AWS Managed Microsoft AD先决条件 - AWS Directory Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Managed Microsoft AD先决条件

要创建 AWS Managed Microsoft AD 目录,需要一个满足以下条件的 VPC:

  • 至少两个子网。每个子网必须位于不同的可用区。

  • VPC 必须具有默认硬件租户。

  • 您不能使用 198.18.0.0/15 地址空间中的地址在 VPC 中创建 AWS Managed Microsoft AD。

  • AWS Directory Service 不支持将网络地址转换 (NAT) 与 Active Directory 结合使用。使用 NAT 可能会导致复制错误。

如果您需要将 AWS Managed Microsoft AD 域与现有本地 Active Directory 域集成,则必须将您本地域的林和域功能级别设置为 Windows Server 2003 或更高版本。

AWS Directory Service 使用双 VPC 结构。构成目录的 EC2 实例在您的 AWS 账户外部运行,并由 AWS 管理。它们有两个网络适配器 ETH0ETH1ETH0 是管理适配器,存在于在您的账户之外。ETH1 是在您的账户中创建的。

您目录的 ETH0 网络的管理 IP 范围是 198.18.0.0/15。

AWS Single Sign-On先决条件

如果计划将 AWS Single Sign-On (AWS SSO) 与 AWS Managed Microsoft AD 结合使用,则需要确保满足以下条件:

  • 您的 AWS Managed Microsoft AD 目录已在中设置 AWS 组织 管理账户.

  • 您的 AWS SSO 实例位于您在其中设置 AWS Managed Microsoft AD 目录的同一区域中。

有关这些先决条件的更多信息,请参阅 AWS Single Sign-On 用户指南 中的 AWS SSO 先决条件

多重验证先决条件

要为您的 AWS Managed Microsoft AD 目录支持多重验证,必须采用以下方式配置本地的或基于云的远程身份验证拨入用户服务 (RADIUS) 服务器,以便它可以接受来自 AWS 中的 AWS Managed Microsoft AD 目录的请求。

  1. 在 RADIUS 服务器上,创建两个 RADIUS 客户端,表示 AWS 中的两个 AWS Managed Microsoft AD 域控制器 (DC)。必须使用以下通用参数配置两个客户端(您的 RADIUS 服务器可能会有所不同):

    • 地址(DNS或IP): 这是其中一个 AWS Managed Microsoft AD DCs。两个DNS地址均可在 AWS 上的目录服务控制台 详情 页面 AWS Managed Microsoft AD 您计划在其中使用MFA的目录。显示的DNS地址代表两个IP地址 AWS Managed Microsoft AD DCs 用于 AWS.

      注意

      如果 RADIUS 服务器支持 DNS 地址,则您只能创建一个 RADIUS 客户端配置。否则,必须为每个 AWS Managed Microsoft AD DC 都创建一个 RADIUS 客户端配置。

    • 端口号: 配置RADIUS服务器接受RADIUS客户端连接的端口号。标准 RADIUS 端口是 1812。

    • 共享秘密: 键入或生成RADIUS服务器用来连接RADIUS客户端的共享秘密。

    • 方案: 您可能需要在 AWS Managed Microsoft AD DCs 和RADIUS服务器。支持的协议有 PAP、CHAP MS-CHAPv1 和 MS-CHAPv2。建议使用 MS-CHAPv2,因为它提供三种选项中最强的安全性。

    • 应用程序名称: 这在某些RADIUS服务器中可能是可选的,并且通常在消息或报告中标识应用程序。

  2. 配置现有网络以允许来自RADIUS客户端的入站流量(AWS Managed Microsoft AD DCs DNS地址,请参阅步骤1)到您的RADIUS服务器端口。

  3. 向 AWS Managed Microsoft AD 域中的 Amazon EC2 安全组添加规则,以允许来自以前定义的 RADIUS 服务器 DNS 地址和端口号的入站流量。有关更多信息,请参阅 EC2 用户指南 中的向安全组添加规则

有关将 AWS Managed Microsoft AD 与 MFA 搭配使用的更多信息,请参阅 为 AWS Managed Microsoft AD 启用多重验证