本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Managed Microsoft AD 入门
Amazon Managed Microsoft AD 在 Amazon Web Services 云中创建完全托管的 Microsoft Active Directory,由 Windows Server 2019 提供支持并在 2012 R2 林和域功能级别运行。当您使用 Amazon Managed Microsoft AD 创建目录时,Amazon Directory Service 将代表您创建两个域控制器并添加 DNS 服务。域控制器在 Amazon VPC 的不同子网中创建;此冗余帮助确保即使在出现故障时您的目录仍可访问。如果您需要更多域控制器,您可以在以后添加它们。有关更多信息,请参阅 为 Amazon Managed Microsoft AD 部署额外的域控制器。
主题
创建 Amazon Managed Microsoft AD 的先决条件
要创建 Amazon Managed Microsoft AD Active Directory,需要满足以下条件的 Amazon VPC:
-
至少两个子网。每个子网必须位于不同的可用区。
-
VPC 必须具有默认硬件租户。
-
您不能使用 198.18.0.0/15 地址空间中的地址在 VPC 中创建 Amazon Managed Microsoft AD。
如果您需要将 Amazon Managed Microsoft AD 域与现有本地 Active Directory 域集成,则必须将您本地域的林和域功能级别设置为 Windows Server 2003 或更高版本。
Amazon Directory Service 使用双 VPC 结构。构成您目录的 EC2 实例在您的 Amazon 账户之外运行,由 Amazon 管理。其有 ETH0
和 ETH1
两个网络适配器。ETH0
是管理适配器,存在于您的账户之外。ETH1
在您的账户内创建。
您目录的 ETH0 网络的管理 IP 范围是 198.18.0.0/15。
有关如何创建 Amazon 环境和 Amazon Managed Microsoft AD 的教程,请参阅Amazon Managed Microsoft AD 测试实验室教程。
Amazon IAM Identity Center先决条件
如果计划将 IAM Identity Center 与 Amazon Managed Microsoft AD 结合使用,则需要确保满足以下条件:
-
您的 Amazon Managed Microsoft AD 目录是在 Amazon 组织的管理账户中设置的。
-
您的 IAM Identity Center 实例位于您在其中设置 Amazon Managed Microsoft AD 目录的同一区域中。
有关更多信息,请参阅《Amazon IAM Identity Center 用户指南》中的 IAM Identity Center 先决条件。
多重身份验证先决条件
要为您的 Amazon Managed Microsoft AD 目录支持多重验证,必须采用以下方式配置本地的或基于云的远程身份验证拨入用户服务
-
在 RADIUS 服务器上,创建两个 RADIUS 客户端,表示 Amazon 中的两个 Amazon Managed Microsoft AD 域控制器(DC)。必须使用以下通用参数配置两个客户端(您的 RADIUS 服务器可能会有所不同):
-
地址(DNS 或 IP):这是其中一个 Amazon Managed Microsoft AD DC 的 DNS 地址。两个 DNS 地址都可以在 Amazon Directory Service 控制台中找到,位于您计划在其中使用 MFA 的 Amazon Managed Microsoft AD 目录的详细信息页面上。显示的 DNS 地址表示 Amazon 所使用的两个 Amazon Managed Microsoft AD DC 的 IP 地址。
注意
如果 RADIUS 服务器支持 DNS 地址,则您只能创建一个 RADIUS 客户端配置。否则,必须为每个 Amazon Managed Microsoft AD DC 都创建一个 RADIUS 客户端配置。
-
端口号:配置 RADIUS 服务器为其接受 RADIUS 客户端连接的端口号。标准 RADIUS 端口是 1812。
-
共享密钥:键入或生成将由 RADIUS 服务器用于与 RADIUS 客户端连接的共享密钥。
-
协议:可能需要在 Amazon Managed Microsoft AD DC 与 RADIUS 服务器之间配置身份验证协议。支持的协议有 PAP、CHAP MS-CHAPv1 和 MS-CHAPv2。建议使用 MS-CHAPv2,因为它提供三种选项中最强的安全性。
-
应用程序名称:在某些 RADIUS 服务器中为可选设置,通常用于在消息或报告中标识应用程序。
-
-
配置现有网络以允许从 RADIUS 客户端(Amazon Managed Microsoft AD DC DNS 地址,请参阅步骤 1)到 RADIUS 服务器端口的入站流量。
-
向 Amazon Managed Microsoft AD 域中的 Amazon EC2 安全组添加规则,以允许来自以前定义的 RADIUS 服务器 DNS 地址和端口号的入站流量。有关更多信息,请参阅《EC2 用户指南》中的向安全组添加规则。
有关将 Amazon Managed Microsoft AD 与 MFA 结合使用的更多信息,请参阅 为 Amazon Managed Microsoft AD 启用多重身份验证。
创建 Amazon Managed Microsoft AD
要创建新的 Amazon Managed Microsoft AD Active Directory,请执行以下步骤。在开始此过程之前,请确保已满足了创建 Amazon Managed Microsoft AD 的先决条件中确定的先决条件。
创建 Amazon Managed Microsoft AD
-
在 Amazon Directory Service 控制台
导航窗格中,选择目录,然后选择设置目录。 -
在选择目录类型页面上,选择 Amazon Managed Microsoft AD,然后选择下一步。
-
在输入目录信息页面上,提供以下信息:
- 版本
-
从 Amazon Managed Microsoft AD 的标准版或企业版中选择。有关版本的更多信息,请参阅 Amazon Directory Service for Microsoft Active Directory。
- 目录 DNS 名称
-
目录的完全限定名称,例如
corp.example.com
。注意
如果您计划将 Amazon Route 53 用于 DNS,则您的 Amazon Managed Microsoft AD 的域名必须与您的 Route 53 域名不同。如果 Route 53 和 Amazon Managed Microsoft AD 共享相同的域名,则可能会出现 DNS 解析问题。
- 目录 NetBIOS 名称
-
目录的短名称,如
CORP
。 - 目录描述
-
目录的可选描述。创建 Amazon Managed Microsoft AD 后,可以更改此描述。
- 管理员密码
-
目录管理员的密码。目录创建过程将创建一个具有
Admin
用户名和此密码的管理员账户。在创建 Amazon Managed Microsoft AD 之后,您可以更改管理员密码。密码不能包含单词“admin”。
目录管理员密码区分大小写,且长度必须介于 8 到 64 (含) 个字符之间。至少,它还必须包含下列四种类别中三种类别的一个字符:
-
小写字母 (a-z)
-
大写字母 (A-Z)
-
数字 (0-9)
-
非字母数字字符 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
-
- 确认密码
-
重新键入管理员密码。
- (可选)用户和组管理
-
要从 Amazon Web Services Management Console启用 Amazon Managed Microsoft AD 用户和组管理,请选择在 Amazon Web Services Management Console中管理用户和组管理。有关如何使用用户和组管理的更多信息,请参阅使用 Amazon Web Services Management Console、 Amazon CLI或, Amazon 管理托管的 Microsoft AD 用户和群组 Amazon Tools for PowerShell。
-
在 Choose VPC and subnets (选择 VPC 和子网) 页面上,提供以下信息,然后选择 Next (下一步)。
- VPC
-
目录的 VPC。
- 子网
-
为域控制器选择子网。两个子网必须位于不同的可用区。
-
在 Review & create (检查并创建) 页面上,检查目录信息并进行任何必要的更改。如果信息正确,请选择 Create directory (创建目录)。创建目录需要 20 到 40 分钟。创建后,Status 值将更改为 Active。
有关随 Amazon Managed Microsoft AD 创建的内容的更多信息,请参阅以下内容: