望 VPC 使用不同的 DHCP 选项集,您必须创建新的选项集,并将其与您的 VPC 相关联。您还可以设置 VPC,让其不使用任何 DHCP 选项。
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择**您的 VPCs**。
1. 选择 VPC,然后依次选择**操作**、**编辑 VPC 设置**。
1. 对于 **DHCP 选项集**,选择一个选项集或选择**无 DHCP 选项集**,然后选择**保存**。
要使用命令行更改与 VPC 相关联的 DHCP 选项集,请参阅以下内容:
+ **AWS CLI**: [associate-dhcp-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-dhcp-options.html)
+ **AWS Tools for Windows PowerShell**: [Register-EC2DhcpOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2DhcpOption.html)
# Simple AD 中的用户和组管理
用户表示有权访问您的目录的独立个人或实体。对于针对用户组授予或拒绝权限非常有用,从而不必将这些权限应用于每个独立用户。如果用户移动到不同的组织,您将该用户移动到不同的组后,他们会自动接收新组织所需的权限。
要在 Directory Service 目录中创建用户和组,必须使用任何已加入 Directory Service 目录的实例(本地或 EC2),并以有权创建用户和组的用户身份登录。您还需要在 EC2实例上安装 Active Directory 工具,这样您就可以使用 Active Directory 用户和计算机管理单元添加用户和群组。有关如何设置 EC2 实例和安装必要工具的更多信息,请参阅[将 Amazon EC2 实例加入到您的 Simple AD 的方法](simple_ad_join_instance.md)。
**注意**
用户账户必须启用 Kerberos 预身份验证。这是新用户账户的默认设置,但它不应进行修改。有关此设置的更多信息,请转到 Microsoft TechNet 上的[预身份验证](http://technet.microsoft.com/en-us/library/cc961961.aspx)。
以下主题介绍了如何创建和管理用户和组。
**Topics**
+ [安装适用于 Simple AD 的 Active Directory 管理工具](simple_ad_install_ad_tools.md)
+ [创建 Simple AD 用户](simple_ad_manage_users_groups_create_user.md)
+ [删除 Simple AD 用户](simple_ad_manage_users_groups_delete_user.md)
+ [重置 Simple AD 用户密码](simple_ad_manage_users_groups_reset_password.md)
+ [创建 Simple AD 组](simple_ad_manage_users_groups_create_group.md)
+ [将 Simple AD 用户添加到组](simple_ad_manage_users_groups_add_user_to_group.md)
# 安装适用于 Simple AD 的 Active Directory 管理工具
要从 Amazon EC2 Windows Server 实例中管理 Active Directory,您需要在实例上安装 Active Directory Domain Services 和 Active Directory Lightweight Directory Services 工具。使用以下过程在 EC2 Windows Server 实例上安装这些工具。
## 先决条件
在开始此过程之前,请完成以下操作:
1. 创建 Simple AD Active Directory。有关更多信息,请参阅 [创建 Simple AD](simple_ad_getting_started.md#how_to_create_simple_ad)。
1. 启动 EC2 Windows Server 实例并将其加入 Simple AD Active Directory。EC2 实例需要使用以下策略来创建用户和组:**AmazonSSMManagedInstanceCore** 和 **AmazonSSMDirectoryServiceAccess**。有关更多信息,请参阅 [将 Amazon EC2 Windows 实例加入 Simple AD Active Directory](simple_ad_launching_instance.md)。
1. 您将需要您的 Active Directory 域管理员的凭证。这些凭证是在创建 Simple AD 时创建的。如果您按照[创建 Simple AD](simple_ad_getting_started.md#how_to_create_simple_ad) 中的过程操作,则您的管理员用户名将包括您的 NetBIOS 名称 **corp\$1administrator**。
**在 EC2 Windows Server 实例上安装 Active Directory 管理工具**
1. 打开位于 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 的 Amazon EC2 控制台。
1. 在 Amazon EC2 控制台中,选择**实例**,选择 Windows Server 实例,然后选择**连接**。
1. 在**连接到实例**页面中,选择 **RDP 客户端**。
1. 在 **RDP 客户端**选项卡中,选择**下载远程桌面文件**,然后选择**获取密码**,以检索密码。
1. 在**获取 Windows 密码**中,选择**上传私钥文件**。选择与 Windows Server 实例关联的 .pem 私钥文件。上传私钥文件后,选择**解密密码**。
1. 在 **Windows 安全**对话框中,复制 Windows Server 计算机的本地管理员凭证以登录。用户名可以采用以下格式:***NetBIOS-Name*\$1administrator** 或 ***DNS-Name*\$1administrator**。例如,如果您按照[创建 Simple AD](simple_ad_getting_started.md#how_to_create_simple_ad) 中的过程进行操作,则用户名将为 **corp\$1administrator**。
1. 登录 Windows Server 实例后,从“开始”菜单中选择**服务器管理器**,打开**服务器管理器**。
1. 在**服务器管理器**控制面板中,选择**添加角色和功能**。
1. 在 **Add Roles and Features Wizard (添加角色和功能向导)** 中,依次选择 **Installation Type (安装类型)**、**Role-based or feature-based installation (基于角色或基于功能的安装)** 和 **Next (下一步)**。
1. 在 **Server Selection (服务器选择)** 下,确保已选中本地服务器,然后选择左侧导航栏中的 **Features (功能)**。
1. 在**功能**树中,依次选择并打开**远程服务器管理工具**、**角色管理工具**和 **AD DS 和 AD LDS 工具**。选择 **AD DS 和 AD LDS 工具**后,将选择**适用于 PowerShell 的 Active Directory 模块**、**AD DS 工具**和 **AD LDS 管理单元和命令行工具**。向下滚动并选择 **DNS 服务器工具**,然后选择**下一步**。
![\[在选定工具的情况下安装 Microsoft AD 工具、添加角色和功能向导以及功能树。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/ms-install-ad-tools.png)
1. 检查信息,然后选择**安装**。当该功能安装完成后,Active Directory 域服务工具和 Active Directory 轻量级目录服务工具将出现在“开始”菜单的**管理工具**文件夹中。
# 创建 Simple AD 用户
使用以下过程创建具有已加入您的 Simple AD 目录的 Amazon EC2 实例的用户。在创建用户之前,您需要完成[安装 Active Directory 管理工具](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_install_ad_tools.html)中的过程。
**注意**
使用 Simple AD 时,如果在 Linux 实例上创建用户账户时使用了“强制用户在首次登录时更改密码”选项,则该用户无法使用 **kpasswd** 首次更改其密码。要首次更改密码,域管理员必须使用 Active Directory 管理工具更新用户密码。
**创建用户**
1. 连接到安装了 Active Directory 管理工具的实例。
1. 从 Windows 的“开始”菜单中打开“Active Directory 用户和计算机”工具。**Windows 管理工具**文件夹中有一个该工具的快捷方式。
**提示**
您可以通过实例上的命令提示符运行以下命令,直接打开“Active Directory 用户和计算机”工具框。
```
%SystemRoot%\system32\dsa.msc
```
1. 在目录树中,在目录的 NetBIOS 名称 OU 下选择要存储用户的 OU(例如 **corp\$1Users**)。有关中目录使用的 OU 结构的更多信息 AWS,请参阅[用你的 AWS 托管 Microsoft AD 创建了什么](ms_ad_getting_started_what_gets_created.md)。
![\[Active Directory 用户和计算机工具显示示例 OU 结构。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/create-security-groups-OU.png)
1. 在**操作** 菜单上,选择**新建**,然后选择**用户**打开新用户向导。
1. 在向导的第一页上,输入以下字段的值,然后选择**下一步**。
+ **名**
+ **姓**
+ **User logon name**
1. 在新用户向导的第二页上,为**密码**和**确认密码**输入临时密码。确保选中了**用户下次登录时必须更改密码**选项。不应选择任何其他选项。选择**下一步**。
1. 在新用户向导的第三页上,验证新用户的信息正确无误,然后选择**完成**。新用户会出现在 **Users** 文件夹中。
# 删除 Simple AD 用户
使用以下过程可删除其 Amazon EC2 Windows 实例加入到 Simple AD 目录的用户。
**要删除用户**
1. 连接到安装了 Active Directory 管理工具的实例。
1. 从 Windows 的“开始”菜单中打开“Active Directory 用户和计算机”工具。**Windows 管理工具**文件夹中有一个该工具的快捷方式。
**提示**
您可以通过实例上的命令提示符运行以下命令,直接打开“Active Directory 用户和计算机”工具框。
```
%SystemRoot%\system32\dsa.msc
```
1. 在目录树中,选择包含要删除的用户的 OU(例如,**corp\$1Users**)。
![\[Active Directory 用户和计算机工具显示示例 OU 结构。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/create-security-groups-OU.png)
1. 选择要删除的用户。在**操作** 菜单上,选择**删除**。
1. 将出现一个对话框,提示您确认要删除该用户。选择**是**以删除该用户。此操作将永久删除所选用户。
# 重置 Simple AD 用户密码
用户必须遵守 Active Directory 中定义的密码策略。此机制有时会为忘记密码的用户提供极大便利,包括 Active Directory 管理员。发生这种情况时, Directory Service 如果用户居住在 Simple AD 中,则可以使用快速重置用户的密码。
您必须以具有必要权限的用户身份登录才能重置密码。有关权限的更多信息,请参阅 [管理 Directory Service 资源访问权限概述](IAM_Auth_Access_Overview.md)。
您可以为 Active Directory 中的任何用户重置密码,但以下情况除外:
+ 您可以为基于您在创建 Active Directory 时使用的 NetBIOS 名称的组织单元(OU)内的任何用户重置密码。例如,如果您按照中的[创建 Simple AD](simple_ad_getting_started.md#how_to_create_simple_ad)步骤操作,则您的 NetBIOS 名称将为 CORP,而您可以重置的用户密码将是 OU 的成 Corp/Users 员。
+ 您无法为基于您在创建 Active Directory 时使用的 NetBIOS 名称的 OU 之外的任何用户重置密码。有关 Simple AD 的 OU 结构的更多信息,请参阅[随 Simple AD 创建的内容](simple_ad_what_gets_created.md)。
+ 您无法为属于两个域的任何用户重置密码。除了管理员用户之外,您也无法重置属于**域管理员**或**企业管理员**组成员的任何用户的密码。
+ 除了管理员用户之外,您无法重置属于域管理员或企业管理员组成员的任何用户的密码。
**您可以使用以下任意方法重置用户的密码:**
+ AWS 管理控制台
+ AWS CLI
------
#### [ AWS 管理控制台 ]
1. 在 [Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格的 **Active Directory** 下,选择**目录**,然后在列表中选择要重置用户密码的 Active Directory。
1. 在**目录详细信息**页面上,选择**操作**,然后选择**重置密码**。
1. 在**重置用户密码**对话框中,在**用户名**中键入需要更改密码的用户的用户名。
1. 在**新密码**和**确认密码**中键入密码,然后选择**重置密码**。
------
#### [ AWS CLI ]
1. 要安装 AWS CLI,请参阅[安装或更新最新版本的 AWS CLI](https://docs.aws.amazon.com//cli/latest/userguide/getting-started-install.html)。
1. 打开 AWS CLI.
1. 键入以下命令,将目录 ID、用户名 **jane.doe** 和密码 **P@ssw0rd** 替换为您的 Active Directory 目录 ID 和所需的凭证。有关更多信息 [reset-user-password](https://docs.aws.amazon.com/cli/latest/reference/ds/reset-user-password.html),请参阅《*AWS CLI 命令参考*》中的。
```
aws ds reset-user-password --directory-id d-1234567890 --user-name "jane.doe" --new-password "P@ssw0rd"
```
------
# 创建 Simple AD 组
使用以下步骤创建包含已加入您的 Simple AD 目录的 Amazon EC2 实例的安全组。在创建安全组之前,您需要完成[安装 Active Directory 管理工具](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_install_ad_tools.html)中的过程。
**创建组**
1. 连接到安装了 Active Directory 管理工具的实例。
1. 打开“Active Directory 用户和计算机”工具。**管理工具**文件夹中有一个该工具的快捷方式。
**提示**
您可以通过实例上的命令提示符运行以下命令,直接打开“Active Directory 用户和计算机”工具框。
```
%SystemRoot%\system32\dsa.msc
```
1. 在目录树中,在目录的 NetBIOS 名称 OU 下选择要存储组的 OU(例如 Corp\$1Users)。有关中目录使用的 OU 结构的更多信息 AWS,请参阅[用你的 AWS 托管 Microsoft AD 创建了什么](ms_ad_getting_started_what_gets_created.md)。
![\[Active Directory 用户和计算机工具显示示例 OU 结构。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/create-security-groups-OU.png)
1. 在 **Action** 菜单上,单击 **New**,然后单击 **Group** 打开新组向导。
1. 在组名称中键入**组名称**,选择满足您需求**组范围**,然后为**组类型**选择**安全**。有关 Active Directory 组范围和安全组的更多信息,请参阅 Microsoft Windows Server 文档中的 [Active Directory 安全组](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-groups)。
1. 单击**确定**。新安全组会出现在**用户**文件夹中。
# 将 Simple AD 用户添加到组
使用以下步骤将用户添加到安全组,其 EC2 实例已加入您的 Simple AD 目录。
**将用户添加到组**
1. 连接到安装了 Active Directory 管理工具的实例。
1. 打开“Active Directory 用户和计算机”工具。**管理工具**文件夹中有一个该工具的快捷方式。
**提示**
您可以通过实例上的命令提示符运行以下命令,直接打开“Active Directory 用户和计算机”工具框。
```
%SystemRoot%\system32\dsa.msc
```
1. 在目录树中,选择存储组的目录 NetBIOS 名称 OU 下的 OU,然后选择要添加用户为成员的组。
![\[Active Directory 用户和计算机工具显示示例 OU 结构。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/create-security-groups-OU.png)
1. 在**操作**菜单上,单击**属性**打开组的属性对话框。
1. 选择**成员**选项卡并单击**添加**。
1. 在**输入要选择的对象名称**中,键入要添加的用户名,然后单击**确定**。该名称将显示在**成员**列表中。再次单击 **OK** 更新组成员资格。
1. 通过在**用户**文件夹中选择用户,然后单击**操作**菜单中的**属性**打开属性对话框,验证该用户现在是否是组的成员。选择**成员**选项卡。您应该可以在用户所属的组列表中看到组的名称。
# Simple AD 限额
一般而言,您不应将 500 以上的用户添加到小型 Simple AD 目录,并且不应将 5000 以上的用户添加到大型 Simple AD 目录。要获得更灵活的缩放选项和其他 Active Directory 功能,可以考虑改用适用于 Microsoft Active Directory(标准版或企业版)的 AWS 目录服务。
下面是 Simple AD 的默认限额。除非另有说明,否则每个限额均与区域一一对应。
**Simple AD 限额**
| 资源 | 默认配额 |
| --- | --- |
| Simple AD 目录 | 10 |
| 手动快照\$1 | 每个 Simple AD 5 个 |
\$1 手动快照限额无法更改。
**注意**
您不能将公有 IP 地址附加到您的 AWS 弹性网络接口 (ENI)。
# Simple AD 问题排查
以下内容可以帮助排查在创建或使用 Simple AD Active Directory 时可能会遇到的一些常见问题。
**Topics**
+ [密码找回](#simple_ad_tshoot_password_recovery)
+ [当将用户添加到 Simple AD 时,我收到“KDC can't fulfill requested option”错误](#kdc_requested_option)
+ [我无法更新已加入域的实例的 DNS 名称或 IP 地址 (DNS 动态更新)](#dns_dynamic_updates)
+ [我无法使用 SQL Server 账户登录 SQL Server](#sql_login_fail)
+ [我的 Simple AD 处于“Requested”状态](#stuck_in_requested1)
+ [我在创建 Simple AD 时遇到“AZ constrained”错误](#contrained_az1)
+ [我的某些用户无法使用 Simple AD 进行身份验证](#kerberos_preauth1)
+ [其他资源](#troubleshoot_general_resources)
+ [Simple AD 目录状态消息故障排除](simple_ad_troubleshooting_reasons.md)
## 密码找回
如果用户忘记密码或在登录到 Simple AD 目录时遇到问题,您可以使用 AWS 管理控制台、PowerShell 或 AWS CLI重置其密码。
有关更多信息,请参阅 [重置 Simple AD 用户密码](simple_ad_manage_users_groups_reset_password.md)。
## 当将用户添加到 Simple AD 时,我收到“KDC can't fulfill requested option”错误
当 Samba CLI 客户端未正确将 `net` 命令发送到所有域控制器时,会出现此错误。如果您使用 `net ads` 命令将用户添加到 Simple AD 目录时看到此错误消息,请使用 `-S` 参数并指定任一域控制器的 IP 地址。如果您仍看到此错误,请尝试另一个域控制器。您还可以使用 Active Directory 管理工具将用户添加到您的目录中。有关更多信息,请参阅 [安装适用于 Simple AD 的 Active Directory 管理工具](simple_ad_install_ad_tools.md)。
