本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 混合目錄先決條件
混合目錄將您的自我管理 Active Directory 延伸到 AWS 雲端。在建立混合目錄之前,請確定您的環境符合下列要求:
## Microsoft Active Directory 網域需求
在建立混合目錄之前,請確保您的自我管理 AD 環境和基礎設施符合下列要求,並收集必要的資訊。
### 網域需求
您的自我管理 AD 環境必須符合下列要求:
+ 使用 Windows Server 2012 R2或 2016功能層級。
+ 使用標準網域控制站來評估混合目錄的建立。唯讀網域控制站 (RODC) 無法用於建立混合目錄。
+ 有兩個網域控制站,所有 Active Directory 服務都正在執行。
+ 主要網域控制器 (PDC) 必須隨時可路由。
具體而言,自我管理 AD 的 PDC 模擬器和 RID 主 IPs 必須位於下列其中一個類別:
+ RFC1918 私有 IP 地址範圍的一部分 (10.0.0.0/8、172.16.0.0/12 或 192.168.0.0/16)
+ 在您的 VPC CIDR 範圍內
+ 比對 目錄自我管理執行個體的 DNS IPs
您可以在建立混合目錄之後新增目錄的其他 IP 路由。
### 必要資訊
收集有關自我管理 AD 的下列資訊:
+ 目錄 DNS 名稱
+ 目錄 DNS IPs
+ 具有自我管理 AD 管理員許可的服務帳戶憑證
+ AWS 儲存服務帳戶登入資料的秘密 ARN (請參閱 [AWS 混合目錄的秘密 ARN](#aws_secret_arn_for_hybrid))
### AWS 混合目錄的秘密 ARN
若要使用自我管理 AD 設定混合目錄,您需要建立 KMS 金鑰來加密 AWS 秘密,然後建立秘密本身。這兩個資源都必須在 AWS 帳戶 包含混合目錄的相同 中建立。
#### 建立 KMS 金鑰
KMS 金鑰用於加密您的 AWS 秘密。
**重要**
對於**加密金鑰**,請不要使用 AWS 預設 KMS 金鑰。請務必在相同 中建立 AWS KMS 金鑰 AWS 帳戶 ,其中包含您要建立以加入自我管理 AD 的混合目錄。
**建立 AWS KMS 金鑰**
1. 在 AWS KMS 主控台中,選擇**建立金鑰**。
1. 對於**金鑰類型**,選擇**對稱**。
1. 對於**金鑰用途**,選擇**加密和解密**。
1. 針對 **Advanced options (進階選項)**:
1. 對於**金鑰材料來源**,選擇 **KMS**。
1. 針對**區域性**,選擇**單一區域金鑰**,然後選擇**下一步**。
1. 對於**別名**,提供 KMS 金鑰的名稱。
1. (選用) 對於**描述**,提供 KMS 金鑰的描述。
1. (選用) 針對**標籤**,新增 KMS 金鑰的標籤,然後選擇**下一步**。
1. 針對**金鑰管理員**,選取 IAM 使用者。
1. 對於**金鑰刪除**,請保留**允許金鑰管理員刪除此金鑰**的預設選擇,然後選擇**下一步**。
1. 對於**金鑰使用者**,從上一個步驟中選取相同的 IAM 使用者,然後選擇**下一步**。
1. 檢閱組態。
1. 針對**金鑰政策**,將下列陳述式新增至政策:
1. 選擇**完成**。
#### 建立 AWS 秘密
在 Secrets Manager 中建立秘密,以存放自我管理 AD 使用者帳戶的登入資料。
**重要**
在包含您要與自我管理 AD 加入之混合目錄 AWS 帳戶 的相同 中建立秘密。
若要建立機密
+ 在 Secrets Manager 中,選擇**儲存新的秘密**
+ 針對**秘密類型**,選擇**其他類型的秘密**
+ 對於**金鑰/值對**,新增兩個金鑰:
1. 新增使用者名稱金鑰
1. 對於第一個金鑰,輸入 `customerAdAdminDomainUsername`。
1. 對於第一個金鑰的值,僅輸入 AD 使用者的使用者名稱 (不含網域字首)。請勿包含網域名稱,因為這會導致執行個體建立失敗。
1. 新增密碼金鑰
1. 對於第二個金鑰,輸入 `customerAdAdminDomainPassword`。
1. 對於第二個金鑰的值,輸入您在網域上為 AD 使用者建立的密碼。
##### 完成秘密組態
1. 針對**加密金鑰**,選取您在 中建立的 KMS 金鑰[建立 KMS 金鑰](#create_kms_key_for_hybrid),然後選擇**下一步**。
1. 針對**秘密名稱**,輸入秘密的描述。
1. (選用) 針對**描述**,輸入秘密的描述。
1. 選擇**下一步**。
1. 對於**設定輪換設定**,保留預設值並選擇**下一步**。
1. 檢閱秘密的設定,然後選擇**儲存**。
1. 選擇您建立的秘密,然後複製**秘密 ARN** 的值。您將在下一個步驟中使用此 ARN 來設定自我管理 Active Directory。
### 基礎設施需求
準備下列基礎設施元件:
+ 具有 SSM 代理程式管理員權限的兩個 AWS Systems Manager 節點
+ 如果您的 Active Directory 在 **外部自我管理 AWS 雲端**,您將需要兩個 Systems Manager 節點,用於混合多雲端環境。如需如何佈建這些節點的詳細資訊,請參閱[為混合多雲端環境設定 Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-hybrid-multicloud.html)。
+ 如果您的 Active Directory 在 **中自我管理 AWS 雲端**,您將需要兩個 Systems Manager 受管 EC2 執行個體。如需如何佈建這些執行個體的詳細資訊,請參閱[使用 Systems Manager 管理 EC2 執行個體](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html)。
## 必要的 Active Directory 服務
確保您的自我管理 AD 上執行下列服務:
+ Active Directory Domain Services
+ Active Directory Web Service (ADWS)
+ COM\$1 事件系統
+ 分散式檔案系統複寫 (DFSR)
+ 網域名稱系統 (DNS)
+ DNS 伺服器
+ 群組政策用戶端
+ 站台間傳訊
+ 遠端程序呼叫 (RPC)
+ 安全帳戶管理員
+ Windows Time 伺服器
**注意**
混合目錄需要同時開啟 UDP 連接埠 123,並啟用和運作 Windows Time Server。我們會與您的網域控制器同步時間,以確保混合目錄複寫正常運作。
## Kerberos 身分驗證要求
您的使用者帳戶必須啟用 Kerberos 預先驗證。如需如何啟用此設定的詳細說明,請參閱[確定已啟用 Kerberos 預先驗證](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms-ad-tutorial-setup-trust-prepare-onprem.html#tutorial-setup-trust-enable-kerberos)。如需此設定的一般資訊,請前往 Microsoft TechNet 上的[預先驗證](http://technet.microsoft.com/en-us/library/cc961961.aspx)。
## 支援的加密類型
透過 Kerberos 驗證至 Active Directory 網域控制站時,混合目錄支援下列加密類型:
+ AES-256-HMAC
## 網路連接埠需求
若要 AWS 讓 擴展自我管理 Active Directory 網域控制站,現有網路的防火牆必須CIDRs針對 Amazon VPC 中的兩個子網路,將下列連接埠開放給 :
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Kerberos 身分驗證
+ UDP 123 - 時間伺服器
+ TCP 135 - 遠端程序呼叫
+ TCP/UDP 389 - LDAP
+ TCP 445 - SMB
+ TCP 636 - 僅適用於具有輕量型目錄存取通訊協定安全 (LDAPS) 的環境
+ TCP 49152-65535 - RPC 隨機配置的高 TCP 連接埠
+ TCP 3268 和 3269 - 全域目錄
+ TCP 9389 Active Directory Web Services (ADWS)
這些是建立混合目錄所需的最小連接埠。您特定的組態可能需要開啟其他連接埠。
**注意**
為您的網域控制站和 FSMO 角色持有者提供的 DNS IPs,必須對 Amazon VPC 中兩個子網路CIDRs 開放上述連接埠。
**注意**
混合目錄需要同時開啟 UDP 連接埠 123,並啟用和運作 Windows Time Server。我們會與您的網域控制器同步時間,以確保混合目錄複寫正常運作。
## AWS 帳戶 許可
您將需要下列動作的許可 AWS 帳戶:
+ ec2:AuthorizeSecurityGroupEgress
+ ec2:AuthorizeSecurityGroupIngress
+ ec2:CreateNetworkInterface
+ ec2:CreateSecurityGroup
+ ec2:DescribeNetworkInterfaces
+ ec2:DescribeSubnets
+ ec2:DescribeVpcs
+ ec2:CreateTags
+ ec2:CreateNetworkInterfacePermission
+ ssm:ListCommands
+ ssm:GetCommandInvocation
+ ssm:GetConnectionStatus
+ ssm:SendCommand
+ secretsmanager:DescribeSecret
+ secretsmanager:GetSecretValue
+ iam:GetRole
+ iam:CreateServiceLinkedRole
## Amazon VPC 網路需求
具有下列項目的 VPC:
+ 至少兩個子網路。每個子網路都必須位於不同的可用區域
+ VPC 必須具有預設租用
您不能使用 198.18.0.0/15 地址空間中的地址在 VPC 中建立混合目錄。
Directory Service 使用兩個 VPC 結構。組成目錄的 EC2 執行個體會在您的 外部執行 AWS 帳戶,並由 管理 AWS。其使用兩種網路轉接器,`ETH0` 和 `ETH1`。`ETH0` 是管理轉接器,而且位於您的帳戶外部。`ETH1` 則是建立於您的帳戶內部。
目錄的 ETH0 網路管理 IP 範圍為 `198.18.0.0/15`。
如需詳細資訊,請參閱 *Amazon VPC 使用者指南* 中的下列主題:
+ [「什麼是 Amazon VPC?」](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started.html)
+ [「什麼是 Amazon VPC?」](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [VPCs和子網路](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#how-it-works-subnet)
+ [什麼是 AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC-VPN.html)
如需詳細資訊 AWS Direct Connect,請參閱[什麼是 AWS Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
## AWS 安全群組組態
根據預設, 會 AWS 連接安全群組,以允許網路存取 VPC AWS Systems Manager 中的受管節點。您可以選擇性地提供自己的安全群組,允許網路流量往返 VPC 外部的自我管理網域控制站。
您可以選擇性地提供自己的安全群組,允許網路流量往返 VPC 外部的自我管理網域控制站。如果您提供自己的安全群組,則需要:
+ 允許列出您的VPC CIDR範圍和自我管理的範圍。
+ 確保這些範圍不會與[AWS 預留 IP 範圍](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html)重疊
## 目錄評估考量事項
以下是建立目錄評估和您可以在 中擁有的評估數量時的考量 AWS 帳戶:
+ 當您建立混合目錄時,會自動建立目錄評估。評估有兩種類型: `CUSTOMER`和 `SYSTEM`。您的 AWS 帳戶 有 100 個`CUSTOMER`目錄評估的限制。
+ 如果您嘗試建立混合目錄,而且已經有 100 個`CUSTOMER`目錄評估,則您會遇到錯誤。刪除評估以釋放容量,然後再試一次。
+ 您可以聯絡 支援 或刪除現有的 CUSTOMER `CUSTOMER`目錄評估以釋放容量,請求提高目錄評估配額。