本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
开始使用 Amazon 微软 AD 托管
Amazon Managed Microsoft AD 创建了一个完全托管的,Microsoft Active Directory由 Windows Server 2019 提供支持,在 2016 年的森林和域功能级别上运行。 Amazon Web Services 云 当你使用 Amazon 托管 Microsoft AD Amazon Directory Service 创建目录时,会创建两个域控制器并代表你添加 DNS 服务。域控制器在 Amazon VPC 的不同子网中创建;此冗余帮助确保即使在出现故障时您的目录仍可访问。如果您需要更多域控制器,您可以在以后添加它们。有关更多信息,请参阅 为你的 Amazon 托管 Microsoft AD 部署额外的域控制器。
有关 Amazon 托管 Microsoft AD 的演示和概述,请YouTube观看以下视频。
主题
创建的先决条件 Amazon 微软 AD 托管
要创建 Amazon 托管的 Microsoft AD 活动目录,您需要一个具有以下内容的亚马逊 VPC:
-
至少两个子网。每个子网必须位于不同的可用区,但网络类型相同。
可以将 IPv6 用于 VPC。有关更多信息,请参阅《Amazon Virtual Private Cloud 用户指南》中的 VPC 支持 IPv6。
-
VPC 必须具有默认硬件租户。
-
你不能使用 198.18.0 中的地址在 VPC 中创建 Amazon 托管 Microsoft AD。 0/15 地址空间。
如果您需要将 Amazon 托管的 Microsoft AD 域与现有的本地 Active Directory 域集成,则必须将本地域的森林和域功能级别设置为 Windows Server 2003 或更高版本。
Amazon Directory Service 使用双 VPC 结构。构成您目录的 EC2 实例在您的 Amazon 账户之外运行,由管理 Amazon。其有 ETH0 和 ETH1 两个网络适配器。ETH0 是管理适配器,存在于您的账户之外。ETH1 在您的账户内创建。
您的目录的 ETH0 网络的管理 IP 范围为 198.18.0。 0/15。
有关如何创建 Amazon 环境和 Amazon 托管 Microsoft AD 的教程,请参阅Amazon 微软 AD 托管测试实验室教程。
Amazon IAM Identity Center 先决条件
如果您计划将 IAM 身份中心与 Amazon 托管 Microsoft AD 一起使用,则需要确保满足以下条件:
-
你的 Microsoft AD Amazon 托管目录是在你 Amazon 组织的管理账户中设置的。
-
您的 IAM 身份中心实例位于设置 Amazon 托管 Microsoft AD 目录的同一区域。
有关更多信息,请参阅《Amazon IAM Identity Center 用户指南》中的 IAM Identity Center 先决条件。
Multi-factor 身份验证先决条件
要支持对 Amazon 托管 Microsoft AD 目录进行多因素身份验证,必须按以下方式配置本地或基于云的远程身份验证 Dial-In 用户服务
-
在你的 RADIUS 服务器上,创建两个 RADIUS 客户端来代表中的 Amazon两个 Amazon 托管 Microsoft AD 域控制器 (DC)。必须使用以下通用参数配置两个客户端(您的 RADIUS 服务器可能会有所不同):
-
地址(DNS 或 IP):这是其中一个 Amazon 托管 Microsoft AD DC 的 DNS 地址。这两个 DNS 地址都可以在你计划使用 MFA 的 Amazon 托管 Microsoft AD 目录的详细信息页面的目录服务控制台中找到。 Amazon 显示的 DNS 地址代表使用的两个 Amazon 托管 Microsoft AD DC 的 IP 地址。 Amazon
注意
如果 RADIUS 服务器支持 DNS 地址,则您只能创建一个 RADIUS 客户端配置。否则,您必须为每个 Amazon 托管的 Microsoft AD DC 创建一个 RADIUS 客户端配置。
-
端口号:配置 RADIUS 服务器为其接受 RADIUS 客户端连接的端口号。标准 RADIUS 端口是 1812。
-
共享密钥:键入或生成将由 RADIUS 服务器用于与 RADIUS 客户端连接的共享密钥。
-
协议:你可能需要在 Amazon 托管的 Microsoft AD DC 和 RADIUS 服务器之间配置身份验证协议。支持的协议有 PAP MS-CHAPv1、CHAP 和。 MS-CHAPv2 MS-CHAPv2 之所以推荐,是因为它提供了三个选项中最强的安全性。
-
