本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Managed Microsoft AD 入門
AWS 受管 Microsoft AD 會建立完全受管、Microsoft Active Directory 在 AWS 雲端 和 中由 提供動力 Windows Server 2019 並在 2012 R2 Forest 和 Domain 功能層級運作。當您使用 AWS Managed Microsoft AD 建立目錄時, 會 AWS Directory Service 建立兩個網域控制站,並代表您新增DNS服務。網域控制器是在 Amazon 的不同子網路中建立的VPC,此備援有助於確保您的目錄即使發生故障,仍保持可存取。如果您需要更多網域控制器,可於稍後新增。如需詳細資訊,請參閱部署 AWS Managed Microsoft AD 的其他網域控制器。
主題
建立 AWS Managed Microsoft AD 的先決條件
建立 AWS Managed Microsoft AD Active Directory,您需要VPC具有下列項目的 Amazon:
-
至少兩個子網路。每個子網路皆必須位於不同的可用區域。
-
VPC 必須有預設硬體租用。
-
您不能VPC使用 198.18.0.0/15 地址空間中的地址在 中建立 AWS Managed Microsoft AD。
如果您需要整合 AWS Managed Microsoft AD 網域與現有的內部部署 Active Directory 網域,您必須將內部部署網域的森林和網域功能層級設定為 Windows Server 2003 或更新版本。
AWS Directory Service 使用兩個VPC結構。組成目錄的EC2執行個體會在 AWS 您的帳戶之外執行,並由 管理 AWS。其使用兩種網路轉接器,ETH0 和 ETH1。ETH0 是管理轉接器,而且位於您的帳戶外部。ETH1 則是建立於您的帳戶內部。
目錄 ETH0 網路的管理 IP 範圍為 198.18.0.0/15。
如需如何建立 AWS 環境和 AWS Managed Microsoft AD 的教學課程,請參閱 AWS Microsoft AD 測試實驗室託管教程。
AWS IAM Identity Center 先決條件
如果您計劃將 IAM Identity Center 與 AWS Managed Microsoft AD 搭配使用,則需要確保下列項目為真:
-
您的 AWS Managed Microsoft AD 目錄是在 AWS 組織的管理帳戶中設定。
-
Identity IAM Center 的執行個體位於設定 AWS Managed Microsoft AD 目錄的相同區域中。
如需詳細資訊,請參閱 AWS IAM Identity Center 使用者指南 中的IAM身分中心先決條件。
多重要素驗證先決條件
若要使用 AWS Managed Microsoft AD 目錄支援多重要素身分驗證,您必須以下列方式設定內部部署或雲端遠端身分驗證撥入使用者服務
-
在RADIUS伺服器上,建立兩個RADIUS用戶端,以代表 中的兩個 AWS Managed Microsoft AD 網域控制站 (DCs) AWS。您必須使用下列常見參數來設定這兩個用戶端 (您的RADIUS伺服器可能會有所不同):
-
地址 (DNS 或 IP):這是其中一個 AWS Managed Microsoft AD DNS的地址DCs。這兩個DNS地址都可以在您計劃使用 的 AWS Managed Microsoft AD 目錄的詳細資訊頁面上的 AWS 目錄服務主控台中找到MFA。顯示DNS的地址代表 所使用的兩個 AWS Managed Microsoft AD DCs的 IP 地址 AWS。
注意
如果您的RADIUS伺服器支援DNS地址,則只能建立一個RADIUS用戶端組態。否則,您必須為每個 AWS Managed Microsoft AD DC 建立一個RADIUS用戶端組態。
-
連接埠號碼 :設定RADIUS伺服器接受RADIUS用戶端連線的連接埠號碼。標準RADIUS連接埠為 1812。
-
共用秘密 :輸入或產生共用秘密,RADIUS伺服器將使用該秘密與RADIUS用戶端連線。
-
通訊協定 :您可能需要在 AWS Managed Microsoft AD DCs和RADIUS伺服器之間設定身分驗證通訊協定。支援的通訊協定為 PAP、CHAPMS- CHAPv1和 MS-CHAPv2。建議使用 MS-CHAPv2,因為它提供了三個選項中最強大的安全性。
-
應用程式名稱 :在某些RADIUS伺服器中這可能是選用的,通常在訊息或報告中識別應用程式。
-
-
設定現有網路,以允許從RADIUS用戶端 (受AWS 管 Microsoft AD DCsDNS地址,請參閱步驟 1) 傳入至RADIUS伺服器連接埠的流量。
-
將規則新增至 AWS Managed Microsoft AD 網域中的 Amazon EC2安全群組,以允許來自先前定義的RADIUS伺服器DNS地址和連接埠號碼的傳入流量。如需詳細資訊,請參閱 EC2 使用者指南 中的將規則新增至安全群組。
如需將 AWS Managed Microsoft AD 與 搭配使用的詳細資訊MFA,請參閱 啟用 AWS Managed Microsoft AD 的多重要素身分驗證。
建立 AWS Managed Microsoft AD
建立新的 AWS Managed Microsoft AD Active Directory,請執行下列步驟。開始此程序之前,請確定您已完成「建立 AWS Managed Microsoft AD 的先決條件」中所示的必要條件。
建立 AWS Managed Microsoft AD
-
在 AWS Directory Service 主控台
中,選擇目錄,然後選擇設定目錄。 -
在選取目錄類型頁面上,選擇 AWS Managed Microsoft AD,然後選擇下一步。
-
在 Enter directory information (輸入目錄資訊) 頁面上,提供下列資訊:
- Edition (版本)
-
從 AWS Managed Microsoft AD 的標準版本或企業版本中進行選擇。如需版本的詳細資訊,請參閱 AWS Directory Service for Microsoft Active Directory。
- 目錄DNS名稱
-
目錄的完全合格名稱,例如
corp.example.com。注意
如果您計劃將 Amazon Route 53 用於 DNS,則 AWS Managed Microsoft AD 的網域名稱必須與 Route 53 網域名稱不同。DNS 如果 Route 53 和 AWS Managed Microsoft AD 共用相同的網域名稱,可能會發生解決方案問題。
- Directory NetBIOS 名稱
-
目錄的簡短名稱,例如:
CORP。 - 目錄描述
-
選擇填寫其他目錄說明。此描述可在建立 AWS Managed Microsoft AD 之後變更。
- 管理員密碼
-
目錄管理員的密碼。目錄建立程序會建立含有使用者名稱
Admin與這組密碼的管理者帳戶。您可以在建立 AWS Managed Microsoft AD 後變更管理員密碼。密碼不得包含「admin」一字。
目錄管理者密碼區分大小寫,長度須介於 8 至 64 個字元之間。至少須有一位字元屬於以下四種類型中的三類:
-
小寫字母 (a-z)
-
大寫字母 (A-Z)
-
數字 (0-9)
-
非英數字元 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
-
- Confirm password (確認密碼)
-
重新輸入管理員密碼。
- (選用) 使用者和群組管理
-
若要從 啟用 AWS Managed Microsoft AD 使用者和群組管理 AWS Management Console,請在 中選取管理使用者和群組管理 AWS Management Console。如需如何使用使用者和群組管理的詳細資訊,請參閱 使用 AWS Management Console 或 管理 AWS Managed Microsoft AD 使用者和群組 AWS CLI。
-
在選擇VPC和子網路頁面上,提供下列資訊,然後選擇下一個 。
- VPC
-
目錄VPC的 。
- 子網
-
選擇網域控制站的子網路。這兩個子網路必須位於不同的可用區域。
-
在 Review & create (檢閱和建立) 頁面上檢閱目錄資訊,並進行必要的變更。若資訊無誤,請選擇 Create directory (建立目錄)。建立目錄需要 20 到 40 分鐘。建立後,Status (狀態) 值會變更為 Active (作用中)。
如需使用 AWS Managed Microsoft AD 建立之項目的詳細資訊,請參閱下列內容:
