Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Migliorare la configurazione della sicurezza di rete di Microsoft AD gestito da AWS
Il gruppo di sicurezza AWS di cui è stato eseguito il provisioning per la directory Microsoft AD gestito da AWS viene configurato con le porte di rete in ingresso minime necessarie per supportare tutti i casi d'uso noti per la directory AWS Microsoft AD gestito da. Per ulteriori informazioni sul gruppo di sicurezza AWS con provisioning, consulta Cosa viene creato con il tuo AWS Microsoft AD gestito.
Per migliorare ulteriormente la sicurezza di rete della directory Microsoft AD gestito da AWS, è possibile modificare il gruppo di sicurezza AWS in base agli scenari comuni elencati di seguito.
Argomenti
Solo supporto applicazioni AWS
Tutti gli account utente vengono sottoposti a provisioning solo in Microsoft AD gestito da AWS per essere utilizzati con le applicazioni AWS supportate, ad esempio le seguenti:
Amazon Chime
Amazon Connect
Amazon QuickSight
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
AWS Client VPN
AWS Management Console
È possibile utilizzare la seguente configurazione di gruppo di sicurezza AWS per bloccare tutto il traffico non essenziale ai controller di dominio Microsoft AD gestito da AWS.
Nota
I seguenti non sono compatibili con questa configurazione del gruppo di sicurezza AWS:
Istanze Amazon EC2
Amazon FSx
Amazon RDS per MySQL
Amazon RDS per Oracle
Amazon RDS per PostgreSQL
Amazon RDS per SQL Server
WorkSpaces
Trust di Active Directory
Client o server aggiunti al dominio
Regole in entrata
Nessuna.
Regole in uscita
Nessuna.
Solo applicazioni AWS con supporto trust
Tutti gli account utente vengono sottoposti a provisioning in Microsoft AD gestito da AWS o in Active Directory attendibile per essere utilizzati con le applicazioni AWS supportate, ad esempio le seguenti:
Amazon Chime
Amazon Connect
Amazon QuickSight
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS Client VPN
AWS Management Console
È possibile modificare la configurazione del gruppo di sicurezza AWS con provisioning per bloccare tutto il traffico non essenziale ai controller di dominio Microsoft AD gestito da AWS.
Nota
I seguenti non sono compatibili con questa configurazione del gruppo di sicurezza AWS:
Istanze Amazon EC2
Amazon FSx
Amazon RDS per MySQL
Amazon RDS per Oracle
Amazon RDS per PostgreSQL
Amazon RDS per SQL Server
WorkSpaces
Trust di Active Directory
Client o server aggiunti al dominio
-
Questa configurazione richiede che la rete "CIDR on-premise" sia sicura.
-
TCP 445 viene utilizzato solo per la creazione di trust e può essere rimosso dopo che il trust è stato stabilito.
-
TCP 636 è richiesto solo quando LDAP su SSL è in uso.
Regole in entrata
Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
---|---|---|---|---|
TCP e UDP | 53 | CIDR on-premise | DNS | Autenticazione utente e computer, risoluzione dei nomi, trust |
TCP e UDP | 88 | CIDR on-premise | Kerberos | Autenticazione utente e computer, trust a livello di foresta |
TCP e UDP | 389 | CIDR on-premise | LDAP | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
TCP e UDP | 464 | CIDR on-premise | Kerberos cambia/imposta la password | Autenticazione utente e computer, replica, trust |
TCP | 445 | CIDR on-premise | SMB/CIFS | Replica, autenticazione utente e computer, trust di policy di gruppo |
TCP | 135 | CIDR on-premise | Replica | RPC, EPM |
TCP | 636 | CIDR on-premise | LDAP SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
TCP | 49152 - 65535 | CIDR on-premise | RPC | Replica, autenticazione utente e computer, policy di gruppo, trust |
TCP | 3268 - 3269 | CIDR on-premise | LDAP GC e LDAP GC SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
UDP | 123 | CIDR on-premise | Ora di Windows | Ora di Windows, trust |
Regole in uscita
Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
---|---|---|---|---|
Tutti | Tutti | CIDR on-premise | Tutto il traffico |
Supporto per applicazioni AWS e carichi di lavoro nativi di Active Directory
Gli account utente vengono sottoposti a provisioning solo in Microsoft AD gestito da AWS per essere utilizzati con le applicazioni AWS supportate, ad esempio le seguenti:
Amazon Chime
Amazon Connect
Istanze Amazon EC2
Amazon FSx
Amazon QuickSight
Amazon RDS per MySQL
Amazon RDS per Oracle
Amazon RDS per PostgreSQL
Amazon RDS per SQL Server
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
WorkSpaces
AWS Client VPN
AWS Management Console
È possibile modificare la configurazione del gruppo di sicurezza AWS con provisioning per bloccare tutto il traffico non essenziale ai controller di dominio Microsoft AD gestito da AWS.
Nota
I trust di Active Directory non possono essere creati e gestiti tra la directory Microsoft AD gestito da AWS e il dominio on-premise.
Richiede che la rete "Client CIDR" sia sicura.
TCP 636 è richiesto solo quando LDAP su SSL è in uso.
Se si desidera utilizzare una CA Enterprise con questa configurazione è necessario creare una regola in uscita "TCP, 443, CA CIDR".
Regole in entrata
Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
---|---|---|---|---|
TCP e UDP | 53 | CIDR client | DNS | Autenticazione utente e computer, risoluzione dei nomi, trust |
TCP e UDP | 88 | CIDR client | Kerberos | Autenticazione utente e computer, trust a livello di foresta |
TCP e UDP | 389 | CIDR client | LDAP | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
TCP e UDP | 445 | CIDR client | SMB/CIFS | Replica, autenticazione utente e computer, trust di policy di gruppo |
TCP e UDP | 464 | CIDR client | Kerberos cambia/imposta la password | Autenticazione utente e computer, replica, trust |
TCP | 135 | CIDR client | Replica | RPC, EPM |
TCP | 636 | CIDR client | LDAP SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
TCP | 49152 - 65535 | CIDR client | RPC | Replica, autenticazione utente e computer, policy di gruppo, trust |
TCP | 3268 - 3269 | CIDR client | LDAP GC e LDAP GC SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
TCP | 9389 | CIDR client | SOAP | Servizi Web DS AD |
UDP | 123 | CIDR client | Ora di Windows | Ora di Windows, trust |
UDP | 138 | CIDR client | DFSN e NetLogon | DFS, policy di gruppo |
Regole in uscita
Nessuna.
Supporto per applicazioni AWS e carichi di lavoro nativi di Active Directory con supporto trust
Tutti gli account utente vengono sottoposti a provisioning in Microsoft AD gestito da AWS o in Active Directory attendibile per essere utilizzati con le applicazioni AWS supportate, ad esempio le seguenti:
Amazon Chime
Amazon Connect
Istanze Amazon EC2
Amazon FSx
Amazon QuickSight
Amazon RDS per MySQL
Amazon RDS per Oracle
Amazon RDS per PostgreSQL
Amazon RDS per SQL Server
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
WorkSpaces
AWS Client VPN
AWS Management Console
È possibile modificare la configurazione del gruppo di sicurezza AWS con provisioning per bloccare tutto il traffico non essenziale ai controller di dominio Microsoft AD gestito da AWS.
Nota
È necessario assicurarsi che le reti "CIDR on-premise" e "CIDR client" siano sicure.
TCP 445 con il "CIDR on-premise" viene utilizzato solo per la creazione di trust e può essere rimosso dopo che il trust è stato stabilito.
TCP 445 con il "CIDR client" deve essere lasciato aperto in quanto è necessario per l'elaborazione di policy di gruppo.
TCP 636 è richiesto solo quando LDAP su SSL è in uso.
Se si desidera utilizzare una CA Enterprise con questa configurazione è necessario creare una regola in uscita "TCP, 443, CA CIDR".
Regole in entrata
Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
---|---|---|---|---|
TCP e UDP | 53 | CIDR on-premise | DNS | Autenticazione utente e computer, risoluzione dei nomi, trust |
TCP e UDP | 88 | CIDR on-premise | Kerberos | Autenticazione utente e computer, trust a livello di foresta |
TCP e UDP | 389 | CIDR on-premise | LDAP | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
TCP e UDP | 464 | CIDR on-premise | Kerberos cambia/imposta la password | Autenticazione utente e computer, replica, trust |
TCP | 445 | CIDR on-premise | SMB/CIFS | Replica, autenticazione utente e computer, trust di policy di gruppo |
TCP | 135 | CIDR on-premise | Replica | RPC, EPM |
TCP | 636 | CIDR on-premise | LDAP SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
TCP | 49152 - 65535 | CIDR on-premise | RPC | Replica, autenticazione utente e computer, policy di gruppo, trust |
TCP | 3268 - 3269 | CIDR on-premise | LDAP GC e LDAP GC SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
UDP | 123 | CIDR on-premise | Ora di Windows | Ora di Windows, trust |
TCP e UDP | 53 | CIDR client | DNS | Autenticazione utente e computer, risoluzione dei nomi, trust |
TCP e UDP | 88 | CIDR client | Kerberos | Autenticazione utente e computer, trust a livello di foresta |
TCP e UDP | 389 | CIDR client | LDAP | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
TCP e UDP | 445 | CIDR client | SMB/CIFS | Replica, autenticazione utente e computer, trust di policy di gruppo |
TCP e UDP | 464 | CIDR client | Kerberos cambia/imposta la password | Autenticazione utente e computer, replica, trust |
TCP | 135 | CIDR client | Replica | RPC, EPM |
TCP | 636 | CIDR client | LDAP SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
TCP | 49152 - 65535 | CIDR client | RPC | Replica, autenticazione utente e computer, policy di gruppo, trust |
TCP | 3268 - 3269 | CIDR client | LDAP GC e LDAP GC SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
TCP | 9389 | CIDR client | SOAP | Servizi Web DS AD |
UDP | 123 | CIDR client | Ora di Windows | Ora di Windows, trust |
UDP | 138 | CIDR client | DFSN e NetLogon | DFS, policy di gruppo |
Regole in uscita
Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
---|---|---|---|---|
Tutti | Tutti | CIDR on-premise | Tutto il traffico |