微软 AD AWS 托管入门 - AWS Directory Service
AWS 微软 AD 托管先决条件AWS IAM Identity Center 先决条件多重身份验证先决条件创建你的 Microsoft AWS 托管广告

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

微软 AD AWS 托管入门

AWS Managed Microsoft AD 创建了一个完全托管的,Microsoft Active Directory由 Windows Server 2019 提供支持,在 2012 年 R2 Forest 和 Domain 功能级别上运行。 AWS Cloud 当你使用 AWS 托管 Microsoft AD AWS Directory Service 创建目录时,会创建两个域控制器并代表你添加 DNS 服务。域控制器在 Amazon VPC 的不同子网中创建;此冗余帮助确保即使在出现故障时您的目录仍可访问。如果您需要更多域控制器,您可以在以后添加它们。有关更多信息,请参阅 为 AWS Managed Microsoft AD 部署额外的域控制器

有关 AWS 托管 Microsoft AD 的演示和概述,请YouTube观看以下视频。

主题

创建 AWS Managed Microsoft AD 的先决条件

要创建 AWS 托管 Microsoft ADActive Directory,您需要一个具有以下内容的亚马逊 VPC:

  • 至少两个子网。每个子网必须位于不同的可用区。

  • VPC 必须具有默认硬件租户。

  • 您无法使用 198.18.0.0/15 地址空间中的地址在 VPC 中创建 AWS 托管 Microsoft AD。

如果您需要将 AWS 托管 Microsoft AD 域与现有本地Active Directory域集成,则必须将本地域的林和域功能级别设置为 Windows Server 2003 或更高版本。

AWS Directory Service 使用双 VPC 结构。构成您目录的 EC2 实例在您的 AWS 账户之外运行,并由管理 AWS。其有 ETH0ETH1 两个网络适配器。ETH0 是管理适配器,存在于您的账户之外。ETH1 在您的账户内创建。

您目录的 ETH0 网络的管理 IP 范围是 198.18.0.0/15。

有关如何创建 AWS 环境和 AWS 托管 Microsoft AD 的教程,请参阅AWS 微软 AD 托管测试实验室教程

AWS IAM Identity Center 先决条件

如果您计划将 IAM 身份中心与 AWS 托管 Microsoft AD 一起使用,则需要确保满足以下条件:

  • 你的 Microsoft AD AWS 托管目录是在你 AWS 组织的管理账户中设置的。

  • 您的 IAM 身份中心实例位于设置 AWS 托管 Microsoft AD 目录的同一区域。

有关更多信息,请参阅《AWS IAM Identity Center 用户指南》中的 IAM Identity Center 先决条件

多重身份验证先决条件

要支持对 AWS 托管 Microsoft AD 目录进行多因素身份验证,必须按以下方式配置本地或基于云的远程身份验证拨入用户服务 (RADIUS) 服务器,使其能够接受来自托管 AWS Microsoft AD 目录的请求。 AWS

  1. 在你的 RADIUS 服务器上,创建两个 RADIUS 客户端来代表中的两个 AWS 托管 Microsoft AD 域控制器 (DCs) AWS。必须使用以下通用参数配置两个客户端(您的 RADIUS 服务器可能会有所不同):

    • 地址(DNS 或 IP):这是其中一个 AWS 托管 Microsoft AD 的 DNS 地址 DCs。这两个 DNS 地址都可以在你计划使用 MFA 的 AWS 托管 Microsoft AD 目录的详细信息页面的目录服务控制台中找到。 AWS 显示的 DNS 地址代表使用的两个 AWS 托管 Microsoft AD DCs 的 IP 地址 AWS。

      注意

      如果 RADIUS 服务器支持 DNS 地址,则您只能创建一个 RADIUS 客户端配置。否则,您必须为每个 AWS 托管的 Microsoft AD DC 创建一个 RADIUS 客户端配置。

    • 端口号:配置 RADIUS 服务器为其接受 RADIUS 客户端连接的端口号。标准 RADIUS 端口是 1812。

    • 共享密钥:键入或生成将由 RADIUS 服务器用于与 RADIUS 客户端连接的共享密钥。

    • 协议:您可能需要在 AWS 托管的 Microsoft AD DCs 和 RADIUS 服务器之间配置身份验证协议。支持的协议有 PAP、CHAP MS-CHAPv1 和 MS-CHAPv2。建议使用 CHAPv2 MS-,因为它提供了这三个选项中最强的安全性。

    • 应用程序名称:在某些 RADIUS 服务器中为可选设置,通常用于在消息或报告中标识应用程序。

  2. 配置现有网络,允许从 RADIUS 客户端(AWS 托管的 Microsoft AD DCs DNS 地址,参见步骤 1)到您的 RADIUS 服务器端口的入站流量。

  3. 在您的 AWS 托管 Microsoft AD 域中的亚马逊 EC2 安全组中添加一条规则,允许来自之前定义的 RADIUS 服务器 DNS 地址和端口号的入站流量。有关更多信息,请参阅EC2 用户指南中的向安全组添加规则

有关将 AWS 托管 Microsoft AD 与 MFA 配合使用的更多信息,请参阅。为 AWS 托管的 Microsoft AD 启用多因素身份验证

创建你的 Microsoft AWS 托管广告

要创建新的 AWS 托管 Microsoft ADActive Directory,请执行以下步骤。在开始此过程之前,请确保已满足了创建 AWS Managed Microsoft AD 的先决条件中确定的先决条件。

创建托 AWS 管 Microsoft 广告

  1. AWS Directory Service 控制台导航窗格中,选择目录,然后选择设置目录

  2. 选择目录类型页面上,选择 AWS Managed Microsoft AD,然后选择下一步

  3. 输入目录信息页面上,提供以下信息:

    版本

    从 AWS 托管 Microsoft AD 的标准版或企业版中进行选择。有关版本的更多信息,请参阅 AWS Directory Service for Microsoft Active Directory

    目录 DNS 名称

    目录的完全限定名称,例如 corp.example.com

    注意

    如果您计划使用亚马逊 Route 53 进行 DNS,则您的 AWS 托管 Microsoft AD 的域名必须与您的 Route 53 域名不同。如果 Route 53 和 AWS 托管 Microsoft AD 共享相同的域名,则可能会出现 DNS 解析问题。

    目录 NetBIOS 名称

    目录的短名称,如 CORP

    目录描述

    目录的可选描述。创建您的 AWS 托管 Microsoft AD 后,可以更改此描述。

    管理员密码

    目录管理员的密码。目录创建过程将创建一个具有 Admin 用户名和此密码的管理员账户。你可以在创建 AWS 托管 Microsoft AD 后更改管理员密码。

    密码不能包含单词“admin”。

    目录管理员密码区分大小写,且长度必须介于 8 到 64 (含) 个字符之间。至少,它还必须包含下列四种类别中三种类别的一个字符:

    • 小写字母 (a-z)

    • 大写字母 (A-Z)

    • 数字 (0-9)

    • 非字母数字字符 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    确认密码

    重新键入管理员密码。

    (可选)用户和组管理

    要从中启用 AWS 托管 Microsoft AD 用户和群组管理 AWS Management Console,请在中选择管理用户和群组管理 AWS Management Console。有关如何使用用户和组管理的更多信息,请参阅使用 AWS Management Console、 AWS CLI或, AWS 管理托管的 Microsoft AD 用户和群组 AWS Tools for PowerShell

  4. Choose VPC and subnets (选择 VPC 和子网) 页面上,提供以下信息,然后选择 Next (下一步)

    VPC

    目录的 VPC。

    子网

    为域控制器选择子网。两个子网必须位于不同的可用区。

  5. Review & create (检查并创建) 页面上,检查目录信息并进行任何必要的更改。如果信息正确,请选择 Create directory (创建目录)。创建目录需要 20 到 40 分钟。创建后,Status 值将更改为 Active

有关使用 AWS 托管 Microsoft AD 创建的内容的更多信息,请参阅以下内容: