微软 AD Amazon 托管入门 - Amazon Directory Service
Amazon 微软 AD 托管先决条件创建你的 Microsoft Amazon 托管广告 Active Directory用你的 Amazon 托管 Microsoft AD 活动目录创建了什么管理员账户权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

微软 AD Amazon 托管入门

Amazon Managed Microsoft AD 在 Amazon 云端创建了一个完全托管的微软 Active Directory,由 Windows Server 2019 提供支持,在 2012 年 R2 Forest 和 Domain 功能级别上运行。当你使用 Amazon 托管 Microsoft AD Amazon Directory Service 创建目录时,会创建两个域控制器并代表你添加 DNS 服务。域控制器在 Amazon VPC 的不同子网中创建,这种冗余有助于确保即使发生故障也能访问您的目录。如果您需要更多域控制器,您可以在以后添加它们。有关更多信息,请参阅 部署额外的域控制器

Amazon 微软 AD 托管先决条件

要创建 Amazon 托管 Microsoft ADActive Directory,您需要一个具有以下内容的亚马逊 VPC:

  • 至少两个子网。每个子网必须位于不同的可用区。

  • VPC 必须具有默认硬件租户。

  • 您无法使用 198.18.0.0/15 地址空间中的地址在 VPC 中创建 Amazon 托管 Microsoft AD。

如果你需要将你的 Microsoft AD Amazon 托管域与现有的本地Active Directory域集成,则必须将本地域的森林和域功能级别设置为 Windows Server 2003 或更高版本。

Amazon Directory Service 使用双 VPC 结构。构成您目录的 EC2 实例在您的 Amazon 账户之外运行,由管理 Amazon。其有 ETH0ETH1 两个网络适配器。ETH0 是管理适配器,存在于您的账户之外。ETH1 在您的账户内创建。

您目录的 ETH0 网络的管理 IP 范围是 198.18.0.0/15。

Amazon IAM Identity Center 先决条件

如果您计划将 IAM 身份中心与 Amazon 托管 Microsoft AD 一起使用,则需要确保满足以下条件:

  • 你的 Microsoft AD Amazon 托管目录是在你 Amazon 组织的管理账户中设置的。

  • 您的 IAM 身份中心实例位于设置 Amazon 托管 Microsoft AD 目录的同一区域。

有关更多信息,请参阅 Amazon IAM Identity Center 用户指南中的 IAM 身份中心先决条件

多重身份验证先决条件

要支持对 Amazon 托管 Microsoft AD 目录进行多因素身份验证,必须按以下方式配置本地或基于云的远程身份验证拨入用户服务 (RADIUS) 服务器,使其能够接受来自托管 Amazon Microsoft AD 目录的请求。 Amazon

  1. 在你的 RADIUS 服务器上,创建两个 RADIUS 客户端来代表中的 Amazon两个 Amazon 托管 Microsoft AD 域控制器 (DC)。必须使用以下通用参数配置两个客户端(您的 RADIUS 服务器可能会有所不同):

    • 地址(DNS 或 IP):这是其中一个 Amazon 托管 Microsoft AD DC 的 DNS 地址。这两个 DNS 地址都可以在你计划使用 MFA 的 Amazon 托管 Microsoft AD 目录的详细信息页面的目录服务控制台中找到。 Amazon 显示的 DNS 地址代表使用的两个 Amazon 托管 Microsoft AD DC 的 IP 地址。 Amazon

      注意

      如果 RADIUS 服务器支持 DNS 地址,则您只能创建一个 RADIUS 客户端配置。否则,必须为每个 Amazon Managed Microsoft AD DC 都创建一个 RADIUS 客户端配置。

    • 端口号:配置 RADIUS 服务器为其接受 RADIUS 客户端连接的端口号。标准 RADIUS 端口是 1812。

    • 共享密钥:键入或生成将由 RADIUS 服务器用于与 RADIUS 客户端连接的共享密钥。

    • 协议:你可能需要在 Amazon 托管的 Microsoft AD DC 和 RADIUS 服务器之间配置身份验证协议。支持的协议有 PAP、CHAP MS-CHAPv1 和 MS-CHAPv2。建议使用 MS-CHAPv2,因为它提供三种选项中最强的安全性。

    • 应用程序名称:在某些 RADIUS 服务器中为可选设置,通常用于在消息或报告中标识应用程序。

  2. 配置现有网络以允许从 RADIUS 客户端(Amazon 托管的 Microsoft AD DC 的 DNS 地址,参见步骤 1)到您的 RADIUS 服务器端口的入站流量。

  3. 在您的 Amazon 托管 Microsoft AD 域中的 Amazon EC2 安全组中添加一条规则,允许来自之前定义的 RADIUS 服务器 DNS 地址和端口号的入站流量。有关更多信息,请参阅《EC2 用户指南》中的向安全组添加规则

有关将 Amazon 托管 Microsoft AD 与 MFA 配合使用的更多信息,请参阅。为 Amazon Managed Microsoft AD 启用多重身份验证

创建你的 Microsoft Amazon 托管广告 Active Directory

要创建新目录,请执行以下步骤。在开始此过程之前,请确保已满足了Amazon 微软 AD 托管先决条件中确定的先决条件。

创建托 Amazon 管的 Microsoft AD 目录

  1. Amazon Directory Service 控制台导航窗格中,选择目录,然后选择设置目录

  2. 选择目录类型页面上,选择 Amazon Managed Microsoft AD,然后选择下一步

  3. 输入目录信息页面上,提供以下信息:

    版本

    从 Amazon 托管 Microsoft AD 的标准版或企业版中进行选择。有关版本的更多信息,请参阅 Amazon Directory Service for Microsoft Active Directory

    目录域名系统 (DNS) 名称

    目录的完全限定名称,例如 corp.example.com

    注意

    如果您计划使用亚马逊 Route 53 进行 DNS,则您的 Amazon 托管 Microsoft AD 的域名必须与您的 Route 53 域名不同。如果 Route 53 和 Amazon 托管 Microsoft AD 共享相同的域名,则可能会出现 DNS 解析问题。

    目录 NetBIOS 名称

    目录的短名称,如 CORP

    目录描述

    目录的可选描述。

    管理员密码

    目录管理员的密码。目录创建过程将创建一个具有 Admin 用户名和此密码的管理员账户。

    密码不能包含单词“admin”。

    目录管理员密码区分大小写,且长度必须介于 8 到 64 (含) 个字符之间。至少,它还必须包含下列四种类别中三种类别的一个字符:

    • 小写字母 (a-z)

    • 大写字母 (A-Z)

    • 数字 (0-9)

    • 非字母数字字符 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    确认密码

    重新键入管理员密码。

  4. Choose VPC and subnets (选择 VPC 和子网) 页面上,提供以下信息,然后选择 Next (下一步)

    VPC

    目录的 VPC。

    子网

    为域控制器选择子网。两个子网必须位于不同的可用区。

  5. Review & create (检查并创建) 页面上,检查目录信息并进行任何必要的更改。如果信息正确,请选择 Create directory (创建目录)。创建目录需要 20 到 40 分钟。创建后,Status 值将更改为 Active

用你的 Amazon 托管 Microsoft AD 活动目录创建了什么

当你使用 Amazon 托管 Microsoft AD 创建活动目录时, Amazon Directory Service 会代表你执行以下任务:

  • 自动创建弹性网络接口(ENI)并将其与每个域控制器相关联。这些 ENI 中的每一个 ENI 对于您的 VPC 和 Amazon Directory Service 域控制器之间的连接都是必不可少的,因此切勿删除。您可以 Amazon Directory Service 通过描述来标识所有保留供使用的网络接口:“为目录目录 ID Amazon 创建的网络接口”。有关更多信息,请参阅《适用于 Windows 实例的 Amazon EC2 用户指南》中的弹性网络接口。 Amazon 托管 Microsoft AD 的默认 DNS 服务器Active Directory是无类域间路由 (CIDR) +2 的 VPC DNS 服务器。有关更多信息,请参阅亚马逊 VPC 用户指南中的亚马逊 DNS 服务器

    注意

    默认情况下,域控制器部署在一个地区的两个可用区中,并连接到您的 Amazon VPC (VPC)。每天自动备份一次,并对 Amazon EBS (EBS) 卷进行加密,以确保静态数据的安全。出现故障的域控制器会在同一可用区中使用相同的 IP 地址自动替换,并且可以使用最新的备份执行完全灾难恢复。

  • 使用两个域控制器在 VPC 中预置 Active Directory,以实现容错和高可用性。在成功创建目录且目录处于活动状态后,可以预置更多域控制器以获得更高的恢复能力和性能。有关更多信息,请参阅 部署额外的域控制器

    注意

    Amazon 不允许在 Amazon 托管的 Microsoft AD 域控制器上安装监控代理。

  • 创建 Amazon 安全组,从而建立针对传入和传出域控制器的流量的网络规则。默认出站规则允许所有流量 ENI 或实例连接到已创建 Amazon 的安全组。默认入站规则仅允许来自任何源的通过 Active Directory 所需端口的流量 (0.0.0.0/0)。0.0.0.0/0 规则不会引入安全漏洞,因为流向域控制器的流量仅限于来自您的 VPC、其他对等 VPC 或您使用 Transit Amazon Direct Connect Gat Amazon eway 或虚拟专用网络连接的网络的流量。为了提高安全性,创建的 ENI 没有连接弹性 IP,并且您不拥有将弹性 IP 连接到这些 ENI 的权限。因此,唯一可以与您的 Amazon 托管 Microsoft AD 通信的入站流量是本地 VPC 和 VPC 路由流量。如果您尝试更改这些规则,请特别小心,因为您可能会破坏与域控制器通信的能力。有关更多信息,请参阅 微软 AD Amazon 托管最佳实践。默认情况下会创建以下 Amazon 安全组规则:

    入站规则

    协议 端口范围 来源 流量的类型 Active Directory 使用情况
    ICMP 不适用 0.0.0.0/0 Ping LDAP 保持活动,DFS
    TCP 和 UDP 53 0.0.0.0/0 DNS 用户和计算机身份验证、名称解析、信任
    TCP 和 UDP 88 0.0.0.0/0 Kerberos 用户和计算机身份验证、林级信任
    TCP 和 UDP 389 0.0.0.0/0 LDAP 目录、复制、用户和计算机身份验证组策略、信任
    TCP 和 UDP 445 0.0.0.0/0 SMB / CIFS 复制、用户和计算机身份验证、组策略、信任
    TCP 和 UDP 464 0.0.0.0/0 Kerberos 更改/设置密码 复制、用户和计算机身份验证、信任
    TCP 135 0.0.0.0/0 复制 RPC、EPM
    TCP 636 0.0.0.0/0 LDAP SSL 目录、复制、用户和计算机身份验证、组策略、信任
    TCP 1024-65535 0.0.0.0/0 RPC 复制、用户和计算机身份验证、组策略、信任
    TCP 3268 - 3269 0.0.0.0/0 LDAP GC 和 LDAP GC SSL 目录、复制、用户和计算机身份验证、组策略、信任
    UDP 123 0.0.0.0/0 Windows 时间 Windows 时间、信任
    UDP 138 0.0.0.0/0 DFSN 和 NetLogon DFS、组策略
    全部 全部 sg-################## 所有流量

    出站规则

    协议 端口范围 目标位置 流量的类型 Active Directory 使用情况
    全部 全部 sg-################## 所有流量

  • 有关 Active Directory 使用的端口和协议的更多信息,请参阅 Microsoft 文档中的 Windows 服务概述和网络端口要求

  • 使用用户名 Admin 和指定密码创建目录管理员账户。此账户位于 Users OU 下 (例如,Corp > Users)。您可以使用此帐户来管理您在 Amazon 云端的目录。有关更多信息,请参阅 管理员账户的权限

    重要

    请务必保存此密码。 Amazon Directory Service 不存储此密码,也无法找回。但是,您可以通过 Amazon Directory Service 控制台或使用 ResetUserPasswordAPI 重置密码。

  • 在域根目录下创建以下三个组织单位 (OU):

    OU 名称 描述

    Amazon 委托组

    		存储所有可用于向用户委派 Amazon 特定权限的群组。
    Amazon 已保留 存储所有特定于 Amazon 管理的账户。
    <您的域名> 此 OU 的名称基于您在创建目录时键入的 NetBIOS 名称。如果您未指定 NetBIOS 名称,则此名称将默认为您的目录 DNS 名称的第一部分(例如,如果目录 DNS 名称为 corp.example.com,则 NetBIOS 名称将为 corp)。此 OU 归所有 Amazon 并包含您所有 Amazon相关的目录对象,您被授予对这些对象的完全控制权。默认情况下,此 OU 下存在两个子 OU:Computers 和 Users。例如:

    • Corp

      • Computers

      • 用户

  • 在 Amazon 授权群组 OU 中创建以下群组:

    组名 描述
    Amazon 委托账户操作员 此安全组的成员拥有有限的账户管理能力,如密码重置

    Amazon 基于活动目录的授权激活管理员

    此安全组的成员可以创建 Active Directory 批量许可激活对象,这使企业能够通过与其域的连接激活计算机。
    Amazon 委派向域用户添加工作站 此安全组的成员可将 10 台计算机加入域中。
    Amazon 委派的管理员 该安全组的成员可以管理 Amazon 托管的 Microsoft AD,完全控制组织单位中的所有对象,并可以管理 Amazon 委派组 OU 中包含的群组。
    Amazon 已授权允许对对象进行身份验证 该安全组的成员能够对 Amazon 预留 OU 中的计算机资源进行身份验证(仅启用了选择性身份验证的本地对象信任才需要)。
    Amazon 已授权允许向域控制器进行身份验证 此安全组的成员可以对域控制器 OU 中的计算机资源进行身份验证(仅当本地对象具有启用了选择性身份验证的信任时才需要)。

    Amazon 委派的已删除对象生命周期管理员

    该安全组的成员可以修改 MSD-DeletedObjectLifetime 对象,该对象定义了已删除的对象可以从 AD 回收站中恢复多长时间。
    Amazon 委派的分布式文件系统管理员 此安全组的成员可以添加和删除 FRS、DFS-R 和 DFS 命名空间。
    Amazon 委派域名系统管理员 此安全组的成员可以管理与 Active Directory 集成的 DNS。
    Amazon 委派的动态主机配置协议管理员 此安全组的成员可以对企业中的 Windows DHCP 服务器进行授权。
    Amazon 委派的企业证书颁发机构管理员 此安全组的成员可以部署和管理 Microsoft 企业证书颁发机构基础设施。
    Amazon 委派精细密码策略管理员 此安全组的成员可以修改预先创建的精细密码策略。
    Amazon 已授权的 FSx 管理员 此安全组的成员可以管理 Amazon FSx 资源。
    Amazon 委派组策略管理员 此安全组的成员可以执行组策略管理任务(创建、编辑、删除、链接)。
    Amazon 委派的 Kerberos 委派管理员 此安全组的成员可以针对计算机和用户账户对象启用委托。
    Amazon 委派的托管服务账户管理员 此安全组的成员可以创建和删除托管服务账户。
    Amazon 委托的 MS-NPRC 不合规设备 该安全组的成员将被排除在与域控制器进行安全通道通信的要求之外。此组适用于计算机账户。
    Amazon 委派的远程访问服务管理员 此安全组的成员可以添加和删除 RAS 和 IAS 服务器组中的 RAS 服务器。
    Amazon 委派的复制目录更改管理员 该安全组的成员可以将 Active Directory 中的配置文件信息与 SharePoint 服务器同步。
    Amazon 委派服务器管理员 此安全组的成员包含在所有加入域的计算机的本地管理员组中。
    Amazon 委派站点和服务管理员 此安全组的成员可以重命名 Active Directory 站点和服务中的 Default-First-Site-Name 对象。
    Amazon 委派的系统管理管理员 此安全组的成员可以创建和管理系统管理容器中的对象。
    Amazon 委派的终端服务器许可管理员 此安全组的成员可以在终端服务器许可服务器组中添加和删除终端服务器许可服务器。
    Amazon 委派用户主体名称后缀管理员 此安全组的成员可以添加和删除用户委托人名称后缀。

  • 创建并应用以下组策略对象 (GPO):

    注意

    您无权删除、修改这些 GPO 或取消其链接。这是设计使然,因为它们是保留供 Amazon 使用的。如果需要,可以将它们链接到您控制的 OU。

    组策略名称 适用于 描述
    默认域策略 包括域密码和 Kerberos 策略。
    ServerAdmins 所有非域控制器计算机账户 将 “Amazon 委派服务器管理员” 添加为 BUILTIN\ Administrators 组的成员。
    Amazon 保留政策:用户 Amazon 保留的用户账户 为 Amazon 预留 OU 中的所有用户账户设置推荐的安全设置。
    Amazon 托管活动目录政策 所有域控制器 在所有域控制器上设置建议的安全设置。
    TimePolicyNT5DS 所有非 PDCe 域控制器 将所有非 PDCe 域控制器时间策略设置为使用 Windows 时间 (NT5DS)。
    TimePolicyPDC PDCe 域控制器 将 PDCe 域控制器的时间策略设置为使用网络时间协议 (NTP)。
    默认域控制器策略 未使用 在创建域时进行配置,使用 Amazon 托管 Active Directory 策略代替它。

    如果要查看每个 GPO 的设置,可以从启用了组策略管理控制台(GPMC)的加入域的 Windows 实例中查看它们。

管理员账户的权限

在为 Microsoft A Amazon ctive Directory 目录 Amazon 创建目录服务时,会创建一个组织单位 (OU) 来存储所有 Amazon 相关的群组和帐户。有关此 OU 的更多信息,请参阅 用你的 Amazon 托管 Microsoft AD 活动目录创建了什么。其中包括管理员账户。管理员账户有权对您的 OU 执行以下常见的管理活动:

  • 添加、更新或删除用户、组和计算机。有关更多信息,请参阅 在 Amazon Managed Microsoft AD 中管理用户和组

  • 将资源添加到域 (如文件或打印服务器),然后为 OU 中的用户和组分配这些资源的权限。

  • 创建额外的 OU 和容器。

  • 委派附加 OU 和容器的权限。有关更多信息,请参阅 委托 Amazon Managed Microsoft AD 的目录加入权限

  • 创建和链接组策略。

  • 从 Active Directory 回收站还原删除的对象。

  • 在活动目录 Web 服务上运行 Active Directory 和 DNS Windows PowerShell 模块。

  • 创建和配置组托管服务账户。有关更多信息,请参阅 组托管服务账户

  • 配置 Kerberos 约束委托。有关更多信息,请参阅 Kerberos 约束委托

管理员账户还具有在域范围内进行以下活动的权限:

  • 管理 DNS 配置(添加、删除或更新记录、区域和转发器)

  • 查看 DNS 事件日志

  • 查看安全事件日志

仅允许管理员账户执行此处列出的操作。对于特定 OU 外部 (如在父 OU 上) 的任何目录相关操作,管理员账户也没有权限。

重要

Amazon 域管理员对托管的所有域拥有完全的管理权限 Amazon。有关如何 Amazon 处理存储在 Amazon 系统上的内容(包括目录信息)的更多信息,请参阅您的协议 Amazon 和Amazon 数据保护常见问题解答。

注意

我们建议您不要删除或重命名此账户。如果您不再想使用该账户,建议您设置一个长密码(最多 64 个随机字符),然后禁用该账户。

企业和域管理员特权账户

Amazon 每 90 天自动将内置管理员密码轮换为随机密码。每当要求使用内置的管理员密码供人类使用时,系统都会创建一张 Amazon 票证并记录在 Amazon Directory Service 团队中。账户凭证通过安全通道进行经过加密和处理。此外,管理员账户凭证只能由 Amazon Directory Service 管理团队申请。

要对您的目录进行操作管理, Amazon 必须拥有对具有企业管理员和域管理员权限的帐户的独占控制权。这包括对 Active Directory 管理员帐户的独家控制权。 Amazon 通过使用密码库自动管理密码,从而保护此帐户。在管理员密码的自动轮换过程中, Amazon 创建一个临时用户帐户并授予其域管理员权限。此临时账户已用作备份在发生密码轮换故障的管理员账户。 Amazon 成功轮换管理员密码后, Amazon 删除临时管理员帐户。

通常完全通过自动化 Amazon 操作目录。如果自动化过程无法解决操作问题,则 Amazon 可能需要让支持工程师登录您的域控制器 (DC) 进行诊断。在这些极少数情况下,会 Amazon 实施请求/通知系统来授予访问权限。在此过程中, Amazon 自动化会在您的目录中创建一个具有域管理员权限的限时用户帐户。 Amazon 将用户帐户与被指派处理您的目录的工程师相关联。 Amazon 将这种关联记录在我们的日志系统中,并为工程师提供要使用的凭据。工程师所采取的所有操作都记录在 Windows 事件日志中。当分配的时间到期后,自动化将删除用户账户。

您可以使用目录的日志转发功能监控管理账户的操作。此功能使您可以将 AD Security 事件转发到您的 CloudWatch系统,在那里您可以实施监控解决方案。有关更多信息,请参阅 启用日志转发

当有人以交互方式登录到 DC 时,系统会记录安全事件 ID 4624、4672 和 4648。可以在已加入域的 Windows 计算机上使用事件查看器 Microsoft 管理控制台(MMC)查看每个 DC 的 Windows 安全事件日志。您也可以将所有安全事件日志发送启用日志转发到您账户中的 CloudWatch Logs。

您可能偶尔会看到在 Amazon 预留 OU 中创建和删除了用户。 Amazon 负责管理此 OU 以及我们未向您委托访问和管理权限的任何其他 OU 或容器中所有对象的管理和安全。您可能会看到该 OU 中创建和删除的内容。这是因为 Amazon Directory Service 使用自动化来定期轮换域管理员密码。轮换密码时会创建备份,以防轮换失败。轮换成功后,备份账户会自动删除。此外,在极少数情况下,需要在 DC 上进行交互式访问以进行故障排除,则会创建一个临时用户帐户供 Amazon Directory Service 工程师使用。工程师完成工作后,临时用户账户将被删除。请注意,每次为目录请求交互式凭证时,都会通知 Amazon Directory Service 管理团队。