Amazon托管的 Microsoft AD 先决条件 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon托管的 Microsoft AD 先决条件

创建Amazon需要一个具有以下条件的 VPC:

  • 至少两个子网。每个子网必须位于不同的可用区。

  • VPC 必须具有默认硬件租户。

  • 您不能创建Amazon使用 198.18.0.0/15 地址空间中的地址在 VPC 中托管 Microsoft AD。

如果你需要整合Amazon您必须将您本地域的林和域功能级别设置为 Windows Server 2003 或更高版本。

Amazon Directory Service使用两个 VPC 结构。构成你的目录的 EC2 实例在你的外部运行Amazon账户,并由Amazon. 他们有两个网络适配器,ETH0ETH1.ETH0是管理适配器,存在于您的账户之外。ETH1是在您的账户中创建的。

您目录的 ETH0 网络的管理 IP 范围是 198.18.0.0/15。

Amazon Web Services Single Sign On先决条件

如果您计划使用Amazon Web Services Single Sign On(Amazon Web Services SSO) 用Amazon您需要确保满足以下条件:

  • 您的Amazon您的托管的 Microsoft AD 目录已在您的Amazon组织的管理账户。

  • 您的实例Amazon Web Services SSO位于您的同一区域Amazon已设置托管的 Microsoft AD 目录。

有关更多信息,请参阅 。Amazon Web Services SSO先决条件中的Amazon Web Services Single Sign On用户指南。

多重验证先决条件

为了使用您的支持多重验证Amazon托管 Microsoft AD 目录,你必须配置本地或基于云的远程身份验证拨入用户服务(RADIUS) 服务器采用以下方式,以便它可以接受来自您的请求Amazon中的托管的 Microsoft AD 目录Amazon.

  1. 在 RADIUS 服务器上,创建两个 RADIUS 客户端以表示Amazon中的托管的 Microsoft AD 域控制器 (DC)Amazon. 必须使用以下通用参数配置两个客户端(您的 RADIUS 服务器可能会有所不同):

    • 地址(DNS 或 IP):这是其中一个的 DNS 地址Amazon托管的 Microsoft AD DC。您可以在以下内容中找到两个 DNS 地址Amazon上的 Directory Service 控制台详细信息的页面Amazon你计划在其中使用 MFA 的托管微软 AD 目录。显示的 DNS 地址表示两个Amazon被使用的托管微软 AD DCAmazon.

      注意

      如果 RADIUS 服务器支持 DNS 地址,则您只能创建一个 RADIUS 客户端配置。否则,必须为每个都创建一个 RADIUS 客户端配置AmazonDC 托管的 Microsoft AD DC。

    • 端口号:配置 RADIUS 服务器为其接受 RADIUS 客户端连接的端口号。标准 RADIUS 端口是 1812。

    • 共享密钥:键入或生成将由 RADIUS 服务器用于与 RADIUS 客户端连接的共享密钥。

    • 协议:您可能需要配置在Amazon托管微软 AD DC 和 RADIUS 服务器。支持的协议有 PAP、CHAP MS-CHAPv1 和 MS-CHAPv2。建议使用 MS-CHAPv2,因为它提供三种选项中最强的安全性。

    • 应用程序名称:这可能在某些 RADIUS 服务器中是可选的,通常在消息或报告中标识应用程序。

  2. 配置现有网络以允许来自 RADIUS 客户端的入站流量 (Amazon向 RADIUS 服务器端口的托管的 Microsoft AD DC DNS 地址,请参阅步骤 1)。

  3. 向您的 Amazon EC2 安全组添加规则Amazon允许来自以前定义的 RADIUS 服务器 DNS 地址和端口号的入站流量的 Microsoft AD 域。有关更多信息,请参阅 。在安全组中添加规则中的EC2 用户指南.

有关使用的更多信息Amazon使用 MFA 托管微软 AD,请参阅为启用多重验证Amazon托管的 Microsoft AD.