Guida introduttiva a AWS Managed Microsoft AD - AWS Directory Service
AWS Prerequisiti Microsoft AD gestitiAWS IAM Identity Center prerequisitiPrerequisiti dell'autenticazione a più fattoriCreazione del tuo AWS Managed Microsoft AD

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Guida introduttiva a AWS Managed Microsoft AD

AWS Microsoft AD gestito crea un ambiente completamente gestito, Microsoft Active Directory nel Cloud AWS e è alimentato da Windows Server 2019 e opera ai livelli funzionali R2 Forest and Domain 2012. Quando crei una directory con AWS Managed Microsoft AD, AWS Directory Service crea due controller di dominio e aggiunge il servizio DNS per tuo conto. I controller di dominio vengono creati in diverse sottoreti in un Amazon VPC. Questa ridondanza aiuta a garantire che la directory rimanga accessibile anche in caso di errore. Se hai bisogno di più controller dei domini, puoi aggiungerli più tardi. Per ulteriori informazioni, consulta Implementazione di controller di dominio aggiuntivi per Managed AWS Microsoft AD.

Per una demo e una panoramica di AWS Managed Microsoft AD, vedere quanto segue YouTube video.

Argomenti

Prerequisiti per la creazione di un AWS Managed Microsoft AD

Per creare un AWS Managed Microsoft AD Active Directory, è necessario un Amazon VPC con quanto segue:

  • Almeno due sottoreti. Ciascuna sottorete deve trovarsi in una diversa zona di disponibilità.

  • Il VPC deve disporre di una tenancy hardware predefinita.

  • Non è possibile creare un AWS Managed Microsoft AD in un VPC utilizzando gli indirizzi nello spazio degli indirizzi 198.18.0.0/15.

Se hai bisogno di integrare il tuo dominio Microsoft AD AWS gestito con un dominio locale esistente Active Directory dominio, è necessario che i livelli di funzionalità Forest e Domain per il dominio locale siano impostati su Windows Server 2003 o versione successiva.

AWS Directory Service utilizza una struttura a due VPC. Le EC2 istanze che compongono la directory vengono eseguite all'esterno dell' AWS account e sono gestite da. AWS Hanno due schede di rete, ETH0 e ETH1. ETH0 è la scheda di gestione ed è al di fuori del tuo account. ETH1 viene creata all'interno dell'account.

L'intervallo IP di gestione della rete ETH0 della directory è 198.18.0.0/15.

Per un tutorial su come creare l' AWS ambiente e AWS Managed Microsoft AD, vediAWS Tutorial gestiti per laboratori di test Microsoft AD.

AWS IAM Identity Center prerequisiti

Se prevedi di utilizzare IAM Identity Center con AWS Managed Microsoft AD, devi assicurarti che quanto segue sia vero:

  • La directory AWS Managed Microsoft AD è configurata nell'account di gestione dell' AWS organizzazione.

  • L'istanza di IAM Identity Center si trova nella stessa regione in cui è configurata la directory AWS Managed Microsoft AD.

Per ulteriori informazioni, consulta i prerequisiti di IAM Identity Center nella Guida per l'AWS IAM Identity Center utente.

Prerequisiti dell'autenticazione a più fattori

Per supportare l'autenticazione a più fattori con la directory AWS Managed Microsoft AD, è necessario configurare il server RADIUS (Remote Authentication Dial-In User Service) locale o basato sul cloud nel modo seguente in modo che possa accettare le richieste dalla directory Managed AWS Microsoft AD in. AWS

  1. Sul tuo server RADIUS, crea due client RADIUS per rappresentare entrambi i controller di dominio Microsoft AD AWS gestiti (DCs) in AWS. È necessario configurare entrambi i client utilizzando i seguenti parametri comuni (il tuo server RADIUS può variare):

    • Indirizzo (DNS o IP): è l'indirizzo DNS di uno dei Managed AWS Microsoft AD. DCs Entrambi gli indirizzi DNS sono disponibili nella AWS Directory Service Console nella pagina Dettagli della directory Microsoft AD AWS gestita in cui si prevede di utilizzare MFA. Gli indirizzi DNS visualizzati rappresentano gli indirizzi IP di entrambi i AWS Managed Microsoft AD DCs utilizzati da AWS.

      Nota

      Se il tuo server RADIUS supporta gli indirizzi DNS, è necessario creare solo una configurazione del client RADIUS. Altrimenti, è necessario creare una configurazione client RADIUS per ogni AWS Managed Microsoft AD DC.

    • Numero di porta: configura il numero di porta per la quale il server RADIUS accetta le connessioni ai client RADIUS. La porta RADIUS standard è 1812.

    • Segreto condiviso: digita o genera un segreto condiviso che il server RADIUS utilizzerà per connettersi ai client RADIUS.

    • Protocollo: potrebbe essere necessario configurare il protocollo di autenticazione tra AWS Managed Microsoft AD DCs e il server RADIUS. I protocolli supportati sono PAP, CHAP MS- CHAPv1 e MS-. CHAPv2 MS- CHAPv2 è consigliato perché offre il livello di sicurezza più elevato tra le tre opzioni.

    • Nome dell'applicazione: questa operazione potrebbe essere facoltativa in alcuni server RADIUS e in genere identifica l'applicazione nei messaggi o nei report.

  2. Configurate la rete esistente per consentire il traffico in entrata dai client RADIUS (indirizzi DCs DNS Microsoft AD AWS gestiti, vedere il passaggio 1) alla porta del server RADIUS.

  3. Aggiungi una regola al gruppo di EC2 sicurezza Amazon nel tuo dominio Microsoft AD AWS gestito che consenta il traffico in entrata dall'indirizzo DNS e dal numero di porta del server RADIUS definiti in precedenza. Per ulteriori informazioni, consulta Aggiungere regole a un gruppo di sicurezza nella Guida per l'EC2 utente.

Per ulteriori informazioni sull'utilizzo di AWS Managed Microsoft AD con MFA, vedere. Abilitazione dell'autenticazione a più fattori per AWS Managed Microsoft AD

Creazione del tuo AWS Managed Microsoft AD

Per creare un nuovo AWS Managed Microsoft AD Active Directory, effettuare le seguenti operazioni. Prima di iniziare la procedura, assicurati di soddisfare i prerequisiti illustrati in Prerequisiti per la creazione di un AWS Managed Microsoft AD.

Per creare un AWS Managed Microsoft AD

  1. Nel riquadro di navigazione della Console AWS Directory Service, scegli Directory, quindi seleziona Configura directory.

  2. Nella pagina Seleziona il tipo di directory, scegli Microsoft AD gestito da AWS , quindi seleziona Successivo.

  3. Nella pagina Enter directory information (Inserisci le informazioni sulla directory) inserisci le seguenti informazioni:

    Edizione

    Scegli tra la Standard Edition o l'Enterprise Edition di AWS Managed Microsoft AD. Per ulteriori informazioni sulle edizioni, consulta Servizio di directory AWS per Microsoft Active Directory.

    Nome DNS directory

    Il nome completo della directory, ad esempio corp.example.com.

    Nota

    Se prevedi di utilizzare Amazon Route 53 for DNS, il nome di dominio del tuo AWS Managed Microsoft AD deve essere diverso dal nome di dominio Route 53. Possono verificarsi problemi di risoluzione DNS se Route 53 e AWS Managed Microsoft AD condividono lo stesso nome di dominio.

    Nome NetBIOS della directory

    Nome breve per la directory, ad esempio CORP.

    Descrizione della directory

    Descrizione opzionale della directory. Questa descrizione può essere modificata dopo aver creato AWS Managed Microsoft AD.

    Password amministratore

    La password dell'amministratore della directory. Con il processo di creazione della directory viene generato un account amministratore con nome utente Admin e questa password. Puoi modificare la password dell'amministratore dopo aver creato il tuo AWS Managed Microsoft AD.

    Nella password non può essere inclusa la parola "admin".

    La password dell'amministratore della directory applica la distinzione tra maiuscole e minuscole e deve contenere tra 8 e 64 caratteri. Deve anche contenere un carattere di almeno tre delle seguenti quattro categorie:

    • Lettere minuscole (a-z)

    • Lettere maiuscole (A-Z)

    • Numeri (0-9)

    • Caratteri non alfanumerici (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Conferma la password

    Digitare di nuovo la password dell'amministratore.

    (Facoltativo) Gestione di utenti e gruppi

    Per abilitare AWS la gestione di utenti e gruppi di Microsoft AD gestita da AWS Management Console, selezionare Gestisci la gestione di utenti e gruppi in AWS Management Console. Per ulteriori informazioni su come utilizzare la gestione di utenti e gruppi, vedereAWS Gestisci utenti e gruppi di Microsoft AD gestiti con AWS Management ConsoleAWS CLI, o AWS Strumenti per PowerShell.

  4. Nella pagina Choose VPC and subnets (Scegli VPC e sottoreti) fornire le seguenti informazioni, quindi selezionare Next (Successivo).

    VPC

    VPC per la directory.

    Sottoreti

    Scegli le sottoreti per i controller di dominio. Le due sottoreti devono trovarsi in diverse zone di disponibilità.

  5. Nella pagina Review & create (Rivedi e crea), esaminare le informazioni relative alla directory ed eseguire eventuali modifiche. Quando le informazioni sono corrette, scegli Create Directory (Crea directory). La creazione di una directory richiede dai 20 ai 40 minuti. Una volta creato, il valore Status cambia in Active (Attivo).

Per ulteriori informazioni su ciò che viene creato con AWS Managed Microsoft AD, consulta quanto segue: