前言：

        首先这里指的云AD服务器，只是为了让读友更好理解。云AD服务器在AWS中称为目录。AWS一共提供了4种目录类别，下面我将全程使用AWS托管微软AD这种目录类别进行示例。他完全提供了和Microsoft AD的功能，包括NTLM，Kerberos认证。

        这里第一次接触的朋友就先把AWS托管微软AD理解成云上的AD服务器就好了，不要去过于深究目录是什么，为什么叫目录等问题。其实看官方文档也能做成，但是官方过于生硬，且没有图片进行对比。因此我的侧重点在于小白做，大佬乐呵一下或者指点一下。

        主要包括两个步骤：1.创建目录 2.启动实例无缝加入目录域，管理目录

一：AWS托管微软AD

英文名：AWS Managed Microsoft Active Directory

1.创建AWS托管微软AD目录

  前提：已经提前配置好VPC（封闭的云网络），子网等，这里我就不演示了，很简单，也不是本文档范围。

1.1 进入目录创建页面

  点击左上角服务->在搜索栏搜索Directory Service

 1.2 点击右上角设置目录进入详细创建页面

 1.3 选择 AWS Managed Microsoft AD，点击下一步

 1.4 选择创建的目录大小，测试选择标准版就OK，毕竟挺贵的

1.5 填充目录的信息->点击下一步

1.这里的域名就类似于AD的域名了，该域下存在两个域控服务器，一个用户对外开放，一个用于备份，这就是云服务器为什么更安全的原因，因为随时都在备份。

2. 管理员密码一定要牢记，后续不可更改，不可见，后续的操作全是依靠该用户Admin

1.6 填写目录所在的VPC和子网->下一步

 1.两个子网不能相同，按照我个人的理解就是，因为每个目录存有两个域控服务器，为了保证安全，一个域控服务器处于一个子网，将其独立开，当某个子网被攻击，故障不会影响到另一个子网内的域控服务区（鸡蛋不放在同一个篮子里）。

 

 1.7 最终审核，查看数据是否有填错的，其实都没啥影响。

 2.8 等待创建完成，根据我安装多次的经验，大约在50分钟左右，最后回到目录页面，当状态变为活跃就创建成功了

目录创建好了之后，然后读友可能就会发现似乎并没有类似AD服务器的操作界面，这里提供的接口基本都是亚马逊应用程序的？如果想像Microsoft AD一样的，就需要为目录启动一个实例，为自己提供一个可以操作的可视化界面，在这个可视化界面里面管理自己的用户。

类似于你安装了一台空调，但是你真正的操作却是在遥控器上，手机上，才能有很多管理空调的按键，这里实例（遥控器）和目录(空调)就类似于这种关系。

二，配置实例无缝加入目录所在域，为目录管理提供一个可视化的页面。

实例：实例就是云上的虚拟机，你可用通过实例启动将他配置为ubuntu，mac，Windows等操作系统的虚拟机。这里的步骤是启动一个Windows 计算机，并将它加入到目录域下，通通过使用管理员Admin登录，用来管理目录。

 2.创建一个实例并无缝加入到目录所在域

这里有两种创建方式，我演示第二种，因为这种创建方式是4个目录通用的，第一个是AWS托管微软AD所用，只有它才有这种接口。做完第二种第一种也就可以做了

第一种.点击目录ID->点击右上角->为目录启动实例

第二种：看下图演示

 2.1 进入EC2页面 点击左上角服务->搜索栏搜索EC2->点击EC2

 2.2 选择启动实例

2.3 填充实例信息：1.填写名称，无所谓 2.不用填3.选择操作系统（windows）

 2.4 继续填充信息

1.实例类型就选择 t2.micro 

2.密钥对：当前因为windows实例创建好后，计算机在目录域下，所以我们可用使用目录管理员登录，用不着密钥对，你不用没关系，但是你自己单独的启动一个实例，就必须要记住密钥对下载的文件位置。

点击创建密钥对，进入页面填个名称和加密算法就好了，很简单，创建好后回到实例创建页面刷新一下，选择新创建的密钥对就好了。

2.5 填充网络信息 第一次就选择创建安全组就好了，这里保证默认就好了，和我图片种保持一样就OK。

安全组：安全组在AWS中的作用就是控制流量的进出的，你可以指定哪些IP地址能够访问你的实例，哪些协议能够进入你的实例，流出你的实例，能够起到保护作用，这里测试所以指定任何位置，任何协议都可以。

 2.6 无缝加入目录域，存储的信息不用填，点开高级详细信息，点击三角，在出现的域名种选择你的目录域名。最后点击创建即可，等待5分钟左右。

 三，启动实例

3.1 进入实例管理页面，等待实例状态变为ruing以及检查2项全通过

 3.2 下载远程桌面客户端RDP 1.点击实例 ID->2.点击连接->3.点击 RDP 客户端->4.点击下载远程桌面客户端（记住下载位置）

如果你没有绑定弹性IP，你的每次重启实例public DNS都会改变，因此下次使用RDP远程客户端时需要重新复制public DNS到计算机名栏，当然目前不需要，稍微提一下

 3.3 找到你的远程桌面客户端文件，右击编辑它，进入如下画面，填充信息点击连接

计算机：填写public DNS

用户名：<你的短域名>\Admin         创建目录时提供的短域名，用户名全为Admin

 3.4连接成功之后，点击计算机右下角 1.点击server manager进入管理页面->2.点击manage->3.点击Add Roles and Features->一直next到server roles下

 3.4 在server roles下点击安装AD DS和AD LDS，点击确定点击next进入reatures界面

 3.5 在features下点击安装下图红线工具，然后一直往下next安装即可

 上面步骤做完，重启计算机，不要提升为域控服务器，否则会和目录冲突，导致实例无法登陆，因为这是为目录提供的可视化的示例。

3.6 装成功之后，重启计算机，重新远程连接，点击tools->AD Users and computes

3.7 如果成功，你应该可以看到simple AD目录下的两个域控制器和所有用户 

 

 结言：

        到这里，文档的步骤就写完了，你可以开始使用ldapsearch命令获取用户的属性了，这里建议启动一个linux实例使用ldap协议连接目录进行测试，从本地Ubuntu有点难，因为VPC是一个封闭的云网络，和本地并不互通，因此你测试的Linux实例也要和目录在同一个VPC才能互通，如果在不同VPC，就需要使用中转网关和挂载的功能。后面我也会出一篇文章：同一个VPC下linux实例通过ldapsearch连接到目录，并获取用户属性的教程文档