本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AD Connector
AD Connector 是一种目录网关,借助它可以将目录请求重定向到本地 Microsoft Active Directory,而无需在云中缓存任何信息。AD Connector 有两种大小,即小型和大型。小型 AD Connector 专门用于规模较小的组织,每秒处理的操作数量少。大型 AD Connector 专门用于规模较大的组织,每秒处理的操作数量从中等到很多。您可以跨多个 AD Connector 分布应用程序负载,根据您的性能需求进行扩展。没有强制实施的用户或连接限制。
AD Connector 不支持 Active Directory 传递信任。AD Connector 和本地 Active Directory 域具有 1 对 1 关系。也就是说,对于每个本地域,包括 Active Directory 林中您要针对其进行身份验证的子域,您必须创建唯一的 AD Connector。
**注意**
AD Connector 不能与其他 AWS 账户共享。如果需要这样做,可以考虑使用 AWS 托管 Microsoft AD [分享你的 Microsoft AWS 托管广告](ms_ad_directory_sharing.md)。AD Connector 也不支持多 VPC,这意味着需要将诸如[WorkSpaces](https://aws.amazon.com/workspaces)此类的 AWS 应用程序配置到与 AD 连接器相同的 VPC 中。
设置之后,AD Connector 具备以下优势:
+ 您的最终用户和 IT 管理员可以使用他们现有的公司证书登录 AWS 应用程序,例如 WorkSpaces WorkDocs、或 Amazon WorkMail。
+ 您可以通过基于 IAM 角色的访问权限来管理诸如 Amazon EC2 实例或 Amazon S3 存储桶之类的 AWS 资源。 AWS 管理控制台
+ 无论用户还是 IT 管理员访问您的本地基础设施还是 AWS 云中的资源,您都可以始终如一地强制执行现有的安全策略(例如密码过期、密码历史记录和帐户锁定)。
+ 您可以使用 AD Connector 通过与现有的基于 RADIUS 的 MFA 基础设施集成来启用多因素身份验证,从而在用户访问应用程序时提供额外的安全保护。 AWS
继续阅读本节中的主题,了解如何连接到目录以及充分利用 AD Connector 功能。
**Topics**
+ [开始使用 AD Connector](ad_connector_getting_started.md)
+ [AD Connector 最佳实践](ad_connector_best_practices.md)
+ [维护您的 AD Connector 目录](ad_connector_maintain.md)
+ [保护您的 AD Connector 目录](ad_connector_security.md)
+ [监控您的 AD Connector 目录](ad_connector_monitor.md)
+ [从 AD Connector 访问 AWS 应用程序和服务](ad_connector_manage_apps_services.md)
+ [将 Amazon EC2 实例加入您的活动目录的方法](ad_connector_join_instance.md)
+ [AD Connector 配额](ad_connector_limits.md)
+ [AD Connector 故障排除](ad_connector_troubleshooting.md)
# 开始使用 AD Connector
使用 AD Connecto Directory Service r,您可以连接到现有的企业活动目录。当连接到您的现有目录时,您的所有目录数据仍保留在域控制器上。 Directory Service 不复制您的任何目录数据。
**Topics**
+ [AD Connector 先决条件](#prereq_connector)
+ [创建 AD Connector](#create_ad_connector)
+ [与 AD Connector 一起创建的内容](create_details_ad_connector.md)
## AD Connector 先决条件
要使用 AD Connector 连接到您的现有目录,您需要:
**Amazon VPC**
对 VPC 进行如下设置:
+ 至少两个子网。每个子网必须位于不同的可用区,但网络类型相同。
您可以将其 IPv6 用于您的 VPC。有关更多信息,请参阅《*Amazon Virtual Private Cloud 用户指南》*[中对您的 VPC 的IPv6 支持](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html)。
+ 必须通过虚拟专用网络 (VPN) 连接或 Direct Connect将 VPC 连接到您的现有网络。
+ VPC 必须具有默认硬件租户。
Directory Service 使用双 VPC 结构。构成您目录的 EC2 实例在您的 AWS 账户之外运行,由管理 AWS。其有 `ETH0` 和 `ETH1` 两个网络适配器。`ETH0` 是管理适配器,存在于您的账户之外。`ETH1` 在您的账户内创建。
目录的 `ETH0` 网络的管理 IP 范围以编程方式选择,以确保其不会与部署目录的 VPC 发生冲突。此 IP 范围可以是以下任一对(因为目录在两个子网中运行):
+ 10.0.1.0/24 和 10.0.2.0/24
+ 169.254.0.0/16
+ 192.168.1.0/24 和 192.168.2.0/24
我们通过检查 `ETH1` CIDR 的第一个八位字节来避免冲突。如果以 10 开头,那么我们就选择一个 192.168.0.0/16 VPC,其子网为 192.168.1.0/24 和 192.168.2.0/24。如果第一个八位字节不是 10,则我们选择一个 10.0.0.0/16 VPC,其子网为 10.0.1.0/24 和 10.0.2.0/24。
选择算法不包括您 VPC 上的路由。因此,这种情况可能会导致 IP 路由冲突。
有关更多信息,请参阅 *Amazon VPC 用户指南* 中的以下主题:
+ [Amazon VPC 是什么?](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html)
+ [您 VPC 中的子网](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#VPCSubnet)
+ [在您的 VPC 中添加硬件虚拟专用网关](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_VPN.html)
有关的更多信息 AWS Direct Connect,请参阅《[AWS Direct Connect 用户指南》](https://docs.aws.amazon.com/directconnect/latest/UserGuide/)。
**现有 Active Directory**
您将需要连接到具有 Active Directory 域的现有网络。
AD Connector 不支持[单个标签域](https://support.microsoft.com/en-us/help/2269810/microsoft-support-for-single-label-domains)。
此 Active Directory 域的功能级别必须是 `Windows Server 2003` 或更高版本。AD Connector 还支持连接到 Amazon EC2 实例上托管的域。
与 Amazon EC2 域加入功能结合使用时,AD Connector 不支持只读域控制器(RODC)。
**服务账户**
您必须拥有现有目录中被委派了以下权限的服务账户的凭证:
+ 读取用户和组 – 必需
+ 将计算机加入域-仅在使用无缝域加入时才需要 WorkSpaces
+ 创建计算机对象-仅在使用无缝域加入时才需要 WorkSpaces
+ 服务账号密码应符合 AWS 密码要求。 AWS 密码应为:
+ 长度介于 8 到 128 个字符之间(包含边界值)。
+ 至少包含下列四种类别中三种类别的一个字符:
+ 小写字母 (a-z)
+ 大写字母 (A-Z)
+ 数字 (0-9)
+ 非字母数字字符 (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
有关更多信息,请参阅 [向您的服务账户委派权限](#connect_delegate_privileges)。
AD Connector 使用 Kerberos 对 AWS 应用程序进行身份验证和授权。LDAP 仅用于用户和组对象查找(读取操作)。对于 LDAP 事务,所有都不可变,凭证也不以明文形式传递。身份验证由 AWS 内部服务处理,该服务使用 Kerberos 票证以用户身份执行 LDAP 操作。
**用户权限**
所有 Active Directory 用户必须有权读取自己的属性。具体而言,包括以下属性:
+ GivenName
+ SurName
+ Mail
+ SamAccountName
+ UserPrincipalName
+ UserAccountControl
+ MemberOf
默认情况下,Active Directory 用户确实有权读取这些属性。但是,管理员可以随时修改这些权限,因此,您可能希望在首次设置 AD Connector 之前,验证用户是否具有这些读取权限。
**IP 地址**
获取您现有目录域中两个 DNS 服务器或域控制器的 IP 地址。
AD Connector 在连接到您的目录时将从这些服务器获取 `_ldap._tcp.` 和 `_kerberos._tcp.` SRV 记录,因此这些服务器必须包含这些 SRV 记录。AD Connector 尝试查找将同时提供 LDAP 和 Kerberos 服务的公用域控制器,因此这些 SRV 记录必须至少包含一个公用域控制器。有关 SRV 记录的更多信息,请访问 Microsoft 上的 [SRV 资源记录](http://technet.microsoft.com/en-us/library/cc961719.aspx)。 TechNet
**子网的端口**
为了让 AD Connector 将目录请求重定向到您的现有 Active Directory 域控制器,您现有网络的防火墙必须 CIDRs 为 Amazon VPC 中的两个子网开放以下端口。
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Kerberos 身份验证
+ TCP/UDP 389 - LDAP
这些是 AD Connector 能够连接到目录之前所需的最少端口。根据您的特定配置,您可能需要打开其他端口。
如果您想使用 AD Connector 和 Amazon WorkSpaces,则需要将域控制器的 “禁用 VLVSupport LDAP” 属性设置为 0。这是域控制器的默认设置。如果启用了 “禁用 VLVSupport LDAP” 属性,AD Connector 将无法查询目录中的用户。这样会导致 AD Connector 无法与 Amazon WorkSpaces配合使用。
如果您现有 Active Directory 域的 DNS 服务器或域控制器服务器位于 VPC 内,则与这些服务器关联的安全组必须 CIDRs 为 VPC 中的两个子网开放上述端口。
有关其他端口要求,请参阅 Microsoft 文档中的 [AD 和 AD DS 端口要求](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd772723(v=ws.10))。
**Kerberos 预身份验证**
用户账户必须启用 Kerberos 预身份验证。有关如何启用此设置的详细说明,请参阅[确保已启用 Kerberos 预身份验证](ms_ad_tutorial_setup_trust_prepare_onprem.md#tutorial_setup_trust_enable_kerberos)。有关此设置的一般信息,请转到开启的[预身份验证](http://technet.microsoft.com/en-us/library/cc961961.aspx)。Microsoft TechNet
**加密类型**
当通过 Kerberos 对您的 Active Directory 域控制器进行身份验证时,AD Connector 支持以下加密类型:
+ AES-256-HMAC
+ AES-128-HMAC
+ RC4-HMAC
### AWS IAM Identity Center 先决条件
如果计划将 IAM Identity Center 与 AD Connector 结合使用,则需要确保满足以下条件:
+ 您的 AD Connector 是在您 AWS 组织的管理账户中设置的。
+ 您的 IAM Identity Center 实例位于您在其中设置 AD Connector 的同一区域中。
有关更多信息,请参阅 AWS IAM Identity Center 用户指南[中的 IAM 身份中心先决条件](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html)。
### 多重身份验证先决条件
为了使用您的 AD Connector 目录支持多重身份验证,您需要以下内容:
+ 现有网络中具有两个客户端终端节点的[远程身份验证拨入用户服务](https://en.wikipedia.org/wiki/RADIUS) (RADIUS) 服务器。RADIUS 客户端终端节点具有以下要求:
+ 要创建终端节点,您需要 Directory Service 服务器的 IP 地址。这些 IP 地址可以从目录详细信息的 **Directory IP Address** 字段中获取。
+ 两个 RADIUS 终端节点必须使用相同的共享密码。
+ 您的现有网络必须允许服务器通过默认 RADIUS 服务器端口 (1812) 的 Directory Service 入站流量。
+ 您的 RADIUS 服务器与您的现有目录的用户名必须相同。
有关通过 MFA 使用 AD Connector 的更多信息,请参阅 [为 AD Connector 启用多重身份验证](ad_connector_mfa.md)。
### 向您的服务账户委派权限
要连接到您的现有目录,必须在现有目录中拥有被委托了某些权限的 AD Connector 服务账户的凭证。尽管 **Domain Admins** 组的成员有足够的权限连接到目录,但是作为最佳实践,您应使用仅具有连接到目录所需的最小权限的服务账户。以下过程演示如何创建名为的新组`Connectors`,委派连接到该组所需的必要权限,然后 Directory Service 向该组添加新的服务帐户。
必须在已加入到目录且已安装 **Active Directory User and Computers** MMC 管理单元的计算机上执行此过程。您还必须以域管理员身份登录。
**向您的服务账户委派权限**
1. 打开 **Active Directory User and Computers** 并在导航树中选择您的域根。
1. 在左侧窗格的列表中,右键单击 **Users**,选择 **New**,然后选择 **Group**。
1. 在 **New Object - Group** 对话框中,输入以下内容,然后单击 **OK**。
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/ad_connector_getting_started.html)
1. 在 **Active Directory 用户和计算机**导航树中,选择确定将在其中创建计算机账户的组织单位(OU)。在菜单中,选择 **Action**,然后选择 **Delegate Control**。当权限传播到子域时,您可以选择该域的父 OU。 OUs如果您的 AD Connector 已连接到 AWS 托管 Microsoft AD,则您将无法访问域根级别的委托控制。在这种情况下,要委托控制权,请在您的目录 OU 下选择将在其中创建计算机对象的 OU。
1. 在 **Delegation of Control Wizard** 页面上,单击 **Next**,然后单击 **Add**。
1. 在 **Select Users, Computers, or Groups** 对话框中,输入 `Connectors`,然后单击 **OK**。如果找到多个对象,请选择上面创建的 `Connectors` 组。单击**下一步**。
1. 在 **Tasks to Delegate** 页面上,选择 **Create a custom task to delegate**,然后选择 **Next**。
1. 选择 **Only the following objects in the folder**,然后选择 **Computer objects** 和 **User objects**。
1. 选择 **Create selected objects in this folder**,然后选择 **Delete selected objects in this folder**。然后选择**下一步**。
![\[委派控制向导:仅选择文件夹中的以下对象、用户对象、在此文件夹中创建选定对象以及删除此文件夹中的选定对象选项。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/aduc_delegate_join_linux.png)
1. 选择 **Read**,然后选择 **Next**。
**注意**
如果您要使用无缝域加入或 WorkSpaces,则还必须启用**写入**权限,这样 Active Directory 才能创建计算机对象。
![\[委派控制向导:在“显示这些权限”下,选择“常规”、“特定于属性”和“读取”。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/aduc_delegate_join_permissions.png)
1. 在 **Completing the Delegation of Control Wizard** 页面上验证信息,然后单击 **Finish**。
1. 使用强密码创建一个用户账户,并将该用户添加到 `Connectors` 组。此用户将被称为您的 AD Connector 服务帐户,由于它现在是该`Connectors`组的成员,因此现在它具有足够的权限 Directory Service 来连接到该目录。
### 测试 AD Connector
为了让 AD Connector 连接到您的现有目录,您现有网络的防火墙必须为 VPC 中的两个子网开放某些端口。 CIDRs 要测试是否满足这些条件,请执行以下步骤:
**测试 连接**
1. 在 VPC 中启动一个 Windows 实例并通过 RDP 连接它。实例必须是您现有域的成员。在该 VPC 实例上执行剩余步骤。
1. 下载并解压缩[DirectoryServicePortTest](samples/DirectoryServicePortTest.zip)测试应用程序。其中包含源代码及 Visual Studio 项目文件,您可以根据需要修改该测试应用程序。
**注意**
Windows Server 2003 及更低版本的操作系统不支持此脚本。
1. 在 Windows 命令提示符下,使用以下选项运行 **DirectoryServicePortTest** 测试应用程序:
**注意**
只有将域和林功能级别设置为 Windows Server 2012 R2 及更低版本时,才能使用 DirectoryServicePortTest 测试应用程序。
```
DirectoryServicePortTest.exe -d -ip -tcp "53,88,389" -udp "53,88,389"
```
**
完全限定域名。这可用于测试林和域功能级别。如果不指定域名,则不测试功能级别。
**
现有域中域控制器的 IP 地址。将针对该 IP 地址来测试端口。如果不指定 IP 地址,则不测试端口。
此测试应用程序确定是否打开了从 VPC 到域的必要端口,并验证最低的林和域功能级别。
该输出值将类似于以下内容:
```
Testing forest functional level.
Forest Functional Level = Windows2008R2Forest : PASSED
Testing domain functional level.
Domain Functional Level = Windows2008R2Domain : PASSED
Testing required TCP ports to :
Checking TCP port 53: PASSED
Checking TCP port 88: PASSED
Checking TCP port 389: PASSED
Testing required UDP ports to :
Checking UDP port 53: PASSED
Checking UDP port 88: PASSED
Checking UDP port 389: PASSED
```
以下是 **DirectoryServicePortTest** 应用程序的源代码。
```
using System;
using System.Collections.Generic;
using System.IO;
using System.Linq;
using System.Net;
using System.Net.Sockets;
using System.Text;
using System.Threading.Tasks;
using System.DirectoryServices.ActiveDirectory;
using System.Threading;
using System.DirectoryServices.AccountManagement;
using System.DirectoryServices;
using System.Security.Authentication;
using System.Security.AccessControl;
using System.Security.Principal;
namespace DirectoryServicePortTest
{
class Program
{
private static List _tcpPorts;
private static List _udpPorts;
private static string _domain = "";
private static IPAddress _ipAddr = null;
static void Main(string[] args)
{
if (ParseArgs(args))
{
try
{
if (_domain.Length > 0)
{
try
{
TestForestFunctionalLevel();
TestDomainFunctionalLevel();
}
catch (ActiveDirectoryObjectNotFoundException)
{
Console.WriteLine("The domain {0} could not be found.\n", _domain);
}
}
if (null != _ipAddr)
{
if (_tcpPorts.Count > 0)
{
TestTcpPorts(_tcpPorts);
}
if (_udpPorts.Count > 0)
{
TestUdpPorts(_udpPorts);
}
}
}
catch (AuthenticationException ex)
{
Console.WriteLine(ex.Message);
}
}
else
{
PrintUsage();
}
Console.Write("Press to continue.");
Console.ReadLine();
}
static void PrintUsage()
{
string currentApp = Path.GetFileName(System.Reflection.Assembly.GetExecutingAssembly().Location);
Console.WriteLine("Usage: {0} \n-d \n-ip \"\" \n[-tcp \",,etc\"] \n[-udp \",,etc\"]", currentApp);
}
static bool ParseArgs(string[] args)
{
bool fReturn = false;
string ipAddress = "";
try
{
_tcpPorts = new List();
_udpPorts = new List();
for (int i = 0; i < args.Length; i++)
{
string arg = args[i];
if ("-tcp" == arg | "/tcp" == arg)
{
i++;
string portList = args[i];
_tcpPorts = ParsePortList(portList);
}
if ("-udp" == arg | "/udp" == arg)
{
i++;
string portList = args[i];
_udpPorts = ParsePortList(portList);
}
if ("-d" == arg | "/d" == arg)
{
i++;
_domain = args[i];
}
if ("-ip" == arg | "/ip" == arg)
{
i++;
ipAddress = args[i];
}
}
}
catch (ArgumentOutOfRangeException)
{
return false;
}
if (_domain.Length > 0 || ipAddress.Length > 0)
{
fReturn = true;
}
if (ipAddress.Length > 0)
{
_ipAddr = IPAddress.Parse(ipAddress);
}
return fReturn;
}
static List ParsePortList(string portList)
{
List ports = new List();
char[] separators = {',', ';', ':'};
string[] portStrings = portList.Split(separators);
foreach (string portString in portStrings)
{
try
{
ports.Add(Convert.ToInt32(portString));
}
catch (FormatException)
{
}
}
return ports;
}
static void TestForestFunctionalLevel()
{
Console.WriteLine("Testing forest functional level.");
DirectoryContext dirContext = new DirectoryContext(DirectoryContextType.Forest, _domain, null, null);
Forest forestContext = Forest.GetForest(dirContext);
Console.Write("Forest Functional Level = {0} : ", forestContext.ForestMode);
if (forestContext.ForestMode >= ForestMode.Windows2003Forest)
{
Console.WriteLine("PASSED");
}
else
{
Console.WriteLine("FAILED");
}
Console.WriteLine();
}
static void TestDomainFunctionalLevel()
{
Console.WriteLine("Testing domain functional level.");
DirectoryContext dirContext = new DirectoryContext(DirectoryContextType.Domain, _domain, null, null);
Domain domainObject = Domain.GetDomain(dirContext);
Console.Write("Domain Functional Level = {0} : ", domainObject.DomainMode);
if (domainObject.DomainMode >= DomainMode.Windows2003Domain)
{
Console.WriteLine("PASSED");
}
else
{
Console.WriteLine("FAILED");
}
Console.WriteLine();
}
static List TestTcpPorts(List portList)
{
Console.WriteLine("Testing TCP ports to {0}:", _ipAddr.ToString());
List failedPorts = new List();
foreach (int port in portList)
{
Console.Write("Checking TCP port {0}: ", port);
TcpClient tcpClient = new TcpClient();
try
{
tcpClient.Connect(_ipAddr, port);
tcpClient.Close();
Console.WriteLine("PASSED");
}
catch (SocketException)
{
failedPorts.Add(port);
Console.WriteLine("FAILED");
}
}
Console.WriteLine();
return failedPorts;
}
static List TestUdpPorts(List portList)
{
Console.WriteLine("Testing UDP ports to {0}:", _ipAddr.ToString());
List failedPorts = new List();
foreach (int port in portList)
{
Console.Write("Checking UDP port {0}: ", port);
UdpClient udpClient = new UdpClient();
try
{
udpClient.Connect(_ipAddr, port);
udpClient.Close();
Console.WriteLine("PASSED");
}
catch (SocketException)
{
failedPorts.Add(port);
Console.WriteLine("FAILED");
}
}
Console.WriteLine();
return failedPorts;
}
}
}
```
## 创建 AD Connector
要使用 AD Connector 连接到现有目录,请执行以下步骤。在开始此过程之前,请确保您已满足了[AD Connector 先决条件](#prereq_connector)中确定的先决条件。
**注意**
您无法使用 Cloud Formation 模板创建 AD Connector。
**使用 AD Connector 连接**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**,然后选择**设置目录**。
1. 在**选择目录类型**页面上,选择 **AD Connector**,然后选择**下一步**。
1. 在 **Enter AD Connector information (输入 AD Connector 信息)** 页面上,提供以下信息:
**目录大小**
从**小型**或**大型**大小选项中进行选择。有关大小的更多信息,请参阅[AD Connector](directory_ad_connector.md)。
**目录描述**
目录的可选描述。
1. 在 **Choose VPC and subnets (选择 VPC 和子网)** 页面上,提供以下信息,然后选择 **Next (下一步)**。
**VPC**
目录的 VPC。
**子网**
为域控制器选择子网。两个子网必须位于不同的可用区。
1. 在 **Connect to AD (连接到 AD)** 页面上,提供以下信息:
**目录 DNS 名称**
现有目录的完全限定名称,例如 `corp.example.com`。
**目录 NetBIOS 名称**
现有目录的短名称,例如 `CORP`。
**DNS IP 地址**
现有目录中至少一个 DNS 服务器的 IP 地址。这些服务器必须可从步骤 4 中指定的每个子网访问。只要指定的子网和 DNS 服务器 IP 地址之间存在网络连接,这些服务器就可以位于外部。 AWS
**服务账户用户名**
现有目录中用户的用户名称。有关该账户的更多信息,请参阅[AD Connector 先决条件](#prereq_connector)。
**服务账户密码**
现有用户账户的密码。此密码区分大小写,且长度必须介于 8 到 128 个字符之间。至少,它还必须包含下列四种类别中三种类别的一个字符:
+ 小写字母 (a-z)
+ 大写字母 (A-Z)
+ 数字 (0-9)
+ 非字母数字字符 (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
**确认密码**
重新键入现有用户账户的密码。
1. 在 **Review & create (检查并创建)** 页面上,检查目录信息并进行任何必要的更改。如果信息正确,请选择 **Create directory (创建目录)**。目录创建需要几分钟时间。创建后,**Status** 值将更改为 **Active**。
有关随 AD Connector 创建的内容的更多信息,请参阅[与 AD Connector 一起创建的内容](create_details_ad_connector.md)。
# 与 AD Connector 一起创建的内容
创建 AD 连接器时, Directory Service 会自动创建弹性网络接口 (ENI) 并将其与每个 AD 连接器实例关联。它们中的每一个都对您 ENIs 的 VPC 和 Directory Service AD Connector 之间的连接至关重要,切勿将其删除。您可以 Directory Service 通过描述来标识所有保留供使用的网络接口:“为*目录目录 ID AWS * 创建的网络接口”。有关更多信息,请参阅《Amazon EC2 用户指南》中的[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)。
**注意**
默认情况下,AD Connector 实例部署在一个区域的两个可用区中,并连接到您的 Amazon Virtual Private Cloud(VPC)。失败的 AD Connector 实例将在同一可用区中使用相同的 IP 地址自动替换。
当您登录任何与 AD Connector(AWS IAM Identity Center 包括在内)集成的 AWS 应用程序或服务时,应用程序或服务会将您的身份验证请求转发给 AD Connector,AD Connector 随后会将请求转发到您自行管理的 Active Directory 中的域控制器进行身份验证。如果您成功通过自托管式 Active Directory 的身份验证,AD Connector 则会向应用或服务返回身份验证令牌(类似于 Kerberos 令牌)。此时,您现在可以访问该 AWS 应用程序或服务。
# AD Connector 最佳实践
为避免问题并充分利用 AD Connector,您应该考虑以下建议和准则。
## 设置:先决条件
创建目录之前请考虑以下这些准则。
### 验证目录类型是否正确
Directory Service 提供了多种与其他 AWS 服务Microsoft Active Directory一起使用的方式。您可以根据预算成本选择具有适当功能的目录服务以满足您的需求:
+ **AWS 微软目录服务 Active Directory** 是一款托管在云端的功能丰富的Microsoft Active Directory托管服务。 AWS AWS 如果您拥有超过 5,000 个用户,并且需要在托管目录和本地目录之间建立信任关系,那么 AWS 托管 Microsoft AD 是您的最佳选择。
+ **AD Con** nector 只需将您现有的本地活动目录连接到 AWS。当您想要将现有本地目录与 AWS 服务一起使用时,AD Connector 是您的最佳选择。
+ **Simple AD** 是一种小规模、低成本的目录,具有基础的 Active Directory 兼容性。其支持 5000 个或更少的用户、兼容 Samba 4 的应用程序,并支持 LDAP 感知型应用程序的 LDAP 兼容性。
有关 Directory Service 选项的更详细比较,请参阅[选择哪一个](what_is.md#choosing_an_option)。
### 确保您的 VPCs 和实例配置正确
为了连接、管理和使用您的目录,必须正确配置与 VPCs 这些目录关联的。有关 VPC 安全和网络要求的信息,请参阅 [创建 AWS 托管 Microsoft AD 的先决条件](ms_ad_getting_started.md#ms_ad_getting_started_prereqs)、[AD Connector 先决条件](ad_connector_getting_started.md#prereq_connector) 或 [Simple AD 先决条件](simple_ad_getting_started.md#prereq_simple)。
如果要将实例添加到域,请确保您具有实例连接并且可以远程访问实例,如[将 Amazon EC2 实例加入您的 AWS 托管微软 AD 的方法](ms_ad_join_instance.md) 中所述。
### 注意限制
了解特定目录类型的各种限制。对象的可用存储空间和总大小是可以存储在目录中的对象数量的唯一限制。有关所选目录的详细信息,请参阅 [AWS 托管微软 AD 配额](ms_ad_limits.md)、[AD Connector 配额](ad_connector_limits.md) 或 [Simple AD 限额](simple_ad_limits.md)。
### 了解目录 AWS 的安全组配置并使用
AWS 创建[安全组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule)并将其附加到目录的[弹性网络接口,这些接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)可从您的对等网络内部进行访问或调整大小[VPCs](https://aws.amazon.com/vpc/)。 AWS 将安全组配置为阻止不必要的目录流量并允许必要的流量。
#### 修改目录安全组
如果要修改安全组目录的安全性,可以这样做。只有在您完全了解安全组的筛选如何工作时,才进行这样的更改。有关更多信息,请参阅《Amazon EC2 用户指南》**中的[适用于 Linux 实例的 Amazon EC2 安全组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)。不当的更改可能会导致与目标计算机和实例的通信中断。 AWS 建议您不要尝试打开目录的其他端口,因为这会降低目录的安全性。请仔细查看 [AWS 责任共担模型](https://aws.amazon.com/compliance/shared-responsibility-model/)。
**警告**
从技术上来说,您可以将目录的安全组与您创建的其他 EC2 实例关联。但是, AWS 建议不要这样做。 AWS 可能有理由在不另行通知的情况下修改安全组,以满足托管目录的功能或安全需求。此类更改会影响您将目录安全组关联到的任何实例,并可能中断关联实例的操作。此外,将目录安全组与您的 EC2 实例关联可能为 EC2 实例带来潜在的安全风险。
### 使用 AD Connector 时正确配置本地站点和子网
如果您的本地网络中已定义 Active Directory 站点,您必须确保在 Active Directory 站点中您 AD Connector 所在的 VPC 内定义了子网,并且 VPC 中的子网与您其他站点中的子网之间不存在冲突。
为发现域控制器,AD Connector 将使用子网 IP 地址范围与包含 AD Connector 的 VPC 中的子网 IP 地址范围接近的 Active Directory 站点。如果您的一个站点具有 IP 地址范围与您 VPC 中的 IP 地址范围相同的子网,则 AD Connector 将发现该站点中的域控制器,但该站点的实际地点不一定靠近您的区域。
### 了解 AWS 应用程序的用户名限制
Directory Service 支持大多数可用于构造用户名的字符格式。但是,对于用于登录 AWS 应用程序(例如、、Amazon WorkMail 或 Quick)的用户名有一些字符限制。 WorkSpaces WorkDocs这些限制要求不使用以下字符:
+ 空间
+ 多字节字符
+ \$1"\$1\$1%&'()\$1\$1,/:;<=>?@[\$1]^`\$1\$1\$1\$1
**注意**
仅允许在 UPN 后缀之前使用 @ 符号。
## 为您的应用程序编程
在为您的应用程序编程之前,请考虑以下事项:
### 交付生产之前的负载测试
请务必对代表您的生产工作负载的应用程序和请求执行实验室测试,以确认目录将扩展至您的应用程序负载。如果您需要更多容量,请将您的负载分布在多个 AD Connector 目录中。
## 使用目录
下面是使用目录时应记住的一些建议。
### 定期交替管理员凭证
定期更改您的 AD Connector 服务账户管理员密码,并确保密码与您现有的 Active Directory 密码策略一致。有关如何更改服务账户密码的说明,请参阅 [在中更新您的 AD Connector 服务账号凭证 AWS 管理控制台](ad_connector_update_creds.md)。
### 对每个域使用唯一的 AD Connector
AD Connector 和本地 AD 域具有 1 对 1 关系。也就是说,对于每个本地域,包括 AD 林中您要针对其进行身份验证的子域,您必须创建唯一的 AD Connector。您创建的每个 AD Connector 都必须使用不同的服务账户,即使将其连接到同一目录时也是如此。
### 兼容性检查
使用 AD Connector 时,必须确保您的本地目录与兼容 Directory Service。有关您的责任的更多信息,请参阅我们的[责任共担模型](https://aws.amazon.com/compliance/shared-responsibility-model)。
# 维护您的 AD Connector 目录
您可以使用 AWS 管理控制台 来维护 AD Connector 并完成 day-to-day管理任务。维护目录的方法包括:
+ [查看有关您的 AD Connector 的详细信息](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_view_directory_info.html)。
+ [更新您的 AD Connector 指向的 DNS 地址](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_update_dns.html)。
+ 当不再需要时,[删除您的 AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_delete.html)。
# 查看 AD Connector 目录信息
**查看详细目录信息**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格的 **Active Directory** 下,选择**目录**。
1. 选择目录的目录 ID 链接。有关目录的信息显示在**目录详细信息**页面中。
有关 **Status** 字段的更多信息,请参阅[了解目录状态](ad_connector_directory_status.md)。
# 更新目录网络类型
您可以将 Directory Service 目录的网络类型从更新 IPv4 为双栈(IPv4 和 IPv6)。更新网络类型以包含 IPv6 IP 地址所提供的地址空间大于 IPv4。 IPv4 而且 IPv6 沟通是相互独立的。
有关详细信息,请参阅[比较 IPv4 和 IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/ipv4-ipv6-comparison.html) *Amazon Virtual Private Cloud 用户指南*。
**重要**
这是单向操作,无法撤消。请先在非生产环境中测试。
## 先决条件
在更新目录网络类型之前,确保满足以下要求:
+ 您的 VPC 必须配置 IPv6 CIDR 范围。有关详细信息,请参阅《*Amazon Virtual Private Cloud 用户指南》*[中对您的 VPC 的IPv6 支持](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html)。
+ 拥有对 AWS 管理控制台的管理权限。
+ 目录必须处于活动状态。
+ 您拥有相应的 IAM 权限来修改 Directory Service 设置。
## 更新目录网络类型
**将目录更新为双栈网络**
**注意**
如果目录复制至多个区域,请在每个区域执行此更新。
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 选择目标目录。
1. 转到**网络和安全**选项卡。
1. 选择 “**添加 IPv6 支持**”。此选项仅适用于仅限目录 IPv4的目录。
1. 查看更新信息和定价详细信息。
1. 选择**添加**以确认更新。
启动更新后,目录状态在更新过程中变为**正在更新**。更新通常需要 15-30 分钟才能完成。完成后,目录状态将恢复为**活动**。
# 为 AD Connector 更新 DNS 地址
按照以下步骤更新 AD Connector 所指向的 DNS 地址。
**注意**
如果正在进行更新,则必须等待更新完成才能提交另一个更新。
如果您 WorkSpaces 使用的是 AD Connector,请确保您 WorkSpace 的 DNS 地址也已更新。有关更多信息,请参阅[更新 DNS 服务器 WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/update-dns-server.html)。
**为 AD Connector 更新 DNS 设置**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格的 **Active Directory** 下,选择**目录**。
1. 选择目录的目录 ID 链接。
1. 在**目录详细信息**页面上,选择**网络与安全性**选项卡。
1. 向下滚动到**现有 DNS 设置**部分,然后选择**更新**。
1. 在 **Update existing DNS addresses (更新现有 DNS 地址)** 对话框中,键入更新后的 DNS IP 地址,然后选择 **Update (更新)**。
有关 AD Connector 故障排除的更多信息,请参阅 [AD Connector 故障排除](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_troubleshooting.html)。
# 删除 AD Connector
删除 AD Connector 时,本地目录保持不变。加入到目录的所有实例也保持不变,并保持加入本地目录。仍可以使用目录凭证登录这些实例。
**删除 AD Connector**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。确保您位于部署 AD Connector AWS 区域 的地方。有关更多信息,请参阅[选择区域](https://docs.aws.amazon.com//awsconsolehelpdocs/latest/gsg/select-region.html)。
1. 确保没有为要删除的 AD Connector 启用任何 AWS 应用程序。启用的 AWS 应用程序将阻止您删除 AD Connector。
1. 在**目录**页面上,选择您的目录 ID。
1. 在 **Directory details (目录详细信息)** 页面上,选择 **Application management (应用程序管理)** 选项卡。在**AWS 应用程序和服务**部分,您可以看到哪些 AWS 应用程序已为您的 AD Connector 启用。
+ 禁用 AWS 管理控制台 访问权限。有关更多信息,请参阅 [禁用 AWS 管理控制台 访问权限](ms_ad_management_console_access.md#console_disable)。
+ 要禁用 Amazon WorkSpaces,您必须从 WorkSpaces 控制台的目录中取消注册该服务。有关更多信息,请参阅《*Amazon WorkSpaces 管理指南*》中的[删除目录](https://docs.aws.amazon.com/workspaces/latest/adminguide/delete-workspaces-directory.html)。
+ 要禁用 WorkDocs,您必须在 WorkDocs控制台中删除该 WorkDocs 站点。有关更多信息,请参阅《*Amazon WorkDocs 管理指南*》中的[删除网站](https://docs.aws.amazon.com/workdocs/latest/adminguide/delete_site.html)。
+ 要禁用亚马逊 WorkMail,您必须在亚马逊 WorkMail 控制台中删除亚马逊 WorkMail 组织。有关更多信息,请参阅《*Amazon WorkMail 管理员指南*》中的[移除组织](https://docs.aws.amazon.com/workmail/latest/adminguide/remove_organization.html)。
+ 要禁 FSx 用 Windows 版亚马逊 File Server,您必须从域中删除亚马逊 FSx 文件系统。有关更多信息,请参阅《*亚马逊 FSx 版 Windows 文件服务器用户指南》[中的 “使用 FSx 适用于 Windows 文件服务器的 Activ](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/aws-ad-integration-fsxW.html) e D* irectory”。
+ 要禁用 Amazon Relational Database Service,必须从域中移除 Amazon RDS 实例。有关更多信息,请参阅《Amazon RDS 用户指南》**中的[在域中管理数据库实例](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_SQLServerWinAuth.html#USER_SQLServerWinAuth.Managing)。
+ 要禁用 AWS Client VPN 服务,必须从 Client VPN 端点中删除目录服务。有关更多信息,请参阅《AWS Client VPN 管理员指南》**中的[使用客户端 VPN](https://docs.aws.amazon.com//vpn/latest/clientvpn-admin/cvpn-working.html)。
+ 要禁用 Amazon Connect,必须删除 Amazon Connect 实例。有关更多信息,请参阅《Amazon Connect 管理指南》**中的[删除 Amazon Connect 实例](https://docs.aws.amazon.com/connect/latest/adminguide/delete-connect-instance.html)。
+ 要禁用 Amazon Quick,您必须取消订阅 Amazon Quick。有关更多信息,请参阅《*Amazon 快速用户指南*》中的[关闭 Amazon Quick 账户](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html)。
**注意**
如果您正在使用 AWS IAM Identity Center 并且之前已将其连接到计划删除的 AWS 托管 Microsoft AD 目录,则必须先更改身份源,然后才能将其删除。有关更多信息,请参阅《IAM Identity Center User Guide》**中的 [Change your identity source](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-change.html)。
1. 在导航窗格中,选择**目录**。
1. 仅选择要删除的 AD Connector,然后单击**删除**。删除 AD Connector 需要几分钟时间。AD Connector 删除之后,其会从目录列表中删除。
# 保护您的 AD Connector 目录
您可以使用多因素身份验证 (MFA)、基于安全套接字层的客户端轻量级目录访问协议 (SSL) /传输层安全 (TLS) (LDAPS) 等功能以及保护 AD Connector 的 AWS 私有证书颁发机构 安全。保护 AD Connector 的方法包括:
+ 启用 MFA 以提高 AD Connector 的安全性。
+ 启用通过安全套接字层(SSL)/传输层安全性协议(TLS)的客户端轻型目录访问协议(LDAPS),以便对 LDAP 通信进行加密,提高安全性。
+ 使用智能卡启用基于证书的相互传输层安全性协议(mTLS)身份验证,从而允许用户通过 Active Directory 和 AD Connector 进行身份验证以登录 Amazon Web Services。
+ 更新 AD Connector 服务账户凭证。
+ 设置 AWS 私有 CA 适用于 AD 的 Connector,这样您就可以为自己的 AD 连接器颁发和管理证书。
**Topics**
+ [为 AD Connector 启用多重身份验证](ad_connector_mfa.md)
+ [使用 AD Connector 启用客户端 LDAPS](ad_connector_ldap_client_side.md)
+ [在 AD Connector 中启用 mTLS 身份验证以便与智能卡配合使用](ad_connector_clientauth.md)
+ [在中更新您的 AD Connector 服务账号凭证 AWS 管理控制台](ad_connector_update_creds.md)
+ [为 AD 设置 AWS 私有 CA 连接器](ad_connector_pca_connector.md)
# 为 AD Connector 启用多重身份验证
当您在本地或 Amazon EC2 实例中运行 Active Directory 时,可以为 AD Connector 启用多重身份验证。有关使用多重身份验证的更多信息 Directory Service,请参阅[AD Connector 先决条件](ad_connector_getting_started.md#prereq_connector)。
**注意**
多重身份验证对 Simple AD 不可用。但是,可以为你的托管 M AWS icrosoft AD 目录启用 MFA。有关更多信息,请参阅 [为 AWS 托管的 Microsoft AD 启用多因素身份验证](ms_ad_mfa.md)。
**为 AD Connector 启用多重身份验证**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 选择您 AD Connector 目录的目录 ID 链接。
1. 在**目录详细信息**页面上,选择 **Networking & security (联网和安全性)** 选项卡。
1. 在**多重验证**部分中,选择**操作**,然后选择**启用**。
1. 在**启用多重身份验证(MFA)**页面上,提供以下值:
**显示标签**
提供标签名称。
**RADIUS 服务器 DNS 名称或 IP 地址**
您的 RADIUS 服务器终端节点的 IP 地址或者您的 RADIUS 服务器负载均衡器的 IP 地址。可以输入多个 IP 地址,用逗号分隔开(例如 `192.0.0.0,192.0.0.12`)。
RADIUS MFA 仅适用于对亚马逊企业应用程序和服务(例如 Amazon Quick 或 Ama WorkSpaces zon Chime)的访问权限进行身份验证。 AWS 管理控制台它不为在 EC2 实例上运行的 Windows 工作负载提供 MFA,也不会为登录 EC2 实例提供 MFA。 Directory Service 不支持 RADIUS Challenge/Response 身份验证。
用户在输入其用户名和密码时必须拥有 MFA 代码。或者,您必须使用执行 MFA 的解决方案, out-of-band例如对用户进行 SMS 文本验证。在 out-of-band MFA 解决方案中,必须确保为您的解决方案正确设置 RADIUS 超时值。使用 out-of-band MFA 解决方案时,登录页面将提示用户输入 MFA 代码。在这种情况下,最佳做法是让用户在密码字段和 MFA 字段中均输入密码。
**端口**:
RADIUS 服务器用来通信的端口。您的本地网络必须允许服务器通过默认 RADIUS 服务器端口 (UDP: 1812) 的入站流量。 Directory Service
**Shared secret code**
在创建 RADIUS 终端节点时指定的共享密码。
**Confirm shared secret code (确认共享密码)**
确认您的 RADIUS 终端节点的共享密码。
**协议**
选择在创建 RADIUS 终端节点时指定的协议。
**服务器超时(以秒为单位)**
等待 RADIUS 服务器响应的时间长度 (以秒为单位)。此值必须介于 1 和 50 之间。
**RADIUS 请求最大重试次数**
将尝试与 RADIUS 服务器通信的次数。此值必须介于 0 和 10 之间。
当 **RADIUS Status** 更改为 **Enabled** 时,多重验证将可用。
1. 请选择**启用**。
# 使用 AD Connector 启用客户端 LDAPS
AD Connector 中的客户端 LDAPS 支持可加密Microsoft活动目录 (AD) 和应用程序之间的通信。 AWS 此类应用程序的示例包括 WorkSpaces、 AWS IAM Identity Center、Quick 和 Amazon Chime。此加密可帮助您更好地保护您组织的身份数据并满足您的安全要求。
您也可以取消注册并禁用客户端 LDAPS。
**Topics**
+ [先决条件](#prereqs-ldap-client-side)
+ [启用客户端 LDAPS](#enable-ldap-client-side)
+ [管理客户端 LDAPS](manage-ldap-client-side.md)
## 先决条件
启用客户端 LDAPS 之前,您需要满足以下要求。
**Topics**
+ [在 Active Directory 中部署服务器证书](#deploy_server_certs_ldap_client_side)
+ [CA 证书要求](#cert_requirements_ldap_client_side)
+ [联网要求](#networking_requirements_ldap_client_side)
### 在 Active Directory 中部署服务器证书
要启用客户端 LDAPS,您需要为 Active Directory 中的每个域控制器获取并安装服务器证书。LDAP 服务将使用这些证书来侦听并自动接受来自 LDAP 客户端的 SSL 连接。您可以使用由内部 Active Directory Certificate Services (ADCS) 部署颁发的或从商业颁发机构处购买的 SSL 证书。有关 Active Directory 服务器证书要求的更多信息,请参阅 Microsoft 网站上的 [LDAP over SSL (LDAPS) 证书](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx)。
### CA 证书要求
客户端 LDAPS 操作需要证书颁发机构 (CA) 证书,它表示服务器证书的颁发者。CA 证书将与由 Active Directory 域控制器提供的服务器证书匹配来加密 LDAP 通信。请注意以下 CA 证书要求:
+ 要注册一个证书,该证书必须在 90 天以后才到期。
+ 证书必须采用隐私增强邮件 (PEM) 格式。如果要从 Active Directory 内部导出 CA 证书,请选择 base64 编码的 X.509 (.CER) 作为导出文件格式。
+ 每个 AD Connector 目录最多可存储五(5)个 CA 证书。
+ 使用 RSSAS-PSS 签名算法的证书不受支持。
### 联网要求
AWS 应用程序 LDAP 流量将仅在 TCP 端口 636 上运行,不会回退到 LDAP 端口 389。但是,支持复制、信任等的 Windows LDAP 通信将继续使用带有 Windows 本机安全性的 LDAP 端口 389。配置 AWS 安全组和网络防火墙,以允许 AD Connector(出站)和 Active Directory(入站)中的端口 636 上进行 TCP 通信。
## 启用客户端 LDAPS
要启用客户端 LDAPS,您需要将证书颁发机构(CA)证书导入 AD Connector,然后在您的目录上启用 LDAPS。启用后, AWS 应用程序和您自行管理的 Active Directory 之间的所有 LDAP 流量都将通过安全套接字层 (SSL) 通道加密进行流动。
您可以使用两种不同的方法为您的目录启用客户端 LDAPS。您可以使用 AWS 管理控制台 方法或 AWS CLI 方法。
### 在中注册证书 Directory Service
使用以下任一方法在中注册证书 Directory Service。
**方法 1:在 Directory Service (AWS 管理控制台) 中注册您的证书**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 选择目录的目录 ID 链接。
1. 在 **Directory details (目录详细信息)** 页面上,选择 **Networking & security (网络和安全性)** 选项卡。
1. 在 **Client-side LDAPS (客户端 LDAPS)** 部分中,选择 **Actions (操作)** 菜单,然后选择 **Register certificate (注册证书)**。
1. 在 **Register a CA certificate (注册 CA 证书)** 对话框中,选择 **Browse (浏览)**,然后选择证书并选择 **Open (打开)**。
1. 选择 **Register certificate (注册证书)**。
**方法 2:在 Directory Service (AWS CLI) 中注册您的证书**
+ 运行如下命令。对于证书数据,请指向 CA 证书文件的位置。响应中将会提供证书 ID。
```
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
```
### 检查注册状态
要查看证书注册的状态或已注册证书的列表,请使用以下任一方法。
**方法 1:在 Directory Service (AWS 管理控制台) 中检查证书注册状态**
1. 转到**目录详细信息**页面上的**客户端 LDAPS** 部分。
1. 查看 **Registration status (注册状态)** 列下显示的当前证书注册状态。当注册状态值更改为 **Registered (已注册)** 时,您的证书已成功注册。
**方法 2:在 Directory Service (AWS CLI) 中检查证书注册状态**
+ 运行如下命令。如果状态值返回 `Registered`,则表示您的证书已成功注册。
```
aws ds list-certificates --directory-id your_directory_id
```
### 启用客户端 LDAPS
使用以下任一方法在中启用客户端 LDAPS。 Directory Service
**注意**
您必须已成功注册至少一个证书,然后才能启用客户端 LDAPS。
**方法 1:在 () 中 Directory Service 启用客户端 LDAPS AWS 管理控制台**
1. 转到**目录详细信息**页面上的**客户端 LDAPS** 部分。
1. 请选择**启用**。如果此选项不可用,请验证有效证书是否已成功注册,然后重试。
1. 在 **Enable client-side LDAPS (启用客户端 LDAPS)** 对话框中,选择 **Enable (启用)**。
**方法 2:在 () 中 Directory Service 启用客户端 LDAPS AWS CLI**
+ 运行如下命令。
```
aws ds enable-ldaps --directory-id your_directory_id --type Client
```
### 检查 LDAPS 状态
使用以下任一方法在中检查 LDAPS 状态。 Directory Service
**方法 1:在 Directory Service ()AWS 管理控制台中检查 LDAPS 状态**
1. 转到**目录详细信息**页面上的**客户端 LDAPS** 部分。
1. 如果状态值显示为 **Enabled (启用)**,则 LDAPS 已成功配置。
**方法 2:在 Directory Service ()AWS CLI中检查 LDAPS 状态**
+ 运行如下命令。如果状态值返回 `Enabled`,则 LDAPS 已成功配置。
```
aws ds describe-ldaps-settings –directory-id your_directory_id
```
有关查看客户端 LDAPS 证书、取消注册或禁用 LDAPS 证书的更多信息,请参阅[管理客户端 LDAPS](manage-ldap-client-side.md)。
# 管理客户端 LDAPS
使用这些命令可管理 LDAPS 配置。
您可以使用两种不同的方法来管理客户端 LDAPS 设置。您可以使用 AWS 管理控制台 方法或 AWS CLI 方法。
## 查看证书详细信息
使用下列方法之一查看证书设置为何时过期。
**方法 1:在 Directory Service (AWS 管理控制台) 中查看证书详细信息**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 选择目录的目录 ID 链接。
1. 在 **Directory details (目录详细信息)** 页面上,选择 **Networking & security (网络和安全性)** 选项卡。
1. 在 **Client-side LDAPS (客户端 LDAPS)** 部分的 **CA certificates (CA 证书)** 下,将显示有关证书的信息。
**方法 2:在 Directory Service (AWS CLI) 中查看证书详细信息**
+ 运行如下命令。对于证书 ID,请使用由 `register-certificate` 或 `list-certificates` 返回的标识符。
```
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
## 取消注册证书
使用下列方法之一取消注册证书。
**注意**
如果只注册了一个证书,则必须先禁用 LDAPS,然后才能取消注册证书。
**方法 1:在 Directory Service ()AWS 管理控制台中注销证书**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 选择目录的目录 ID 链接。
1. 在 **Directory details (目录详细信息)** 页面上,选择 **Networking & security (网络和安全性)** 选项卡。
1. 在 **Client-side LDAPS (客户端 LDAPS)** 部分中,选择 **Actions (操作)**,然后选择 **Deregister certificate (取消注册证书)**。
1. 在 **Deregister a CA certificate (取消注册 CA 证书)** 对话框中,选择 **Deregister (取消注册)**。
**方法 2:在 Directory Service ()AWS CLI中注销证书**
+ 运行如下命令。对于证书 ID,请使用由 `register-certificate` 或 `list-certificates` 返回的标识符。
```
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
## 禁用客户端 LDAPS
使用下列方法之一禁用客户端 LDAPS。
**方法 1:在 () 中 Directory Service 禁用客户端 LDAPS AWS 管理控制台**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 选择目录的目录 ID 链接。
1. 在 **Directory details (目录详细信息)** 页面上,选择 **Networking & security (网络和安全性)** 选项卡。
1. 在 **Client-side LDAPS (客户端 LDAPS)** 部分中,选择 **Disable (禁用)**。
1. 在 **Disable client-side LDAPS (禁用客户端 LDAPS)** 对话框中,选择 **Disable (禁用)**。
**方法 2:在 () 中 Directory Service 禁用客户端 LDAPS AWS CLI**
+ 运行如下命令。
```
aws ds disable-ldaps --directory-id your_directory_id --type Client
```
# 在 AD Connector 中启用 mTLS 身份验证以便与智能卡配合使用
您可以将基于证书的相互传输层安全 (mTLS) 身份验证与智能卡一起使用, WorkSpaces 通过您自行管理的 Active Directory (AD) 和 AD Connector 对用户进行身份验证,进入亚马逊。启用后,用户将在 WorkSpaces 登录屏幕上选择自己的智能卡,然后输入 PIN 进行身份验证,而不是使用用户名和密码。Windows 或 Linux 虚拟桌面可在此使用智能卡从本机桌面操作系统进行 AD 身份验证。
**注意**
AD Connector 中的智能卡身份验证仅在以下情况下可用 AWS 区域,并且仅适用于 WorkSpaces。目前不支持其他 AWS 应用程序。
美国东部(弗吉尼亚州北部)
美国西部(俄勒冈州)
亚太地区(悉尼)
亚太地区(东京)
欧洲地区(爱尔兰)
AWS GovCloud (美国西部)
AWS GovCloud (美国东部)
您还可以取消注册和禁用证书。
**Topics**
+ [先决条件](#prereqs-clientauth)
+ [启用智能卡身份验证](#enable-clientauth)
+ [管理智能卡身份验证设置](manage-clientauth.md)
## 先决条件
要使用智能卡为 Amazon WorkSpaces 客户端启用基于证书的相互传输层安全 (mTLS) 身份验证,您需要将可操作的智能卡基础设施与您自行管理的 Active Directory 集成。有关如何使用亚马逊 WorkSpaces 和 Active Directory 设置智能卡身份验证的更多信息,请参阅《[亚马逊 WorkSpaces 管理指南》](https://docs.aws.amazon.com/workspaces/latest/adminguide/smart-cards.html)。
在为启用智能卡身份验证之前 WorkSpaces,请查看以下先决条件:
+ [CA 证书要求](#ca-cert)
+ [用户证书要求](#user-cert)
+ [证书吊销检查流程](#ocsp)
+ [注意事项](#other)
### CA 证书要求
AD Connector 需要证书颁发机构(CA)证书(代表用户证书的颁发者)用于智能卡身份验证。AD Connector 将 CA 证书与用户通过其智能卡提供的证书进行匹配。请注意以下 CA 证书要求:
+ CA 证书的有效期必须大于 90 天才能进行注册。
+ CA 证书必须采用隐私增强邮件(PEM)格式。如果要从 Active Directory 内部导出 CA 证书,请选择 Base64 编码的 X.509 (.CER) 作为导出文件格式。
+ 必须上传从颁发证书 CA 链接到用户证书的所有根证书和中间 CA 证书,智能卡身份验证才能成功。
+ 每个 AD Connector 目录最多可存储 100个 CA 证书
+ AD Connector 不支持 CA 证书的 RSASSA-PSS 签名算法。
+ 验证证书传播服务是否设置为“自动”且正在运行。
### 用户证书要求
以下是用户证书的一些要求:
+ 用户的智能卡证书具有用户的使用者备用名称 (SAN) userPrincipalName (UPN)。
+ 用户的智能卡证书使用增强型密钥用法作为智能卡登录(1.3.6.1.4.1.311.20.2.2)客户端身份验证(1.3.6.1.5.5.7.3.2)。
+ 用户智能卡证书的在线证书状态协议(OCSP)信息应为“颁发机构信息访问”中的“访问方法=在线证书状态协议(1.3.6.1.5.5.7.48.1)”。
有关 AD Connector 和智能卡身份验证要求的更多信息,请参阅《*亚马逊 WorkSpaces 管理指南》*中的[要求](https://docs.aws.amazon.com//workspaces/latest/adminguide/smart-cards.html#smart-cards-requirements)。有关解决亚马逊 WorkSpaces 问题(例如登录 WorkSpaces、重置密码或连接到)的帮助 WorkSpaces,请参阅《*亚马逊 WorkSpaces 用户指南》*中的 “[解决 WorkSpaces 客户问题](https://docs.aws.amazon.com//workspaces/latest/userguide/client_troubleshooting.html)”。
### 证书吊销检查流程
为了执行智能卡身份验证,AD Connector 必须使用在线证书状态协议(OCSP)检查用户证书的吊销状态。要执行证书吊销检查,OCSP 响应程序 URL 必须可通过互联网访问。如果使用 DNS 名称,OCSP 响应程序 URL 必须使用[互联网编号分配机构(IANA)根区域数据库](https://www.iana.org/domains/root/db)中找到的顶级域。
**注意**
2025 年 10 月 7 日之后创建的目录要求用于 SmartCard 证书验证的 OCSP 服务器可通过您的 VPC 的网络配置进行路由。如果无法通过 VPC 的路由表、安全组和网络访问您的 OCSP 服务器,则在证书吊销检查期间 ACLs, SmartCard 身份验证将失败。要解决此问题,请确保:
网络路由:您的 VPC 路由表允许流量从部署了 AD Connector 目录实例的子网到达您的 OCSP 服务器。
安全组:与您的目录的网络接口关联的安全组允许通过端口 80 (HTTP) 流向 OCSP 服务器的出站流量。
网络 ACLs:您的子网网络 ACLs 允许 OCSP 服务器的双向流量 to/from 。
Internet Gateway/NAT:如果您的 OCSP 服务器面向互联网,请确保您的 VPC 为目录子网配置了适当的互联网网关或 NAT 网关。如果您的网络类型是 IPv4,则需要在您的 VPC 中配置 NAT 和互联网网关。
AD Connector 证书吊销检查过程如下:
+ AD Connector 必须检查用户证书中的颁发机构信息访问(AIA)扩展以获取 OCSP 响应程序 URL,然后 AD Connector 使用该 URL 检查是否已吊销。
+ 如果 AD Connector 无法解析在用户证书 AIA 扩展中找到的 URL,也无法在用户证书中找到 OCSP 响应程序 URL,则 AD Connector 将使用在根 CA 证书注册期间提供的可选 OCSP URL。
如果用户证书 AIA 扩展中的 URL 已解析但没有响应,则用户身份验证失败。
+ 如果在根 CA 证书注册期间提供的 OCSP 响应程序 URL 无法解析、无响应或未提供 OCSP 响应程序 URL,则用户身份验证失败。
+ OCSP 服务器必须符合 [RFC 6960](https://datatracker.ietf.org/doc/html/rfc6960)。此外,对于总共小于或等于 255 字节的请求,OCSP 服务器必须支持使用 GET 方法的请求。
**注意**
AD Connector 需要 OCSP 响应程序 URL 的 **HTTP** URL。
### 注意事项
在 AD Connector 中启用智能卡身份验证之前,请考虑以下事项:
+ AD Connector 使用基于证书的相互传输层安全行协议身份验证(相互 TLS),通过基于硬件或软件的智能卡证书对 Active Directory 的用户进行身份验证。目前仅支持通用访问卡(CAC)和个人身份验证(PIV)卡。其他类型的基于硬件或软件的智能卡可能可以使用,但尚未经过与 WorkSpaces流媒体协议配合使用的测试。
+ 智能卡身份验证取代了用户名和密码身份验证 WorkSpaces。
如果您在 AD Connector 目录中配置了其他 AWS 应用程序并启用了智能卡身份验证,则这些应用程序仍会显示用户名和密码输入屏幕。
+ 启用智能卡身份验证会将用户会话时长限制为 Kerberos 服务票证的最大生命周期。您可以使用组策略配置此设置,默认情况下将其设置为 10 小时。有关该设置的更多信息,请参阅 [Microsoft 文档](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-lifetime-for-service-ticket)。
+ AD Connector 服务账户支持的 Kerberos 加密类型应与每个域控制器支持的 Kerberos 加密类型相匹配。
## 启用智能卡身份验证
要在 AD Connecto WorkSpaces r 上启用智能卡身份验证,首先需要将证书颁发机构 (CA) 证书导入 AD Connector。您可以使用 AWS Directory Service 控制台、[API](https://docs.aws.amazon.com/directoryservice/latest/devguide/welcome.html) 或 CLI 将您的 CA 证书导入 AD Connecto [r](https://docs.aws.amazon.com/cli/latest/reference/ds/index.html)。按照以下步骤导入您的 CA 证书,然后启用智能卡身份验证。
**Topics**
+ [为 AD Connector 服务账户启用 Kerberos 约束委派](#step1)
+ [在 AD Connector 中注册 CA 证书](#step2)
+ [为支持的 AWS 应用程序和服务启用智能卡身份验证](#step3)
### 为 AD Connector 服务账户启用 Kerberos 约束委派
要对 AD Connector 使用智能卡身份验证,必须为 AD Connector 服务账户对自行管理 AD 目录中的 LDAP 服务启用 **Kerberos 约束委托(KCD)**。
Kerberos 约束委托是 Windows Server 中的一项功能。此功能使管理员能够通过限制应用程序服务能够代表用户执行操作的范围,从而指定和实施应用程序信任边界。有关更多信息,请参阅 [Kerberos 约束委托](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_key_concepts_kerberos.html)。
**注意**
K@@ **erberos 约束委托 (KCD)** 要求 AD Connector 服务帐户的用户名部分与同一用户的AMAccount名称相匹配。s 的AMAccount名称限制在 20 个字符以内。s AMAccount 名称是 Microsoft Active Directory 的属性,用作先前版本的 Windows 客户机和服务器的登录名。
1. 使用 `SetSpn` 命令为自行管理 AD 中的 AD Connector 服务账户设置服务主体名称(SPN)。这将启用委托配置的服务账户。
SPN 可以是任何服务或名称组合,但不能与现有 SPN 重复。`-s` 检查是否存在重复项。
```
setspn -s my/spn service_account
```
1. 在 **AD 用户和计算机**中,打开“上下文”(右键单击)菜单并选择“AD Connector 服务账户”,然后选择**属性**。
1. 选择**委托**选项卡。
1. 选择**仅信任此用户以委托到指定服务**和**使用任何身份验证协议**选项。
1. 选择**添加**,然后选择**用户或计算机**以查找域控制器。
1. 选择**确定**以显示用于委托的可用服务列表。
1. 选择 **ldap** 服务类型,然后选择**确定**。
1. 再次选择**确定**以保存配置。
1. 对 Active Directory 中的其他域控制器重复此过程。或者,您可以使用自动执行该过程 PowerShell。
### 在 AD Connector 中注册 CA 证书
使用以下任一方法为您的 AD Connector 目录注册 CA 证书。
**方法 1:在 AD Connector(AWS 管理控制台)中注册您的证书**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 选择目录的目录 ID 链接。
1. 在 **Directory details (目录详细信息)** 页面上,选择 **Networking & security (网络和安全性)** 选项卡。
1. 在**智能卡身份验证**部分,选择**操作**,然后选择**注册证书**。
1. 在**注册 CA 证书**对话框中,选择**选择文件**,然后选择证书并选择**打开**。您可以选择通过提供在线证书状态协议(OCSP)响应程序 URL 来对此证书执行吊销检查。有关 OCSP 的更多信息,请参阅 [证书吊销检查流程](#ocsp)。
1. 选择 **Register certificate (注册证书)**。当您看到证书状态更改为**已注册**时,表示注册过程已成功完成。
**方法 2:在 AD Connector(AWS CLI)中注册您的证书**
+ 运行如下命令。对于证书数据,请指向 CA 证书文件的位置。要提供辅助 OCSP 响应程序地址,请使用可选的 `ClientCertAuthSettings` 对象。
```
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path --type ClientCertAuth --client-cert-auth-settings OCSPUrl=http://your_OCSP_address
```
如果成功,响应将提供证书 ID。您也可以通过运行以下 CLI 命令来验证您的 CA 证书是否注册成功:
```
aws ds list-certificates --directory-id your_directory_id
```
如果状态值返回 `Registered`,则表示您的证书已成功注册。
### 为支持的 AWS 应用程序和服务启用智能卡身份验证
使用以下任一方法为您的 AD Connector 目录注册 CA 证书。
**方法 1:在 AD Connector(AWS 管理控制台)中启用智能卡身份验证**
1. 导航到**目录详细信息**页面上的**智能卡身份验证**部分,然后选择**启用**。如果此选项不可用,请验证有效证书是否已成功注册,然后重试。
1. 在**启用智能卡身份验证**对话框中,选择**启用**。
**方法 2:在 AD Connector(AWS CLI)中启用智能卡身份验证**
+ 运行如下命令。
```
aws ds enable-client-authentication --directory-id your_directory_id --type SmartCard
```
如果成功,则 AD Connector 会返回带有空 HTTP 正文的 `HTTP 200` 响应。
有关查看证书、取消注册或禁用证书的更多信息,请参阅[管理智能卡身份验证设置](manage-clientauth.md)。
# 管理智能卡身份验证设置
您可以使用两种不同的方法来管理智能卡设置。您可以使用 AWS 管理控制台 方法或 AWS CLI 方法。
**Topics**
+ [查看证书详细信息](#describe-a-certificate-clientauth)
+ [取消注册证书](#dergister-a-certificate-clientauth)
+ [禁用智能卡身份验证](#disable-smart-card-clientauth)
## 查看证书详细信息
使用下列方法之一查看证书设置为何时过期。
**方法 1:在 Directory Service (AWS 管理控制台) 中查看证书详细信息**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 选择您 AD Connector 目录的目录 ID 链接。
1. 在 **Directory details (目录详细信息)** 页面上,选择 **Networking & security (网络和安全性)** 选项卡。
1. 在**智能卡身份验证**部分的 **CA 证书**下,选择证书 ID 以显示有关该证书的详细信息。
**方法 2:在 Directory Service (AWS CLI) 中查看证书详细信息**
+ 运行如下命令。对于证书 ID,请使用由 `register-certificate` 或 `list-certificates` 返回的标识符。
```
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
## 取消注册证书
使用下列方法之一取消注册证书。
**注意**
如果只注册了一个证书,则必须先禁用智能卡身份验证,然后才能取消注册证书。
**方法 1:在 Directory Service ()AWS 管理控制台中注销证书**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 选择您 AD Connector 目录的目录 ID 链接。
1. 在 **Directory details (目录详细信息)** 页面上,选择 **Networking & security (网络和安全性)** 选项卡。
1. 在**智能卡身份验证**部分的 **CA 证书**下,选择要取消注册的证书,选择**操作**,然后选择**取消注册证书**。
**重要**
确保您要取消注册的证书未处于活动状态或当前正作为智能卡身份验证 CA 证书链的一部分。
1. 在 **Deregister a CA certificate (取消注册 CA 证书)** 对话框中,选择 **Deregister (取消注册)**。
**方法 2:在 Directory Service ()AWS CLI中注销证书**
+ 运行如下命令。对于证书 ID,请使用由 `register-certificate` 或 `list-certificates` 返回的标识符。
```
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
## 禁用智能卡身份验证
使用以下任何一种方法来禁用智能卡身份验证。
**方法 1:在 Directory Service (AWS 管理控制台) 中禁用智能卡身份验证**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 选择您 AD Connector 目录的目录 ID 链接。
1. 在 **Directory details (目录详细信息)** 页面上,选择 **Networking & security (网络和安全性)** 选项卡。
1. 在**智能卡身份验证**部分,选择**禁用**。
1. 在**禁用智能卡身份验证**对话框中,选择**禁用**。
**方法 2:在 Directory Service (AWS CLI) 中禁用智能卡身份验证**
+ 运行如下命令。
```
aws ds disable-client-authentication --directory-id your_directory_id --type SmartCard
```
# 在中更新您的 AD Connector 服务账号凭证 AWS 管理控制台
您在中提供的 AD Connector 凭据 Directory Service 代表用于访问现有本地目录的服务帐户。您可以 Directory Service 通过执行以下步骤来修改中的服务帐号凭证。
**注意**
如果目录已启用, AWS IAM Identity Center 则 Directory Service 必须将服务主体名称 (SPN) 从当前服务帐户转移到新的服务帐户。如果当前服务账户无权删除 SPN 或新服务账户无权添加 SPN,则系统会提示输入有权执行这两个操作的目录账户的凭证。这些凭证仅用于传输 SPN,不会由服务进行存储。
**要更新您的 AD Connector 服务账号凭证,请访问 Directory Service**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格的 **Active Directory** 下,选择**目录**。
1. 选择目录的目录 ID 链接。
1. 在**目录详细信息**页面上,向下滚动到**服务账户凭证**部分。
1. 在 **Service account credentials (服务账户凭据)** 部分中,选择 **Update (更新)**。
1. 在**更新服务账户凭证**对话框中,键入服务账户的用户名和密码。重新输入密码进行确认,然后选择**更新**。
# 为 AD 设置 AWS 私有 CA 连接器
您可以将自行管理的 Active Directory 与 AWS 私有证书颁发机构 AD Connector 集成,为已加入 AD 域的用户、群组和计算机颁发和管理证书。 AWS 私有 CA Connector f AWS 私有 CA or AD 提供完全托管的直接替代方案, CAs 无需您部署、修补或更新本地代理或代理服务器。
您可以通过 Directory Service 控制台、AD 控制台 AWS 私有 CA 连接器或调用 [https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API-CreateTemplate.html](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API-CreateTemplate.html)API 来设置此集成。要使用 Active Directory 的[AWS 私有 CA 连接器控制台,请参阅活动目录](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad.html)连接器。 AWS 私有 CA 以下章节介绍了如何从 Directory Service 控制台设置此集成。
## 先决条件
有关设置说明,请参阅《[适用于 AD 的连接器用户指南》中的 “为 AD 设置](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad-getting-started-prerequisites.html) AWS 私有 CA 连接器”。
## 为 AD 设置 AWS 私有 CA 连接器
**为 Active Directory 创建私有 CA 连接器**
1. 登录 AWS 管理控制台 并打开 Directory Service 控制台,网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。
1. 在**目录**页面上,选择您的目录 ID。
1. 在**应用程序管理**选项卡和 **AWS 应用程序和服务**部分下,选择 **AWS 私有 CA Connector for AD**。
1. 在**为 Active Directory 创建私有 CA 证书**页面上,完成为 Active Directory Connector 创建私有 CA 的步骤。
有关更多信息,请参阅 [Creating a connector](https://docs.aws.amazon.com/privateca/latest/userguide/create-connector-for-ad.html)。
## 查看您的 AD AWS 私有 CA 连接器
**查看私有 CA 连接器的详细信息**
1. 登录 AWS 管理控制台 并打开 Directory Service 控制台,网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。
1. 在**目录**页面上,选择您的目录 ID。
1. 在**应用程序管理**选项卡和 **AWS 应用程序与服务**部分下,查看您的私有 CA 连接器和关联的私有 CA。显示以下字段:
1. **AWS 私有 CA 连接器 ID**- AWS 私有 CA 连接器的唯一标识符。选择以查看详细信息页面。
1. **AWS 私有 CA 主题**-有关 CA 的可分辨名称的信息。选择以查看详细信息页面。
1. **状态**- AWS 私有 CA 连接器的状态检查结果以及 AWS 私有 CA:
+ **激活**:两项检查均通过
+ **1/2 检查失败**:一次检查失败
+ **失败**:两次检查均失败
有关失败状态的详细信息,请将鼠标悬停在超链接上查看检查失败项。
1. **DC 证书注册状态**:域控制器证书状态检查:
+ **启用**:证书注册已启用
+ **禁用**:证书注册已禁用
1. **创建日期**- AWS 私有 CA 连接器的创建时间。
有关更多信息,请参阅 [View connector details](https://docs.aws.amazon.com/privateca/latest/userguide/view-connector-for-ad.html)。
## 验证向 AD 用户颁发证书
完成以下步骤,确认 AWS 私有 CA 正在向您自行管理的 Active Directory 颁发证书:
+ 重启您的本地域控制器。
+ 使用 Microsoft Management Console查看您的证书。有关更多信息,请参阅 [Microsoft 文档](https://learn.microsoft.com/en-us/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in)。
# 监控您的 AD Connector 目录
您可以详细了解不同的 AD Connector 状态及其对您的 AD Connector 意味着什么,从而充分利用 AD Connector。您还可以使用 Amazon Simple Notification Service 接收有关您的 AD Connector 状态的通知。
**Topics**
+ [了解目录状态](ad_connector_directory_status.md)
+ [使用 Amazon SNS 启用 AD Connector 目录状态通知](ad_connector_enable_notifications.md)
# 了解目录状态
以下是目录的各种状态。
**活跃**
该目录运行正常。 Directory Service 未检测到您的目录存在任何问题。
**Creating**
当前正在创建该目录。目录创建过程通常需要 20 到 45 分钟,但可能因系统负载而异。
**已删除**
已删除该目录。已释放该目录的所有资源。一旦目录进入此状态,便无法恢复。
**Deleting**
当前正在删除该目录。目录将保持此状态,直到被完全删除。一旦目录进入此状态,将无法取消删除操作,目录也无法恢复。
**已失败**
无法创建该目录。请删除此目录。如果问题仍存在,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
**Impaired (受损)**
目录正在降级状态下运行。检测到一个或多个问题,可能有的目录操作未在完全有效地工作。目录处于此状态有多个可能的原因。其中包括正常的操作维护活动,例如修补或 EC2 实例轮换,应用程序在您的一个域控制器上临时发现热点,或者您对网络所做的无意中断目录通信的更改。有关更多信息,请参阅[微软 AD AWS 托管故障排除](ms_ad_troubleshooting.md)、[AD Connector 故障排除](ad_connector_troubleshooting.md)、[Simple AD 问题排查](simple_ad_troubleshooting.md)。对于与正常维护相关的问题, AWS 可在 40 分钟内解决这些问题。如果在查看故障排除主题后,您的目录处于受损状态的时间超过 40 分钟,我们建议您联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
当目录处于受损状态时,请不要还原快照。解决受损问题极少需要快照还原。有关更多信息,请参阅 [使用快照恢复你的 AWS 托管 Microsoft AD](ms_ad_snapshots.md)。
**Inoperable (不可操作)**
该目录无法正常工作。所有目录终端节点都报告有问题。
**Requested (已请求)**
创建目录的请求当前正在等待处理。
# 使用 Amazon SNS 启用 AD Connector 目录状态通知
通过使用 Amazon Simple Notification Service(Amazon SNS),您可以在目录状态发生变化时接收电子邮件或文本(SMS)消息。如果您的目录从“活动”状态变为[“受损”或“不可操作”状态](ad_connector_directory_status.md),您将收到通知。当目录恢复为“活动”状态时,您也会收到通知。
## 工作原理
Amazon SNS 使用“主题”来收集和分发消息。每个主题都有一个或多个订阅用户,他们接收发布至该主题的消息。按照以下步骤,您可以在 Amazon SNS 主题中添加 Directory Service 出版商身份。当 Directory Service 检测到您的目录状态发生变化时,它会向该主题发布一条消息,然后将其发送给该主题的订阅者。
您可以关联多个目录作为单个主题的发布者。您还可以将目录状态消息添加到您之前在 Amazon SNS 中创建的主题。您可以对谁能够向主题发布内容和订阅主题进行详细的控制。有关 Amazon SNS 的完整信息,请参阅[什么是 Amazon SNS?](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)。
**为您的目录启用 SNS 消息发送**
1. 登录 AWS 管理控制台 并打开[Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)。
1. 在**目录**页面上,选择您的目录 ID。
1. 选择**维护**选项卡。
1. 在**目录监控**部分,选择**操作**,然后选择**创建通知**。
1. 在**创建通知**页面上,选择**选择通知类型**,然后选择**创建新通知**。或者,如果您现在已有一个 SNS 主题,您可以选择**关联现有 SNS 主题**以向该主题发送此目录的状态消息。
**注意**
如果您选择**创建新通知**,但之后使用与现有 SNS 主题相同的主题名称,则 Amazon SNS 不会创建新主题,只是向现有主题添加新的订阅信息。
如果您选择**关联现有 SNS 主题**,您只能选择与该目录位于同一区域的 SNS 主题。
1. 选择**收件人类型**,然后输入**收件人**联系信息。如果您为 SMS 输入电话号码,请只使用数字。不包括破折号、空格或圆括号。
1. (可选)为主题和 SNS 显示名称提供名称。显示名称为最多 10 个字符的短名称,包含在来自该主题的所有 SMS 消息中。使用 SMS 选项时必需提供显示名称。
**注意**
如果您使用只有[DirectoryServiceFullAccess](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/role_ds_full_access.html)托管策略的 IAM 用户或角色登录,则您的主题名称必须以 “DirectoryMonitoring” 开头。如果您想进一步自定义主题名称,您需要对 SNS 的额外权限。
1. 选择**创建**。
如果您想指定其他 SNS 订阅者,例如额外的电子邮件地址、Amazon SQS 队列 AWS Lambda或,则可以从 Amazon [SNS](https://console.aws.amazon.com//sns/v3/home.) 控制台执行此操作。
**从主题移除目录状态消息**
1. 登录 AWS 管理控制台 并打开[Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)。
1. 在**目录**页面上,选择您的目录 ID。
1. 选择**维护**选项卡。
1. 在**目录监控**部分,在列表中选择一个 SNS 主题名称,选择**操作**,然后选择**移除**。
1. 选择**移除 **。
这会移除您目录的选定 SNS 主题发布者身份。如果您要删除整个主题,可以通过 [Amazon SNS 控制台](https://console.aws.amazon.com/sns/v3/home.)执行此操作。
**注意**
在使用 SNS 控制台删除 Amazon SNS 主题之前,您应确保目录没有在向该主题发送状态消息。
如果您使用 SNS 控制台删除 Amazon SNS 主题,则 Directory Services 控制台中不会立即反映出此更改。直到目录下次向已删除的主题发布通知时,您才会获得通知,那时,您将在该目录的 **Monitoring** 选项卡上看到一个更新状态,指示无法找到该主题。
因此,为避免错过重要的目录状态消息,在删除任何从中 Directory Service接收消息的主题之前,请将您的目录与其他 Amazon SNS 主题相关联。
# 从 AD Connector 访问 AWS 应用程序和服务
您可以允许 AD Connector 访问已连接的 Active Directory 的 AWS 应用程序和服务。一些支持的 AWS 应用程序和服务包括:
+ Amazon Chime
+ Amazon WorkSpaces
+ IAM Identity Center
+ AWS 管理控制台
没有可以使用 AD Connector 的第三方应用程序。
**Topics**
+ [AD Connector 的应用程序兼容性策略](ad_connector_app_compatibility.md)
+ [允许通过 AD Connector 访问 AWS 应用程序和服务](ad_connector_enable_apps_services.md)
# AD Connector 的应用程序兼容性策略
作为 Microsoft Active Directory ([AWS 微软 AD 托管](directory_microsoft_ad.md)) 的 AWS 目录服务的替代方案,AD Connector 是一个 Active Directory 代理,仅用于 AWS 创建的应用程序和服务。将此代理配置为使用指定 Active Directory 域。当应用程序必须在 Active Directory 中查找用户或组时,AD Connector 将代理对目录的请求。同样,当用户登录应用程序时,AD Connector 将代理对目录的身份验证请求。没有可以使用 AD Connector 的第三方应用程序。
以下是兼容的 AWS 应用程序和服务的列表:
+ Amazon Chime – 有关详细说明,请参阅[连接到 Active Directory](https://docs.aws.amazon.com/chime/latest/ag/active_directory.html)。
+ Amazon Connect – 有关更多信息,请参阅 [Amazon Connect 如何工作](https://docs.aws.amazon.com/connect/latest/adminguide/what-is-amazon-connect.html#amazon-connect-fundamentals)。
+ Amazon EC2 for Windows 或 Amazon EC2 for Linux:您可以使用 Amazon EC2 Windows 或 Linux 的无缝 Active Directory 域加入功能将实例加入自托管式 Active Directory(本地)。加入后,实例将直接与您的 Active Directory 通信并且绕过 AD Connector。有关更多信息,请参阅 [将 Amazon EC2 实例加入您的活动目录的方法](ad_connector_join_instance.md)。
+ AWS 管理控制台 — 您可以使用 AD Connector 使用 AWS 管理控制台 用户的 AD Directory 凭据对用户进行身份验证,而无需设置 SAML 基础架构。有关更多信息,请参阅 [启用 AWS 管理控制台 使用 AWS 托管微软 AD 凭据进行访问](ms_ad_management_console_access.md)。
+ 快速-有关更多信息,请参阅[在 Quick 企业版中管理用户帐户](https://docs.aws.amazon.com/quicksight/latest/user/managing-users-enterprise.html)。
+ AWS IAM Identity Center -有关详细说明,请参阅[将 IAM 身份中心连接到本地 Active Directory](https://docs.aws.amazon.com/singlesignon/latest/userguide/connectawsad.html)。
+ AWS Transfer Family -有关详细说明,请参阅[使用 Directory Service Microsoft Active Directory](https://docs.aws.amazon.com/transfer/latest/userguide/directory-services-users.html)。
+ AWS Client VPN-有关详细说明,请参阅[客户端身份验证和授权](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/authentication-authorization.html)。
+ WorkDocs -有关详细说明,请参阅[使用 AD Connector 连接到本地目录](https://docs.aws.amazon.com/workdocs/latest/adminguide/connect_directory_connector.html)。
+ 亚马逊 WorkMail -有关详细说明,请参阅[将亚马逊 WorkMail与现有目录集成(标准设置)](https://docs.aws.amazon.com/workmail/latest/adminguide/premises_directory.html)。
+ WorkSpaces -有关详细说明,请参阅[ WorkSpace 使用 AD Connector 启动](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspace-ad-connector.html)。
**注意**
亚马逊 RDS 仅与 AWS 托管微软 AD 兼容,与 AD Connector 不兼容。有关更多信息,请参阅[Directory Service FAQs](https://aws.amazon.com/directoryservice/faqs/#microsoft-ad)页面中的 AWS 托管 Microsoft AD 部分。
# 允许通过 AD Connector 访问 AWS 应用程序和服务
用户可以授权 AD Connector 授予 AWS 应用程序和服务(例如亚马逊 WorkSpaces)访问您的 Active Directory 的权限。为了与 AD Connector 配合使用,可以启用或禁用以下 AWS 应用程序和服务。
| AWS 应用程序/服务 | 更多信息…… |
| --- | --- |
| Amazon Chime | 有关更多信息,请参阅 [Connecting to Active Directory](https://docs.aws.amazon.com/chime/latest/ag/active_directory.html)。 |
| Amazon Connect | 有关更多信息,请参阅 [Amazon Connect Administration Guide](https://docs.aws.amazon.com/connect/latest/adminguide/what-is-amazon-connect.html)。 |
| Amazon WorkDocs | 有关更多信息,请参阅 [Amazon 入门 WorkDocs](https://docs.aws.amazon.com/workdocs/latest/adminguide/getting_started.html)。 |
| Amazon WorkMail | 有关更多信息,请参阅[创建组织](https://docs.aws.amazon.com/workmail/latest/adminguide/add_new_organization.html)。 |
| Amazon WorkSpaces | 你可以直接从中创建 Simple AD、 AWS 托管 Microsoft AD 或 AD Connecto WorkSpaces r。只需在创建工作区时启动 **Advanced Setup**。 有关更多信息,请参阅《[Amazon WorkSpaces 管理指南》](https://docs.aws.amazon.com/workspaces/latest/adminguide/)。 |
| AWS Client VPN | 有关更多信息,请参阅 [AWS Client VPN 《用户指南》](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/)。 |
| AWS IAM Identity Center | 有关更多信息,请参阅 [AWS IAM Identity Center 《用户指南》](https://docs.aws.amazon.com/singlesignon/latest/userguide/)。 |
| AWS 管理控制台 | 有关更多信息,请参阅 [启用 AWS 管理控制台 使用 AWS 托管微软 AD 凭据进行访问](ms_ad_management_console_access.md)。 |
| AWS Transfer Family | 有关更多信息,请参阅 [AWS Transfer Family 《用户指南》](https://docs.aws.amazon.com/transfer/latest/userguide/what-is-aws-transfer-family.html)。 |
启用之后,可在要向其授予目录访问权限的应用程序或服务的控制台中管理对目录的访问权限。要在 Directory Service 控制台中查找上述 AWS 应用程序和服务链接,请执行以下步骤。
**显示适用于目录的应用程序和服务**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 在**目录**页面上,选择您的目录 ID。
1. 在 **Directory details (目录详细信息)** 页面上,选择 **Application management (应用程序管理)** 选项卡。
1. 查看 **AWS 应用程序和服务**部分下的列表。
有关如何使用对 AWS 应用程序和服务进行授权或取消授权的更多信息 Directory Service,请参阅[使用对 AWS 应用程序和服务的授权 Directory Service](ad_manage_apps_services_authorization.md)。
# 将 Amazon EC2 实例加入您的活动目录的方法
AD Connector 是一种目录网关,借助它可以将目录请求重定向到本地 Microsoft Active Directory,而无需在云中缓存任何信息。以下是有关如何 EC2 将亚马逊加入活动目录域名的更多信息:
+ Amazon EC2 实例启动后,您可以将该实例无缝加入您的活动目录域。有关将 EC2 Windows 实例加入 AWS 托管 Microsoft AD 的更多信息,请参阅[将 Amazon EC2 Windows 实例加入您的 AWS 托管微软 AD 活动目录](launching_instance.md)。
+ 如果您需要手动将 EC2 实例加入您的 Active Directory 域,则必须在相应 AWS 区域 的安全组或子网中启动该实例,然后将该实例加入到 Active Directory 域中。
+ 要能够远程连接到这些实例,必须具有从所连接的网络到实例的 IP 连接。在大多数情况下,这要求互联网网关连接到 Amazon VPC,并且实例具有公有 IP 地址。有关使用互联网网关连接到互联网的更多信息,请参阅《Amazon VPC 用户指南》中的[使用互联网网关连接到互联网](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html)。
**注意**
将实例加入自托管式 Active Directory(本地)后,该实例将直接与您的 Active Directory 通信并绕过 AD Connector。
# AD Connector 配额
下面是 AD Connector 的默认限额。除非另有说明,否则每个限额均与区域一一对应。
**AD Connector 限额**
| 资源 | 默认配额 |
| --- | --- |
| AD Connector 目录 | 10 |
| 每个目录的最大注册证书颁发机构 (CA) 证书数 | 5 |
# AD Connector 故障排除
以下内容可以帮助排查在创建或使用 AD Connector 时可能会遇到的一些常见问题。
**Topics**
+ [创建问题](#ad_connector_creation_issues)
+ [连接问题](#ad_connector_connectivity_issues)
+ [身份验证问题](#ad_connector_auth_issues)
+ [维护问题](#ad_connector_maintenance_issues)
+ [我无法删除我的 AD Connector](#delete_ad_connector)
+ [调查 AD Connector 发布者的通用工具](#ad_connector_troubleshooting_tools)
## 创建问题
**以下是 AD Connector 的常见创建问题**
+ [我在创建目录时遇到“AZ Constrained”错误](#contrained_az2)
+ [当我尝试创建 AD Connector 时收到“Connectivity issues detected”错误](#ad_creation_connectivity_issues)
### 我在创建目录时遇到“AZ Constrained”错误
在 2012 年之前创建的某些 AWS 账户可能有权访问美国东部(弗吉尼亚北部)、美国西部(加利福尼亚北部)或亚太地区(东京)不支持 Directory Service 目录的可用区。如果在创建 Active Directory 时遇到错误(如上面的错误),请选择其他可用区中的子网,再尝试创建目录。
### 当我尝试创建 AD Connector 时收到“Connectivity issues detected”错误
如果您在尝试创建 AD Connector 时收到“Connectivity issue detected”错误,则该错误可能是由于端口可用性或 AD Connector 密码复杂所致。您可以测试 AD Connector 的连接,以查看以下端口是否可用:
+ 53 (DNS)
+ 88 (Kerberos)
+ 389 (LDAP)
要测试您的连接,请参阅[测试 AD Connector](ad_connector_getting_started.md#connect_verification)。应在加入到 AD Connector 的 IP 地址关联的两个子网的实例上执行连接测试。
如果连接测试成功并且实例已加入域,请检查 AD Connector 的密码。AD Connector 必须满足 AWS 密码复杂度要求。有关更多信息,请参阅 [AD Connector 先决条件](ad_connector_getting_started.md#prereq_connector)中的服务账户。
如果您的 AD Connector 不符合这些要求,请使用符合这些要求的密码重新创建 AD Connector。
### 我在创建 AD Connector 时,收到了“An internal service error has been encountered while connecting the directory. Please retry the operation.” 错误
此错误通常发生在 AD Connector 无法为自行管理的 Active Directory 域创建有效域控制器且无法与之连接时。
**注意**
作为[最佳实践](ad_connector_best_practices.md#ad_connector_config_onprem),若自行管理的网络定义了 Active Directory 站点,您必须确保:
AD Connector 所在的 VPC 子网是在 Active Directory 站点中定义的。
VPC 子网与其他站点中的子网之间不存在冲突。
AD Connector 将使用子网 IP 地址范围与包含 AD Connector 的 VPC 中的子网 IP 地址范围接近的 Active Directory 站点,用于发现 AD 域控制器。如果您的一个站点具有 IP 地址范围与您 VPC 中的 IP 地址范围相同的子网,则 AD Connector 将发现该站点中的域控制器。域控制器实际上可能并不靠近 AD Connector 所在的区域。
+ 在客户管理的 Active Directory 域中创建的 DNS SRV 记录(这些记录使用以下语法:`_ldap._tcp.` 和 `_kerberos._tcp.`)相互不一致。当 AD Connector 无法根据这些 SRV 记录找到有效域控制器并与之连接时,就会发生这种情况。
+ AD Connector 与客户管理的 AD(例如防火墙设备)之间存在网络问题。
可以在域控制器、DNS 服务器和目录网络接口的 VPC 流日志上,使用[网络数据包捕获](https://techcommunity.microsoft.com/blog/iis-support-blog/capture-a-network-trace-without-installing-anything--capture-a-network-trace-of-/376503)来调查这一问题。如需更多帮助,请联系 [AWS 支持](https://docs.aws.amazon.com//awssupport/latest/user/case-management.html)。
## 连接问题
**以下是 AD Connector 的常见连接问题**
+ [在尝试连接到我的本地目录时,我收到一条“Connectivity issues detected”错误](#connectivity_issues_detected)
+ [当我尝试连接我的本地目录时收到一条“DNS unavailable”错误](#dns_unavailable)
+ [在尝试连接到我的本地目录时,我收到一条“SRV record”错误](#srv_record_not_found)
### 在尝试连接到我的本地目录时,我收到一条“Connectivity issues detected”错误
连接到本地目录时,您会收到一条类似于以下内容的错误消息:检测到连接问题:IP 的 LDAP 不可用(TCP 端口 389):IP ** Kerberos/authentication 不可用(TCP 端口 88):**请确保列出的端口可用并重试该操作。
AD Connector 必须能够通过 TCP 和 UDP 经由以下端口与您的本地域控制器通信。验证您的安全组和本地防火墙是否允许经由这些端口进行 TCP 和 UDP 通信。有关更多信息,请参阅 [AD Connector 先决条件](ad_connector_getting_started.md#prereq_connector)。
+ 88 (Kerberos)
+ 389 (LDAP)
根据您的需求,您可能需要其他 TCP/UDP 端口。有关其中一些端口,请参阅以下列表。有关 Active Directory 使用的端口的更多信息,请参阅 Microsoft 文档中的[如何为 Active Directory 域和信任配置防火墙](https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts)。
+ 135(RPC 端点映射器)
+ 646(LDAP SSL)
+ 3268(LDAP GC)
+ 3269(LDAP GC SSL)
### 当我尝试连接我的本地目录时收到一条“DNS unavailable”错误
在连接您的本地目录时,您收到类似于以下内容的错误消息:
```
DNS unavailable (TCP port 53) for IP:
```
AD Connector 必须能够通过 TCP 和 UDP 经由端口 53 与您的本地 DNS 服务器通信。验证您的安全组和本地防火墙是否允许经由此端口进行 TCP 和 UDP 通信。有关更多信息,请参阅 [AD Connector 先决条件](ad_connector_getting_started.md#prereq_connector)。
### 在尝试连接到我的本地目录时,我收到一条“SRV record”错误
在连接您的本地目录时,您收到类似于以下一项或多项内容的错误消息:
```
SRV record for LDAP does not exist for IP: SRV record for Kerberos does not exist for IP:
```
在连接您的目录时,AD Connector 需要获取 `_ldap._tcp.` 和 `_kerberos._tcp.` SRV 记录。如果服务无法从您在连接到目录时所指定的 DNS 服务器上获取这些记录,则您将收到此错误。有关这些 SRV 记录的更多信息,请参阅 [SRV record requirements](ad_connector_getting_started.md#srv_records)。
## 身份验证问题
**下面是 AD Connector 的一些常见身份验证问题:**
+ [当我尝试使用智能卡登录时,我收到 “证书验证失败” 错误 Amazon WorkSpaces](#cert_validation_failure)
+ [AD Connector 使用的服务账户尝试进行身份验证时,我收到“Invalid Credentials”的错误消息](#invalid_creds)
+ [在使用 AWS 应用程序搜索用户或群组时,我收到 “无法进行身份验证” 错误](#fails_when_searching)
+ [当我尝试更新 AD Connector 服务账户时收到有关我的目录凭证的错误](#error_with_ad_creds)
+ [我的某些用户无法进行向我的目录进行身份验证](#kerberos_preauth2)
### 当我尝试使用智能卡登录时,我收到 “证书验证失败” 错误 Amazon WorkSpaces
当您尝试使用智能卡登录时,您会收到一条类似于以下内容 WorkSpaces 的错误消息:**错误**:证书验证失败。请重启浏览器或应用程序,然后重试,并确保选择正确的证书。如果智能卡的证书未正确存储在使用证书的客户端上,则会出现错误。有关 AD Connector 和智能卡要求的更多信息,请参阅[先决条件](ad_connector_clientauth.md#prereqs-clientauth)。
**按照以下过程对智能卡在用户证书存储中存储证书的功能进行故障排除:**
1. 在无法访问证书的设备上,访问 Microsoft Management Console(MMC)。
**重要**
在继续操作之前,请创建智能卡证书的副本。
1. 导航到 MMC 中的证书存储。从证书存储中删除用户的智能卡证书。有关在 MMC 中查看证书存储的更多信息,请参阅 Microsoft 文档中的[操作方法:使用 MMC 管理单元查看证书](https://learn.microsoft.com/en-us/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in)。
1. 移除智能卡。
1. 重新插入智能卡,使其可以在用户的证书存储中重新填充智能卡证书。
**警告**
如果智能卡没有将证书重新填充到用户存储中,则无法将其用于 WorkSpaces 智能卡身份验证。
AD Connector 的服务账户应具备以下条件:
+ `my/spn` 已添加到服务主体名称中
+ 为 LDAP 服务委派
在智能卡上重新填充证书后,应检查本地域控制器,以确定它们是否被阻止将用户主体名称(UPN)映射用于使用者可选名称。有关此更改的更多信息,请参阅 Microsoft 文档中的[如何禁用 UPN 映射的使用者可选名称](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/disable-subject-alternative-name-upn-mapping)。
**按照以下过程检查您的域控制器的注册表项:**
+ 在**注册表编辑器**中,导航到以下配置单元项
**HKEY\$1LOCAL\$1MACHINE\$1 SYSTEM\$1\$1 服务\$1 Kdc\$1 CurrentControlSet UseSubjectAltName**
1. 检查以下项的值 UseSubjectAltName:
1. 如果该值设置为 **0**,则**禁用****使用者可选名称**映射,您必须将给定证书显式映射至仅 1 名用户。如果将证书映射至多个用户,而此值为 0,则使用该证书登录将失败。
1. 如果该值**未设置或设置为 1**,则必须将给定证书显式映射至仅 1 名用户,或使用**使用者可选名称**字段登录。
1. 如果证书上存在**使用者可选名称**字段,则会优先使用此字段内容。
1. 如果证书上不存在**使用者可选名称**字段,并且该证书已显式映射至多个用户,则使用该证书登录将失败。
**注意**
如果在本地域控制器上设置了注册表项,则 AD Connector 将无法在 Active Directory 中找到用户并导致出现上述错误消息。
证书颁发机构(CA)证书应上传到 AD Connector 智能卡证书。证书应包含 OCSP 信息。以下列出了 CA 的其他要求:
+ 证书应位于域控制器的可信根颁发机构、证书颁发机构服务器和 WorkSpaces。
+ 脱机证书和根 CA 证书将不包含 OSCP 信息。这些证书包含有关其吊销的信息。
+ 如果您使用第三方 CA 证书进行智能卡身份验证,则需要将 CA 和中间证书发布到 Active Directory NTAuth 存储区。它们必须安装在所有域控制器、证书颁发机构服务器和的可信根颁发机构中 WorkSpaces。
+ 您可以使用以下命令将证书发布到 Active Directory NTAuth 存储区:
```
certutil -dspublish -f Third_Party_CA.cer NTAuthCA
```
有关向 NTAuth 商店发布证书的更多信息,请参阅 Access A *mazon WorkSpaces 中的 “使用通用访问卡安装指南*[” 中将颁发的 CA 证书导入企业 NTAuth 商店](https://docs.aws.amazon.com//whitepapers/latest/access-workspaces-with-access-cards/import-the-issuing-ca-certificate-into-the-enterprise-ntauth-store.html)。
**您可以按照以下过程检查用户证书或 CA 链证书是否已通过 OCSP 验证:**
1. 将智能卡证书导出到本地计算机上的某个位置,例如 C: 驱动器。
1. 打开命令行提示符并导航到存储导出的智能卡证书的位置。
1. 输入以下命令:
```
certutil -URL Certficate_name.cer
```
1. 命令后应显示一个弹出窗口。选择右上角的 **OCSP 选项**,然后选择**检索**。状态应返回为已验证。
有关 certutil 命令的更多信息,请参阅 Microsoft 文档中的 [certutil](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/certutil)
### AD Connector 使用的服务账户尝试进行身份验证时,我收到“Invalid Credentials”的错误消息
如果域控制器上的硬盘空间不足,则可能发生这种情况。确保域控制器的硬盘未满。
### 我在尝试更新 AD Connector 服务账户时,收到“An error has occurred”或“An unexpected error”
在 [Amazon Cons WorkSpaces ole Launch Wi](https://docs.aws.amazon.com//workspaces/latest/adminguide/launch-workspace-ad-connector.html#create-workspace-ad-connector) zard 等 AWS 企业应用程序中搜索用户时会出现以下错误或症状:
+ An Error Has Occurred。如果您仍然遇到问题,请通过社区论坛和 AWS Premium Support 与 AWS 支持 团队联系。
+ An Error Has Occurred。您的目录需要更新凭证。请更新目录凭证。
如果尝试在 AD Connector 更新 AD Connector 服务账户凭证,可能会收到以下错误消息:
+ Unexpected error. An unexpected error occurred.
