本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 用你的 AWS 托管 Microsoft AD 创建了什么 当你使用 AWS 托管 Microsoft AD 创建活动目录时, Directory Service 会代表你执行以下任务: + 自动创建弹性网络接口(ENI)并将其与每个域控制器相关联。它们中的每一个都对您 ENIs 的 VPC 和 Directory Service 域控制器之间的连接至关重要,切勿将其删除。您可以 Directory Service 通过描述来标识所有保留供使用的网络接口:“为*目录目录 ID AWS * 创建的网络接口”。有关更多信息,请参阅《Amazon EC2 用户指南》**中的[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)。Microsoft AD Active Directory AWS 托管的默认 DNS 服务器是无类域间路由 (CIDR) \+2 的 VPC DNS 服务器。有关更多信息,请参阅《Amazon VPC 用户指南》**中的 [Amazon DNS 服务器](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#AmazonDNS)。 **注意** 默认情况下,域控制器部署在一个区域的两个可用区,并连接到您的 Amazon VPC(VPC)。每天自动备份一次,且加密 Amazon EBS(EBS)卷以确保静态数据的安全。出现故障的域控制器会在同一可用区中使用相同的 IP 地址自动替换,并且可以使用最新的备份执行完全灾难恢复。 + 使用两个域控制器在 VPC 中预置 Active Directory,以实现容错和高可用性。在成功创建目录且目录处于[活动](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_status.html)状态后,可以预置更多域控制器以获得更高的恢复能力和性能。有关更多信息,请参阅 [为你的 AWS 托管 Microsoft AD 部署额外的域控制器](ms_ad_deploy_additional_dcs.md)。 **注意** AWS 不允许在 AWS 托管的 Microsoft AD 域控制器上安装监控代理。 + 创建[AWS 安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html){{sg-1234567890abcdef0}},为进出域控制器的流量制定网络规则。默认出站规则允许所有流量流向所有 IPv4 地址。默认入站规则仅允许通过 Active IPv4 Directory 所需的端口的流量,这些端口来自与托管 Microsoft AD 的 VPC 托管关联的主网段。 AWS 为了提高安全性 ENIs ,创建的没有 IPs附加弹性,您也无权将弹性 IP 附加到这些服务器 ENIs。因此,默认情况下,唯一可以与您的 AWS 托管 Microsoft AD 通信的入站流量是本地 VPC。您可以更改安全组规则以允许其他流量来源,例如来自其他对等设备 VPCs 或通过 VPN CIDRs 访问的其他流量来源。如果您尝试更改这些规则,请特别小心,因为您可能会破坏与域控制器通信的能力。有关更多信息,请参阅[AWS 微软 AD 托管最佳实践](ms_ad_best_practices.md)和[增强你的 Microsoft AD AWS 托管网络安全配置](ms_ad_network_security.md)。 可以在安全组规则中使用[前缀列表]()来管理 CIDR 数据块。使用前缀列表可以更轻松地管理和配置安全组和路由表。可整合具有相同端口和协议的多个 CIDR 数据块,以扩展网络流量。 + 在 Windows 环境中,客户端通常通过[服务器消息块(SMB)](https://learn.microsoft.com/en-us/windows/win32/fileio/microsoft-smb-protocol-and-cifs-protocol-overview)或端口 445 进行通信。此协议促进了文件和打印机共享以及常规网络通信等各种操作。你将在端口 445 上看到客户端流向 AWS 托管 Microsoft AD 域控制器的管理接口。 当中小型企业客户依赖 DNS(端口 53)和 NetBIOS(端口 138)名称解析来查找您的 AWS 托管微软 AD 域资源时,就会出现这种流量。在定位域资源时,这种客户端会被导流至域控制器上的任何可用接口。这种行为是预料之中的,通常发生在具有多个网络适配器的环境中,[SMB 多通道](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn610980(v=ws.11))允许客户端跨接口建立连接以增强性能和冗余时也会出现这种情况。 默认情况下会创建以下 AWS 安全组规则: **入站规则** **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) **出站规则** **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) + 有关 Active Directory 使用的端口和协议的更多信息,请参阅 Microsoft 文档中的 [Windows 服务概述和网络端口要求](https://learn.microsoft.com/en-US/troubleshoot/windows-server/networking/service-overview-and-network-port-requirements#system-services-ports)。 + 使用用户名 Admin 和指定密码创建目录管理员账户。此账户位于 Users OU 下(例如,Corp > Users)。您可以使用此账户管理 AWS Cloud中的目录。有关更多信息,请参阅 [AWS 托管的 Microsoft AD 管理员账户和群组权限](ms_ad_getting_started_admin_account.md)。 **重要** 请务必保存此密码。 Directory Service 不存储此密码,也无法找回。但是,您可以通过 Directory Service 控制台或使用 [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API 重置密码。 + 在域根目录下创建以下三个组织单位 (OUs): **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) + 在 AWS Delegated Groups OU 中创建以下组: **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) **注意** 您可以添加到这些 AWS Delegated Groups。 + 创建并应用以下组策略对象 (GPOs): **注意** 您无权删除、修改或解除这些 GPOs内容的链接。这是设计使然,因为它们是保留供 AWS 使用的。如果需要,您可以将它们链接 OUs 到您控制的对象。 **** [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) 如果要查看每个 GPO 的设置,可以从启用了[组策略管理控制台(GPMC)](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753298(v=ws.10))的加入域的 Windows 实例中查看它们。 + default local accounts为 AWS 托管的 Microsoft AD 管理创建以下内容: **重要** 请务必保存管理员密码。 Directory Service 不存储此密码,也无法找回。但是,[您可以通过 Directory Service 控制台或使用 [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API 重置密码](ms_ad_manage_users_groups_reset_password.md)。 **Admin** Admin是首次directory administrator account创建 AWS 托管 Microsoft AD 时创建的。在创建 AWS 托管 Microsoft AD 时,您需要为此帐户提供密码。此账户位于 Users OU 下(例如,Corp > Users)。您可以使用此账户管理 AWS中的 Active Directory。有关更多信息,请参阅 [AWS 托管的 Microsoft AD 管理员账户和群组权限](ms_ad_getting_started_admin_account.md)。 **AWS*\_{{11111111111}}*** 任何以 AWS 后跟下划线开头并位于中的账户名均AWS Reserved OU为服务管理账户。此服务管理账户用于与 Active AWS Directory 进行交互。这些帐户是在启用 AWS 目录服务数据并且每个新 AWS 应用程序都在 Active Directory 上获得授权后创建的。这些账户只能通过 AWS 服务访问。 **krbtgt account** 在你的托krbtgt account管 AWS Microsoft AD 使用的 Kerberos 票证交换中起着重要作用。krbtgt account 是用于 Kerberos 票证授予票证(TGT)加密的特殊账户,它对于 Kerberos 身份验证协议的安全性发挥着至关重要的作用。有关更多信息,请参阅 [Microsoft 文档](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn745899(v=ws.11)#krbtgt-account)。 AWS 每 90 天自动轮换 AWS 托管 Microsoft AD 的krbtgt account密码两次。每 90 天连续两次轮换之间有 24 小时的等待期。 有关管理员账户和由 Active Directory 创建的其他账户的更多信息,请参阅 [Microsoft 文档](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-default-user-accounts)。