一般性问题
问:什么是 AWS Directory Service?
AWS Directory Service 是一项托管服务,提供包含贵组织相关信息(包括用户、组、计算机和其他资源)的目录。作为一项托管服务,AWS Directory Service 旨在减少管理任务,使您可以将更多的时间和资源集中在业务发展上。无需自己构建高度可用的复杂目录拓扑,因为每个目录都跨多个可用区进行部署,并且监控功能可自动检测并替换发生故障的域控制器。另外,它还为您配置了数据复制和每日自动拍摄快照的功能。不需要安装任何软件,AWS 会处理所有补丁和软件更新。
问:AWS Directory Service 有何用途?
AWS Directory Service 可让您在 AWS 云中轻松设置和运行目录,或者将 AWS 资源与现有的内部部署 Microsoft Active Directory 相关联。目录创建完成后,您便可以用它来管理用户和组、为应用程序和服务提供单点登录、创建和应用组策略、将 Amazon EC2 实例加入到域,以及简化基于云的 Linux 和 Microsoft Windows 工作负载的部署和管理。AWS Directory Service 可让您的最终用户在访问 AWS 应用程序 (如 Amazon WorkSpaces、Amazon WorkDocs 和 Amazon WorkMail,以及可感知目录的 Microsoft 工作负载,包括自定义 .NET 和基于 SQL Server 的应用程序) 时,使用他们现有的企业凭证。最终,您可以通过 AWS Identity and Access Management (IAM) 对 AWS 管理控制台进行基于角色的访问,从而使用现有的企业凭证管理 AWS 资源,因此您无需构建更多的联合身份验证基础设施。
问:如何创建目录?
您可以使用 AWS 管理控制台或 API 来创建目录。您只需要提供一些基本信息,如目录的完全限定域名 (FQDN)、管理员账户的名称和密码以及您想将目录与之连接的 VPC。
问:我是否可以将现有的 Amazon EC2 实例加入 AWS Directory Service 目录中?
是的,您可以使用 AWS 管理控制台和或 API 将运行 Linux 或 Windows 的现有 EC2 实例添加到 AWS Managed Microsoft AD 目录。
问:AWS Directory Service 是否支持 API?
支持使用公用 API 创建和管理目录。您现在可以通过编程的方式使用公共 API 管理目录。API 通过 AWS CLI 和软件开发工具包提供。有关 API 的更多信息,请参阅 AWS Directory Service 文档。
问:AWS Directory Service 是否支持 CloudTrail 日志功能?
是。通过 AWS Directory Service API 或管理控制台执行的操作将包含在 CloudTrail 审核日志中。
问:当我的目录状态发生变化时,我可以收到通知吗?
可以。您可以配置 Amazon Simple Notification Service (SNS),以在您的 AWS Directory Service 状态发生变化时接收电子邮件和短信。Amazon SNS 使用主题来收集消息并将消息分发给订阅者。当 AWS Directory Service 检测到您的目录状态发生变化时,它会向相关主题发布一条消息,该消息随后会发送给主题订阅者。访问文档了解更多信息。
问:AWS Directory Service 是如何收费的?
请参阅定价页面了解更多信息。
问:我能否标记目录?
可以。AWS Directory Service 支持成本分配标记。标签通过对 AWS 资源进行分类和分组,从而让您能够轻松分配成本和优化支出。例如,您可以使用标签按管理员、应用程序名称、成本中心或特定项目对资源进行分组。
问:哪些 AWS 地区提供 AWS Directory Service?
请参阅区域性产品和服务,了解 AWS Directory Service 在不同区域的具体提供情况。
问:AWS Managed Microsoft AD 支持哪些版本的服务器消息块 (SMB) 协议?
在 2020 年 5 月 31 日生效后,客户端计算机只能使用 SMB 版本 2.0 (SMBv2) 或更新版本访问存储在域控制器的 SYSVOL 和 NETLOGON 共享上的文件,以访问其 AWS Managed Microsoft AD 目录。但是,AWS 建议客户仅在所有基于 SMB 的文件服务上使用 SMBv2 或更高版本。
AWS Managed Microsoft AD
问:如何创建 AWS Managed Microsoft AD 目录?
您可以在 AWS 管理控制台上启动 AWS Directory Service 控制台以创建 AWS Managed Microsoft AD 目录。或者,您也可以使用 AWS 开发工具包或 AWS CLI 进行创建。
问:如何部署 AWS Managed Microsoft AD 目录?
默认情况下,AWS Managed Microsoft AD 目录部署在一个区域的两个可用区内,并连接至您的 Amazon Virtual Private Cloud (VPC)。它每天会自动备份一次,并会对 Amazon Elastic Block Store (EBS) 卷进行加密以确保静态数据安全无虞。它会在同一可用区内使用同一 IP 地址自动更换出现故障的域控制器,并且可使用最新备份执行完整的灾难恢复。
问:是否可以对 AWS Managed Microsoft AD 目录的存储、CPU 或内存参数进行配置?
不可以,目前不支持此功能。
问:我如何管理 AWS Managed Microsoft AD 的用户和组?
您可以使用现有 Active Directory 工具(在已加入 AWS Managed Microsoft AD 域的 Windows 计算机上运行)来管理 AWS Managed Microsoft AD 目录中的用户和组,不需要特殊的工具、策略或行为更改。
问:AWS Managed Microsoft AD 与我自己的 Amazon EC2 Windows 实例中运行的 Active Directory 相比,管理权限有何不同?
为了提供托管服务体验,AWS Managed Microsoft AD 必须禁止干扰服务管理的客户操作。因此,AWS 限制对需要更高权限的目录对象、角色和组的访问。AWS Managed Microsoft AD 不允许主机通过 Windows 远程桌面连接、PowerShell Remoting、Telnet 或 Secure Shell (SSH) 直接访问域控制器。创建好 AWS Managed Microsoft AD 目录后,系统会为您分配组织部门 (OU) 以及与其对应的管理员账户和委托管理权限。您可以使用 Active Directory“用户”和“组”等标准的远程服务器管理工具 或 PowerShell ActiveDirectory 模块在 OU 内创建用户账户、组和策略。
问:是否可以将 Microsoft 网络策略服务器 (NPS) 与 AWS Managed Microsoft AD 搭配使用?
可以。设置 AWS Managed Microsoft AD 时为您创建的管理员账户拥有对远程访问服务 (RAS) 和 Internet 身份验证服务 (IAS) 安全组的委托管理权限。这使您可以将 NPS 注册到 AWS Managed Microsoft AD,并管理您的域中账户的网络访问策略。
问:AWS Managed Microsoft AD 是否支持架构扩展?
可以。AWS Managed Microsoft AD 支持您以 LDAP 数据交换格式 (LDIF) 文件的形式提交给服务的架构扩展。您可以进行扩展,但不得修改 Active Directory 的核心架构。
问:哪些应用程序与 AWS Managed Microsoft AD 兼容?
Amazon Chime
Amazon Connect
Amazon EC2 实例
Amazon FSx for Windows File Server
Amazon QuickSight
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
Amazon Single Sign On
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS Client VPN
AWS 管理控制台
请注意,这些应用程序的有些配置不受支持。
问:哪些第三方软件可与 AWS Managed Microsoft AD 兼容?
AWS Managed Microsoft AD 基于实际的 Active Directory,并提供了最广泛的原生 AD 工具和第三方应用程序支持,例如:
Active Directory-Based Activation (ADBA)
Active Directory Certificate Services (AD CS):Enterprise Certificate Authority
Active Directory Federation Services (AD FS)
Active Directory Users and Computers (ADUC)
应用程序服务器 (.NET)
Azure Active Directory (Azure AD)
Azure Active Directory (AD) Connect
分布式文件系统复制 (DFSR)
分布式文件系统命名空间 (DFSN)
Microsoft Remote Desktop Services Licensing Server
Microsoft SharePoint Server
Microsoft SQL Server(包括 SQL Server Always On Availability Groups)
Microsoft System Center Configuration Manager (SCCM)
Microsoft Windows 和 Windows Server OS
Office 365
问:哪些第三方软件与 AWS Managed Microsoft AD 不兼容?
Active Directory Certificate Services (AD CS):Certificate Enrollment Web Service
Active Directory Certificate Services (AD CS):Certificate Enrollment Policy Web Service
Microsoft Exchange Server
适用于 Business Server 的 Microsoft Skype
问:我可以将现有的本地 Microsoft Active Directory 迁移至 AWS Managed Microsoft AD 吗?
AWS 不提供任何将自我管理的 Active Directory 迁移到 AWS Managed Microsoft AD 的迁移工具。您必须建立执行迁移的策略(包括密码重置),并使用远程服务器管理工具实施计划。
问:我可以在 Directory Service 控制台中配置条件转发服务器和信任关系吗?
可以。您可以使用 Directory Service 控制台以及 API,为 AWS Managed Microsoft AD 配置条件转发服务器和信任关系。
问:我能否向我的 AWS Managed Microsoft AD 中手动添加额外的域控制器?
可以。您可以使用 AWS Directory Service 控制台或 API 向您的托管域添加额外的域控制器。请注意,不支持手动将 Amazon EC2 实例添加到域控制器。
问:我可以通过 AWS Managed Microsoft AD 中托管的用户账户来使用 Microsoft Office 365 吗?
可以。您可以使用 Azure AD Connect 将 AWS Managed Microsoft AD 中的身份同步到 Azure AD,将适用于 Windows 2016 的 Microsoft Active Directory 联合身份验证服务 (AD FS) 与 AWS Managed Microsoft AD 结合使用对 Office 365 用户进行身份验证。有关分步说明,请参阅 How to Enable Your Users to Access Office 365 with AWS Microsoft Active Directory Credentials.
问:我可以通过 AWS Managed Microsoft AD 对云应用程序使用基于安全断言标记语言 (SAML) 2.0 的身份验证吗?
可以。您可以将适用于 Windows 2016 的 Microsoft Active Directory 联合身份验证服务 (AD FS) 与 AWS Managed Microsoft AD 托管的域结合使用来对支持 SAML 的云应用程序的用户进行身份验证。
问:我可以使用 LDAPS 加密我的应用程序与 AWS Managed Microsoft AD 之间的通信吗?
可以。在客户端和服务器两个角色中,AWS Managed Microsoft AD 支持通过安全套接字层 (SSL)/传输层安全 (TLS) 的轻型目录访问协议 (LDAP),这两种 LDAP 也称为 LDAPS。当作为服务器时,AWS Managed Microsoft AD 支持通过 636 端口 (SSL) 和 389 端口 (TLS) 的 LDAPS。您可以通过从基于 AWS 的活动目录证书服务证书颁发机构 (CA) 在您的 AWS Managed Microsoft AD 域控制器上安装证书来启用服务器端 LDAPS 通信。要了解更多信息,请参见启用安全的 LDAP (LDAPS)。
问:我可以使用 AWS Managed Microsoft AD 加密 AWS 应用程序与自行管理的 AD 之间的 LDAP 通信吗?
可以。在客户端和服务器两个角色中,AWS Managed Microsoft AD 支持通过安全套接字层 (SSL)/传输层安全 (TLS) 的轻型目录访问协议 (LDAP),这两种 LDAP 也称为 LDAPS。当作为客户时,AWS Managed Microsoft AD 支持通过 636 端口 (SSL) 的 LDAPS。您可以通过将来自服务器证书签发者的证书颁发机构 (CA) 证书注册到 AWS 来启用客户端 LDAPS 通信。要了解更多信息,请参见启用安全的 LDAP (LDAPS)。
问:AWS Managed Microsoft AD 如何解决 Microsoft 公告 ADV190023 的问题?该公告说明了对 AD 域控制器上默认 LDAP 安全设置的更改。
AWS Managed Microsoft AD 在用作与自行管理的 Active Directory 通信的 LDAP 客户端时,支持 LDAP 签名和 LDAP over SSL/TLS (LDAPS)。客户端 LDAP 签名不需要客户采取任何操作即可启用,并可提供数据完整性。客户端 LDAPS 需要配置,并可提供数据完整性和保密性。如需了解更多信息,请参阅此 AWS 论坛帖子。
问:AWS Managed Microsoft AD 可支持多少用户、组、计算机和对象(总数)?
