AmazonMicrosoft AD - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AmazonMicrosoft AD

创建Amazon托管的 icrosoft AD 目录,则需要一个满足以下条件的 VPC:

  • 至少两个子网。每个子网必须位于不同的可用区。

  • VPC 必须具有默认硬件租户。

  • 您无法创建Amazon使用 198.18.0.0/15 地址空间中的地址在 VPC 中托管的 icrosoft AD。

如果你需要整合你的Amazon托管的 icrosoft AD 域使用现有本地 Active Directory 域时,必须将您本地域的林和域功能级别设置为 Windows Server 2003 或更高版本。

Amazon Directory Service使用双 VPC 结构。组成您的目录的 EC2 实例在您的Amazon账户,并由管理Amazon. 它们有两个网络适配器,ETH0ETH1.ETH0是管理适配器,存在于您的账户之外。ETH1是在您的账户中创建。

您目录的 ETH0 网络的管理 IP 范围是 198.18.0.0/15。

Amazon IAM Identity Center (successor to Amazon Single Sign-On)先决条件

如果您计划将 IAM 身份中心与Amazon托管的 icrosoft AD,则需要确保满足以下条件:

  • 您的Amazon托管的 icrosoft AD 目录设置在Amazon组织的管理账户。

  • 您的 IAM Ictent Center 实例位于您在其中的Amazon托管的 icrosoft AD 目录已设置。

有关更多信息,请参阅 。IAM 身份中心先决条件中的Amazon IAM Identity Center (successor to Amazon Single Sign-On)用户指南。

多重验证

为了使用您的支持多重Amazon托管 Microsoft AD 目录,你必须配置内部部署或基于云的目录远程身份验证拨入用户服务(RADIUS) 服务器采用以下方式,以便它可以接受来自您的AmazonMicrosoft AD 目录Amazon.

  1. 在 RADIUS 服务器上,创建两个 RADIUS 客户端以表示AmazonMicrosoft AD 域控制器 (DC)Amazon. 必须使用以下通用参数配置两个客户端(您的 RADIUS 服务器可能会有所不同):

    • 地址 (DNS 或 IP):这是其中一个AmazonMicrosoft AD DC。两个 DNS 地址都可以在Amazon上的Directory Service 控制台详细信息的页面Amazon您计划在其中使用 MFA 的微软 AD 托管目录。显示的 DNS 地址表示两个Amazon由使用的托管微软 AD DCAmazon.

      注意

      如果 RADIUS 服务器支持 DNS 地址,则您只能创建一个 RADIUS 客户端配置。否则,必须为每个都创建一个 RADIUS 客户端配置AmazonMicrosoft AD DC

    • 端口号:配置 RADIUS 服务器为其接受 RADIUS 客户端连接的端口号。标准 RADIUS 端口是 1812。

    • Shared sec:键入或生成将由 RADIUS 服务器用于与 RADIUS 客户端连接的共享密

    • 协议:您可能需要在Amazon管理微软 AD 域控制器和 RADIUS 服务器。支持的协议有 PAP、CHAP MS-CHAPv1 和 MS-CHAPv2。建议使用 MS-CHAPv2,因为它提供三种选项中最强的安全性。

    • 应用程序名称:在某些 RADIUS 服务器中为可选设置,通常用于在消息或报告中标识应用程序。

  2. 配置现有网络以允许从 RADIUS 客户端到 RADIUS 客户端的入站流量 (Amazon托管的 icrosoft AD DNS 地址,请参阅步骤 1) 到 RADIUS 服务器端口的 DNS 地址。

  3. 向您中的 Amazon EC2 安全组添加规则Amazon托管的 icrosoft AD 域允许来自以前定义的 RADIUS 服务器 DNS 地址和端口号的入站流量。有关更多信息,请参阅 。在安全组中添加规则中的EC2 用户指南.

有关如何使用的更多信息Amazon使用 MFA 托管微软 AD,请参阅为启用多重验证Amazon托管的 Managed.