本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 启用安全 LDAP 或 LDAPS 启用安全 LDAP 或 LDAPS 轻量目录访问协议 (LDAP) 是用于与 Active Directory 之间读取和写入数据的标准通信协议。一些应用程序使用 LDAP 在 Active Directory 中添加、删除或搜索用户和组,或者传输凭证以便在 Active Directory 中对用户进行身份验证。每个 LDAP 通信均包括一个客户端(例如应用程序)和一个服务器(例如 Active Directory)。 默认情况下,LDAP 通信未加密。这使得恶意用户能够使用网络监控软件查看传输中的数据包。这就是许多企业安全策略通常要求组织加密所有 LDAP 通信的原因。 为了缓解这种形式的数据泄露,Microsoft AD Amazon 托管提供了一个选项:你可以启用基于安全套接字层 (SSL) /传输层安全 (TLS) 的 LDAP,也称为 LDAPS。利用 LDAPS,您可以提高整个网络的安全性。您还可以通过加密支持 LDAP 的应用程序与托管 Amazon Microsoft AD 之间的所有通信来满足合规性要求。 Amazon 托管 Microsoft AD 在以下部署场景中为 LDAPS 提供支持: + **服务器端 LDAPS** 对商业或自行开发的 LDAP 感知型应用程序(充当 LDAP 客户端)和 Amazon Managed Microsoft AD(充当 LDAP 服务器)之间的 LDAP 通信进行加密。有关更多信息,请参阅 [使用托管 Amazon Microsoft AD 启用服务器端 LDAPS](ms_ad_ldap_server_side.md)。 + **客户端 LDAPS** 对 Amazon 应用程序之间的 LDAP 通信进行加密,例如 WorkSpaces (充当 LDAP 客户端)和您的自我管理(本地)Active Directory(充当 LDAP 服务器)。有关更多信息,请参阅 [使用托管 Amazon Microsoft AD 启用客户端 LDAPS](ms_ad_ldap_client_side.md)。 有关确保实施 Microsoft Active Directory Certificate Services 的最佳做法的更多信息,请参阅 [Microsoft 文档](https://learn.microsoft.com/en-us/defender-for-identity/security-assessment-prevent-users-request-certificate)。 **Topics** + [ # 使用托管 Amazon Microsoft AD 启用服务器端 LDAPS ](ms_ad_ldap_server_side.md) + [ # 使用托管 Amazon Microsoft AD 启用客户端 LDAPS ](ms_ad_ldap_client_side.md) # 使用托管 Amazon Microsoft AD 启用服务器端 LDAPS 启用服务器端 LDAPS 服务器端Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS)支持可加密您的商业或本土应用程序与托管 Amazon Microsoft LDAP AD 目录之间的LDAP通信。这有助于使用 Secure Sockets Layer (SSL) 加密协议来提高整个网络的安全性并满足合规性要求。 ## 使用启用服务器端 LDAPS Amazon 私有证书颁发机构 有关如何使用设置和配置服务器端 LDAPS 和证书颁发机构 (CA) 服务器的详细说明 Amazon 私有 CA,请参阅。[为 Amazon 托管的 Microsoft AD 设置 AD Amazon 私有 CA 连接器](ms_ad_pca_connector.md) ## 使用 Microsoft CA 启用服务器端 LDAPS 有关如何设置和配置服务器端 LDAPS 和您的证书颁发机构 (CA) 服务器的详细说明,请参阅安全博客上的[如何为托管的 Amazon Microsoft AD 目录启用服务器端 LDAPS](https://www.amazonaws.cn/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)。 Amazon 您必须从用来管理 Amazon Managed Microsoft AD 域控制器的 Amazon EC2 实例执行大多数设置。以下步骤指导您完成在 Amazon Web Services 云中为您的域启用 LDAPS 的过程。 如果您想使用自动化来设置PKI基础架构,可以使用 Gu [Amazon QuickStart ide 中的Microsoft公钥基础架构](https://www.amazonaws.cn/quickstart/architecture/microsoft-pki/)。具体而言,您需要按照指南中的说明加载模版,以便将 [MicrosoftPKI 部署到 Amazon上的现有 VPC 中](https://aws-quickstart.github.io/quickstart-microsoft-pki/#_deployment_steps)。加载模板后,请务必在到达 **Active Directory 域服务**选项时选择 **`AWSManaged`**。如果您使用了该 QuickStart 指南,则可以直接跳至[步骤 3:创建证书模板](#createcustomcert)。 **Topics** + [ ### 步骤 1:委托谁可以启用 LDAPS ](#grantpermsldaps) + [ ### 步骤 2:设置证书颁发机构 ](#setupca) + [ ### 步骤 3:创建证书模板 ](#createcustomcert) + [ ### 步骤 4:添加安全组规则 ](#addgrouprules) ### 步骤 1:委托谁可以启用 LDAPS 要启用服务器端 LDAPS,您必须是托管 Amazon Microsoft AD 目录中的管理员或企业证书 Amazon 授权机构管理员组的成员。或者,您可以是默认管理用户(管理员账户)。如果您愿意,您可以拥有一个管理员账户设置 LDAPS 之外的用户。在这种情况下,请将该用户添加到 Amazon 托管 Microsoft AD 目录中的管理员或企业证书 Amazon 授权机构管理员组中。 ### 步骤 2:设置证书颁发机构 您必须先创建一个证书,然后才能启用服务器端 LDAPS。此证书必须由已加入 Amazon Managed Microsoft AD 域的 Microsoft Enterprise CA 服务器颁发。在创建后,该证书必须安装到该域中您的每个域控制器上。此证书使域控制器上的 LDAP 服务能够侦听并自动接受来自 LDAP 客户端的 SSL 连接。 **注意** 带有托管 Amazon Microsoft AD 的服务器端 LDAPS 不支持由独立 CA 颁发的证书。此外,它也不支持由第三方证书颁发机构颁发的证书。 根据您的业务需求,您有以下选择来设置或连接到您域中的 CA: + **创建从属**服务器 Microsoft Enterprise CA-(推荐)使用此选项,您可以在 Amazon 云中部署从属MicrosoftEnterprise CA服务器。该服务器可以使用 Amazon EC2,这样便能使用您现有的根 Microsoft CA。有关如何设置下属目录的更多信息 MicrosoftEnterprise CA,请参阅如何为托管 [Amazon Microsoft A MicrosoftEnterprise CA D AmazonMicrosoftAD 目录启用服务器端 LDAPS 中的步骤 4:向](https://www.amazonaws.cn/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)**目录中添加**。 + **创建根 Microsoft Enterprise CA** — 使用此选项,您可以使用 Amazon EC2 在 Amazon 云MicrosoftEnterprise CA中创建根并将其加入您的 Amazon 托管 Microsoft AD 域。此根 CA 可以向您的域控制器颁发证书。有关设置新的根 CA 的更多信息,请参阅[如何为托管的 Amazon Microsoft AD 目录启用服务器端 LDAPS](https://www.amazonaws.cn/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) 中的**步骤 3:安装和配置离线 CA**。 有关如何将您的 EC2 实例加入域的更多信息,请参阅[将 Amazon EC2 实例加入您的 Amazon 托管微软 AD 的方法](ms_ad_join_instance.md)。 ### 步骤 3:创建证书模板 设置 Enterprise CA 后,即可配置 Kerberos 身份验证证书模板。 **创建证书模板** 1. 启动 **Microsoft Windows Server Manager**。依次选择**工具 > 证书颁发机构**。 1. 在**证书颁发机构**窗口中,展开左侧窗格中的**证书颁发机构**树。右键单击**证书模版**,然后选择**管理**。 1. 在**证书模版控制台**窗口中,右键单击**域控制器**,然后选择**重复模版**。 1. 系统将会弹出**新模板的属性**窗口。 1. 在**新模板的属性**窗口中,转到**兼容性**选项卡,然后执行以下操作: 1. 将**证书颁发机构**更改为与 CA 匹配的 OS。 1. 如果系统弹出**生成的更改**窗口,选择**确定**。 1. 将**证书接收者**更改为 **Windows 10/Windows Server 2016**。 **注意** Amazon 托管 Microsoft AD 由提供支持Windows Server 2019。 1. 如果系统弹出**生成的更改**窗口,选择**确定**。 1. 单击 “**常规**” 选项卡,将**模板显示名称更改为 LDAPOver** **SSL** 或您想要的任何其他名称。 1. 单击**安全**选项卡,然后选择**组或用户名称**部分中的**域控制器** 。在**域控制器的权限**部分,确认已选中**读取**、**注册**和**自动注册**的**允许**复选框。 1. 选择 “**确定”** 创建 **LDAPOverSSL**(或您在上面指定的名称)证书模板。关闭**证书模板控制台**窗口。 1. 在**证书颁发机构**窗口中,右键单击**证书模版**,然后依次选择**新建 > 要颁发的证书模版**。 1. 在 “**启用证书模板**” 窗口中,选择 **LDAPOverSSL**(或您在上面指定的名称),然后选择 “**确定”**。 ### 步骤 4:添加安全组规则 在最后一步中,您必须打开 Amazon EC2 控制台并添加安全组规则。这些规则将允许您的域控制器连接到 Enterprise CA 以请求证书。为此,请添加入站规则,以便您的 Enterprise CA 可以接受来自您的域控制器的传入流量。然后,添加出站规则以允许从您的域控制器到 Enterprise CA 的流量。 一旦配置了两个规则,您的域控制器会自动从您的 Enterprise CA 请求证书,并为您的目录启用 LDAPS。您的域控制器上的 LDAP 服务现已准备好接受 LDAPS 连接。 **配置安全组规则** 1. 在 [https://console.aws.amazon.com/ec2 上导航到您的 Amazon EC2](https://console.amazonaws.cn/ec2) 控制台,然后使用管理员凭证登录。 1. 在左侧窗格中,选择 **Network & Security** 下方的 **Security Groups**。 1. 在主窗格中,为您的 CA 选择 Amazon 安全组。 1. 选择 **Inbound ** 选项卡,然后选择 **Edit**。 1. 在 **Edit inbound rules** 对话框中,执行以下操作: + 选择**添加规则**。 + 为 **Type** 选择 **All traffic**,并为 **Source** 选择 **Custom**。 + 在 S **our** ce 旁边的框中输入目录 Amazon 的安全组(例如`sg-123456789`)。 + 选择**保存**。 1. 现在选择你的 Microsoft AD Amazon 托管目录 Amazon 的安全组。选择 **Outbound** 选项卡,然后选择 **Edit**。 1. 在 **Edit outbound rules** 对话框中,执行以下操作: + 选择**添加规则**。 + 为 **Type** 选择 **All traffic**,并为 **Destination** 选择 **Custom**。 + 在 “**目标**” 旁边的框中输入 CA Amazon 的安全组。 + 选择**保存**。 您可以使用该LDP工具测试 LDAPS 与 Amazon 托管 Microsoft AD 目录的连接。LDP 工具附带 Active Directory Administrative Tools。有关更多信息,请参阅 [为托管的 Microsoft AD 安装活动目录 Amazon 管理工具](ms_ad_install_ad_tools.md)。 **注意** 在测试 LDAPS 连接之前,您必须等待最长 30 分钟时间,以便从属 CA 向域控制器颁发证书。 有关服务器端 LDAPS 的更多详细信息以及如何进行设置的示例用例,请参阅安全博客上的如何为[托管 Amazon Microsoft AD 目录启用服务器端 LDAPS](https://www.amazonaws.cn/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)。 Amazon # 使用托管 Amazon Microsoft AD 启用客户端 LDAPS 启用客户端 LDAPS 托管 Amazon Microsoft AD 中的客户端轻量级目录访问协议安全套接字层 (SSL) /传输层安全 (TLS) (LDAPS) 支持加密自我管理(本地)微软活动目录 (AD) 与应用程序之间的通信。 Amazon 此类应用程序的示例包括 WorkSpaces、 Amazon IAM Identity Center、Quick 和 Amazon Chime。此加密可帮助您更好地保护您组织的身份数据并满足您的安全要求。 ## 先决条件 启用客户端 LDAPS 之前,您需要满足以下要求。 **Topics** + [ ### 在你的 Amazon 托管 Microsoft AD 和自我管理的Microsoft活动目录之间建立信任关系 ](#trust_relationship_MAD_and_self_managed) + [ ### 在 Active Directory 中部署服务器证书 ](#ldap_client_side_deploy_server_certs) + [ ### 证书颁发机构证书要求 ](#ldap_client_side_get_certs_ready) + [ ### 联网要求 ](#ldap_client_side_considerations_enabling) ### 在你的 Amazon 托管 Microsoft AD 和自我管理的Microsoft活动目录之间建立信任关系 首先,你需要在托管的 Microsoft AD 和自我 Amazon 管理的 Act Microsoft ive Directory 之间建立信任关系,才能启用客户端 LDAPS。有关更多信息,请参阅 [在你的 Microsoft Amazon 托管 AD 和自我管理的 AD 之间建立信任关系](ms_ad_setup_trust.md)。 ### 在 Active Directory 中部署服务器证书 要启用客户端 LDAPS,您需要为 Active Directory 中的每个域控制器获取并安装服务器证书。LDAP 服务将使用这些证书来侦听并自动接受来自 LDAP 客户端的 SSL 连接。您可以使用由内部 Active Directory Certificate Services (ADCS) 部署颁发的或从商业颁发机构处购买的 SSL 证书。有关 Active Directory 服务器证书要求的更多信息,请参阅 Microsoft 网站上的 [LDAP over SSL (LDAPS) 证书](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx)。 ### 证书颁发机构证书要求 客户端 LDAPS 操作需要证书颁发机构 (CA) 证书,它表示服务器证书的颁发者。CA 证书将与由 Active Directory 域控制器提供的服务器证书匹配来加密 LDAP 通信。请注意以下 CA 证书要求: + 需要企业证书颁发机构(CA)以启用客户端 LDAPS。您可以使用 Active Directory 证书服务、第三方商业证书颁发机构或 [Amazon Certificate Manager](https://docs.amazonaws.cn/acm/latest/userguide/acm-overview.html)。有关 Microsoft 企业证书颁发机构的更多信息,请参阅 [Microsoft 文档](https://learn.microsoft.com/en-us/previous-versions/tn-archive/cc875810(v=technet.10)?redirectedfrom=MSDN)。 + 要注册一个证书,该证书必须在 90 天以后才到期。 + 证书必须采用隐私增强邮件 (PEM) 格式。如果要从 Active Directory 内部导出 CA 证书,请选择 base64 编码的 X.509 (.CER) 作为导出文件格式。 + 每个 Amazon 托管 Microsoft AD 目录最多可以存储五 (5) 个 CA 证书。 + 使用 RSSAS-PSS 签名算法的证书不受支持。 + 必须注册链接到每个受信任域中的每个服务器证书的 CA 证书。 ### 联网要求 Amazon 应用程序 LDAP 流量将仅在 TCP 端口 636 上运行,不会回退到 LDAP 端口 389。但是,支持复制、信任等的 Windows LDAP 通信将继续使用带有 Windows 本机安全性的 LDAP 端口 389。配置 Amazon 安全组和网络防火墙,以允许托管 Amazon Microsoft AD(出站)和自我管理的 Active Directory(入站)中的端口 636 上进行 TCP 通信。在 Amazon Managed Microsoft AD 和自托管式 Active Directory 之间保留开放的 LDAP 端口 389。 ## 启用客户端 LDAPS 要启用客户端 LDAPS,您需要将证书颁发机构(CA)证书导入 Amazon Managed Microsoft AD,然后在目录上启用 LDAPS。启用后, Amazon 应用程序与您自行管理的 Active Directory 之间的所有 LDAP 通信将通过安全套接字层 (SSL) 通道加密进行传输。 您可以使用两种不同的方法为您的目录启用客户端 LDAPS。您可以使用 Amazon Web Services 管理控制台 方法或 Amazon CLI 方法。 **注意** 客户端 LDAPS 是 Amazon Microsoft 托管 AD 的一项区域性功能。如果您使用的是[多区域复制](ms_ad_configure_multi_region_replication.md),则必须分别在每个区域中应用以下过程。有关更多信息,请参阅 [全局与区域特色](multi-region-global-region-features.md)。 **Topics** + [ ### 步骤 1:在中注册证书 Amazon Directory Service ](#ms_ad_registercert) + [ ### 步骤 2:检查注册状态 ](#ms_ad_check-registration-status) + [ ### 步骤 3:启用客户端 LDAPS ](#ms_ad_enableclientsideldapssteps) + [ ### 步骤 4:查看 LDAPS 状态 ](#ms_ad_check-ldaps-status) ### 步骤 1:在中注册证书 Amazon Directory Service 使用以下任一方法在中注册证书 Amazon Directory Service。 **方法 1:在 Amazon Directory Service (Amazon Web Services 管理控制台) 中注册您的证书** 1. 在 [Amazon Directory Service 控制台](https://console.amazonaws.cn/directoryservicev2/)导航窗格中,选择**目录**。 1. 选择目录的目录 ID 链接。 1. 在**报告详细信息**页面上,执行以下操作之一: + 如果**多区域复制**下显示多个区域,选择想要注册证书的区域,然后选择**网络与安全**选项卡。有关更多信息,请参阅 [主区域与其他区域](multi-region-global-primary-additional.md)。 + 如果**多区域复制**下未显示任何区域,选择**网络与安全**选项卡。 1. 在 **Client-side LDAPS (客户端 LDAPS)** 部分中,选择 **Actions (操作)** 菜单,然后选择 **Register certificate (注册证书)**。 1. 在 **Register a CA certificate (注册 CA 证书)** 对话框中,选择 **Browse (浏览)**,然后选择证书并选择 **Open (打开)**。 1. 选择 **Register certificate (注册证书)**。 **方法 2:在 Amazon Directory Service (Amazon CLI) 中注册您的证书** + 运行如下命令。对于证书数据,请指向 CA 证书文件的位置。响应中将会提供证书 ID。 ``` aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path ``` ### 步骤 2:检查注册状态 要查看证书注册的状态或已注册证书的列表,请使用以下任一方法。 **方法 1:在 Amazon Directory Service (Amazon Web Services 管理控制台) 中检查证书注册状态** 1. 转到**目录详细信息**页面上的**客户端 LDAPS** 部分。 1. 查看 **Registration status (注册状态)** 列下显示的当前证书注册状态。当注册状态值更改为 **Registered (已注册)** 时,您的证书已成功注册。 **方法 2:在 Amazon Directory Service (Amazon CLI) 中检查证书注册状态** + 运行如下命令。如果状态值返回 `Registered`,则表示您的证书已成功注册。 ``` aws ds list-certificates --directory-id your_directory_id ``` ### 步骤 3:启用客户端 LDAPS 使用以下任一方法在中启用客户端 LDAPS。 Amazon Directory Service **注意** 您必须已成功注册至少一个证书,然后才能启用客户端 LDAPS。 **方法 1:在 () 中 Amazon Directory Service 启用客户端 LDAPS Amazon Web Services 管理控制台** 1. 转到**目录详细信息**页面上的**客户端 LDAPS** 部分。 1. 请选择**启用**。如果此选项不可用,请验证有效证书是否已成功注册,然后重试。 1. 在 **Enable client-side LDAPS (启用客户端 LDAPS)** 对话框中,选择 **Enable (启用)**。 **方法 2:在 () 中 Amazon Directory Service 启用客户端 LDAPS Amazon CLI** + 运行如下命令。 ``` aws ds enable-ldaps --directory-id your_directory_id --type Client ``` ### 步骤 4:查看 LDAPS 状态 使用以下任一方法在中检查 LDAPS 状态。 Amazon Directory Service **方法 1:在 Amazon Directory Service ()Amazon Web Services 管理控制台中检查 LDAPS 状态** 1. 转到**目录详细信息**页面上的**客户端 LDAPS** 部分。 1. 如果状态值显示为 **Enabled (启用)**,则 LDAPS 已成功配置。 **方法 2:在 Amazon Directory Service ()Amazon CLI中检查 LDAPS 状态** + 运行如下命令。如果状态值返回 `Enabled`,则 LDAPS 已成功配置。 ``` aws ds describe-ldaps-settings –-directory-id your_directory_id ``` ## 管理客户端 LDAPS 使用这些命令可管理 LDAPS 配置。 您可以使用两种不同的方法来管理客户端 LDAPS 设置。您可以使用 Amazon Web Services 管理控制台 方法或 Amazon CLI 方法。 ### 查看证书详细信息 使用下列方法之一查看证书设置为何时过期。 **方法 1:在 Amazon Directory Service (Amazon Web Services 管理控制台) 中查看证书详细信息** 1. 在 [Amazon Directory Service 控制台](https://console.amazonaws.cn/directoryservicev2/)导航窗格中,选择**目录**。 1. 选择目录的目录 ID 链接。 1. 在**报告详细信息**页面上,执行以下操作之一: + 如果**多区域复制**下显示多个区域,选择想要查看证书的区域,然后选择**网络与安全**选项卡。有关更多信息,请参阅 [主区域与其他区域](multi-region-global-primary-additional.md)。 + 如果**多区域复制**下未显示任何区域,选择**网络与安全**选项卡。 1. 在 **Client-side LDAPS (客户端 LDAPS)** 部分的 **CA certificates (CA 证书)** 下,将显示有关证书的信息。 **方法 2:在 Amazon Directory Service (Amazon CLI) 中查看证书详细信息** + 运行如下命令。对于证书 ID,请使用由 `register-certificate` 或 `list-certificates` 返回的标识符。 ``` aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id ``` ### 取消注册证书 使用下列方法之一取消注册证书。 **注意** 如果只注册了一个证书,则必须先禁用 LDAPS,然后才能取消注册证书。 **方法 1:在 Amazon Directory Service ()Amazon Web Services 管理控制台中注销证书** 1. 在 [Amazon Directory Service 控制台](https://console.amazonaws.cn/directoryservicev2/)导航窗格中,选择**目录**。 1. 选择目录的目录 ID 链接。 1. 在**报告详细信息**页面上,执行以下操作之一: + 如果**多区域复制**下显示多个区域,选择想要取消注册证书的区域,然后选择**网络与安全**选项卡。有关更多信息,请参阅 [主区域与其他区域](multi-region-global-primary-additional.md)。 + 如果**多区域复制**下未显示任何区域,选择**网络与安全**选项卡。 1. 在 **Client-side LDAPS (客户端 LDAPS)** 部分中,选择 **Actions (操作)**,然后选择 **Deregister certificate (取消注册证书)**。 1. 在 **Deregister a CA certificate (取消注册 CA 证书)** 对话框中,选择 **Deregister (取消注册)**。 **方法 2:在 Amazon Directory Service ()Amazon CLI中注销证书** + 运行如下命令。对于证书 ID,请使用由 `register-certificate` 或 `list-certificates` 返回的标识符。 ``` aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id ``` ### 禁用客户端 LDAPS 使用下列方法之一禁用客户端 LDAPS。 **方法 1:在 () 中 Amazon Directory Service 禁用客户端 LDAPS Amazon Web Services 管理控制台** 1. 在 [Amazon Directory Service 控制台](https://console.amazonaws.cn/directoryservicev2/)导航窗格中,选择**目录**。 1. 选择目录的目录 ID 链接。 1. 在**报告详细信息**页面上,执行以下操作之一: + 如果**多区域复制**下显示多个区域,选择想要禁用客户端 LDAPS 的区域,然后选择**网络与安全**选项卡。有关更多信息,请参阅 [主区域与其他区域](multi-region-global-primary-additional.md)。 + 如果**多区域复制**下未显示任何区域,选择**网络与安全**选项卡。 1. 在 **Client-side LDAPS (客户端 LDAPS)** 部分中,选择 **Disable (禁用)**。 1. 在 **Disable client-side LDAPS (禁用客户端 LDAPS)** 对话框中,选择 **Disable (禁用)**。 **方法 2:在 () 中 Amazon Directory Service 禁用客户端 LDAPS Amazon CLI** + 运行如下命令。 ``` aws ds disable-ldaps --directory-id your_directory_id --type Client ``` ## 证书注册问题 使用 CA 证书注册 Amazon 托管 Microsoft AD 域控制器的过程最多可能需要 30 分钟。如果您在证书注册时遇到问题,并且想要重新启动 Amazon 托管 Microsoft AD 域控制器,可以联系 Amazon Web Services 支持。要创建支持案例,请参阅[创建支持案例和案例管理](https://docs.amazonaws.cn/awssupport/latest/user/case-management.html)。