微软 AD Amazon 托管入门 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

微软 AD Amazon 托管入门

Amazon 托管的 Microsoft AD 创建了一个完全托管的 Microsoft Active Directory 在 an Amazon Web Services 云 d 中由 Windows 服务器 2019,在 2012 年 R2 Forest 和 Domain 功能级别上运行。当你使用 Amazon 托管 Microsoft AD Amazon Directory Service 创建目录时,会创建两个域控制器并代表你添加DNS服务。域控制器在 Amazon 的不同子网中创建,VPC这种冗余有助于确保即使发生故障,您的目录仍可访问。如果您需要更多域控制器,您可以在以后添加它们。有关更多信息,请参阅 为 Amazon Managed Microsoft AD 部署额外的域控制器

有关 Amazon 托管 Microsoft AD 的演示和概述,请参阅以下内容 YouTube 视频。

创建 Amazon Managed Microsoft AD 的先决条件

创建托 Amazon 管 Microsoft 广告 Active Directory,你需要一台VPC具备以下条件的 Amazon:

  • 至少两个子网。每个子网必须位于不同的可用区。

  • VPC必须具有默认的硬件租约。

  • 你不能在 198.18.0.0/15 地址空间中VPC使用地址创建 Amazon 托管 Microsoft AD。

如果你需要将你的 Microsoft AD Amazon 托管域与现有的本地域集成 Active Directory 域,则必须将本地域的林和域功能级别设置为 Windows 服务器 2003 或更高版本。

Amazon Directory Service 使用二元VPC结构。构成您目录的EC2实例在您的 Amazon 账户之外运行,并由管理 Amazon。其有 ETH0ETH1 两个网络适配器。ETH0 是管理适配器,存在于您的账户之外。ETH1 在您的账户内创建。

您的目录 ETH 0 网络的管理 IP 范围是 198.18.0.0/15。

有关如何创建 Amazon 环境和 Amazon 托管 Microsoft AD 的教程,请参阅Amazon Managed Microsoft AD 测试实验室教程

Amazon IAM Identity Center 先决条件

如果你计划将IAM身份中心与 Amazon 托管 Microsoft AD 一起使用,则需要确保以下条件属实:

  • 你的 Microsoft AD Amazon 托管目录是在你 Amazon 组织的管理账户中设置的。

  • 您的IAM身份中心实例位于设置 Amazon 托管 Microsoft AD 目录的同一区域。

有关更多信息,请参阅《Amazon IAM Identity Center 用户指南》中的 “IAM身份中心先决条件”。

多重身份验证先决条件

要支持对 Amazon 托管 Microsoft AD 目录进行多因素身份验证,必须按以下方式配置本地或基于云的远程身份验证拨入用户服务 (RADIUS) 服务器,使其能够接受来自托管 Amazon Microsoft AD 目录的请求。 Amazon

  1. 在您的RADIUS服务器上,创建两个RADIUS客户端,以代表中的两个 Amazon 托管 Microsoft AD 域控制器 (DCs) Amazon。必须使用以下常用参数配置两台客户端(您的RADIUS服务器可能有所不同):

    • 地址(DNS或 IP):这是其中一个 Amazon 托管 Microsoft AD DNS 的地址DCs。这两个DNS地址都可以在你计划使用的 Amazon 托管 Microsoft AD Amazon 目录的详细信息页面的 Directory Service Console 中找到MFA。显示的地DNS址代表使用的两个 Amazon 托管 Microsoft AD DCs 的 IP 地址 Amazon。

      注意

      如果您的RADIUS服务器支持DNS地址,则只能创建一个RADIUS客户机配置。否则,您必须为每个 Amazon 托管的 Microsoft AD DC 创建一个RADIUS客户端配置。

    • 端口号:配置RADIUS服务器接受RADIUS客户端连接的端口号。标准RADIUS端口为 1812。

    • 共享密钥:键入或生成RADIUS服务器用于连接RADIUS客户端的共享密钥。

    • 协议:您可能需要在 Amazon 托管 Microsoft AD DCs 和RADIUS服务器之间配置身份验证协议。支持的协议PAP有 CHAP MS-CHAPv1 和 MS-CHAPv2。建议使用 CHAPv2 MS-,因为它提供了这三个选项中最强的安全性。

    • 应用程序名称:在某些RADIUS服务器中,这可能是可选的,通常在消息或报告中标识应用程序。

  2. 配置现有网络以允许从RADIUS客户端(Amazon 托管 Microsoft AD DCs DNS 地址,参见步骤 1)到您的RADIUS服务器端口的入站流量。

  3. 在您的 Amazon 托管 Microsoft AD 域中的亚马逊EC2安全组中添加一条规则,允许来自先前定义的RADIUS服务器DNS地址和端口号的入站流量。有关更多信息,请参阅《EC2用户指南》中的向安全组添加规则

有关将 Amazon 托管 Microsoft AD 与配合使用的更多信息MFA,请参阅为 Amazon Managed Microsoft AD 启用多重身份验证

创建你的 Microsoft Amazon 托管广告

创建新的 Amazon 托管 Microsoft AD Active Directory,请执行以下步骤。在开始此过程之前,请确保已满足了创建 Amazon Managed Microsoft AD 的先决条件中确定的先决条件。

创建托 Amazon 管 Microsoft 广告
  1. Amazon Directory Service 控制台导航窗格中,选择目录,然后选择设置目录

  2. 选择目录类型页面上,选择 Amazon Managed Microsoft AD,然后选择下一步

  3. 输入目录信息页面上,提供以下信息:

    版本

    从 Amazon 托管 Microsoft AD 的标准版或企业版中进行选择。有关版本的更多信息,请参阅 Amazon Directory Service for Microsoft Active Directory

    目录DNS名

    目录的完全限定名称,例如 corp.example.com

    注意

    如果您计划使用亚马逊 Route 53DNS,则您的 Amazon 托管 Microsoft AD 的域名必须与您的 Route 53 域名不同。 DNS如果 Route 53 和 Amazon 托管 Microsoft AD 共享相同的域名,则可能会出现解析问题。

    目录网BIOS名

    目录的短名称,如 CORP

    目录描述

    目录的可选描述。创建您的 Amazon 托管 Microsoft AD 后,可以更改此描述。

    管理员密码

    目录管理员的密码。目录创建过程将创建一个具有 Admin 用户名和此密码的管理员账户。在创建 Amazon 托管 Microsoft AD 之后,你可以更改管理员密码。

    密码不能包含单词“admin”。

    目录管理员密码区分大小写,且长度必须介于 8 到 64 (含) 个字符之间。至少,它还必须包含下列四种类别中三种类别的一个字符:

    • 小写字母 (a-z)

    • 大写字母 (A-Z)

    • 数字 (0-9)

    • 非字母数字字符 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    确认密码

    重新键入管理员密码。

    (可选)用户和组管理

    要从中启用 Amazon 托管 Microsoft AD 用户和群组管理 Amazon Web Services Management Console,请在中选择管理用户和群组管理 Amazon Web Services Management Console。有关如何使用用户和组管理的更多信息,请参阅使用 Amazon Web Services Management Console、 Amazon CLI或, Amazon 管理托管的 Microsoft AD 用户和群组 Amazon Tools for PowerShell

  4. 选择VPC和子网页面上,提供以下信息,然后选择下一步

    VPC

    VPC对应于目录。

    子网

    为域控制器选择子网。两个子网必须位于不同的可用区。

  5. Review & create (检查并创建) 页面上,检查目录信息并进行任何必要的更改。如果信息正确,请选择 Create directory (创建目录)。创建目录需要 20 到 40 分钟。创建后,Status 值将更改为 Active

有关使用 Amazon 托管 Microsoft AD 创建的内容的更多信息,请参阅以下内容: