Erste Schritte mit AWS License Manager Cross-Account-Nutzung von Shared AWS Managed Microsoft AD - AWS License Manager
TerminologieVoraussetzungenEinschränkungenNetzwerk-ArchitekturSo richten Sie die kontoübergreifende License Manager Manager-Funktionalität einFehlersucheWeitere Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit AWS License Manager Cross-Account-Nutzung von Shared AWS Managed Microsoft AD

AWS License Manager unterstützt kontenübergreifende Funktionen mithilfe eines gemeinsamen Kontos AWS Managed Microsoft AD, sodass Unternehmen Benutzerabonnements zentral von einem Verzeichnisinhaberkonto aus verwalten und gleichzeitig Instanzen für mehrere Konten bereitstellen können.

Terminologie

  • Konto des Verzeichnisbesitzers — Lizenzadministratorkonto, auf dem das verwaltete AD vorhanden ist und das auch für die Verwaltung von Abonnements verantwortlich ist.

  • Directory-Benutzerkonto — AWS Konten, auf denen Sie Benutzerabonnement-Instanzen mithilfe von Shared AD starten möchten.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:

Einschränkungen

  • Die Verwaltung von Benutzerabonnements ist auf das Konto des Verzeichnisbesitzers beschränkt.

  • Regionsübergreifendes Teilen wird nicht unterstützt.

  • Konsolidierte Abrechnung über das Konto des Verzeichnisinhabers — Alle Abonnementkosten werden dem Konto des Verzeichnisinhabers in Rechnung gestellt, obwohl Abonnements für mehrere Konten existieren können.

  • Zwischen den Konten ist eine Netzwerkverbindung erforderlich.

Netzwerk-Architektur

So richten Sie die kontoübergreifende License Manager Manager-Funktionalität ein

So richten Sie die kontoübergreifende License Manager Manager-Funktionalität ein:

  1. Richten Sie das account/license Administratorkonto des Verzeichnisbesitzers ein.

  2. Konfigurieren Sie die Benutzerkonten für Verzeichnisse.

  3. Stellen Sie die Netzwerkkonnektivität her.

  4. Stellen Sie Instanzen bereit und verwalten Sie Benutzerzuordnungen.

Schritt 1: Richten Sie das Administratorkonto für Verzeichnisinhaber und Lizenzinhaber ein

Erstellen und teilen AWS Managed Microsoft AD

  1. Erstellen Sie eine AWS Managed Microsoft AD in Ihrer VPC, falls sie nicht existiert.

  2. Geben Sie das Verzeichnis für Directory-Benutzerkonten frei, wie unter Verzeichnis teilen beschrieben.

  3. Stellen Sie sicher, dass das Verzeichnis ordnungsgemäß mit den erforderlichen Benutzern und Gruppen konfiguriert ist.

Produkte abonnieren

  1. Navigiere zu AWS Marketplace.

  2. Suchen Sie nach den benötigten Produkten, Visual Studio oder Office und RDS SAL, und abonnieren Sie sie.

  3. Geben Sie das Visual Studio- oder Office-Abonnement mithilfe von License Manager Create Grants für die Verzeichnisverbraucherkonten frei. Alternativ können Sie AWS Marketplace Produkte in diesen Konten abonnieren, da sich dies nicht auf die Abrechnung auswirkt. Siehe Erteilte Lizenzen.

  4. Stellen Sie sicher, dass der Abonnementstatus aktiv ist.

Registrieren Sie sich bei License Manager

  1. Öffnen Sie die License Manager Manager-Konsole.

  2. Navigieren Sie zu den Einstellungen für benutzerbasierte Abonnements.

  3. Wählen Sie Identity Provider registrieren aus.

  4. Wählen Sie Ihre AWS Managed Microsoft AD.

  5. Schließen Sie den Registrierungsprozess ab.

Schritt 2: Konfiguration von Directory-Benutzerkonten — Konten mit gemeinsam genutztem AD

Akzeptieren Sie das gemeinsame Verzeichnis

  1. Öffnen Sie die AWS Directory Service Service-Konsole.

  2. Navigieren Sie zu Gemeinsam genutzte Verzeichnisse.

  3. Suchen Sie die Einladung zum gemeinsamen Verzeichnis und akzeptieren Sie sie.

  4. Notieren Sie sich die neue Verzeichnis-ID, die Ihrem Konto zugewiesen wurde.

Akzeptieren Sie das MP-Abonnement

In License Manager akzeptieren Grants den Zuschuss für AWS Marketplace Produkte. Alternativ können Sie AWS Marketplace Produkte abonnieren. Erfahren Sie mehr in der CreateGrant API).

Registrieren Sie sich bei License Manager

  1. Öffnen Sie die License Manager Manager-Konsole.

  2. Navigieren Sie zu Benutzerbasierte Abonnements und wählen Sie das Produkt aus.

  3. Registrieren Sie sich mit der gemeinsamen Verzeichnis-ID und dem Produkt.

  4. Überprüfen Sie den Registrierungsstatus.

Schritt 3: Stellen Sie die Netzwerkkonnektivität her zwischen VPCs

Um Ihre Amazon EC2 Amazon-Instances in Ihr Verzeichnis einzubinden, müssen Sie eine Netzwerkverbindung zwischen den einrichten. VPCs Es gibt mehrere Optionen, um eine Netzwerkkonnektivität zwischen zwei herzustellen. VPCs In diesem Abschnitt erfahren Sie, wie Sie Amazon VPC Peering verwenden.

VPC-Peering einrichten

  1. Erstellen Sie eine VPC-Peering-Verbindung zwischen dem Verzeichnisbesitzer VPC-0 und dem Verzeichnisverbraucher VPC-1 und anschließend eine weitere Verbindung zwischen dem Verzeichnisbesitzer VPC-0 und dem Verzeichnisverbraucher VPC-2.

