Amazon Managed Microsoft AD 入门 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Managed Microsoft AD 入门

Amazon Managed Microsoft AD 在 Amazon Cloud 中创建一个完全托管的 Microsoft Active Directory,由 Windows Server 2019 提供支持并在 2012 R2 林和域功能级别上运行。当您使用 Amazon Managed Microsoft AD 创建目录时,Amazon Directory Service 将代表您创建两个域控制器并添加 DNS 服务。域控制器在 Amazon VPC 的不同子网中创建,这种冗余有助于确保即使发生故障也能访问您的目录。如果您需要更多域控制器,您可以在以后添加它们。有关更多信息,请参阅部署额外的域控制器

Amazon Managed Microsoft AD 先决条件

要创建Amazon托管的 Microsoft AD 活动目录,您需要一个具有以下内容的亚马逊 VPC:

  • 至少两个子网。每个子网必须位于不同的可用区。

  • VPC 必须具有默认硬件租户。

  • 您不能使用 198.18.0.0/15 地址空间中的地址在 VPC 中创建 Amazon Managed Microsoft AD。

如果您需要将 Amazon Managed Microsoft AD 域与现有本地 Active Directory 域集成,则必须将您本地域的林和域功能级别设置为 Windows Server 2003 或更高版本。

Amazon Directory Service 使用双 VPC 结构。构成您目录的 EC2 实例在您的 Amazon 账户之外运行,由 Amazon 管理。其有 ETH0ETH1 两个网络适配器。ETH0 是管理适配器,存在于您的账户之外。ETH1 在您的账户内创建。

您目录的 ETH0 网络的管理 IP 范围是 198.18.0.0/15。

Amazon IAM Identity Center先决条件

如果计划将 IAM Identity Center 与 Amazon Managed Microsoft AD 结合使用,则需要确保满足以下条件:

  • 您的 Amazon Managed Microsoft AD 目录是在 Amazon 组织的管理账户中设置的。

  • 您的 IAM Identity Center 实例位于您在其中设置 Amazon Managed Microsoft AD 目录的同一区域中。

有关更多信息,请参阅《Amazon IAM Identity Center User Guide》中的 IAM Identity Center prerequisites

多重身份验证先决条件

要为您的 Amazon Managed Microsoft AD 目录支持多重验证,必须采用以下方式配置本地的或基于云的远程身份验证拨入用户服务(RADIUS)服务器,以便它可以接受来自 Amazon 中的 Amazon Managed Microsoft AD 目录的请求。

  1. 在 RADIUS 服务器上,创建两个 RADIUS 客户端,表示 Amazon 中的两个 Amazon Managed Microsoft AD 域控制器(DC)。必须使用以下通用参数配置两个客户端(您的 RADIUS 服务器可能会有所不同):

    • 地址(DNS 或 IP):这是其中一个 Amazon Managed Microsoft AD DC 的 DNS 地址。两个 DNS 地址都可以在 Amazon Directory Service 控制台中找到,位于您计划在其中使用 MFA 的 Amazon Managed Microsoft AD 目录的详细信息页面上。显示的 DNS 地址表示 Amazon 所使用的两个 Amazon Managed Microsoft AD DC 的 IP 地址。

      注意

      如果 RADIUS 服务器支持 DNS 地址,则您只能创建一个 RADIUS 客户端配置。否则,必须为每个 Amazon Managed Microsoft AD DC 都创建一个 RADIUS 客户端配置。

    • 端口号:配置 RADIUS 服务器为其接受 RADIUS 客户端连接的端口号。标准 RADIUS 端口是 1812。

    • 共享密钥:键入或生成将由 RADIUS 服务器用于与 RADIUS 客户端连接的共享密钥。

    • 协议:可能需要在 Amazon Managed Microsoft AD DC 与 RADIUS 服务器之间配置身份验证协议。支持的协议有 PAP、CHAP MS-CHAPv1 和 MS-CHAPv2。建议使用 MS-CHAPv2,因为它提供三种选项中最强的安全性。

    • 应用程序名称:在某些 RADIUS 服务器中为可选设置,通常用于在消息或报告中标识应用程序。

  2. 配置现有网络以允许从 RADIUS 客户端(Amazon Managed Microsoft AD DC DNS 地址,请参阅步骤 1)到 RADIUS 服务器端口的入站流量。

  3. 向 Amazon Managed Microsoft AD 域中的 Amazon EC2 安全组添加规则,以允许来自以前定义的 RADIUS 服务器 DNS 地址和端口号的入站流量。有关更多信息,请参阅《EC2 用户指南》中的向安全组添加规则

有关将 Amazon Managed Microsoft AD 与 MFA 结合使用的更多信息,请参阅 为 Amazon Managed Microsoft AD 启用多重身份验证

创建你的Amazon托管 Microsoft AD 活动目录

要创建新目录,请执行以下步骤。在开始此过程之前,请确保已满足了Amazon Managed Microsoft AD 先决条件中确定的先决条件。

创建 Amazon 托管的 Microsoft AD 目录
  1. Amazon Directory Service 控制台导航窗格中,选择目录,然后选择设置目录

  2. 选择目录类型页面上,选择 Amazon Managed Microsoft AD,然后选择下一步

  3. 输入目录信息页面上,提供以下信息:

    版本

    从 Amazon Managed Microsoft AD 的标准版企业版中选择。有关版本的更多信息,请参阅 Amazon Directory Service for Microsoft Active Directory

    目录 DNS 名称

    目录的完全限定名称,例如 corp.example.com

    目录 NetBIOS 名称

    目录的短名称,如 CORP

    目录描述

    目录的可选描述。

    管理员密码

    目录管理员的密码。目录创建过程将创建一个具有 Admin 用户名和此密码的管理员账户。

    密码不能包含单词“admin”。

    目录管理员密码区分大小写,且长度必须介于 8 到 64 (含) 个字符之间。至少,它还必须包含下列四种类别中三种类别的一个字符:

    • 小写字母 (a-z)

    • 大写字母 (A-Z)

    • 数字 (0-9)

    • 非字母数字字符 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    确认密码

    重新键入管理员密码。

  4. Choose VPC and subnets (选择 VPC 和子网) 页面上,提供以下信息,然后选择 Next (下一步)

    VPC

    目录的 VPC。

    子网

    为域控制器选择子网。两个子网必须位于不同的可用区。

  5. Review & create (检查并创建) 页面上,检查目录信息并进行任何必要的更改。如果信息正确,请选择 Create directory (创建目录)。创建目录需要 20 到 40 分钟。创建后,Status 值将更改为 Active

用你的Amazon托管 Microsoft AD 活动目录创建了什么

当你使用Amazon托管 Microsoft AD 创建活动目录时,Amazon Directory Service会代表你执行以下任务:

  • 自动创建弹性网络接口(ENI)并将其与每个域控制器相关联。其中每个 ENI 对于您的 VPC 与 Amazon Directory Service 域控制器之间的连接都至关重要,绝不应删除。您可以通过以下描述识别保留用于 Amazon Directory Service 的所有网络接口:“Amazon 为目录 directory-id 创建的网络接口”。有关更多信息,请参阅《适用于 Windows 实例的 Amazon EC2 用户指南》中的弹性网络接口

    注意

    默认情况下,域控制器部署在一个地区的两个可用区中,并连接到您的 Amazon VPC (VPC)。每天自动备份一次,并对 Amazon EBS (EBS) 卷进行加密,以确保静态数据的安全。出现故障的域控制器会在同一可用区中使用相同的 IP 地址自动替换,并且可以使用最新的备份执行完全灾难恢复。

  • 使用两个域控制器在 VPC 中预置 Active Directory,以实现容错和高可用性。在成功创建目录且目录处于活动状态后,可以预置更多域控制器以获得更高的恢复能力和性能。有关更多信息,请参阅部署额外的域控制器

    注意

    Amazon 不允许在 Amazon Managed Microsoft AD 域控制器上安装监控代理。

  • 创建 Amazon 安全组,从而建立针对传入和传出域控制器的流量的网络规则。默认出站规则允许所有流量 ENI 或实例连接到创建的 Amazon 安全组。默认入站规则仅允许来自任何源的通过 Active Directory 所需端口的流量 (0.0.0.0/0)。0.0.0.0/0 规则不会引入安全漏洞,因为到域控制器的流量仅限来自您的 VPC、来自其他对等 VPC 或来自您使用 Amazon Direct Connect、Amazon 中转网关或虚拟专用网络连接的网络的流量。为了提高安全性,创建的 ENI 没有连接弹性 IP,并且您不拥有将弹性 IP 连接到这些 ENI 的权限。因此,唯一可与 Amazon Managed Microsoft AD 通信的入站流量是本地 VPC 和 VPC 路由流量。如果您尝试更改这些规则,请特别小心,因为您可能会破坏与域控制器通信的能力。有关更多信息,请参阅Amazon Managed Microsoft AD 最佳实践:默认情况下,会创建以下 Amazon 安全组规则:

    入站规则

    协议 端口范围 流量的类型 Active Directory 使用情况
    ICMP N/A 0.0.0.0/0 Ping LDAP 保持活动,DFS
    TCP 和 UDP 53 0.0.0.0/0 DNS 用户和计算机身份验证、名称解析、信任
    TCP 和 UDP 88 0.0.0.0/0 Kerberos 用户和计算机身份验证、林级信任
    TCP 和 UDP 389 0.0.0.0/0 LDAP 目录、复制、用户和计算机身份验证组策略、信任
    TCP 和 UDP 445 0.0.0.0/0 SMB / CIFS 复制、用户和计算机身份验证、组策略、信任
    TCP 和 UDP 464 0.0.0.0/0 Kerberos 更改/设置密码 复制、用户和计算机身份验证、信任
    TCP 135 0.0.0.0/0 复制 RPC、EPM
    TCP 636 0.0.0.0/0 LDAP SSL 目录、复制、用户和计算机身份验证、组策略、信任
    TCP 1024-65535 0.0.0.0/0 RPC 复制、用户和计算机身份验证、组策略、信任
    TCP 3268 - 3269 0.0.0.0/0 LDAP GC 和 LDAP GC SSL 目录、复制、用户和计算机身份验证、组策略、信任
    UDP 123 0.0.0.0/0 Windows 时间 Windows 时间、信任
    UDP 138 0.0.0.0/0 DFSN 和 NetLogon DFS、组策略
    全部 全部 sg-################## 所有流量

    出站规则

    协议 端口范围 目标位置 流量的类型 Active Directory 使用情况
    全部 全部 sg-################## 所有流量
  • 有关 Active Directory 使用的端口和协议的更多信息,请参阅 Microsoft 文档中的 Windows 服务概述和网络端口要求

  • 使用用户名 Admin 和指定密码创建目录管理员账户。此账户位于 Users OU 下 (例如,Corp > Users)。您可以使用此账户管理 Amazon 云中的目录。有关更多信息,请参阅管理员账户的权限

    重要

    请务必保存此密码。Amazon Directory Service 不会存储此密码,并且此密码无法检索。但是,您可以通过Amazon Directory Service控制台或使用 ResetUserPasswordAPI 重置密码。

  • 在域根目录下创建以下三个组织单位 (OU):

    OU 名称 描述

    Amazon 委托组

    存储您可用于将 Amazon 特定权限委派给用户的所有组。
    Amazon 预留 存储所有 Amazon 管理特定账户。
    <您的域名> 此 OU 的名称基于您在创建目录时键入的 NetBIOS 名称。如果您未指定 NetBIOS 名称,则此名称将默认为您的目录 DNS 名称的第一部分(例如,如果目录 DNS 名称为 corp.example.com,则 NetBIOS 名称将为 corp)。此 OU 属于 Amazon 并且包含您有权完全控制的所有 Amazon 相关目录对象。默认情况下,此 OU 下存在两个子 OU:Computers 和 Users。例如:
    • Corp

      • Computers

      • 用户

  • 在 Amazon 委托组 OU 中创建以下组:

    Group name 描述
    Amazon 账户委托操作员 此安全组的成员拥有有限的账户管理能力,如密码重置

    Amazon 委派的基于 Active Directory 的激活管理员

    此安全组的成员可以创建 Active Directory 批量许可激活对象,这使企业能够通过与其域的连接激活计算机。

    Amazon 在域中添加工作站的委托用户 此安全组的成员可将 10 台计算机加入域中。
    Amazon 委托管理员 此安全组的成员可以管理 Amazon Managed Microsoft AD,对您 OU 中的所有对象拥有完全控制权,并可以管理 Amazon 委托组 OU 中包含的组。
    Amazon 委托了允许对对象进行身份验证 此安全组的成员可以对 Amazon 预留 OU 中的计算机资源进行身份验证(仅当本地对象具有启用了选择性身份验证的信任时才需要)。
    Amazon 委派了允许对域控制器进行身份验证 此安全组的成员可以对域控制器 OU 中的计算机资源进行身份验证(仅当本地对象具有启用了选择性身份验证的信任时才需要)。

    Amazon 委派的删除对象生命周期管理员

    该安全组的成员可以修改 MSD-DeletedObjectLifetime 对象,该对象定义了已删除的对象可以从 AD 回收站中恢复多长时间。

    Amazon 分布式文件系统委托管理员 此安全组的成员可以添加和删除 FRS、DFS-R 和 DFS 命名空间。
    Amazon 域名系统委托管理员 此安全组的成员可以管理与 Active Directory 集成的 DNS。
    Amazon 动态主机配置协议委托管理员 此安全组的成员可以对企业中的 Windows DHCP 服务器进行授权。
    Amazon 企业证书颁发机构委托管理员 此安全组的成员可以部署和管理 Microsoft 企业证书颁发机构基础设施。
    Amazon 精细密码策略委托管理员 此安全组的成员可以修改预先创建的精细密码策略。
    Amazon 委派的 FSx 管理员 此安全组的成员可以管理 Amazon FSx 资源。
    Amazon 组策略委托管理员 此安全组的成员可以执行组策略管理任务(创建、编辑、删除、链接)。
    Amazon Kerberos 委托管理员 此安全组的成员可以针对计算机和用户账户对象启用委托。
    Amazon 托管服务账户委托管理员 此安全组的成员可以创建和删除托管服务账户。
    Amazon 委托的 MS-NPRC 不合规设备 该安全组的成员将被排除在与域控制器进行安全通道通信的要求之外。此组适用于计算机账户。
    Amazon 远程访问服务委托管理员 此安全组的成员可以添加和删除 RAS 和 IAS 服务器组中的 RAS 服务器。
    Amazon 复制目录变更委托管理员 该安全组的成员可以将 Active Directory 中的配置文件信息与 SharePoint 服务器同步。
    Amazon 服务器委托管理员 此安全组的成员包含在所有加入域的计算机的本地管理员组中。
    Amazon 站点和服务委托管理员 此安全组的成员可以重命名 Active Directory 站点和服务中的 Default-First-Site-Name 对象。
    Amazon 委派的系统管理员 此安全组的成员可以创建和管理系统管理容器中的对象。
    Amazon 终端服务器许可委托管理员 此安全组的成员可以在终端服务器许可服务器组中添加和删除终端服务器许可服务器。
    Amazon 用户委托人名称后缀委托管理员 此安全组的成员可以添加和删除用户委托人名称后缀。
  • 创建并应用以下组策略对象 (GPO):

    注意

    您无权删除、修改这些 GPO 或取消其链接。这是设计使然,因为它们是保留供 Amazon 使用的。如果需要,可以将它们链接到您控制的 OU。

    组策略名称 适用于 描述
    默认域策略 Domain 包括域密码和 Kerberos 策略。
    ServerAdmins 所有非域控制器计算机账户 将“Amazon 委托服务器管理员”添加为 BUILTIN\Administrators 组的成员。
    Amazon 保留策略:用户 Amazon 保留的用户账户 对 Amazon 保留 OU 中的所有用户账户设置建议的安全设置。
    Amazon Managed Active Directory 策略 所有域控制器 在所有域控制器上设置建议的安全设置。
    TimePolicyNT5DS 所有非 PDCe 域控制器 将所有非 PDCe 域控制器时间策略设置为使用 Windows 时间 (NT5DS)。
    TimePolicyPDC PDCe 域控制器 将 PDCe 域控制器的时间策略设置为使用网络时间协议 (NTP)。
    默认域控制器策略 未使用 在域创建期间预置,将使用 Amazon Managed Active Directory 策略。

    如果要查看每个 GPO 的设置,可以从启用了组策略管理控制台(GPMC)的加入域的 Windows 实例中查看它们。

管理员账户的权限

如果您创建 Amazon Directory Service for Microsoft Active Directory 目录,Amazon 会创建组织部门(OU)来存储与 Amazon 相关的所有组和账户。有关此 OU 的更多信息,请参阅 用你的Amazon托管 Microsoft AD 活动目录创建了什么。其中包括管理员账户。管理员账户有权对您的 OU 执行以下常见的管理活动:

  • 添加、更新或删除用户、组和计算机。有关更多信息,请参阅在 Amazon Managed Microsoft AD 中管理用户和组

  • 将资源添加到域 (如文件或打印服务器),然后为 OU 中的用户和组分配这些资源的权限。

  • 创建额外的 OU 和容器。

  • 委派附加 OU 和容器的权限。有关更多信息,请参阅委托 Amazon Managed Microsoft AD 的目录加入权限

  • 创建和链接组策略。

  • 从 Active Directory 回收站还原删除的对象。

  • 在活动目录 Web 服务上运行 Active Directory 和 DNS Windows PowerShell 模块。

  • 创建和配置组托管服务账户。有关更多信息,请参阅组托管服务账户

  • 配置 Kerberos 约束委托。有关更多信息,请参阅Kerberos 约束委托

管理员账户还具有在域范围内进行以下活动的权限:

  • 管理 DNS 配置(添加、删除或更新记录、区域和转发器)

  • 查看 DNS 事件日志

  • 查看安全事件日志

仅允许管理员账户执行此处列出的操作。对于特定 OU 外部 (如在父 OU 上) 的任何目录相关操作,管理员账户也没有权限。

重要

Amazon 域管理员对 Amazon 上托管的所有域拥有完全管理访问权限。有关 Amazon 如何处理 Amazon 系统上存储的内容(包括目录信息)的更多信息,请参阅与 Amazon 达成的协议以及 Amazon 数据保护常见问题

注意

我们建议您不要删除或重命名此账户。如果您不再想使用该账户,建议您设置一个长密码(最多 64 个随机字符),然后禁用该账户。

企业和域管理员特权账户

Amazon 每 90 天自动将内置管理员密码轮换为随机密码。每当要求内置的管理员密码供人们使用时,系统都会创建一个 Amazon 票证并记录在 Amazon Directory Service 团队中。账户凭证通过安全通道进行经过加密和处理。此外,管理员账户凭证只能由 Amazon Directory Service 管理团队申请。

要执行操作管理您的目录,Amazon 已独占控制管理员和域管理员权限的账户的企业。这包括对 Active Directory 管理员帐户的独家控制权。 Amazon通过使用密码库自动管理密码,从而保护此帐户。在自动轮换管理员密码时,Amazon 会创建一个用户账户并授予其临时域管理员权限。此临时账户已用作备份在发生密码轮换故障的管理员账户。Amazon 成功轮换管理员密码后,Amazon 会删除临时管理员账户。

通过 Amazon 目录通常完全自动化。如果自动化流程无法解决运营问题,Amazon 可能需要有一个支持工程师登录到您的域控制器(DC)执行诊断。在这些极少数情况下,Amazon 实施请求/通知系统来授予访问权限。在此过程中,Amazon 自动化会在您的目录中创建一个具有域管理员权限的限时用户账户。Amazon 将用户账户与被指派处理此目录的工程师相关联。Amazon 将该关联记录在我们的日志系统中,并为工程师提供要使用的凭证。工程师所采取的所有操作都记录在 Windows 事件日志中。当分配的时间到期后,自动化将删除用户账户。

您可以使用目录的日志转发功能监控管理账户的操作。此功能使您能够将 AD Security 事件转发到您的 CloudWatch系统,在那里您可以实施监控解决方案。有关更多信息,请参阅启用日志转发

当有人以交互方式登录到 DC 时,系统会记录安全事件 ID 4624、4672 和 4648。可以在已加入域的 Windows 计算机上使用事件查看器 Microsoft 管理控制台(MMC)查看每个 DC 的 Windows 安全事件日志。您也可以将所有安全事件日志发送启用日志转发到您账户中的 CloudWatch Logs。

您可能偶尔会看到在 Amazon 预留 OU 中创建和删除用户。Amazon 负责此 OU 以及我们未向您委托访问和管理权限的任何其他 OU 或容器中所有对象的管理和安全。您可能会看到该 OU 中创建和删除的内容。这是因为 Amazon Directory Service 使用自动化来定期轮换域管理员密码。轮换密码时会创建备份,以防轮换失败。轮换成功后,备份账户会自动删除。此外,极少数情况下需要在 DC 上进行交互式访问以进行故障排除时,会创建一个临时用户账户供 Amazon Directory Service 工程师使用。工程师完成工作后,临时用户账户将被删除。请注意,每次为目录请求交互式凭证时,都会通知 Amazon Directory Service 管理团队。