Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memulai dengan Microsoft AD yang AWS Dikelola
AWS Microsoft AD yang dikelola membuat terkelola sepenuhnya, Microsoft Active Directory di AWS Cloud dan didukung oleh Windows Server 2019 dan beroperasi pada tingkat fungsional Hutan dan Domain R2 2012. Saat Anda membuat direktori dengan Microsoft AD AWS Terkelola, AWS Directory Service buat dua pengontrol domain dan tambahkan DNS layanan atas nama Anda. Pengontrol domain dibuat dalam subnet yang berbeda di Amazon redundansi VPC ini membantu memastikan bahwa direktori Anda tetap dapat diakses bahkan jika terjadi kegagalan. Jika Anda membutuhkan lebih banyak pengendali domain, Anda dapat menambahkannya nanti. Untuk informasi selengkapnya, lihat Menerapkan pengontrol domain tambahan untuk AWS Microsoft AD yang Dikelola.
Topik
Prasyarat untuk membuat iklan Microsoft yang Dikelola AWS
Untuk membuat iklan Microsoft yang AWS Dikelola Active Directory, Anda memerlukan Amazon VPC dengan yang berikut ini:
-
Setidaknya dua subnet. Setiap subnet harus berada di Availability Zone yang berbeda.
-
VPCHarus memiliki penyewaan perangkat keras default.
-
Anda tidak dapat membuat iklan Microsoft AWS Terkelola di alamat yang VPC menggunakan di ruang alamat 198.18.0.0/15.
Jika Anda perlu mengintegrasikan domain Microsoft AD AWS Terkelola dengan domain lokal yang ada Active Directory domain, Anda harus memiliki tingkat fungsional Forest dan Domain untuk domain lokal Anda disetel ke Windows Server 2003 atau lebih tinggi.
AWS Directory Service menggunakan dua VPC struktur. EC2Instance yang membentuk direktori Anda berjalan di luar AWS akun Anda, dan dikelola oleh AWS. Mereka memiliki dua adaptor jaringan, ETH0 dan ETH1. ETH0 adalah adaptor pengelola, dan berada di luar akun Anda. ETH1 dibuat dalam akun Anda.
Rentang IP manajemen jaringan ETH 0 direktori Anda adalah 198.18.0.0/15.
Untuk tutorial tentang cara membuat AWS lingkungan dan AWS Dikelola Microsoft AD, lihatAWS Tutorial lab uji Microsoft AD yang dikelola.
AWS IAM Identity Center prasyarat
Jika Anda berencana untuk menggunakan Pusat IAM Identitas dengan Microsoft AD yang AWS Dikelola, Anda perlu memastikan bahwa berikut ini benar:
-
Direktori Microsoft AD AWS Terkelola Anda disiapkan di akun manajemen AWS organisasi Anda.
-
Instance Pusat IAM Identitas Anda berada di Wilayah yang sama tempat direktori Microsoft AD AWS Terkelola Anda disiapkan.
Untuk informasi selengkapnya, lihat prasyarat Pusat IAM Identitas di Panduan Pengguna.AWS IAM Identity Center
Prasyarat autentikasi multi-faktor
Untuk mendukung autentikasi multi-faktor dengan direktori AWS Microsoft AD Terkelola, Anda harus mengonfigurasi server Layanan Pengguna (RADIUS) Dial-In Autentikasi Jarak Jauh
-
Di RADIUS server Anda, buat dua RADIUS klien untuk mewakili kedua pengontrol domain Microsoft AD AWS Terkelola (DCs) di AWS. Anda harus mengkonfigurasi kedua klien menggunakan parameter umum berikut (RADIUSserver Anda mungkin berbeda):
-
Alamat (DNSatau IP): Ini adalah DNS alamat untuk salah satu iklan Microsoft yang AWS DikelolaDCs. Kedua DNS alamat dapat ditemukan di AWS Directory Service Console pada halaman Detail direktori Microsoft AD AWS Terkelola tempat Anda berencana untuk digunakanMFA. DNSAlamat yang ditampilkan mewakili alamat IP untuk kedua iklan Microsoft AWS Terkelola DCs yang digunakan oleh AWS.
catatan
Jika RADIUS server Anda mendukung DNS alamat, Anda harus membuat hanya satu konfigurasi RADIUS klien. Jika tidak, Anda harus membuat satu konfigurasi RADIUS klien untuk setiap Microsoft AD DC yang AWS Dikelola.
-
Nomor port: Konfigurasikan nomor port tempat RADIUS server Anda menerima koneksi RADIUS klien. RADIUSPort standarnya adalah 1812.
-
Rahasia bersama: Ketik atau buat rahasia bersama yang akan digunakan RADIUS server untuk terhubung dengan RADIUS klien.
-
Protokol: Anda mungkin perlu mengonfigurasi protokol otentikasi antara Microsoft AD yang AWS Dikelola DCs dan RADIUS server. Protokol yang didukung adalahPAP, CHAP MS-CHAPv1, dan MS-. CHAPv2 MS- CHAPv2 direkomendasikan karena memberikan keamanan terkuat dari tiga opsi.
-
Nama aplikasi: Ini mungkin opsional di beberapa RADIUS server dan biasanya mengidentifikasi aplikasi dalam pesan atau laporan.
-
-
Konfigurasikan jaringan yang ada untuk mengizinkan lalu lintas masuk dari RADIUS klien (DCsDNSAlamat AD Microsoft yang AWS dikelola, lihat Langkah 1) ke port RADIUS server Anda.
-
Tambahkan aturan ke grup EC2 keamanan Amazon di domain Microsoft AD AWS Terkelola yang memungkinkan lalu lintas masuk dari DNS alamat RADIUS server dan nomor port yang ditentukan sebelumnya. Untuk informasi selengkapnya, lihat Menambahkan aturan ke grup keamanan di Panduan EC2 Pengguna.
Untuk informasi selengkapnya tentang menggunakan Microsoft AD yang AWS Dikelola denganMFA, lihatMengaktifkan otentikasi multi-faktor untuk Microsoft AD yang Dikelola AWS.
Membuat Microsoft AD yang AWS Dikelola
Untuk membuat iklan Microsoft yang AWS Dikelola baru Active Directory, lakukan langkah-langkah berikut. Sebelum memulai prosedur ini, pastikan Anda telah menyelesaikan prasyarat yang diidentifikasi dalam Prasyarat untuk membuat iklan Microsoft yang Dikelola AWS.
Untuk membuat iklan Microsoft yang AWS Dikelola
-
Di panel navigasi konsol AWS Directory Service
, pilih Direktori, lalu pilih Atur direktori. -
Di halaman Pilih jenis direktori, pilih Microsoft AD yang Dikelola AWS , lalu pilih Selanjutnya.
-
Di halaman Masukkan informasi direktori, berikan informasi berikut:
- Edisi
-
Pilih dari Edisi Standar atau Edisi Perusahaan dari Microsoft AD yang AWS Dikelola. Untuk informasi selengkapnya tentang edisi, lihat Directory Service AWS untuk Microsoft Active Directory.
- DNSNama direktori
-
Nama berkualifikasi penuh untuk direktori, seperti
corp.example.com.catatan
Jika Anda berencana menggunakan Amazon Route 53 untukDNS, nama domain Microsoft AD yang AWS Dikelola harus berbeda dengan nama domain Route 53 Anda. DNSMasalah resolusi dapat terjadi jika Route 53 dan Microsoft AD yang AWS Dikelola berbagi nama domain yang sama.
- BIOSNama Direktori Net
-
Nama singkat untuk direktori, seperti
CORP. - Deskripsi direktori
-
Deskripsi opsional untuk direktori. Deskripsi ini dapat diubah setelah membuat iklan Microsoft AWS Terkelola Anda.
- Kata sandi admin
-
Kata sandi administrator direktori. Proses pembuatan direktori menciptakan akun administrator dengan nama pengguna
Admindan kata sandi ini. Anda dapat mengubah kata sandi Admin setelah membuat iklan Microsoft AWS Terkelola.Kata sandi tidak dapat menyertakan kata "admin."
Kata sandi administrator direktori peka akan huruf besar kecil dan harus terdiri dari 8 sampai 64 karakter, inklusif. Kata sandi juga harus berisi minimal satu karakter dalam tiga dari empat kategori berikut:
-
Huruf kecil (a-z)
-
Huruf besar (A-Z)
-
Angka (0-9)
-
Karakter non-alfanumerik (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
-
- Konfirmasikan kata sandi
-
Ketik ulang kata sandi administrator.
- (Opsional) Manajemen pengguna dan grup
-
Untuk mengaktifkan AWS pengelolaan pengguna dan grup Microsoft AD Terkelola dari AWS Management Console, pilih Kelola pengguna dan manajemen grup di AWS Management Console. Untuk informasi selengkapnya tentang cara menggunakan manajemen pengguna dan grup, lihatAWS Mengelola pengguna dan grup Microsoft AD yang Dikelola dengan AWS Management Console, AWS CLI, atau AWS Tools for PowerShell.
-
Pada halaman Pilih VPC dan subnet, berikan informasi berikut, lalu pilih Berikutnya.
- VPC
-
VPCUntuk direktori.
- Subnet
-
Pilih subnet untuk pengendali domain. Kedua subnet harus berada di Zona Ketersediaan yang berbeda.
-
Pada halaman Tinjau & buat, tinjau informasi direktori dan buat perubahan yang diperlukan. Jika informasi sudah benar, pilih Buat direktori. Membuat direktori membutuhkan waktu 20 sampai 40 menit. Setelah dibuat, nilai Status berubah ke Aktif.
Untuk informasi selengkapnya tentang apa yang dibuat dengan Microsoft AD yang AWS Dikelola, lihat berikut ini:
