混合目录的先决条件 - Amazon Directory Service
Microsoft Active Directory 域要求所需的 Active Directory 服务Kerberos支持的加密类型端口权限Amazon VPC安全组评测限制
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

混合目录的先决条件

混合目录可将自行管理的 Active Directory 扩展到 Amazon Web Services 云。在创建混合目录之前,务必确保您的环境满足以下要求:

Microsoft Active Directory 域要求

在创建混合目录之前,务必确保自行管理的 AD 环境和基础设施满足以下要求,并收集必要的信息。

域要求

自行管理的 AD 环境必须满足以下要求:

  • 使用 Windows Server 2012 R2 或 2016 功能级别。

  • 使用待评测的标准域控制器来创建混合目录。不能使用只读域控制器(RODC)创建混合目录。

  • 具有两个域控制器,且所有 Active Directory 服务都在运行中。

  • 主域控制器(PDC)必须始终可路由。

    具体而言,自行管理的 AD 的 PDC Emulator 和 RID Master IP 必须属于以下类别之一:

    • 属于 RFC1918 私有 IP 地址范围的一部分(10.0.0.0/8、172.16.0.0/12 或 192.168.0.0/16)

    • 在 VPC CIDR 范围内

    • 与目录的自行管理实例的 DNS IP 相匹配

    创建混合目录后,可以为该目录添加其他 IP 路由。

所需信息

收集以下有关自行管理的 AD 的信息:

  • 目录 DNS 名称

  • 目录 DNS IP

  • 具有自行管理的 AD 管理员权限的服务账户凭证

  • 用于存储服务账号凭证的 Amazon 密钥 ARN(请参阅混合目录的 Amazon 密钥 ARN

混合目录的 Amazon 密钥 ARN

要使用自行管理的 AD 配置混合目录,需要创建一个给 Amazon 密钥加密的 KMS 密钥,然后创建密钥本身。两个资源都必须在包含混合目录的相同 Amazon Web Services 账户 内创建。

创建 KMS 密钥

KMS 密钥用于加密您的 Amazon 密钥。

重要

对于加密密钥,请勿使用 Amazon 原定设置 KMS 密钥。确保在包含混合目录的相同 Amazon Web Services 账户 内创建 Amazon KMS 密钥,与自行管理的 AD 联接时需要创建此密钥。

创建 Amazon KMS 密钥

  1. 在 Amazon KMS 控制台中,选择创建密钥

  2. 对于密钥类型,选择对称

  3. 对于密钥用法,选择加密和解密

  4. 对于 Advanced options (高级选项)

    1. 对于密钥材料源,选择 KMS

    2. 对于区域性,选择单区域密钥,然后选择下一步

  5. 对于别名,提供 KMS 密钥的名称。

  6. (可选)对于描述,提供 KMS 密钥的描述。

  7. (可选)对于标签,为 KMS 密钥添加标签,选择下一步

  8. 对于密钥管理员,请选择一个 IAM 用户。

  9. 对于密钥删除,保持默认选择的允许密钥管理员删除此密钥,然后选择下一步

  10. 对于密钥用户,请选择上一步中的相同 IAM 用户,并选择下一步

  11. 审核配置。

  12. 对于密钥策略,请在策略中添加以下语句:

  13. 选择结束

创建 Amazon 密钥

在 Secrets Manager 中创建一个存储自行管理的 AD 用户账户凭证的密钥。

重要

确保在包含混合目录的相同 Amazon Web Services 账户 内此密钥,与自行管理的 AD 联接时需要此密钥。

创建密钥

  • 在密钥管理器中,选择存储新密钥

  • 对于密钥类型,请选择其他密钥类型

  • 对于键/值对,请添加您的两个密钥:

  1. 添加用户名密钥

    1. 对于第一个密钥,请输入 customerAdAdminDomainUsername

    2. 对于第一个密钥的值,请仅输入 AD 用户的用户名(不带域前缀)。请勿包含域名,因为这会导致实例创建失败。

  2. 添加密码密钥

    1. 对于第二个密钥,请输入 customerAdAdminDomainPassword

    2. 对于第二个密钥的值,请输入您在域中为 AD 用户创建的密码。

完成密钥配置

  1. 对于加密密钥,选择您在 创建 KMS 密钥 中创建的 KMS 密钥,并选择下一步

  2. 对于密钥名称,输入密钥的描述。

  3. (可选)对于描述,输入密钥的描述。

  4. 选择下一步

  5. 对于配置轮换设置,保留默认值并选择下一步

  6. 查看密钥的设置,然后选择存储

  7. 选择您创建的密钥,然后复制密钥 ARN 的值。下一步您将使用此 ARN 来设置自行管理的 Active Directory。

基础设施要求

准备以下基础设施组件:

  • 两个拥有 SSM 代理管理员权限的 Amazon Systems Manager 节点

    • 如果您的 Active Directory 是在 Amazon Web Services 云 之外自行管理的,则混合云和多云环境需要两个 Systems Manager 节点。有关如何配置这些节点的更多信息,请参阅为混合云和多云环境设置 Systems Manager

