AWS Directory Service - Administratorhandbuch · AWS Directory Service beinhaltet mehrere...

AWS Directory ServiceAdministratorhandbuch

Version 1.0

AWS Directory Service Administratorhandbuch

AWS Directory Service: AdministratorhandbuchCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.


Table of ContentsWas ist AWS Directory Service? ........................................................................................................... 1

Welche auswählen ...................................................................................................................... 1AWS Directory Service-Optionen ................................................................................................... 1Arbeiten mit Amazon EC2 ............................................................................................................ 4

Einrichten von AWS Directory Service ................................................................................................... 5Anmelden für ein AWS-Konto ....................................................................................................... 5Erstellen eines IAM-Benutzers ...................................................................................................... 5

AWS Managed Microsoft AD ................................................................................................................ 8Erste Schritte ............................................................................................................................. 9

Voraussetzungen ................................................................................................................ 9Erstellen Ihres Verzeichnisses ............................................................................................ 11Was wird erstellt ............................................................................................................... 12Admin-Konto .................................................................................................................... 17

Die wichtigsten Konzepte ........................................................................................................... 19Active Directory Schema .................................................................................................... 19Patchen und Wartung ........................................................................................................ 20Gruppenverwaltete Service-Konten ...................................................................................... 20Eingeschränkte Kerberos-Delegierung .................................................................................. 21

Anwendungsfälle ....................................................................................................................... 21Anwendungsfall 1: Anmelden bei AWS Anwendungen und Services mit AD-Anmeldeinformationen ....................................................................................................... 23Anwendungsfall 2: Verwalten von Amazon EC2-Instances ....................................................... 26Anwendungsfall 3: Bereitstellung von Verzeichnisdiensten für Ihre AD-bewussten Workloads ......... 26Anwendungsfall 4: SSO zu Office 365 und anderen Cloud-Anwendungen .................................. 27Anwendungsfall 5: Erweitern Sie Ihre lokale AD auf die AWS Wolke (Cloud) ............................... 28Anwendungsfall 6: Teilen Sie Ihr Verzeichnis, um sich nahtlos zu verbinden Amazon EC2Instances zu einer Domäne über AWS Konten ...................................................................... 28

Vorgehensweise... ..................................................................................................................... 28Sichern des -Verzeichnisses ............................................................................................... 29Überwachen Ihres -Verzeichnisses ...................................................................................... 53Konfigurieren der Multi-Region-Replikation ............................................................................ 60Freigeben Ihres Verzeichnisses ........................................................................................... 66Verbinden einer EC2-Instance mit Ihrem -Verzeichnis ............................................................. 76Verwalten von Benutzern und Gruppen .............................................................................. 107Herstellen einer Verbindung zur vorhandenen AD-Infrastruktur ............................................... 111Erweitern des Schemas ................................................................................................... 132Verwalten Ihres -Verzeichnisses ........................................................................................ 138Gewähren von Zugriff auf AWS-Ressourcen ........................................................................ 142Aktivieren des Zugriffs auf AWS-Anwendungen und -Services ................................................ 147Aktivieren des Zugriffs auf die AWS Management Console .................................................... 156Bereitstellen zusätzlicher Domänencontroller ....................................................................... 160Migrieren von Benutzern von AD zu AWS Managed Microsoft AD ........................................... 162

Bewährte Methoden ................................................................................................................. 162Einrichten: Voraussetzungen ............................................................................................. 162Einrichten: Erstellen Ihres Verzeichnisses ........................................................................... 164Verwendung Ihres Verzeichnisses ..................................................................................... 165Verwalten Ihres Verzeichnisses ......................................................................................... 166Programmieren Ihrer Anwendungen ................................................................................... 167

Einschränkungen ..................................................................................................................... 168Erhöhen des Limits ......................................................................................................... 169

Anwendungskompatibilität ......................................................................................................... 169Richtlinien für die Kompatibilität ......................................................................................... 170Bekannte inkompatible Anwendungen ................................................................................ 171

Tutorials für AWS Managed Microsoft AD-Testumgebungen ........................................................... 171

Version 1.0iii


Tutorial: Einrichten Ihrer grundlegenden AWS Managed Microsoft AD-Testumgebung ................. 172Tutorial: Erstellen einer Vertrauensbeziehung zwischen AWS Managed Microsoft AD und einerselbstverwalteten AD-Installation auf EC2 ........................................................................... 185

Fehlerbehebung ...................................................................................................................... 193Wiederherstellen des Passworts ........................................................................................ 193DNS-Fehlersuche ............................................................................................................ 193Linux-Domänenverbindungsfehler ...................................................................................... 194Geringer verfügbarer Speicherplatz .................................................................................... 196Fehler in Zusammenhang mit Schemaerweiterungen ............................................................ 198Trust Erstellungsstatus Gründe .......................................................................................... 200

Active Directory Connector ............................................................................................................... 202Erste Schritte .......................................................................................................................... 202

AD Connector-Voraussetzungen ........................................................................................ 202Erstellen eines AD Connector ........................................................................................... 213Was wird erstellt ............................................................................................................. 214

Vorgehensweise... ................................................................................................................... 214Sichern des -Verzeichnisses ............................................................................................. 214Überwachen Ihres -Verzeichnisses .................................................................................... 224Verbinden einer EC2-Instance mit Ihrem -Verzeichnis ........................................................... 227Verwalten Ihres -Verzeichnisses ........................................................................................ 234Aktualisieren der DNS für AD Connector ............................................................................ 236

Bewährte Methoden ................................................................................................................. 236Einrichten von: Voraussetzungen ....................................................................................... 236Programmieren Ihrer Anwendungen ................................................................................... 238Verwendung Ihres Verzeichnisses ..................................................................................... 238


Anwendungskompatibilität ......................................................................................................... 239Fehlersuche ............................................................................................................................ 240

Nahtlose Domäneneinbindung für EC2-Instances funktioniert nicht mehr .................................. 240Die Fehlermeldung "Unable to authenticate (Authentifizierung nicht möglich)" erscheint bei derVerwendung von AWS-Anwendungen zur Suche von Benutzern oder Gruppen ......................... 241Ich erhalte die Fehlermeldung "DNS unavailable", wenn ich eine Verbindung zu meinem lokalenVerzeichnis herstellen möchte ........................................................................................... 241Ich erhalte die Fehlermeldung "Connectivity issues detected", wenn ich eine Verbindung zumeinem lokalen Verzeichnis herstellen möchte .................................................................... 241Ich erhalte die Fehlermeldung "SRV record", wenn ich eine Verbindung zu meinem lokalenVerzeichnis herstellen möchte ........................................................................................... 242Mein Verzeichnis bleibt dauerhaft im Status „Angefragt”. ....................................................... 242Der Fehler „Beschränktes AZ” wird angezeigt, wenn ich ein Verzeichnis erstellen will. ................. 242Einige meiner Benutzer können sich in meinem Verzeichnis nicht authentifizieren. ..................... 242Der Fehler „Ungültige Anmeldeinformationen” wird angezeigt, wenn das von AD Connectorverwendete Servicekonto versucht, sich zu authentifizieren. ................................................... 243

Simple Active Directory .................................................................................................................... 244Erste Schritte .......................................................................................................................... 245

Simple AD-Voraussetzungen ............................................................................................. 245Erstellen eines Simple AD-Verzeichnisses. .......................................................................... 246Was wird erstellt ............................................................................................................. 247Konfigurieren von DNS .................................................................................................... 248

Vorgehensweise... ................................................................................................................... 248Verwalten von Benutzern und Gruppen .............................................................................. 248Überwachen Ihres -Verzeichnisses .................................................................................... 252Verbinden einer EC2-Instance mit Ihrem -Verzeichnis ........................................................... 255Verwalten Ihres -Verzeichnisses ........................................................................................ 275Aktivieren des Zugriffs auf AWS-Anwendungen und -Services ................................................ 278Aktivieren des Zugriffs auf die AWS Management Console .................................................... 288

Tutorial: Erstellen eines Simple AD-Verzeichnisses. ...................................................................... 291

Version 1.0iv


Prerequisites .................................................................................................................. 291Schritt 1: Erstellen und Konfigurieren Ihrer VPC ................................................................... 292Schritt 2: Erstellen Ihres Simple AD-Verzeichnisses .............................................................. 293

Bewährte Methoden ................................................................................................................. 294Einrichten: Voraussetzungen ............................................................................................. 294Einrichten: Erstellen Ihres Verzeichnisses ........................................................................... 296Programmieren Ihrer Anwendungen ................................................................................... 296


Anwendungskompatibilität ......................................................................................................... 298Fehlersuche ............................................................................................................................ 298

Wiederherstellen des Passworts ........................................................................................ 299Beim Hinzufügen eines Benutzers zu Simple AD wird der Fehler „KDC can't fulfill requestedoption“ (KDC kann die angeforderte Option nicht erfüllen) angezeigt. ....................................... 299Ich kann den DNS-Namen oder die IP-Adresse einer meiner Domänen zugeordneten Instancenicht aktualisieren (dynamische DNS-Aktualisierung). ............................................................ 299Ich kann mich mit einem SQL-Serverkonto nicht dort anmelden. ............................................. 299Mein Verzeichnis bleibt dauerhaft im Status „Angefragt”. ....................................................... 300Der Fehler „Beschränktes AZ” wird angezeigt, wenn ich ein Verzeichnis erstellen will. ................. 300Einige meiner Benutzer können sich in meinem Verzeichnis nicht authentifizieren. ..................... 300Gründe für den Verzeichnisstatus ...................................................................................... 300

Sicherheit ....................................................................................................................................... 304Identity and Access Management .............................................................................................. 305

Authentifizierung .............................................................................................................. 305Zugriffskontrolle ............................................................................................................... 306Übersicht über die Verwaltung von Zugriffsberechtigungen .................................................... 307Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) .............................................. 310Referenztabelle für AWS Directory Service-API-Berechtigungen ............................................. 316

Protokollierung und Überwachung .............................................................................................. 317Compliance-Validierung ............................................................................................................ 317Resilienz ................................................................................................................................ 318Sicherheit der Infrastruktur ........................................................................................................ 318

Service Level Agreement ................................................................................................................. 320Verfügbarkeit in Regionen ................................................................................................................ 321Browserkompatibilität ....................................................................................................................... 324

Was ist TLS? ......................................................................................................................... 325Von AWS SSO unterstützte TLS-Versionen ................................................................................. 325Wie aktiviere ich die unterstützten TLS-Versionen in meinem Browser? ........................................... 325

Dokumentverlauf ............................................................................................................................. 326.............................................................................................................................................. cccxxviii

Version 1.0v

AWS Directory Service AdministratorhandbuchWelche auswählen

Was ist AWS Directory Service?AWS Directory Service bietet mehrere Möglichkeiten zur Nutzung von Microsoft Active Directory (AD) mitanderen AWS-Services. Verzeichnisse speichern Informationen über Benutzer, Gruppen und Geräte undwerden von Administratoren zum Verwalten des Zugriffs auf Informationen und Ressourcen verwendet.AWS Directory Service bietet mehrere Verzeichnisoptionen für Kunden, die vorhandene Microsoft AD-oder Lightweight Directory Access Protocol (LDAP)–-fähige Anwendungen in der Cloud nutzen möchten.Dieselben Optionen bietet es Entwicklern, die ein Verzeichnis zum Verwalten von Benutzern, Gruppen,Geräten und Zugriff benötigen.

Welche auswählenSie können Verzeichnisdienste mit der Kapazität und der Skalierbarkeit wählen, die Ihren Anforderungenam besten entsprechen. Verwenden Sie die folgende Tabelle, um zu ermitteln, welche AWS DirectoryService-Verzeichnisoption für Ihr Unternehmen am besten geeignet ist.

Was müssen Sie als Nächstes tun? Empfohlene AWS Directory Service-Optionen

Ich benötige Active Directory oderLDAP für meine Anwendungen in derCloud.

Wählen Sie AWS Directory Service für Microsoft ActiveDirectory (Standard Edition oder Enterprise Edition) aus, wennSie ein echtes Microsoft Active Directory in der AWS Cloudbenötigen, das Active Directory–fähige Workloads oder AWS-Anwendungen und -Services wie Amazon WorkSpaces undAmazon QuickSight unterstützt, oder wenn Sie LDAP-Supportfür Linux-Anwendungen benötigen.

Verwenden Sie AD Connector, wenn Sie nur Ihren lokalenBenutzern erlauben müssen, sich mit ihren Active Directory-Anmeldeinformationen bei AWS-Anwendungen und -Servicesanzumelden. Sie können auch AD Connector verwenden, umIhrer vorhandenen Active Directory-Domäne Amazon EC2-Instances hinzuzufügen.

Verwenden Sie Simple AD, wenn Sie ein kleines,kostengünstiges Verzeichnis mit grundlegender ActiveDirectory-Kompatibilität benötigen, das Samba 4–fähigeAnwendungen unterstützt, oder wenn Sie LDAP-Kompatibilitätfür LDAP-fähige Anwendungen benötigen.

Ich entwickle SaaS-Anwendungen Verwenden Sie Amazon Cognito, wenn Sie umfangreicheSaaS-Anwendungen entwickeln und ein skalierbaresVerzeichnis benötigen, um Ihre Abonnenten zu verwaltenund zu authentifizieren, das mit Social-Media-Identitätenfunktioniert.

AWS Directory Service-OptionenAWS Directory Service beinhaltet mehrere Verzeichnistypen, aus denen Sie auswählen können. WeitereInformationen finden Sie auf einer der folgenden Registerkarten:

Version 1.01

AWS Directory Service AdministratorhandbuchAWS Directory Service-Optionen

AWS Directory Service für Microsoft Active Directory

Auch als AWS Managed Microsoft AD bekannt, wird AWS Directory Service für Microsoft ActiveDirectory von einem echten Microsoft Windows Server Active Directory (AD) unterstützt, das von AWSin der AWS Cloud verwaltet wird. Es ermöglicht Ihnen die Migration einer Vielzahl von Active Directory–fähigen Anwendungen in die AWS Cloud. AWS Managed Microsoft AD funktioniert mit MicrosoftSharePoint, Microsoft SQL Server AlwaysOn-Verfügbarkeitsgruppen und vielen .NET-Anwendungen.Außerdem werden von AWS verwaltete Anwendungen und Services unterstützt, einschließlichAmazon WorkSpaces, Amazon WorkDocs, Amazon QuickSight, Amazon Chime, Amazon Connectund Amazon Relational Database Service für Microsoft SQL Server ( für SQL Server, für Oracle undAmazon RDS für Amazon RDS).Amazon RDSPostgreSQL

AWS Managed Microsoft AD ist für Anwendungen in der AWS-Cloud zugelassen, die U.S. HealthInsurance Portability and Accountability Act (HIPAA)- oder Payment Card Industry Data SecurityStandard (PCI DSS)-Compliance aufweisen müssen, wenn Sie Compliance für Ihr Verzeichnisaktivieren.

Alle kompatiblen Anwendungen arbeiten mit Benutzer-Anmeldeinformationen, die Sie in AWSManaged Microsoft AD speichern. Alternativ können Sie eine Verbindung mit Ihrer vorhandenen AD-Infrastruktur mit Vertrauensstatus einrichten und Anmeldeinformationen aus einem Active Directoryverwenden, das On-Premise oder auf EC2 Windows ausgeführt wird. Wenn Sie EC2-Instances mitIhrem AWS Managed Microsoft AD verbinden, können Ihre Benutzer auf Windows-Workloads inder AWS Cloud mit derselben Windows Single Sign-On-Oberfläche (SSO, einmaliges Anmelden)zugreifen, die sie auch für den Zugriff auf Workloads in Ihrem On-Premise-Netzwerk verwenden.

