AWS Directory Service
管理指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS Managed Microsoft AD 先决条件

要创建 AWS Managed Microsoft AD 目录,需要一个满足以下条件的 VPC:

  • 至少两个子网。每个子网必须位于不同的可用区。

  • 在将目录部署到其中的两个子网之间必须打开以下端口。要使 AWS Directory Service 为您创建的域控制器可以互相通信,这是必需的。将创建安全组并将其附加到您的目录,以允许域控制器之间通信。

    • TCP/UDP 53 - DNS

    • TCP/UDP 88 - Kerberos authentication

    • UDP 123 - NTP

    • TCP 135 - RPC

    • UDP 137-138 - Netlogon

    • TCP 139 - Netlogon

    • TCP/UDP 389 - LDAP

    • TCP/UDP 445 - SMB

    • TCP 636 - LDAPS (LDAP over TLS/SSL)

    • TCP 873 - Rsync

    • TCP 3268 - Global Catalog

    • TCP/UDP 1024-65535 - Ephemeral ports for RPC

  • VPC 必须具有默认硬件租户。

  • 您不能使用 198.19.0.0/16 地址空间中的地址在 VPC 中创建 AWS Managed Microsoft AD。

  • AWS Directory Service 不支持将网络地址转换 (NAT) 与 Active Directory 结合使用。使用 NAT 可能会导致复制错误。

多重验证先决条件

要为您的 AWS Managed Microsoft AD 目录支持多重验证,必须采用以下方式配置本地的或基于云的远程身份验证拨入用户服务 (RADIUS) 服务器,以便它可以接受来自 中的 目录的请求。

  1. 在 RADIUS 服务器上,创建两个 RADIUS 客户端,表示 中的两个 域控制器 (DC)。必须使用以下通用参数配置两个客户端(您的 RADIUS 服务器可能会有所不同):

    • Address (DNS or IP) (地址 (DNS 或 IP)):这是其中一个 AWS Managed Microsoft AD DC 的 DNS 地址。两个 DNS 地址都可以在 AWS Directory Service 控制台中找到,位于您计划在其中使用 MFA 的 AWS Managed Microsoft AD 目录的 Details (详细信息) 页面上。显示的 DNS 地址表示 所使用的两个 DC 的 IP 地址。

      注意

      如果 RADIUS 服务器支持 DNS 地址,则您只能创建一个 RADIUS 客户端配置。否则,必须为每个 AWS Managed Microsoft AD DC 都创建一个 RADIUS 客户端配置。

    • 端口号:配置 RADIUS 服务器为其接受 RADIUS 客户端连接的端口号。标准 RADIUS 端口是 1812。

    • 共享密钥:键入或生成将由 RADIUS 服务器用于与 RADIUS 客户端连接的共享密钥。

    • Protocol (协议):可能需要在 AWS Managed Microsoft AD DC 与 RADIUS 服务器之间配置身份验证协议。支持的协议有 PAP、CHAP MS-CHAPv1 和 MS-CHAPv2。建议使用 MS-CHAPv2,因为它提供三种选项中最强的安全性。

    • 应用程序名称:在某些 RADIUS 服务器中为可选设置,通常用于在消息或报告中标识应用程序。

  2. 配置现有网络以允许从 RADIUS 客户端(AWS Managed Microsoft AD DC DNS 地址,请参阅步骤 1)到 RADIUS 服务器端口的入站流量。

  3. 向 AWS Managed Microsoft AD 域中的 Amazon EC2 安全组添加规则,以允许来自以前定义的 RADIUS 服务器 DNS 地址和端口号的入站流量。有关更多信息,请参阅 EC2 用户指南 中的向安全组添加规则。

有关将 AWS Managed Microsoft AD 与 MFA 搭配使用的更多信息,请参阅 为 AWS Managed Microsoft AD 启用多重验证

本页内容: