Allgemeines

F: Was ist AWS Directory Service?

AWS Directory Service ist ein verwaltetes Serviceangebot, das Verzeichnisse bereitstellt, die Informationen über Ihr Unternehmen enthalten, einschließlich Benutzer, Gruppen, Computer und andere Ressourcen. Als verwaltetes Angebot ist AWS Directory Service darauf ausgelegt, Verwaltungsaufgaben zu verringern, sodass Sie mehr Zeit und Ressourcen für Ihre Geschäftsabläufe einsetzen können. Es ist nicht notwendig, eine eigene komplexe, hochverfügbare Verzeichnistopologie zu entwerfen, da jedes Verzeichnis über mehrere Availability Zones hinweg bereitgestellt wird. Die Überwachung erkennt und ersetzt automatisch ausgefallene Domain-Controller. Außerdem werden die Datenreplikation und die automatisierten, täglichen Snapshots für Ihre Anforderungen konfiguriert. Es muss keine Software installiert werden. AWS sorgt für alle Patches und Software-Aktualisierungen.

F: Wozu kann ich AWS Directory Service verwenden?

AWS Directory Service vereinfacht die Einrichtung und Ausführung von Verzeichnissen in der AWS Cloud sowie die Verbindung der AWS-Ressourcen mit einem bestehenden, On-Premise Microsoft Active Directory. Nachdem das Verzeichnis erstellt wurde, können Sie damit Benutzer und Gruppen verwalten, Single Sign-On für Anwendungen und Services bereitstellen, Gruppenrichtlinien erstellen und anwenden, Amazon EC2 Instances einer Domäne hinzufügen und die Bereitstellung und Verwaltung von Cloud-basierten Linux- und Microsoft Windows-Verarbeitungslasten vereinfachen. Mit AWS Directory Service können Ihre Endbenutzer mit ihren bisherigen Unternehmens-Anmeldeinformationen auf AWS-Anwendungen wie Amazon WorkSpaces, Amazon WorkDocs und Amazon WorkMail zugreifen. Dasselbe gilt auch für verzeichnisgesteuerte Microsoft-Verarbeitungslasten wie benutzerdefinierte .NET- und SQL-Server-basierte Anwendungen. Zudem können Sie auch mit ihren bisherigen Unternehmens-Anmeldeinformationen mittels AWS Identity and Access Management-Rollen (IAM) auf die AWS-Managementkonsole zugreifen und AWS-Ressourcen verwalten. Es ist also nicht erforderlich, die Identitätsverbund-Infrastruktur auszubauen.

F: Wie erstelle ich ein Verzeichnis?

Zum Erstellen eines Verzeichnisses können Sie die AWS-Managementkonsole oder die API verwenden. Sie müssen lediglich ein paar grundlegende Daten – z. B. einen vollqualifizierten Domain-Namen (FQDN, Fully Qualified Domain Name) für Ihr Verzeichnis, den Namen und das Kennwort des Administratorkontos – sowie die VPC angeben, der das Verzeichnis zugeordnet werden soll.

F: Kann ich eine vorhandene Amazon EC2-Instance in ein AWS Directory Service-Verzeichnis einbinden?

Ja, Sie können vorhandene EC2-Instances, die auf Linux oder Windows ausgeführt werden, mithilfe der AWS-Managementkonsole oder der API zu einem AWS Managed Microsoft AD hinzufügen.

F: Werden APIs für AWS Directory Service unterstützt?

Öffentliche APIs werden für das Erstellen und Verwalten von Verzeichnissen unterstützt. Sie können Verzeichnisse jetzt programmgesteuert mit öffentlichen APIs verwalten. Die APIs sind über die AWS CLI und das AWS SDK verfügbar. Weitere Informationen über die APIs erhalten Sie in der Dokumentation zu AWS Directory Service.

F: Unterstützt AWS Directory Services die CloudTrail-Protokollierung?

Ja. Aktionen, die Sie über die AWS Directory Service APIs oder die Management Console ausführen, sind in den Auditprotokollen von CloudTrail enthalten.

F: Kann ich benachrichtigt werden, wenn sich der Status meines Verzeichnisses ändert?

Ja. Sie können Amazon Simple Notification Service (SNS) so konfigurieren, dass Sie per E-Mail und SMS benachrichtigt werden, wenn sich der Status Ihres AWS Directory Service ändert. Amazon SNS verwendet Themen, um Nachrichten zu sammeln und an Abonnenten zu verteilen. Wenn AWS Directory Service eine Änderung an Status Ihres Verzeichnisses erkennt, wird eine Nachricht an das damit verbundene Thema veröffentlicht. Diese wird wiederum an die Abonnenten des Themas gesendet. Weitere Informationen finden Sie in der Dokumentation.

F: Wie viel kostet AWS Directory Service?

Auf der Seite mit den Preisen finden Sie weitere Informationen.

F: Kann ich mein Verzeichnis markieren?

Ja. AWS Directory Service unterstützt die Kostenzuordnungsmarkierung. Mit Tags bzw. Markierungen können Sie Kosten einfacher zuordnen und Ausgaben durch Kategorisieren und Gruppieren von AWS-Ressourcen optimieren. Sie können Tags beispielsweise verwenden, um Ressourcen nach Administrator, Anwendungsname, Kostenstelle oder einem speziellen Projekt zu gruppieren.

F: In welchen AWS-Regionen ist AWS Directory Service verfügbar?

Weitere Informationen über die Verfügbarkeit von AWS Directory Services nach Regionen finden Sie unter Regionale Produkte und Services.

F: Welche Versionen des SMB-Protokolls (Server Message Block) werden von AWS Managed Microsoft AD unterstützt?

Vom 31. Mai 2020 an können Client-Computer nur noch SMB Version 2.0 (SMBv2) oder neuere Versionen nutzen, um auf Dateien zuzugreifen, die in den SYSVOL- und NETLOGON-Freigaben der Domain-Controller für ihre AWS Managed Microsoft AD-Verzeichnisse gespeichert sind. AWS empfiehlt Kunden jedoch, für alle SMB-basierten Dateidienste nur SMBv2 oder neuere Versionen zu nutzen.

AWS Managed Microsoft AD

F: Wie erstelle ich ein AWS Managed Microsoft AD-Verzeichnis?

Wenn Sie ein AWS Managed Microsoft AD-Verzeichnis erstellen möchten, starten Sie die AWS Directory Service-Konsole über die AWS-Managementkonsole. Alternativ ist dies auch mithilfe des AWS SDK oder der AWS CLI möglich.

F: Wie werden AWS Microsoft AD-Verzeichnisse bereitgestellt?

AWS Managed Microsoft AD-Verzeichnisse werden standardmäßig über zwei Availability Zones in einer Region bereitgestellt und mit Ihrer Amazon Virtual Private Cloud (VPC) verbunden. Einmal täglich wird automatisch eine Sicherungen erstellt. Die Amazon Elastic Block Store (EBS)-Volumes werden zum Schutz Ihrer gespeicherten Daten verschlüsselt. Wenn Domänen-Controller ausfallen, werden sie automatisch in derselben Availability Zone unter Verwendung derselben IP-Adresse ersetzt. Mithilfe der letzten Sicherung kann eine vollständige Notfallwiederherstellung durchgeführt werden.

F: Kann ich Speicher, CPU oder Speicherparameter meines AWS Managed Microsoft AD-Verzeichnisses konfigurieren?

Nein. Diese Funktion wird derzeit nicht unterstützt.

F: Wie verwalte ich Benutzer und Gruppen für AWS Managed Microsoft AD?

Sie können Benutzer und Gruppen in AWS Managed Microsoft AD-Verzeichnissen mit Ihren vorhandenen Active Directory-Tools ausführen. Voraussetzung ist, dass diese auf Windows-Computern ausgeführt werden, die mit der AWS Managed Microsoft AD-Domäne verbunden sind. Es sind keine speziellen Tools, Richtlinien oder Änderungen an Funktionsweisen erforderlich.

F: Inwiefern unterscheiden sich meine Administratorrechte hinsichtlich AWS Managed Microsoft AD und dem Ausführen von Active Directory in meinen eigenen Amazon EC2 Windows-Instances?

Um verwaltete Services anbieten zu können, muss AWS Managed Microsoft AD Prozesse von Kunden unterbinden, die zu einem Konflikt mit der Service-Verwaltung führen könnten. AWS bietet daher keinen Windows PowerShell-Zugriff auf Verzeichnis-Instances und beschränkt den Zugriff auf Verzeichnisobjekte, Rollen und Gruppen, die höhere Berechtigungen erfordern. AWS Managed Microsoft AD lässt keinen direkten Hostzugriff auf Domain-Controller über Telnet, Secure Shell (SSH) oder Windows Remote Desktop Connection zu. Wenn Sie ein AWS Managed Microsoft AD-Verzeichnis erstellen, werden Ihnen eine Organisationseinheit (OU) und ein Verwaltungskonto mit delegierten Administratorrechten für die OU zugewiesen. Sie können Benutzerkonten, Gruppen und Richtlinien innerhalb der Organisationseinheit mithilfe standardmäßiger Remoteserver-Verwaltungstools wie „Active Directory-Benutzer und -Gruppen“ erstellen.

F: Kann ich Microsoft Network Policy Server (NPS) mit AWS Microsoft AD verwenden?

Ja. Das für Sie bei der Einrichtung von AWS Managed Microsoft AD erstellte Administratorkonto verfügt über delegierte Verwaltungsrechte über die Sicherheitsgruppe für den Remotezugriffsdienst (Remote Access Service, RAS) und den Internetauthentifizierungsdienst (Internet Authentication Service, IAS). Auf diese Weise können Sie NPS bei AWS Managed Microsoft AD registrieren und Netzwerkzugriffsrichtlinien für Konten in Ihrer Domain verwalten.

F: Unterstützt AWS Managed Microsoft AD Schemaerweiterungen?

Ja. AWS Managed Microsoft AD unterstützt Schemaerweiterungen, die Sie in Form einer LDAP Data Interchange Format (LDIF)-Datei an den Service übermitteln. Sie können das Active Directory-Hauptschema erweitern aber nicht ändern.

F: Welche Anwendungen sind mit AWS Managed Microsoft AD kompatibel?

Amazon Chime
Amazon Connect
Amazon EC2-Instances
Amazon FSx for Windows File Server
Amazon QuickSight
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
Amazon Single Sign On
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS Client VPN
AWS-Managementkonsole

Beachten Sie, dass ggf. nicht alle Konfigurationen dieser Anwendungen unterstützt werden.

Q: Welche Software von Drittanbietern ist mit AWS Managed Microsoft AD kompatibel?

AWS Managed Microsoft AD basiert auf dem aktuellen Active Directory und bietet die breiteste Palette an nativen AD-Tools und Unterstützung für Anwendungen von Drittanbietern wie

Active Directory-Based Activation (ADBA)
Active Directory Certificate Services (AD CS): Enterprise Certificate Authority
Active Directory Federation Services (AD FS)
Active Directory Users and Computers (ADUC)
Application Server (.NET)
Azure Active Directory (Azure AD)
Azure Active Directory (AD) Connect
Distributed File System Replication (DFSR)
Distributed File System Namespaces (DFSN)
Microsoft Remote Desktop Services Licensing Server
Microsoft SharePoint Server
Microsoft SQL Server (einschließlich SQL Server Always On Availability Groups)
Microsoft System Center Configuration Manager (SCCM)
Microsoft Windows und Windows Server OS
Office 365

Q: Welche Software von Drittanbietern ist NICHT mit AWS Managed Microsoft AD kompatibel?

