Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Nozioni di base su AWS Microsoft AD gestito
AWS Managed Microsoft AD crea un ambiente completamente gestito, Microsoft Active Directory integrato Cloud AWS e basato su Windows Server 2019 e opera ai livelli funzionali Forest e Domain del 2016. Quando crei una directory con AWS Managed Microsoft AD, Servizio di directory crea due controller di dominio e aggiunge il servizio DNS per tuo conto. I controller di dominio vengono creati in diverse sottoreti in un Amazon VPC. Questa ridondanza aiuta a garantire che la directory rimanga accessibile anche in caso di errore. Se hai bisogno di più controller dei domini, puoi aggiungerli più tardi. Per ulteriori informazioni, consulta Implementazione di controller di dominio aggiuntivi per Managed AWS Microsoft AD.
Per una demo e una panoramica di AWS Managed Microsoft AD, guarda il YouTube video seguente.
Argomenti
Prerequisiti per la creazione di un AWS Microsoft AD gestito
Per creare un Microsoft AD Active Directory AWS gestito, è necessario un Amazon VPC con quanto segue:
-
Almeno due sottoreti. Ciascuna sottorete deve trovarsi in una zona di disponibilità diversa e deve appartenere allo stesso tipo di rete.
Puoi usare IPv6 per il tuo VPC. Per ulteriori informazioni, consulta il supporto IPv6 per il tuo VPC nella Guida per l'utente di Amazon Virtual Private Cloud.
-
Il VPC deve disporre di una tenancy hardware predefinita.
-
Non è possibile creare un AWS Managed Microsoft AD in un VPC utilizzando gli indirizzi nel 198.18.0. 0/15 spazio degli indirizzi.
Se è necessario integrare il dominio Microsoft AD AWS gestito con un dominio Active Directory locale esistente, è necessario che i livelli di funzionalità Forest e Domain per il dominio locale siano impostati su Windows Server 2003 o versioni successive.
Servizio di directory utilizza una struttura a due VPC. Le istanze EC2 che compongono la tua directory vengono eseguite all'esterno del tuo AWS account e sono gestite da. AWS Hanno due schede di rete, ETH0 e ETH1. ETH0 è la scheda di gestione ed è al di fuori del tuo account. ETH1 viene creata all'interno dell'account.
L'intervallo IP di gestione della rete ETH0 della directory è 198.18.0. 0/15.
Per un tutorial su come creare l' AWS ambiente e AWS Managed Microsoft AD, vediAWS Tutorial gestiti per laboratori di test Microsoft AD.
Centro identità AWS IAM prerequisiti
Se prevedi di utilizzare IAM Identity Center con AWS Managed Microsoft AD, devi assicurarti che quanto segue sia vero:
-
La directory AWS Managed Microsoft AD è configurata nell'account di gestione dell' AWS organizzazione.
-
L'istanza di IAM Identity Center si trova nella stessa regione in cui è configurata la directory AWS Managed Microsoft AD.
Per ulteriori informazioni, consulta i prerequisiti di IAM Identity Center nella Guida per l'Centro identità AWS IAM utente.
Multi-factor prerequisiti di autenticazione
Per supportare l'autenticazione a più fattori con la directory AWS Managed Microsoft AD, è necessario configurare il server RADIUS (Remote Authentication Dial-In User Service
-
Sul tuo server RADIUS, crea due client RADIUS per rappresentare entrambi i controller di dominio (DC) Microsoft AD AWS gestiti in. AWSÈ necessario configurare entrambi i client utilizzando i seguenti parametri comuni (il tuo server RADIUS può variare):
-
Indirizzo (DNS o IP): è l'indirizzo DNS di uno dei controller di dominio AWS Microsoft AD gestiti. Entrambi gli indirizzi DNS sono disponibili nella AWS Directory Service Console nella pagina Dettagli della directory Microsoft AD AWS gestita in cui si prevede di utilizzare MFA. Gli indirizzi DNS visualizzati rappresentano gli indirizzi IP di entrambi i controller di dominio Microsoft AD AWS gestiti utilizzati da. AWS
Nota
Se il tuo server RADIUS supporta gli indirizzi DNS, è necessario creare solo una configurazione del client RADIUS. Altrimenti, è necessario creare una configurazione client RADIUS per ogni AWS Managed Microsoft AD DC.
-
Numero di porta: configura il numero di porta per la quale il server RADIUS accetta le connessioni ai client RADIUS. La porta RADIUS standard è 1812.
-
Segreto condiviso: digita o genera un segreto condiviso che il server RADIUS utilizzerà per connettersi ai client RADIUS.
-
Protocollo: potrebbe essere necessario configurare il protocollo di autenticazione tra AWS Managed Microsoft AD DC e il server RADIUS. I protocolli supportati sono PAP, CHAP MS-CHAPv1 e. MS-CHAPv2 MS-CHAPv2 è consigliato perché offre il livello di sicurezza più elevato tra le tre opzioni.
-
Nome dell'applicazione: questa operazione potrebbe essere facoltativa in alcuni server RADIUS e in genere identifica l'applicazione nei messaggi o nei report.
-
-
Configurate la rete esistente per consentire il traffico in entrata dai client RADIUS (indirizzi DNS AWS gestiti di Microsoft AD DC, vedere il passaggio 1) alla porta del server RADIUS.
-
Aggiungi una regola al gruppo di sicurezza Amazon EC2 nel tuo dominio AWS Microsoft AD gestito che consenta il traffico in entrata dall'indirizzo DNS e dal numero di porta del server RADIUS definiti in precedenza. Per ulteriori informazioni, consulta Aggiunta di regole a un gruppo di sicurezza nella Guida per l'utente di EC2.
Per ulteriori informazioni sull'utilizzo di AWS Managed Microsoft AD con MFA, vedere. Abilitazione dell'autenticazione a più fattori per AWS Microsoft AD gestito
Creando il tuo AWS Microsoft AD gestito
Per creare un nuovo AWS Managed Microsoft AD Active Directory, effettuare le seguenti operazioni. Prima di iniziare la procedura, assicurati di soddisfare i prerequisiti illustrati in Prerequisiti per la creazione di un AWS Microsoft AD gestito.
Per creare un AWS Microsoft AD gestito
-
Nel riquadro di navigazione della Console AWS Directory Service
, scegli Directory, quindi seleziona Configura directory. -
Nella pagina Seleziona il tipo di directory, scegli Microsoft AD gestito da AWS , quindi seleziona Successivo.
-
Nella pagina Enter directory information (Inserisci le informazioni sulla directory) inserisci le seguenti informazioni:
- Edizione
-
Scegli tra la Standard Edition o l'Enterprise Edition di AWS Managed Microsoft AD. Per ulteriori informazioni sulle edizioni, consulta Servizio di directory AWS per Microsoft Active Directory.
- Nome DNS directory
-
Il nome completo della directory, ad esempio
corp.example.com.Nota
Se prevedi di utilizzare Amazon Route 53 Private Hosted Zone per DNS, il nome di dominio di AWS Managed Microsoft AD deve essere diverso dal nome di dominio Route 53. Possono verificarsi problemi di risoluzione DNS se Route 53 e AWS Managed Microsoft AD condividono lo stesso nome di dominio. Inoltre, valuta la possibilità di modificare l'impostazione Use root hints if no forwarders are available da true a false. Se impostato su true e i server d'inoltro non sono raggiungibili, Managed AWS Microsoft AD ricorre ai root hints di Internet, che restituiscono NXDOMAIN per i nomi delle zone ospitate private. Questa risposta negativa viene memorizzata nella cache, prolungando gli errori di risoluzione anche dopo il ripristino della connettività.
- Nome NetBIOS della directory
-
Nome breve per la directory, ad esempio
CORP. - Descrizione della directory
-
Descrizione opzionale della directory. Questa descrizione può essere modificata dopo aver creato AWS Managed Microsoft AD.
- Password amministratore
-
La password dell'amministratore della directory. Con il processo di creazione della directory viene generato un account amministratore con nome utente
Admine questa password. Puoi modificare la password dell'amministratore dopo aver creato il tuo AWS Managed Microsoft AD.Nella password non può essere inclusa la parola "admin".
La password dell'amministratore della directory applica la distinzione tra maiuscole e minuscole e deve contenere tra 8 e 64 caratteri. Deve anche contenere un carattere di almeno tre delle seguenti quattro categorie:
-
Lettere minuscole (a-z)
-
Lettere maiuscole () A-Z
-
Numeri (0-9)
-
Non-alphanumeric caratteri (~! @#$%^&*_-+=`|\ () {} []:; "'<>,.? /)
-
- Conferma la password
-
Digitare di nuovo la password dell'amministratore.
- (Facoltativo) Gestione di utenti e gruppi
-
Per abilitare AWS la gestione di utenti e gruppi di Microsoft AD gestita da Console di gestione AWS, selezionare Gestisci la gestione di utenti e gruppi in Console di gestione AWS. Per ulteriori informazioni su come utilizzare la gestione di utenti e gruppi, vedereManage (Gestione) AWS Utenti e gruppi Microsoft AD gestiti con Console di gestione AWS, AWS CLI, oppure Strumenti AWS per PowerShell.
-
Nella pagina Choose VPC and subnets (Scegli VPC e sottoreti) fornire le seguenti informazioni, quindi selezionare Next (Successivo).
- VPC
-
Selezionare il VPC per la directory.
- Tipo di rete
-
Il sistema di indirizzamento IP (Internet Protocol) associato al VPC e alle sottoreti.
Seleziona il blocco CIDR associato al tuo VPC esistente. Puoi configurare le risorse della tua sottorete in modo che utilizzino solo IPv4, IPv6 o entrambi IPv4 e IPv6 (dual-stack). Per ulteriori informazioni, consulta Confronta IPv4 e IPv6 nella Amazon Virtual Private Cloud User Guide.
- Sottoreti
-
Seleziona le sottoreti per i controller di dominio. Le due sottoreti devono trovarsi in diverse zone di disponibilità.
-
Nella pagina Review & create (Rivedi e crea), esaminare le informazioni relative alla directory ed eseguire eventuali modifiche. Quando le informazioni sono corrette, scegli Create Directory (Crea directory). La creazione di una directory richiede dai 20 ai 40 minuti. Una volta creato, il valore Status cambia in Active (Attivo).
Per ulteriori informazioni su ciò che viene creato con AWS Managed Microsoft AD, consulta quanto segue:
Articoli del blog AWS sulla sicurezza correlati