AWS Managed Microsoft AD(标准版)提供 1GB 的目录对象存储。此容量可支持高达 5000 个用户或 30000 个目录对象,包括用户、组和计算机。AWS Managed Microsoft AD(企业版)提供 17GB 的目录对象存储,可支持高达 100000 个用户或 500000 个对象。
问:我可以将 AWS Managed Microsoft AD 用作主目录吗?
可以。您可以将其用作主目录来管理云中的用户、组、计算机和组策略对象 (GPO)。您可以管理对以下项的访问以及为其提供单点登录 (SSO):AWS 应用程序和服务、AWS 云中 Amazon EC2 实例中运行的可识别第三方目录的应用程序。此外,您还可以使用 Azure AD Connect 和 AD FS 支持对云应用程序(含 Office 365)进行单点登录。
问:我可以将 AWS Managed Microsoft AD 用作资源林吗?
可以。您可以将 AWS Managed Microsoft AD 用作资源林,其中包括与您的本地目录建立信任关系的主计算机和组。这样,您的用户便可使用他们的本地 AD 凭证访问 AWS 应用程序和资源。
多区域复制
问:什么是多区域复制?
多区域复制是可让您跨多个 AWS 区域部署和使用单一 AWS Managed Microsoft AD 目录的一项功能。这使您可以更轻松、更经济高效地在全球范围内部署和管理 Microsoft Windows 和 Linux 工作负载。借助自动化多区域复制功能,您可以获得更高的弹性,而应用程序则使用本地目录来获得最佳性能。该功能仅在 AWS Managed Microsoft AD(企业版)中推出。您可以将该功能用于新目录和现有目录。
问:如何将 AWS 区域添加到我的目录中?
首先,在您的目录运行所在的区域(主区域)中打开 AWS Directory Service 控制台。选择您想要扩展的目录,然后选择 Add Region(添加区域)。然后,选择您想要扩展到的区域,提供 Amazon Virtual Private Cloud (VPC) 以及您希望在其中部署目录的子网。您还可以使用 API 扩展您的目录。有关更多信息,请参阅文档。
问:当我添加新的 AWS 区域时,多区域复制是如何运行的?
AWS Managed Microsoft AD 将在您选定的区域中自动配置区域间网络连接、部署域控制器并复制所有目录数据,包括用户、组、组策略对象 (GPO) 和架构。此外,AWS Managed Microsoft AD 还在每个区域配置了一个新的 AD 站点,从而提高区域内的用户身份验证和域控制器复制性能,同时通过最小化区域之间的数据传输来降低成本。您的目录标识符 (directory_id) 在新区域中保持相同,并部署到与您的主区域相同的 AWS 账户中。
问:我是否能与新 AWS 区域中的其他 AWS 账户共享目录?
是,使用多区域复制功能,您可以灵活地与每个区域的其他 AWS 账户共享目录。目录共享配置不会从主区域中自动复制。要了解如何与其他 AWS 账户共享目录,请参阅文档。
问:我是否能向新 AWS 区域中的目录添加更多域控制器?
是,使用多区域复制功能,您可以灵活地定义每个区域的域控制器数量。要了解如何添加域控制器,请参阅文档。
问:我如何跨多个 AWS 区域监控目录状态?
使用多区域复制功能,您可以单独监控每个区域的目录状态。您必须使用 AWS Directory Service 控制台或 API 在您部署目录的每个区域中启用 Amazon Simple Notification Service (SNS)。有关更多信息,请参阅文档。
问:我如何跨多个 AWS 区域监控目录安全日志?
使用多区域复制功能,您可以单独监控每个区域的目录安全日志。您必须使用 AWS Directory Service 控制台或 API 在您部署目录的每个区域中启用 Amazon CloudWatch Logs 转发。有关更多信息,请参阅文档。
问:我是否能重命名目录的 AD 站点名称?
是,您可以使用标准的 AD 工具重命名每个区域的目录 AD 站点名称。有关更多信息,请参阅文档。
问:我是否能从目录中删除 AWS 区域?
可以。如果您没有在目录中注册任何 AWS 应用程序,且您没有与区域中的任何 AWS 账户共享目录,AWS Managed Microsoft AD 可使您从您的目录中删除 AWS 区域。您无法删除主区域,除非您删除目录。
问:哪些 AWS 应用程序和服务与多区域复制功能兼容?
多区域复制功能以原生方式与 Amazon EC2、Amazon RDS(SQL Server、Oracle、MySQL、PostgreSQL 辉瑞 MariaDB)、Amazon Aurora(MySQL 和 PostgreSQL)和 Amazon FSx for Windows File Server 兼容。您还可以将 Amazon WorkSpaces、AWS Single Sign-On、AWS Client VPN、Amazon QuickSight、Amazon Connect、Amazon WorkDocs、Amazon WorkMail 和 Amazon Chime 等其他 AWS 应用程序与新区域中的目录集成,方式是根据每个区域的 AWS Managed Microsoft AD 配置 AD Connector。
无缝域加入
问:什么是无缝域加入?
无缝域加入是一种功能,使您可以在启动时通过 AWS 管理控制台将适用于 Windows Server 的 Amazon EC2 实例和适用于 Linux 的 Amazon EC2 实例无缝加入到域中。您可以将实例加入您在 AWS 云中启动的 AWS Managed Microsoft AD。
问:如何将实例无缝加入到域中?
当您从 AWS 管理控制台创建和启动适用于 Windows 的 EC2 实例或适用于 Linux 的 EC2 实例时,您可以选择您的实例将加入哪个域。有关更多信息,请参阅文档。
问:可以将现有的适用于 Windows Server 的 EC2 实例无缝加入到域中吗?
您不能使用 AWS 管理控制台中的无缝域加入功能将现有的适用于 Windows Server 的 EC2 实例和适用于 Linux 的 EC2 实例无缝加入到域中,但您可以使用 EC2 API 或通过使用实例上的 PowerShell 将现有实例加入到域中。有关更多信息,请参阅文档。
无缝域加入功能支持哪些发行版和 Linux 版本?
无缝域加入功能当前支持 Amazon Linux、Amazon Linux 2、CentOS 7 或更高版本、RHEL 7.5或更高版本以及 Ubuntu 14 至 18。
IAM 集成
问:AWS Directory Service 如何启用对 AWS 管理控制台的单点登录 (SSO)?
通过 AWS Directory Service,您可使用 AD Connector 为 AWS 云中的 AWS Managed Microsoft AD 或 Simple AD 用户和组指定 IAM 角色,也可以为现有的本地 Microsoft Active Directory 用户和组指定 IAM 角色。这些角色将基于分配到角色的 IAM 策略控制用户对 AWS 服务的访问权限。AWS Directory Service 将提供 AWS 管理控制台的客户特定 URL,用户可以用它通过现有的企业凭证进行登录。请参阅我们的文档了解有关此功能的更多信息。
合规性
问:我可以对遵从合规性标准的 AWS 云工作负载使用 AWS Managed Microsoft AD 吗?
可以。为使您能够满足美国《健康保险可携带性与责任法案》要求,AWS Microsoft AD 已实施了必要的控制,并作为范围内服务包含在支付卡行业数据安全标准 (PCI DSS) 合规性证明文件和责任摘要中。
问:如何才能获取合规性和安全性报告?
要获取与 AWS 云中合规性和安全性相关的完整文档列表,请参阅 AWS Artifact。
问:什么是 AWS 责任共担模型?
安全性(包括 HIPAA 和 PCI DSS 合规性)是 AWS 与您之间的共同责任。例如,使用 AWS Managed Microsoft AD 时配置 AWS Managed Microsoft AD 密码策略使之满足 PCI DSS 要求是您的责任。要详细了解满足 HIPAA 和 PCI DSS 合规性要求所需采取的操作,请参阅适用于 AWS Managed Microsoft AD 的合规性文档、《Amazon Web Services 上的 HIPAA 安全性和合规性架构》白皮书和 AWS Cloud 合规性、HIPAA 合规性和 PCI DSS 合规性。
有关 AD Connector 或 Simple AD 的问题,请参阅 AWS Directory Service 之其他目录选项。
