混合目录先决条件 - Amazon Directory Service
Microsoft Active Directory域名要求所需的活动目录服务Kerberos支持的加密类型端口权限Amazon VPC安全组评估限额
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

混合目录先决条件

混合目录将您的自我管理的活动目录扩展到. Amazon Web Services 云在创建混合目录之前,请确保您的环境满足以下要求:

Microsoft Active Directory域名要求

在创建混合目录之前,请确保您的自我管理的 AD 环境和基础架构满足以下要求,并收集必要的信息。

域名要求

您的自管理 AD 环境必须满足以下要求:

  • 使用Windows Server 2012 R2或2016功能级别。

  • 使用标准域控制器进行混合目录创建评估。只读域控制器 (RODC) 不能用于创建混合目录。

  • 有两个域控制器,所有Active Directory服务都在运行。

  • 主域控制器 (PDC) 必须始终可路由。

    具体而言,您的自管理 AD 的 PDC 仿真器和 RID Master IPs 必须属于以下类别之一:

    • 部分 RFC1918 私有 IP 地址范围(10.0.0.0/8、172.16.0.0/12 或 192.168.0.0/16)

    • 在您的 VPC CIDR 范围内

    • 将您的自管理实例 IPs 的 DNS 与目录相匹配

    创建混合目录后,您可以为该目录添加其他 IP 路由。

所需信息

收集有关您的自管理 AD 的以下信息:

  • 目录 DNS 名称

  • 目录 DNS IPs

  • 具有管理员权限的服务帐号凭证,可以访问您的自管理 AD

  • Amazon 用于存储您的服务账号凭证的秘密 ARN(参见)Amazon 混合目录的秘密 ARN

Amazon 混合目录的秘密 ARN

要使用自管理 AD 配置混合目录,您需要创建 KMS 密钥来加密您的 Amazon 密钥,然后创建密钥本身。两个资源都必须在包含混合目录的同 Amazon Web Services 账户 一个资源中创建。

创建 KMS 密钥

KMS 密钥用于加密您的 Amazon 密钥。

重要

对于加密密钥,请不要使用 Amazon 默认 KMS 密钥。请务必在包含您要创建的混合目录中创建 Amazon KMS 密钥,以加入您的自管理 AD。 Amazon Web Services 账户

创建 Amazon KMS 密钥

  1. 在 Amazon KMS 控制台中,选择创建密钥

  2. 对于密钥类型,选择对称

  3. 对于密钥用法,选择加密和解密

  4. 对于 Advanced options (高级选项)

    1. 对于密钥材料源,选择 KMS

    2. 对于区域性,选择单区域密钥并选择下一步。

  5. 对于别名,提供 KMS 密钥的名称。

  6. (可选)对于描述,提供 KMS 密钥的描述。

  7. (可选)对于标签,为 KMS 密钥添加标签,然后选择下一步

  8. 对于密钥管理员,请选择一个 IAM 用户。

  9. 对于密钥删除,请保留 “允许密钥管理员删除此密钥” 的默认选择,然后选择 “下一步”。

  10. 对于密钥用户,请选择上一步中的相同 IAM 用户,然后选择下一步。

  11. 审核配置。

  12. 对于密钥策略,在策略中添加以下语句:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::caller-account:role/role_used_to_create_directory"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    { 
       "Sid": "Allow use of the KMS key on behalf of Directory Service", 
       "Effect": "Allow", 
       "Principal": {
         "Service": "ds.amazonaws.com"
       }, 
       "Action": "kms:Decrypt", 
       "Resource": "*"
    }
  ]
}

  13. 选择完成

创建密 Amazon 钥

在 Secrets Manager 中创建一个密钥来存储你自行管理的 AD 用户账户的凭证。

重要

在 Amazon Web Services 账户 包含您要与自管理 AD 一起加入的混合目录的密钥中创建密钥。

创建密钥

  • 在 Secrets Manager 中,选择存储新密钥

  • 对于 “密钥类型”,选择 “其他密钥类型

  • 对于键/值对,请添加您的两个密钥:

  1. 添加用户名密钥

    1. 对于第一个密钥,请输入 customerAdAdminDomainUsername

    2. 对于第一个密钥的值,请仅输入 AD 用户的用户名(不带域前缀)。请勿包含域名,因为这会导致实例创建失败。

  2. 添加密码密钥

    1. 对于第二个密钥,请输入 customerAdAdminDomainPassword

    2. 对于第二个密钥的值,请输入您在域中为 AD 用户创建的密码。

完成密钥配置

  1. 对于加密密钥,选择您在中创建的 KMS 密钥,创建 KMS 密钥然后选择下一步

  2. 密钥名称中,输入密钥的描述。

  3. (可选)在描述中,输入密钥的描述。

  4. 选择下一步

  5. 对于配置轮换设置,保留默认值并选择下一步

  6. 查看密钥的设置并选择存储

  7. 选择您创建的密钥,然后复制密钥 ARN 的值。在下一步中,您将使用此 ARN 来设置自行管理的 Active Directory。

基础设施要求

准备以下基础架构组件:

  • 两个拥有 SSM 代理管理员权限的 Amazon Systems Manager 节点

    • 如果您在之外进行自我管理 Amazon Web Services 云,则混合云和多云环境需要两个 System Active Directory s Manager 节点。有关如何配置这些节点的更多信息,请参阅为混合云和多云环境设置 Systems Manager

    • 如果您在内自行管理 Amazon Web Services 云,则需要两个 System Active Directory s Manager 托管 EC2 实例。有关如何配置这些实例的更多信息,请参阅使用 Systems Manager 管理 EC2 实例

所需的活动目录服务

确保在您的自管理 AD 上运行以下服务:

  • Active Directory 域服务

  • 活动目录网络服务 (ADWS)

  • COM+ 活动系统

  • 分布式文件系统复制 (DFSR)

  • 域名系统(DNS)

  • DNS 服务器

  • 组策略客户端

  • 站点间消息

  • 远程过程调用 (RPC)

  • 安全账户经理

  • Windows 时间服务器

    注意

    混合目录要求同时打开 UDP 端口 123,并启用 Windows 时间服务器并使其正常运行。我们会将时间与您的域控制器同步,以确保混合目录复制正常工作。

Kerberos 身份验证要求

用户账户必须启用 Kerberos 预身份验证。有关如何启用此设置的详细说明,请参阅确保启用 Kerberos 预身份验证。有关此设置的一般信息,请转到开启的预身份验证。Microsoft TechNet

支持的加密类型

通过 Kerberos 向域控制器进行身份验证时,混合目录支持以下加密类型:Active Directory

  • AES-256-HMAC

网络端口要求

Amazon 要扩展您的自管理Active Directory域控制器,您现有网络的防火墙必须为 Amazon VPC 中的两个子网开放以下端口:CIDRs

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 身份验证

  • UDP 123-时间服务器

  • TCP 135-远程过程调用

  • TCP/UDP 389 - LDAP

  • TCP 445 - SMB

  • TCP 636-仅适用于具有安全轻量级目录访问协议 (LDAPS) 的环境

  • TCP 49152-65535-RPC 随机分配的高 TCP 端口

  • TCP 3268 和 3269-全球目录

  • TCP 9389 Active Directory 网络服务 (ADWS)

这些是创建混合目录所需的最低端口。根据您的特定配置,您可能需要打开其他端口。

注意

为您的域控制器和 FSMO 角色持有者 IPs 提供的 DNS 必须 CIDRs 为 Amazon VPC 中的两个子网开放上述端口。

注意

混合目录要求同时打开 UDP 端口 123,并启用 Windows 时间服务器并使其正常运行。我们会将时间与您的域控制器同步,以确保混合目录复制正常工作。

Amazon Web Services 账户 权限

你需要权限才能在你的环境中执行以下操作 Amazon Web Services 账户:

  • ec2: AuthorizeSecurityGroupEgress

  • ec2: AuthorizeSecurityGroupIngress

  • ec2: CreateNetworkInterface

  • ec2: CreateSecurityGroup

  • ec2: DescribeNetworkInterfaces

  • ec2: DescribeSubnets

  • ec2: DescribeVpcs

  • ec2: CreateTags

  • ec2: CreateNetworkInterfacePermission

  • ssm:ListCommands

  • ssm:GetCommandInvocation

  • ssm:GetConnectionStatus

  • ssm:SendCommand

  • 秘密管理器:DescribeSecret

  • 秘密管理器:GetSecretValue

  • 我是:GetRole

  • 我是:CreateServiceLinkedRole

亚马逊 VPC 网络要求

具有以下内容的 VPC:

  • 至少两个子网。每个子网都必须位于不同的可用区中

  • VPC 必须有默认租期

您无法使用 198.18.0.0/15 地址空间中的地址在 VPC 中创建混合目录。

Amazon Directory Service 使用双 VPC 结构。构成您的目录的 EC2 实例在您的目录之外运行 Amazon Web Services 账户,并由管理 Amazon。其有 ETH0ETH1 两个网络适配器。ETH0 是管理适配器,存在于您的账户之外。ETH1 在您的账户内创建。

您的目录的 ETH0 网络的管理 IP 范围是198.18.0.0/15

有关更多信息,请参阅 Amazon VPC 用户指南 中的以下主题:

有关的更多信息 Amazon Direct Connect,请参阅什么是 Amazon Direct Connect?

Amazon 安全组配置

默认情况下,会 Amazon 附加一个安全组以允许网络访问您的 VPC 中的 Amazon Systems Manager 托管节点。您可以选择提供自己的安全组,允许在您的 VPC 之外进出您的自管理域控制器的网络流量。

您可以选择提供自己的安全组,允许在您的 VPC 之外进出您的自管理域控制器的网络流量。如果您要提供自己的安全组,则需要:

  • 将您的VPC CIDR范围和自我管理的范围列入白名单。

  • 确保这些范围不与Amazon 保留 IP 范围重叠

目录评估注意事项

以下是创建目录评估时的注意事项以及您可以包含的评估数量 Amazon Web Services 账户:

  • 创建混合目录时会自动创建目录评估。评估有两种类型:CUSTOMERSYSTEM。您的 Amazon Web Services 账户 CUSTOMER目录评估上限为 100 个。

  • 如果您尝试创建混合目录,并且已经有 100 个CUSTOMER目录评估,则会遇到错误。请删除评估以释放容量,然后重试。

  • 您可以通过联系 Amazon Web Services 支持 或删除现有的客户CUSTOMER目录评估来申请增加目录评估配额以释放容量。