AWS Directory Service – Häufig gestellte Fragen

Allgemeines

AWS Directory Service ist ein verwaltetes Serviceangebot, das Verzeichnisse bereitstellt, die Informationen über Ihr Unternehmen enthalten, einschließlich Benutzer, Gruppen, Computer und andere Ressourcen. Als verwaltetes Angebot ist AWS Directory Service darauf ausgelegt, Verwaltungsaufgaben zu verringern, sodass Sie mehr Zeit und Ressourcen für Ihre Geschäftsabläufe einsetzen können. Es ist nicht notwendig, eine eigene komplexe, hochverfügbare Verzeichnistopologie zu entwerfen, da jedes Verzeichnis über mehrere Availability Zones hinweg bereitgestellt wird. Die Überwachung erkennt und ersetzt automatisch ausgefallene Domain-Controller. Außerdem werden die Datenreplikation und die automatisierten, täglichen Snapshots für Ihre Anforderungen konfiguriert. Es muss keine Software installiert werden. AWS sorgt für alle Patches und Software-Aktualisierungen.

AWS Directory Service vereinfacht die Einrichtung und Ausführung von Verzeichnissen in der AWS Cloud sowie die Verbindung der AWS-Ressourcen mit einem bestehenden, On-Premise Microsoft Active Directory. Nachdem das Verzeichnis erstellt wurde, können Sie damit Benutzer und Gruppen verwalten, Single Sign-On für Anwendungen und Services bereitstellen, Gruppenrichtlinien erstellen und anwenden, Amazon EC2 Instances einer Domäne hinzufügen und die Bereitstellung und Verwaltung von Cloud-basierten Linux- und Microsoft Windows-Verarbeitungslasten vereinfachen. Mit AWS Directory Service können Ihre Endbenutzer mit ihren bisherigen Unternehmens-Anmeldeinformationen auf AWS-Anwendungen wie Amazon WorkSpaces, Amazon WorkDocs und Amazon WorkMail zugreifen. Dasselbe gilt auch für verzeichnisgesteuerte Microsoft-Verarbeitungslasten wie benutzerdefinierte .NET- und SQL-Server-basierte Anwendungen. Zudem können Sie auch mit ihren bisherigen Unternehmens-Anmeldeinformationen mittels AWS Identity and Access Management-Rollen (IAM) auf die AWS-Managementkonsole zugreifen und AWS-Ressourcen verwalten. Es ist also nicht erforderlich, die Identitätsverbund-Infrastruktur auszubauen.

Zum Erstellen eines Verzeichnisses können Sie die AWS-Managementkonsole oder die API verwenden. Sie müssen lediglich ein paar grundlegende Daten – z. B. einen vollqualifizierten Domain-Namen (FQDN, Fully Qualified Domain Name) für Ihr Verzeichnis, den Namen und das Kennwort des Administratorkontos – sowie die VPC angeben, der das Verzeichnis zugeordnet werden soll.

Ja, Sie können vorhandene EC2-Instances, die auf Linux oder Windows ausgeführt werden, mithilfe der AWS-Managementkonsole oder der API zu einem AWS Managed Microsoft AD hinzufügen.

Öffentliche APIs werden für das Erstellen und Verwalten von Verzeichnissen unterstützt. Sie können Verzeichnisse jetzt programmgesteuert mit öffentlichen APIs verwalten. Die APIs sind über die AWS CLI und das AWS SDK verfügbar. Weitere Informationen über die APIs erhalten Sie in der Dokumentation zu AWS Directory Service.

Ja. Aktionen, die Sie über die AWS Directory Service APIs oder die Management Console ausführen, sind in den Auditprotokollen von CloudTrail enthalten.

Ja. Sie können Amazon Simple Notification Service (SNS) so konfigurieren, dass Sie per E-Mail und SMS benachrichtigt werden, wenn sich der Status Ihres AWS Directory Service ändert. Amazon SNS verwendet Themen, um Nachrichten zu sammeln und an Abonnenten zu verteilen. Wenn AWS Directory Service eine Änderung an Status Ihres Verzeichnisses erkennt, wird eine Nachricht an das damit verbundene Thema veröffentlicht. Diese wird wiederum an die Abonnenten des Themas gesendet. Weitere Informationen finden Sie in der Dokumentation.

Auf der Seite mit den Preisen finden Sie weitere Informationen.

Ja. AWS Directory Service unterstützt die Kostenzuordnungsmarkierung. Mit Tags bzw. Markierungen können Sie Kosten einfacher zuordnen und Ausgaben durch Kategorisieren und Gruppieren von AWS-Ressourcen optimieren. Sie können Tags beispielsweise verwenden, um Ressourcen nach Administrator, Anwendungsname, Kostenstelle oder einem speziellen Projekt zu gruppieren.

Weitere Informationen über die Verfügbarkeit von AWS Directory Services nach Regionen finden Sie unter Regionale Produkte und Services.

Vom 31. Mai 2020 an können Client-Computer nur noch SMB Version 2.0 (SMBv2) oder neuere Versionen nutzen, um auf Dateien zuzugreifen, die in den SYSVOL- und NETLOGON-Freigaben der Domain-Controller für ihre AWS Managed Microsoft AD-Verzeichnisse gespeichert sind. AWS empfiehlt Kunden jedoch, für alle SMB-basierten Dateidienste nur SMBv2 oder neuere Versionen zu nutzen.

AWS Managed Microsoft AD einrichten

Wenn Sie ein AWS Managed Microsoft AD-Verzeichnis erstellen möchten, starten Sie die AWS Directory Service-Konsole über die AWS-Managementkonsole. Alternativ ist dies auch mithilfe des AWS SDK oder der AWS CLI möglich.

AWS Managed Microsoft AD-Verzeichnisse werden standardmäßig über zwei Availability Zones in einer Region bereitgestellt und mit Ihrer Amazon Virtual Private Cloud (VPC) verbunden. Einmal täglich wird automatisch eine Sicherungen erstellt. Die Amazon Elastic Block Store (EBS)-Volumes werden zum Schutz Ihrer gespeicherten Daten verschlüsselt. Wenn Domänen-Controller ausfallen, werden sie automatisch in derselben Availability Zone unter Verwendung derselben IP-Adresse ersetzt. Mithilfe der letzten Sicherung kann eine vollständige Notfallwiederherstellung durchgeführt werden.

Nein. Diese Funktion wird derzeit nicht unterstützt.

Sie können Benutzer und Gruppen in AWS Managed Microsoft AD-Verzeichnissen mit Ihren vorhandenen Active Directory-Tools ausführen. Voraussetzung ist, dass diese auf Windows-Computern ausgeführt werden, die mit der AWS Managed Microsoft AD-Domäne verbunden sind. Es sind keine speziellen Tools, Richtlinien oder Änderungen an Funktionsweisen erforderlich.

Um verwaltete Services anbieten zu können, muss AWS Managed Microsoft AD Prozesse von Kunden unterbinden, die zu einem Konflikt mit der Service-Verwaltung führen könnten. Deshalb beschränkt AWS den Zugriff auf Verzeichnisobjekte, Rollen und Gruppen, die erhöhte Zugriffsrechte erfordern. AWS Managed Microsoft AD lässt keinen direkten Hostzugriff auf Domain-Controller über Windows Remote Desktop Connection, PowerShell Remotig, Telnet oder Secure Shell (SSH) zu. Wenn Sie ein AWS-Managed-Microsoft-AD-Verzeichnis erstellen, werden Ihnen eine Organisationseinheit (OU) und ein Verwaltungskonto mit delegierten Administratorrechten für die OU zugewiesen. Sie können Benutzerkonten, Gruppen und Richtlinien innerhalb der Organisationseinheit mithilfe standardmäßiger Remoteserver-Verwaltungstools wie „Active-Directory-Benutzer und -Gruppen“ oder dem Modul PowerShell ActiveDirectory erstellen.

Ja. Das für Sie bei der Einrichtung von AWS Managed Microsoft AD erstellte Administratorkonto verfügt über delegierte Verwaltungsrechte über die Sicherheitsgruppe für den Remotezugriffsdienst (Remote Access Service, RAS) und den Internetauthentifizierungsdienst (Internet Authentication Service, IAS). Auf diese Weise können Sie NPS bei AWS Managed Microsoft AD registrieren und Netzwerkzugriffsrichtlinien für Konten in Ihrer Domain verwalten.

Ja. AWS Managed Microsoft AD unterstützt Schemaerweiterungen, die Sie in Form einer LDAP Data Interchange Format (LDIF)-Datei an den Service übermitteln. Sie können das Active Directory-Hauptschema erweitern aber nicht ändern.

Amazon Chime

Amazon Connect

Amazon EC2-Instances

Amazon FSx for Windows File Server

Amazon QuickSight

Amazon RDS for MySQL

Amazon RDS für Oracle

Amazon RDS for PostgreSQL

Amazon RDS for SQL Server

Amazon Single Sign On

Amazon WorkDocs

Amazon WorkMail

Amazon WorkSpaces

AWS Client VPN

AWS-Managementkonsole

Beachten Sie, dass ggf. nicht alle Konfigurationen dieser Anwendungen unterstützt werden.

AWS Managed Microsoft AD basiert auf dem aktuellen Active Directory und bietet die breiteste Palette an nativen AD-Tools und Unterstützung für Anwendungen von Drittanbietern wie

Active Directory-Based Activation (ADBA)

Active Directory Certificate Services (AD CS): Enterprise Certificate Authority

Active Directory Federation Services (AD FS)

Active Directory Users and Computers (ADUC)

Application Server (.NET)

Azure Active Directory (Azure AD)

Azure Active Directory (AD) Connect

Distributed File System Replication (DFSR)

Distributed File System Namespaces (DFSN)

Microsoft Remote Desktop Services Licensing Server

Microsoft SharePoint Server

Microsoft SQL Server (einschließlich SQL Server Always On Availability Groups)

Microsoft System Center Configuration Manager (SCCM)

Microsoft Windows und Windows Server OS

Office 365

Active Directory Certificate Services (AD CS): Certificate Enrollment Web Service

Active Directory Certificate Services (AD CS): Certificate Enrollment Policy Web Service

Microsoft Exchange Server

Microsoft Skype for Business Server

AWS bietet keine Tools für die Migration von selbstverwalteten Active Directory-Verzeichnissen zu AWS Managed Microsoft AD. Sie müssen in diesem Fall eine Migrationsstrategie (einschließlich Passwortzurücksetzung) entwickeln und die Pläne mithilfe von Remoteserver-Verwaltungstools implementieren.

Ja. Bedingte Weiterleitungen und Vertrauensstellungen für AWS Microsoft AD lassen sich sowohl in der Directory Service-Konsole als auch in der API konfigurieren. 

Ja. Mit der AWS Directory Service-Konsole oder API können Sie zusätzliche Domain-Controller zu Ihrer verwalteten Domain hinzufügen. Beachten Sie, dass die manuelle Weiterleitung von Amazon EC2-Instances an Domain-Controller nicht unterstützt wird. 

Ja. Sie können Identitäten aus AWS Managed Microsoft AD mithilfe von Azure AD Connect mit Azure AD synchronisieren und Microsoft Active Directory Federation Services (AD FS) für Windows 2016 mit AWS Managed Microsoft AD verwenden, um Office 365-Benutzer zu authentifizieren. Eine Schritt-für-Schritt-Anleitung finden Sie unter So ermöglichen Sie Ihren Anwendern Zugriff auf Office 365 mit AWS Microsoft Active Directory-Anmeldeinformationen.  

Ja. Sie können Microsoft Active Directory Federation Services (AD FS) für Windows 2016 mit Ihrer verwalteten AWS Managed Microsoft AD-Domäne nutzen, um Benutzer bei Cloud-Anwendungen zu authentifizieren, die SAML unterstützen. 

Ja. AWS Managed Microsoft AD unterstützt Lightweight Directory Access Protocol (LDAP) über Secure Socket Layer (SSL)/Transport Layer Security (TLS), auch bekannt als LDAPS, in Client- und Serverrollen. In der Serverrolle unterstützt AWS Managed Microsoft AD LDAPS über Ports 636 (SSL) und 389 (TLS). Sie aktivieren die serverseitige LDAPS-Kommunikation, indem Sie ein Zertifikat auf Ihren AWS Managed Microsoft AD-Domain-Controllern über eine AWS-basierte Active Directory Certificate Services-CA (Certificate Authority) installieren. Weitere Informationen erhalten Sie unter Aktivieren von Secure LDAP (LDAPS)

Ja. AWS Managed Microsoft AD unterstützt Lightweight Directory Access Protocol (LDAP) über Secure Socket Layer (SSL)/Transport Layer Security (TLS), auch bekannt als LDAPS, in Client- und Serverrollen. In der Client-Rolle unterstützt AWS Managed Microsoft AD LDAPS über Ports 636 (SSL). Sie aktivieren die Client-seitige LDAPS-Kommunikation durch Registrierung der CA-Zertifikate (Certification Authority) über Ihren Serverzertifikataussteller in AWS. Weitere Informationen erhalten Sie unter Aktivieren von Secure LDAP (LDAPS)

AWS Managed Microsoft AD unterstützt sowohl LDAP-Signatur als auch LDAP über SSL/TLS (LDAPS), wenn es als LDAP-Client mit selbstverwaltetem Active Directory kommuniziert. Die clientseitige LDAP-Signatur erfordert keine Kundenaktion zum Aktivieren und bietet Datenintegrität. Client-seitiges LDAPS erfordert eine Konfiguration und bietet Datenintegrität und -vertraulichkeit. Weitere Informationen finden Sie in diesem Beitrag des AWS-Forums

AWS Managed Microsoft AD (Standard Edition) beinhaltet 1 GB Speicherplatz für Verzeichnisobjekte. Diese Kapazität reicht für bis zu 5 000 Benutzer oder 30 000 Verzeichnisobjekte, darunter Benutzer, Gruppen und Computer. AWS Managed Microsoft AD (Enterprise Edition) beinhaltet 17 GB Speicherplatz für Verzeichnisobjekte. Dadurch werden bis zu 100 000 Benutzer oder 500 000 Objekte unterstützt. 

Ja. Sie können es als primäres Verzeichnis verwenden, um Benutzer, Gruppen, Computer und Group Policy-Objekte (GPOs) in der Cloud zu verwalten. Sie können den Zugriff auf AWS-Anwendungen und -Services sowie auf verzeichnisgesteuerte Anwendungen, die auf Amazon EC2-Instances in der AWS Cloud ausgeführt werden, verwalten und Single Sign-on (SSO, einmaliges Anmelden) ermöglichen. Außerdem können Sie Azure AD Connect und AD FS verwenden, um SSO bei Cloud-Anwendungen, einschließlich Office 365, zu ermöglichen. 

Ja. Sie können AWS Managed Microsoft AD als Ressourcengesamtstruktur verwenden, die hauptsächlich Computer und Gruppen mit Vertrauensbeziehungen zu Ihrem lokalen Verzeichnis enthält. Dadurch können die Benutzer mit den Anmeldeinformationen für ihr lokales AD auf AWS-Anwendungen und -Ressourcen zugreifen. 

Regionsübergreifende Replikation

Die Funktion für die regionsübergreifende Replikation ermöglicht es Ihnen, ein einziges AWS Managed Microsoft AD Verzeichnis über mehrere AWS Regionen hinweg bereitzustellen und zu nutzen. Dies macht es leicht und kostengünstig für Sie, um Ihre Microsoft Windows- und Linux-Workloads weltweit bereitzustellen. Mit der automatisierten Multi-Region-Replikations-Fähigkeit bekommen Sie eine höhere Ausfallsicherheit, während Ihre Anwendungen ein lokales Verzeichnis für optimale Leistung verwenden. Diese Funktion ist nur in AWS Managed Microsoft AD (Enterprise Edition) verfügbar. Sie können die Funktion für neue und bestehende Verzeichnisse verwenden.

Zuerst öffnen Sie die AWS Directory Service-Konsole in der Region, in der Ihr Verzeichnis bereits in Betrieb ist (primäre Region). Markieren Sie das Verzeichnis, das Sie aufklappen möchten, und wählen Sie Region hinzufügen. Wählen Sie dann die Region, in die Sie expandieren möchten, stellen Sie die Amazon Virtual Private Cloud (VPC) und die Subnetze bereit, in die Sie Ihr Verzeichnis bereitstellen möchten. Sie können auch APIs verwenden, um Ihr Verzeichnis zu erweitern. Weitere Informationen finden Sie in der Dokumentation.

AWS Managed Microsoft AD konfiguriert automatisch die Netzwerkkonnektivität zwischen den Regionen, stellt Verantwortliche für die Domäne bereit und repliziert alle Ihre Verzeichnisdaten, einschließlich Benutzer, Gruppen, Gruppenrichtlinienobjekte (GPOs) und Schema, in den von Ihnen ausgewählten Regionen. Zusätzlich konfiguriert AWS Managed Microsoft AD eine neue AD-Site pro Region, die die Benutzerauthentifizierungs- und Domänen-Controller-Replikationsleistung innerhalb der Region verbessert, während auch die Kosten durch Minimierung der Datenübertragungen zwischen Regionen gesenkt werden. Ihre Verzeichniskennung (directory_id) bleibt in der neuen Region gleich und wird im selben AWS-Konto bereitgestellt wie Ihre primäre Region.

Ja, mit der regionsübergreifenden Replikation haben Sie die Flexibilität, Ihr Verzeichnis mit anderen AWS Konten pro Region gemeinsam zu nutzen. Verzeichnisfreigabekonfigurationen werden nicht automatisch aus der primären Region repliziert. Um zu erfahren, wie Sie Ihr Verzeichnis für andere AWS Konten freigeben können, lesen Sie die Dokumentation.

Ja, mit regionsübergreifender Replikation haben Sie die Flexibilität, die Anzahl der Verantwortlichen der Domäne pro Region zu definieren. Wie Sie einen Verantwortlichen der Domäne hinzufügen können, erfahren Sie in der Dokumentation.

Bei der regionsübergreifenden Replikation überwachen Sie Ihren Verzeichnisstatus pro Region unabhängig voneinander. Sie müssen den Amazon Simple Notification Service (SNS) in jeder Region, in der Sie Ihr Verzeichnis bereitstellen, über die AWS Directory Service Konsole oder API aktivieren. Weitere Informationen finden Sie in der Dokumentation.

Bei der regionsübergreifenden Replikation überwachen Sie Ihren Verzeichnisstatus pro Region unabhängig voneinander. Sie müssen die Weiterleitung von Amazon CloudWatch Logs in jeder Region, in der Sie Ihr Verzeichnis bereitstellen, über die AWS Directory Service Konsole oder API aktivieren. Weitere Informationen finden Sie in der Dokumentation.

Ja, Sie können den AD-Site-Namen Ihres Verzeichnisses pro Region mit Hilfe von Standard-AD-Tools umbenennen. Weitere Informationen finden Sie in der Dokumentation.

Ja. Wenn Sie keine AWS-Anwendungen in Ihrem Verzeichnis registriert haben und Sie das Verzeichnis nicht mit einem AWS Konto in der Region geteilt haben, können Sie mit AWS Managed Microsoft AD eine AWS Region aus Ihrem Verzeichnis entfernen. Sie können die primäre Region nicht entfernen, es sei denn, Sie löschen das Verzeichnis.

Die regionsübergreifende Replikation ist mit Amazon EC2, Amazon RDS for Oracle (SQL Server, Oracle, MySQL, PostgreSQL und MariaDB), Amazon Aurora (MySQL und PostgreSQL) und Amazon FSx for Windows File Server nativ kompatibel. Sie können auch andere AWS-Anwendungen wie Amazon WorkSpaces, AWS Single Sign-On, AWS Client VPN, Amazon QuickSight, Amazon Connect, Amazon WorkDocs, Amazon WorkMail und Amazon Chime mit Ihrem Verzeichnis in neuen Regionen integrieren, indem Sie AD Connector gegen Ihr AWS Managed Microsoft AD-Verzeichnis pro Region konfigurieren.

Nahtlose Domain-Integration

Nahtlose Domänenzusammenführung ist eine Funktion, die es Ihnen ermöglicht, Ihre Amazon EC2 for Windows Server- und Amazon EC2 for Linux-Instances zum Zeitpunkt des Starts und von der AWS-Managementkonsole aus nahtlos zu einer Domäne zusammenzuführen. Sie haben die Möglichkeit, in der AWS Cloud gestartete Instances in AWS Managed Microsoft AD zu integrieren.

Wenn Sie eine EC2 für Windows oder eine EC2 for Linux-Instance von der AWS-Managementkonsole aus erstellen und starten, haben Sie die Möglichkeit auszuwählen, welcher Domäne Ihre Instance beitreten wird. Weitere Informationen finden Sie in der Dokumentation.

Sie können die Funktion zur problemlosen Domainverknüpfung nicht von der AWS-Managementkonsole aus für bestehende EC2 for Windows Server- und EC2 for Linux-Instances nutzen, aber es ist möglich, durch die Verwendung von PowerShell in der Instance oder mithilfe der EC2 API-Tools bestehende Instances in eine Domain einzubinden. Weitere Informationen finden Sie in der Dokumentation.

Die Funktion zum nahtlosen Domain-Join ist derzeit für Amazon Linux, Amazon Linux 2, CentOS 7 oder neuer, RHEL 7.5 oder neuer und Ubuntu 14 bis 18 verfügbar.

IAM-Integration

Sie können mit AWS Directory Service Benutzern und Gruppen von AWS Managed Microsoft AD oder Simple AD in der AWS Cloud IAM-Rollen zuweisen sowie mit AD Connector auch Benutzern und Gruppen eines bestehenden On-Premise Microsoft Active Directory. Diese Rollen steuern den Benutzerzugriff auf AWS-Services basierend auf IAM-Richtlinien, die den Rollen zugewiesen sind. AWS Directory Service stellt eine kundenspezifische URL für die AWS-Managementkonsole zur Verfügung, über die Benutzer sich mit ihren bisherigen Unternehmens-Anmeldeinformationen anmelden können. In unserer Dokumentation finden Sie weitere Informationen zu dieser Funktion. 

Compliance

Ja. AWS Managed Microsoft AD hat die nötigen Kontrollmechanismen implementiert, damit Sie die Anforderungen des U.S. Health Insurance Portability and Accountability Act (HIPAA) erfüllen können. Außerdem fällt der Service in den Geltungsbereich der Attestation of Compliance und der Responsibility Summary für den Payment Card Industry Data Security Standard (PCI DSS)

Informationen zum Zugriff auf eine umfangreiche Liste von Dokumenten im Zusammenhang mit Compliance und Sicherheit in der AWS Cloud finden Sie unter AWS Artifact.

Sicherheit, einschließlich HIPAA- und PCI DSS-Compliance, liegt in der gemeinsamen Verantwortung (Shared Responsibility) von AWS und Ihnen. So sind Sie beispielsweise dafür verantwortlich, Ihre Passwortrichtlinien für AWS Managed Microsoft AD so zu konfigurieren, dass sie den PCI-DSS-Vorgaben entsprechen, wenn Sie AWS Managed Microsoft AD verwenden. Weitere Informationen zu den Maßnahmen, die Sie möglicherweise ergreifen müssen, um die HIPAA- und PCI-DSS-Compliance-Anforderungen zu erfüllen, finden Sie in der Compliance-Dokumentation für AWS Managed Microsoft AD. Oder lesen Sie das Whitepaper zur Architektur für HIPPA-Sicherheit und -Compliance in den Amazon Web Services sowie AWS-Cloud-ComplianceHIPAA-Compliance und PCI-DSS Compliance.

Weitere Informationen zu den Preisen für Directory Service

Sehen Sie sich die Preisbeispiele an und berechnen Sie Ihre Kosten.

Weitere Informationen 
Registrieren Sie sich für ein AWS-Konto
Für ein kostenloses Konto registrieren

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent. 

Registrieren 
Beginnen Sie mit dem Erstellen mit Directory Service
Beginnen Sie mit dem Erstellen in der Konsole

Beginnen Sie mit dem Aufbau von AWS Directory Service in der AWS-Konsole.

Anmeldung