Conditions préalables requises pour un annuaire hybride - AWS Directory Service
Microsoft Active Directoryexigences relatives au domaineServices Active Directory requisKerberosTypes de chiffrement pris en chargePortsAutorisationsAmazon VPCGroupe de sécuritéLimites d'évaluation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conditions préalables requises pour un annuaire hybride

L'annuaire hybride étend votre Active Directory autogéré au AWS Cloud. Avant de créer un annuaire hybride, assurez-vous que votre environnement répond aux exigences suivantes :

Microsoft Active Directoryexigences relatives au domaine

Avant de créer un annuaire hybride, assurez-vous que votre environnement et votre infrastructure AD autogérés répondent aux exigences suivantes et collectez les informations nécessaires.

Exigences relatives au domaine

Votre environnement AD autogéré doit répondre aux exigences suivantes :

  • Utilise un Windows Server 2012 R2 ou un niveau 2016 fonctionnel.

  • Utilise des contrôleurs de domaine standard à évaluer pour la création d'annuaires hybrides. Les contrôleurs de domaine en lecture seule (RODC) ne peuvent pas être utilisés pour la création d'annuaires hybrides.

  • Dispose de deux contrôleurs de domaine avec tous les Active Directory services en cours d'exécution.

  • Le contrôleur de domaine principal (PDC) doit être routable à tout moment.

    Plus précisément, l'émulateur PDC et le maître RID IPs de votre AD autogéré doivent appartenir à l'une des catégories suivantes :

    • Partie des plages d'adresses IP RFC1918 privées (10.0.0.0/8, 172.16.0.0/12 ou 192.168.0.0/16)

    • Dans le cadre de votre gamme VPC CIDR

    • Associez le DNS IPs de vos instances autogérées à l'annuaire

    Vous pouvez ajouter des routes IP supplémentaires pour le répertoire après la création de l'annuaire hybride.

Informations obligatoires

Rassemblez les informations suivantes sur votre AD autogéré :

  • Nom de DNS de l'annuaire

  • Répertoire DNS IPs

  • Informations d'identification du compte de service avec autorisations d'administrateur pour votre AD autogéré

  • AWS ARN secret pour stocker les informations d'identification de votre compte de service (voirAWS ARN secret pour annuaire hybride)

AWS ARN secret pour annuaire hybride

Pour configurer un annuaire hybride avec votre AD autogéré, vous devez créer une clé KMS pour chiffrer votre AWS secret, puis créer le secret lui-même. Les deux ressources doivent être créées dans le même répertoire Compte AWS que celui qui contient le répertoire hybride.

Création d'une clé KMS

La clé KMS est utilisée pour chiffrer votre AWS secret.

Important

Pour la clé de chiffrement, n'utilisez pas la clé KMS AWS par défaut. Assurez-vous de créer la clé AWS KMS dans le même répertoire Compte AWS qui contient le répertoire hybride que vous souhaitez créer pour le joindre à votre AD autogéré.

Pour créer une clé AWS KMS

  1. Dans la AWS KMS console, choisissez Create key.

  2. Pour Type de clé, choisissez Symétrique.

  3. Pour Utilisation de la clé, choisissez Chiffrer et déchiffrer.

  4. Pour Options avancées :

    1. Pour Origine des clés, choisissez KMS.

    2. Pour Régionalité, choisissez la clé à région unique, puis cliquez sur Suivant.

  5. Pour Alias, attribuez un nom à la clé KMS.

  6. (Facultatif) Pour Description, fournissez une description de la clé KMS.

  7. (Facultatif) Pour les balises, ajoutez des balises pour la clé KMS et choisissez Next.

  8. Pour les administrateurs clés, sélectionnez un utilisateur IAM.

  9. Pour la suppression de clés, conservez la sélection par défaut pour Autoriser les administrateurs de clés à supprimer cette clé et choisissez Suivant.

  10. Pour les utilisateurs clés, sélectionnez le même utilisateur IAM à l'étape précédente et choisissez Next.

  11. Passez en revue la configuration.

  12. Pour la politique clé, ajoutez la déclaration suivante à la stratégie :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::caller-account:role/role_used_to_create_directory"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    { 
       "Sid": "Allow use of the KMS key on behalf of Directory Service", 
       "Effect": "Allow", 
       "Principal": {
         "Service": "ds.amazonaws.com"
       }, 
       "Action": "kms:Decrypt", 
       "Resource": "*"
    }
  ]
}

  13. Choisissez Finish (Terminer).

Créez un AWS secret

Créez un secret dans Secrets Manager pour stocker les informations d'identification de votre compte utilisateur AD autogéré.

