Prasyarat direktori hybrid - AWS Directory Service
Microsoft Active Directorypersyaratan domainLayanan Direktori Aktif yang DiperlukanKerberosJenis enkripsi yang didukungPortIzinAmazon VPCGrup keamananBatas penilaian

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat direktori hybrid

Direktori Hybrid memperluas Direktori Aktif yang dikelola sendiri ke file. AWS Cloud Sebelum membuat direktori hybrid, pastikan lingkungan Anda memenuhi persyaratan ini:

Microsoft Active Directorypersyaratan domain

Sebelum membuat direktori hybrid, pastikan lingkungan dan infrastruktur AD yang dikelola sendiri memenuhi persyaratan berikut, dan kumpulkan informasi yang diperlukan.

Persyaratan domain

Lingkungan AD yang dikelola sendiri harus memenuhi persyaratan berikut:

  • Menggunakan tingkat Windows Server 2012 R2 atau 2016 fungsional.

  • Menggunakan pengontrol domain standar untuk dinilai untuk pembuatan direktori hybrid. Read-only domain controllers (RODC) tidak dapat digunakan untuk pembuatan direktori hybrid.

  • Memiliki dua pengontrol domain dengan semua Active Directory layanan berjalan.

  • Pengontrol Domain Utama (PDC) harus dapat dirutekan setiap saat.

    Secara khusus, PDC Emulator dan RID Master IPs dari AD yang dikelola sendiri harus berada dalam salah satu kategori berikut:

    • Bagian dari rentang alamat IP RFC1918 pribadi (10.0.0.0/8, 172.16.0.0/12, atau 192.168.0.0/16)

    • Dalam rentang CIDR VPC Anda

    • Cocokkan DNS instance IPs yang dikelola sendiri untuk direktori

    Anda dapat menambahkan rute IP tambahan untuk direktori setelah direktori hybrid dibuat.

Informasi yang diperlukan

Kumpulkan informasi berikut tentang iklan yang dikelola sendiri:

  • Nama DNS Direktori

  • Direktori DNS IPs

  • Kredensi akun layanan dengan izin Administrator untuk AD yang dikelola sendiri

  • AWS Rahasia ARN untuk menyimpan kredensil akun layanan Anda (lihat) AWS Rahasia ARN untuk direktori hybrid

AWS Rahasia ARN untuk direktori hybrid

Untuk mengonfigurasi direktori hybrid dengan AD yang dikelola sendiri, Anda perlu membuat kunci KMS untuk mengenkripsi AWS rahasia Anda dan kemudian membuat rahasia itu sendiri. Kedua sumber daya harus dibuat sama Akun AWS yang berisi direktori hybrid.

Buat kunci KMS

Kunci KMS digunakan untuk mengenkripsi rahasia Anda AWS .

penting

Untuk Kunci Enkripsi, jangan gunakan kunci KMS AWS default. Pastikan untuk membuat kunci AWS KMS yang sama yang berisi direktori hybrid Akun AWS yang ingin Anda buat untuk bergabung dengan AD yang dikelola sendiri.

Untuk membuat kunci AWS KMS

  1. Di AWS KMS konsol, pilih tombol Buat.

  2. Untuk Tipe Kunci, pilih Simetris.

  3. Untuk Penggunaan Kunci, pilih Enkripsi dan dekripsi.

  4. Untuk Opsi lanjutan:

    1. Untuk Asal materi kunci, pilih KMS.

    2. Untuk Regionalitas, pilih kunci Wilayah Tunggal dan pilih Berikutnya.

  5. Untuk Alias, berikan nama untuk kunci KMS.

  6. (Opsional) Untuk Deskripsi, berikan deskripsi kunci KMS.

  7. (Opsional) Untuk Tag, tambahkan tag untuk kunci KMS dan pilih Berikutnya.

  8. Untuk administrator Key, pilih pengguna IAM.

  9. Untuk penghapusan Kunci, pertahankan pilihan default untuk Izinkan administrator kunci untuk menghapus kunci ini dan pilih Berikutnya.

  10. Untuk pengguna Key, pilih pengguna IAM yang sama dari langkah sebelumnya dan pilih Berikutnya.

  11. Tinjau konfigurasi tersebut.

  12. Untuk kebijakan Kunci, tambahkan pernyataan berikut ke kebijakan:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::caller-account:role/role_used_to_create_directory"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    { 
       "Sid": "Allow use of the KMS key on behalf of Directory Service", 
       "Effect": "Allow", 
       "Principal": {
         "Service": "ds.amazonaws.com"
       }, 
       "Action": "kms:Decrypt", 
       "Resource": "*"
    }
  ]
}

  13. Pilih Selesai.

Buat AWS rahasia

Buat rahasia di Secrets Manager untuk menyimpan kredensil akun pengguna AD yang dikelola sendiri.

penting

Buat rahasia yang sama Akun AWS yang berisi direktori hybrid yang ingin Anda gabungkan dengan AD yang dikelola sendiri.

Untuk membuat rahasia

  • Di Secrets Manager, pilih Simpan rahasia baru

  • Untuk tipe Rahasia, pilih Jenis rahasia lainnya

  • Untuk Pasangan kunci/nilai, tambahkan dua kunci Anda:

  1. Tambahkan kunci nama pengguna

    1. Untuk kunci pertama, masukkan customerAdAdminDomainUsername.

    2. Untuk nilai kunci pertama, masukkan hanya nama pengguna (tanpa awalan domain) dari pengguna AD. Jangan sertakan nama domain karena ini menyebabkan pembuatan instance gagal.

  2. Tambahkan kunci kata sandi

    1. Untuk kunci kedua, masukkan customerAdAdminDomainPassword.

    2. Untuk nilai kunci kedua, masukkan kata sandi yang Anda buat untuk pengguna AD di domain Anda.

Selesaikan konfigurasi rahasia

  1. Untuk kunci Enkripsi, pilih kunci KMS yang Anda buat Buat kunci KMS dan pilih Berikutnya.

  2. Untuk nama Rahasia, masukkan deskripsi untuk rahasia.

  3. (Opsional) Untuk Deskripsi, masukkan deskripsi untuk rahasia.

  4. Pilih Berikutnya.

  5. Untuk Konfigurasikan pengaturan rotasi, pertahankan nilai default dan pilih Berikutnya.

  6. Tinjau pengaturan untuk rahasia dan pilih Store.

  7. Pilih rahasia yang Anda buat dan salin nilai ARN Rahasia. Anda akan menggunakan ARN ini di langkah berikutnya untuk mengatur Direktori Aktif yang dikelola sendiri.

Persyaratan infrastruktur

Siapkan komponen infrastruktur berikut:

  • Dua AWS Systems Manager node dengan hak administrator untuk agen SSM

Layanan Direktori Aktif yang Diperlukan

Pastikan layanan berikut berjalan pada iklan yang dikelola sendiri:

  • Layanan Domain Direktori Aktif

  • Layanan Web Direktori Aktif (ADWS)

  • Sistem Acara COM+

  • Distributed File System Replication (DFSR)

  • Sistem Nama Domain (DNS)

  • Server DNS

  • Klien Kebijakan Grup

  • Pesan Antar Situs

  • Panggilan Prosedur Jarak Jauh (RPC)

  • Manajer Akun Keamanan

  • Server Waktu Windows

    catatan

    Direktori hybrid membutuhkan port UDP 123 untuk terbuka dan Windows Time Server diaktifkan dan berfungsi. Kami menyinkronkan waktu dengan pengontrol domain Anda untuk memastikan replikasi direktori hybrid berfungsi dengan baik.

Persyaratan otentikasi Kerberos

Akun pengguna Anda harus mengaktifkan pra-autentikasi Kerberos. Untuk petunjuk terperinci tentang cara mengaktifkan setelan ini, lihat Memastikan pra-otentikasi Kerberos diaktifkan. Untuk informasi umum tentang pengaturan ini, buka Preauthentication on. Microsoft TechNet

Jenis enkripsi yang didukung

direktori hybrid mendukung jenis enkripsi berikut saat mengautentikasi melalui Kerberos ke pengontrol domain AndaActive Directory:

  • AES-256-HMAC

Persyaratan port jaringan

AWS Untuk memperluas pengontrol Active Directory domain yang dikelola sendiri, firewall untuk jaringan yang ada harus memiliki port berikut yang terbuka CIDRs untuk kedua subnet di VPC Amazon Anda:

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Autentikasi Kerberos

  • UDP 123 - Server waktu

  • TCP 135 - Panggilan Prosedur Jarak Jauh

  • TCP/UDP 389 - LDAP

  • TCP 445 - SMB

  • TCP 636 - Hanya diperlukan untuk lingkungan dengan Lightweight Directory Access Protocol Secure (LDAPS)

  • TCP 49152-65535 - RPC secara acak mengalokasikan port TCP tinggi

  • TCP 3268 dan 3269 - Katalog Global

  • TCP 9389 Layanan Web Direktori Aktif (ADWS)

Ini adalah port minimum yang diperlukan untuk membuat direktori hybrid. Konfigurasi spesifik Anda mungkin mengharuskan port-port tambahan terbuka.

catatan

DNS yang IPs disediakan untuk Pengontrol Domain dan pemegang Peran FSMO Anda harus memiliki port di atas terbuka CIDRs untuk kedua subnet di Amazon VPC.

catatan

Direktori hybrid membutuhkan port UDP 123 untuk terbuka dan Windows Time Server diaktifkan dan berfungsi. Kami menyinkronkan waktu dengan pengontrol domain Anda untuk memastikan replikasi direktori hybrid berfungsi dengan baik.

Izin Akun AWS

Anda akan memerlukan izin untuk tindakan berikut di: Akun AWS

  • EC2: AuthorizeSecurityGroupEgress

  • EC2: AuthorizeSecurityGroupIngress

  • EC2: CreateNetworkInterface

  • EC2: CreateSecurityGroup

  • EC2: DescribeNetworkInterfaces

  • EC2: DescribeSubnets

  • EC2: DescribeVpcs

  • EC2: CreateTags

  • EC2: CreateNetworkInterfacePermission

  • ssm: ListCommands

  • ssm: GetCommandInvocation

  • ssm: GetConnectionStatus

  • ssm: SendCommand

  • manajer rahasia: DescribeSecret

  • manajer rahasia: GetSecretValue

  • saya: GetRole

  • saya: CreateServiceLinkedRole

Persyaratan jaringan Amazon VPC

VPC dengan yang berikut ini:

  • Setidaknya dua subnet. Masing-masing subnet harus berada di Availability Zone yang berbeda

  • VPC harus memiliki tenancy default

Anda tidak dapat membuat direktori hybrid di VPC menggunakan alamat di ruang alamat 198.18.0.0/15.

AWS Directory Service menggunakan dua struktur VPC. EC2 Instance yang membentuk direktori Anda berjalan di luar direktori Anda Akun AWS, dan dikelola oleh AWS. Mereka memiliki dua adaptor jaringan, ETH0 dan ETH1. ETH0 adalah adaptor pengelola, dan berada di luar akun Anda. ETH1 dibuat dalam akun Anda.

Rentang IP manajemen jaringan ETH0 untuk direktori Anda adalah198.18.0.0/15.

Untuk informasi selengkapnya, lihat topik berikut dalam Panduan Pengguna Amazon VPC:

Untuk informasi lebih lanjut tentang AWS Direct Connect, lihat Apa itu AWS Direct Connect?

AWS konfigurasi grup keamanan

Secara default, AWS melampirkan grup keamanan untuk memungkinkan akses jaringan ke node AWS Systems Manager terkelola di VPC Anda. Anda dapat secara opsional menyediakan grup keamanan Anda sendiri yang memungkinkan lalu lintas jaringan ke dan dari pengontrol domain yang dikelola sendiri di luar VPC Anda.

Anda dapat secara opsional menyediakan grup keamanan Anda sendiri yang memungkinkan lalu lintas jaringan ke dan dari pengontrol domain yang dikelola sendiri di luar VPC Anda. Jika Anda menyediakan grup keamanan Anda sendiri, maka Anda perlu:

  • Izinkan daftar VPC CIDR rentang dan rentang yang dikelola sendiri.

  • Pastikan rentang ini tidak tumpang tindih dengan rentang IP yang AWS dicadangkan

Pertimbangan penilaian direktori

Berikut ini adalah pertimbangan saat membuat penilaian direktori dan jumlah penilaian yang dapat Anda miliki di: Akun AWS

  • Penilaian direktori dibuat secara otomatis saat Anda membuat direktori hybrid. Ada dua jenis penilaian: CUSTOMER danSYSTEM. Anda Akun AWS memiliki batas 100 penilaian CUSTOMER direktori.

  • Jika Anda mencoba membuat direktori hybrid dan Anda sudah memiliki 100 penilaian CUSTOMER direktori, Anda akan menemukan kesalahan. Hapus penilaian untuk membebaskan kapasitas sebelum mencoba lagi.

  • Anda dapat meminta peningkatan kuota penilaian CUSTOMER direktori Anda dengan menghubungi Dukungan atau menghapus penilaian direktori PELANGGAN yang ada untuk membebaskan kapasitas.