Active Directory Certificate Services (AD CS): Certificate Enrollment Web Service
Active Directory Certificate Services (AD CS): Certificate Enrollment Policy Web Service
Microsoft Exchange Server
Microsoft Skype for Business Server

F: Kann ich mein vorhandenes, On-Premise Microsoft Active Directory nach AWS Managed Microsoft AD migrieren?

AWS bietet keine Tools für die Migration von selbstverwalteten Active Directory-Verzeichnissen zu AWS Managed Microsoft AD. Sie müssen in diesem Fall eine Migrationsstrategie (einschließlich Passwortzurücksetzung) entwickeln und die Pläne mithilfe von Remoteserver-Verwaltungstools implementieren.

F: Kann ich bedingte Weiterleitungen und Vertrauensstellungen in der Directory Service-Konsole konfigurieren?

Ja. Bedingte Weiterleitungen und Vertrauensstellungen für AWS Microsoft AD lassen sich sowohl in der Directory Service-Konsole als auch in der API konfigurieren. 

F: Kann ich manuell zusätzliche Domain-Controller zu meiner AWS Microsoft AD hinzufügen?

Ja. Mit der AWS Directory Service-Konsole oder API können Sie zusätzliche Domain-Controller zu Ihrer verwalteten Domain hinzufügen. Beachten Sie, dass die manuelle Weiterleitung von Amazon EC2-Instances an Domain-Controller nicht unterstützt wird. 

F: Kann ich Microsoft Office 365 mit Benutzerkonten verwenden, die in AWS Microsoft AD verwaltet werden?

Ja. Sie können Identitäten aus AWS Managed Microsoft AD mithilfe von Azure AD Connect mit Azure AD synchronisieren und Microsoft Active Directory Federation Services (AD FS) für Windows 2016 mit AWS Managed Microsoft AD verwenden, um Office 365-Benutzer zu authentifizieren. Eine Schritt-für-Schritt-Anleitung finden Sie unter So ermöglichen Sie Ihren Anwendern Zugriff auf Office 365 mit AWS Microsoft Active Directory-Anmeldeinformationen

F: Kann ich eine auf Security Assertion Markup Language (SAML) 2.0 basierende Authentifizierung bei Cloud-Anwendungen nutzen, die AWS Microsoft AD verwenden?

Ja. Sie können Microsoft Active Directory Federation Services (AD FS) für Windows 2016 mit Ihrer verwalteten AWS Managed Microsoft AD-Domäne nutzen, um Benutzer bei Cloud-Anwendungen zu authentifizieren, die SAML unterstützen. 

F: Kann ich die Kommunikation zwischen meinen Anwendungen und AWS Managed Microsoft AD mit LDAPS verschlüsseln?

Ja. AWS Managed Microsoft AD unterstützt Lightweight Directory Access Protocol (LDAP) über Secure Socket Layer (SSL)/Transport Layer Security (TLS), auch bekannt als LDAPS, in Client- und Serverrollen. In der Serverrolle unterstützt AWS Managed Microsoft AD LDAPS über Ports 636 (SSL) und 389 (TLS). Sie aktivieren die serverseitige LDAPS-Kommunikation, indem Sie ein Zertifikat auf Ihren AWS Managed Microsoft AD-Domain-Controllern über eine AWS-basierte Active Directory Certificate Services-CA (Certificate Authority) installieren. Weitere Informationen erhalten Sie unter Aktivieren von Secure LDAP (LDAPS)

Kann ich LDAP-Kommunikationen zwischen AWS-Anwendungen und meinem selbstverwalteten AD mithilfe von AWS Managed Microsoft AD verschlüsseln?

Ja. AWS Managed Microsoft AD unterstützt Lightweight Directory Access Protocol (LDAP) über Secure Socket Layer (SSL)/Transport Layer Security (TLS), auch bekannt als LDAPS, in Client- und Serverrollen. In der Client-Rolle unterstützt AWS Managed Microsoft AD LDAPS über Ports 636 (SSL). Sie aktivieren die Client-seitige LDAPS-Kommunikation durch Registrierung der CA-Zertifikate (Certification Authority) über Ihren Serverzertifikataussteller in AWS. Weitere Informationen erhalten Sie unter Aktivieren von Secure LDAP (LDAPS)

F: Wie geht AWS Managed Microsoft AD auf den Microsoft-Hinweis ADV190023 ein, der Änderungen an den Standard-LDAP-Sicherheitseinstellungen auf AD-Domänencontrollern beschreibt?

AWS Managed Microsoft AD unterstützt sowohl LDAP-Signatur als auch LDAP über SSL/TLS (LDAPS), wenn es als LDAP-Client mit selbstverwaltetem Active Directory kommuniziert. Die clientseitige LDAP-Signatur erfordert keine Kundenaktion zum Aktivieren und bietet Datenintegrität. Client-seitiges LDAPS erfordert eine Konfiguration und bietet Datenintegrität und -vertraulichkeit. Weitere Informationen finden Sie in diesem Beitrag des AWS-Forums

F: Wie viele Benutzer, Gruppen, Computer und welche Gesamtzahl von Objekten unterstützt AWS Managed Microsoft AD?

AWS Managed Microsoft AD (Standard Edition) beinhaltet 1 GB Speicherplatz für Verzeichnisobjekte. Diese Kapazität reicht für bis zu 5 000 Benutzer oder 30 000 Verzeichnisobjekte, darunter Benutzer, Gruppen und Computer. AWS Managed Microsoft AD (Enterprise Edition) beinhaltet 17 GB Speicherplatz für Verzeichnisobjekte. Dadurch werden bis zu 100 000 Benutzer oder 500 000 Objekte unterstützt. 

F: Kann ich AWS Managed Microsoft AD als primäres Verzeichnis verwenden?

Ja. Sie können es als primäres Verzeichnis verwenden, um Benutzer, Gruppen, Computer und Group Policy-Objekte (GPOs) in der Cloud zu verwalten. Sie können den Zugriff auf AWS-Anwendungen und -Services sowie auf verzeichnisgesteuerte Anwendungen, die auf Amazon EC2-Instances in der AWS Cloud ausgeführt werden, verwalten und Single Sign-on (SSO, einmaliges Anmelden) ermöglichen. Außerdem können Sie Azure AD Connect und AD FS verwenden, um SSO bei Cloud-Anwendungen, einschließlich Office 365, zu ermöglichen. 

F: Kann ich AWS Managed Microsoft AD als Ressourcengesamtstruktur verwenden?

Ja. Sie können AWS Managed Microsoft AD als Ressourcengesamtstruktur verwenden, die hauptsächlich Computer und Gruppen mit Vertrauensbeziehungen zu Ihrem lokalen Verzeichnis enthält. Dadurch können die Benutzer mit den Anmeldeinformationen für ihr On-Premise AD auf AWS-Anwendungen und -Ressourcen zugreifen. 

Nahtlose Integration in Domänen

F: Was bedeutet „nahtlose Integration in Domänen“?

Nahtlose Domänenzusammenführung ist eine Funktion, die es Ihnen ermöglicht, Ihre Amazon EC2 for Windows Server- und Amazon EC2 for Linux-Instances zum Zeitpunkt des Starts und von der AWS-Managementkonsole aus nahtlos zu einer Domäne zusammenzuführen. Sie haben die Möglichkeit, in der AWS Cloud gestartete Instances in AWS Managed Microsoft AD zu integrieren.

F: Wie integriere ich eine Instance nahtlos in eine Domäne?

Wenn Sie eine EC2 für Windows oder eine EC2 for Linux-Instance von der AWS-Managementkonsole aus erstellen und starten, haben Sie die Möglichkeit auszuwählen, welcher Domäne Ihre Instance beitreten wird. Weitere Informationen finden Sie in der Dokumentation.

F: Kann ich bestehende EC2 for Windows Server-Instances nahtlos mit einer Domain verknüpfen?

Sie können die Funktion zur problemlosen Domainverknüpfung nicht von der AWS-Managementkonsole aus für bestehende EC2 for Windows Server- und EC2 for Linux-Instances nutzen, aber es ist möglich, durch die Verwendung von PowerShell in der Instance oder mithilfe der EC2 API-Tools bestehende Instances in eine Domain einzubinden. Weitere Informationen finden Sie in der Dokumentation.

Welche Linux-Distributionen und -Versionen unterstützt die Seamless Domain Join-Funktion?

Die Funktion zum nahtlosen Domain-Join ist derzeit für Amazon Linux, Amazon Linux 2, CentOS 7 oder neuer, RHEL 7.5 oder neuer und Ubuntu 14 bis 18 verfügbar.

IAM-Integration

F: Wie aktiviert AWS Directory Service Single Sign-On (SSO, einmaliges Anmelden) für die AWS-Managementkonsole?

Sie können mit AWS Directory Service Benutzern und Gruppen von AWS Managed Microsoft AD oder Simple AD in der AWS Cloud IAM-Rollen zuweisen sowie mit AD Connector auch Benutzern und Gruppen eines bestehenden On-Premise Microsoft Active Directory. Diese Rollen steuern den Benutzerzugriff auf AWS-Services basierend auf IAM-Richtlinien, die den Rollen zugewiesen sind. AWS Directory Service stellt eine kundenspezifische URL für die AWS-Managementkonsole zur Verfügung, über die Benutzer sich mit ihren bisherigen Unternehmens-Anmeldeinformationen anmelden können. In unserer Dokumentation finden Sie weitere Informationen zu dieser Funktion. 

Compliance

F: Kann ich AWS Managed Microsoft AD für AWS Cloud-Arbeitslasten verwenden, die Compliance-Standards unterliegen?

Ja. AWS Managed Microsoft AD hat die nötigen Kontrollmechanismen implementiert, damit Sie die Anforderungen des U.S. Health Insurance Portability and Accountability Act (HIPAA) erfüllen können. Außerdem fällt der Service in den Geltungsbereich der Attestation of Compliance und der Responsibility Summary für den Payment Card Industry Data Security Standard (PCI DSS)

F: Wie kann ich auf Compliance- und Sicherheitsberichte zugreifen?

Informationen zum Zugriff auf eine umfangreiche Liste von Dokumenten im Zusammenhang mit Compliance und Sicherheit in der AWS Cloud finden Sie unter AWS Artifact.

F: Was versteht man unter dem AWS Shared Responsibility-Modell?

Sicherheit, einschließlich HIPAA- und PCI DSS-Compliance, liegt in der gemeinsamen Verantwortung (Shared Responsibility) von AWS und Ihnen. So sind Sie beispielsweise dafür verantwortlich, Ihre AWS Managed Microsoft AD-Passwortrichtlinien so zu konfigurieren, dass sie den PCI DSS-Vorgaben entsprechen, wenn Sie AWS Managed Microsoft AD verwenden. Weitere Informationen dazu, was Sie tun müssen, um die HIPAA- und PCI DSS-Compliance-Vorgaben zu erfüllen, finden Sie in der Compliance-Dokumentation für AWS Managed Microsoft AD. Oder lesen Sie das Whitepaper zur Architektur für HIPPA-Sicherheit und -Compliance in den Amazon Web Services sowie AWS Cloud-ComplianceHIPAA-Compliance und PCI-DSS Compliance


Antworten auf Fragen zu AD Connector oder Simple AD erhalten Sie unter den weiteren Verzeichnisoptionen für AWS Directory Service.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Weitere Informationen zu den Preisen für Directory Service

Sehen Sie sich die Preisbeispiele an und berechnen Sie Ihre Kosten.

Weitere Informationen 
Registrieren Sie sich für ein AWS-Konto
Registrieren Sie sich und erhalten Sie ein kostenloses Konto

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent. 

Registrieren 
Beginnen Sie mit dem Erstellen mit Directory Service
Beginnen Sie mit dem Erstellen in der Konsole

Beginnen Sie mit dem Aufbau von AWS Directory Service in der AWS-Konsole.

Anmeldung