  2. Aktivieren Sie das Traffic-Routing zwischen den Peering-Verbindungen, VPCs indem Sie Ihrer VPC-Routentabelle eine Route hinzufügen, die auf die VPC-Peering-Verbindung verweist, um den Verkehr an die andere VPC in der Peering-Verbindung weiterzuleiten.

  3. Konfigurieren Sie jede der VPC-Routing-Tabellen für den Directory-Consumer, indem Sie die Peering-Verbindung mit dem Verzeichnisbesitzer VPC-0 hinzufügen. Wenn Sie möchten, können Sie auch ein Internet Gateway erstellen und an Ihren Directory-Consumer anhängen VPCs. Dadurch können die Instances im Directory Consumer VPCs mit dem Amazon EC2 Systems Manager Manager-Agenten kommunizieren, der den Domänenbeitritt durchführt.

Configure Security Groups (Sicherheitsgruppen konfigurieren)

Konfigurieren Sie Ihre VPCs Directory-Consumer-Sicherheitsgruppe so, dass ausgehender Datenverkehr aktiviert wird, indem Sie die AWS Managed Microsoft AD Protokolle und Ports zur Tabelle mit den Regeln für ausgehenden Datenverkehr hinzufügen. Konfigurieren Sie außerdem die Sicherheitsgruppe Ihrer VPCs Directory-Domänencontroller so, dass eingehender Datenverkehr aktiviert wird, indem Sie die AWS Managed Microsoft AD Protokolle und Ports zur Tabelle mit den Regeln für eingehenden Datenverkehr hinzufügen, um Datenverkehr von Directory-Consumer-Konten zuzulassen.

Anforderungen an Sicherheitsgruppen

Kundenkonto: VPCs

  • Ausgehenden Datenverkehr zur VPC des Verzeichnisbesitzers aktivieren

  • Erlauben Sie die Kommunikation auf den erforderlichen AD-Ports

Verzeichnisinhaber VPC:

  • Konfigurieren Sie den eingehenden Datenverkehr vom Verbraucher VPCs

  • Fügen Sie die erforderlichen AWS Managed Microsoft AD Protokolle und Ports hinzu, darunter:

    • TCP 53 (DNS)

    • UDP 53 (DNS)

    • TCP 88 (Kerberos)

    • UDP 88 (Kerberos)

    • TCP 135 (RPC)

    • TCP 389 (LDAP)

    • UDP 389 (LDAP)

    • TCP 445 (SMB)

    • TCP 464 (Kerberos-Passwort)

    • UDP 464 (Kerberos-Passwort)

    • TCP 636 (LDAPS)

    • TCP 3268-3269 (Globaler Katalog)

    • TCP 1024-65535 (Dynamisches RPC)

Schritt 4: Stellen Sie Instanzen bereit und verwalten Sie Benutzerzuordnungen

Benutzer abonnieren (nur Konto des Verzeichnisbesitzers)

  1. Öffnen Sie die License Manager Manager-Konsole.

  2. Navigieren Sie zu Benutzerbasierte Abonnements.

  3. Wählen Sie Benutzer abonnieren

  4. Geben Sie AWS Managed Microsoft AD Benutzerkennungen ein

  5. Wählen Sie das Produkt aus und bestätigen Sie das Abonnement.

Starten von Instances

Führen Sie diesen Schritt in einem beliebigen Konto aus.

  1. Navigieren Sie zur EC2 Amazon-Konsole.

  2. Wählen Sie Launch Instance aus.

  3. Wählen Sie das entsprechende License Manager Manager-AMI aus.

  4. Konfigurieren Sie die Netzwerkeinstellungen.

  5. Überprüfen und starten.

Ordnen Sie Benutzer Instanzen zu

Führen Sie diesen Schritt in jedem Konto aus, in dem die Instanz existiert.

  1. Öffnen Sie die License Manager Manager-Konsole.

  2. Navigieren Sie zu Benutzerzuordnungen.

  3. Wählen Sie die Zielinstanz aus.

  4. Wählen Sie Associate Users aus.

  5. Geben Sie AWS Managed Microsoft AD Benutzernamen ein.

  6. Bestätigen Sie die Zuordnung.

Fehlersuche

Häufig auftretende Probleme und Lösungen:

Fehler beim Domänenbeitritt

  1. Überprüfen Sie die Netzwerkkonnektivität zwischen Konten.

  2. Überprüfen Sie die Konfigurationen der Sicherheitsgruppen.

  3. Bestätigen Sie, dass die DNS-Auflösung funktioniert.

  4. Überprüfen Sie die Einträge in der Routentabelle.

Probleme mit Benutzerabonnements

  1. Bestätigen Sie, dass der Benutzer in existiert AWS Managed Microsoft AD.

  2. Überprüfen Sie den Abonnementstatus im Konto des Verzeichnisbesitzers.

  3. Überprüfen Sie die Netzwerkkonnektivität.

  4. Überprüfen Sie die Fehlerprotokolle.

Probleme mit der Netzwerkkonnektivität

  1. Testen Sie den VPC-Peering-Verbindungsstatus.

  2. Überprüfen Sie die Routentabellenkonfigurationen.

  3. Überprüfen Sie die Sicherheitsgruppenregeln.

  4. Bestätigen Sie die DNS-Auflösung.

Probleme mit der DNS-Auflösung

  1. Überprüfen Sie die DHCP-Optionssätze.

  2. Überprüfen Sie die DNS-Serverkonfigurationen.

  3. Testen Sie die Namensauflösung von Verbraucherinstanzen aus.

Weitere Ressourcen