Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erstellen Sie einen Cluster mit einer AD-Domäne
<a name="create-addircluster-v3"></a>

**Warnung**  
In diesem einführenden Abschnitt wird die Einrichtung AWS ParallelCluster mit einem verwalteten Active Directory-Server (AD) über das Lightweight Directory Access Protocol (LDAP) beschrieben. LDAP ist ein unsicheres Protokoll. Für Produktionssysteme empfehlen wir dringend die Verwendung von TLS-Zertifikaten (LDAPS), wie im folgenden [Beispiel für LDAP (S) AWS Managed Microsoft AD -Clusterkonfigurationen](examples-addir-v3.md) Abschnitt beschrieben.

Konfigurieren Sie Ihren Cluster für die Integration in ein Verzeichnis, indem Sie die entsprechenden Informationen im `DirectoryService` Abschnitt der Cluster-Konfigurationsdatei angeben. Weitere Informationen finden Sie im Abschnitt [`DirectoryService`](DirectoryService-v3.md)Konfiguration.

Sie können das folgende Beispiel verwenden, um Ihren Cluster AWS Managed Microsoft AD über das Lightweight Directory Access Protocol (LDAP) zu integrieren.

**Spezifische Definitionen, die für eine AWS Managed Microsoft AD Over-LDAP-Konfiguration erforderlich sind:**
+ Sie müssen den `ldap_auth_disable_tls_never_use_in_production` Parameter auf `True` unter [`DirectoryService`](DirectoryService-v3.md)/[`AdditionalSssdConfigs`](DirectoryService-v3.md#yaml-DirectoryService-AdditionalSssdConfigs)setzen.
+ Sie können entweder Controller-Hostnamen oder IP-Adressen für [`DirectoryService`](DirectoryService-v3.md)/[`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr)angeben.
+ [`DirectoryService`](DirectoryService-v3.md)Die [`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser)Syntax von/muss wie folgt lauten:

  ```
  cn=ReadOnly,ou=Users,ou=CORP,dc={{corp}},dc={{example}},dc={{com}}
  ```

**Holen Sie sich Ihre AWS Managed Microsoft AD Konfigurationsdaten:**

```
$ aws ds describe-directories --directory-id {{"d-abcdef01234567890"}}
```

```
{
    "DirectoryDescriptions": [
        {
            "DirectoryId": "d-abcdef01234567890",
            "Name": "corp.example.com",
            "DnsIpAddrs": [
                "203.0.113.225",
                "192.0.2.254"
            ],
            "VpcSettings": {
                "VpcId": "vpc-021345abcdef6789",
                "SubnetIds": [
                    "subnet-1234567890abcdef0",
                    "subnet-abcdef01234567890"
                ],
                "AvailabilityZones": [
                    "region-idb",
                    "region-idd"
                ]
            }
        }
    ]
}
```

**Cluster-Konfiguration für ein AWS Managed Microsoft AD:**

```
Region: region-id
Image:
  Os: alinux2
HeadNode:
  InstanceType: t2.micro
  Networking:
    SubnetId: subnet-1234567890abcdef0
  Ssh:
    KeyName: pcluster
Scheduling:
  Scheduler: slurm
  SlurmQueues:
    - Name: queue1
      ComputeResources:
        - Name: t2micro
          InstanceType: t2.micro
          MinCount: 1
          MaxCount: 10
      Networking:
        SubnetIds:
          - subnet-abcdef01234567890
DirectoryService:
  DomainName: dc=corp,dc=example,dc=com
  DomainAddr: ldap://203.0.113.225,ldap://192.0.2.254
  PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:MicrosoftAD.Admin.Password-1234
  DomainReadOnlyUser: cn=ReadOnly,ou=Users,ou=CORP,dc=corp,dc=example,dc=com
  AdditionalSssdConfigs:
    ldap_auth_disable_tls_never_use_in_production: True
```

**Um diese Konfiguration für ein Simple AD zu verwenden, ändern Sie den `DomainReadOnlyUser` Eigenschaftswert im `DirectoryService` Abschnitt:**

```
DirectoryService:
  DomainName: dc=corp,dc=example,dc=com
  DomainAddr: ldap://203.0.113.225,ldap://192.0.2.254
  PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:SimpleAD.Admin.Password-1234
  DomainReadOnlyUser: cn=ReadOnlyUser,cn=Users,dc={{corp}},dc={{example}},dc={{com}}
  AdditionalSssdConfigs:
    ldap_auth_disable_tls_never_use_in_production: True
```

**Überlegungen:**
+ Wir empfehlen, LDAP over TLS/SSL (oder LDAPS) statt LDAP allein zu verwenden. TLS/SSL stellt sicher, dass die Verbindung verschlüsselt ist.
+ Der Wert der [`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr)Eigenschaft [`DirectoryService`](DirectoryService-v3.md)/entspricht den Einträgen in der `DnsIpAddrs` Liste aus der `describe-directories` Ausgabe.
+ Wir empfehlen, dass Ihr Cluster Subnetze verwendet, die sich in derselben Availability Zone befinden, auf die [`DirectoryService`](DirectoryService-v3.md)/[`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr)verweist. Wenn Sie eine [benutzerdefinierte DHCP-Konfiguration (Dynamic Host Configuration Protocol)](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/dhcp_options_set.html) verwenden, die für Verzeichnisse empfohlen wird, VPCs und sich Ihre Subnetze *nicht* in der [`DirectoryService`](DirectoryService-v3.md)/[`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr)Availability Zone befinden, ist Querverkehr zwischen Availability Zones möglich. Die Verwendung benutzerdefinierter DHCP-Konfigurationen *ist nicht* erforderlich, um die AD-Integrationsfunktion für mehrere Benutzer zu verwenden.
+ Der [`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser)Eigenschaftswert [`DirectoryService`](DirectoryService-v3.md)/gibt einen Benutzer an, der im Verzeichnis erstellt werden muss. Dieser Benutzer wird standardmäßig *nicht* erstellt. Wir empfehlen, diesem Benutzer *keine* Berechtigung zum Ändern von Verzeichnisdaten zu erteilen.
+ Der Wert der [`PasswordSecretArn`](DirectoryService-v3.md#yaml-DirectoryService-PasswordSecretArn)Eigenschaft [`DirectoryService`](DirectoryService-v3.md)/zeigt auf ein AWS Secrets Manager Geheimnis, das das Passwort des Benutzers enthält, den Sie für die [`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser)Eigenschaft [`DirectoryService`](DirectoryService-v3.md)/angegeben haben. Wenn sich das Passwort dieses Benutzers ändert, aktualisieren Sie den geheimen Wert und aktualisieren Sie den Cluster. Um den Cluster für den neuen geheimen Wert zu aktualisieren, müssen Sie die Rechenflotte mit dem `pcluster update-compute-fleet` Befehl beenden. Wenn Sie Ihren Cluster für die Verwendung konfiguriert haben [`LoginNodes`](LoginNodes-v3.md), beenden Sie [`LoginNodes`](LoginNodes-v3.md)/[`Pools`](LoginNodes-v3.md#LoginNodes-v3-Pools)und aktualisieren Sie den Cluster, nachdem Sie [`LoginNodes`](LoginNodes-v3.md)/[`Pools`](LoginNodes-v3.md#LoginNodes-v3-Pools)/[`Count`](LoginNodes-v3.md#yaml-LoginNodes-Pools-Count)auf 0 gesetzt haben. Führen Sie dann den folgenden Befehl im Cluster-Kopfknoten aus.

  ```
   sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh
  ```

Ein anderes Beispiel finden Sie unter auch[Integrieren von Active Directory](tutorials_05_multi-user-ad.md).