Использование AWS Directory Service: пошаговое руководство

Клиенты AWS могут использовать , нашу известную службу Active Directory, работающую на Windows Server 2012 R2, в качестве управляемой службы AWS. Однако быть управляемой службой имеет свою особенность: у нас нет доступа для управления контроллерами домена. Но просто используйте административные инструменты для создания объектов; AWS несет ответственность за мониторинг, возможное восстановление, репликацию, моментальные снимки и обновления программного обеспечения среды.

Хотя у нас нет такой гибкости, как у контроллера домена, этот продукт можно использовать в различных сценариях, где Active Directory требуется для запуска приложений в облаке или для простой проверки подлинности.

У нас есть некоторые дополнительные функции, такие как возможность обновить схему с помощью файлов LDIF и создать доверительные отношения между лесами Active Directory.

Настройка сетевой среды

Хотя мы можем запустить VPC (виртуальное частное облако) из мастера создания , это не рекомендуется, поскольку на странице, на которую перенаправляется администратор, есть возможность создать простое VPC.

Существует небольшая разница при использовании мастера VPC и Create VPC. При первом варианте интернет-шлюз и таблицы маршрутизации будут обновлены для автоматического доступа в Интернет; используя второй вариант, мы должны выполнять нашу работу вручную.

Поскольку за хостинг отвечает AWS, им требуются две подсети в разных , чтобы обеспечить высокую доступность и отказоустойчивость сервиса. Если вы планируете использовать AWS, этот сервис может быть развернут первым, поскольку он с самого начала создаст базовую инфраструктуру для ваших будущих экземпляров.

Давайте начнем

Войдите в консоль AWS, щелкните Services, а затем VPC. На главной странице нажмите Start VPC Wizard.

. В этой статье мы будем использовать простую топологию сети, которая представляет собой VPC с одной общедоступной подсетью, где мы можем контролировать доступ к нашим серверам через группу безопасности или списки контроля доступа к сети. Нажмите «Выбрать», чтобы продолжить.

. Мы собираемся определить блок IPv4 для нового VPC (10.100.0.0/16 в нашей статье) и определить первую подсеть, включая диапазон IP (10.100.10.0/24), ее зону доступности (Canada Central 1A), и его имя. После этого нажмите кнопку «Создать VPC».

Мы используем Canada Central в качестве региона, и мы назначим простое соглашение об именах для наших новых подсетей, где мы собираемся использовать три поля: первое будет информировать регион и зону доступности (CAC1A, что означает Canada Central 1A). Вторая часть информации — это тип объекта (где NWS означает сетевую подсеть). И третье, назначение подсети, в нашем случае .

Следующим шагом будет создание второй подсети. Щелкните элемент «Подсети» слева, а затем нажмите кнопку «Создать подсеть». Давайте создадим подсеть (10.100.20.0/24) и назовем ее .

Чтобы сохранить согласованность, нажмите «Таблицы маршрутов», выберите идентификатор таблицы маршрутов, связанный с VPC-montreallab (тот, который мы только что создали), и эта таблица маршрутов должна иметь одну явную связь. Выберите вкладку Subnet Associations и добавьте отсутствующую подсеть, которую мы только что создали.

Создание роли IAM

Чтобы присоединиться к новым экземплярам в , рекомендуется создать новую роль. Войдите в консоль AWS, нажмите Services, а затем IAM. На панели нажмите «Роли», расположенные слева, и нажмите «Создать роль».

На первой странице (Trust) выберите EC2, а затем EC2 Role for Simple System Manager и нажмите Next: Permissions.

На второй странице (Разрешения) оставьте настройки по умолчанию и нажмите Далее: Обзор.

На последней странице мастера (Обзор) отметьте новую роль и нажмите «Создать роль». Мы будем использовать эту новую роль во время подготовки новых экземпляров в конце этой статьи.

