本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Simple AD 入門
<a name="simple_ad_getting_started"></a>

Simple AD 在 AWS 雲端中建立全受管的 Samba 型目錄。當您使用 Simple AD 建立目錄時， 會代表您 Directory Service 建立兩個網域控制站和 DNS 伺服器。網域控制站是在 Amazon VPC 中的不同子網路中建立，此備援有助於確保您的目錄即使發生故障，仍可存取。

**Topics**
+ [Simple AD 先決條件](#prereq_simple)
+ [建立您的 Simple AD](#how_to_create_simple_ad)
+ [使用 Simple AD 建立的內容](simple_ad_what_gets_created.md)

## Simple AD 先決條件
<a name="prereq_simple"></a>

若要建立 Simple AD Active Directory，您需要具有下列項目的 Amazon VPC：
+ VPC 必須具有預設硬體租用。

  您可以將 IPv6 用於 VPC。如需詳細資訊，請參閱《*Amazon Virtual Private Cloud 使用者指南*》中的 [VPC 的 IPv6 支援](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html)。
+ 兩個不同可用區域中至少有兩個子網路，且必須為相同的網路類型。子網路必須位於相同的無類別網域間路由 (CIDR) 範圍內。如果您想要為您的目錄擴展或調整 VPC 的規模，則務必針對延伸的 VPC CIDR 範圍選取兩個網域控制站子網路。當您建立 Simple AD 時， 會代表您 Directory Service 建立兩個網域控制站和 DNS 伺服器。
  + 如需 CIDR 範圍的詳細資訊，請參閱《Amazon [ VPCs 使用者指南》中的 VPC 和子網路的 IP 定址](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-ip-addressing.html)。 **
+ 如果您需要 Simple AD 的 LDAPS 支援，我們建議您使用連線至連接埠 389 的 Network Load Balancer 進行設定。此模型可讓您使用強式憑證進行 LDAPS 連線、透過單一 NLB IP 地址簡化 LDAPS 存取，並透過 NLB 自動容錯移轉。Simple AD 不支援在連接埠 636 上使用自簽章憑證。如需如何設定 LDAPS 與簡易 AD 的詳細資訊，請參閱 *AWS AWS 安全部落格*中的[如何設定適用於簡易 AD 的 LDAPS 端點](https://aws.amazon.com/blogs/security/how-to-configure-ldaps-endpoint-for-simple-ad/)一文。
+ 您必須在目錄中啟用下列加密類型：
  + RC4\$1HMAC\$1MD5
  + AES128\$1HMAC\$1SHA1
  + AES256\$1HMAC\$1SHA1
  + 未來加密類型
**注意**  
停用這些加密類型可能會導致與 RSAT (遠端伺服器管理工具) 的通訊問題，並影響您目錄的可用性。
+ 如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[什麼是 Amazon VPC？](https://docs.aws.amazon.com//vpc/latest/userguide/what-is-amazon-vpc.html)。

Directory Service 使用兩個 VPC 結構。組成目錄的 EC2 執行個體會在您的 AWS 帳戶之外執行，並由 管理 AWS。其使用兩種網路轉接器，`ETH0` 和 `ETH1`。`ETH0` 是管理轉接器，而且位於您的帳戶外部。`ETH1` 則是建立於您的帳戶內部。

目錄的 `ETH0` 網路的管理 IP 範圍以程式設計方式選擇，以確保它不會與部署目錄的 VPC 發生衝突。此 IP 範圍可以是以下任一對 (因為目錄在兩個子網路中運作)：
+ 10.0.1.0/24 & 10.0.2.0/24 
+ 169.254.0.0/16
+ 192.168.1.0/24 & 192.168.2.0/24 

我們透過檢查 `ETH1` CIDR 的第一個八位元組來避免衝突。如果以 10 開頭，則我們選擇具有 192.168.1.0/24 和 192.168.2.0/24 子網路並且地址為 192.168.0.0/16 的 VPC。如果第一個八位元位元組不是 10，我們會選擇具有 10.0.1.0/24 和 10.0.2.0/24 子網路並且地址為 10.0.0.0/16 的 VPC。

選取演算法不包含 VPC 上的路由。因此，這種情況可能會導致 IP 路由衝突。

**重要**  
如果在建立 Simple AD 之後變更任何 Simple AD 先決條件，您的 Simple AD 可能會受損****。若要解決 Simple AD **受損**狀態，您需要聯絡 [AWS 支援](https://aws.amazon.com/premiumsupport/)。

## 建立您的 Simple AD
<a name="how_to_create_simple_ad"></a>

此程序會逐步引導您建立 Simple AD 的所有必要步驟。它旨在讓您快速輕鬆地開始使用 Simple AD，但不適用於大規模生產環境。

**Topics**
+ [先決條件](#gsg_prereqs)
+ [為 Simple AD 建立和設定 Amazon VPC](#gsg_create_vpc)
+ [建立您的 Simple AD](#gsg_create_directory)

### 先決條件
<a name="gsg_prereqs"></a>

此程序假設下列事項：
+ 您有作用中的 AWS 帳戶。
+ 您的帳戶尚未達到您想要使用 Simple AD 之區域的 Amazon VPCs 限制。如需 VPC 的詳細資訊，請參閱《[Amazon VPC 使用者指南》中的 VPC 中的什麼是](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html) ** [Amazon VPC？ 和子網路](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#VPCSubnet)。
+ 您在 區域中沒有 CIDR 為 的現有 VPC`10.0.0.0/16`。
+ 您位於可使用 Simple AD 的區域。如需詳細資訊，請參閱[的區域可用性 Directory Service](regions.md)。

如需詳細資訊，請參閱[Simple AD 先決條件](#prereq_simple)。

### 為 Simple AD 建立和設定 Amazon VPC
<a name="gsg_create_vpc"></a>

首先，您將建立和設定 Amazon VPC 以與 Simple AD 搭配使用。開始此程序之前，請確定您已完成 [先決條件](#gsg_prereqs)。

您將建立的 VPC 將有兩個公有子網路。 在您的 VPC 中 Directory Service 需要兩個子網路，且每個子網路必須位於不同的可用區域。

**建立 VPC**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在 **VPC 儀表板**中，選擇**建立 VPC**。

1. 在 **VPC 設定**下，選擇 **VPC 和更多**。

1. 如下所示填入欄位：
   + 保持選取**名稱標籤自動產生**下的**自動產生**。將**專案**改為 `ADS VPC`。
   + **IPv4 CIDR 區塊**應為 `10.0.0.0/16`。
   + 保持選取**無 IPv6 CIDR 區塊**選項。
   + **租用**應保留為**預設**。
   + 針對**可用區域數量**，選取 **2**。
   + 針對**公有子網路數量**，選擇 **2**。**私有子網路數量**可以改為 0。
   + 選擇**自訂子網路 CIDR 區塊**以設定公有子網路 IP 地址範圍。該公有子網路 CIDR 區塊應為 `10.0.0.0/20` 和 `10.0.16.0/20`。

1. 選擇**建立 VPC**。建立 VPC 需要幾分鐘。

### 建立您的 Simple AD
<a name="gsg_create_directory"></a>

若要建立新的 Simple AD，請執行下列步驟。開始此程序之前，請確定您已在 [先決條件](#gsg_prereqs)和 中完成下列操作[為 Simple AD 建立和設定 Amazon VPC](#gsg_create_vpc)。

**建立 Simple AD**

1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)中，選擇**目錄**，然後選擇**設定目錄**。

1. 在**選取目錄類型**頁面上，選擇 **Simple AD**，然後選擇**下一步**。

1. 在 **Enter directory information (輸入目錄資訊)** 頁面上，提供下列資訊：  
**Directory size (目錄大小)**  
選擇 **Small (小型)** 或 **Large (大型)** 尺寸選項。如需尺寸的詳細資訊，請參閱 [Simple AD](directory_simple_ad.md)。  
**組織名稱**  
將用於登錄用戶端裝置的目錄的唯一組織名稱。  
只有當您建立的目錄是啟動 WorkSpaces 的一部分時，此欄位才可用。  
**目錄 DNS 名稱**  
目錄的完全合格名稱，例如 `corp.example.com`。  
**目錄 NetBIOS 名稱**  
目錄的簡短名稱，例如：`CORP`。  
**Administrator password (管理員密碼)**  
目錄管理員的密碼。目錄建立程序會建立含有使用者名稱 `Administrator` 與這組密碼的管理者帳戶。  
目錄管理者密碼區分大小寫，長度須介於 8 至 64 個字元之間。至少須有一位字元屬於以下四種類型中的三類：  
   + 小寫字母 (a-z)
   + 大寫字母 (A-Z)
   + 數字 (0-9)
   + 非英數字元 (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)  
**Confirm password** (確認密碼)  
重新輸入管理員密碼。  
請務必儲存此密碼。 Directory Service 不會儲存此密碼，而且無法擷取。不過，您可以從 Directory Service 主控台或使用 [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html) API 重設密碼。  
**目錄描述**  
選擇填寫其他目錄說明。

1. 在 **Choose VPC and subnets (選擇 VPC 和子網路)** 頁面上，提供下列資訊，然後選擇 **Next (下一步)**。  
**VPC**  
目錄的 VPC。  
**子網路**  
選擇網域控制站的子網路。這兩個子網路必須位於不同的可用區域。

1. 在 **Review & create (檢閱和建立)** 頁面上檢閱目錄資訊，並進行必要的變更。若資訊無誤，請選擇 **Create directory (建立目錄)**。建立目錄需要幾分鐘的時間。建立後，**Status** (狀態) 值會變更為 **Active** (作用中)。

如需使用 Simple AD 建立之項目的詳細資訊，請參閱 [使用 Simple AD 建立的內容](simple_ad_what_gets_created.md)。

# 使用 Simple AD 建立的內容
<a name="simple_ad_what_gets_created"></a>

當您使用 Simple AD 建立 Active Directory 時， 會代表您 Directory Service 執行下列任務：
+ 設定 VPC 內的 Samba 目錄。
+ 建立含有使用者名稱 `Administrator` 與指定密碼的目錄管理員帳戶。您可以使用此帳戶來管理目錄。
**重要**  
請務必儲存此密碼。 Directory Service 不會儲存此密碼，而且無法擷取。不過，您可以從 Directory Service 主控台或使用 [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html) API 重設密碼。
+ 建立目錄控制器的安全群組。
+ 建立具備網域管理員權限的帳戶，其名為 `AWSAdminD-xxxxxxxx`。此帳戶由 用來 Directory Service 執行目錄維護操作的自動化操作，例如擷取目錄快照和 FSMO 角色轉移。此帳戶的登入資料會由 Directory Service安全地存放。
+ 自動建立彈性網路介面 (ENI) 並將其與您的每個域控制站建立關聯。這些 ENIs對 VPC 和 Directory Service 網域控制站之間的連線至關重要，絕不應刪除。您可以透過 Directory Service 描述識別保留給 使用的所有網路介面：「為 *directory-id*AWS 建立網路介面」。如需詳細資訊，請參閱《*Amazon EC2 使用者指南*》中的[彈性網路界面](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)。 AWS Managed Microsoft AD Active Directory 的預設 DNS 伺服器是位於無類別網域間路由 (CIDR)\$12 的 VPC DNS 伺服器。如需詳細資訊，請參閱《[Amazon VPC 使用者指南》中的 Amazon DNS 伺服器](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#AmazonDNS)。 **
**注意**  
依預設，域控制站會跨區域中的兩個可用區域部署，並連線至您的 Amazon Virtual Private Cloud (VPC)。每天自動進行一次備份，並且對 Amazon Elastic Block Store (EBS) 磁碟區進行加密，以確保靜態資料的安全。一旦域控制站發生故障，將在同一可用區域中使用相同的 IP 地址自動替換，並且可以透過最新的備份執行完整的災難復原。