Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Was wird mit Ihrem AWS Managed Microsoft AD erstellt Wenn Sie ein Active Directory mit AWS Managed Microsoft AD erstellen, Directory Service führt in Ihrem Namen die folgenden Aufgaben aus: + Erstellt automatisch eine Elastic-Network-Schnittstelle (ENI) und ordnet sie jedem Ihrer Domain-Controller zu. Jedes dieser Elemente ist für ENIs die Konnektivität zwischen Ihrer VPC und den Directory Service Domänencontrollern unerlässlich und sollte niemals gelöscht werden. Sie können alle Netzwerkschnittstellen, die für die Verwendung reserviert sind, Directory Service anhand der Beschreibung identifizieren: "Netzwerkschnittstelle für *Verzeichnis-ID AWS wurde erstellt“.* Weitere Informationen finden Sie unter [Elastic Network Interfaces](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) im *Amazon EC2 EC2-Benutzerhandbuch*. Der Standard-DNS-Server des AWS verwalteten Microsoft AD Active Directory ist der VPC-DNS-Server bei Classless Inter-Domain Routing (CIDR) \$12. Weitere Informationen finden Sie unter [Amazon DNS-Server](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#AmazonDNS) im *Amazon VPC-Benutzerhandbuch*. **Anmerkung** Domain-Controller werden standardmäßig in zwei Availability Zones in einer Region bereitgestellt und mit Ihrer Amazon VPC (VPC) verbunden. Backups werden automatisch einmal täglich erstellt, und die Amazon EBS (EBS) -Volumes werden verschlüsselt, um sicherzustellen, dass die Daten im Ruhezustand gesichert sind. Domain-Controller, die ausfallen, werden automatisch in derselben Availability Zone unter Verwendung derselben IP-Adresse ersetzt, und eine vollständige Notfallwiederherstellung kann unter Verwendung des letzten Backups durchgeführt werden. + Stellt Active Directory innerhalb Ihrer VPC mit zwei Domain-Controllern für Fehlertoleranz und hohe Verfügbarkeit bereit. Nachdem das Verzeichnis erfolgreich erstellt wurde und [Aktiv](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_status.html) ist, können weitere Domain-Controller bereitgestellt werden, um die Ausfallsicherheit und Leistung zu erhöhen. Weitere Informationen finden Sie unter [Bereitstellung zusätzlicher Domänencontroller für Ihr AWS verwaltetes Microsoft AD](ms_ad_deploy_additional_dcs.md). **Anmerkung** AWS erlaubt nicht die Installation von Monitoring-Agents auf AWS verwalteten Microsoft AD-Domänencontrollern. + Erstellt eine [AWS Sicherheitsgruppe](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)*sg-1234567890abcdef0*, die Netzwerkregeln für den Verkehr zu und von Ihren Domänencontrollern festlegt. Die Standardregel für ausgehenden Datenverkehr lässt den gesamten Datenverkehr zu allen IPv4 Adressen zu. Die Standardregeln für eingehenden Datenverkehr lassen nur Datenverkehr über Ports zu, die für Active Directory aus dem primären IPv4 CIDR-Block erforderlich sind, der dem VPC-Hosting für Ihr AWS verwaltetes Microsoft AD zugeordnet ist. Um zusätzliche Sicherheit zu gewährleisten, sind ENIs die erstellten Dateien nicht mit Elastic IPs verknüpft und Sie sind nicht berechtigt, ihnen eine Elastic IP zuzuweisen. ENIs Daher ist der einzige eingehende Datenverkehr, der mit Ihrem AWS verwalteten Microsoft AD kommunizieren kann, standardmäßig die lokale VPC. Sie können die Sicherheitsgruppenregeln ändern, um zusätzliche Datenverkehrsquellen zuzulassen, z. B. von anderen Datenverkehrsquellen, die über VPN CIDRs erreichbar sind VPCs oder über VPN erreichbar sind. Seien Sie äußerst vorsichtig, wenn Sie versuchen, diese Reglen zu ändern, da Sie die Fähigkeit zur Kommmunikation mit Ihren Domain-Controllern beeinträchtigen können. Weitere Informationen erhalten Sie unter [AWS Bewährte Methoden für verwaltetes Microsoft AD](ms_ad_best_practices.md) und [Verbesserung Ihrer AWS Managed Microsoft AD-Netzwerksicherheitskonfiguration](ms_ad_network_security.md). Sie können [Präfixlisten]() verwenden, um Ihre CIDR-Blöcke innerhalb der Sicherheitsgruppenregeln zu verwalten. Präfixlisten erleichtern die Verwaltung und Konfiguration von Sicherheitsgruppen und Routing-Tabellen. Sie können mehrere CIDR-Blöcke mit demselben Port und denselben Protokollen konsolidieren, um Ihren Netzwerkverkehr zu skalieren. + In einer Windows Umgebung kommunizieren Clients häufig über [Server Message Block (SMB)](https://learn.microsoft.com/en-us/windows/win32/fileio/microsoft-smb-protocol-and-cifs-protocol-overview) oder Port 445. Dieses Protokoll ermöglicht verschiedene Aktionen wie die gemeinsame Nutzung von Dateien und Druckern und die allgemeine Netzwerkkommunikation. Sie sehen den Client-Verkehr auf Port 445 zu den Verwaltungsschnittstellen Ihrer AWS verwalteten Microsoft AD-Domänencontroller. Dieser Datenverkehr tritt auf, da SMB-Clients auf die DNS- (Port 53) und NetBIOS-Namensauflösung (Port 138) angewiesen sind, um Ihre AWS verwalteten Microsoft AD-Domänenressourcen zu finden. Diese Clients werden bei der Suche nach Domänenressourcen an jede verfügbare Schnittstelle auf den Domänencontrollern weitergeleitet. Dieses Verhalten wird erwartet und tritt häufig in Umgebungen mit mehreren Netzwerkadaptern auf, in denen [SMB Multichannel](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn610980(v=ws.11)) es Clients ermöglicht, Verbindungen über verschiedene Schnittstellen herzustellen, um die Leistung und Redundanz zu verbessern. Die folgenden AWS Sicherheitsgruppenregeln werden standardmäßig erstellt: **Regeln für eingehenden Datenverkehr** **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) **Regeln für ausgehenden Datenverkehr** **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) + Weitere Informationen zu den von Active Directory verwendeten Ports und Protokollen finden Sie in der Microsoft Dokumentation unter [Dienstübersicht und Netzwerkportanforderungen für Windows](https://learn.microsoft.com/en-US/troubleshoot/windows-server/networking/service-overview-and-network-port-requirements#system-services-ports). + Erstellt ein Verzeichnisadministratorkonto mit dem Benutzernamen Admin und dem angegebenen Passwort. Dieses Konto befindet sich unter Users OU (z. B. Unternehmen > Benutzer). Sie verwenden dieses Konto, um Ihr Verzeichnis in der zu verwalten AWS Cloud. Weitere Informationen finden Sie unter [AWS Verwaltetes Microsoft AD-Administratorkonto und Gruppenberechtigungen](ms_ad_getting_started_admin_account.md). **Wichtig** Achten Sie darauf, dieses Passwort zu speichern. Directory Service speichert dieses Passwort nicht und es kann nicht abgerufen werden. Sie können ein Passwort jedoch über die Directory Service Konsole oder mithilfe der [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API zurücksetzen. + Erstellt die folgenden drei Organisationseinheiten (OUs) unter dem Domänenstamm: **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) + Erstellt die folgenden Gruppen inAWS Delegated Groups OU: **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) **Anmerkung** Sie können diese hinzufügenAWS Delegated Groups. + Erstellt die folgenden Gruppenrichtlinienobjekte (GPOs) und wendet sie an: **Anmerkung** Sie sind nicht berechtigt, diese GPOs zu löschen, zu ändern oder die Verknüpfung aufzuheben. Dies ist beabsichtigt, da sie der AWS Verwendung vorbehalten sind. Sie können sie bei Bedarf mit OUs denen verknüpfen, die Sie kontrollieren. **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) Wenn Sie die Einstellungen der einzelnen Richtlinien sehen möchten, können Sie diese von einer domainverbundenen Windows-Instance mit aktivierter [Gruppenrichtlinien-Verwaltungskonsole (GPMC)](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753298(v=ws.10)) aus einsehen. + Erstellt Folgendes default local accounts für das AWS verwaltete Microsoft AD-Management: **Wichtig** Achten Sie darauf, das Admin-Passwort zu speichern. Directory Service speichert dieses Passwort nicht und es kann nicht abgerufen werden. Sie [können ein Passwort jedoch über die Directory Service Konsole](ms_ad_manage_users_groups_reset_password.md) oder mithilfe der [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API zurücksetzen. **Admin** Das Admin wird directory administrator account erstellt, wenn das AWS verwaltete Microsoft AD zum ersten Mal erstellt wird. Sie geben ein Passwort für dieses Konto an, wenn Sie ein AWS verwaltetes Microsoft AD erstellen. Dieses Konto befindet sich unter Users OU (z. B. Unternehmen > Benutzer). Sie verwenden dieses Konto, um Ihr Active Directory im zu verwalten AWS. Weitere Informationen finden Sie unter [AWS Verwaltetes Microsoft AD-Administratorkonto und Gruppenberechtigungen](ms_ad_getting_started_admin_account.md). **AWS*\$1*11111111111**** Jeder Kontoname, der mit einem AWS gefolgt von einem Unterstrich beginnt und sich in befindet, AWS Reserved OU ist ein vom Dienst verwaltetes Konto. Dieses vom Dienst verwaltete Konto wird von für AWS die Interaktion mit dem Active Directory verwendet. Diese Konten werden erstellt, wenn AWS Directory Service Data aktiviert ist und wenn jede neue AWS Anwendung in Active Directory autorisiert wird. Auf diese Konten können nur AWS Dienste zugreifen. **krbtgt account** Das krbtgt account spielt eine wichtige Rolle bei den Kerberos-Ticketbörsen, die von Ihrem AWS Managed Microsoft AD verwendet werden. Das krbtgt account ist ein spezielles Konto, das für die Kerberos-Ticket-Granting-Ticket-Verschlüsselung (TGT) verwendet wird und eine entscheidende Rolle für die Sicherheit des Kerberos-Authentifizierungsprotokolls spielt. Weitere Informationen finden Sie in der [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn745899(v=ws.11)#krbtgt-account). AWS wechselt das krbtgt account Passwort für Ihr AWS verwaltetes Microsoft AD automatisch zweimal alle 90 Tage. Zwischen den beiden aufeinanderfolgenden Rotationen liegt alle 90 Tage eine Wartezeit von 24 Stunden. Weitere Informationen zum Administratorkonto und anderen von Active Directory erstellten Konten finden Sie in der [MicrosoftDokumentation](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-default-user-accounts).