## 我无法更新已加入域的实例的 DNS 名称或 IP 地址 (DNS 动态更新)
Simple AD 域中不支持 DNS 动态更新。可以改为通过在加入域的实例上使用 DNS 管理器连接到目录,直接进行更改。
## 我无法使用 SQL Server 账户登录 SQL Server
如果尝试结合使用 SQL Server Management Studio(SSMS)与 SQL Server 账户登录在 Windows 2012 R2 Amazon EC2 实例上运行的 SQL Server,则可能会遇到错误。这种错误在 SSMS 作为域用户运行时发生,可能导致 `Login failed for user` 错误,即使提供了有效凭证时也是如此。这是一个已知问题, AWS 正在积极努力解决这个问题。
要解决该问题,可以使用 Windows 身份验证而不是 SQL 身份验证来登录 SQL Server。或者作为本地用户而不是 Simple AD 域用户来启动 SSMS。
## 我的 Simple AD 处于“Requested”状态
如果某个 Simple AD 处于 `Requested` 状态的时间超过 5 分钟,请尝试删除该目录并重新创建。如果问题仍存在,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
## 我在创建 Simple AD 时遇到“AZ constrained”错误
在 2012 年之前创建的某些 AWS 账户可能有权访问美国东部(弗吉尼亚北部)、美国西部(加利福尼亚北部)或亚太地区(东京)不支持 Directory Service 目录的可用区。如果在创建目录时遇到错误 (如上面的错误),请选择其他可用区中的子网,再尝试创建目录。
## 我的某些用户无法使用 Simple AD 进行身份验证
用户账户必须启用 Kerberos 预身份验证。这是新用户账户的默认设置,不应进行修改。有关此设置的更多信息,请转到 Simple AD TechNet 上的[预身份验证](http://technet.microsoft.com/en-us/library/cc961961.aspx)。
## 其他资源
以下资源可以帮助您在使用时进行故障排除 AWS。
+ **[AWS 知识中心](https://aws.amazon.com/premiumsupport/knowledge-center/)**-查找 FAQs 并链接到其他资源以帮助您解决问题。
+ AWS S@@ **[upport Center](https://console.aws.amazon.com/support/home#/)** —获取技术支持。
+ **[AWS Premium Support Center](https://aws.amazon.com/premiumsupport/)** —获取高级技术支持。
**Topics**
+ [密码找回](#simple_ad_tshoot_password_recovery)
+ [当将用户添加到 Simple AD 时,我收到“KDC can't fulfill requested option”错误](#kdc_requested_option)
+ [我无法更新已加入域的实例的 DNS 名称或 IP 地址 (DNS 动态更新)](#dns_dynamic_updates)
+ [我无法使用 SQL Server 账户登录 SQL Server](#sql_login_fail)
+ [我的 Simple AD 处于“Requested”状态](#stuck_in_requested1)
+ [我在创建 Simple AD 时遇到“AZ constrained”错误](#contrained_az1)
+ [我的某些用户无法使用 Simple AD 进行身份验证](#kerberos_preauth1)
+ [其他资源](#troubleshoot_general_resources)
+ [Simple AD 目录状态消息故障排除](simple_ad_troubleshooting_reasons.md)
# Simple AD 目录状态消息故障排除
当某个 Simple AD 受损或不可操作时,目录状态消息会包含更多信息。状态消息显示在 Directory Service 控制台中,或由 [https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeDirectories.html](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeDirectories.html)API 返回到[https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DirectoryDescription.html#ADS-Type-DirectoryDescription-StageReason](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DirectoryDescription.html#ADS-Type-DirectoryDescription-StageReason)成员中。有关目录状态的更多信息,请参阅[了解你的 AWS 托管 Microsoft AD 目录状态](ms_ad_directory_status.md)。
以下是 Simple AD 目录的状态消息:
**Topics**
+ [目录服务的弹性网络接口未连接](#sr_eni_detached)
+ [实例检测到的问题](#sr_internal_error)
+ [目录中缺少关键 Directory Service 保留用户](#sr_service_account_missing)
+ [关键 Directory Service 保留用户需要属于域管理员组](#sr_service_account_not_admin)
+ [关键 Directory Service 保留用户已被禁用](#sr_service_account_disabled)
+ [主域控制器没有所有 FSMO 角色](#sr_dc_fsmo_role)
+ [域控制器复制失败](#sr_dc_repl_failures)
## 目录服务的弹性网络接口未连接
**说明**
在创建目录时代表您创建的用于与您的 VPC 建立网络连接的关键弹性网络接口 (ENI) 未连接到目录实例。 AWS 此目录支持的应用程序将无法运行。目录无法连接到本地网络。
**问题排查**
如果 ENI 已分离但仍然存在,请联系 支持。如果 ENI 被删除,则无法解决问题,并且目录将永久不可用。您必须删除目录,然后创建一个新目录。
## 实例检测到的问题
**说明**
实例检测到内部错误。这通常表示监控服务正在积极尝试恢复受损实例。
**问题排查**
在大多数情况下,这是一个暂时性问题,目录最终会返回到“活动”状态。如果问题仍然存在,请联系 支持 以获得更多帮助。
## 目录中缺少关键 Directory Service 保留用户
**说明**
创建 Simple AD 后, Directory Service 会在目录中创建一个名为的服务帐户`AWSAdminD-xxxxxxxxx`。当无法找到此服务账户时会收到此错误。如果没有此账户, Directory Service 无法在该目录上执行管理功能,使该目录表现为不可用。
**问题排查**
要更正此问题,应将该目录还原到删除此服务账户之前创建的快照。Simple AD 目录每天自动拍摄一次快照。如果删除此账户已超过五天,您可能无法将该目录还原到此账户存在时的状态。如果您无法从存在此账户的快照中还原,您的目录可能会变得永久不可用。如果是这种情况,您必须删除目录,然后创建一个新目录。
## 关键 Directory Service 保留用户需要属于域管理员组
**说明**
创建 Simple AD 后, Directory Service 会在目录中创建一个名为的服务帐户`AWSAdminD-xxxxxxxxx`。当此服务账户不是 `Domain Admins` 组的成员时会收到此错误。需要该组的成员资格才能赋予 Directory Service 其执行维护和恢复操作所需的权限,例如传输 FSMO 角色、加入新的目录控制器以及从快照中恢复。
**问题排查**
使用 Active Directory 用户和计算机工具将此服务账户重新添加到 `Domain Admins` 组。
## 关键 Directory Service 保留用户已被禁用
**说明**
创建 Simple AD 后, Directory Service 会在目录中创建一个名为的服务帐户`AWSAdminD-xxxxxxxxx`。当此服务账户已禁用时会收到此错误。必须启用此帐户,这样 Directory Service 才能对目录执行维护和恢复操作。
**问题排查**
使用 Active Directory 用户和计算机工具重新启用此服务账户。
## 主域控制器没有所有 FSMO 角色
**说明**
Simple AD 目录控制器并不拥有所有 FSMO 角色。如果 FSMO 角色不属于正确的 Simple AD 目录控制器,则 Directory Service 无法保证特定行为和功能。
**问题排查**
使用 Active Directory 工具将 FSMO 角色移回原始工作目录控制器。有关移动 FSMO 角色的更多信息,请转到 w [https://docs.microsoft.com/troubleshoot/indows-server/identity/transfer--or-seize-fsmo-roles](https://docs.microsoft.com/troubleshoot/windows-server/identity/transfer-or-seize-fsmo-roles-in-ad-ds)。in-ad-ds如果这不能解决问题,请联系 支持 以获得更多帮助。
## 域控制器复制失败
**说明**
Simple AD 目录控制器未能完成相互复制。这可能是由以下一个或多个问题导致的:
+ 这些目录控制器的安全组没有打开正确的端口。
+ 网络过 ACLs 于严格。
+ VPC 路由表没有正确路由这些目录控制器之间的网络流量。
+ 已将另一个实例提升为该目录中的域控制器。
**问题排查**
有关您 VPC 网络要求的更多信息,请参阅 AWS Managed Microsoft AD [创建 AWS 托管 Microsoft AD 的先决条件](ms_ad_getting_started.md#ms_ad_getting_started_prereqs)、AD Connector [AD Connector 先决条件](ad_connector_getting_started.md#prereq_connector) 或 Simple AD [Simple AD 先决条件](simple_ad_getting_started.md#prereq_simple)。如果您的目录中有未知的域控制器,则必须将其降级。如果您的 VPC 网络设置正确,但仍然出现该错误,请联系 支持 以获得更多帮助。