混合目錄先決條件 - AWS Directory Service
Microsoft Active Directory 網域需求必要的 Active Directory 服務Kerberos支援的加密類型連接埠許可Amazon VPC安全群組評估限制

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

混合目錄先決條件

混合目錄將您的自我管理 Active Directory 延伸到 AWS 雲端。在建立混合目錄之前,請確定您的環境符合下列要求:

Microsoft Active Directory 網域需求

在建立混合目錄之前,請確保您的自我管理 AD 環境和基礎設施符合下列要求,並收集必要的資訊。

網域需求

您的自我管理 AD 環境必須符合下列要求:

  • 使用 Windows Server 2012 R2或 2016功能層級。

  • 使用標準網域控制站來評估混合目錄的建立。唯讀網域控制站 (RODC) 無法用於建立混合目錄。

  • 有兩個網域控制站,所有Active Directory服務都執行中。

  • 主要網域控制站 (PDC) 必須隨時可路由。

    具體而言,自我管理 AD 的 PDC 模擬器和 RID 主 IPs 必須位於下列其中一個類別:

    • RFC1918 私有 IP 地址範圍的一部分 (10.0.0.0/8、172.16.0.0/12 或 192.168.0.0/16)

    • 在您的 VPC CIDR 範圍內

    • 比對 目錄自我管理執行個體的 DNS IPs

    您可以在建立混合目錄之後新增目錄的其他 IP 路由。

必要資訊

收集有關自我管理 AD 的下列資訊:

  • 目錄 DNS 名稱

  • 目錄 DNS IPs

  • 具有自我管理 AD 管理員許可的服務帳戶憑證

  • AWS 儲存服務帳戶登入資料的秘密 ARN (請參閱 AWS 混合目錄的秘密 ARN)

AWS 混合目錄的秘密 ARN

若要使用自我管理 AD 設定混合目錄,您需要建立 KMS 金鑰來加密 AWS 秘密,然後建立秘密本身。這兩個資源都必須在 AWS 帳戶 包含混合目錄的相同 中建立。

建立 KMS 金鑰

KMS 金鑰用於加密您的 AWS 秘密。

重要

對於加密金鑰,請勿使用 AWS 預設 KMS 金鑰。請務必在相同 中建立 AWS KMS 金鑰 AWS 帳戶 ,其中包含您要建立以加入自我管理 AD 的混合目錄。

建立 AWS KMS 金鑰

  1. 在 AWS KMS 主控台中,選擇建立金鑰

  2. 對於金鑰類型,選擇對稱

  3. 對於金鑰用途,選擇加密和解密

  4. 針對 Advanced options (進階選項)

    1. 對於金鑰材料來源,選擇 KMS

    2. 針對區域性,選擇單一區域金鑰,然後選擇下一步

  5. 對於別名,提供 KMS 金鑰的名稱。

  6. (選用) 對於描述,提供 KMS 金鑰的描述。

  7. (選用) 針對標籤,新增 KMS 金鑰的標籤,然後選擇下一步

  8. 針對金鑰管理員,選取 IAM 使用者。

  9. 針對金鑰刪除,請保留允許金鑰管理員刪除此金鑰的預設選擇,然後選擇下一步

  10. 對於金鑰使用者,從上一個步驟中選取相同的 IAM 使用者,然後選擇下一步

  11. 檢閱組態。

  12. 針對金鑰政策,將下列陳述式新增至政策:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::caller-account:role/role_used_to_create_directory"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    { 
       "Sid": "Allow use of the KMS key on behalf of Directory Service", 
       "Effect": "Allow", 
       "Principal": {
         "Service": "ds.amazonaws.com"
       }, 
       "Action": "kms:Decrypt", 
       "Resource": "*"
    }
  ]
}

  13. 選擇 Finish (完成)。

建立 AWS 秘密

在 Secrets Manager 中建立秘密,以存放自我管理 AD 使用者帳戶的登入資料。

重要

在包含您要與自我管理 AD 加入之混合目錄 AWS 帳戶 的相同 中建立秘密。

若要建立機密

  • 在 Secrets Manager 中,選擇儲存新的秘密

  • 針對秘密類型,選擇其他類型的秘密

  • 對於金鑰/值對,新增兩個金鑰:

  1. 新增使用者名稱金鑰

    1. 對於第一個金鑰,輸入 customerAdAdminDomainUsername

    2. 對於第一個金鑰的值,請僅輸入 AD 使用者的使用者名稱 (不含網域字首)。請勿包含網域名稱,因為這會導致執行個體建立失敗。

  2. 新增密碼金鑰

    1. 對於第二個金鑰,輸入 customerAdAdminDomainPassword

    2. 對於第二個金鑰的值,輸入您在網域上為 AD 使用者建立的密碼。

完成秘密組態

  1. 針對加密金鑰,選取您在 中建立的 KMS 金鑰建立 KMS 金鑰,然後選擇下一步

  2. 針對秘密名稱,輸入秘密的描述。

  3. (選用) 針對描述,輸入秘密的描述。

  4. 選擇下一步

  5. 對於設定輪換設定,保留預設值並選擇下一步

  6. 檢閱秘密的設定,然後選擇儲存

  7. 選擇您建立的秘密,然後複製秘密 ARN 的值。您將在下一個步驟中使用此 ARN 來設定自我管理 Active Directory。

基礎設施需求

準備下列基礎設施元件:

  • 具有 SSM 代理程式管理員權限的兩個 AWS Systems Manager 節點

    • 如果您的 Active Directory 是在 外部自我管理 AWS 雲端,則混合多雲端環境將需要兩個 Systems Manager 節點。如需如何佈建這些節點的詳細資訊,請參閱為混合多雲端環境設定 Systems Manager

    • 如果您的 Active Directory 是在 內自我管理 AWS 雲端,您將需要兩個 Systems Manager 受管 EC2 執行個體。如需如何佈建這些執行個體的詳細資訊,請參閱使用 Systems Manager 管理 EC2 執行個體

必要的 Active Directory 服務

確保您的自我管理 AD 上執行下列服務:

  • Active Directory Domain Services

  • Active Directory Web Service (ADWS)

  • COM+ 事件系統

  • 分散式檔案系統複寫 (DFSR)

  • 網域名稱系統 (DNS)

  • DNS 伺服器

  • 群組政策用戶端

  • 站台間傳訊

  • 遠端程序呼叫 (RPC)

  • 安全帳戶管理員

  • Windows Time 伺服器

    注意

    混合目錄需要同時開啟 UDP 連接埠 123,並啟用和運作 Windows Time Server。我們會與您的網域控制器同步時間,以確保混合目錄複寫正常運作。

Kerberos 身分驗證要求

您的使用者帳戶必須啟用 Kerberos 預先驗證。如需如何啟用此設定的詳細指示,請參閱確定已啟用 Kerberos 預先驗證。如需此設定的一般資訊,請前往 Microsoft TechNet 上的預先驗證

支援的加密類型

透過 Kerberos 驗證Active Directory網域控制站時,混合目錄支援下列加密類型:

  • AES-256-HMAC

網路連接埠需求

若要 AWS 讓 擴展自我管理Active Directory網域控制站,現有網路的防火牆必須CIDRs針對 Amazon VPC 中的兩個子網路,將下列連接埠開放給 :

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 身分驗證

  • UDP 123 - 時間伺服器

  • TCP 135 - 遠端程序呼叫

  • TCP/UDP 389 - LDAP

  • TCP 445 - SMB

  • TCP 636 - 僅適用於具有輕量型目錄存取通訊協定安全 (LDAPS) 的環境

  • TCP 49152-65535 - RPC 隨機配置的高 TCP 連接埠

  • TCP 3268 和 3269 - 全域目錄

  • TCP 9389 Active Directory Web Services (ADWS)

這些是建立混合目錄所需的最小連接埠。您特定的組態可能需要開啟其他連接埠。

注意

為您的網域控制站和 FSMO 角色持有者提供的 DNS IPs,必須對 Amazon VPC 中兩個子網路CIDRs 開放上述連接埠。

注意

混合目錄需要同時開啟 UDP 連接埠 123,並啟用和運作 Windows Time Server。我們會與您的網域控制器同步時間,以確保混合目錄複寫正常運作。

AWS 帳戶 許可

您將需要下列動作的許可 AWS 帳戶:

  • ec2:AuthorizeSecurityGroupEgress

  • ec2:AuthorizeSecurityGroupIngress

  • ec2:CreateNetworkInterface

  • ec2:CreateSecurityGroup

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribeSubnets

  • ec2:DescribeVpcs

  • ec2:CreateTags

  • ec2:CreateNetworkInterfacePermission

  • ssm:ListCommands

  • ssm:GetCommandInvocation

  • ssm:GetConnectionStatus

  • ssm:SendCommand

  • secretsmanager:DescribeSecret

  • secretsmanager:GetSecretValue

  • iam:GetRole

  • iam:CreateServiceLinkedRole

Amazon VPC 網路需求

具有下列項目的 VPC:

  • 至少兩個子網路。每個子網路都必須位於不同的可用區域

  • VPC 必須具有預設租用

您不能使用 198.18.0.0/15 地址空間中的地址在 VPC 中建立混合目錄。

AWS Directory Service 使用兩個 VPC 結構。組成目錄的 EC2 執行個體會在您的 外部執行 AWS 帳戶,並由 管理 AWS。其使用兩種網路轉接器,ETH0ETH1ETH0 是管理轉接器,而且位於您的帳戶外部。ETH1 則是建立於您的帳戶內部。

目錄的 ETH0 網路管理 IP 範圍為 198.18.0.0/15

如需詳細資訊,請參閱 Amazon VPC 使用者指南 中的下列主題:

如需詳細資訊 AWS Direct Connect,請參閱什麼是 AWS Direct Connect?

AWS 安全群組組態

根據預設, 會 AWS 連接安全群組,以允許網路存取 VPC AWS Systems Manager 中的受管節點。您可以選擇性地提供自己的安全群組,允許網路流量往返 VPC 外部的自我管理網域控制站。

您可以選擇性地提供自己的安全群組,允許網路流量往返 VPC 外部的自我管理網域控制站。如果您提供自己的安全群組,則需要:

  • 允許列出您的VPC CIDR範圍和自我管理的範圍。

  • 確保這些範圍不會與AWS 預留 IP 範圍重疊

目錄評估考量事項

以下是建立目錄評估和您可以在 中擁有的評估數量時的考量 AWS 帳戶:

  • 當您建立混合目錄時,會自動建立目錄評估。評估有兩種類型: CUSTOMERSYSTEM。您的 AWS 帳戶 有 100 個CUSTOMER目錄評估的限制。

  • 如果您嘗試建立混合目錄,並且已經有 100 個CUSTOMER目錄評估,則您會遇到錯誤。刪除評估以釋放容量,然後再試一次。

  • 您可以聯絡 支援 或刪除現有的 CUSTOMER CUSTOMER目錄評估以釋放容量,請求提高目錄評估配額。