    • 如果您的 Active Directory 是在 Amazon Web Services 云 内自行管理的,则需要两个 Systems Manager 托管 EC2 实例。有关如何配置这些实例的更多信息,请参阅使用 Systems Manager 管理 EC2 实例

所需的 Active Directory 服务

确保在自行管理的 AD 上运行以下服务:

  • Active Directory 域服务

  • Active Directory Web 服务(ADWS)

  • COM+ 事件系统

  • 分布式文件系统复制 (DFSR)

  • 域名系统(DNS)

  • DNS 服务器

  • 组策略客户端

  • 站点间消息传递

  • 远程程序调用(RPC)

  • 安全账户管理器

  • Windows 时间服务器

    注意

    混合目录要求打开 UDP 端口 123,启用 Windows 时间服务器并使其正常运行。我们将与您的域控制器进行时间同步,以确保混合目录复制正常工作。

Kerberos 身份验证要求

用户账户必须启用 Kerberos 预身份验证。有关如何启用此设置的详细说明,请参阅确保启用 Kerberos 预身份验证。有关此设置的一般信息,请访问 Microsoft TechNet 上的预身份验证

支持的加密类型

当通过 Kerberos 对您的 Active Directory 域控制器进行身份验证时,混合目录支持以下加密类型:

  • AES-256-HMAC

网络端口要求

为使 Amazon 扩展自行管理的 Active Directory 域控制器,现有网络的防火墙必须对 Amazon VPC 中两个子网的 CIDRs 开放以下端口。

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 身份验证

  • UDP 123 - 时间服务器

  • TCP 135 - 远程程序调用

  • TCP/UDP 389 - LDAP

  • TCP 445 - SMB

  • TCP 636 - 仅采用安全轻量级目录访问协议(LDAPS)的环境需要

  • TCP 49152-65535 - RPC 随机分配的高 TCP 端口

  • TCP 3268 和 3269 – 全局目录

  • TCP 9389 Active Directory Web 服务(ADWS)

这些是创建混合目录所需的最少端口。根据您的特定配置,您可能需要打开其他端口。

注意

为域控制器和 FSMO 角色持有者提供的 DNS IP 必须向 Amazon VPC 中两个子网的 CIDR 开放上述端口。

注意

混合目录要求打开 UDP 端口 123,启用 Windows 时间服务器并使其正常运行。我们将与您的域控制器进行时间同步,以确保混合目录复制正常工作。

Amazon Web Services 账户 权限

您需要获得在 Amazon Web Services 账户 中执行以下操作的权限:

  • ec2:AuthorizeSecurityGroupEgress

  • ec2:AuthorizeSecurityGroupIngress

  • ec2:CreateNetworkInterface

  • ec2:CreateSecurityGroup

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribeSubnets

  • ec2:DescribeVpcs

  • ec2:CreateTags

  • ec2:CreateNetworkInterfacePermission

  • ssm:ListCommands

  • ssm:GetCommandInvocation

  • ssm:GetConnectionStatus

  • ssm:SendCommand

  • secretsmanager:DescribeSecret

  • secretsmanager:GetSecretValue

  • iam:GetRole

  • iam:CreateServiceLinkedRole

Amazon VPC 网络要求

满足以下条件的 VPC:

  • 至少两个子网。每个子网必须位于不同的可用区

  • VPC 必须具有默认租户

您不能使用 198.18.0.0/15 地址空间中的地址在 VPC 中创建混合目录。

Amazon Directory Service 使用双 VPC 结构。构成您目录的 EC2 实例在您的 Amazon Web Services 账户 之外运行,由 Amazon 管理。其有 ETH0ETH1 两个网络适配器。ETH0 是管理适配器,存在于您的账户之外。ETH1 在您的账户内创建。

您目录的 ETH0 网络的管理 IP 范围为 198.18.0.0/15

有关更多信息,请参阅 Amazon VPC 用户指南 中的以下主题:

有关 Amazon Direct Connect 的更多信息,请参阅什么是 Amazon Direct Connect?

Amazon 安全组配置

Amazon 默认附加一个安全组,以便对 VPC 中的 Amazon Systems Manager 托管节点进行网络访问。您可以选择提供自己的安全组,以便让网络流量能够进出位于 VPC 外部的自行管理的域控制器。

您可以选择提供自己的安全组,以便让网络流量能够进出位于 VPC 外部的自行管理的域控制器。如果要提供自己的安全组,则需要:

  • 将您的 VPC CIDR 范围和自行管理的范围列入白名单。

  • 确保这些范围未与 Amazon 预留 IP 范围发生重叠

目录评测注意事项

以下是创建目录评测时的注意事项,以及在 Amazon Web Services 账户 中可以拥有的评测数量:

  • 创建混合目录时,会自动创建目录评测。评测有两种类型:CUSTOMERSYSTEM。Amazon Web Services 账户CUSTOMER 目录评测上限为 100 个。

  • 如果尝试创建混合目录,且已拥有 100 个 CUSTOMER 目录评测,则会遇到错误。请删除评测以释放容量,然后重试。

  • 可通过联系 Amazon Web Services 支持 或删除现有 CUSTOMER 目录评测以释放容量来申请增加 CUSTOMER 目录评测配额。