创建AWS Managed Microsoft AD

在 AWS 上运行 Active Directory (AD) 有多种选择。一种选择是启动 EC2 Windows 实例并将其提升为域控制器。第二种选择是部署 AWS Directory Service for Microsoft Active Directory (AWS 托管 Microsoft AD)。

AWS 托管 Microsoft AD 是一种完全托管的 Active Directory 服务。作为托管服务,AWS 维护 AD 域控制器(安全性、修补程序和备份)。当我们启动 AWS 托管 Microsoft AD 时,AWS 会在新的 AD Forest中创建一对域控制器。域控制器在专用的单租户VPC 和弹性网络接口 (ENI) 中运行,这些 ENI 位于我们的 VPC 中的两个AZ 中。

使用 AWS 托管 Microsoft AD,我们可以在 AWS 云中使用目录感知的工作负载,包括自定义 .NET 和 SQL Server 基础应用程序。我们还可以在 AWS 托管 Microsoft AD 和现有的本地 Microsoft Active Directory 之间配置信任关系,允许用户和组访问任一域中的资源。

我们将:

  1. 部署 AWS 托管 Microsoft AD。

  2. 部署和配置 EC2 实例以管理我们的 AWS 托管 Microsoft AD。

创建新的AWS Managed Microsoft AD

上一节已经创建好了一个 AWS Managed Microsoft AD ( corp.example.com) :

image-20240625220100856

但我们还是使用 AWS 控制台创建一个新的 AWS 托管 Microsoft AD,这个 AWS 托管 Microsoft AD 不会用于后续的实验,它只是为了展示部署 AWS 托管 Microsoft AD 的简单性。

选择 Set up directory

选择 AWS Managed Microsoft AD 并选择 Next

image-20240625220304711

Enter Directory Information 页面上,输入以下信息:

  • Edition: Enterprise Edition

  • Directory DNS name: build.local

  • Directory NetBIOS name: BUILD

  • Directory description: optional

  • Admin password: <我们可以记住的密码>

  • Confirm Password: <确认密码>

选择 Next

image-20240625220611639

Choose VPC and subnets 下,请选择 AD-ID-VPC 作为 VPC,并选择两个私有子网: AD-ID-Subnet1AD-ID-Subnet2:

image-20240625220714674

选择 VPC 和子网后,选择 Next

Review & create 屏幕上,查看我们的选择并选择 Create Directory

image-20240625220732200

目录的创建需要 20-40 分钟。在此期间,AWS 正在配置两台 Windows 服务器,并将它们提升为我们指定的 AD Forest的域控制器。

一旦部署完成,Status字段将变成 Active。然后,我们可以通过选择 Directory ID 来查看详细信息。列出的两个 DNS IP 地址是部署在我们的AZ中的ENI IP 地址,用于与 AWS Managed Microsoft AD 域控制器通信。

下面是一个成功部署目录的示例,显示了状态和 DNS IP 地址。

image-20240625221104870

有关 AWS Directory Service 的更多信息,请访问开发者指南