本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Managed Microsoft AD 入門
AWS Managed Microsoft AD 會在 Microsoft Active Directory中建立完全受管的 , AWS 雲端 並由 Windows Server 2019 提供支援,並在 2012 R2 Forest 和 Domain 功能層級運作。當您使用 AWS Managed Microsoft AD 建立目錄時, 會 AWS Directory Service 建立兩個網域控制站,並代表您新增 DNS 服務。網域控制站是在 Amazon VPC 中的不同子網路中建立的,此備援有助於確保您的目錄即使發生故障,仍可存取。如果您需要更多網域控制器,可於稍後新增。如需詳細資訊,請參閱部署 AWS Managed Microsoft AD 的其他網域控制站。
如需 AWS Managed Microsoft AD 的示範和概觀,請參閱下列YouTube影片。
主題
建立 AWS Managed Microsoft AD 的先決條件
若要建立 AWS Managed Microsoft ADActive Directory,您需要具有下列項目的 Amazon VPC:
-
至少兩個子網路。每個子網路皆必須位於不同的可用區域。
-
VPC 必須具有預設硬體租用。
-
您不能使用 198.18.0.0/15 地址空間中的地址在 VPC 中建立 AWS Managed Microsoft AD。
如果您需要將 AWS Managed Microsoft AD 網域與現有的現場部署Active Directory網域整合,則必須將現場部署網域的樹系和網域功能層級設定為 Windows Server 2003 或更高版本。
AWS Directory Service 使用兩個 VPC 結構。組成您目錄的 EC2 執行個體會在 AWS 您的帳戶外執行,並由 管理 AWS。其使用兩種網路轉接器,ETH0 和 ETH1。ETH0 是管理轉接器,而且位於您的帳戶外部。ETH1 則是建立於您的帳戶內部。
您目錄的 ETH0 網路的管理 IP 範圍是 198.18.0.0/15。
如需如何建立 AWS 環境和 AWS Managed Microsoft AD 的教學課程,請參閱 AWS Managed Microsoft AD 測試實驗室教學課程。
AWS IAM Identity Center 先決條件
如果您計劃將 IAM Identity Center 與 AWS Managed Microsoft AD 搭配使用,您需要確保下列項目為真:
-
您的 AWS Managed Microsoft AD 目錄是在 AWS 組織的管理帳戶中設定。
-
IAM Identity Center 的執行個體位於設定 AWS Managed Microsoft AD 目錄的相同區域。
如需詳細資訊,請參閱AWS IAM Identity Center 《 使用者指南》中的 IAM Identity Center 先決條件。
多重要素驗證先決條件
若要使用 AWS Managed Microsoft AD 目錄支援多重要素身分驗證,您必須以下列方式設定內部部署或雲端遠端身分驗證撥入使用者服務
-
在 RADIUS 伺服器上,建立兩個 RADIUS 用戶端,以代表其中的兩個 AWS Managed Microsoft AD 網域控制站 DCs) AWS。您必須使用下列一般參數來設定這兩個用戶端 (您的 RADIUS 伺服器可能會有所不同):
-
地址 (DNS 或 IP):這是其中一個 AWS Managed Microsoft AD DCs的 DNS 地址。您可以在 AWS Managed Microsoft AD 目錄的詳細資訊頁面上的 AWS Directory Service Console 中找到這兩個 DNS 地址,而您打算在其中使用 MFA。顯示的 DNS 地址代表 所使用的兩個 AWS Managed Microsoft AD DCs的 IP 地址 AWS。
注意
如果您的 RADIUS 伺服器支援 DNS 地址,您只能建立一個 RADIUS 用戶端組態。否則,您必須為每個 AWS Managed Microsoft AD DC 建立一個 RADIUS 用戶端組態。
-
連接埠號碼:設定您的 RADIUS 伺服器用來接受 RADIUS 用戶端連線的連接埠號碼。標準 RADIUS 連接埠是 1812。
-
共用密碼:輸入或產生 RADIUS 伺服器將用來連線到 RADIUS 用戶端的共用密碼。
-
通訊協定:您可能需要在 AWS Managed Microsoft AD DCs和 RADIUS 伺服器之間設定身分驗證通訊協定。支援的協定包括 PAP、CHAP MS-CHAPv1 和 MS-CHAPv2。建議使用 MS-CHAPv2,因為它提供三種選項當中最強大的安全。
-
應用程式名稱:這在某些 RADIUS 伺服器中可能是選用的,通常用來識別訊息或報告中的應用程式。
-
-
設定現有的網路,以允許從 RADIUS 用戶端 (AWS 受管 Microsoft AD DCs 地址,請參閱步驟 1) 到 RADIUS 伺服器連接埠的傳入流量。
-
將規則新增至 AWS Managed Microsoft AD 網域中的 Amazon EC2 安全群組,以允許來自先前定義的 RADIUS 伺服器 DNS 地址和連接埠號碼的傳入流量。如需詳細資訊,請參閱《EC2 使用者指南》中的「新增規則至安全群組」一節。
如需搭配 MFA 使用 AWS Managed Microsoft AD 的詳細資訊,請參閱 啟用 AWS Managed Microsoft AD 的多重要素驗證。
建立 AWS Managed Microsoft AD
若要建立新的 AWS Managed Microsoft ADActive Directory,請執行下列步驟。開始此程序之前,請確定您已完成「建立 AWS Managed Microsoft AD 的先決條件」中所示的必要條件。
建立 AWS Managed Microsoft AD
-
在 AWS Directory Service 主控台
中,選擇目錄,然後選擇設定目錄。 -
在選取目錄類型頁面上,選擇 AWS Managed Microsoft AD,然後選擇下一步。
-
在 Enter directory information (輸入目錄資訊) 頁面上,提供下列資訊:
- Edition (版本)
-
選擇 AWS Managed Microsoft AD 的標準版本或企業版本。如需版本的詳細資訊,請參閱 AWS Directory Service for Microsoft Active Directory。
- 目錄 DNS 名稱
-
目錄的完全合格名稱,例如
corp.example.com。注意
如果您計劃將 Amazon Route 53 用於 DNS,則 AWS Managed Microsoft AD 的網域名稱必須與 Route 53 網域名稱不同。如果 Route 53 和 AWS Managed Microsoft AD 共用相同的網域名稱,則可能會發生 DNS 解析問題。
- 目錄 NetBIOS 名稱
-
目錄的簡短名稱,例如:
CORP。 - 目錄描述
-
選擇填寫其他目錄說明。您可以在建立 AWS Managed Microsoft AD 之後變更此描述。
- 管理員密碼
-
目錄管理員的密碼。目錄建立程序會建立含有使用者名稱
Admin與這組密碼的管理者帳戶。您可以在建立 AWS Managed Microsoft AD 後變更管理員密碼。密碼不得包含「admin」一字。
目錄管理者密碼區分大小寫,長度須介於 8 至 64 個字元之間。至少須有一位字元屬於以下四種類型中的三類:
-
小寫字母 (a-z)
-
大寫字母 (A-Z)
-
數字 (0-9)
-
非英數字元 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
-
- Confirm password (確認密碼)
-
重新輸入管理員密碼。
- (選用) 使用者和群組管理
-
若要從 啟用 AWS Managed Microsoft AD 使用者和群組管理 AWS Management Console,請在 中選取管理使用者和群組管理 AWS Management Console。如需如何使用使用者和群組管理的詳細資訊,請參閱使用 AWS Management ConsoleAWS CLI、 或 管理 AWS Managed Microsoft AD 使用者和群組 AWS Tools for PowerShell。
-
在 Choose VPC and subnets (選擇 VPC 和子網路) 頁面上,提供下列資訊,然後選擇 Next (下一步)。
- VPC
-
目錄的 VPC。
- 子網路
-
選擇網域控制站的子網路。這兩個子網路必須位於不同的可用區域。
-
在 Review & create (檢閱和建立) 頁面上檢閱目錄資訊,並進行必要的變更。若資訊無誤,請選擇 Create directory (建立目錄)。建立目錄需要 20 到 40 分鐘。建立後,Status (狀態) 值會變更為 Active (作用中)。
如需使用 AWS Managed Microsoft AD 建立之項目的詳細資訊,請參閱以下內容:
