本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
开始使用 AWS 微软 AD 托管
AWS 托管的 Microsoft AD 创建了一个完全托管的 Microsoft Active Directory 在 AWS Cloud 并由 Windows 服务器 2019,在 2012 年 R2 Forest 和 Domain 功能级别上运行。当你使用创建目录时 AWS 微软 AD 托管, AWS Directory Service 创建两个域控制器并代表您添加DNS服务。域控制器在 Amazon 的不同子网中创建,VPC这种冗余有助于确保即使发生故障也能访问您的目录。如果您需要更多域控制器,您可以在以后添加它们。有关更多信息,请参阅 部署额外的域控制器。
AWS 微软 AD 托管先决条件
要创建 AWS 微软 AD 托管 Active Directory,你需要一台VPC具备以下条件的 Amazon:
-
至少两个子网。每个子网必须位于不同的可用区。
-
VPC必须具有默认的硬件租约。
-
你无法创建 AWS VPC使用地址在 198.18.0.0/15 地址空间中管理微软 AD。
如果你需要整合你的 AWS 使用现有本地托管的 Microsoft AD 域 Active Directory 域,则必须将本地域的林和域功能级别设置为 Windows 服务器 2003 或更高版本。
AWS Directory Service 使用二元VPC结构。构成你的目录的EC2实例在你的目录之外运行 AWS 账户,并由管理 AWS。 它们有两个网络适配器,ETH0和ETH1。 ETH0是管理适配器,存在于您的帐户之外。 ETH1是在您的账户中创建的。
您的目录 ETH 0 网络的管理 IP 范围是 198.18.0.0/15。
AWS IAM Identity Center 先决条件
如果您打算将 Ident IAM ity Center 与 AWS 托管 Microsoft AD,你需要确保以下条件是正确的:
-
您的 AWS 托管的 Microsoft AD 目录已设置在你的 AWS 组织的管理账户。
-
您的 Ident IAM ity Center 实例位于您所在的同一区域 AWS 已设置微软 AD 托管目录。
有关更多信息,请参阅《IAM身份中心先决条件》中的 AWS IAM Identity Center 用户指南。
多重身份验证先决条件
要支持您的多因素身份验证 AWS 托管 Microsoft AD 目录,必须按以下方式配置本地或基于云的远程身份验证拨入用户服务
-
在您的RADIUS服务器上,创建两个RADIUS客户端来代表这两个客户端 AWS 托管微软 AD 域控制器 (DCs) AWS。 必须使用以下常用参数配置两台客户端(您的RADIUS服务器可能有所不同):
-
地址(DNS或 IP):这是其中一个DNS的地址 AWS 托管微软 AD DCs。两个DNS地址都可以在中找到 AWS Directory Service Console 的详细信息页面上 AWS 你计划使用的 Microsoft AD 托管目录MFA。显示DNS的地址代表两个的 IP 地址 AWS 由使用的托管 Microsoft AD DCs AWS.
注意
如果您的RADIUS服务器支持DNS地址,则只能创建一个RADIUS客户机配置。否则,必须为每个配置创建一个RADIUS客户机配置 AWS 管理微软 AD DC。
-
端口号:配置RADIUS服务器接受RADIUS客户端连接的端口号。标准RADIUS端口为 1812。
-
共享密钥:键入或生成RADIUS服务器用于连接RADIUS客户端的共享密钥。
-
协议:您可能需要在两者之间配置身份验证协议 AWS 管理微软 AD DCs 和RADIUS服务器。支持的协议PAP有 CHAP MS-CHAPv1 和 MS-CHAPv2。建议使用 CHAPv2 MS-,因为它提供了这三个选项中最强的安全性。
-
应用程序名称:在某些RADIUS服务器中,这可能是可选的,通常在消息或报告中标识应用程序。
-
-
配置现有网络以允许来自RADIUS客户端的入站流量 (AWS RADIUS服务器端口的托管 Microsoft AD DCs DNS 地址,参见步骤 1)。
-
将规则添加到您的 Amazon EC2 安全组中 AWS 托管 Microsoft AD 域,允许来自先前定义的RADIUS服务器DNS地址和端口号的入站流量。有关更多信息,请参阅《EC2用户指南》中的向安全组添加规则。
有关使用的更多信息 AWS 使用托管 Microsoft ADMFA,请参阅为 AWS 托管的 Microsoft AD 启用多因素身份验证。
创建你的 AWS 微软 AD 托管
要创建新的 AWS 微软 AD 托管 Active Directory,请执行以下步骤。在开始此过程之前,请确保已满足了AWS 微软 AD 托管先决条件中确定的先决条件。
要创建 AWS 微软 AD 托管
-
在 AWS Directory Service 控制台
导航窗格,选择目录,然后选择设置目录。 -
在 “选择目录类型” 页面上,选择 AWS 托管 Microsoft AD,然后选择 “下一步”。
-
在输入目录信息页面上,提供以下信息:
- 版本
-
从的标准版或企业版中进行选择 AWS 托管微软 AD。有关版本的更多信息,请参阅 AWS 微软 Active Directory 的目录服务。
- 目录DNS名
-
目录的完全限定名称,例如
corp.example.com。注意
如果您计划将 Amazon Route 53 用于DNS,请使用您的域名 AWS 托管的 Microsoft AD 必须与你的 Route 53 域名不同。DNS如果 Route 53 和,则可能会出现分辨率问题 AWS 托管的 Microsoft AD 共享相同的域名。
- 目录网BIOS名
-
目录的短名称,如
CORP。 - 目录描述
-
目录的可选描述。
- 管理员密码
-
目录管理员的密码。目录创建过程将创建一个具有
Admin用户名和此密码的管理员账户。密码不能包含单词“admin”。
目录管理员密码区分大小写,且长度必须介于 8 到 64 (含) 个字符之间。至少,它还必须包含下列四种类别中三种类别的一个字符:
-
小写字母 (a-z)
-
大写字母 (A-Z)
-
数字 (0-9)
-
非字母数字字符 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
-
- 确认密码
-
重新键入管理员密码。
- (可选)用户和群组管理
-
要启用 AWS 从管理微软 AD 用户和群组管理 AWS Management Console,在中选择 “管理用户和群组管理” AWS Management Console。 有关如何使用用户和群组管理的更多信息,请参阅使用管理用户和群组 AWS Management Console。
-
在选择VPC和子网页面上,提供以下信息,然后选择下一步。
- VPC
-
VPC对应于目录。
- 子网
-
为域控制器选择子网。两个子网必须位于不同的可用区。
-
在 Review & create (检查并创建) 页面上,检查目录信息并进行任何必要的更改。如果信息正确,请选择 Create directory (创建目录)。创建目录需要 20 到 40 分钟。创建后,Status 值将更改为 Active。
用你的创造了什么 AWS 微软 AD 托管
当你创建 Active Directory 替换为 AWS 微软 AD 托管, AWS Directory Service 代表您执行以下任务:
-
自动创建一个 elastic network interf ENI ace () 并将其与每个域控制器关联。其中每一个对于您VPC和之间的连接ENIs都是必不可少的 AWS Directory Service 域控制器,永远不应删除。您可以识别所有保留用于的网络接口 AWS Directory Service 根据描述:”AWS 为目录目录创建了网络接口-id”。有关更多信息,请参阅 Amazon EC2 用户指南中的弹性网络接口。的默认DNS服务器 AWS 微软 AD 托管 Active Directory 是处于无类域间路由 (CIDR) +2 的VPCDNS服务器。有关更多信息,请参阅《亚马逊VPC用户指南》中的亚马逊DNS服务器。
注意
默认情况下,域控制器部署在一个地区的两个可用区中,并连接到您的 Amazon VPC (VPC)。每天自动备份一次,并对 Amazon EBS (EBS) 卷进行加密,以确保静态数据的安全。出现故障的域控制器会在同一可用区中使用相同的 IP 地址自动替换,并且可以使用最新的备份执行完全灾难恢复。
-
条款 Active Directory 在你VPC使用两个域控制器来实现容错和高可用性。在成功创建目录且目录处于活动状态后,可以预置更多域控制器以获得更高的恢复能力和性能。有关更多信息,请参阅 部署额外的域控制器。
注意
AWS 不允许在上安装监视代理 AWS 托管微软 AD 域控制器。
-
创建一个 AWS 安全组,用于为进出域控制器的流量制定网络规则。默认出站规则允许所有流量ENIs或实例连接到已创建的 AWS 安全组。默认的入站规则仅允许流量通过所需的端口 Active Directory 来自任何来源 (0.0.0.0/0)。0.0.0.0/0 规则不会引入安全漏洞,因为域控制器的流量仅限于来自您的 Amazon VPC、其他对等设备或您使用连接VPCs的网络的流量 AWS Direct Connect, AWS Transit Gateway,或虚拟专用网络。为了提高安全性ENIs,创建的没有IPs附加弹性,您也无权将弹性 IP 附加到这些服务器ENIs。因此,唯一可以与您通信的入站流量 AWS 托管 Microsoft AD 是本地VPC和VPC路由流量。如果您尝试更改这些规则,请特别小心,因为您可能会破坏与域控制器通信的能力。有关更多信息,请参阅 Microsoft AD AWS 托管最佳实践。以下 AWS 默认情况下会创建安全组规则:
