混合目录的先决条件 - AWS Directory Service
Microsoft Active Directory 域要求所需的 Active Directory 服务Kerberos支持的加密类型端口PermissionsAmazon VPC安全组评测限制

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

混合目录的先决条件

混合目录可将自行管理的 Active Directory 扩展到 AWS Cloud。在创建混合目录之前,务必确保您的环境满足以下要求:

Microsoft Active Directory 域要求

在创建混合目录之前,务必确保自行管理的 AD 环境和基础设施满足以下要求,并收集必要的信息。

域要求

自行管理的 AD 环境必须满足以下要求:

  • 使用 Windows Server 2012 R2 或 2016 功能级别。

  • 使用待评测的标准域控制器来创建混合目录。不能使用只读域控制器(RODC)创建混合目录。

  • 具有两个域控制器,且所有 Active Directory 服务都在运行中。

  • 主域控制器(PDC)必须始终可路由。

    具体而言,您的自管理 AD 的 PDC 仿真器和 RID Master IPs 必须属于以下类别之一:

    • 部分 RFC1918 私有 IP 地址范围(10.0.0.0/8、172.16.0.0/12 或 192.168.0.0/16)

    • 在 VPC CIDR 范围内

    • 将您的自管理实例 IPs 的 DNS 与该目录相匹配

    创建混合目录后,可以为该目录添加其他 IP 路由。

所需信息

收集以下有关自行管理的 AD 的信息:

  • 目录 DNS 名称

  • 目录 DNS IPs

  • 具有自行管理的 AD 管理员权限的服务账户凭证

  • AWS用于存储您的服务账号凭证的秘密 ARN(参见)AWS混合目录的秘密 ARN

AWS混合目录的秘密 ARN

要使用自管理 AD 配置混合目录,您需要创建 KMS 密钥来加密您的AWS密钥,然后创建密钥本身。两个资源都必须在包含混合目录的同AWS 账户一个资源中创建。

创建 KMS 密钥

KMS 密钥用于加密您的AWS密钥。

重要

对于加密密钥,请勿使用 AWS 原定设置 KMS 密钥。请务必在包含您要创建的混合目录中创建 AWS KMS 密钥,以加入您的自管理 AD。AWS 账户

创建 AWS KMS 密钥

  1. 在AWS KMS控制台中,选择创建密钥

  2. 对于密钥类型,选择对称

  3. 对于密钥用法,选择加密和解密

  4. 对于 Advanced options (高级选项)

    1. 对于密钥材料源,选择 KMS

    2. 对于区域性,选择单区域密钥,然后选择下一步

  5. 对于别名,提供 KMS 密钥的名称。

  6. (可选)对于描述,提供 KMS 密钥的描述。

  7. (可选)对于标签,为 KMS 密钥添加标签,选择下一步

  8. 对于密钥管理员,请选择一个 IAM 用户。

  9. 对于密钥删除,保持默认选择的允许密钥管理员删除此密钥,然后选择下一步

  10. 对于密钥用户,请选择上一步中的相同 IAM 用户,并选择下一步

  11. 审核配置。

  12. 对于密钥策略,请在策略中添加以下语句:

  13. 选择结束

创建密AWS钥

在 Secrets Manager 中创建一个存储自行管理的 AD 用户账户凭证的密钥。

重要

在AWS 账户包含您要与自管理 AD 一起加入的混合目录的密钥中创建密钥。

创建密钥

  • 在密钥管理器中,选择存储新密钥

  • 对于密钥类型,请选择其他密钥类型

  • 对于键/值对,请添加您的两个密钥:

  1. 添加用户名密钥

    1. 对于第一个密钥,请输入 customerAdAdminDomainUsername

    2. 对于第一个密钥的值,请仅输入 AD 用户的用户名(不带域前缀)。请勿包含域名,因为这会导致实例创建失败。

  2. 添加密码密钥

    1. 对于第二个密钥,请输入 customerAdAdminDomainPassword

    2. 对于第二个密钥的值,请输入您在域中为 AD 用户创建的密码。

完成密钥配置

  1. 对于加密密钥,选择您在 创建 KMS 密钥 中创建的 KMS 密钥,并选择下一步

  2. 对于密钥名称,输入密钥的描述。

  3. (可选)对于描述,输入密钥的描述。

  4. 选择下一步

  5. 对于配置轮换设置,保留默认值并选择下一步

  6. 查看密钥的设置,然后选择存储

  7. 选择您创建的密钥,然后复制密钥 ARN 的值。下一步您将使用此 ARN 来设置自行管理的 Active Directory。

基础设施要求

准备以下基础设施组件:

  • 两个拥有 SSM 代理管理员权限的AWS Systems Manager节点

    • 如果您的 Active Directory 是在 AWS Cloud 之外自行管理的,则混合云和多云环境需要两个 Systems Manager 节点。有关如何配置这些节点的更多信息,请参阅为混合云和多云环境设置 Systems Manager

    • 如果您的 Active Directory 是在中自行管理的AWS Cloud,则需要两个 Systems Manager 托管 EC2 实例。有关如何配置这些实例的更多信息,请参阅使用 Systems Manager 管理 EC2 实例

所需的 Active Directory 服务

确保在自行管理的 AD 上运行以下服务:

  • Active Directory 域服务

  • Active Directory Web 服务(ADWS)

  • COM+ 事件系统

  • 分布式文件系统复制 (DFSR)

  • 域名系统(DNS)

  • DNS 服务器

  • 组策略客户端

  • 站点间消息传递

  • 远程程序调用(RPC)

  • 安全账户管理器

  • Windows 时间服务器

    注意

    混合目录要求打开 UDP 端口 123,启用 Windows 时间服务器并使其正常运行。我们将与您的域控制器进行时间同步,以确保混合目录复制正常工作。

Kerberos 身份验证要求

用户账户必须启用 Kerberos 预身份验证。有关如何启用此设置的详细说明,请参阅确保启用 Kerberos 预身份验证。有关此设置的一般信息,请转到开启的预身份验证。Microsoft TechNet

支持的加密类型

当通过 Kerberos 对您的 Active Directory 域控制器进行身份验证时,混合目录支持以下加密类型:

  • AES-256-HMAC

网络端口要求

AWS要扩展您的自我管理的 Active Directory 域控制器,您现有网络的防火墙必须CIDRs为您 Amazon VPC 中的两个子网开放以下端口:

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 身份验证

  • UDP 123 - 时间服务器

  • TCP 135 - 远程程序调用

  • TCP/UDP 389 - LDAP

  • TCP 445 - SMB

  • TCP 636 - 仅采用安全轻量级目录访问协议(LDAPS)的环境需要

  • TCP 49152-65535 - RPC 随机分配的高 TCP 端口

  • TCP 3268 和 3269 – 全局目录

  • TCP 9389 Active Directory Web 服务(ADWS)

这些是创建混合目录所需的最少端口。根据您的特定配置,您可能需要打开其他端口。

注意

为您的域控制器和 FSMO 角色持有者 IPs 提供的 DNS 必须 CIDRs 为 Amazon VPC 中的两个子网开放上述端口。

注意

混合目录要求打开 UDP 端口 123,启用 Windows 时间服务器并使其正常运行。我们将与您的域控制器进行时间同步,以确保混合目录复制正常工作。

AWS 账户权限

你需要权限才能在你的环境中执行以下操作AWS 账户:

  • ec2: AuthorizeSecurityGroupEgress

  • ec2: AuthorizeSecurityGroupIngress

  • ec2: CreateNetworkInterface

  • ec2: CreateSecurityGroup

  • ec2: DescribeNetworkInterfaces

  • ec2: DescribeSubnets

  • ec2: DescribeVpcs

  • ec2: CreateTags

  • ec2: CreateNetworkInterfacePermission

  • ssm:ListCommands

  • ssm:GetCommandInvocation

  • ssm:GetConnectionStatus

  • ssm:SendCommand

  • 秘密管理器:DescribeSecret

  • 秘密管理器:GetSecretValue

  • 我是:GetRole

  • 我是:CreateServiceLinkedRole

Amazon VPC 网络要求

满足以下条件的 VPC:

  • 至少两个子网。每个子网必须位于不同的可用区

  • VPC 必须具有默认租户

您不能使用 198.18.0.0/15 地址空间中的地址在 VPC 中创建混合目录。

Directory Service使用双 VPC 结构。构成您的目录的 EC2 实例在您的目录之外运行AWS 账户,并由管理AWS。其有 ETH0ETH1 两个网络适配器。ETH0 是管理适配器,存在于您的账户之外。ETH1 在您的账户内创建。

您目录的 ETH0 网络的管理 IP 范围为 198.18.0.0/15

有关更多信息,请参阅 Amazon VPC 用户指南 中的以下主题:

有关的更多信息AWS Direct Connect,请参阅什么是AWS Direct Connect?

AWS安全组配置

默认情况下,会AWS附加一个安全组以允许对您的 VPC 中的AWS Systems Manager托管节点进行网络访问。您可以选择提供自己的安全组,以便让网络流量能够进出位于 VPC 外部的自行管理的域控制器。

您可以选择提供自己的安全组,以便让网络流量能够进出位于 VPC 外部的自行管理的域控制器。如果要提供自己的安全组,则需要:

  • 将您的 VPC CIDR 范围和自行管理的范围列入白名单。

  • 确保这些范围未与 AWS 预留 IP 范围发生重叠

目录评测注意事项

以下是创建目录评测时的注意事项,以及在 AWS 账户 中可以拥有的评测数量:

  • 创建混合目录时,会自动创建目录评测。评测有两种类型:CUSTOMERSYSTEM。AWS 账户CUSTOMER 目录评测上限为 100 个。

  • 如果尝试创建混合目录,且已拥有 100 个 CUSTOMER 目录评测,则会遇到错误。请删除评测以释放容量,然后重试。

  • 您可以通过联系支持或删除现有的客户CUSTOMER目录评估来申请增加目录评估配额以释放容量。