AWS Directory Service
管理指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS Managed Microsoft AD 先决条件

要创建 AWS Managed Microsoft AD 目录,需要一个满足以下条件的 VPC:

  • 至少两个子网。每个子网必须位于不同的可用区。

  • VPC 必须具有默认硬件租户。

  • 您不能使用 198.18.0.0/15 地址空间中的地址在 VPC 中创建 AWS Managed Microsoft AD。

  • AWS Directory Service 不支持将网络地址转换 (NAT) 与 Active Directory 结合使用。使用 NAT 可能会导致复制错误。

如果您需要将 AWS Managed Microsoft AD 域与现有本地 Active Directory 域集成,则必须将您本地域的功能级别设置为 Windows Server 2003 或更高版本。

AWS Directory Service uses a two VPC structure. The EC2 instances which make up your directory run outside of your AWS account, and are managed by AWS. They have two network adapters, ETH0 and ETH1. ETH0 is the management adapter, and exists outside of your account. ETH1 is created within your account.

The management IP range of your directory's ETH0 network is chosen programmatically to ensure it does not conflict with the VPC where your directory is deployed. This IP range can be in either of the following pairs (as Directories run in two subnets):

  • 10.0.1.0/24 & 10.0.2.0/24

  • 192.168.1.0/24 & 192.168.2.0/24

We avoid conflicts by checking the first octet of the ETH1 CIDR. If it starts with a 10, then we choose a 192.168.0.0/16 VPC with 192.168.1.0/24 and 192.168.2.0/24 subnets. If the first octet is anything else other than a 10 we choose a 10.0.0.0/16 VPC with 10.0.1.0/24 and 10.0.2.0/24 subnets.

The selection algorithm does not include routes on your VPC. It is therefore possible to have an IP routing conflict result from this scenario.

多重验证先决条件

要为您的 AWS Managed Microsoft AD 目录支持多重验证,必须采用以下方式配置本地的或基于云的远程身份验证拨入用户服务 (RADIUS) 服务器,以便它可以接受来自 AWS 中的 AWS Managed Microsoft AD 目录的请求。

  1. 在 RADIUS 服务器上,创建两个 RADIUS 客户端,表示 AWS 中的两个 AWS Managed Microsoft AD 域控制器 (DC)。必须使用以下通用参数配置两个客户端(您的 RADIUS 服务器可能会有所不同):

    • Address (DNS or IP) (地址 (DNS 或 IP)):这是其中一个 AWS Managed Microsoft AD DC 的 DNS 地址。两个 DNS 地址都可以在 AWS Directory Service 控制台中找到,位于您计划在其中使用 MFA 的 AWS Managed Microsoft AD 目录的 Details (详细信息) 页面上。显示的 DNS 地址表示 AWS 所使用的两个 AWS Managed Microsoft AD DC 的 IP 地址。

      注意

      如果 RADIUS 服务器支持 DNS 地址,则您只能创建一个 RADIUS 客户端配置。否则,必须为每个 AWS Managed Microsoft AD DC 都创建一个 RADIUS 客户端配置。

    • 端口号:配置 RADIUS 服务器为其接受 RADIUS 客户端连接的端口号。标准 RADIUS 端口是 1812。

    • 共享密钥:键入或生成将由 RADIUS 服务器用于与 RADIUS 客户端连接的共享密钥。

    • Protocol (协议):可能需要在 AWS Managed Microsoft AD DC 与 RADIUS 服务器之间配置身份验证协议。支持的协议有 PAP、CHAP MS-CHAPv1 和 MS-CHAPv2。建议使用 MS-CHAPv2,因为它提供三种选项中最强的安全性。

    • 应用程序名称:在某些 RADIUS 服务器中为可选设置,通常用于在消息或报告中标识应用程序。

  2. 配置现有网络以允许从 RADIUS 客户端(AWS Managed Microsoft AD DC DNS 地址,请参阅步骤 1)到 RADIUS 服务器端口的入站流量。

  3. 向 AWS Managed Microsoft AD 域中的 Amazon EC2 安全组添加规则,以允许来自以前定义的 RADIUS 服务器 DNS 地址和端口号的入站流量。有关更多信息,请参阅 EC2 用户指南 中的向安全组添加规则

有关将 AWS Managed Microsoft AD 与 MFA 搭配使用的更多信息,请参阅 为 AWS Managed Microsoft AD 启用多重验证

本页内容: