Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Ihre Netzwerksicherheitskonfiguration in AWS Managed Microsoft AD verbessern
Die AWS-Sicherheitsgruppe, die für das Verzeichnis in AWS Managed Microsoft AD bereitgestellt wird, ist mit den minimalen eingehenden Netzwerkports konfiguriert, die erforderlich sind, um alle bekannten Anwendungsfälle für Ihr Verzeichnis in AWS Managed Microsoft AD zu unterstützen. Weitere Informationen zur bereitgestellten AWS-Sicherheitsgruppe finden Sie unter Was wird mit Ihrem AWS Managed Microsoft AD Active Directory erstellt.
Um die Netzwerksicherheit Ihres Verzeichnisses in AWS Managed Microsoft AD weiter zu verbessern, können Sie die AWS-Sicherheitsgruppe auf der Grundlage der unten aufgeführten allgemeinen Szenarien ändern.
Themen
Unterstützung nur für AWS-Anwendungen
Alle Benutzerkonten werden nur in Ihrem AWS Managed Microsoft AD bereitgestellt und können mit unterstützten AWS-Anwendungen verwendet werden, z. B. mit den folgenden:
Amazon Chime
Amazon Connect
Amazon QuickSight
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
AWS Client VPN
AWS Management Console
Sie können die folgende AWS-Sicherheitsgruppenkonfiguration verwenden, um den gesamten unwichtigen Datenverkehr zu Ihren Domain-Controllern in AWS Managed Microsoft AD zu blockieren.
Anmerkung
Folgendes ist mit dieser AWS-Sicherheitsgruppenkonfiguration nicht kompatibel:
Amazon EC2-Instances
Amazon FSx
Amazon RDS für MySQL
Amazon RDS für Oracle
Amazon RDS für PostgreSQL
Amazon RDS für SQL Server
WorkSpaces
Active-Directory-Vertrauensstellungen
Mit der Domain verbundene Clients oder Server
Regeln für eingehenden Datenverkehr
Keine.
Regeln für ausgehenden Datenverkehr
Keine.
Nur AWS-Anwendungen mit Vertrauensunterstützung
Alle Benutzerkonten werden in Ihrem AWS Managed Microsoft AD oder in vertrauenswürdigem Active Directory eingerichtet, um mit unterstützten AWS-Anwendungen verwendet zu werden, z. B. mit den folgenden:
Amazon Chime
Amazon Connect
Amazon QuickSight
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS Client VPN
AWS Management Console
Sie können die bereitgestellte AWS-Sicherheitsgruppenkonfiguration so ändern, dass der gesamte nicht wesentliche Datenverkehr zu Ihren Domain-Controllern in AWS Managed Microsoft AD blockiert wird.
Anmerkung
Folgendes ist mit dieser AWS-Sicherheitsgruppenkonfiguration nicht kompatibel:
Amazon EC2-Instances
Amazon FSx
Amazon RDS für MySQL
Amazon RDS für Oracle
Amazon RDS für PostgreSQL
Amazon RDS für SQL Server
WorkSpaces
Active-Directory-Vertrauensstellungen
Mit der Domain verbundene Clients oder Server
-
Bei dieser Konfiguration müssen Sie sicherstellen, dass das „On-Premises-CIDR-Netzwerk“ sicher ist.
-
TCP 445 wird nur für die Vertrauensstellung verwendet und kann entfernt werden, nachdem die Vertrauensstellung eingerichtet wurde.
-
TCP 636 ist nur erforderlich, wenn LDAP über SSL verwendet wird.
Regeln für eingehenden Datenverkehr
| Protocol (Protokoll) | Port-Bereich | Quelle | Datenverkehrstyp | Verwendung von Active Directory |
|---|---|---|---|---|
| TCP und UDP | 53 | On-Premises-CIDR | DNS | Benutzer- und Computerauthentifizierung, Namensauflösung, Vertrauensstellungen |
| TCP und UDP | 88 | On-Premises-CIDR | Kerberos | Benutzer- und Computerauthentifizierung, Vertrauensstellungen auf Gesamtstrukturebene |
| TCP und UDP | 389 | On-Premises-CIDR | LDAP | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP und UDP | 464 | On-Premises-CIDR | Kerberos Passwort ändern/einrichten | Replikation, Benutzer- und Computerauthentifizierung, Vertrauensstellungen |
| TCP | 445 | On-Premises-CIDR | SMB/CIFS | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien-Vertrauensstellungen |
| TCP | 135 | On-Premises-CIDR | Replikation | RPC, EPM |
| TCP | 636 | On-Premises-CIDR | LDAP SSL | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 49152–65535 | On-Premises-CIDR | RPC | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 3268 - 3269 | On-Premises-CIDR | LDAP GC und LDAP GC SSL | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| UDP | 123 | On-Premises-CIDR | Windows-Uhrzeit | Windows-Uhrzeit, Vertrauensstellungen |
Regeln für ausgehenden Datenverkehr
| Protocol (Protokoll) | Port-Bereich | Quelle | Datenverkehrstyp | Verwendung von Active Directory |
|---|---|---|---|---|
| Alle | Alle | On-Premises-CIDR | Gesamter Datenverkehr |
AWS -Anwendungen und native Active-Directory-Workload-Unterstützung
Benutzerkonten werden nur in Ihrem AWS Managed Microsoft AD bereitgestellt und können mit unterstützten AWS-Anwendungen verwendet werden, z. B. mit den folgenden:
Amazon Chime
Amazon Connect
Amazon EC2-Instances
Amazon FSx
Amazon QuickSight
Amazon RDS für MySQL
Amazon RDS für Oracle
Amazon RDS für PostgreSQL
Amazon RDS für SQL Server
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
WorkSpaces
AWS Client VPN
AWS Management Console
Sie können die bereitgestellte AWS-Sicherheitsgruppenkonfiguration so ändern, dass der gesamte nicht wesentliche Datenverkehr zu Ihren Domain-Controllern in AWS Managed Microsoft AD blockiert wird.
Anmerkung
Active-Directory-Vertrauensstellungen können nicht zwischen Ihrem Verzeichnis in AWS Managed Microsoft AD und Ihrer On-Premises-Domain erstellt und verwaltet werden.
Sie müssen sicherstellen, dass das „Client CIDR-Netzwerk“ sicher ist.
TCP 636 ist nur erforderlich, wenn LDAP über SSL verwendet wird.
Wenn Sie eine Enterprise CA mit dieser Konfiguration verwenden möchten, müssen Sie eine ausgehende Regel „TCP, 443, CA CIDR“ erstellen.
Regeln für eingehenden Datenverkehr
| Protocol (Protokoll) | Port-Bereich | Quelle | Datenverkehrstyp | Verwendung von Active Directory |
|---|---|---|---|---|
| TCP und UDP | 53 | Client-CIDR | DNS | Benutzer- und Computerauthentifizierung, Namensauflösung, Vertrauensstellungen |
| TCP und UDP | 88 | Client-CIDR | Kerberos | Benutzer- und Computerauthentifizierung, Vertrauensstellungen auf Gesamtstrukturebene |
| TCP und UDP | 389 | Client-CIDR | LDAP | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP und UDP | 445 | Client-CIDR | SMB/CIFS | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien-Vertrauensstellungen |
| TCP und UDP | 464 | Client-CIDR | Kerberos Passwort ändern/einrichten | Replikation, Benutzer- und Computerauthentifizierung, Vertrauensstellungen |
| TCP | 135 | Client-CIDR | Replikation | RPC, EPM |
| TCP | 636 | Client-CIDR | LDAP SSL | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 49152–65535 | Client-CIDR | RPC | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 3268 - 3269 | Client-CIDR | LDAP GC und LDAP GC SSL | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 9389 | Client-CIDR | SOAP | AD-DS-Web-Services |
| UDP | 123 | Client-CIDR | Windows-Uhrzeit | Windows-Uhrzeit, Vertrauensstellungen |
| UDP | 138 | Client-CIDR | DFSN und NetLogon | DFS, Gruppenrichtlinie |
Regeln für ausgehenden Datenverkehr
Keine.
AWS-Anwendungen und native Active-Directory-Workload-Unterstützung mit Vertrauensstellung
Alle Benutzerkonten werden in Ihrem AWS Managed Microsoft AD oder in vertrauenswürdigem Active Directory eingerichtet, um mit unterstützten AWS-Anwendungen verwendet zu werden, z. B. mit den folgenden:
Amazon Chime
Amazon Connect
Amazon EC2-Instances
Amazon FSx
Amazon QuickSight
Amazon RDS für MySQL
Amazon RDS für Oracle
Amazon RDS für PostgreSQL
Amazon RDS für SQL Server
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
WorkSpaces
AWS Client VPN
AWS Management Console
Sie können die bereitgestellte AWS-Sicherheitsgruppenkonfiguration so ändern, dass der gesamte nicht wesentliche Datenverkehr zu Ihren Domain-Controllern in AWS Managed Microsoft AD blockiert wird.
Anmerkung
Sie müssen dafür sorgen, dass die Netzwerke „On-premises-CIDR“ und „Client CIDR“ sicher sind.
TCP 445 mit „On-Premises-CIDR“ wird nur für die Vertrauensstellung verwendet und kann entfernt werden, nachdem die Vertrauensstellung eingerichtet wurde.
TCP 445 mit „Client CIDR“ sollte offen gelassen werden, da es für die Verarbeitung der Gruppenrichtlinien erforderlich ist.
TCP 636 ist nur erforderlich, wenn LDAP über SSL verwendet wird.
Wenn Sie eine Enterprise CA mit dieser Konfiguration verwenden möchten, müssen Sie eine ausgehende Regel „TCP, 443, CA CIDR“ erstellen.
Regeln für eingehenden Datenverkehr
| Protocol (Protokoll) | Port-Bereich | Quelle | Datenverkehrstyp | Verwendung von Active Directory |
|---|---|---|---|---|
| TCP und UDP | 53 | On-Premises-CIDR | DNS | Benutzer- und Computerauthentifizierung, Namensauflösung, Vertrauensstellungen |
| TCP und UDP | 88 | On-Premises-CIDR | Kerberos | Benutzer- und Computerauthentifizierung, Vertrauensstellungen auf Gesamtstrukturebene |
| TCP und UDP | 389 | On-Premises-CIDR | LDAP | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP und UDP | 464 | On-Premises-CIDR | Kerberos Passwort ändern/einrichten | Replikation, Benutzer- und Computerauthentifizierung, Vertrauensstellungen |
| TCP | 445 | On-Premises-CIDR | SMB/CIFS | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien-Vertrauensstellungen |
| TCP | 135 | On-Premises-CIDR | Replikation | RPC, EPM |
| TCP | 636 | On-Premises-CIDR | LDAP SSL | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 49152–65535 | On-Premises-CIDR | RPC | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 3268 - 3269 | On-Premises-CIDR | LDAP GC und LDAP GC SSL | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| UDP | 123 | On-Premises-CIDR | Windows-Uhrzeit | Windows-Uhrzeit, Vertrauensstellungen |
| TCP und UDP | 53 | Client-CIDR | DNS | Benutzer- und Computerauthentifizierung, Namensauflösung, Vertrauensstellungen |
| TCP und UDP | 88 | Client-CIDR | Kerberos | Benutzer- und Computerauthentifizierung, Vertrauensstellungen auf Gesamtstrukturebene |
| TCP und UDP | 389 | Client-CIDR | LDAP | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP und UDP | 445 | Client-CIDR | SMB/CIFS | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien-Vertrauensstellungen |
| TCP und UDP | 464 | Client-CIDR | Kerberos Passwort ändern/einrichten | Replikation, Benutzer- und Computerauthentifizierung, Vertrauensstellungen |
| TCP | 135 | Client-CIDR | Replikation | RPC, EPM |
| TCP | 636 | Client-CIDR | LDAP SSL | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 49152–65535 | Client-CIDR | RPC | Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 3268 - 3269 | Client-CIDR | LDAP GC und LDAP GC SSL | Verzeichnis, Replikation, Benutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen |
| TCP | 9389 | Client-CIDR | SOAP | AD-DS-Web-Services |
| UDP | 123 | Client-CIDR | Windows-Uhrzeit | Windows-Uhrzeit, Vertrauensstellungen |
| UDP | 138 | Client-CIDR | DFSN und NetLogon | DFS, Gruppenrichtlinie |
Regeln für ausgehenden Datenverkehr
| Protocol (Protokoll) | Port-Bereich | Quelle | Datenverkehrstyp | Verwendung von Active Directory |
|---|---|---|---|---|
| Alle | Alle | On-Premises-CIDR | Gesamter Datenverkehr |
