AWS License Manager 使用共用的跨帳戶入門 AWS Managed Microsoft AD - AWS License Manager
術語先決條件限制網路架構如何設定跨帳戶 License Manager 功能故障診斷其他資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS License Manager 使用共用的跨帳戶入門 AWS Managed Microsoft AD

AWS License Manager 支援使用共用的跨帳戶功能 AWS Managed Microsoft AD,可讓組織從目錄擁有者帳戶集中管理使用者訂閱,同時跨多個帳戶部署執行個體。

術語

  • 目錄擁有者帳戶 - 受管 AD 存在且也負責管理訂閱的授權管理員帳戶。

  • 目錄消費者帳戶 - 您使用共用 AD 來啟動使用者訂閱執行個體 AWS 的帳戶。

先決條件

開始之前,請確定您已:

限制

  • 使用者訂閱管理僅限於目錄擁有者帳戶。

  • 不支援跨區域共用。

  • 透過目錄擁有者帳戶合併計費 - 所有訂閱成本都會向目錄擁有者帳戶計費,不過訂閱可以存在於多個帳戶中。

  • 帳戶之間需要網路連線。

網路架構

如何設定跨帳戶 License Manager 功能

若要設定跨帳戶 License Manager 功能:

  1. 設定目錄擁有者帳戶/授權管理員帳戶。

  2. 設定目錄消費者帳戶。

  3. 建立網路連線。

  4. 部署執行個體和管理使用者關聯。

步驟 1:設定目錄擁有者/授權管理員帳戶

建立和共用 AWS Managed Microsoft AD

  1. 如果 VPC 中不存在,請在 VPC AWS Managed Microsoft AD 中建立 。

  2. 與目錄消費者帳戶共用目錄,如共用目錄中所述。

  3. 確保目錄已正確設定所需的使用者和群組。

訂閱 產品

  1. 導覽至 AWS Marketplace。

  2. 尋找並訂閱您需要的產品、Visual Studio 或 Office 和 RDS SAL。

  3. 使用 License Manager Create Grants 與目錄消費者帳戶共用 Visual Studio 或 Office 訂閱。或者,您可以訂閱這些帳戶中 AWS Marketplace 的產品,因為這不會影響帳單。請參閱授予的授權

  4. 確認訂閱狀態為作用中。

向 License Manager 註冊

  1. 開啟 License Manager 主控台。

  2. 導覽至以使用者為基礎的訂閱設定

  3. 選取註冊身分提供者

  4. 選擇您的 AWS Managed Microsoft AD。

  5. 完成註冊程序。

步驟 2:設定目錄消費者帳戶 - 具有共用 AD 的帳戶

接受共用目錄

  1. 開啟 AWS Directory Service 主控台。

  2. 導覽至共用目錄

  3. 尋找並接受共用目錄邀請。

  4. 請記下您帳戶中指派的新目錄 ID。

接受 MP 訂閱

在 License Manager Grants 中,接受 AWS Marketplace 產品的授權。或者, AWS Marketplace 訂閱 產品。在 CreateGrant API 中進一步了解)。

向 License Manager 註冊

  1. 開啟 License Manager 主控台。

  2. 導覽至以使用者為基礎的訂閱,然後選擇產品。

  3. 使用共用目錄 ID 和產品註冊。

  4. 驗證註冊狀態。

步驟 3:在 VPCs之間建立網路連線

若要將 Amazon Amazon EC2 執行個體加入目錄,您需要在 VPCs之間建立網路連線。有幾個選項可在兩個 VPCs之間建立網路連線。本節說明如何使用 Amazon VPC 對等互連。

設定 VPC 對等互連

  1. 在目錄擁有者 VPC-0 和目錄消費者 VPC-1 之間建立一個 VPC 互連連線,然後在目錄擁有者 VPC-0 和目錄消費者 VPC-2 之間建立另一個連線。 VPC-0 VPC-1

  2. 將路由新增至指向 VPCs 對等連線的 VPC 路由表,以將流量路由至對等連線中的其他 VPC,以啟用對等 VPC 之間的流量路由。

  3. 透過新增與目錄擁有者 VPC-0 的對等連線,設定每個目錄消費者 VPC 路由表。如果需要,您也可以建立網際網路閘道並將其連接至目錄消費者 VPCs。這可讓目錄消費者 VPCs中的執行個體與執行網域聯結的 Amazon EC2 Systems Manager 代理程式通訊。

設定安全群組

AWS Managed Microsoft AD 通訊協定和連接埠新增至傳出規則表,以設定目錄消費者 VPCs的安全群組來啟用傳出流量。此外,請將目錄網域控制站 VPCs的安全群組設定為透過將 AWS Managed Microsoft AD 通訊協定和連接埠新增至傳入規則表來啟用傳入流量,以允許來自目錄消費者帳戶的流量。

安全群組要求

消費者帳戶 VPCs:

  • 啟用對目錄擁有者 VPC 的傳出流量

  • 允許在必要的 AD 連接埠上進行通訊

目錄擁有者 VPC:

  • 設定來自消費者 VPCs傳入流量

  • 新增必要的 AWS Managed Microsoft AD 通訊協定和連接埠,包括:

    • TCP 53 (DNS)

    • UDP 53 (DNS)

    • TCP 88 (Kerberos)

    • UDP 88 (Kerberos)

    • TCP 135 (RPC)

    • TCP 389 (LDAP)

    • UDP 389 (LDAP)

    • TCP 445 (SMB)

    • TCP 464 (Kerberos 密碼)

    • UDP 464 (Kerberos 密碼)

    • TCP 636 (LDAPS)

    • TCP 3268-3269 (全域目錄)

    • TCP 1024-65535 (動態 RPC)

步驟 4:部署執行個體和管理使用者關聯

訂閱使用者 (僅限目錄擁有者帳戶)

  1. 開啟 License Manager 主控台。

  2. 導覽至以使用者為基礎的訂閱

  3. 選取訂閱使用者

  4. 輸入 AWS Managed Microsoft AD 使用者識別符

  5. 選擇產品並確認訂閱。

啟動執行個體

在任何帳戶中執行此步驟。

  1. 導覽至 Amazon EC2 主控台。

  2. 選擇 Launch Instance (啟動執行個體)

  3. 選取適當的 License Manager AMI。

  4. 設定聯網設定。

  5. 檢閱並啟動。

將使用者與執行個體建立關聯

在執行個體存在的任何帳戶中執行此步驟。

  1. 開啟 License Manager 主控台。

  2. 導覽至 使用者關聯

  3. 選取目標執行個體。

  4. 選擇關聯使用者

  5. 輸入 AWS Managed Microsoft AD 使用者名稱。

  6. 確認關聯。

故障診斷

常見問題和解決方案:

網域聯結失敗

  1. 驗證帳戶之間的網路連線。

  2. 檢查安全群組組態。

  3. 確認 DNS 解析正常運作。

  4. 驗證路由表項目。

使用者訂閱問題

  1. 確認使用者存在於其中 AWS Managed Microsoft AD。

  2. 驗證目錄擁有者帳戶中的訂閱狀態。

  3. 檢查網路連線。

  4. 檢閱錯誤日誌。

網路連線問題

  1. 測試 VPC 對等互連狀態。

  2. 驗證路由表組態。

  3. 檢查安全群組規則。

  4. 確認 DNS 解析。

DNS 解析問題

  1. 驗證 DHCP 選項集。

  2. 檢查 DNS 伺服器組態。

  3. 從取用者執行個體測試名稱解析。

其他資源