Voraussetzungen für Hybrid-Verzeichnisse - AWS Directory Service
Microsoft Active DirectoryDomain-AnforderungenErforderliche Active Directory-DiensteKerberosUnterstützte VerschlüsselungstypenPortsBerechtigungenAmazon VPCSicherheitsgruppeGrenzen der Bewertung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzungen für Hybrid-Verzeichnisse

Das Hybridverzeichnis erweitert Ihr selbstverwaltetes Active Directory um das AWS Cloud. Bevor Sie ein Hybridverzeichnis erstellen, stellen Sie sicher, dass Ihre Umgebung die folgenden Anforderungen erfüllt:

Microsoft Active DirectoryDomain-Anforderungen

Stellen Sie vor dem Erstellen eines Hybridverzeichnisses sicher, dass Ihre selbstverwaltete AD-Umgebung und Infrastruktur die folgenden Anforderungen erfüllen, und stellen Sie die erforderlichen Informationen zusammen.

Anforderungen an die Domäne

Ihre selbstverwaltete AD-Umgebung muss die folgenden Anforderungen erfüllen:

  • Verwendet eine Windows Server 2012 R2 oder 2016 funktionale Ebene.

  • Verwendet Standard-Domänencontroller, die für die Erstellung von Hybridverzeichnissen bewertet werden. Read-Only Domain Controller (RODC) können nicht für die Erstellung von Hybridverzeichnissen verwendet werden.

  • Hat zwei Domänencontroller, auf denen alle Dienste ausgeführt werdenActive Directory.

  • Der primäre Domänencontroller (PDC) muss jederzeit routingfähig sein.

    Insbesondere müssen der PDC-Emulator und der RID-Master IPs Ihres selbstverwalteten AD zu einer der folgenden Kategorien gehören:

    • Teil der RFC1918 privaten IP-Adressbereiche (10.0.0.0/8, 172.16.0.0/12 oder 192.168.0.0/16)

    • Innerhalb Ihres VPC CIDR-Bereichs

    • Ordnen Sie dem Verzeichnis den DNS IPs Ihrer selbstverwalteten Instances zu

    Sie können zusätzliche IP-Routen für das Verzeichnis hinzufügen, nachdem das Hybridverzeichnis erstellt wurde.

Erforderliche Informationen

Sammeln Sie die folgenden Informationen über Ihr selbstverwaltetes AD:

  • DNS-Name des Verzeichnisses

  • Verzeichnis-DNS IPs

  • Anmeldeinformationen für das Dienstkonto mit Administratorberechtigungen für Ihr selbstverwaltetes AD

  • AWS Geheimer ARN zum Speichern der Anmeldeinformationen Ihres Dienstkontos (sieheAWS Geheimer ARN für Hybridverzeichnis)

AWS Geheimer ARN für Hybridverzeichnis

Um ein Hybridverzeichnis mit Ihrem selbstverwalteten AD zu konfigurieren, müssen Sie einen KMS-Schlüssel erstellen, um Ihr AWS Geheimnis zu verschlüsseln, und dann das Geheimnis selbst erstellen. Beide Ressourcen müssen in derselben Ressource erstellt werden, die AWS-Konto das Hybridverzeichnis enthält.

Erstellen Sie einen KMS-Schlüssel

Der KMS-Schlüssel wird verwendet, um Ihr AWS Geheimnis zu verschlüsseln.

Wichtig

Verwenden Sie für den Verschlüsselungsschlüssel nicht den AWS Standard-KMS-Schlüssel. Achten Sie darauf, den AWS KMS-Schlüssel in demselben Verzeichnis zu erstellen AWS-Konto , das das Hybridverzeichnis enthält, das Sie für die Verbindung mit Ihrem selbstverwalteten AD erstellen möchten.

Um einen AWS KMS-Schlüssel zu erstellen

  1. Wählen Sie in der AWS KMS Konsole Create Key aus.

  2. Wählen Sie für Schlüsseltyp Symmetrisch aus.

  3. Wählen Sie für Schlüsselnutzung die Option Verschlüsseln und Entschlüsseln aus.

  4. Für Advanced options (Erweiterte Optionen):

    1. Wählen Sie unter Schlüsselmaterialursprung KMS aus.

    2. Wählen Sie für Regionality die Option Single Region Key und dann Next aus.

  5. Geben Sie für Alias einen Namen für den KMS-Schlüssel an.

  6. (Optional) Geben Sie unter Beschreibung eine Beschreibung des KMS-Schlüssels an.

  7. (Optional) Fügen Sie für Tags Tags für den KMS-Schlüssel hinzu und wählen Sie Weiter.

  8. Wählen Sie für Schlüsseladministratoren einen IAM-Benutzer aus.

  9. Behalten Sie für das Löschen von Schlüsseln die Standardauswahl für Schlüsseladministratoren das Löschen dieses Schlüssels zulassen bei und wählen Sie Weiter.

  10. Wählen Sie für Key-Benutzer denselben IAM-Benutzer aus dem vorherigen Schritt aus und klicken Sie auf Weiter.

  11. Prüfen Sie die Konfiguration.

  12. Fügen Sie unter Schlüsselrichtlinie die folgende Erklärung zur Richtlinie hinzu:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::caller-account:role/role_used_to_create_directory"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    { 
       "Sid": "Allow use of the KMS key on behalf of Directory Service", 
       "Effect": "Allow", 
       "Principal": {
         "Service": "ds.amazonaws.com"
       }, 
       "Action": "kms:Decrypt", 
       "Resource": "*"
    }
  ]
}

  13. Wählen Sie Finish (Abschließen).

Erstellen Sie ein AWS Geheimnis

Erstellen Sie in Secrets Manager ein Geheimnis, um die Anmeldeinformationen für Ihr selbstverwaltetes AD-Benutzerkonto zu speichern.

Wichtig

Erstellen Sie das Geheimnis in demselben Verzeichnis AWS-Konto , das das Hybridverzeichnis enthält, das Sie mit Ihrem selbstverwalteten AD verbinden möchten.

So erstellen Sie ein Secret

  • Wählen Sie im Secrets Manager die Option Neues Geheimnis speichern

  • Wählen Sie für Geheimtyp die Option Anderer Geheimtyp

  • Fügen Sie für Schlüssel/Wert-Paare Ihre beiden Schlüssel hinzu:

  1. Fügen Sie den Benutzernamenschlüssel hinzu

    1. Geben Sie als ersten Schlüssel customerAdAdminDomainUsername ein.

    2. Geben Sie für den Wert des ersten Schlüssels nur den Benutzernamen (ohne das Domainpräfix) des AD-Benutzers ein. Geben Sie den Domainnamen nicht an, da dies dazu führt, dass die Instanzerstellung fehlschlägt.

  2. Fügen Sie den Passwortschlüssel hinzu

    1. Geben Sie als zweiten Schlüssel customerAdAdminDomainPassword ein.

    2. Geben Sie als Wert des zweiten Schlüssels das Passwort ein, das Sie für den AD-Benutzer in Ihrer Domain erstellt haben.

Vervollständigen Sie die geheime Konfiguration

  1. Wählen Sie unter Verschlüsselungsschlüssel den KMS-Schlüssel aus, den Sie in erstellt haben, Erstellen Sie einen KMS-Schlüssel und klicken Sie auf Weiter.

  2. Geben Sie unter Geheimer Name eine Beschreibung für das Geheimnis ein.

  3. (Optional) Geben Sie unter Beschreibung eine Beschreibung für das Geheimnis ein.

  4. Wählen Sie Weiter aus.

  5. Behalten Sie für Rotationseinstellungen konfigurieren die Standardwerte bei und wählen Sie Weiter aus.

  6. Überprüfen Sie die Einstellungen für das Geheimnis und wählen Sie Speichern aus.

  7. Wählen Sie das von Ihnen erstellte Secret aus und kopieren Sie den Wert für den Secret-ARN. Sie werden diesen ARN im nächsten Schritt verwenden, um Ihr selbstverwaltetes Active Directory einzurichten.

Anforderungen an die Infrastruktur

Bereiten Sie die folgenden Infrastrukturkomponenten vor:

  • Zwei AWS Systems Manager Knoten mit Administratorrechten für SSM-Agenten

    • Wenn Ihr Active Directory System außerhalb von selbst verwaltet wird AWS Cloud, benötigen Sie zwei Systems Manager Manager-Knoten für eine Hybrid- und Multi-Cloud-Umgebung. Weitere Informationen zur Bereitstellung dieser Knoten finden Sie unter Systems Manager für Hybrid- und Multicloud-Umgebungen einrichten.

    • Wenn Sie Active Directory innerhalb von selbst verwaltet werden AWS Cloud, benötigen Sie zwei von Systems Manager verwaltete EC2 Instanzen. Weitere Informationen zur Bereitstellung dieser Instanzen finden Sie unter EC2 Instanzen mit Systems Manager verwalten.

Erforderliche Active Directory-Dienste

Stellen Sie sicher, dass die folgenden Dienste auf Ihrem selbstverwalteten AD ausgeführt werden:

  • Active Directory Domain Services

  • Active Directory-Webdienst (ADWS)

  • COM+-Veranstaltungssystem

  • DFS-Replikation (Distributed File System Replication, DFSR)

  • Domain Name System (DNS)

  • DNS-Server

  • Gruppenrichtlinien-Client

  • Standortübergreifendes Messaging

  • Remote Procedure Call (RPC)

  • Manager für Sicherheitskonten

  • Windows-Zeitserver

    Anmerkung

    Für das Hybridverzeichnis muss sowohl der UDP-Port 123 geöffnet als auch der Windows Time Server aktiviert und funktionsfähig sein. Wir synchronisieren die Uhrzeit mit Ihrem Domänencontroller, um sicherzustellen, dass die hybride Verzeichnisreplikation ordnungsgemäß funktioniert.

Anforderungen an die Kerberos-Authentifizierung

Für Ihre Benutzerkonten muss die Kerberos-Vorabauthentifizierung aktiviert sein. Ausführliche Anweisungen zur Aktivierung dieser Einstellung finden Sie unter Stellen Sie sicher, dass die Kerberos-Vorauthentifizierung aktiviert ist. Allgemeine Informationen zu dieser Einstellung finden Sie unter Vorauthentifizierung ein. Microsoft TechNet

Unterstützte Verschlüsselungstypen

Hybrid Directory unterstützt die folgenden Verschlüsselungstypen bei der Authentifizierung über Kerberos bei Ihren Domänencontrollern: Active Directory

  • AES-256-HMAC

Anforderungen an den Netzwerkport

AWS Um Ihre selbstverwalteten Active Directory Domain-Controller zu erweitern, muss die Firewall für Ihr bestehendes Netzwerk die folgenden Ports CIDRs für beide Subnetze in Ihrer Amazon VPC offen haben:

  • TCP/UDP 53 – DNS

  • TCP/UDP 88 – Kerberos-Authentifizierung

  • UDP 123 — Zeitserver

  • TCP 135 — Prozeduraufruf aus der Ferne

  • TCP/UDP 389 – LDAP

  • TCP 445 – SMB

  • TCP 636 — Wird nur für Umgebungen mit Lightweight Directory Access Protocol Secure (LDAPS) benötigt

  • TCP 49152-65535 — RPC hat nach dem Zufallsprinzip hohe TCP-Ports zugewiesen

  • TCP 3268 und 3269 — Globaler Katalog

  • TCP 9389 Active Directory-Webdienste (ADWS)

Dies sind die Mindestports, die zum Erstellen eines Hybridverzeichnisses erforderlich sind. Ihre spezifische Konfiguration erfordert möglicherweise die Öffnung zusätzlicher Ports.

Anmerkung

Das DNS, das für Ihre Domain-Controller und FSMO-Rolleninhaber IPs bereitgestellt wird, muss die oben genannten Ports CIDRs für beide Subnetze in der Amazon VPC offen haben.

Anmerkung

Für das Hybridverzeichnis muss sowohl der UDP-Port 123 geöffnet als auch der Windows Time Server aktiviert und funktionsfähig sein. Wir synchronisieren die Uhrzeit mit Ihrem Domänencontroller, um sicherzustellen, dass die hybride Verzeichnisreplikation ordnungsgemäß funktioniert.

AWS-Konto -Berechtigungen

Sie benötigen Berechtigungen für die folgenden Aktionen in Ihrem AWS-Konto:

  • ec2: AuthorizeSecurityGroupEgress

  • ec2: AuthorizeSecurityGroupIngress

  • ec2: CreateNetworkInterface

  • ec2: CreateSecurityGroup

  • ec2: DescribeNetworkInterfaces

  • ec2: DescribeSubnets

  • ec2: DescribeVpcs

  • ec2: CreateTags

  • ec2: CreateNetworkInterfacePermission

  • ssm: ListCommands

  • ssm: GetCommandInvocation

  • ssm: GetConnectionStatus

  • ssm: SendCommand

  • Verwalter von Geheimnissen: DescribeSecret

  • Verwalter von Geheimnissen: GetSecretValue

  • ich bin: GetRole

  • ich bin: CreateServiceLinkedRole

Amazon VPC-Netzwerkanforderungen

Eine VPC mit den folgenden Eigenschaften:

  • Mindestens zwei Subnetze. Jedes der Subnetze muss sich in einer anderen Availability Zone befinden

  • Die VPC muss über eine Standardmietdauer verfügen

Sie können kein Hybridverzeichnis in einer VPC mit Adressen im 198.18.0.0/15-Adressraum erstellen.

AWS Directory Service verwendet eine Struktur mit zwei VPCs. Die EC2 Instanzen, aus denen Ihr Verzeichnis besteht AWS-Konto, werden außerhalb Ihres Verzeichnisses ausgeführt und von AWS diesem verwaltet. Sie haben zwei Netzwerkadapter ETH0 und ETH1. ETH0 ist der Verwaltungsadapter und existiert außerhalb Ihres Kontos. ETH1 wird in Ihrem Konto erstellt.

Der Management-IP-Bereich des ETH0-Netzwerks für Ihr Verzeichnis lautet198.18.0.0/15.

Weitere Informationen finden Sie unter den folgenden Themen im Amazon VPC Benutzerhandbuch:

Weitere Informationen zu AWS Direct Connect finden Sie unter Was ist AWS Direct Connect?

AWS Konfiguration der Sicherheitsgruppe

AWS Fügt standardmäßig eine Sicherheitsgruppe hinzu, um den Netzwerkzugriff auf die AWS Systems Manager verwalteten Knoten in Ihrer VPC zu ermöglichen. Sie können optional Ihre eigene Sicherheitsgruppe angeben, die Netzwerkverkehr zu und von Ihren selbstverwalteten Domänencontrollern außerhalb Ihrer VPC ermöglicht.

Sie können optional Ihre eigene Sicherheitsgruppe angeben, die Netzwerkverkehr zu und von Ihren selbstverwalteten Domänencontrollern außerhalb Ihrer VPC ermöglicht. Wenn Sie Ihre eigene Sicherheitsgruppe angeben, müssen Sie:

  • Ihre VPC CIDR Bereiche und selbst verwalteten Bereiche auf die Zulassungsliste setzen.

  • Stellen Sie sicher, dass sich diese Bereiche nicht mit AWS reservierten IP-Bereichen überschneiden

Überlegungen zur Verzeichnisbewertung

Bei der Erstellung von Verzeichnisbewertungen und der Anzahl der Bewertungen, die Sie in Ihrem Verzeichnis haben können, sollten Sie Folgendes beachten AWS-Konto:

  • Eine Verzeichnisbewertung wird automatisch erstellt, wenn Sie ein Hybridverzeichnis erstellen. Es gibt zwei Arten von Bewertungen: CUSTOMER undSYSTEM. Ihre AWS-Konto hat ein Limit von 100 CUSTOMER Verzeichnisbewertungen.

  • Wenn Sie versuchen, ein Hybridverzeichnis zu erstellen, und Sie bereits über 100 CUSTOMER Verzeichnisbewertungen verfügen, tritt ein Fehler auf. Löschen Sie die Bewertungen, um Speicherplatz freizugeben, bevor Sie es erneut versuchen.

  • Sie können eine Erhöhung Ihres Kontingents für die CUSTOMER Verzeichnisbewertung beantragen, indem Sie sich an CUSTOMER wenden Support oder bestehende Kundenverzeichnisbewertungen löschen, um Speicherplatz freizugeben.