+ An error occurred. 服务 account/password 组合出现错误。Please try again.
AD Connector 目录的服务账户位于客户管理的 Active Directory 中。该账户作为一种身份,用于代表 AWS 企业应用程序通过 AD Connector 对客户管理的 Active Directory 域执行查询和进行操作。AD Connector 使用 Kerberos 与 LDAP 来执行这些操作。
**下表解释了这些错误消息的含义:**
+ 时间同步和 Kerberos 可能存在问题。AD Connector 向 Active Directory 发送 Kerberos 身份验证请求。这些请求具有时效性,如果延迟处理,它们将会失败。确保任何客户管理的域控制器之间没有时间同步问题。要解决此问题,请参阅 Microsoft 文档中的[建议:使用权威时间源配置根 PDC 并避免普遍的时间偏差](https://learn.microsoft.com/en-us/services-hub/unified/health/remediation-steps-ad/configure-the-root-pdc-with-an-authoritative-time-source-and-avoid-widespread-time-skew)。有关时间服务和同步的更多信息,请参阅下文:
+ [Windows 时间服务的工作原理](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/how-the-windows-time-service-works)
+ [计算机时钟同步的最大容差](https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-tolerance-for-computer-clock-synchronization)
+ [Windows 时间服务工具和设置](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings?tabs=config)
+ 在 AD Connector 和客户管理的域控制器之间,如果有存在网络 [MTU](https://support.microsoft.com/en-us/topic/the-default-mtu-sizes-for-different-network-topologies-b25262c5-d90f-456d-7647-e09192eeeef4) 限制的中间网络设备(例如防火墙或 VPN 硬件配置),则可能会由于[网络分段](https://en.wikipedia.org/wiki/IP_fragmentation)而产生此错误。
+ 要验证 MTU 限制,可在客户管理的域控制器和通过 AD Connector 连接的其中一个目录子网中启动的 Amazon EC2 实例之间,执行 [Ping 测试](https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/mtu-size-matters/1025286)。帧大小不应超过 1500 字节的默认大小
+ Ping 测试可帮助您了解帧大小是否超过 1500 字节(也称为巨型帧),以及能否在无需分段的情况下到达 AD Connector VPC 和子网。与您的网络团队进一步核实,并确保中间网络设备支持巨型帧。
+ 如果在 AD Connector 上启用[客户端 LDAPS](ad_connector_ldap_client_side.md),且证书已过期,则可能会遇到此问题。确保服务器端证书和 CA 证书均有效、未过期且符合[LDAPs文档](ad_connector_ldap_client_side.md#prereqs-ldap-client-side)中的要求。
+ 如果在客户管理的 Active Directory 域中禁用了[虚拟列表视图支持](https://learn.microsoft.com/en-us/windows/win32/controls/use-virtual-list-view-controls),则 AWS 应用程序将无法搜索用户,因为 AD Connector 在 LDAP 查询中使用 VLV 搜索。当 “禁用” 设置为非零值时,“虚拟列表视图支持” 将被禁用VLVSupport 。确保使用以下步骤,在 Active Directory 中启用[虚拟列表视图(VLV)支持](https://learn.microsoft.com/en-us/previous-versions/office/exchange-server-analyzer/cc540446(v=exchg.80)?redirectedfrom=MSDN):
1. 使用具有架构管理员凭证的账户,以主架构角色所有者的身份登录域控制器。
1. 选择**开始**、**运行**,输入 **Adsiedit.msc**。
1. 在 ADSI 编辑工具中,Connect 到**配置分区**,然后展开**配置 [DomainController]** 节点。
1. 展开 **cn=Configuration,DC DomainName ** = 容器。
1. 展开 **CN=Services** 对象。
1. 展开 **CN=Windows NT** 对象。
1. 选择 **CN=Directory Service** 对象。选择“**Properties**”。
1. 在属性列表中,选择 **msds-Other-Settings**。选择**编辑**。
1. 在 “值” 列表中,选择 “**禁用 VLVSupport =x”(其中 x** 不等于 **0**)的任何实例,然后选择 “**删除**”。
1. 移除后,输入 **DisableVLVSupport=0**。选择**添加**。
1. 选择**确定**。此时可以关闭 ADSI 编辑工具。下图显示了“ADSI 编辑”窗口中的“多值字符串编辑器”对话框:
![\[突出显示了带有多值字符串编辑器的 “ADSI 编辑” 对话框和 “禁用 VLVSupport =0”。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/DisableVLVSupport.png)
**注意**
在超过 10 万用户的大型 Active Directory 基础设施中,只能搜索特定的用户。但是,如果您尝试同时列出所有用户(例如,在 La ** WorkSpaces unch Wizard 中显示所有用户**),则即使启用了 VLV Support,也可能导致相同的错误。AD Connector 要求使用子树索引,对属性“CN”的结果进行排序。子树索引是一种索引类型,它为域控制器执行虚拟列表视图(LDAP)搜索操作做好准备,从而使 AD Connector 能够完成排序搜索。此索引改进了 VLV 搜索并防止使用名[MaxTempTableSize](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/view-set-ldap-policy-using-ntdsutil)为的临时数据库表。此表的大小可能有所不同,但默认情况下,最大条目数为 10000(默认查询策略的 MaxTempTableSize 设置)。增大 MaxTempTableSize 比使用子树索引效率低。为避免在大型 AD 环境中出现这些错误,建议使用子树索引。
按照以下步骤,您可以通过修改 Active Directory 架构中属性定义上的 s [earchflag](https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/mcm-active-directory-indexing-for-the-masses/ba-p/255867) s 属性来启用子树索引,其值 ADSEdit 为 65 (0x41):
1. 使用具有架构管理员凭证的账户,以主架构角色所有者的身份登录域控制器。
1. 选择**启动**、**运行**,输入 **Adsiedit.msc**。
1. 在 ADSI 编辑工具中,连接到**架构分区**。
1. 展开 **cn=Schema、cn=Configuration、DC= 容器**。DomainName
1. 找到 **Common-Name** 属性,右键单击并选择**属性**。
1. 找到 **searchFlags** 属性并将其值更改为,**65 (0x41)**以便与普通 SubTree 索引一起启用索引。
下图显示了 ADSI 编辑窗口中的 CN=Common-Name 属性对话框:
![\[ADSI 编辑对话框打开,突出显示 searchFlags 属性。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/SUBTREE_INDEX.png)
1. 选择**确定**。此时可以关闭 ADSI 编辑工具。
1. 为了进行确认,您应该能够看到一个事件 ID 1137(来源:Active Directory\$1DomainServices),这表明 AD 已成功为指定属性创建了新索引。
有关更多信息,请参阅 [Microsoft 文档](https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/mcm-active-directory-indexing-for-the-masses/ba-p/255867)。
### 在使用 AWS 应用程序搜索用户或群组时,我收到 “无法进行身份验证” 错误
即使在 AD Connector 状态处于活动状态时,搜索用户 WorkSpaces 或登录 AWS 应用程序(例如或 Quick)时也可能会遇到错误。如果 AD Connector 的服务账户的密码已更改或过期,AD Connector 就无法再查询 Active Directory 域。联系 AD 管理员并验证以下内容:
+ 检查 AD Connector 服务账户密码是否过期
+ 检查 AD Connector 服务账户是否未启用**用户下次登录时必须更改密码**选项。
+ 检查 AD Connector 服务账户是否锁定。
+ 如果不确定密码是已过期还是已更改,可以重置服务账户密码,也可以在 AD Connector 中[更新](ad_connector_update_creds.md)相同的密码。
### 当我尝试更新 AD Connector 服务账户时收到有关我的目录凭证的错误
尝试更新 AD Connector 服务账户时,您会收到类似于以下一条或多条内容的错误消息:
消息:出现错误您的目录需要更新凭据。请更新目录凭证。出现错误您的目录需要更新凭据。请在更新您的 AD Connector 服务帐户凭据消息后更新目录凭据信息:出现错误您的请求有问题。请查看以下详细信息。服务账号/密码组合出错
时间同步和 Kerberos 可能存在问题。AD Connector 向 Active Directory 发送 Kerberos 身份验证请求。这些请求具有时效性,如果延迟处理,它们将会失败。要解决此问题,请参阅 Microsoft 文档中的[建议:使用权威时间源配置根 PDC 并避免普遍的时间偏差](https://learn.microsoft.com/en-us/services-hub/unified/health/remediation-steps-ad/configure-the-root-pdc-with-an-authoritative-time-source-and-avoid-widespread-time-skew)。有关时间服务和同步的更多信息,请参阅下文:
+ [Windows 时间服务的工作原理](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/how-the-windows-time-service-works)
+ [计算机时钟同步的最大容差](https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-tolerance-for-computer-clock-synchronization)
+ [Windows 时间服务工具和设置](https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings?tabs=config)
### 我的某些用户无法进行向我的目录进行身份验证
用户账户必须启用 Kerberos 预身份验证。这是新用户账户的默认设置,但它不应进行修改。有关此设置的更多信息,请转到开启的[预身份验证](http://technet.microsoft.com/en-us/library/cc961961.aspx)。Microsoft TechNet
## 维护问题
**以下是 AD Connector 的常见维护问题**
+ 我的目录卡在“Requested”状态
+ Amazon EC2 实例的无缝域加入导致停止工作
### 我的目录卡在“Requested”状态
如果有一个目录处于“Requested”状态的时间超过 5 分钟,请尝试删除并重新创建该目录。如果问题仍存在,请联系 [AWS 支持](https://aws.amazon.com/contact-us/)。
### Amazon EC2 实例的无缝域加入导致停止工作
如果 EC2 实例的无缝域加入之前正常工作,然后在 AD Connector 处于活动状态时停止,则表示您的 AD Connector 服务账户的凭证可能已过期。过期的凭证可能阻止 AD Connector 在您的 Active Directory 中创建计算机对象。
**要解决此问题,请按以下顺序更新服务账户密码,以使密码匹配:**
1. 在 Active Directory 中更新服务账户的密码。
1. 在 Directory Service的 AD Connector 中更新服务账户的密码。有关更多信息,请参阅 [在中更新您的 AD Connector 服务账号凭证 AWS 管理控制台](ad_connector_update_creds.md)。
**重要**
仅在中更新密码 Directory Service 不会将密码更改推送到您现有的本地 Active Directory,因此请务必按照上一个步骤中显示的顺序执行此操作。
## 我无法删除我的 AD Connector
如果您的 AD Connector 切换到不可操作状态,则您将无法再访问您的域控制器。当仍有应用程序链接到 AD Connector 时,我们会阻止将其删除,因为其中一个应用程序可能仍在使用该目录。有关为删除 AD Connector 而需要禁用的应用程序列表,请参阅[删除 AD Connector](ad_connector_delete.md)。如果您仍然无法删除 AD Connector,则可以通过 [AWS 支持](https://aws.amazon.com/contact-us/) 请求帮助。
## 调查 AD Connector 发布者的通用工具
可使用以下工具解决与创建、身份验证和连接相关的各种 AD Connector 问题:
**DirectoryServicePortTest 工具**
在排除 AD Connector 与客户托管的 Active Directory 或 DNS 服务器之间的连接问题时,该[DirectoryServicePortTest](samples/DirectoryServicePortTest.zip)测试工具可能很有用。有关如何使用此工具的更多信息,请参阅[测试 AD Connector](ad_connector_getting_started.md#connect_verification)。
**数据包捕获工具**
可使用内置的 Windows 软件包捕获实用程序([netsh](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/jj129382(v=ws.11)))来调查和解决潜在的网络问题或 Active Directory 通信(ldap 和 kerberos)问题。有关更多信息,请参阅 [Capture a Network Trace without installing anything](https://techcommunity.microsoft.com/t5/iis-support-blog/capture-a-network-trace-without-installing-anything-amp-capture/ba-p/376503)。
**VPC 流日志**
为更好地了解从 AD Connector 接收和发送了哪些请求,可以为目录网络接口配置 [VPC 流日志](https://docs.aws.amazon.com//vpc/latest/userguide/working-with-flow-logs.html)。您可以通过描述来标识所有保留供使用的网络接口:`AWS created network interface for directory your-directory-id`. Directory Service
一个简单的用例是在使用客户管理的 Active Directory 域和大量域控制器创建 AD Connector 期间。可使用 VPC 流日志并按 Kerberos 端口(88)筛选,查明在客户管理的 Active Directory 中正在联系哪些域控制器进行身份验证。