Erste Schritte mit AWS Managed Microsoft AD - AWS Directory Service
AWS Voraussetzungen für verwaltetes Microsoft ADAWS IAM Identity Center VoraussetzungenVoraussetzungen für Multifaktor-AuthentifizierungIhr AWS verwaltetes Microsoft AD erstellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit AWS Managed Microsoft AD

AWS Managed Microsoft AD erstellt ein vollständig verwaltetes, Microsoft Active Directory im AWS Cloud und wird betrieben von Windows Server 2019 und arbeitet auf den Funktionsebenen 2012 R2 Forest und Domain. Wenn Sie ein Verzeichnis mit AWS Managed Microsoft AD erstellen, AWS Directory Service erstellt zwei Domänencontroller und fügt den DNS Dienst in Ihrem Namen hinzu. Die Domain-Controller werden in verschiedenen Subnetzen in einem Amazon erstellt. Durch VPC diese Redundanz wird sichergestellt, dass Ihr Verzeichnis auch bei einem Ausfall zugänglich bleibt. Wenn Sie weitere Domain-Controller benötigen, können Sie diese später hinzufügen. Weitere Informationen finden Sie unter Bereitstellung zusätzlicher Domänencontroller für Ihr AWS verwaltetes Microsoft AD.

Themen

Voraussetzungen für die Erstellung eines AWS verwalteten Microsoft AD

So erstellen Sie ein AWS verwaltetes Microsoft AD Active Directory, du benötigst einen Amazon VPC mit folgenden Eigenschaften:

  • Mindestens zwei Subnetze. Jedes dieser Subnetze muss sich in einer anderen Availability Zone befinden.

  • Der VPC muss über eine standardmäßige Hardware-Tenancy verfügen.

  • Sie können kein AWS verwaltetes Microsoft AD in einem erstellen, VPC indem Sie Adressen im 198.18.0.0/15-Adressraum verwenden.

Wenn Sie Ihre AWS verwaltete Microsoft AD-Domäne in eine bestehende lokale Domäne integrieren müssen Active Directory Domäne, Sie müssen die Funktionsebenen Gesamtstruktur und Domäne für Ihre lokale Domäne auf eingestellt haben Windows Server 2003 oder höher.

AWS Directory Service verwendet zwei VPC Strukturen. Die EC2 Instanzen, aus denen Ihr Verzeichnis besteht, laufen außerhalb Ihres AWS Kontos und werden von verwaltet AWS. Sie haben zwei Netzwerkadapter ETH0 und ETH1. ETH0 ist der Verwaltungsadapter und existiert außerhalb Ihres Kontos. ETH1 wird in Ihrem Konto erstellt.

Der Verwaltungs-IP-Bereich des ETH 0-Netzwerks Ihres Verzeichnisses ist 198.18.0.0/15.

Ein Tutorial zum Erstellen der AWS Umgebung und von AWS Managed Microsoft AD finden Sie unterAWS Testumgebungs-Tutorials für Managed Microsoft AD.

AWS IAM Identity Center Voraussetzungen

Wenn Sie IAM Identity Center mit AWS Managed Microsoft AD verwenden möchten, müssen Sie sicherstellen, dass Folgendes zutrifft:

  • Ihr AWS verwaltetes Microsoft AD-Verzeichnis ist im Verwaltungskonto Ihrer AWS Organisation eingerichtet.

  • Ihre IAM Identity Center-Instanz befindet sich in derselben Region, in der Ihr AWS verwaltetes Microsoft AD-Verzeichnis eingerichtet ist.

Weitere Informationen finden Sie unter Voraussetzungen für IAM Identity Center im AWS IAM Identity Center Benutzerhandbuch.

Voraussetzungen für Multifaktor-Authentifizierung

Um die Multi-Faktor-Authentifizierung mit Ihrem AWS verwalteten Microsoft AD-Verzeichnis zu unterstützen, müssen Sie entweder Ihren lokalen oder cloudbasierten Remote Authentication Dial-In User Service (RADIUS) -Server wie folgt konfigurieren, damit er Anfragen von Ihrem AWS verwalteten Microsoft AD-Verzeichnis in annehmen kann. AWS

  1. Erstellen Sie auf Ihrem RADIUS Server zwei RADIUS Clients, die beide AWS verwalteten Microsoft AD-Domänencontroller (DCs) in repräsentieren AWS. Sie müssen beide Clients mit den folgenden gemeinsamen Parametern konfigurieren (Ihr RADIUS Server kann variieren):

    • Adresse (DNSoder IP): Dies ist die DNS Adresse für eines der AWS verwalteten Microsoft ADDCs. Beide DNS Adressen finden Sie in der AWS Directory Service Console auf der Detailseite des AWS verwalteten Microsoft AD-Verzeichnisses, in dem Sie sie verwenden möchtenMFA. Die angezeigten DNS Adressen stellen die IP-Adressen für beide AWS verwalteten Microsoft AD darDCs, die von verwendet werden AWS.

      Anmerkung

      Wenn Ihr RADIUS Server DNS Adressen unterstützt, müssen Sie nur eine RADIUS Client-Konfiguration erstellen. Andernfalls müssen Sie für jedes AWS verwaltete Microsoft AD DC eine RADIUS Client-Konfiguration erstellen.

    • Portnummer: Konfigurieren Sie die Portnummer, für die Ihr RADIUS Server RADIUS Client-Verbindungen akzeptiert. Der RADIUS Standardport ist 1812.

    • Gemeinsamer geheimer Schlüssel: Geben Sie einen gemeinsamen geheimen Schlüssel ein, den der RADIUS Server für die Verbindung mit RADIUS Clients verwendet, oder generieren Sie einen solchen.

    • Protokoll: Möglicherweise müssen Sie das Authentifizierungsprotokoll zwischen dem AWS verwalteten Microsoft AD DCs und dem RADIUS Server konfigurieren. Die unterstützten Protokolle sind PAP CHAP MS CHAPv1 - und MS-CHAPv2. MS- CHAPv2 wird empfohlen, da es die stärkste Sicherheit der drei Optionen bietet.

    • Anwendungsname: Dies kann auf einigen RADIUS Servern optional sein und identifiziert die Anwendung normalerweise in Nachrichten oder Berichten.

  2. Konfigurieren Sie Ihr vorhandenes Netzwerk so, dass eingehender Datenverkehr von den RADIUS Clients (AWS verwaltete Microsoft DCs DNS AD-Adressen, siehe Schritt 1) zu Ihrem RADIUS Serverport zugelassen wird.

  3. Fügen Sie der EC2 Amazon-Sicherheitsgruppe in Ihrer AWS verwalteten Microsoft AD-Domain eine Regel hinzu, die eingehenden Datenverkehr von der zuvor definierten RADIUS DNS Serveradresse und Portnummer zulässt. Weitere Informationen finden Sie unter Hinzufügen von Regeln zu einer Sicherheitsgruppe im EC2Benutzerhandbuch.

Weitere Informationen zur Verwendung von AWS Managed Microsoft AD mit MFA finden Sie unterAktivierung der Multi-Faktor-Authentifizierung für AWS Managed Microsoft AD.

Ihr AWS verwaltetes Microsoft AD erstellen

So erstellen Sie ein neues AWS verwaltetes Microsoft AD Active Directory, führen Sie die folgenden Schritte aus. Bevor Sie dieses Verfahren beginnen, stellen Sie sicher, dass Sie die in Voraussetzungen für die Erstellung eines AWS verwalteten Microsoft AD angegebenen Voraussetzungen erfüllt haben.

So erstellen Sie ein AWS verwaltetes Microsoft AD

  1. Wählen Sie im Navigationsbereich AWS Directory Service -Konsole den Eintrag Verzeichnisse und wählen Sie Verzeichnis einrichten aus.

  2. Wählen Sie auf der Seite Verzeichnistyp auswählen die Option AWS Managed Microsoft AD aus und klicken Sie dann auf Weiter.

  3. Geben Sie auf der Seite Enter directory information (Verzeichnisinformationen eingeben) die folgenden Informationen ein:

    Edition

    Wählen Sie zwischen der Standard Edition oder der Enterprise Edition von AWS Managed Microsoft AD. Weitere Informationen zu Editionen finden Sie unter AWS Directory Service für Microsoft Active Directory.

    DNSName des Verzeichnisses

    Den vollständig qualifizierten Namen für das Verzeichnis, z. B. corp.example.com.

    Anmerkung

    Wenn Sie Amazon Route 53 für verwenden möchtenDNS, muss sich der Domainname Ihres AWS Managed Microsoft AD von Ihrem Route 53-Domainnamen unterscheiden. DNSLösungsprobleme können auftreten, wenn Route 53 und AWS Managed Microsoft AD denselben Domänennamen verwenden.

    BIOSNetzwerkname des Verzeichnisses

    Die kurzen Namen für das Verzeichnis, z. B. CORP.

    Verzeichnisbeschreibung

    Eine optionale Beschreibung des Verzeichnisses. Diese Beschreibung kann nach der Erstellung Ihres AWS Managed Microsoft AD geändert werden.

    Administratorpasswort

    Das Passwort für den Verzeichnisadministrator. Mit der Verzeichniserstellung wird ein Administratorkonto mit dem Benutzernamen Admin und diesem Passwort angelegt. Sie können das Admin-Passwort ändern, nachdem Sie Ihr AWS Managed Microsoft AD erstellt haben.

    Das Passwort darf das Wort „admin“ nicht beinhalten.

    Das Verzeichnisadministrator-Passwort unterscheidet zwischen Groß-/ Kleinschreibung und muss zwischen 8 und 64 Zeichen lang sein. Zudem muss es mindestens ein Zeichen aus dreien der vier folgenden Kategorien enthalten:

    • Kleinbuchstaben (a – z)

    • Großbuchstaben (A – Z)

    • Zahlen (0 – 9)

    • Nicht-alphanumerische Zeichen (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Confirm password (Passwort bestätigen)

    Geben Sie das Administratorpasswort erneut ein.

    (Optional) Benutzer- und Gruppenverwaltung

    Um die AWS verwaltete Microsoft AD-Benutzer- und Gruppenverwaltung von zu aktivieren AWS Management Console, wählen Sie Benutzer- und Gruppenverwaltung verwalten in der AWS Management Console. Weitere Informationen zur Verwendung der Benutzer- und Gruppenverwaltung finden Sie unterAWS Verwaltete Microsoft AD-Benutzer und -Gruppen mit dem AWS Management Console oder AWS CLI.

  4. Geben Sie auf der Seite Choose VPC and subnets die folgenden Informationen ein, und klicken Sie dann auf Weiter.

    VPC

    Die VPC für das Verzeichnis.

    Subnets

    Wählen Sie Subnetze für die Domain-Controller aus. Die beiden Subnetze müssen zu verschiedenen Availability-Zonen gehören.

  5. Überprüfen Sie auf der Seite Review & create (Überprüfen und erstellen) die Verzeichnisinformationen und nehmen Sie gegebenenfalls Änderungen vor. Wenn die Informationen richtig sind, wählen Sie Create directory (Verzeichnis erstellen). Das Erstellen des Verzeichnisses dauert 20 bis 40 Minuten. Sobald sie erstellt wurden, ändert sich der Status in Active.

Weitere Informationen darüber, was mit Ihrem AWS Managed Microsoft AD erstellt wird, finden Sie im Folgenden: