Prerequisiti della directory ibrida - AWS Directory Service
Microsoft Active Directoryrequisiti del dominioServizi Active Directory richiestiKerberosTipi di crittografia supportatiPorteAutorizzazioniAmazon VPCGruppo di sicurezzaLimiti di valutazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisiti della directory ibrida

La directory ibrida estende la tua Active Directory autogestita a. Cloud AWS Prima di creare una directory ibrida, assicurati che il tuo ambiente soddisfi questi requisiti:

Microsoft Active Directoryrequisiti del dominio

Prima di creare una directory ibrida, assicurati che l'ambiente e l'infrastruttura AD autogestiti soddisfino i seguenti requisiti e raccogli le informazioni necessarie.

Requisiti del dominio

L'ambiente AD autogestito deve soddisfare i seguenti requisiti:

  • Utilizza un livello 2016 funzionale Windows Server 2012 R2 or.

  • Utilizza controller di dominio standard da valutare per la creazione di directory ibride. I controller di dominio di sola lettura (RODC) non possono essere utilizzati per la creazione di directory ibride.

  • Dispone di due controller di dominio con tutti i servizi in esecuzione. Active Directory

  • Il controller di dominio primario (PDC) deve essere instradabile in qualsiasi momento.

    In particolare, l'emulatore PDC e il RID Master IPs dell'AD autogestito devono rientrare in una di queste categorie:

    • Parte degli intervalli di indirizzi IP RFC1918 privati (10.0.0.0/8, 172.16.0.0/12 o 192.168.0.0/16)

    • All'interno della tua gamma VPC CIDR

    • Abbina il DNS IPs delle tue istanze autogestite alla directory

    È possibile aggiungere percorsi IP aggiuntivi per la directory dopo la creazione della directory ibrida.

Informazioni obbligatorie

Raccogli le seguenti informazioni sul tuo AD autogestito:

  • Nome DNS directory

  • Directory DNS IPs

  • Credenziali dell'account di servizio con autorizzazioni di amministratore per il tuo AD autogestito

  • AWS ARN segreto per l'archiviazione delle credenziali dell'account di servizio (vedi) AWS ARN segreto per directory ibrida

AWS ARN segreto per directory ibrida

Per configurare una directory ibrida con il tuo AD autogestito, devi creare una chiave KMS per crittografare il AWS segreto e quindi creare il segreto stesso. Entrambe le risorse devono essere create nella stessa Account AWS che contiene la directory ibrida.

Crea una chiave KMS

La chiave KMS viene utilizzata per crittografare il tuo segreto. AWS

Importante

Per la chiave di crittografia, non utilizzare la chiave AWS KMS predefinita. Assicurati di creare la chiave AWS KMS nella stessa Account AWS che contiene la directory ibrida che desideri creare per unirti al tuo AD autogestito.

Per creare una chiave KMS AWS

  1. Nella AWS KMS console, scegli Crea chiave.

  2. In Tipo di chiave, scegli Simmetrica.

  3. In Utilizzo delle chiavi, scegli Crittografa e decrittografa.

  4. In Advanced options (Opzioni avanzate):

    1. In Origine materiale chiave, scegli KMS.

    2. Per Regionalità, scegli la chiave Single-Region e scegli Avanti.

  5. In Alias, fornisci un nome per la chiave KMS.

  6. (Facoltativo) In Descrizione, immetti una descrizione per la chiave KMS.

  7. (Facoltativo) Per i tag, aggiungi i tag per la chiave KMS e scegli Avanti.

  8. Per gli amministratori chiave, seleziona un utente IAM.

  9. Per l'eliminazione della chiave, mantieni la selezione predefinita per Consenti agli amministratori chiave di eliminare questa chiave e scegli Avanti.

  10. Per gli utenti chiave, seleziona lo stesso utente IAM del passaggio precedente e scegli Avanti.

  11. Riesamina la configurazione.

  12. Per Key policy, aggiungi la seguente dichiarazione alla policy:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::caller-account:role/role_used_to_create_directory"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    { 
       "Sid": "Allow use of the KMS key on behalf of Directory Service", 
       "Effect": "Allow", 
       "Principal": {
         "Service": "ds.amazonaws.com"
       }, 
       "Action": "kms:Decrypt", 
       "Resource": "*"
    }
  ]
}

  13. Scegli Fine.

Crea un AWS segreto

Crea un segreto in Secrets Manager per archiviare le credenziali del tuo account utente AD autogestito.

Importante

Crea il segreto nella stessa Account AWS che contiene la directory ibrida a cui desideri unire con il tuo AD autogestito.

Per creare un segreto

  • In Secrets Manager, scegli Archivia un nuovo segreto

  • Per Tipo segreto, scegli Altro tipo di segreto

  • In Coppie chiave/valore, aggiungi le due chiavi:

  1. Aggiungi la chiave del nome utente

    1. Per la prima chiave, immetti customerAdAdminDomainUsername.

    2. Per il valore della prima chiave, inserisci solo il nome utente (senza il prefisso del dominio) dell'utente AD. Non includete il nome di dominio in quanto ciò impedirà la creazione dell'istanza.

  2. Aggiungi la chiave della password

    1. Per la seconda chiave, immetti customerAdAdminDomainPassword.

    2. Per il valore della seconda chiave, immetti la password creata per l'utente AD nel dominio.

Completa la configurazione segreta

  1. Per la chiave di crittografia, seleziona la chiave KMS che hai creato Crea una chiave KMS e scegli Avanti.

  2. Per Nome segreto, inserisci una descrizione per il segreto.

  3. (Facoltativo) In Descrizione, inserisci una descrizione per il segreto.

  4. Scegli Next (Successivo).

  5. In Configura impostazioni di rotazione, non modificare i valori predefiniti e scegli Avanti.

  6. Controlla le impostazioni del segreto e scegli Store.

  7. Scegli il segreto creato e copia il valore in ARN secreto. Utilizzerai questo ARN nel passaggio successivo per configurare la tua Active Directory autogestita.

Requisiti di infrastruttura

Prepara i seguenti componenti dell'infrastruttura:

  • Due AWS Systems Manager nodi con privilegi di amministratore per gli agenti SSM

    • Se la gestione Active Directory è automatica al di fuori di Cloud AWS, saranno necessari due nodi Systems Manager per un ambiente ibrido e multicloud. Per ulteriori informazioni su come effettuare il provisioning di questi nodi, vedere Configurazione di Systems Manager per ambienti ibridi e multicloud.

    • Se Active Directory si utilizza la gestione automatica all'interno di Cloud AWS, saranno necessarie due EC2 istanze gestite da Systems Manager. Per ulteriori informazioni su come effettuare il provisioning di queste istanze, vedere Gestione delle EC2 istanze con Systems Manager.

Servizi Active Directory richiesti

Assicurati che i seguenti servizi siano in esecuzione sul tuo AD autogestito:

  • Servizi di dominio Active Directory

  • Servizio Web Active Directory (ADWS)

  • Sistema di eventi COM+

  • Distributed File System Replication (DFSR)

  • Domain Name System (DNS)

  • Server DNS

  • Client di policy di gruppo

  • Messaggistica tra siti

  • Chiamata di procedura remota (RPC)

  • Gestore degli account di sicurezza

  • Time Server di Windows

    Nota

    La directory ibrida richiede che sia la porta UDP 123 sia aperta sia che Windows Time Server sia abilitato e funzionante. Sincronizziamo l'ora con il controller di dominio per garantire che la replica delle directory ibride funzioni correttamente.

Requisiti di autenticazione Kerberos

I tuoi account utente devono avere la preautenticazione Kerberos abilitata. Per istruzioni dettagliate su come abilitare questa impostazione, consulta Assicurarsi che la preautenticazione Kerberos sia abilitata. Per informazioni generali su questa impostazione, vai a Preautenticazione attiva. Microsoft TechNet

Tipi di crittografia supportati

la directory ibrida supporta i seguenti tipi di crittografia durante l'autenticazione tramite Kerberos nei controller di dominio: Active Directory

  • AES-256-HMAC

Requisiti delle porte di rete

AWS Per estendere i controller di Active Directory dominio autogestiti, il firewall della rete esistente deve avere le seguenti porte aperte CIDRs per entrambe le sottoreti del tuo Amazon VPC:

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - autenticazione Kerberos

  • UDP 123: server temporale

  • TCP 135 - Chiamata di procedura remota

  • TCP/UDP 389 - LDAP

  • TCP 445 - SMB

  • TCP 636 - Necessario solo per ambienti con Lightweight Directory Access Protocol Secure (LDAPS)

  • TCP 49152-65535 - Porte TCP elevate allocate casualmente da RPC

  • TCP 3268 e 3269 - Catalogo globale

  • Servizi Web Active Directory (ADWS) TCP 9389

Queste sono le porte minime necessarie per creare una directory ibrida. La propria configurazione specifica potrebbe richiedere l'apertura di porte aggiuntive.

