本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 混合目录的先决条件
混合目录可将自行管理的 Active Directory 扩展到 AWS Cloud。在创建混合目录之前,务必确保您的环境满足以下要求:
## Microsoft Active Directory 域要求
在创建混合目录之前,务必确保自行管理的 AD 环境和基础设施满足以下要求,并收集必要的信息。
### 域要求
自行管理的 AD 环境必须满足以下要求:
+ 使用 Windows Server 2012 R2 或 2016 功能级别。
+ 使用待评测的标准域控制器来创建混合目录。不能使用只读域控制器(RODC)创建混合目录。
+ 具有两个域控制器,且所有 Active Directory 服务都在运行中。
+ 主域控制器(PDC)必须始终可路由。
具体而言,您的自管理 AD 的 PDC 仿真器和 RID Master IPs 必须属于以下类别之一:
+ 部分 RFC1918 私有 IP 地址范围(10.0.0.0/8、172.16.0.0/12 或 192.168.0.0/16)
+ 在 VPC CIDR 范围内
+ 将您的自管理实例 IPs 的 DNS 与该目录相匹配
创建混合目录后,可以为该目录添加其他 IP 路由。
### 所需信息
收集以下有关自行管理的 AD 的信息:
+ 目录 DNS 名称
+ 目录 DNS IPs
+ 具有自行管理的 AD 管理员权限的服务账户凭证
+ AWS 用于存储您的服务账号凭证的秘密 ARN(参见)[AWS 混合目录的秘密 ARN](#aws_secret_arn_for_hybrid)
### AWS 混合目录的秘密 ARN
要使用自管理 AD 配置混合目录,您需要创建 KMS 密钥来加密您的 AWS 密钥,然后创建密钥本身。两个资源都必须在包含混合目录的同 AWS 账户 一个资源中创建。
#### 创建 KMS 密钥
KMS 密钥用于加密您的 AWS 密钥。
**重要**
对于**加密密钥**,请勿使用 AWS 原定设置 KMS 密钥。请务必在包含您要创建的混合目录中创建 AWS KMS 密钥,以加入您的自管理 AD。 AWS 账户
**创建 AWS KMS 密钥**
1. 在 AWS KMS 控制台中,选择**创建密钥**。
1. 对于**密钥类型**,选择**对称**。
1. 对于**密钥用法**,选择**加密和解密**。
1. 对于 **Advanced options (高级选项)**:
1. 对于**密钥材料源**,选择 **KMS**。
1. 对于**区域性**,选择**单区域密钥**,然后选择**下一步**。
1. 对于**别名**,提供 KMS 密钥的名称。
1. (可选)对于**描述**,提供 KMS 密钥的描述。
1. (可选)对于**标签**,为 KMS 密钥添加标签,选择**下一步**。
1. 对于**密钥管理员**,请选择一个 IAM 用户。
1. 对于**密钥删除**,保持默认选择的**允许密钥管理员删除此密钥**,然后选择**下一步**。
1. 对于**密钥用户**,请选择上一步中的相同 IAM 用户,并选择**下一步**。
1. 审核配置。
1. 对于**密钥策略**,请在策略中添加以下语句:
1. 选择**结束**。
#### 创建密 AWS 钥
在 Secrets Manager 中创建一个存储自行管理的 AD 用户账户凭证的密钥。
**重要**
在 AWS 账户 包含您要与自管理 AD 一起加入的混合目录的密钥中创建密钥。
创建密钥
+ 在密钥管理器中,选择**存储新密钥**。
+ 对于**密钥类型**,请选择**其他密钥类型**
+ 对于**键/值对**,请添加您的两个密钥:
1. 添加用户名密钥
1. 对于第一个密钥,请输入 `customerAdAdminDomainUsername`。
1. 对于第一个密钥的值,请仅输入 AD 用户的用户名(不带域前缀)。请勿包含域名,因为这会导致实例创建失败。
1. 添加密码密钥
1. 对于第二个密钥,请输入 `customerAdAdminDomainPassword`。
1. 对于第二个密钥的值,请输入您在域中为 AD 用户创建的密码。
##### 完成密钥配置
1. 对于**加密密钥**,选择您在 [创建 KMS 密钥](#create_kms_key_for_hybrid) 中创建的 KMS 密钥,并选择**下一步**。
1. 对于**密钥名称**,输入密钥的描述。
1. (可选)对于**描述**,输入密钥的描述。
1. 选择**下一步**。
1. 对于**配置轮换设置**,保留默认值并选择**下一步**。
1. 查看密钥的设置,然后选择**存储**。
1. 选择您创建的密钥,然后复制**密钥 ARN** 的值。下一步您将使用此 ARN 来设置自行管理的 Active Directory。
### 基础设施要求
准备以下基础设施组件:
+ 两个拥有 SSM 代理管理员权限的 AWS Systems Manager 节点
+ 如果您的 Active Directory 是在 ** AWS Cloud之外自行管理**的,则混合云和多云环境需要两个 Systems Manager 节点。有关如何配置这些节点的更多信息,请参阅[为混合云和多云环境设置 Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-hybrid-multicloud.html)。
+ 如果您的 Active Directory 是在**中自行管理**的 AWS Cloud,则需要两个 Systems Manager 托管 EC2 实例。有关如何配置这些实例的更多信息,请参阅[使用 Systems Manager 管理 EC2 实例](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html)。
## 所需的 Active Directory 服务
确保在自行管理的 AD 上运行以下服务:
+ Active Directory 域服务
+ Active Directory Web 服务(ADWS)
+ COM\+ 事件系统
+ 分布式文件系统复制 (DFSR)
+ 域名系统(DNS)
+ DNS 服务器
+ 组策略客户端
+ 站点间消息传递
+ 远程程序调用(RPC)
+ 安全账户管理器
+ Windows 时间服务器
**注意**
混合目录要求打开 UDP 端口 123,启用 Windows 时间服务器并使其正常运行。我们将与您的域控制器进行时间同步,以确保混合目录复制正常工作。
## Kerberos 身份验证要求
用户账户必须启用 Kerberos 预身份验证。有关如何启用此设置的详细说明,请参阅[确保启用 Kerberos 预身份验证](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms-ad-tutorial-setup-trust-prepare-onprem.html#tutorial-setup-trust-enable-kerberos)。有关此设置的一般信息,请转到开启的[预身份验证](http://technet.microsoft.com/en-us/library/cc961961.aspx)。Microsoft TechNet
## 支持的加密类型
当通过 Kerberos 对您的 Active Directory 域控制器进行身份验证时,混合目录支持以下加密类型:
+ AES-256-HMAC
## 网络端口要求
AWS 要扩展您的自我管理的 Active Directory 域控制器,您现有网络的防火墙必须CIDRs为您 Amazon VPC 中的两个子网开放以下端口:
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Kerberos 身份验证
+ UDP 123 - 时间服务器
+ TCP 135 - 远程程序调用
+ TCP/UDP 389 - LDAP
+ TCP 445 - SMB
+ TCP 636 - 仅采用安全轻量级目录访问协议(LDAPS)的环境需要
+ TCP 49152-65535 - RPC 随机分配的高 TCP 端口
+ TCP 3268 和 3269 – 全局目录
+ TCP 9389 Active Directory Web 服务(ADWS)
这些是创建混合目录所需的最少端口。根据您的特定配置,您可能需要打开其他端口。
**注意**
为您的域控制器和 FSMO 角色持有者 IPs 提供的 DNS 必须 CIDRs 为 Amazon VPC 中的两个子网开放上述端口。
**注意**
混合目录要求打开 UDP 端口 123,启用 Windows 时间服务器并使其正常运行。我们将与您的域控制器进行时间同步,以确保混合目录复制正常工作。
## AWS 账户 权限
你需要权限才能在你的环境中执行以下操作 AWS 账户:
+ ec2: AuthorizeSecurityGroupEgress
+ ec2: AuthorizeSecurityGroupIngress
+ ec2: CreateNetworkInterface
+ ec2: CreateSecurityGroup
+ ec2: DescribeNetworkInterfaces
+ ec2: DescribeSubnets
+ ec2: DescribeVpcs
+ ec2: CreateTags
+ ec2: CreateNetworkInterfacePermission
+ ssm:ListCommands
+ ssm:GetCommandInvocation
+ ssm:GetConnectionStatus
+ ssm:SendCommand
+ 秘密管理器:DescribeSecret
+ 秘密管理器:GetSecretValue
+ 我是:GetRole
+ 我是:CreateServiceLinkedRole
## Amazon VPC 网络要求
满足以下条件的 VPC:
+ 至少两个子网。每个子网必须位于不同的可用区
+ VPC 必须具有默认租户
您不能使用 198.18.0.0/15 地址空间中的地址在 VPC 中创建混合目录。
Directory Service 使用双 VPC 结构。构成您的目录的 EC2 实例在您的目录之外运行 AWS 账户,并由管理 AWS。其有 `ETH0` 和 `ETH1` 两个网络适配器。`ETH0` 是管理适配器,存在于您的账户之外。`ETH1` 在您的账户内创建。
您的目录的 ETH0 网络管理 IP 范围为`198.18.0.0/15`。
有关更多信息,请参阅 *Amazon VPC 用户指南* 中的以下主题:
+ [Amazon VPC 是什么?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started.html)
+ [Amazon VPC 是什么?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [VPCs 和子网](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#how-it-works-subnet)
+ [什么是 AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC-VPN.html)
有关的更多信息 AWS Direct Connect,请参阅[什么是 AWS Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
## AWS 安全组配置
默认情况下,会 AWS 附加一个安全组以允许对您的 VPC 中的 AWS Systems Manager 托管节点进行网络访问。您可以选择提供自己的安全组,以便让网络流量能够进出位于 VPC 外部的自行管理的域控制器。
您可以选择提供自己的安全组,以便让网络流量能够进出位于 VPC 外部的自行管理的域控制器。如果要提供自己的安全组,则需要:
+ 将您的 VPC CIDR 范围和自行管理的范围列入白名单。
+ 确保这些范围未与 [AWS 预留 IP 范围](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html)发生重叠
## 目录评测注意事项
以下是创建目录评测时的注意事项,以及在 AWS 账户中可以拥有的评测数量:
+ 创建混合目录时,会自动创建目录评测。评测有两种类型:`CUSTOMER` 和 `SYSTEM`。 AWS 账户 `CUSTOMER` 目录评测上限为 100 个。
+ 如果尝试创建混合目录,且已拥有 100 个 `CUSTOMER` 目录评测,则会遇到错误。请删除评测以释放容量,然后重试。
+ 您可以通过联系 支持 或删除现有的客户`CUSTOMER`目录评估来申请增加目录评估配额以释放容量。