入站规则
协议 端口范围 来源 流量的类型 Active Directory 使用情况 ICMP 不适用 0.0.0.0/0 Ping LDAP活下去,DFS TCP & UDP 53 0.0.0.0/0 DNS 用户和计算机身份验证、名称解析、信任 TCP & UDP 88 0.0.0.0/0 Kerberos 用户和计算机身份验证、林级信任 TCP & UDP 389 0.0.0.0/0 LDAP 目录、复制、用户和计算机身份验证组策略、信任 TCP & UDP 445 0.0.0.0/0 SMB / CIFS 复制、用户和计算机身份验证、组策略、信任 TCP & UDP 464 0.0.0.0/0 Kerberos 更改/设置密码 复制、用户和计算机身份验证、信任 TCP 135 0.0.0.0/0 复制 RPC, EPM TCP 636 0.0.0.0/0 LDAP SSL 目录、复制、用户和计算机身份验证、组策略、信任 TCP 1024-65535 0.0.0.0/0 RPC 复制、用户和计算机身份验证、组策略、信任 TCP 3268 - 3269 0.0.0.0/0 LDAPGC 和 LDAP GC SSL 目录、复制、用户和计算机身份验证、组策略、信任 UDP 123 0.0.0.0/0 Windows 时间 Windows 时间、信任 UDP 138 0.0.0.0/0 DFSN & NetLogon DFS,组策略 全部 全部 sg-################## 所有流量 出站规则
协议 端口范围 目标位置 流量的类型 Active Directory 使用情况 全部 全部 sg-################## 所有流量 -
有关使用的端口和协议的更多信息 Active Directory,请参阅服务概述和网络端口要求 Windows
在 Microsoft 文档中)。
-
-
在域根目录下创建以下三个组织单位 (OUs):
OU 名称 描述 AWS 委托组
存储所有可用于委派的群组 AWS 您的用户的特定权限。 AWS 预留 全部存储 AWS 管理特定账户。 <您的域名> 此 OU 的名称基于您在创建目录时键入的网络BIOS名称。如果您未指定网络BIOS名称,则它将默认为目录DNS名称的第一部分(例如,对于 corp.example.com,网络BIOS名称将为 corp)。此 OU 归所有 AWS 并包含你所有的东西 AWS相关的目录对象,您有权完全控制这些对象。默认情况下,此 OU 下OUs有两个子项:“计算机” 和 “用户”。例如: -
Corp
-
Computers
-
用户
-
-
-
在中创建以下群组 AWS 委托群组 OU:
组名 描述 AWS 委托账户操作员 此安全组的成员拥有有限的账户管理能力,如密码重置 AWS 基于活动目录的授权激活管理员
该安全组的成员可以创建 Active Directory 批量许可激活对象,它使企业能够通过连接到其域来激活计算机。
AWS 委派向域用户添加工作站 此安全组的成员可将 10 台计算机加入域中。 AWS 授权管理员 该安全组的成员可以管理 AWS 托管 Microsoft AD,可以完全控制组织单位中的所有对象,并且可以管理组织单元中包含的群组 AWS 委托群组 OU。 AWS 已授权允许对对象进行身份验证 该安全组的成员能够对中的计算机资源进行身份验证 AWS 预留 OU(仅启用了选择性身份验证信任的本地对象才需要)。 AWS 已授权允许向域控制器进行身份验证 此安全组的成员可以对域控制器 OU 中的计算机资源进行身份验证(仅当本地对象具有启用了选择性身份验证的信任时才需要)。 AWS 委派的已删除对象生命周期管理员
该安全组的成员可以修改 MSD-DeletedObjectLifetime 对象,该对象定义了已删除的对象可以从 AD 回收站中恢复多长时间。
AWS 委派的分布式文件系统管理员 该安全组的成员可以添加和删除FRS、DFS-R 和DFS命名空间。 AWS 委派域名系统管理员 该安全组的成员可以集成管理 Active Directory DNS。 AWS 委派的动态主机配置协议管理员 该安全组的成员可以授权 Windows DHCP企业中的服务器。 AWS 委派的企业证书颁发机构管理员 该安全组的成员可以部署和管理 Microsoft 企业证书颁发机构基础架构。 AWS 委派精细密码策略管理员 此安全组的成员可以修改预先创建的精细密码策略。 AWS 授权FSx管理员 该安全组的成员可以管理 Amazon FSx 资源。 AWS 委派组策略管理员 此安全组的成员可以执行组策略管理任务(创建、编辑、删除、链接)。 AWS 委派的 Kerberos 委派管理员 此安全组的成员可以针对计算机和用户账户对象启用委托。 AWS 委派的托管服务账户管理员 此安全组的成员可以创建和删除托管服务账户。 AWS 委托 MS-NPRC 不兼容的设备 该安全组的成员将被排除在与域控制器进行安全通道通信的要求之外。此组适用于计算机账户。 AWS 委派的远程访问服务管理员 该安全组的成员可以在和RAS服务器组中添加RAS和删除IAS服务器。 AWS 委派的复制目录更改管理员 该安全组的成员可以将 Active Directory 中的配置文件信息与 SharePoint 服务器同步。 AWS 委派服务器管理员 此安全组的成员包含在所有加入域的计算机的本地管理员组中。 AWS 委派站点和服务管理员 此安全组的成员可以重命名 Active Directory 站点和服务中的 Default-First-Site-Name 对象。 AWS 委派的系统管理管理员 此安全组的成员可以创建和管理系统管理容器中的对象。 AWS 委派的终端服务器许可管理员 此安全组的成员可以在终端服务器许可服务器组中添加和删除终端服务器许可服务器。 AWS 委派用户主体名称后缀管理员 此安全组的成员可以添加和删除用户委托人名称后缀。 -
创建并应用以下组策略对象 (GPOs):
注意
您无权删除、修改或解除这些GPOs内容的链接。这是设计使然,因为它们是保留的 AWS 使用。如果需要,您可以将它们链接OUs到您控制的对象。
组策略名称 适用于 描述 默认域策略 域 包括域密码和 Kerberos 策略。 ServerAdmins 所有非域控制器计算机账户 添加 'AWS 作为BUILTIN\ 管理员组成员的委派服务器管理员。 AWS 保留政策:用户 AWS 保留的用户账户 为所有用户帐户设置建议的安全设置 AWS 已保留 OU。 AWS 托管活动目录政策 所有域控制器 在所有域控制器上设置建议的安全设置。 TimePolicyNT5DS 所有非PDCe域控制器 将所有非PDCe域控制器的时间策略设置为使用 Windows 时间 (NT5DS)。 TimePolicyPDC PDCe域控制器 将PDCe域控制器的时间策略设置为使用网络时间协议 (NTP)。 默认域控制器策略 未使用 在创建域时进行配置, AWS 取而代之的是托管活动目录策略。 如果您想查看每个设置的设置GPO,则可以在启用组策略管理控制台 (GPMC)
的情况下从已加入域的 Windows 实例中查看这些设置。 -
为创建以下默认本地账户 AWS 微软广告管理托管:
重要
请务必保存管理员密码。 AWS Directory Service 不存储此密码,也无法找回。但是,您可以从中重置密码 AWS Directory Service 控制台或使用ResetUserPasswordAPI。
- Admin
-
admin 是指在以下情况下创建的目录管理员帐户 AWS 托管微软 AD 是首次创建的。您在创建该帐户时提供了该帐户的密码 AWS 托管微软 AD。此账户位于 Users OU 下 (例如,Corp > Users)。你使用这个账户来管理你的 Active Directory 在 AWS。 有关更多信息,请参阅管理员账户的权限。
- AWS_
11111111111 -
任何以开头的账户名 AWS 后面是下划线,位于 AWS 预留 OU 是一个服务管理账户。此服务管理账户由 AWS 与之互动 Active Directory。 这些账户是在以下情况下创建的 AWS Directory Service Data 已启用,而且每次新增 AWS 应用程序已获得授权 Active Directory。 这些账户只能通过以下方式访问 AWS 服务的支持。
有关管理员账户和由创建的其他账户的更多信息 Active Directory,请参阅 Microsoft 文档
管理员账户的权限
当你创建 AWS 微软目录服务 Active Directory 目录, AWS 创建组织单位 (OU) 来存储所有内容 AWS 相关群组和账户。有关此 OU 的更多信息,请参阅 用你的创造了什么 AWS 微软 AD 托管。其中包括管理员账户。管理员账户有权对您的 OU 执行以下常见的管理活动:
-
添加、更新或删除用户、组和计算机。有关更多信息,请参阅 在中管理用户和群组 AWS 微软 AD 托管。
-
将资源添加到域 (如文件或打印服务器),然后为 OU 中的用户和组分配这些资源的权限。
-
创建其他OUs和容器。
-
委托其他容OUs器和容器的权限。有关更多信息,请参阅 委托目录加入权限 AWS 微软 AD 托管。
-
创建和链接组策略。
-
从中恢复已删除的对象 Active Directory 回收站。
-
运行活动目录然后 DNS Windows PowerShell 上的模块 Active Directory Web Service.
-
创建和配置组托管服务账户。有关更多信息,请参阅 组托管服务账户。
-
配置 Kerberos 约束委托。有关更多信息,请参阅 Kerberos 约束委托。
Admin 账户还具有执行下列域范围活动的权限:
-
管理DNS配置(添加、删除或更新记录、区域和转发器)
-
查看DNS事件日志
-
查看安全事件日志
仅允许管理员账户执行此处列出的操作。对于特定 OU 外部 (如在父 OU 上) 的任何目录相关操作,管理员账户也没有权限。
重要
AWS 域管理员对托管的所有域拥有完全的管理权限 AWS。 查看您与之达成的协议 AWS 还有 AWS FAQ
注意
我们建议您不要删除或重命名此账户。如果您不再想使用该账户,建议您设置一个长密码(最多 64 个随机字符),然后禁用该账户。
企业和域管理员特权账户
AWS 每 90 天自动将内置管理员密码轮换为随机密码。每当要求使用内置管理员密码供人类使用时 AWS 票证已创建并记录在 AWS Directory Service 球队。账户凭证通过安全通道进行经过加密和处理。此外,管理员账户凭证只能由以下人员申请 AWS Directory Service 管理团队。
要对您的目录进行操作管理, AWS 对具有企业管理员和域管理员权限的帐户拥有独家控制权。这包括对 Active Directory 管理员帐户的独家控制权。 AWS 通过使用密码库自动管理密码,从而保护此帐户。在管理员密码的自动轮换期间, AWS 创建临时用户帐户并授予其域管理员权限。此临时账户已用作备份在发生密码轮换故障的管理员账户。晚于 AWS 成功轮换管理员密码, AWS 删除临时管理员帐户。
通常情况下 AWS 完全通过自动化操作目录。如果自动化过程无法解决操作问题, AWS 可能需要让支持工程师登录您的域控制器 (DC) 才能进行诊断。在这些极少数情况下, AWS 实现请求/通知系统来授予访问权限。在这个过程中, AWS automation 会在您的目录中创建一个具有域管理员权限的限时用户帐户。 AWS 将用户帐户与被指派处理您的目录的工程师相关联。 AWS 将这种关联记录在我们的日志系统中,并为工程师提供要使用的凭据。工程师所采取的所有操作都记录在 Windows 事件日志中。当分配的时间到期后,自动化将删除用户账户。
您可以使用目录的日志转发功能监控管理账户的操作。此功能使您能够将 AD Security 事件转发到您的 CloudWatch 系统,在那里您可以实施监控解决方案。有关更多信息,请参阅 为 AWS 托管 Microsoft AD 启用亚马逊 CloudWatch 日志转发功能。
当有人以交互方式登录 DC 时,都会记录安全事件 IDs 4624、4672 和 4648。你可以使用已加入域的 Windows 计算机上的事件查看器 Microsoft 管理控制台 (MMC) 查看每个 DC 的 Windows 安全事件日志。您也可以将所有安全事件日志发送为 AWS 托管 Microsoft AD 启用亚马逊 CloudWatch 日志转发功能到您账户中的 CloudWatch Logs。
您可能偶尔会看到用户在中创建和删除 AWS 已保留 OU。 AWS 负责管理此 OU 以及我们未向您委托访问和管理权限的任何其他 OU 或容器中所有对象的管理和安全。您可能会看到该 OU 中创建和删除的内容。这是因为 AWS Directory Service 使用自动化来定期轮换域管理员密码。轮换密码时会创建备份,以防轮换失败。轮换成功后,备份账户会自动删除。此外,在极少数情况下需要交互式访问DCs以进行故障排除,则会为以下用户创建一个临时用户帐户 AWS Directory Service 要使用的工程师。工程师完成工作后,临时用户账户将被删除。请注意,每次为目录请求交互式凭证时, AWS Directory Service 管理团队已收到通知。