Important

Créez le secret dans celui-ci Compte AWS qui contient le répertoire hybride que vous souhaitez joindre à votre AD autogéré.

Pour créer un secret

  • Dans Secrets Manager, choisissez Enregistrer un nouveau secret

  • Pour Type de secret, choisissez Autre type de secret

  • Pour Paires clé/valeur, ajoutez vos deux clés :

  1. Ajoutez la clé du nom d'utilisateur

    1. Pour la première clé, entrez customerAdAdminDomainUsername.

    2. Pour la valeur de la première clé, entrez uniquement le nom d'utilisateur (sans le préfixe de domaine) de l'utilisateur AD. N'incluez pas le nom de domaine car cela entraîne l'échec de la création de l'instance.

  2. Ajoutez la clé du mot de passe

    1. Pour la deuxième clé, entrez customerAdAdminDomainPassword.

    2. Pour la valeur de la deuxième clé, saisissez le mot de passe que vous avez créé pour l'utilisateur AD sur votre domaine.

Terminez la configuration secrète

  1. Pour Clé de chiffrement, sélectionnez la clé KMS que vous avez créée Création d'une clé KMS et choisissez Next.

  2. Dans Nom du secret, entrez une description du secret.

  3. (Facultatif) Dans Description, entrez une description pour le secret.

  4. Choisissez Suivant.

  5. Pour Configurer les paramètres de rotation, conservez les valeurs par défaut et choisissez Suivant.

  6. Vérifiez les paramètres du secret et choisissez Store.

  7. Choisissez le secret que vous avez créé et copiez la valeur de l'ARN du secret. Vous utiliserez cet ARN à l'étape suivante pour configurer votre Active Directory autogéré.

Exigences en matière d'infrastructure

Préparez les composants d'infrastructure suivants :

  • Deux AWS Systems Manager nœuds dotés de privilèges d'administrateur pour les agents SSM

Services Active Directory requis

Assurez-vous que les services suivants sont exécutés sur votre AD autogéré :

  • Services de domaine Active Directory (AD DS)

  • Service Web Active Directory (ADWS)

  • Système d'événements COM+

  • Réplication de systèmes de fichiers distribués (DFSR)

  • Système de nom de domaine (DNS)

  • Serveur DNS

  • Client de stratégie de groupe

  • Messagerie intersites

  • Appel de procédure à distance (RPC)

  • Responsable des comptes de sécurité

  • Serveur Windows Time

    Note

    Le répertoire hybride nécessite à la fois que le port UDP 123 soit ouvert et que le serveur Windows Time soit activé et fonctionnel. Nous synchronisons l'heure avec votre contrôleur de domaine pour garantir le bon fonctionnement de la réplication d'annuaires hybride.

Exigences d'authentification Kerberos

Vos comptes d'utilisateur doivent avoir une pré-authentification Kerberos activée. Pour obtenir des instructions détaillées sur la façon d'activer ce paramètre, voir Vérifier que la pré-authentification Kerberos est activée. Pour obtenir des informations générales sur ce paramètre, consultez la section Préauthentification activée Microsoft TechNet.

Types de chiffrement pris en charge

Un annuaire hybride prend en charge les types de chiffrement suivants lors de l'authentification via Kerberos auprès de vos Active Directory contrôleurs de domaine :

  • AES-256-HMAC

Exigences relatives aux ports réseau

AWS Pour étendre vos contrôleurs de Active Directory domaine autogérés, le pare-feu de votre réseau existant doit disposer des ports suivants ouverts CIDRs aux deux sous-réseaux de votre Amazon VPC :

  • TCP/UDP 53 ‑ DNS

  • TCP/UDP 88 ‑ Authentification Kerberos

  • UDP 123 - Serveur de temps

  • TCP 135 - Appel de procédure à distance

  • TCP/UDP 389 ‑ LDAP

  • TCP 445 ‑ SMB

  • TCP 636 : uniquement nécessaire pour les environnements dotés du protocole LDAPS (Lightweight Directory Access Protocol Secure)

  • TCP 49152-65535 - Ports TCP élevés alloués aléatoirement par RPC

  • TCP 3268 et 3269 - Catalogue mondial

  • Services Web Active Directory TCP 9389 (ADWS)

Il s'agit des ports minimaux nécessaires pour créer un répertoire hybride. Votre configuration spécifique peut nécessiter l'ouverture de ports supplémentaires.

Note

Les ports DNS IPs fournis à vos contrôleurs de domaine et aux détenteurs de rôles FSMO doivent être ouverts aux deux sous-réseaux CIDRs de l'Amazon VPC.

Note

Le répertoire hybride nécessite à la fois que le port UDP 123 soit ouvert et que le serveur Windows Time soit activé et fonctionnel. Nous synchronisons l'heure avec votre contrôleur de domaine pour garantir le bon fonctionnement de la réplication d'annuaires hybride.

Autorisations Compte AWS

Vous aurez besoin d'autorisations pour effectuer les actions suivantes dans votre Compte AWS :

  • EC2 : AuthorizeSecurityGroupEgress

  • EC2 : AuthorizeSecurityGroupIngress

  • EC2 : CreateNetworkInterface

  • EC2 : CreateSecurityGroup

  • EC2 : DescribeNetworkInterfaces

  • EC2 : DescribeSubnets

  • EC2 : DescribeVpcs

  • EC2 : CreateTags

  • EC2 : CreateNetworkInterfacePermission

  • SMS : ListCommands

  • SMS : GetCommandInvocation

  • SMS : GetConnectionStatus

  • SMS : SendCommand

  • responsable des secrets : DescribeSecret

  • responsable des secrets : GetSecretValue

  • iam : GetRole

  • iam : CreateServiceLinkedRole

Exigences relatives au réseau Amazon VPC

Un VPC présentant les caractéristiques suivantes :

  • Au moins deux sous-réseaux. Chacun des sous-réseaux doit se trouver dans une zone de disponibilité différente

  • Le VPC doit avoir une location par défaut

Vous ne pouvez pas créer de répertoire hybride dans un VPC en utilisant les adresses de l'espace d'adressage 198.18.0.0/15.

AWS Directory Service utilise une structure à deux VPC. Les EC2 instances qui composent votre répertoire s'exécutent en dehors de votre Compte AWS répertoire et sont gérées par AWS. Elles ont deux cartes réseau, ETH0 et ETH1. ETH0 est la carte de gestion et existe en dehors de votre compte. ETH1 est créé au sein de votre compte.

La plage d'adresses IP de gestion du réseau ETH0 pour votre annuaire est198.18.0.0/15.

Pour plus d'informations, veuillez consulter les rubriques suivantes dans le Amazon VPC Guide de l'utilisateur :

Pour plus d'informations AWS Direct Connect, consultez la section Qu'est-ce que c'est AWS Direct Connect ?

AWS configuration du groupe de sécurité

Par défaut, AWS attache un groupe de sécurité pour autoriser l'accès réseau aux nœuds AWS Systems Manager gérés de votre VPC. Vous pouvez éventuellement fournir votre propre groupe de sécurité qui autorise le trafic réseau à destination et en provenance de vos contrôleurs de domaine autogérés en dehors de votre VPC.

Vous pouvez éventuellement fournir votre propre groupe de sécurité qui autorise le trafic réseau à destination et en provenance de vos contrôleurs de domaine autogérés en dehors de votre VPC. Si vous fournissez votre propre groupe de sécurité, vous devez :

Considérations relatives aux évaluations de répertoires

Les points suivants doivent être pris en compte lors de la création d'évaluations d'annuaires et du nombre d'évaluations que vous pouvez avoir dans votre répertoire Compte AWS :

  • Une évaluation d'annuaire est automatiquement créée lorsque vous créez un annuaire hybride. Il existe deux types d'évaluations : CUSTOMER etSYSTEM. Vous Compte AWS avez une limite de 100 évaluations d'CUSTOMERannuaire.

  • Si vous tentez de créer un annuaire hybride et que vous avez déjà effectué 100 évaluations d'CUSTOMERannuaires, vous allez rencontrer une erreur. Supprimez les évaluations pour libérer de la capacité avant de réessayer.

  • Vous pouvez demander une augmentation de votre quota d'évaluation du CUSTOMER répertoire en contactant Support ou en supprimant les évaluations du répertoire CLIENTS existantes afin de libérer de la capacité.