应用程序名称:在某些 RADIUS 服务器中为可选设置,通常用于在消息或报告中标识应用程序。
-
-
配置现有网络以允许从 RADIUS 客户端(Amazon 托管的 Microsoft AD DC 的 DNS 地址,参见步骤 1)到您的 RADIUS 服务器端口的入站流量。
-
在您的 Amazon 托管 Microsoft AD 域中的 Amazon EC2 安全组中添加一条规则,允许来自之前定义的 RADIUS 服务器 DNS 地址和端口号的入站流量。有关更多信息,请参阅《EC2 用户指南》中的向安全组添加规则。
有关将 Amazon 托管 Microsoft AD 与 MFA 配合使用的更多信息,请参阅。启用多因素身份验证 Amazon 微软 AD 托管
创建你的 Amazon 微软 AD 托管
要创建新的 Amazon 托管 Microsoft AD 活动目录,请执行以下步骤。在开始此过程之前,请确保已满足了创建的先决条件 Amazon 微软 AD 托管中确定的先决条件。
要创建 Amazon 微软 AD 托管
-
在 Amazon Directory Service 控制台
导航窗格中,选择目录,然后选择设置目录。 -
在选择目录类型页面上,选择 Amazon Managed Microsoft AD,然后选择下一步。
-
在输入目录信息页面上,提供以下信息:
- 版本
-
从 Amazon 托管 Microsoft AD 的标准版或企业版中进行选择。有关版本的更多信息,请参阅 Amazon Directory Service for Microsoft Active Directory。
- 目录 DNS 名称
-
目录的完全限定名称,例如
corp.example.com。注意
如果您计划使用 Amazon Route 53 私有托管区域进行 DNS,则您的 Amazon 托管 Microsoft AD 的域名必须与您的 Route 53 域名不同。如果 Route 53 和 Amazon 托管 Microsoft AD 共享相同的域名,则可能会出现 DNS 解析问题。另外,可以考虑将 “如果没有转发器可用,则使用根提示” 设置从 true 更改为 false。当设置为 true 且无法访问转发器时, Amazon Microsoft AD 会回退到互联网根目录提示,该提示会返回私有托管区域名称的 NXDOMAIN。这种负面响应会被缓存,即使在恢复连接后仍会延长解析失败时间。
- 目录 NetBIOS 名称
-
目录的短名称,如
CORP。 - 目录描述
-
目录的可选描述。创建您的 Amazon 托管 Microsoft AD 后,可以更改此描述。
- 管理员密码
-
目录管理员的密码。目录创建过程将创建一个具有
Admin用户名和此密码的管理员账户。你可以在创建 Amazon 托管 Microsoft AD 后更改管理员密码。密码不能包含单词“admin”。
目录管理员密码区分大小写,且长度必须介于 8 到 64 (含) 个字符之间。至少,它还必须包含下列四种类别中三种类别的一个字符:
-
小写字母 (a-z)
-
大写字母 () A-Z
-
数字 (0-9)
-
Non-alphanumeric 字符 (~! @#$%^&*_-+=`|\ () {} []:; “'<>,。? /)
-
- 确认密码
-
重新键入管理员密码。
- (可选)用户和组管理
-
要从中启用 Amazon 托管 Microsoft AD 用户和群组管理 Amazon Web Services 管理控制台,请在中选择管理用户和群组管理 Amazon Web Services 管理控制台。有关如何使用用户和组管理的更多信息,请参阅管理 Amazon 使用管理微软 AD 用户和群组 Amazon Web Services 管理控制台, Amazon CLI或 Amazon Tools for PowerShell。
-
在 Choose VPC and subnets (选择 VPC 和子网) 页面上,提供以下信息,然后选择 Next (下一步)。
- VPC
-
为目录选择 VPC。
- 网络类型
-
与 VPC 和子网相关的互联网协议(IP)地址系统。
选择与现有 VPC 相关的 CIDR 数据块。子网中的资源可以配置为仅使用 IPv4、仅使用 IPv6 或同时使用 IPv4 和 IPv6(双堆栈)。有关更多信息,请参阅《Amazon Virtual Private Cloud 用户指南》中的比较 IPv4 和 IPv6。
- 子网
-
为域控制器选择子网。两个子网必须位于不同的可用区。
-
在 Review & create (检查并创建) 页面上,检查目录信息并进行任何必要的更改。如果信息正确,请选择 Create directory (创建目录)。创建目录需要 20 到 40 分钟。创建后,Status 值将更改为 Active。
有关使用 Amazon 托管 Microsoft AD 创建的内容的更多信息,请参阅以下内容:
相关 Amazon 安全博客文章