Nota

Il DNS IPs fornito per i controller di dominio e i titolari di ruoli FSMO deve avere le porte di cui sopra aperte CIDRs per entrambe le sottoreti in Amazon VPC.

Nota

La directory ibrida richiede che sia la porta UDP 123 sia aperta sia che Windows Time Server sia abilitato e funzionante. Sincronizziamo l'ora con il controller di dominio per garantire che la replica delle directory ibride funzioni correttamente.

Autorizzazioni Account AWS

Avrai bisogno delle autorizzazioni per le seguenti azioni nel tuo: Account AWS

  • ec2: AuthorizeSecurityGroupEgress

  • ec2: AuthorizeSecurityGroupIngress

  • ec2: CreateNetworkInterface

  • ec2: CreateSecurityGroup

  • ec2: DescribeNetworkInterfaces

  • ec2: DescribeSubnets

  • ec2: DescribeVpcs

  • ec2: CreateTags

  • ec2: CreateNetworkInterfacePermission

  • ssm: ListCommands

  • sms: GetCommandInvocation

  • sms: GetConnectionStatus

  • sms: SendCommand

  • gestore dei segreti: DescribeSecret

  • gestore dei segreti: GetSecretValue

  • sono: GetRole

  • sono: CreateServiceLinkedRole

Requisiti di rete Amazon VPC

Un VPC con quanto segue:

  • Almeno due sottoreti. Ciascuna sottorete deve trovarsi in una zona di disponibilità diversa

  • Il VPC deve avere una locazione predefinita

Non è possibile creare una directory ibrida in un VPC utilizzando gli indirizzi nello spazio di indirizzi 198.18.0.0/15.

AWS Directory Service utilizza una struttura a due VPC. Le EC2 istanze che compongono la tua directory vengono eseguite all'esterno della tua Account AWS e sono gestite da. AWS Hanno due schede di rete, ETH0 e ETH1. ETH0 è la scheda di gestione ed è al di fuori del tuo account. ETH1 viene creata all'interno dell'account.

L'intervallo IP di gestione della rete ETH0 per la tua directory è. 198.18.0.0/15

Per ulteriori informazioni, consulta gli argomenti seguenti nella Guida per l'utente di Amazon VPC:

Per ulteriori informazioni su AWS Direct Connect, consulta la sezione Cos'è AWS Direct Connect?

AWS configurazione del gruppo di sicurezza

Per impostazione predefinita, AWS collega un gruppo di sicurezza per consentire l'accesso di rete ai nodi AWS Systems Manager gestiti nel tuo VPC. Facoltativamente, puoi fornire il tuo gruppo di sicurezza che consente il traffico di rete da e verso i controller di dominio autogestiti al di fuori del tuo VPC.

Facoltativamente, puoi fornire il tuo gruppo di sicurezza che consente il traffico di rete da e verso i controller di dominio autogestiti al di fuori del tuo VPC. Se fornisci il tuo gruppo di sicurezza, devi:

Considerazioni sulle valutazioni degli elenchi

Di seguito sono riportate le considerazioni da prendere in considerazione per la creazione di valutazioni relative agli elenchi e il numero di valutazioni che è possibile inserire nel proprio elenco: Account AWS

  • Una valutazione delle directory viene creata automaticamente quando si crea una directory ibrida. Esistono due tipi di valutazioni: CUSTOMER eSYSTEM. Hai Account AWS un limite di 100 valutazioni nell'CUSTOMERelenco.

  • Se si tenta di creare una directory ibrida e si dispone già di 100 valutazioni di CUSTOMER directory, si verificherà un errore. Elimina le valutazioni per liberare capacità prima di riprovare.

  • Puoi richiedere un aumento della quota di valutazione dell'CUSTOMERelenco contattando Supporto o eliminando le valutazioni esistenti nell'elenco CUSTOMER per liberare spazio.