Служба каталогов AWS

Мы будем использовать совершенно новую подписку AWS для тестирования . Войдите в консоль AWS, нажмите «Службы», а затем «Служба каталогов», расположенную в разделе .

На странице приветствия нажмите «Настроить каталог» в элементе .

Создать службу каталогов AWS очень просто. Он состоит из двух основных разделов: «Сведения о каталоге» и «Сведения о VPC». В сведениях о каталоге нам нужно ввести полное доменное имя домена (montreallab.info), NetBIOS (MONTREALLAB) и указать пароль администратора. Вся эта информация будет использоваться для создания нашего домена Active Directory в рамках процесса подготовки.

На этой же странице нам нужно выбрать VPC и подсети, которые мы создали на предыдущем шаге. После этого нажмите Следующий шаг. Отобразится сводная страница. Нажмите кнопку «Создать Microsoft AD», чтобы начать процесс подготовки. Этот процесс займет некоторое время.

После того, как создание завершено и столбец отображается как , нажмите на него. Отобразится сводка службы каталогов AWS, включая контроллеры домена, созданные для службы. В нашем примере по одному в каждой подсети (10.100.10.76 и 10.100.20.118).

Наш следующий шаг — настроить DHCP для предоставления надлежащих DNS-серверов нашим новым экземплярам. IP-адреса DNS-серверов, которые мы получили на последнем шаге, — это IP-адреса контроллера домена, которые были предоставлены как часть службы каталогов AWS.

Войдите в консоль AWS, нажмите Services, а затем VPC. Нажмите «Наборы параметров DHCP» (1), а затем «Создать набор параметров DHCP» (2). На новой странице введите имя, полное доменное имя домена (оно должно совпадать с полным доменным именем, которое мы ввели в мастере службы каталогов AWS) и IP-адреса для DNS-серверов. После этого нажмите Да, Создать (3).

После создания набора параметров DHCP нажмите «Ваши VPC» (1), выберите элемент из списка, нажмите «Действия» (3) и выберите «Редактировать набор параметров DHCP ». В новом диалоговом окне выберите набор параметров DHCP, который мы только что создали, и нажмите «Сохранить» (4).

Создание новых экземпляров и присоединение их к службе каталогов AWS.

Теперь, когда мы построили инфраструктуру и включили , пришло время протестировать решение. Давайте запустим 10 экземпляров базового образа Windows Server 2016. Во время подготовки мы выберем VPC и одну из двух подсетей, которые мы создали ранее.

Еще один важный момент — выбрать нашу службу каталогов AWS (montreallab.info) и с достаточными разрешениями для присоединения машин к домену. После этого просто завершите работу мастера и дождитесь предоставления новых экземпляров.

Прелесть теперь в том, что доступ стал проще. Поскольку экземпляры являются частью домена, нам не нужно использовать закрытый ключ для получения пароля администратора. Нам просто нужны учетные данные от домена. По умолчанию мы знаем администратора и пароль, которые мы определили во время создания .

Войдя в первый экземпляр, мы можем установить инструменты управления Active Directory, и с этого момента мы можем исследовать пользователей и компьютеры Active Directory, и мы видим, что структура четко определена.

Все новые экземпляры будут создаваться в подразделении Domain-NetBIOSComputers Organization Unit (OU), а пользователи должны создаваться в подразделении Users, чтобы сохранить организацию арендатора.

Масштабирование контроллеров домена

AWS требует использования по крайней мере двух контроллеров домена, и они размещают каждый из них в отдельной зоне доступности/подсети, но если вы из старой школы, как я, нам бы хотелось иметь два контроллера домена на сайт, верно? Процесс прост. Просто откройте текущую службу каталогов, нажмите «Контроллеры домена» и нажмите «Изменить».

На новой странице измените количество контроллеров домена, которые мы настроим, на четыре, и нажмите «Применить». AWS добавит новые контроллеры домена (по одному на каждый сайт).

Вот и все. Вы должны быть на ногах.