Amazon托管的 Microsoft AD 先决条件 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon托管的 Microsoft AD 先决条件

创建Amazon托管的 Microsoft AD 目录,您需要一个满足以下条件的 VPC:

  • 至少两个子网。每个子网必须位于不同的可用区。

  • VPC 必须具有默认硬件租户。

  • 您不能创建Amazon使用 198.18.0.0/15 地址空间中的地址在 VPC 中管理 Microsoft AD。

  • Amazon Directory Service 不支持将网络地址转换 (NAT) 与 Active Directory 结合使用。使用 NAT 可能会导致复制错误。

如果您需要集成Amazon托管 Microsoft AD 域与现有本地 Active Directory 域,则必须将您本地域的林和域功能级别设置为 Windows Server 2003 或更高版本。

Amazon Directory Service使用两个 VPC 结构。组成目录的 EC2 实例在Amazon帐户,并由Amazon. 它们有两个网络适配器ETH0ETH1.ETH0是管理适配器,并且存在于您的帐户之外。ETH1在您的账户中创建。

您目录的 ETH0 网络的管理 IP 范围是 198.18.0.0/15。

Amazon Web Services Single Sign On先决条件

如果您计划使用Amazon Web Services Single Sign On(Amazon Web Services SSO) 与Amazon托管 Microsoft AD 时,需要确保满足以下条件:

  • 您的Amazon在托管的 Microsoft AD 目录中设置Amazon组织的管理帐户。

  • 您的实例Amazon Web Services SSO位于同一区域中,Amazon已设置托管的 Microsoft AD 目录。

有关更多信息,请参阅 。Amazon Web Services SSO先决条件中的Amazon Web Services Single Sign On用户指南。

多重验证先决条件

为了使用您的多重身份验证Amazon托管的 Microsoft AD 目录,您必须配置您的本地或基于云的远程身份验证拨入用户服务(RADIUS) 服务器,以便它可以接受来自Amazon托管的 Microsoft AD 目录Amazon.

  1. 在 RADIUS 服务器上,创建两个 RADIUS 客户端以表示Amazon托管微软 AD 域控制器 (DC)Amazon. 必须使用以下通用参数配置两个客户端(您的 RADIUS 服务器可能会有所不同):

    • 地址(DNS 或 IP):这是其中一个Amazon托管的 Microsoft AD DC。这两个 DNS 地址都可在AmazonDirectory Service 控制台详细信息页面Amazon您计划在其中使用 MFA 的托管 Microsoft AD 目录。显示的 DNS 地址表示所有Amazon受管理的微软 AD DCAmazon.

      注意

      如果 RADIUS 服务器支持 DNS 地址,则您只能创建一个 RADIUS 客户端配置。否则,必须为每个Amazon托管的 Microsoft AD DC。

    • 端口号:配置 RADIUS 服务器为其接受 RADIUS 客户端连接的端口号。标准 RADIUS 端口是 1812。

    • Shared secret:键入或生成将由 RADIUS 服务器用于与 RADIUS 客户端连接的共享密钥。

    • 协议:您可能需要在Amazon托管微软 AD DC 和 RADIUS 服务器。支持的协议有 PAP、CHAP MS-CHAPv1 和 MS-CHAPv2。建议使用 MS-CHAPv2,因为它提供三种选项中最强的安全性。

    • 应用程序名称:在某些 RADIUS 服务器中,此设置可能为可选设置,通常在消息或报告中标识应用程序。

  2. 配置现有网络以允许来自 RADIUS 客户端 (Amazon托管 Microsoft AD DC DNS 地址,请参阅步骤 1)到 RADIUS 服务器端口的步骤。

  3. 在 Amazon EC2 安全组中添加一个规则Amazon托管 Microsoft AD 域,允许来自以前定义的 RADIUS 服务器 DNS 地址和端口号的入站流量。有关更多信息,请参阅 。在安全组中添加规则中的EC2 用户指南.

有关使用的更多信息Amazon使用 MFA 托管微软 AD,请参阅为启用多重验证AmazonMicrosoft AD 管理 AD 目录.