AWS Directory Service – Häufig gestellte Fragen

Wenn Sie ein AWS Managed Microsoft AD-Verzeichnis erstellen möchten, starten Sie die AWS Directory Service-Konsole über die AWS-Managementkonsole. Alternativ ist dies auch mithilfe des AWS SDK oder der AWS CLI möglich.

AWS Managed Microsoft AD-Verzeichnisse werden standardmäßig über zwei Availability Zones in einer Region bereitgestellt und mit Ihrer Amazon Virtual Private Cloud (VPC) verbunden. Einmal täglich wird automatisch eine Sicherungen erstellt. Die Amazon Elastic Block Store (EBS)-Volumes werden zum Schutz Ihrer gespeicherten Daten verschlüsselt. Wenn Domänen-Controller ausfallen, werden sie automatisch in derselben Availability Zone unter Verwendung derselben IP-Adresse ersetzt. Mithilfe der letzten Sicherung kann eine vollständige Notfallwiederherstellung durchgeführt werden.

Nein. Diese Funktion wird derzeit nicht unterstützt.

Sie können Benutzer und Gruppen in AWS Managed Microsoft AD-Verzeichnissen mit Ihren vorhandenen Active Directory-Tools ausführen. Voraussetzung ist, dass diese auf Windows-Computern ausgeführt werden, die mit der AWS Managed Microsoft AD-Domäne verbunden sind. Es sind keine speziellen Tools, Richtlinien oder Änderungen an Funktionsweisen erforderlich.

Um verwaltete Services anbieten zu können, muss AWS Managed Microsoft AD Prozesse von Kunden unterbinden, die zu einem Konflikt mit der Service-Verwaltung führen könnten. Deshalb beschränkt AWS den Zugriff auf Verzeichnisobjekte, Rollen und Gruppen, die erhöhte Zugriffsrechte erfordern. AWS Managed Microsoft AD lässt keinen direkten Hostzugriff auf Domain-Controller über Windows Remote Desktop Connection, PowerShell Remotig, Telnet oder Secure Shell (SSH) zu. Wenn Sie ein AWS-Managed-Microsoft-AD-Verzeichnis erstellen, werden Ihnen eine Organisationseinheit (OU) und ein Verwaltungskonto mit delegierten Administratorrechten für die OU zugewiesen. Sie können Benutzerkonten, Gruppen und Richtlinien innerhalb der Organisationseinheit mithilfe standardmäßiger Remoteserver-Verwaltungstools wie „Active-Directory-Benutzer und -Gruppen“ oder dem Modul PowerShell ActiveDirectory erstellen.

Ja. Das für Sie bei der Einrichtung von AWS Managed Microsoft AD erstellte Administratorkonto verfügt über delegierte Verwaltungsrechte über die Sicherheitsgruppe für den Remotezugriffsdienst (Remote Access Service, RAS) und den Internetauthentifizierungsdienst (Internet Authentication Service, IAS). Auf diese Weise können Sie NPS bei AWS Managed Microsoft AD registrieren und Netzwerkzugriffsrichtlinien für Konten in Ihrer Domain verwalten.

Ja. AWS Managed Microsoft AD unterstützt Schemaerweiterungen, die Sie in Form einer LDAP Data Interchange Format (LDIF)-Datei an den Service übermitteln. Sie können das Active Directory-Hauptschema erweitern aber nicht ändern.

Amazon Chime

Amazon Connect

Amazon EC2-Instances

Amazon FSx for Windows File Server

Amazon QuickSight

Amazon RDS for MySQL

Amazon RDS for Oracle

Amazon RDS for PostgreSQL

Amazon RDS for SQL Server

Amazon Single Sign On

Amazon WorkDocs

Amazon WorkMail

Amazon WorkSpaces

AWS Client VPN

AWS-Managementkonsole

Beachten Sie, dass ggf. nicht alle Konfigurationen dieser Anwendungen unterstützt werden.

AWS Managed Microsoft AD basiert auf dem aktuellen Active Directory und bietet die breiteste Palette an nativen AD-Tools und Unterstützung für Anwendungen von Drittanbietern wie

Active Directory-Based Activation (ADBA)

Active Directory Certificate Services (AD CS): Enterprise Certificate Authority

Active Directory Federation Services (AD FS)

Active Directory Users and Computers (ADUC)

Application Server (.NET)

Azure Active Directory (Azure AD)

Azure Active Directory (AD) Connect

Distributed File System Replication (DFSR)

Distributed File System Namespaces (DFSN)

Microsoft Remote Desktop Services Licensing Server

Microsoft SharePoint Server

Microsoft SQL Server (einschließlich SQL Server Always On Availability Groups)

Microsoft System Center Configuration Manager (SCCM)

Microsoft Windows und Windows Server OS

Office 365

Active Directory Certificate Services (AD CS): Certificate Enrollment Web Service

Active Directory Certificate Services (AD CS): Certificate Enrollment Policy Web Service

Microsoft Exchange Server

Microsoft Skype for Business Server

AWS bietet keine Tools für die Migration von selbstverwalteten Active Directory-Verzeichnissen zu AWS Managed Microsoft AD. Sie müssen in diesem Fall eine Migrationsstrategie (einschließlich Passwortzurücksetzung) entwickeln und die Pläne mithilfe von Remoteserver-Verwaltungstools implementieren.

Ja. Bedingte Weiterleitungen und Vertrauensstellungen für AWS Microsoft AD lassen sich sowohl in der Directory Service-Konsole als auch in der API konfigurieren. 

Ja. Mit der AWS Directory Service-Konsole oder API können Sie zusätzliche Domain-Controller zu Ihrer verwalteten Domain hinzufügen. Beachten Sie, dass die manuelle Weiterleitung von Amazon EC2-Instances an Domain-Controller nicht unterstützt wird. 

Ja. Sie können Identitäten aus AWS Managed Microsoft AD mithilfe von Azure AD Connect mit Azure AD synchronisieren und Microsoft Active Directory Federation Services (AD FS) für Windows 2016 mit AWS Managed Microsoft AD verwenden, um Office 365-Benutzer zu authentifizieren. Eine Schritt-für-Schritt-Anleitung finden Sie unter So ermöglichen Sie Ihren Anwendern Zugriff auf Office 365 mit AWS Microsoft Active Directory-Anmeldeinformationen.  

Ja. Sie können Microsoft Active Directory Federation Services (AD FS) für Windows 2016 mit Ihrer verwalteten AWS Managed Microsoft AD-Domäne nutzen, um Benutzer bei Cloud-Anwendungen zu authentifizieren, die SAML unterstützen. 

Ja. AWS Managed Microsoft AD unterstützt Lightweight Directory Access Protocol (LDAP) über Secure Socket Layer (SSL)/Transport Layer Security (TLS), auch bekannt als LDAPS, in Client- und Serverrollen. In der Serverrolle unterstützt AWS Managed Microsoft AD LDAPS über Ports 636 (SSL) und 389 (TLS). Sie aktivieren die serverseitige LDAPS-Kommunikation, indem Sie ein Zertifikat auf Ihren AWS Managed Microsoft AD-Domain-Controllern über eine AWS-basierte Active Directory Certificate Services-CA (Certificate Authority) installieren. Weitere Informationen erhalten Sie unter Aktivieren von Secure LDAP (LDAPS). 

Ja. AWS Managed Microsoft AD unterstützt Lightweight Directory Access Protocol (LDAP) über Secure Socket Layer (SSL)/Transport Layer Security (TLS), auch bekannt als LDAPS, in Client- und Serverrollen. In der Client-Rolle unterstützt AWS Managed Microsoft AD LDAPS über Ports 636 (SSL). Sie aktivieren die Client-seitige LDAPS-Kommunikation durch Registrierung der CA-Zertifikate (Certification Authority) über Ihren Serverzertifikataussteller in AWS. Weitere Informationen erhalten Sie unter Aktivieren von Secure LDAP (LDAPS). 

AWS Managed Microsoft AD unterstützt sowohl LDAP-Signatur als auch LDAP über SSL/TLS (LDAPS), wenn es als LDAP-Client mit selbstverwaltetem Active Directory kommuniziert. Die clientseitige LDAP-Signatur erfordert keine Kundenaktion zum Aktivieren und bietet Datenintegrität. Client-seitiges LDAPS erfordert eine Konfiguration und bietet Datenintegrität und -vertraulichkeit. Weitere Informationen finden Sie in diesem Beitrag des AWS-Forums. 

AWS Managed Microsoft AD (Standard Edition) beinhaltet 1 GB Speicherplatz für Verzeichnisobjekte. Diese Kapazität reicht für bis zu 5 000 Benutzer oder 30 000 Verzeichnisobjekte, darunter Benutzer, Gruppen und Computer. AWS Managed Microsoft AD (Enterprise Edition) beinhaltet 17 GB Speicherplatz für Verzeichnisobjekte. Dadurch werden bis zu 100 000 Benutzer oder 500 000 Objekte unterstützt. 

Ja. Sie können es als primäres Verzeichnis verwenden, um Benutzer, Gruppen, Computer und Group Policy-Objekte (GPOs) in der Cloud zu verwalten. Sie können den Zugriff auf AWS-Anwendungen und -Services sowie auf verzeichnisgesteuerte Anwendungen, die auf Amazon EC2-Instances in der AWS Cloud ausgeführt werden, verwalten und Single Sign-on (SSO, einmaliges Anmelden) ermöglichen. Außerdem können Sie Azure AD Connect und AD FS verwenden, um SSO bei Cloud-Anwendungen, einschließlich Office 365, zu ermöglichen. 

Ja. Sie können AWS Managed Microsoft AD als Ressourcengesamtstruktur verwenden, die hauptsächlich Computer und Gruppen mit Vertrauensbeziehungen zu Ihrem lokalen Verzeichnis enthält. Dadurch können die Benutzer mit den Anmeldeinformationen für ihr On-Premise AD auf AWS-Anwendungen und -Ressourcen zugreifen. 

Die Funktion für die regionsübergreifende Replikation ermöglicht es Ihnen, ein einziges AWS Managed Microsoft AD Verzeichnis über mehrere AWS Regionen hinweg bereitzustellen und zu nutzen. Dies macht es leicht und kostengünstig für Sie, um Ihre Microsoft Windows- und Linux-Workloads weltweit bereitzustellen. Mit der automatisierten Multi-Region-Replikations-Fähigkeit bekommen Sie eine höhere Ausfallsicherheit, während Ihre Anwendungen ein lokales Verzeichnis für optimale Leistung verwenden. Diese Funktion ist nur in AWS Managed Microsoft AD (Enterprise Edition) verfügbar. Sie können die Funktion für neue und bestehende Verzeichnisse verwenden.

Zuerst öffnen Sie die AWS Directory Service-Konsole in der Region, in der Ihr Verzeichnis bereits in Betrieb ist (primäre Region). Markieren Sie das Verzeichnis, das Sie aufklappen möchten, und wählen Sie Region hinzufügen. Wählen Sie dann die Region, in die Sie expandieren möchten, stellen Sie die Amazon Virtual Private Cloud (VPC) und die Subnetze bereit, in die Sie Ihr Verzeichnis bereitstellen möchten. Sie können auch APIs verwenden, um Ihr Verzeichnis zu erweitern. Weitere Informationen finden Sie in der Dokumentation.

AWS Managed Microsoft AD konfiguriert automatisch die Netzwerkkonnektivität zwischen den Regionen, stellt Verantwortliche für die Domäne bereit und repliziert alle Ihre Verzeichnisdaten, einschließlich Benutzer, Gruppen, Gruppenrichtlinienobjekte (GPOs) und Schema, in den von Ihnen ausgewählten Regionen. Zusätzlich konfiguriert AWS Managed Microsoft AD eine neue AD-Site pro Region, die die Benutzerauthentifizierungs- und Domänen-Controller-Replikationsleistung innerhalb der Region verbessert, während auch die Kosten durch Minimierung der Datenübertragungen zwischen Regionen gesenkt werden. Ihre Verzeichniskennung (directory_id) bleibt in der neuen Region gleich und wird im selben AWS-Konto bereitgestellt wie Ihre primäre Region.

Ja, mit der regionsübergreifenden Replikation haben Sie die Flexibilität, Ihr Verzeichnis mit anderen AWS Konten pro Region gemeinsam zu nutzen. Verzeichnisfreigabekonfigurationen werden nicht automatisch aus der primären Region repliziert. Um zu erfahren, wie Sie Ihr Verzeichnis für andere AWS Konten freigeben können, lesen Sie die Dokumentation.

Ja, mit regionsübergreifender Replikation haben Sie die Flexibilität, die Anzahl der Verantwortlichen der Domäne pro Region zu definieren. Wie Sie einen Verantwortlichen der Domäne hinzufügen können, erfahren Sie in der Dokumentation.

Bei der regionsübergreifenden Replikation überwachen Sie Ihren Verzeichnisstatus pro Region unabhängig voneinander. Sie müssen den Amazon Simple Notification Service (SNS) in jeder Region, in der Sie Ihr Verzeichnis bereitstellen, über die AWS Directory Service Konsole oder API aktivieren. Weitere Informationen finden Sie in der Dokumentation.

Bei der regionsübergreifenden Replikation überwachen Sie Ihren Verzeichnisstatus pro Region unabhängig voneinander. Sie müssen die Weiterleitung von Amazon CloudWatch Logs in jeder Region, in der Sie Ihr Verzeichnis bereitstellen, über die AWS Directory Service Konsole oder API aktivieren. Weitere Informationen finden Sie in der Dokumentation.

Ja, Sie können den AD-Site-Namen Ihres Verzeichnisses pro Region mit Hilfe von Standard-AD-Tools umbenennen. Weitere Informationen finden Sie in der Dokumentation.

Ja. Wenn Sie keine AWS-Anwendungen in Ihrem Verzeichnis registriert haben und Sie das Verzeichnis nicht mit einem AWS Konto in der Region geteilt haben, können Sie mit AWS Managed Microsoft AD eine AWS Region aus Ihrem Verzeichnis entfernen. Sie können die primäre Region nicht entfernen, es sei denn, Sie löschen das Verzeichnis.

Die regionsübergreifende Replikation ist mit Amazon EC2, Amazon RDS for Oracle (SQL Server, Oracle, MySQL, PostgreSQL und MariaDB), Amazon Aurora (MySQL und PostgreSQL) und Amazon FSx for Windows File Server nativ kompatibel. Sie können auch andere AWS-Anwendungen wie Amazon WorkSpaces, AWS Single Sign-On, AWS Client VPN, Amazon QuickSight, Amazon Connect, Amazon WorkDocs, Amazon WorkMail und Amazon Chime mit Ihrem Verzeichnis in neuen Regionen integrieren, indem Sie AD Connector gegen Ihr AWS Managed Microsoft AD-Verzeichnis pro Region konfigurieren.

Nahtlose Domänenzusammenführung ist eine Funktion, die es Ihnen ermöglicht, Ihre Amazon EC2 for Windows Server- und Amazon EC2 for Linux-Instances zum Zeitpunkt des Starts und von der AWS-Managementkonsole aus nahtlos zu einer Domäne zusammenzuführen. Sie haben die Möglichkeit, in der AWS Cloud gestartete Instances in AWS Managed Microsoft AD zu integrieren.

Wenn Sie eine EC2 für Windows oder eine EC2 for Linux-Instance von der AWS-Managementkonsole aus erstellen und starten, haben Sie die Möglichkeit auszuwählen, welcher Domäne Ihre Instance beitreten wird. Weitere Informationen finden Sie in der Dokumentation.

Sie können die Funktion zur problemlosen Domainverknüpfung nicht von der AWS-Managementkonsole aus für bestehende EC2 for Windows Server- und EC2 for Linux-Instances nutzen, aber es ist möglich, durch die Verwendung von PowerShell in der Instance oder mithilfe der EC2 API-Tools bestehende Instances in eine Domain einzubinden. Weitere Informationen finden Sie in der Dokumentation.

Die Funktion zum nahtlosen Domain-Join ist derzeit für Amazon Linux, Amazon Linux 2, CentOS 7 oder neuer, RHEL 7.5 oder neuer und Ubuntu 14 bis 18 verfügbar.

Sie können mit AWS Directory Service Benutzern und Gruppen von AWS Managed Microsoft AD oder Simple AD in der AWS Cloud IAM-Rollen zuweisen sowie mit AD Connector auch Benutzern und Gruppen eines bestehenden On-Premise Microsoft Active Directory. Diese Rollen steuern den Benutzerzugriff auf AWS-Services basierend auf IAM-Richtlinien, die den Rollen zugewiesen sind. AWS Directory Service stellt eine kundenspezifische URL für die AWS-Managementkonsole zur Verfügung, über die Benutzer sich mit ihren bisherigen Unternehmens-Anmeldeinformationen anmelden können. In unserer Dokumentation finden Sie weitere Informationen zu dieser Funktion. 

Ja. AWS Managed Microsoft AD hat die nötigen Kontrollmechanismen implementiert, damit Sie die Anforderungen des U.S. Health Insurance Portability and Accountability Act (HIPAA) erfüllen können. Außerdem fällt der Service in den Geltungsbereich der Attestation of Compliance und der Responsibility Summary für den Payment Card Industry Data Security Standard (PCI DSS). 

Informationen zum Zugriff auf eine umfangreiche Liste von Dokumenten im Zusammenhang mit Compliance und Sicherheit in der AWS Cloud finden Sie unter AWS Artifact.

Sicherheit, einschließlich HIPAA- und PCI DSS-Compliance, liegt in der gemeinsamen Verantwortung (Shared Responsibility) von AWS und Ihnen. So sind Sie beispielsweise dafür verantwortlich, Ihre Passwortrichtlinien für AWS Managed Microsoft AD so zu konfigurieren, dass sie den PCI-DSS-Vorgaben entsprechen, wenn Sie AWS Managed Microsoft AD verwenden. Weitere Informationen zu den Maßnahmen, die Sie möglicherweise ergreifen müssen, um die HIPAA- und PCI-DSS-Compliance-Anforderungen zu erfüllen, finden Sie in der Compliance-Dokumentation für AWS Managed Microsoft AD. Oder lesen Sie das Whitepaper zur Architektur für HIPPA-Sicherheit und -Compliance in den Amazon Web Services sowie AWS-Cloud-Compliance, HIPAA-Compliance und PCI-DSS Compliance.