Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verbesserung Ihrer AWS Managed Microsoft AD-Netzwerksicherheitskonfiguration
Die AWS Sicherheitsgruppe, die für das AWS verwaltete Microsoft AD-Verzeichnis bereitgestellt wird, ist mit den minimalen eingehenden Netzwerkports konfiguriert, die erforderlich sind, um alle bekannten Anwendungsfälle für Ihr AWS verwaltetes Microsoft AD-Verzeichnis zu unterstützen. Weitere Informationen zur bereitgestellten AWS Sicherheitsgruppe finden Sie unter. Was wird mit Ihrem AWS Managed Microsoft AD erstellt
Um die Netzwerksicherheit Ihres AWS verwalteten Microsoft AD-Verzeichnisses weiter zu verbessern, können Sie die AWS Sicherheitsgruppe auf der Grundlage der folgenden gängigen Szenarien ändern.
Szenarien
AWS Unterstützung nur für Anwendungen
Alle Benutzerkonten werden nur in Ihrem AWS Managed Microsoft AD bereitgestellt und können mit unterstützten AWS Anwendungen verwendet werden, z. B. mit den folgenden:
Amazon Chime
Amazon Connect
Amazon QuickSight
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
AWS Client VPN
AWS Management Console
Sie können die folgende AWS Sicherheitsgruppenkonfiguration verwenden, um den gesamten unwichtigen Datenverkehr zu Ihren AWS verwalteten Microsoft AD-Domänencontrollern zu blockieren.
Anmerkung
Folgendes ist mit dieser AWS Sicherheitsgruppenkonfiguration nicht kompatibel:
EC2Amazon-Instanzen
Amazon FSx
Amazon RDS für mich SQL
Amazon RDS für Oracle
Amazon RDS für Postgre SQL
Amazon RDS für SQL Server
WorkSpaces
Active-Directory-Vertrauensstellungen
Mit der Domain verbundene Clients oder Server
Regeln für eingehenden Datenverkehr
Keine.
Regeln für ausgehenden Datenverkehr
Keine.
AWS nur Anwendungen mit Trust-Unterstützung
Alle Benutzerkonten werden in Ihrem AWS verwalteten Microsoft AD oder Ihrem vertrauenswürdigen Active Directory bereitgestellt und können mit unterstützten AWS Anwendungen verwendet werden, z. B. den folgenden:
Amazon Chime
Amazon Connect
Amazon QuickSight
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS Client VPN
AWS Management Console
Sie können die Konfiguration der bereitgestellten AWS Sicherheitsgruppe ändern, um den gesamten unwichtigen Datenverkehr zu Ihren AWS verwalteten Microsoft AD-Domänencontrollern zu blockieren.
Anmerkung
Folgendes ist mit dieser AWS Sicherheitsgruppenkonfiguration nicht kompatibel:
EC2Amazon-Instanzen
Amazon FSx
Amazon RDS für mich SQL
Amazon RDS für Oracle
Amazon RDS für Postgre SQL
Amazon RDS für SQL Server
WorkSpaces
Active-Directory-Vertrauensstellungen
Mit der Domain verbundene Clients oder Server
-
Bei dieser Konfiguration müssen Sie sicherstellen, dass das „lokaleCIDR“ Netzwerk sicher ist.
-
TCP445 wird nur zur Schaffung von Vertrauen verwendet und kann entfernt werden, nachdem das Vertrauen hergestellt wurde.
-
TCP636 ist nur erforderlich, wenn LDAP Over verwendet SSL wird.
Regeln für eingehenden Datenverkehr
| Protokoll | Port-Bereich | Quelle | Datenverkehrstyp | Verwendung von Active Directory |
|---|---|---|---|---|
| TCP & UDP | 53 | Lokal CIDR | DNS | Benutzer- und Computerauthentifizierung, Namensauflösung, Vertrauensstellungen |
| TCP & UDP | 88 | Vor Ort CIDR | Kerberos | Benutzer- und Computerauthentifizierung, Vertrauensstellungen auf Gesamtstrukturebene |
| TCP & UDP | 389 | Vor Ort CIDR | LDAP | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP & UDP | 464 | Vor Ort CIDR | Kerberos Passwort ändern/einrichten | Replikation, Benutzer- und Computerauthentifizierung, Vertrauensstellungen |
| TCP | 445 | Vor Ort CIDR | SMB / CIFS | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien-Vertrauensstellungen |
| TCP | 135 | Vor Ort CIDR | Replikation | RPC, EPM |
| TCP | 636 | Vor Ort CIDR | LDAP SSL | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 49152–65535 | Vor Ort CIDR | RPC | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 3268 - 3269 | Vor Ort CIDR | LDAPGC & LDAP GC SSL | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| UDP | 123 | Vor Ort CIDR | Windows-Uhrzeit | Windows-Uhrzeit, Vertrauensstellungen |
Regeln für ausgehenden Datenverkehr
| Protokoll | Port-Bereich | Quelle | Datenverkehrstyp | Verwendung von Active Directory |
|---|---|---|---|---|
| Alle | Alle | Vor Ort CIDR | Gesamter Datenverkehr |
AWS Unterstützung für Anwendungen und systemeigene Active Directory-Workloads
Benutzerkonten werden nur in Ihrem AWS Managed Microsoft AD bereitgestellt, um sie mit unterstützten AWS Anwendungen wie den folgenden zu verwenden:
Amazon Chime
Amazon Connect
EC2Amazon-Instanzen
Amazon FSx
Amazon QuickSight
Amazon RDS für mich SQL
Amazon RDS für Oracle
Amazon RDS für Postgre SQL
Amazon RDS für SQL Server
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
WorkSpaces
AWS Client VPN
AWS Management Console
Sie können die Konfiguration der bereitgestellten AWS Sicherheitsgruppe ändern, um den gesamten unwichtigen Datenverkehr zu Ihren AWS verwalteten Microsoft AD-Domänencontrollern zu blockieren.
Anmerkung
Active Directory-Vertrauensstellungen können nicht zwischen Ihrem AWS verwalteten Microsoft AD-Verzeichnis und der lokalen Domäne erstellt und verwaltet werden.
Sie müssen sicherstellen, dass das „ClientCIDR“ -Netzwerk sicher ist.
TCP636 ist nur erforderlich, wenn LDAP Over verwendet SSL wird.
Wenn Sie eine Enterprise-CA mit dieser Konfiguration verwenden möchten, müssen Sie eine ausgehende Regel „TCP, 443, CACIDR“ erstellen.
Regeln für eingehenden Datenverkehr
| Protokoll | Port-Bereich | Quelle | Datenverkehrstyp | Verwendung von Active Directory |
|---|---|---|---|---|
| TCP & UDP | 53 | Kunde CIDR | DNS | Benutzer- und Computerauthentifizierung, Namensauflösung, Vertrauensstellungen |
| TCP & UDP | 88 | Klient CIDR | Kerberos | Benutzer- und Computerauthentifizierung, Vertrauensstellungen auf Gesamtstrukturebene |
| TCP & UDP | 389 | Klient CIDR | LDAP | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP & UDP | 445 | Klient CIDR | SMB / CIFS | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien-Vertrauensstellungen |
| TCP & UDP | 464 | Klient CIDR | Kerberos Passwort ändern/einrichten | Replikation, Benutzer- und Computerauthentifizierung, Vertrauensstellungen |
| TCP | 135 | Klient CIDR | Replikation | RPC, EPM |
| TCP | 636 | Klient CIDR | LDAP SSL | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 49152–65535 | Klient CIDR | RPC | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 3268 - 3269 | Klient CIDR | LDAPGC & LDAP GC SSL | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 9389 | Klient CIDR | SOAP | AD-DS-Web-Services |
| UDP | 123 | Klient CIDR | Windows-Uhrzeit | Windows-Uhrzeit, Vertrauensstellungen |
| UDP | 138 | Klient CIDR | DFSN & NetLogon | DFS, Gruppenrichtlinie |
Regeln für ausgehenden Datenverkehr
Keine.
AWS Unterstützung für Anwendungen und systemeigene Active Directory-Workloads mit Vertrauensunterstützung
Alle Benutzerkonten werden in Ihrem AWS verwalteten Microsoft AD oder Ihrem vertrauenswürdigen Active Directory bereitgestellt und können mit unterstützten AWS Anwendungen verwendet werden, z. B. den folgenden:
Amazon Chime
Amazon Connect
EC2Amazon-Instanzen
Amazon FSx
Amazon QuickSight
Amazon RDS für mich SQL
Amazon RDS für Oracle
Amazon RDS für Postgre SQL
Amazon RDS für SQL Server
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
WorkSpaces
AWS Client VPN
AWS Management Console
Sie können die Konfiguration der bereitgestellten AWS Sicherheitsgruppe ändern, um den gesamten unwichtigen Datenverkehr zu Ihren AWS verwalteten Microsoft AD-Domänencontrollern zu blockieren.
Anmerkung
Dazu müssen Sie sicherstellen, dass die Netzwerke „On-PremiseCIDR“ und „ClientCIDR“ sicher sind.
TCP445 mit der Option „LokalCIDR“ wird nur zur Vertrauensbildung verwendet und kann entfernt werden, nachdem die Vertrauensstellung hergestellt wurde.
TCP445 mit dem „ClientCIDR“ sollte geöffnet bleiben, da er für die Gruppenrichtlinien-Verarbeitung erforderlich ist.
TCP636 ist nur erforderlich, wenn LDAP Over verwendet SSL wird.
Wenn Sie eine Enterprise-CA mit dieser Konfiguration verwenden möchten, müssen Sie eine ausgehende Regel „TCP, 443, CACIDR“ erstellen.
Regeln für eingehenden Datenverkehr
| Protokoll | Port-Bereich | Quelle | Datenverkehrstyp | Verwendung von Active Directory |
|---|---|---|---|---|
| TCP & UDP | 53 | Lokal CIDR | DNS | Benutzer- und Computerauthentifizierung, Namensauflösung, Vertrauensstellungen |
| TCP & UDP | 88 | Vor Ort CIDR | Kerberos | Benutzer- und Computerauthentifizierung, Vertrauensstellungen auf Gesamtstrukturebene |
| TCP & UDP | 389 | Vor Ort CIDR | LDAP | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP & UDP | 464 | Vor Ort CIDR | Kerberos Passwort ändern/einrichten | Replikation, Benutzer- und Computerauthentifizierung, Vertrauensstellungen |
| TCP | 445 | Vor Ort CIDR | SMB / CIFS | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien-Vertrauensstellungen |
| TCP | 135 | Vor Ort CIDR | Replikation | RPC, EPM |
| TCP | 636 | Vor Ort CIDR | LDAP SSL | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 49152–65535 | Vor Ort CIDR | RPC | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 3268 - 3269 | Vor Ort CIDR | LDAPGC & LDAP GC SSL | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| UDP | 123 | Vor Ort CIDR | Windows-Uhrzeit | Windows-Uhrzeit, Vertrauensstellungen |
| TCP & UDP | 53 | Kunde CIDR | DNS | Benutzer- und Computerauthentifizierung, Namensauflösung, Vertrauensstellungen |
| TCP & UDP | 88 | Klient CIDR | Kerberos | Benutzer- und Computerauthentifizierung, Vertrauensstellungen auf Gesamtstrukturebene |
| TCP & UDP | 389 | Klient CIDR | LDAP | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP & UDP | 445 | Klient CIDR | SMB / CIFS | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien-Vertrauensstellungen |
| TCP & UDP | 464 | Klient CIDR | Kerberos Passwort ändern/einrichten | Replikation, Benutzer- und Computerauthentifizierung, Vertrauensstellungen |
| TCP | 135 | Klient CIDR | Replikation | RPC, EPM |
| TCP | 636 | Klient CIDR | LDAP SSL | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 49152–65535 | Klient CIDR | RPC | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 3268 - 3269 | Klient CIDR | LDAPGC & LDAP GC SSL | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 9389 | Klient CIDR | SOAP | AD-DS-Web-Services |
| UDP | 123 | Klient CIDR | Windows-Uhrzeit | Windows-Uhrzeit, Vertrauensstellungen |
| UDP | 138 | Klient CIDR | DFSN & NetLogon | DFS, Gruppenrichtlinie |
Regeln für ausgehenden Datenverkehr
| Protokoll | Port-Bereich | Quelle | Datenverkehrstyp | Verwendung von Active Directory |
|---|---|---|---|---|
| Alle | Alle | Lokal CIDR | Gesamter Datenverkehr |
