本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Managed AWS Microsoft AD 入門
<a name="ms_ad_getting_started"></a>

AWS Managed Microsoft AD 會在 Microsoft Active Directory中建立完全受管的 ， AWS 雲端 並由 Windows Server 2019 提供支援，並在 2012 R2 Forest 和 Domain 功能層級運作。當您使用 AWS Managed Microsoft AD 建立目錄時， Directory Service 會建立兩個網域控制站，並代表您新增 DNS 服務。網域控制站是在 Amazon VPC 的不同子網路中建立的，此備援有助於確保您的目錄即使發生故障，仍能存取。如果您需要更多網域控制器，可於稍後新增。如需詳細資訊，請參閱[部署 AWS Managed Microsoft AD 的其他網域控制站](ms_ad_deploy_additional_dcs.md)。

如需 AWS Managed Microsoft AD 的示範和概觀，請參閱下列YouTube影片。

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/MdkhobcciX8?si=o0HpdeTIDwK3YWla/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/MdkhobcciX8?si=o0HpdeTIDwK3YWla)


**Topics**
+ [建立 AWS Managed Microsoft AD 的先決條件](#ms_ad_getting_started_prereqs)
+ [AWS IAM Identity Center 先決條件](#prereq_aws_sso_ms_ad)
+ [多重要素驗證先決條件](#prereq_mfa_ad)
+ [建立 AWS Managed Microsoft AD](#ms_ad_getting_started_create_directory)
+ [使用 AWS Managed Microsoft AD 建立的內容](ms_ad_getting_started_what_gets_created.md)
+ [AWS Managed Microsoft AD Administrator 帳戶和群組許可](ms_ad_getting_started_admin_account.md)

## 建立 AWS Managed Microsoft AD 的先決條件
<a name="ms_ad_getting_started_prereqs"></a>

若要建立 AWS Managed Microsoft AD Active Directory，您需要具有下列項目的 Amazon VPC：
+ 至少兩個子網路。每個子網路必須位於不同的可用區域，且必須為相同的網路類型。

  您可以將 IPv6 用於 VPC。如需詳細資訊，請參閱《*Amazon Virtual Private Cloud 使用者指南*》中的 [VPC 的 IPv6 支援](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html)。
+ VPC 必須具有預設硬體租用。
+ 您無法在 VPC 中使用 198.18.0.0/15 地址空間中的地址來建立 AWS Managed Microsoft AD。

如果您需要將 AWS Managed Microsoft AD 網域與現有的內部部署 Active Directory 網域整合，則必須將內部部署網域的樹系和網域功能層級設定為 Windows Server 2003 或更高版本。

Directory Service 使用兩個 VPC 結構。組成目錄的 EC2 執行個體會在您的 AWS 帳戶之外執行，並由 管理 AWS。其使用兩種網路轉接器，`ETH0` 和 `ETH1`。`ETH0` 是管理轉接器，而且位於您的帳戶外部。`ETH1` 則是建立於您的帳戶內部。

您目錄的 ETH0 網路的管理 IP 範圍是 198.18.0.0/15。

如需如何建立 AWS 環境和 AWS Managed Microsoft AD 的教學課程，請參閱 [AWS Managed Microsoft AD 測試實驗室教學課程](ms_ad_tutorial_test_lab.md)。

## AWS IAM Identity Center 先決條件
<a name="prereq_aws_sso_ms_ad"></a>

如果您計劃將 IAM Identity Center 與 AWS Managed Microsoft AD 搭配使用，您需要確保下列項目為真：
+ 您的 AWS Managed Microsoft AD 目錄是在 AWS 組織的管理帳戶中設定。
+ IAM Identity Center 的執行個體位於設定 AWS Managed Microsoft AD 目錄的相同區域。

如需詳細資訊，請參閱《 *AWS IAM Identity Center 使用者指南*》中的 [IAM Identity Center 先決條件](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html)。

## 多重要素驗證先決條件
<a name="prereq_mfa_ad"></a>

若要使用 AWS Managed Microsoft AD 目錄支援多重要素驗證，您必須以下列方式設定內部部署或雲端型[遠端驗證撥入使用者服務 ](https://en.wikipedia.org/wiki/RADIUS)(RADIUS) 伺服器，以便接受來自 AWS Managed Microsoft AD 目錄的請求 AWS。

1. 在 RADIUS 伺服器上，建立兩個 RADIUS 用戶端來代表其中的兩個 AWS Managed Microsoft AD 網域控制站 DCs) AWS。您必須使用下列一般參數來設定這兩個用戶端 (您的 RADIUS 伺服器可能會有所不同)：
   + **地址 (DNS 或 IP)**：這是其中一個 AWS Managed Microsoft AD DCs的 DNS 地址。您可以在您計劃使用 MFA 之 AWS Managed Microsoft AD 目錄**的詳細資訊**頁面上的 AWS Directory Service Console 中找到這兩個 DNS 地址。顯示的 DNS 地址代表 所使用的兩個 AWS Managed Microsoft AD DCs的 IP 地址 AWS。
**注意**  
如果您的 RADIUS 伺服器支援 DNS 地址，您只能建立一個 RADIUS 用戶端組態。否則，您必須為每個 AWS Managed Microsoft AD DC 建立一個 RADIUS 用戶端組態。
   + **連接埠號碼**：設定您的 RADIUS 伺服器用來接受 RADIUS 用戶端連線的連接埠號碼。標準 RADIUS 連接埠是 1812。
   + **共用密碼**：輸入或產生 RADIUS 伺服器將用來連線到 RADIUS 用戶端的共用密碼。
   + **通訊協定**：您可能需要設定 AWS Managed Microsoft AD DCs和 RADIUS 伺服器之間的身分驗證通訊協定。支援的協定包括 PAP、CHAP MS-CHAPv1 和 MS-CHAPv2。建議使用 MS-CHAPv2，因為它提供三種選項當中最強大的安全。
   + **應用程式名稱**：這在某些 RADIUS 伺服器中可能是選用的，通常用來識別訊息或報告中的應用程式。

1. 設定現有的網路，以允許從 RADIUS 用戶端 (AWS 受管 Microsoft AD DCs DNS 地址，請參閱步驟 1) 到 RADIUS 伺服器連接埠的傳入流量。

1. 將規則新增至 AWS Managed Microsoft AD 網域中的 Amazon EC2 安全群組，以允許來自先前定義的 RADIUS 伺服器 DNS 地址和連接埠號碼的傳入流量。如需詳細資訊，請參閱[《EC2 使用者指南》](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule)中的「新增規則至安全群組」**一節。

如需搭配 MFA 使用 AWS Managed Microsoft AD 的詳細資訊，請參閱 [啟用 AWS Managed Microsoft AD 的多重驗證](ms_ad_mfa.md)。

## 建立 AWS Managed Microsoft AD
<a name="ms_ad_getting_started_create_directory"></a>

若要建立新的 AWS Managed Microsoft AD Active Directory，請執行下列步驟。開始此程序之前，請確定您已完成「[建立 AWS Managed Microsoft AD 的先決條件](#ms_ad_getting_started_prereqs)」中所示的必要條件。

**建立 AWS Managed Microsoft AD**

1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)中，選擇**目錄**，然後選擇**設定目錄**。

1. 在**選取目錄類型**頁面上，選擇 **AWS Managed Microsoft AD**，然後選擇**下一步**。

1. 在 **Enter directory information (輸入目錄資訊)** 頁面上，提供下列資訊：  
**Edition** (版本)  
從 AWS Managed Microsoft AD **的標準版本**或**企業版本**中選擇。如需版本的詳細資訊，請參閱 [AWS Directory Service for Microsoft Active Directory](what_is.md#microsoftad)。  
**目錄 DNS 名稱**  
目錄的完全合格名稱，例如 `corp.example.com`。  
如果您打算將 Amazon Route 53 用於 DNS， AWS 則 Managed Microsoft AD 的網域名稱必須與 Route 53 網域名稱不同。如果 Route 53 和 AWS Managed Microsoft AD 共用相同的網域名稱，可能會發生 DNS 解析問題。  
**目錄 NetBIOS 名稱**  
目錄的簡短名稱，例如：`CORP`。  
**目錄描述**  
選擇填寫其他目錄說明。您可以在建立 AWS Managed Microsoft AD 之後變更此描述。  
**管理員密碼**  
目錄管理員的密碼。目錄建立程序會建立含有使用者名稱 `Admin` 與這組密碼的管理者帳戶。您可以在建立 AWS Managed Microsoft AD 之後變更管理員密碼。  
密碼不得包含「admin」一字。  
目錄管理者密碼區分大小寫，長度須介於 8 至 64 個字元之間。至少須有一位字元屬於以下四種類型中的三類：  
   + 小寫字母 (a-z)
   + 大寫字母 (A-Z)
   + 數字 (0-9)
   + 非英數字元 (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)  
**Confirm password** (確認密碼)  
重新輸入管理員密碼。  
**（選用） 使用者和群組管理**  
若要從 啟用 AWS Managed Microsoft AD 使用者和群組管理 AWS 管理主控台，請在 **中選取管理使用者和群組管理 AWS 管理主控台**。如需如何使用使用者和群組管理的詳細資訊，請參閱 [使用 AWS 管理主控台 AWS CLI、 或 管理 AWS Managed Microsoft AD 使用者和群組 AWS Tools for PowerShell](ms_ad_manage_users_groups_procedures.md)。

1. 在 **Choose VPC and subnets (選擇 VPC 和子網路)** 頁面上，提供下列資訊，然後選擇 **Next (下一步)**。  
**VPC**  
選取目錄的 VPC。  
**Network type (網路類型)**  
與您的 VPC 和子網路相關聯的網際網路通訊協定 (IP) 定址系統。  
選取與您現有 VPC 相關聯的 CIDR 區塊。子網路中的資源可以設定為僅使用 IPv4、僅使用 IPv6，或同時使用 IPv4 和 IPv6 (雙堆疊)。如需詳細資訊，請參閱《*Amazon Virtual Private Cloud 使用者指南*》中的[比較 IPv4 和 IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/ipv4-ipv6-comparison.html)。  
**子網路**  
選取網域控制器的子網路。這兩個子網路必須位於不同的可用區域。

1. 在 **Review & create (檢閱和建立)** 頁面上檢閱目錄資訊，並進行必要的變更。若資訊無誤，請選擇 **Create directory (建立目錄)**。建立目錄需要 20 到 40 分鐘。建立後，**Status** (狀態) 值會變更為 **Active** (作用中)。

如需使用 AWS Managed Microsoft AD 建立之項目的詳細資訊，請參閱下列內容：
+ [使用 AWS Managed Microsoft AD 建立的內容](ms_ad_getting_started_what_gets_created.md)
+ [AWS Managed Microsoft AD Administrator 帳戶和群組許可](ms_ad_getting_started_admin_account.md)

**相關 AWS 安全部落格文章**
+ [如何將 AWS Managed Microsoft AD 目錄的管理委派給您的內部部署 Active Directory 使用者](https://aws.amazon.com/blogs/security/how-to-delegate-administration-of-your-aws-managed-microsoft-ad-directory-to-your-on-premises-active-directory-users/)
+ [如何使用 Directory Service for AWS Managed Microsoft AD 設定更強大的密碼政策，以協助滿足您的安全標準](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
+ [如何透過新增網域控制站來提高 AWS Managed Microsoft AD Directory Service 的備援和效能](https://aws.amazon.com/blogs/security/how-to-increase-the-redundancy-and-performance-of-your-aws-directory-service-for-microsoft-ad-directory-by-adding-domain-controllers/)
+ [如何在 AWS Managed Microsoft AD 上部署遠端桌面授權管理員，以啟用Microsoft遠端桌面的使用](https://aws.amazon.com/blogs/security/how-to-enable-the-use-of-remote-desktops-by-deploying-microsoft-remote-desktop-licensing-manager-on-aws-microsoft-ad/)
+ [如何使用 AWS 管理主控台AWS Managed Microsoft AD 和您的內部部署憑證存取](https://aws.amazon.com/blogs/security/how-to-access-the-aws-management-console-using-aws-microsoft-ad-and-your-on-premises-credentials/)
+ [如何使用 AWS Managed Microsoft AD 和內部部署登入資料啟用 AWS 服務的多重要素驗證](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/)
+ [如何使用您的內部部署 Active Directory 輕鬆登入 AWS 服務](https://aws.amazon.com/blogs/security/how-to-easily-log-on-to-aws-services-by-using-your-on-premises-active-directory/)