本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Simple AD 入门
<a name="simple_ad_getting_started"></a>

Simple AD 在云中创建一个完全托管的、基于 Samba 的 AWS 目录。使用 Simple AD 创建目录时， Directory Service 会代表您创建两个域控制器和 DNS 服务器。域控制器在 Amazon VPC 的不同子网中创建；此冗余帮助确保即使在出现故障时您的目录仍可访问。

**Topics**
+ [Simple AD 先决条件](#prereq_simple)
+ [创建 Simple AD](#how_to_create_simple_ad)
+ [随 Simple AD 创建的内容](simple_ad_what_gets_created.md)

## Simple AD 先决条件
<a name="prereq_simple"></a>

要创建 Simple AD Active Directory，需要一个满足以下条件的 Amazon VPC：
+ VPC 必须具有默认硬件租户。

  您可以将其 IPv6 用于您的 VPC。有关更多信息，请参阅《*Amazon Virtual Private Cloud 用户指南》*[中对您的 VPC 的IPv6 支持](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html)。
+ 至少有两个子网位于两个不同的可用区，但网络类型必须相同。这两个子网必须处于同一无类别域间路由（CIDR）范围内。如果您想针对您的目录扩展或调整 VPC 大小，请确保为扩展的 VPC CIDR 范围同时选择这两个域控制器子网。当您创建 Simple AD 时， Directory Service 将代表您创建两个域控制器和 DNS 服务器。
  + 有关 CIDR 范围的更多信息，请参阅 Amazon *VPC 用户*指南中的[您的 VPCs 和子网的 IP 地址](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-ip-addressing.html)。
+ 如果您需要 Simple AD 支持 LDAPS，我们建议您使用连接到端口 389 的网络负载均衡器进行配置。通过此模型，可以针对 LDAPS 连接使用强证书，通过单个 NLB IP 地址简化对 LDAPS 的访问，并通过 NLB 自动进行故障转移。Simple AD 不支持在端口 636 上使用自签名证书。有关如何针对 Simple AD 配置 LDAPS 的更多信息，请参阅 **AWS 安全博客中的 [How to configure an LDAPS endpoint for Simple AD](https://aws.amazon.com/blogs/security/how-to-configure-ldaps-endpoint-for-simple-ad/)。
+ 在目录中，必须启用下列加密类型：
  + RC4\$1HMAC\$1 MD5
  + AES128\$1HMAC\$1 SHA1
  + AES256\$1HMAC\$1 SHA1
  + 未来的加密类型
**注意**  
禁用这些加密类型会导致与 RSAT (远程服务器管理工具) 的通信问题，并影响可用性或您的目录。
+ 有关更多信息，请参阅《Amazon VPC 用户指南》**中的[什么是 Amazon VPC？](https://docs.aws.amazon.com//vpc/latest/userguide/what-is-amazon-vpc.html)。

Directory Service 使用双 VPC 结构。构成您目录的 EC2 实例在您的 AWS 账户之外运行，并由管理 AWS。其有 `ETH0` 和 `ETH1` 两个网络适配器。`ETH0` 是管理适配器，存在于您的账户之外。`ETH1` 在您的账户内创建。

目录的 `ETH0` 网络的管理 IP 范围以编程方式选择，以确保其不会与部署目录的 VPC 发生冲突。此 IP 范围可以是以下任一对（因为目录在两个子网中运行）：
+ 10.0.1.0/24 和 10.0.2.0/24 
+ 169.254.0.0/16
+ 192.168.1.0/24 和 192.168.2.0/24 

我们通过检查 `ETH1` CIDR 的第一个八位字节来避免冲突。如果以 10 开头，那么我们就选择一个 192.168.0.0/16 VPC，其子网为 192.168.1.0/24 和 192.168.2.0/24。如果第一个八位字节不是 10，则我们选择一个 10.0.0.0/16 VPC，其子网为 10.0.1.0/24 和 10.0.2.0/24。

选择算法不包括您 VPC 上的路由。因此，这种情况可能会导致 IP 路由冲突。

**重要**  
如果在创建 Simple AD 后更改了任何 Simple AD 先决条件，则您的 Simple AD 可能会**受损**。要解决 Simple AD 的**受损**状态，需要联系 [AWS 支持](https://aws.amazon.com/premiumsupport/)。

## 创建 Simple AD
<a name="how_to_create_simple_ad"></a>

此过程将指导您完成创建 Simple AD 所需的全部步骤。其目的是让您快速轻松地开始使用 Simple AD，但不适用于大规模生产环境。

**Topics**
+ [先决条件](#gsg_prereqs)
+ [创建适用于您的 Simple AD 的 Amazon VPC 并进行配置](#gsg_create_vpc)
+ [创建 Simple AD](#gsg_create_directory)

### 先决条件
<a name="gsg_prereqs"></a>

此过程作出以下假设：
+ 您已经有一个活动 AWS 账户。
+ 在您想要使用 Simple AD VPCs 的区域，您的账户尚未达到亚马逊账户的上限。有关 VPC 的更多信息，请参阅《Amazon VPC 用户指南》**中的 [Amazon VPC 是什么？](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html)以及 [VPC 中的子网](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#VPCSubnet)。
+ 您在 CIDR 为 `10.0.0.0/16` 的区域中没有现有 VPC。
+ 您所在区域中存在可用的 Simple AD。有关更多信息，请参阅 [的地区可用性 Directory Service](regions.md)。

有关更多信息，请参阅 [Simple AD 先决条件](#prereq_simple)。

### 创建适用于您的 Simple AD 的 Amazon VPC 并进行配置
<a name="gsg_create_vpc"></a>

首先，您需要创建要与您的 Simple AD 结合使用的 Amazon VPC 并进行配置。在开始此过程之前，请确保您已完成 [先决条件](#gsg_prereqs)

您要创建的 VPC 将有两个公有子网。 Directory Service 在您的 VPC 中需要两个子网，并且每个子网必须位于不同的可用区中。

**创建 VPC**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在 **VPC 控制面板**上，选择**创建 VPC**。

1. 在 **VPC 设置**页面上，选择 **VPC 等**。

1. 完成字段，如下所示：
   + 将**名称标签自动生成**下的**自动生成的**保持选中状态。将**项目**更改到 `ADS VPC`。
   + **IPv4 CIDR 块**应该是。`10.0.0.0/16`
   + 保持 “**无 IPv6 CIDR 阻止**” 选项处于选中状态。
   + **租赁**应保持为**默认**。
   + 选择 **2** 作为**可用区数量 (AZs)**。
   + 对于**公有子网数量**，选择 **2**。**私有子网的数量**可以更改为 0。
   + 选择**自定义子网 CIDR 块**以配置公有子网 IP 地址范围。公有子网 CIDR 块应为 `10.0.0.0/20` 和 `10.0.16.0/20`。

1. 选择**创建 VPC**。创建 VPC 需要几分钟时间。

### 创建 Simple AD
<a name="gsg_create_directory"></a>

要创建新的 Simple AD，请执行以下步骤。在开始此过程之前，请确保您已完成[先决条件](#gsg_prereqs)和[创建适用于您的 Simple AD 的 Amazon VPC 并进行配置](#gsg_create_vpc)中的以下步骤。

**创建 Simple AD**

1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中，选择**目录**，然后选择**设置目录**。

1. 在**选择目录类型**页面上，选择 **Simple AD**，然后选择**下一步**。

1. 在**输入目录信息**页面上，提供以下信息：  
**目录大小**  
从**小型**或**大型**大小选项中进行选择。有关大小的更多信息，请参阅[Simple AD](directory_simple_ad.md)。  
**组织名称**  
您的目录的唯一组织名称，将用于注册客户端设备。  
只有在启动时创建目录时，此字段才可用 WorkSpaces。  
**目录 DNS 名称**  
目录的完全限定名称，例如 `corp.example.com`。  
**目录 NetBIOS 名称**  
目录的短名称，如 `CORP`。  
**管理员密码**  
目录管理员的密码。目录创建过程将使用用户名 `Administrator` 和此密码创建一个管理员账户。  
目录管理员密码区分大小写，且长度必须介于 8 到 64 (含) 个字符之间。至少，它还必须包含下列四种类别中三种类别的一个字符：  
   + 小写字母 (a-z)
   + 大写字母 (A-Z)
   + 数字 (0-9)
   + 非字母数字字符 (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)  
**确认密码**  
重新键入管理员密码。  
请务必保存此密码。 Directory Service 不存储此密码，也无法找回。但是，您可以通过 Directory Service 控制台或使用 [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API 重置密码。  
**目录描述**  
目录的可选描述。

1. 在 **Choose VPC and subnets (选择 VPC 和子网)** 页面上，提供以下信息，然后选择 **Next (下一步)**。  
**VPC**  
目录的 VPC。  
**子网**  
为域控制器选择子网。两个子网必须位于不同的可用区。

1. 在 **Review & create (检查并创建)** 页面上，检查目录信息并进行任何必要的更改。如果信息正确，请选择 **Create directory (创建目录)**。目录创建需要几分钟时间。创建后，**Status** 值将更改为 **Active**。

有关随 Simple AD 创建的内容的更多信息，请参阅[随 Simple AD 创建的内容](simple_ad_what_gets_created.md)。

# 随 Simple AD 创建的内容
<a name="simple_ad_what_gets_created"></a>

使用 Simple AD 创建活动目录时， Directory Service 会代表您执行以下任务：
+ 在 VPC 中设置基于 Samba 的目录。
+ 创建具有用户名 `Administrator` 和指定密码的目录管理员账户。您可以使用此账户管理您的目录。
**重要**  
请务必保存此密码。 Directory Service 不存储此密码，也无法找回。但是，您可以通过 Directory Service 控制台或使用 [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)API 重置密码。
+ 为目录控制器创建安全组。
+ 创建一个名为 `AWSAdminD-xxxxxxxx` 具有域管理员权限的账户。此帐户用于执行目录维护操作的自动操作，例如拍摄目录快照和 FSMO 角色 Directory Service 转移。此账户的凭证由 Directory Service进行安全存储。
+ 自动创建弹性网络接口（ENI）并将其与每个域控制器相关联。它们中的每一个都对您 ENIs 的 VPC 和 Directory Service 域控制器之间的连接至关重要，切勿将其删除。您可以 Directory Service 通过描述来标识所有保留供使用的网络接口：“为*目录目录 ID AWS * 创建的网络接口”。有关更多信息，请参阅 *Amazon EC2 用户指南*中的[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)。Microsoft AD Active Directory AWS 托管的默认 DNS 服务器是无类域间路由 (CIDR) \$12 的 VPC DNS 服务器。有关更多信息，请参阅《Amazon VPC 用户指南》**中的 [Amazon DNS 服务器](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#AmazonDNS)。
**注意**  
默认情况下，域控制器部署在一个区域的两个可用区，并连接到您的 Amazon 虚拟私有云（VPC）。每天自动备份一次，且加密 Amazon Elastic Block Store（EBS）卷以确保静态数据的安全。出现故障的域控制器会在同一可用区中使用相同的 IP 地址自动替换，并且可以使用最新的备份执行完全灾难恢复。