Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Prasyarat direktori hybrid
Direktori Hybrid memperluas Direktori Aktif yang dikelola sendiri ke file. AWS Cloud Sebelum membuat direktori hybrid, pastikan lingkungan Anda memenuhi persyaratan ini:
## Microsoft Active Directorypersyaratan domain
Sebelum membuat direktori hybrid, pastikan lingkungan dan infrastruktur AD yang dikelola sendiri memenuhi persyaratan berikut, dan kumpulkan informasi yang diperlukan.
### Persyaratan domain
Lingkungan AD yang dikelola sendiri harus memenuhi persyaratan berikut:
+ Menggunakan tingkat Windows Server 2012 R2 atau 2016 fungsional.
+ Menggunakan pengontrol domain standar untuk dinilai untuk pembuatan direktori hybrid. Read-only domain controllers (RODC) tidak dapat digunakan untuk pembuatan direktori hybrid.
+ Memiliki dua pengontrol domain dengan semua layanan Active Directory berjalan.
+ Pengontrol Domain Utama (PDC) harus dapat dirutekan setiap saat.
Secara khusus, PDC Emulator dan RID Master IPs dari AD yang dikelola sendiri harus berada dalam salah satu kategori berikut:
+ Bagian dari rentang alamat IP RFC1918 pribadi (10.0.0.0/8, 172.16.0.0/12, atau 192.168.0.0/16)
+ Dalam rentang CIDR VPC Anda
+ Cocokkan DNS instance IPs yang dikelola sendiri untuk direktori
Anda dapat menambahkan rute IP tambahan untuk direktori setelah direktori hybrid dibuat.
### Informasi yang diperlukan
Kumpulkan informasi berikut tentang iklan yang dikelola sendiri:
+ Nama DNS Direktori
+ Direktori DNS IPs
+ Kredensyal akun layanan dengan izin Administrator untuk AD yang dikelola sendiri
+ AWS Rahasia ARN untuk menyimpan kredensyal akun layanan Anda (lihat) [AWS Rahasia ARN untuk direktori hybrid](#aws_secret_arn_for_hybrid)
### AWS Rahasia ARN untuk direktori hybrid
Untuk mengonfigurasi direktori hybrid dengan AD yang dikelola sendiri, Anda perlu membuat kunci KMS untuk mengenkripsi AWS rahasia Anda dan kemudian membuat rahasia itu sendiri. Kedua sumber daya harus dibuat sama Akun AWS yang berisi direktori hybrid.
#### Buat kunci KMS
Kunci KMS digunakan untuk mengenkripsi rahasia Anda AWS .
**penting**
Untuk **Kunci Enkripsi**, jangan gunakan kunci KMS default AWS . Pastikan untuk membuat kunci AWS KMS yang sama yang berisi direktori hybrid Akun AWS yang ingin Anda buat untuk bergabung dengan AD yang dikelola sendiri.
**Untuk membuat kunci AWS KMS**
1. Di AWS KMS konsol, pilih **tombol Buat**.
1. Untuk **Tipe Kunci**, pilih **Simetris**.
1. Untuk **Penggunaan Kunci**, pilih **Enkripsi dan dekripsi**.
1. Untuk **Opsi lanjutan**:
1. Untuk **Asal materi kunci**, pilih **KMS**.
1. **Untuk **Regionalitas**, pilih **kunci Wilayah Tunggal** dan pilih Berikutnya.**
1. Untuk **Alias**, berikan nama untuk kunci KMS.
1. (Opsional) Untuk **Deskripsi**, berikan deskripsi kunci KMS.
1. (Opsional) Untuk **Tag**, tambahkan tag untuk kunci KMS dan pilih **Berikutnya**.
1. Untuk **administrator Key**, pilih pengguna IAM.
1. **Untuk **penghapusan Kunci**, pertahankan pilihan default untuk **Izinkan administrator kunci untuk menghapus kunci ini** dan pilih Berikutnya.**
1. Untuk **pengguna Key**, pilih pengguna IAM yang sama dari langkah sebelumnya dan pilih **Berikutnya**.
1. Tinjau konfigurasi tersebut.
1. Untuk **kebijakan Kunci**, tambahkan pernyataan berikut ke kebijakan:
1. Pilih **Selesai**.
#### Buat AWS rahasia
Buat rahasia di Secrets Manager untuk menyimpan kredensyal akun pengguna AD yang dikelola sendiri.
**penting**
Buat rahasia yang sama Akun AWS yang berisi direktori hybrid yang ingin Anda gabungkan dengan AD yang dikelola sendiri.
Untuk membuat rahasia
+ Di Secrets Manager, pilih **Simpan rahasia baru**
+ Untuk **tipe Rahasia**, pilih **Jenis rahasia lainnya**
+ Untuk **Pasangan kunci/nilai**, tambahkan dua kunci Anda:
1. Tambahkan kunci nama pengguna
1. Untuk kunci pertama, masukkan `customerAdAdminDomainUsername`.
1. Untuk nilai kunci pertama, masukkan hanya nama pengguna (tanpa awalan domain) dari pengguna AD. Jangan sertakan nama domain karena ini menyebabkan pembuatan instance gagal.
1. Tambahkan kunci kata sandi
1. Untuk kunci kedua, masukkan `customerAdAdminDomainPassword`.
1. Untuk nilai kunci kedua, masukkan kata sandi yang Anda buat untuk pengguna AD di domain Anda.
##### Selesaikan konfigurasi rahasia
1. Untuk **kunci Enkripsi**, pilih kunci KMS yang Anda buat [Buat kunci KMS](#create_kms_key_for_hybrid) dan pilih **Berikutnya**.
1. Untuk **nama Rahasia**, masukkan deskripsi untuk rahasia.
1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk rahasia.
1. Pilih **Berikutnya**.
1. Untuk **Konfigurasikan pengaturan rotasi**, pertahankan nilai default dan pilih **Berikutnya**.
1. Tinjau pengaturan untuk rahasia dan pilih **Store**.
1. Pilih rahasia yang Anda buat dan salin nilai **ARN Rahasia**. Anda akan menggunakan ARN ini di langkah berikutnya untuk mengatur Direktori Aktif yang dikelola sendiri.
### Persyaratan infrastruktur
Siapkan komponen infrastruktur berikut:
+ Dua AWS Systems Manager node dengan hak administrator untuk agen SSM
+ Jika Active Directory **dikelola sendiri di luar AWS Cloud**, Anda memerlukan dua node Systems Manager untuk lingkungan hybrid dan multicloud. Untuk informasi selengkapnya tentang cara menyediakan node ini, lihat [Menyiapkan Systems Manager untuk lingkungan hybrid dan multicloud](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-hybrid-multicloud.html).
+ Jika Active Directory **dikelola sendiri di dalam AWS Cloud**, Anda memerlukan dua instans EC2 terkelola Systems Manager. Untuk informasi selengkapnya tentang cara menyediakan instans ini, lihat [Mengelola instans EC2 dengan Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html).
## Layanan Direktori Aktif yang Diperlukan
Pastikan layanan berikut berjalan pada iklan yang dikelola sendiri:
+ Layanan Domain Direktori Aktif
+ Layanan Web Direktori Aktif (ADWS)
+ Sistem Acara COM\$1
+ Distributed File System Replication (DFSR)
+ Sistem Nama Domain (DNS)
+ Server DNS
+ Klien Kebijakan Grup
+ Pesan Antar Situs
+ Panggilan Prosedur Jarak Jauh (RPC)
+ Manajer Akun Keamanan
+ Server Waktu Windows
**catatan**
Direktori hybrid membutuhkan port UDP 123 untuk terbuka dan Windows Time Server diaktifkan dan berfungsi. Kami menyinkronkan waktu dengan pengontrol domain Anda untuk memastikan replikasi direktori hybrid berfungsi dengan baik.
## Persyaratan otentikasi Kerberos
Akun pengguna Anda harus mengaktifkan pra-autentikasi Kerberos. Untuk petunjuk terperinci tentang cara mengaktifkan setelan ini, lihat [Memastikan pra-otentikasi Kerberos](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms-ad-tutorial-setup-trust-prepare-onprem.html#tutorial-setup-trust-enable-kerberos) diaktifkan. Untuk informasi umum tentang pengaturan ini, buka [Preauthentication](http://technet.microsoft.com/en-us/library/cc961961.aspx) on. Microsoft TechNet
## Jenis enkripsi yang didukung
direktori hybrid mendukung jenis enkripsi berikut saat mengautentikasi melalui Kerberos ke pengontrol domain Active Directory Anda:
+ AES-256-HMAC
## Persyaratan port jaringan
AWS Untuk memperluas pengontrol domain Active Directory yang dikelola sendiri, firewall untuk jaringan yang ada harus memiliki port berikut yang terbuka CIDRs untuk kedua subnet di VPC Amazon Anda:
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Autentikasi Kerberos
+ UDP 123 - Server waktu
+ TCP 135 - Panggilan Prosedur Jarak Jauh
+ TCP/UDP 389 - LDAP
+ TCP 445 - SMB
+ TCP 636 - Hanya diperlukan untuk lingkungan dengan Lightweight Directory Access Protocol Secure (LDAPS)
+ TCP 49152-65535 - RPC secara acak mengalokasikan port TCP tinggi
+ TCP 3268 dan 3269 - Katalog Global
+ TCP 9389 Layanan Web Direktori Aktif (ADWS)
Ini adalah port minimum yang diperlukan untuk membuat direktori hybrid. Konfigurasi spesifik Anda mungkin mengharuskan port-port tambahan terbuka.
**catatan**
DNS yang IPs disediakan untuk Pengontrol Domain dan pemegang Peran FSMO Anda harus memiliki port di atas terbuka CIDRs untuk kedua subnet di Amazon VPC.
**catatan**
Direktori hybrid membutuhkan port UDP 123 untuk terbuka dan Windows Time Server diaktifkan dan berfungsi. Kami menyinkronkan waktu dengan pengontrol domain Anda untuk memastikan replikasi direktori hybrid berfungsi dengan baik.
## Akun AWS izin
Anda akan memerlukan izin untuk tindakan berikut di: Akun AWS
+ EC2: AuthorizeSecurityGroupEgress
+ EC2: AuthorizeSecurityGroupIngress
+ EC2: CreateNetworkInterface
+ EC2: CreateSecurityGroup
+ EC2: DescribeNetworkInterfaces
+ EC2: DescribeSubnets
+ EC2: DescribeVpcs
+ EC2: CreateTags
+ EC2: CreateNetworkInterfacePermission
+ ssm: ListCommands
+ ssm: GetCommandInvocation
+ ssm: GetConnectionStatus
+ ssm: SendCommand
+ manajer rahasia: DescribeSecret
+ manajer rahasia: GetSecretValue
+ saya: GetRole
+ saya: CreateServiceLinkedRole
## Persyaratan jaringan Amazon VPC
VPC dengan yang berikut ini:
+ Setidaknya dua subnet. Masing-masing subnet harus berada di Availability Zone yang berbeda
+ VPC harus memiliki tenancy default
Anda tidak dapat membuat direktori hybrid di VPC menggunakan alamat di ruang alamat 198.18.0.0/15.
Directory Service menggunakan dua struktur VPC. Instans EC2 yang membentuk direktori Anda berjalan di luar Anda Akun AWS, dan dikelola oleh. AWS Mereka memiliki dua adaptor jaringan, `ETH0` dan `ETH1`. `ETH0` adalah adaptor pengelola, dan berada di luar akun Anda. `ETH1` dibuat dalam akun Anda.
Rentang IP manajemen ETH0 jaringan untuk direktori Anda adalah`198.18.0.0/15`.
Untuk informasi selengkapnya, lihat topik berikut dalam *Panduan Pengguna Amazon VPC*:
+ [Apa itu Amazon VPC?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started.html)
+ [Apa itu Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [VPCs dan subnet](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#how-it-works-subnet)
+ [Apa itu AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC-VPN.html)
Untuk informasi lebih lanjut tentang AWS Direct Connect, lihat [Apa itu AWS Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
## AWS konfigurasi grup keamanan
Secara default, AWS melampirkan grup keamanan untuk memungkinkan akses jaringan ke node AWS Systems Manager terkelola di VPC Anda. Anda dapat secara opsional menyediakan grup keamanan Anda sendiri yang memungkinkan lalu lintas jaringan ke dan dari pengontrol domain yang dikelola sendiri di luar VPC Anda.
Anda dapat secara opsional menyediakan grup keamanan Anda sendiri yang memungkinkan lalu lintas jaringan ke dan dari pengontrol domain yang dikelola sendiri di luar VPC Anda. Jika Anda menyediakan grup keamanan Anda sendiri, maka Anda perlu:
+ Izinkan daftar VPC CIDR rentang dan rentang yang dikelola sendiri.
+ Pastikan rentang ini tidak tumpang tindih dengan rentang [IP yang AWS dicadangkan](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html)
## Pertimbangan penilaian direktori
Berikut ini adalah pertimbangan saat membuat penilaian direktori dan jumlah penilaian yang dapat Anda miliki di: Akun AWS
+ Penilaian direktori dibuat secara otomatis saat Anda membuat direktori hybrid. Ada dua jenis penilaian: `CUSTOMER` dan`SYSTEM`. Anda Akun AWS memiliki batas 100 penilaian `CUSTOMER` direktori.
+ Jika Anda mencoba membuat direktori hybrid dan Anda sudah memiliki 100 penilaian `CUSTOMER` direktori, Anda akan menemukan kesalahan. Hapus penilaian untuk membebaskan kapasitas sebelum mencoba lagi.
+ Anda dapat meminta peningkatan kuota penilaian `CUSTOMER` direktori Anda dengan menghubungi Dukungan atau menghapus penilaian direktori PELANGGAN yang ada untuk membebaskan kapasitas.