AWS Managed Microsoft AD unterstützt auch verbundene Anwendungsfälle unter Verwendung vonActive Directory-Anmeldeinformationen. Nur AWS Managed Microsoft AD ermöglicht es Ihnen, sichbei der AWS Management Console anzumelden. Mit AWS – Einmaliges Anmelden können Sie auchkurzfristige Anmeldeinformationen für die Verwendung mit dem AWS SDK und der CLI erhalten undvorkonfigurierte SAML-Integrationen für die Anmeldung bei vielen Cloud-Anwendungen verwenden.Durch das Hinzufügen von Azure AD Connect und optional des Active Directory FederationService (AD FS) können Sie sich bei Microsoft Office 365 und anderen Cloud-Anwendungen mitAnmeldeinformationen anmelden, die in AWS Managed Microsoft AD gespeichert sind.

Der Service umfasst die wichtigsten Funktionen, mit denen Sie Ihr Schema erweitern,Passwortrichtlinien verwalten und eine sichere LDAP-Kommunikation über Secure Socket Layer (SSL)/Transport Layer Security (TLS) aktivieren können. Sie können auch die Multi-Factor Authentication(MFA) für AWS Managed Microsoft AD aktivieren, sodass Sie über eine zusätzliche Sicherheitsebeneverfügen, wenn Benutzer aus dem Internet auf AWS-Anwendungen zugreifen. Da Active Directory einLDAP-Verzeichnis ist, können Sie AWS Managed Microsoft AD auch für die Linux Secure Shell (SSH)-Authentifizierung und für andere LDAP-fähige Anwendungen verwenden.

AWS bietet Überwachung, tägliche Snapshots und Wiederherstellung als Teil des Service. Sie fügenBenutzer und Gruppen zu AWS Managed Microsoft AD hinzu und verwalten Gruppenrichtlinien mitbekannten Active Directory-Tools auf einem Windows-Computer, der mit der AWS Managed MicrosoftAD-Domäne verbunden ist. Sie können das Verzeichnis auch skalieren, indem Sie zusätzlicheDomänen-Controller bereitstellen, und verbessern die Anwendungsleistung, indem Sie Anfragen übereine größere Anzahl von Domänencontrollern verteilen.

AWS Managed Microsoft AD ist in zwei Editionen erhältlich: Standard und Enterprise.

• Standard-Edition: AWS Managed Microsoft AD (Standard Edition) ist als primäres Verzeichnis fürkleine und mittelgroße Unternehmen mit bis zu 5.000 Mitarbeitern optimiert. Es bietet genügendSpeicherkapazität für bis zu 30.000* Verzeichnisobjekte, wie beispielsweise Benutzer, Gruppen undComputer.

• Enterprise-Edition: AWS Managed Microsoft AD (Enterprise Edition) ist für Unternehmen undOrganisationen mit bis zu 500.000* Verzeichnisobjekten konzipiert.

Version 1.02

https://aws.amazon.com/workspaces/

https://aws.amazon.com/workdocs/

https://aws.amazon.com/quicksight/

https://aws.amazon.com/chime/

https://aws.amazon.com/connect/

https://aws.amazon.com/rds/sqlserver/

http://www.hhs.gov/ocr/privacy/

http://www.hhs.gov/ocr/privacy/

https://aws.amazon.com/compliance/pci-dss-level-1-faqs/

https://aws.amazon.com/compliance/pci-dss-level-1-faqs/

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_compliance.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_compliance.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_connect_existing_infrastructure.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_connect_existing_infrastructure.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_join_instance.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_join_instance.html

https://aws.amazon.com/console/

https://aws.amazon.com/single-sign-on/

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_schema_extensions.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_password_policies.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_ldap.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html


https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_create_users_groups.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_create_users_groups.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_deploy_additional_dcs.html


AWS Directory Service AdministratorhandbuchAWS Directory Service-Optionen

* Die Obergrenzen sind Annäherungswerte. Ihr Verzeichnis kann mehr oder wenigerVerzeichnisobjekte unterstützen, abhängig von der Größe Ihrer Objekte und dem Verhalten und denLeistungsanforderungen Ihrer Anwendungen.

Wann sollte dies verwendet werden?

AWS Managed Microsoft AD ist die beste Wahl, wenn Sie echte Active Directory-Funktionen zurUnterstützung von AWS-Anwendungen oder Windows-Workloads benötigen, beispielsweise AmazonRelational Database Service für Microsoft SQL Server. Außerdem ist es am besten, wenn Sie eineigenständiges AD in der AWS Cloud benötigen, das Office 365 unterstützt, oder wenn Sie ein LDAP-Verzeichnis zur Unterstützung Ihrer Linux-Anwendungen benötigen. Weitere Informationen finden Sieunter AWS Managed Microsoft AD (p. 8).

AD Connector

AD Connector ist ein Proxy-Service, der eine einfache Methode bietet, um kompatible AWS-Anwendungen, z. B. Amazon WorkSpaces, Amazon QuickSight und Amazon EC2 für Windows Server-Instances, mit Ihrem vorhandenen lokalen Microsoft Active Directory zu verbinden. Mit AD Connectorkönnen Sie Ihrem Active Directory einfach ein Service-Konto hinzufügen. Außerdem ist es mit ADConnector nicht mehr notwendig, Verzeichnisse zu synchronisieren. Die Kosten und die Komplexitätdes Hostings einer komplexen Verbund-Infrastruktur fallen weg.

Wenn Sie AWS-Anwendungen wie Amazon QuickSight Benutzer hinzufügen, liest AD Connector Ihrvorhandenes Active Directory, um Listen mit Benutzern und Gruppen zu erstellen, aus denen Sieauswählen können. Wenn sich Benutzer bei den AWS-Anwendungen anmelden, leitet AD Connectordie Anmeldeanfragen an Ihre lokalen Active Directory-Domänencontroller zur Authentifizierungweiter. AD Connector funktioniert mit vielen AWS-Anwendungen und -Services, wie z. B. AmazonWorkSpaces, Amazon WorkDocs, Amazon QuickSight, Amazon Chime, Amazon Connect und AmazonWorkMail. Außerdem können SieIhre EC2-Windows-Instances mithilfe von AD Connector über einenahtlose Domänenverbindung zu Ihrer lokalen Active Directory-Domäne hinzufügen. AD Connectorgestattet Ihren Benutzern auch, auf die AWS Management Console zuzugreifen und AWS-Ressourcenzu verwalten, indem sie sich mit ihren vorhandenen Active Directory-Anmeldeinformationen anmelden.AD Connector ist nicht mit RDS SQL Server kompatibel.

Sie können AD Connector auch verwenden, um eine Multi-Factor Authentication (MFA) für Ihre AWS-Anwendungsbenutzer zu unterstützen, indem Sie sie mit Ihrer vorhandenen RADIUS-basierten MFA-Infrastruktur verbinden. Dies sorgt für eine zusätzliche Sicherheitsebene, wenn Benutzer auf AWS-Anwendungen zugreifen.

Mit AD Connector verwalten Sie Ihr Active Directory weiterhin wie derzeit üblich. Beispielsweisekönnen Sie unter Verwendung der Active Directory-Standardverwaltungstools aus Ihrem lokalen ActiveDirectory neue Benutzer und Gruppen hinzufügen und Passwörter aktualisieren. Dies unterstütztSie bei einer konsistenten Durchsetzung Ihrer Sicherheitsrichtlinien (etwa Passwortablauf und -verlauf sowie Kontosperren), unabhängig davon, ob die Benutzer lokal oder in der AWS Cloud auf dieRessourcen zugreifen.


AD Connector ist die beste Wahl, wenn Sie Ihr vorhandenes lokales Verzeichnis mit kompatiblenAWS-Services verwenden möchten. Weitere Informationen finden Sie unter Active DirectoryConnector (p. 202).

Simple AD

Bei Simple AD handelt es sich um ein mit Microsoft Active Directory kompatibles Verzeichnis von AWSDirectory Service mit Samba 4-Unterstützung. Simple AD unterstützt grundlegende Active Directory-Funktionen wie Benutzerkonten, Gruppenmitgliedschaften, das Hinzufügen einer Linux-Domäne oderWindows-basierter EC2-Instances, die Kerberos-basierte Einmalanmeldung (Single Sign-On, SSO)

Version 1.03

https://aws.amazon.com/ec2/

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html#connect_delegate_privileges






https://aws.amazon.com/connect/

https://aws.amazon.com/workmail/


https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_join_windows_instance.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_launching_instance.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html

AWS Directory Service AdministratorhandbuchArbeiten mit Amazon EC2

und Gruppenrichtlinien. AWS bietet Überwachung, tägliche Snapshots und Wiederherstellung als Teildes Service.

Simple AD ist ein eigenständiges Verzeichnis in der Cloud, in dem Sie Benutzeridentitäten erstellenund verwalten und den Zugriff auf Anwendungen verwalten können. Sie können zahlreiche bekannteActive Directory–fähige Anwendungen und Tools nutzen, für die grundlegende Active Directory-Funktionen benötigt werden. Simple AD ist kompatibel mit den folgenden AWS-Anwendungen:Amazon WorkSpaces, Amazon WorkDocs, Amazon QuickSight und Amazon WorkMail. Sie könnensich auch über Simple AD-Benutzerkonten bei der AWS Management Console anmelden und AWS-Ressourcen verwalten.

Simple AD unterstützt keine Multi-Factor Authentication (MFA), Vertrauensstellungen, dynamischeDNS-Aktualisierungen, Schemaerweiterungen, Kommunikation über LDAPS, PowerShell AD-Cmdletsoder FSMO-Rollenübertragungen. Simple AD ist nicht kompatibel mit RDS SQL Server. Kunden, diedie Funktionen eines echten Microsoft Active Directory benötigen oder planen, ihr Verzeichnis mitRDS SQL Server zu verwenden, sollten stattdessen AWS Managed Microsoft AD verwenden. Bitteüberprüfen Sie, ob Ihre erforderlichen Anwendungen vollständig kompatibel mit Samba 4 sind, bevorSie Simple AD verwenden. Weitere Informationen finden Sie unter https://www.samba.org.


Sie können Simple AD als eigenständiges Verzeichnis in der Cloud verwenden, um Windows-Workloads zu unterstützen, die grundlegende AD-Funktionen benötigen, kompatible AWS-Anwendungen oder zur Unterstützung von Linux-Workloads, die den LDAP-Service benötigen. WeitereInformationen finden Sie unter Simple Active Directory (p. 244).

Amazon Cognito

Amazon Cognito ist ein Benutzerverzeichnis, das Registrierung und Anmeldung für mobile Apps oderWebanwendungen über Amazon Cognito-Benutzerpools hinzufügt.


Sie können Amazon Cognito auch für die Erstellung benutzerdefinierter Registrierungsfelderverwenden und die Metadaten in Ihrem Benutzerverzeichnis speichern. Dieser vollständig verwalteteService unterstützt Hunderte Millionen von Benutzern. Weitere Informationen finden Sie unter Erstellenund Verwalten von Benutzerpools.

Eine Liste der unterstützten Verzeichnistypen pro Region finden Sie unter Verfügbarkeit in Regionen fürAWS Directory Service (p. 321).

Arbeiten mit Amazon EC2Ein grundlegendes Verständnis von Amazon EC2 ist wichtig, um AWS Directory Service zu nutzen. Wirempfehlen, dass Sie zuerst die folgenden Themen lesen:

• Was ist Amazon EC2? im Amazon EC2-Benutzerhandbuch für Windows-Instances.• Starten von EC2-Instances im Amazon EC2-Benutzerhandbuch für Windows-Instances.• Sicherheitsgruppen im Amazon EC2-Benutzerhandbuch für Windows-Instances.• Was ist Amazon VPC? im Amazon VPC Benutzerhandbuch.• Hinzufügen eines Hardware Virtual Private Gateway zu Ihrer VPC im Amazon VPC Benutzerhandbuch.

Version 1.04





https://www.samba.org

https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html

https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/concepts.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/LaunchingAndUsingInstances.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_VPN.html

AWS Directory Service AdministratorhandbuchAnmelden für ein AWS-Konto

Einrichten von AWS Directory ServiceUm mit AWS Directory Service zu arbeiten, müssen Sie die Voraussetzungen für AWS Directory Service fürMicrosoft Active Directory, AD Connector oder Simple AD erfüllen. Weitere Informationen finden Sie unterAWS Managed Microsoft AD-Voraussetzungen (p. 9), AD Connector-Voraussetzungen (p. 202) oderSimple AD-Voraussetzungen (p. 245).

Falls noch nicht geschehen, müssen Sie zudem ein AWS-Konto erstellen und den AWS Identity andAccess Management-Service verwenden, um den Zugriff zu steuern.

Themen• Anmelden für ein AWS-Konto (p. 5)• Erstellen eines IAM-Benutzers (p. 5)

Anmelden für ein AWS-KontoMit Ihrem AWS-Konto haben Sie Zugriff auf alle Services, es werden Ihnen jedoch nur die Ressourcen inRechnung gestellt, die Sie nutzen.

Wenn Sie kein AWS-Konto haben, führen Sie die folgenden Schritte zum Erstellen eines Kontos durch.

Um sich für AWS anzumelden:

1. Öffnen Sie https://aws.amazon.com/ und wählen Sie Create an AWS Account aus.2. Folgen Sie den Onlineanweisungen.

Ihre Root-Konto-Anmeldeinformationen identifizieren Sie zu -Services in AWS und Ihnen eine unbegrenzteNutzung Ihrer AWS-Ressourcen, wie z. B. WorkSpaces. (z. B.. So erlauben Sie anderen Benutzern dieVerwaltung AWS Directory Service -Ressourcen, ohne Ihre Sicherheitsanmeldeinformationen zu teilen,verwenden Sie AWS Identity and Access Management (IAM). Wir empfehlen, dass alle als IAM-Benutzerarbeiten, auch der Kontoinhaber. Erstellen Sie einen IAM-Benutzer für sich selbst, erteilen Sie dem IAM-Benutzer Administratorberechtigungen und verwenden Sie diesen für Ihre Arbeit.

Erstellen eines IAM-BenutzersDie AWS Management Console erfordert Ihren Benutzernamen und das Passwort, damit der Dienstfeststellen kann, ob Sie berechtigt sind, auf dessen Ressourcen zuzugreifen. Allerdings empfehlen wir,dass Sie den Zugriff auf AWS mittels der Anmeldeinformationen für Ihr AWS-Root-Konto vermeiden.Stattdessen empfehlen wir, dass Sie AWS Identity and Access Management (IAM) verwenden, um einenIAM-Benutzer zu erstellen und den IAM-Benutzer einer IAM-Gruppe mit Administrator-Berechtigungenhinzuzufügen. Damit hat der IAM-Benutzer Administrator-Berechtigungen. Sie können dann mithilfe derAWS Management ConsoleAnmeldeinformationen für den -Benutzer auf die IAM zugreifen.

Wenn Sie sich zwar bei AWS angemeldet, aber für sich selbst keinen IAM-Benutzer erstellt haben, könnenSie mithilfe der IAM-Konsole einen Benutzer erstellen.

So erstellen Sie einen Administratorbenutzer für sich selbst und fügen ihn einerAdministratorengruppe hinzu (Konsole)

1. Melden Sie sich bei der IAM-Konsole als Kontobesitzer an, indem Sie Root-Benutzer auswählen unddie E-Mail-Adresse Ihres AWS-Kontos eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.

Version 1.05

https://aws.amazon.com/

https://console.aws.amazon.com/iam/

AWS Directory Service AdministratorhandbuchErstellen eines IAM-Benutzers

Note

Wir empfehlen ausdrücklich, die bewährten Verfahren mithilfe des AdministratorIAM-Benutzers unten zu verwenden und die Anmeldeinformationen des Stammbenutzers aneinem sicheren Ort abzulegen. Melden Sie sich als Stammbenutzer an, um einige Konto- undService-Verwaltungsaufgaben durchzuführen.

2. Wählen Sie im Navigationsbereich Users und dann Add User aus.3. Geben Sie unter Benutzername Administrator als Benutzernamen ein.4. Aktivieren Sie das Kontrollkästchen neben AWS Management Console access (Konsolenzugriff).

Wählen Sie dann Custom password (Benutzerdefiniertes Passwort) aus und geben Sie danach Ihrneues Passwort in das Textfeld ein.

5. (Optional) Standardmäßig erfordert AWS, dass der neue Benutzer bei der ersten Anmeldung ein neuesPasswort erstellt. Sie können das Kontrollkästchen neben User must create a new password at nextsign-in (Benutzer muss bei der nächsten Anmeldung ein neues Passwort erstellen) deaktivieren, umdem neuen Benutzer zu ermöglichen, sein Kennwort nach der Anmeldung zurückzusetzen.

6. Wählen Sie Next: Permissions aus.7. Wählen Sie unter Set permissions (Berechtigungen festlegen) die Option Add user to group (Benutzer

der Gruppe hinzufügen) aus.8. Wählen Sie Create group (Gruppe erstellen) aus.9. Geben Sie im Dialogfeld Create group (Gruppe erstellen) unter Group name (Gruppenname)

Administrators ein.10. Wählen Sie Filter policies (Richtlinien filtern) und anschließend AWS-managed job function (AWS-

verwaltete Auftragsfunktion) aus, um den Tabelleninhalt zu filtern.11. Aktivieren Sie in der Richtlinienliste das Kontrollkästchen AdministratorAccess. Wählen Sie dann

Create group aus.Note

Sie müssen den Zugriff der IAM-Benutzer und -Rollen auf die Fakturierung aktivieren, bevorSie die AdministratorAccess-Berechtigungen verwenden können, um auf die AWS Billingand Cost Management-Konsole zuzugreifen. Befolgen Sie hierzu die Anweisungen in Schritt 1des Tutorials zum Delegieren des Zugriffs auf die Abrechnungskonsole.

12. Kehren Sie zur Gruppenliste zurück und aktivieren Sie das Kontrollkästchen der neuen Gruppe.Möglicherweise müssen Sie Refresh auswählen, damit die Gruppe in der Liste angezeigt wird.

13. Wählen Sie Weiter: Tags aus.14. (Optional) Fügen Sie dem Benutzer Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare

anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter Tagging von IAM-Entitäten im IAM-Benutzerhandbuch.

15. Wählen Sie Next: Review aus, damit die Liste der Gruppenmitgliedschaften angezeigt wird, die demneuen Benutzer hinzugefügt werden soll. Wenn Sie bereit sind, fortzufahren, wählen Sie Create user(Benutzer erstellen) aus.

Mit diesen Schritten können Sie weitere Gruppen und Benutzer erstellen und Ihren Benutzern Zugriffauf Ihre AWS-Kontoressourcen gewähren. Weitere Informationen dazu, wie Sie die Berechtigungeneines Benutzers auf bestimmte AWS-Ressourcen mithilfe von Richtlinien beschränken, finden Sie unterZugriffsverwaltung und Beispielrichtlinien.

Um sich als dieser neuer IAM-Benutzer anzumelden, melden Sie sich zunächst von der AWS ManagementConsole ab. Verwenden Sie dann die folgende URL, wobei your_aws_account_id Ihre AWS-Kontonummerohne Bindestriche darstellt (wenn beispielsweise Ihre AWS-Kontonummer 1234-5678-9012 lautet, ist IhreAWS-Konto-ID 123456789012):

https://your_aws_account_id.signin.aws.amazon.com/console/

Version 1.06

aws_tasks-that-require-root.html

aws_tasks-that-require-root.html

tutorial_billing.html

tutorial_billing.html

id_tags.html

id_tags.html

access.html

access_policies_examples.html

AWS Directory Service AdministratorhandbuchErstellen eines IAM-Benutzers

Geben Sie den IAM-Benutzernamen und das von Ihnen soeben erstellte Passwort ein. Nachdem Sie sichangemeldet haben, wird in der Navigationsleiste „your_user_name @ your_aws_account_id“ angezeigt.

Wenn Sie nicht möchten, dass die URL für Ihre Anmeldeseite Ihre AWS-Konto-ID enthält, können Sie einKonto-Alias erstellen. Klicken Sie im IAM-Dashboard auf Customize (Anpassen) und geben Sie den Aliasein, beispielsweise Ihren Firmennamen. Nach dem Erstellen eines Konto-Alias verwenden Sie die folgendeURL, um sich anzumelden:

https://your_account_alias.signin.aws.amazon.com/console/

Weitere Informationen zur Verwendung von IAM-Richtlinien zum Steuern des Zugriffs auf Ihre AWSDirectory Service-Ressourcen finden Sie unter Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für AWS Directory Service (p. 310).

Version 1.07


AWS Managed Microsoft ADAWS Directory Service ermöglicht die Ausführung von Microsoft Active Directory (AD) als verwaltetenService. AWS Directory Service für Microsoft Active Directory, auch als AWS Managed Microsoft ADbezeichnet, wird von Windows Server 2012 R2 bereitgestellt. Wenn Sie diesen Verzeichnistyp auswählenund starten, wird er als ein hochverfügbares Domänencontroller-Paar erstellt und mit Ihrer Virtual PrivateCloud (VPC) verbunden. Die Domänencontroller werden in verschiedenen Availability Zones in einerRegion Ihrer Wahl ausgeführt. Host-Überwachung und Wiederherstellung, Datenreplikation, Snapshots undSoftware-Updates werden automatisch für Sie konfiguriert und verwaltet.

Mit AWS Managed Microsoft AD können Sie verzeichnisgesteuerte Workloads in der AWS Cloudausführen, einschließlich Microsoft SharePoint-, custom .NET- und SQL Server-basierte Anwendungen. Siekönnen auch eine Vertrauensstellung zwischen AWS Managed Microsoft AD in der AWS Cloud und Ihremvorhandenen lokalen Microsoft Active Directory konfigurieren, sodass Benutzer und Gruppen über SingleSign-On (SSO, einmaliges Anmelden) Zugriff auf Ressourcen in beiden Domänen haben.

AWS Directory Service vereinfacht die Einrichtung und Ausführung von Verzeichnissen in der AWS Cloudsowie die Verbindung der AWS-Ressourcen mit einem bestehenden lokalen Microsoft Active Directory.Nachdem Ihr Verzeichnis erstellt wurde, können Sie es für eine Vielzahl von Aufgaben verwenden:

• Verwalten von Benutzern und Gruppen• Bereitstellen von Single Sign-On für Anwendungen und Services• Erstellen und Anwenden von Gruppenrichtlinien• Sichere Verbindung mit Amazon EC2-, Linux- und Windows-Instances• Vereinfachtes Bereitstellen und Verwalten von Cloud-basierten Linux- und Microsoft Windows-

Verarbeitungslasten• Mit AWS Managed Microsoft AD können Sie eine Multifaktor-Authentifizierung aktivieren, indem Sie Ihre

bestehende RADIUS-basierte MFA-Infrastruktur integrieren. Dadurch verfügen Sie über eine zusätzlicheSicherheitsebene, wenn Benutzer auf AWS-Anwendungen zugreifen.

Lesen Sie die Themen in diesem Abschnitt als Einstieg für das Erstellen eines AWS Managed MicrosoftAD-Verzeichnisses oder einer Vertrauensstellung zwischen AWS Managed Microsoft AD und Ihren lokalenVerzeichnissen sowie zum Ausweiten Ihres AWS Managed Microsoft AD-Schemas.

Themen• Erste Schritte mit AWS Managed Microsoft AD (p. 9)• Die wichtigsten Konzepte für AWS Managed Microsoft AD (p. 19)• Anwendungsfälle für AWS Managed Microsoft AD (p. 21)• Verwalten von AWS Managed Microsoft AD (p. 28)• Bewährte Methoden für AWS Managed Microsoft AD (p. 162)• Grenzwerte für AWS Managed Microsoft AD (p. 168)• Richtlinie zur Anwendungskompatibilität für AWS Managed Microsoft AD (p. 169)• Tutorials für AWS Managed Microsoft AD-Testumgebungen (p. 171)• Fehlerbehebung für AWS Managed Microsoft AD (p. 193)

Zugehörige Blog-Artikel zur AWS-Sicherheit

• So delegieren Sie die Administration Ihres AWS Managed Microsoft AD-Verzeichnisses an Ihre lokalenActive Directory-Benutzer

Version 1.08

https://aws.amazon.com/blogs/security/how-to-delegate-administration-of-your-aws-managed-microsoft-ad-directory-to-your-on-premises-active-directory-users/

https://aws.amazon.com/blogs/security/how-to-delegate-administration-of-your-aws-managed-microsoft-ad-directory-to-your-on-premises-active-directory-users/

AWS Directory Service AdministratorhandbuchErste Schritte

• So konfigurieren Sie mit AWS Directory Service noch stärkere Passwortrichtlinien, um IhreSicherheitsstandards zu erfüllen AWS Managed Microsoft AD

• So erhöhen Sie die Redundanz und Leistung Ihres AWS Directory Service für AWS Managed MicrosoftAD, indem Sie Domänencontroller hinzufügen

• So aktivieren Sie die Verwendung von Remote Desktops durch die Bereitstellung von Microsoft RemoteDesktop Licensing Manager in AWS Managed Microsoft AD

• So greifen Sie mit AWS Management Console und Ihren lokalen Anmeldeinformationen auf die AWSManaged Microsoft AD zu

• So aktivieren Sie die Multifaktor-Authentifizierung für AWS-Services mithilfe von AWS Managed MicrosoftAD und lokalen Anmeldeinformationen

• So melden Sie sich unter Verwendung Ihres lokalen Active Directory ganz einfach bei AWS an

Erste Schritte mit AWS Managed Microsoft ADAWS Managed Microsoft AD erstellt ein vollständig verwaltetes Microsoft Active Directory in der AWSCloud, wird von Windows Server 2012 R2 unterstützt und arbeitet auf den Funktionsebenen 2012R2 Forest und Domäne. Wenn Sie ein Verzeichnis mit AWS Managed Microsoft AD erstellen, richtetAWS Directory Service zwei Domänencontroller ein und fügt den DNS-Service für Sie hinzu. DieDomänencontroller werden in verschiedenen Subnetzen in einer VPC erstellt. Diese Redundanz hilftsicherzustellen, dass Ihr Verzeichnis verfügbar bleibt, auch wenn ein Fehler auftritt. Wenn Sie weitereDomänencontroller benötigen, können Sie diese später hinzufügen. Weitere Informationen finden Sie imBereitstellen zusätzlicher Domänencontroller (p. 160).

Themen• AWS Managed Microsoft AD-Voraussetzungen (p. 9)• Erstellen Ihres AWS Managed Microsoft AD-Verzeichnisses (p. 11)• Was wird erstellt (p. 12)• Admin-Konto (p. 17)

AWS Managed Microsoft AD-VoraussetzungenUm ein AWS Managed Microsoft AD-Verzeichnis zu erstellen, benötigen Sie eine VPC mit Folgendem:

• Mindestens zwei Subnetze. Jedes dieser Subnetze muss sich in einer anderen Availability Zonebefinden.

• Die VPC muss über Standard-Hardware-Tenancy verfügen.• Sie können ein AWS Managed Microsoft AD nicht in einer VPC unter Verwendung von Adressen im

Adressraum 198.18.0.0/15 erstellen.• AWS Directory Service unterstützt nicht die Netzwerkadressübersetzung (Network Address Translation,

NAT) mit Active Directory. Die Verwendung von NAT kann zu Replikations-Fehlern führen.

Wenn Sie Ihre AWS Managed Microsoft AD-Domäne in eine vorhandene lokale Active Directory-Domäneintegrieren möchten, müssen Sie die Funktionsebenen Forest und Domäne für Ihre lokale Domäne aufWindows Server 2003 oder höher festlegen.

AWS Directory Service verwendet eine Struktur aus zwei VPCs. Die EC2-Instances, aus denen IhrVerzeichnis besteht, werden außerhalb Ihres AWS-Kontos ausgeführt und von AWS verwaltet. Sie besitzenzwei Netzwerkadapter: ETH0 und ETH1. ETH0 ist der Verwaltungsadapter und ist außerhalb Ihres Kontosvorhanden. ETH1 wird innerhalb Ihres Kontos erstellt.

Version 1.09

https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/


https://aws.amazon.com/blogs/security/how-to-increase-the-redundancy-and-performance-of-your-aws-directory-service-for-microsoft-ad-directory-by-adding-domain-controllers/


https://aws.amazon.com/blogs/security/how-to-enable-the-use-of-remote-desktops-by-deploying-microsoft-remote-desktop-licensing-manager-on-aws-microsoft-ad/


https://aws.amazon.com/blogs/security/how-to-access-the-aws-management-console-using-aws-microsoft-ad-and-your-on-premises-credentials/


https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/


https://aws.amazon.com/blogs/security/how-to-easily-log-on-to-aws-services-by-using-your-on-premises-active-directory/

AWS Directory Service AdministratorhandbuchVoraussetzungen

Der IP-Verwaltungsbereich des ETH0-Netzwerks Ihres Verzeichnisses ist 198.18.0.0/15.

AWS – Einmaliges Anmelden-VoraussetzungenWenn Sie AWS – Einmaliges Anmelden (AWS SSO) mit AWS Managed Microsoft AD verwenden möchten,müssen Sie sicherstellen, dass Folgendes zutrifft:

• Ihre AWS Managed Microsoft AD Verzeichnis ist in Ihrem AWS Organisation Verwaltungskonto.• Ihre Instance von AWS SSO befindet sich in derselben Region, in der Ihr AWS Managed Microsoft AD-

Verzeichnis eingerichtet ist.

Weitere Informationen finden Sie unter AWS SSO-Voraussetzungen im AWS – Einmaliges Anmelden-Benutzerhandbuch.

Voraussetzungen für Multifaktor-AuthentifizierungUm Multifaktor-Authentifizierung im AWS Managed Microsoft AD-Verzeichnis zu unterstützen, müssen Sieden lokalen oder cloud-basierten Remote Authentication Dial-In User Service-Server (RADIUS) wie folgtkonfigurieren, damit er Anforderungen vom AWS Managed Microsoft AD-Verzeichnis in AWS annehmenkann.

1. Erstellen Sie zwei RADIUS-Clients auf Ihrem RADIUS-Server, um beide AWS Managed Microsoft AD-Domänencontroller (DCs) in AWS darzustellen. Sie müssen beide Clients mit den folgenden allgemeinenParametern konfigurieren (Ihr RADIUS-Server kann abweichen):• Adresse (DNS oder IP): Dies ist die DNS-Adresse für eine der AWS Managed Microsoft AD DCs.

(z. B.. Beide DNS-Adressen finden Sie im AWS Verzeichnisdienstkonsole auf der Einzelheiten Seiteder AWS Managed Microsoft AD Verzeichnis, in dem Sie MFA verwenden möchten. Die angezeigtenDNS-Adressen stellen die IP-Adressen für beide der AWS Managed Microsoft AD DCs die von AWS.

Note

Wenn Ihr RADIUS-Server DNS-Adressen unterstützt, müssen Sie nur eine RADIUS-Client-Konfiguration erstellen. Andernfalls müssen Sie eine RADIUS-Client-Konfiguration für jedenAWS Managed Microsoft AD-Domänencontroller erstellen.

• Anschlussnummer: Konfigurieren Sie die Portnummer, für die Ihr RADIUS-Server RADIUS-Client-Verbindungen akzeptiert. Der Standard-RADIUS-Port ist 1812.

• Gemeinsames Geheimnis: Geben Sie ein gemeinsames Secret ein oder generieren Sie es, das derRADIUS-Server verwendet, um eine Verbindung mit RADIUS-Clients herzustellen.

• Prüfplan: Möglicherweise müssen Sie das Authentifizierungsprotokoll zwischen den AWS ManagedMicrosoft AD DCs und den RADIUS-Server. Zu den unterstützten Protokollen zählen PAP, CHAP,MS-CHAPv1 und MS- CHAPv2. MS-CHAPv2 wird empfohlen, da es die höchste Sicherheit der dreiOptionen bietet.

• Anwendungsname: Dies kann bei einigen RADIUS-Servern optional sein und identifiziert in der Regeldie Anwendung in Nachrichten oder Berichten.

2. Konfigurieren Sie Ihr vorhandenes Netzwerk, um eingehenden Datenverkehr von den RADIUS-Clientszuzulassen (AWS Managed Microsoft AD DCs DNS-Adressen, siehe Schritt 1) zu Ihrem RADIUS-Server-Port.

3. Fügen Sie eine Regel zur Amazon EC2-Sicherheitsgruppe in Ihrer AWS Managed Microsoft AD-Domäne hinzu, die eingehenden Datenverkehr von der RADIUS-Server DNS-Adresse und der zuvordefinierten Portnummer zulässt. Weitere Informationen finden Sie unter Hinzufügen von Regeln zurSicherheitsgruppe im EC2-Benutzerhandbuch.

Weitere Informationen zur Verwendung von AWS Managed Microsoft AD mit MFA finden Sie unterAktivieren der Multifaktor-Authentifizierung für AWS Managed Microsoft AD (p. 32).

Version 1.010

https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html

https://en.wikipedia.org/wiki/RADIUS

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule


AWS Directory Service AdministratorhandbuchErstellen Ihres Verzeichnisses

Erstellen Ihres AWS Managed Microsoft AD-VerzeichnissesZum Erstellen eines neuen Verzeichnisses führen Sie folgende Schritte aus. Bevor Sie dieses Verfahrenbeginnen, stellen Sie sicher, dass Sie die in AWS Managed Microsoft AD-Voraussetzungen (p. 9)angegebenen Voraussetzungen erfüllt haben.

So erstellen Sie ein AWS Managed Microsoft AD-Verzeichnis

1. Wählen Sie im Navigationsbereich der AWS Directory Service console die Option Directories(Verzeichnisse) und dann Set up directory (Verzeichnis einrichten) aus.

2. Wählen Sie auf der Seite Select directory type (Verzeichnistyp auswählen) die Option AWS ManagedMicrosoft AD aus und klicken Sie dann auf Next (Weiter).

3. Geben Sie auf der Seite Enter directory information (Verzeichnisinformationen eingeben) die folgendenInformationen ein:

Edition

Wählen Sie entweder die Standard Edition oder die Enterprise Edition von AWS ManagedMicrosoft AD aus. Weitere Informationen zu den Editionen finden Sie unter AWS Directory Servicefür Microsoft Active Directory.

DNS-Name des Verzeichnisses

Den vollständig qualifizierten Namen für das Verzeichnis, z. B. corp.example.com.Verzeichnis NetBIOS Bezeichnung

Die kurzen Namen für das Verzeichnis, z. B. CORP.Verzeichnisbeschreibung

Eine optionale Beschreibung des Verzeichnisses.Administratorpasswort

Das Passwort für den Verzeichnisadministrator. Mit der Verzeichniserstellung wird einAdministratorkonto mit dem Benutzernamen Admin und diesem Passwort angelegt.

Das Passwort darf das Wort „admin“ nicht beinhalten.

Das Verzeichnisadministrator-Passwort unterscheidet zwischen Groß-/ Kleinschreibung und musszwischen 8 und 64 Zeichen lang sein. Zudem muss es mindestens ein Zeichen aus dreien der vierfolgenden Kategorien enthalten:• Kleinbuchstaben (a – z)• Großbuchstaben (A – Z)• Zahlen (0 – 9)• Nicht-alphanumerische Zeichen (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

Passwort bestätigen

Geben Sie das Administratorpasswort erneut ein.4. Geben Sie auf der Seite Choose VPC and subnets (VPC und Subnetze wählen) die folgenden

Informationen an und wählen Sie dann Next (Weiter).

VPC

Die VPC für das Verzeichnis. Version 1.011

https://console.aws.amazon.com/directoryservicev2/

AWS Directory Service AdministratorhandbuchWas wird erstellt

Subnetze

Wählen Sie Subnetze für die Domänencontroller aus. Die beiden Subnetze müssen zuverschiedenen Availability-Zonen gehören.

5. Überprüfen Sie auf der Seite Review & create (Überprüfen und erstellen) die Verzeichnisinformationenund nehmen Sie gegebenenfalls Änderungen vor. Wenn die Informationen richtig sind, wählen SieCreate directory (Verzeichnis erstellen). Das Erstellen des Verzeichnisses dauert 20 bis 40 Minuten.Sobald sie erstellt wurden, ändert sich der Status in Active.

Was wird erstelltWenn Sie ein Verzeichnis mit AWS Managed Microsoft AD erstellen, führt AWS Directory Service für Siedie folgenden Aufgaben aus:

• Automatischerstellt eine Elastic Network-Schnittstelle (Elastic Network Interface, ENI) und ordnet siejedem Ihrer Domänencontroller zu. Jede ENI hat eine kritische Bedeutung für die Konnektivität zwischenIhrer VPC und Ihren AWS Directory Service-Domänencontrollern und darf niemals gelöscht werden. Siekönnen alle Netzwerkschnittstellen, die für die Verwendung mit AWS Directory Service reserviert sind,anhand der Beschreibung: „AWS created network interface for directory directory-id (Von AWS erstellteNetzwerkschnittstelle für Verzeichnis directory-id)“ identifizieren. Weitere Informationen finden Sie unterElastic Network-Schnittstellen im Amazon EC2-Benutzerhandbuch für Windows-Instances.

• Stellt Active Directory in Ihrer VPC unter Verwendung von zwei Domänencontrollern für Fehlertoleranzund hohe Verfügbarkeit bereit. Es können weitere Domänencontroller für eine höhere Ausfallsicherheitund Leistung bereitgestellt werden, nachdem das Verzeichnis erfolgreich erstellt wurde und Active (Aktiv)ist. Weitere Informationen finden Sie unter Bereitstellen zusätzlicher Domänencontroller (p. 160).

• Erstellt eine -AWSSicherheitsgruppe, die Netzwerkregeln für einund ausgehenden DatenverkehrIhrer Domänencontroller einrichtet. Die Standardregel für ausgehenden Datenverkehr erlaubt dengesamten Datenverkehr ENIs oder Instances, die der erstellten AWS-Sicherheitsgruppe angefügt sind.Die Standardregeln für eingehenden Datenverkehr erlauben nur den Datenverkehr über Ports, die vonActive Directory aus einer beliebigen Quelle (0.0.0.0/0) benötigt werden. Die 0.0.0.0/0-Regeln führennicht zu Schwachstellen, da der Datenverkehr zu den Domänencontrollern auf den Datenverkehr vonIhrer VPC, von anderen per Peering verbundenen VPCs oder von Netzwerken, die Sie über AWS DirectConnect, AWS Transit Gateway oder Virtual Private Network verbunden haben, beschränkt ist. Fürzusätzliche Sicherheit ist der erstellten ENIs Elastic IPs nicht angefügt und Sie sind nicht berechtigt,eine Elastic IP-Adresse an diese ENIs anzufügen. Daher ist der einzige eingehende Datenverkehr,der mit Ihrem AWS Managed Microsoft AD kommunizieren kann, lokaler VPC- und VPC-gerouteterDatenverkehr. Seien Sie äußerst vorsichtig, wenn Sie versuchen, diese Regeln zu ändern, da Sie IhreFähigkeit zur Kommunikation mit Ihren Domänencontrollern beeinträchtigen können. Die folgenden AWS-Sicherheitsgruppenregeln werden standardmäßig erstellt:

Regeln für eingehenden Datenverkehr

Protocol(Protokoll)

Port-Bereich Source Art desDatenverkehrs

Active Directory-Nutzung

ICMP – 0.0.0.0/0 Ping (Ping) Keine

TCP und UDP 53 0.0.0.0/0 DNS Benutzer- undComputerauthentifizierung,Namensauflösung,Vertrauensbeziehungen

TCP und UDP 88 0.0.0.0/0 Kerberos Benutzer- undComputerauthentifizierung,Vertrauensstellungen

Version 1.012

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_status.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html


Protocol(Protokoll)


Active Directory-NutzungaufGesamtstrukturebene

TCP und UDP 389 0.0.0.0/0 LDAP Richtlinie fürVerzeichnis,Replikation,Benutzer- undComputer-Authentifizierungsgruppe,Vertrauensbeziehungen

TCP und UDP 445 0.0.0.0/0 SMB/CIFS Replikation,Benutzer- undComputerauthentifizierung,Gruppenrichtlinie,Vertrauensbeziehungen

TCP und UDP 464 0.0.0.0/0 Kerberos-Änderung/Passwortfestlegen

Replikation,Benutzer- undComputerauthentifizierung,Vertrauensbeziehungen

TCP 135 0.0.0.0/0 Replikation RPC, EPM

TCP 636 0.0.0.0/0 LDAP-SSL Verzeichnis,Replikation,Benutzer- undComputerauthentifizierung,Gruppenrichtlinie,Vertrauensstellungen

TCP 1024 - 65535 0.0.0.0/0 RPC Replikation,Benutzer- undComputerauthentifizierung,Gruppenrichtlinie,Vertrauensbeziehungen

TCP 3268 - 3269 0.0.0.0/0 LDAP GC undLDAP GC SSL

Verzeichnis,Replikation,Benutzer- undComputerauthentifizierung,Gruppenrichtlinie,Vertrauensstellungen

UDP 123 0.0.0.0/0 Windows-Zeit Windows-Zeit,Vertrauensstellungen

UDP 138 0.0.0.0/0 DFSN undNetLogon

DFS,Gruppenrichtlinie

Alle Alle sg-##########################

GesamterDatenverkehr

Regeln für ausgehenden Datenverkehr

Version 1.013


Protocol(Protokoll)


Active Directory-Nutzung

Alle Alle sg-##########################


• Erstellt ein Verzeichnisadministratorkonto mit dem Benutzernamen Admin und dem angegebenenPasswort. Dieses Konto befindet sich unter der OU Benutzer (Beispiel: Corp > Benutzer). Mit diesemKonto verwalten Sie das Verzeichnis in der AWS-Cloud. Weitere Informationen finden Sie unter Admin-Konto (p. 17).

Important

Denken Sie daran, dieses Passwort zu speichern. AWS Directory Service speichert diesesPasswort nicht und es kann nicht abgerufen werden. Sie können jedoch ein Passwort über dieAWS Directory Service-Konsole oder mithilfe der ResetUserPassword-API zurücksetzen.

• Erstellt die folgenden drei Organisationeinheiten unter dem Domänenstamm:

Name der Organisationseinheit Beschreibung

Delegierte AWS-Gruppen Speichert alle Gruppen, die Sie verwendenkönnen, um bestimmte AWS-spezifischeBerechtigungen für Ihre Benutzer zu delegieren.

AWS Reserved Speichert alle verwaltungsspezifischen AWS-Konten.

<yourdomainname> Der Name dieser Organisationseinheit basiert aufdem NetBIOS-Namen, den Sie beim ErstellenIhres Verzeichnisses eingegeben haben.Wenn Sie keinen NetBIOS-Namen angegebenhaben, wird standardmäßig der erste Teil IhresDirectory-DNS-Namens verwendet (z. B. beicorp.example.com wäre der NetBIOS-Namecorp). Diese Organisationseinheit ist im Besitz vonAWS und enthält alle Ihre mit AWS in Verbindungstehenden Verzeichnisobjekte, über die Sievollständigen Zugriff haben. Zwei untergeordneteOUs existieren standardmäßig unter dieserOrganisationseinheit: Computer und Benutzer.Beispiel:• Corp

• Computers (Computer)• Benutzer

• Erstellt die folgenden Gruppen in der OU AWS Delegated Groups (Delegierte Gruppen):

Group name (Gruppenname) Beschreibung

AWS Delegated Account Operators Mitglieder dieser Sicherheitsgruppe verfügen überbegrenzte Funktionen zur Kontoverwaltung, wiebeispielsweise das Zurücksetzen und Entsperrenvon Passwörtern.

Version 1.014

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html



Von AWS delegierte Active Directory-basierteAktivierungsadministratoren

Mitglieder dieser Sicherheitsgruppe können ActiveDirectory-Volumenlizenzaktivierungsobjekteerstellen, die es Unternehmen ermöglichen,Computer über eine Verbindung zu ihrer Domänezu aktivieren.

AWS Delegated Add Workstations To DomainUsers

Mitglieder dieser Sicherheitsgruppe können einerDomäne 10 Computer hinzufügen.

AWS Delegated Administrators Mitglieder dieser Sicherheitsgruppe könnenAWS Managed Microsoft AD verwalten, die volleKontrolle über alle Objekte in Ihrer OU haben undGruppen verwalten, die in der OU AWS DelegatedGroups enthalten sind.

Von AWS auf Lebenszeit delegierteAdministratoren für gelöschte Objekte

Mitglieder dieser Sicherheitsgruppe können dasmsDS-DeletedObjectLifetime-Objekt ändern,das definiert, wie lange ein gelöschtes Objektzur Wiederherstellung aus dem AD-Papierkorbverfügbar sein wird.

AWS Delegated Distributed File SystemAdministrators

Mitglieder dieser Sicherheitsgruppe können FRS-,DFS-R- und DFS-Namespaces hinzufügen undentfernen.

AWS Delegated Domain Name SystemAdministrators

Mitglieder dieser Sicherheitsgruppe können das inActive Directory integrierte DNS verwalten.

AWS Delegated Dynamic Host ConfigurationProtocol Administrators

Mitglieder dieser Sicherheitsgruppe könnenWindows DHCP-Server im Unternehmenautorisieren.

AWS Delegated Enterprise Certificate AuthorityAdministrators

Mitglieder dieser Sicherheitsgruppe könnendie Microsoft Enterprise Certificate Authority-Infrastruktur bereitstellen und verwalten.

AWS Delegated Fine Grained Password PolicyAdministrators

Mitglieder dieser Sicherheitsgruppe können voraberstellte differenzierte Passwortrichtlinien ändern.

AWS Delegated Group Policy Administrators Mitglieder dieser Sicherheitsgruppe könnenGruppenrichtlinienverwaltungsaufgaben(Erstellen, Bearbeiten, Löschen, Verlinken)durchführen.

AWS Delegated Kerberos DelegationAdministrators

Mitglieder dieser Sicherheitsgruppekönnen die Delegierung auf Computer- undBenutzerkontoobjekten aktivieren.

AWS Delegated Managed Service AccountAdministrators

Mitglieder dieser Sicherheitsgruppe könnenManaged Service-Konten erstellen und löschen.

AWS Delegated Remote Access ServiceAdministrators

Mitglieder dieser Sicherheitsgruppe könnenRAS-Server zur RAS- und IAS-Servergruppehinzufügen und daraus entfernen.

Version 1.015



AWS Delegated Replicate Directory ChangesAdministrators

Mitglieder dieser Sicherheitsgruppe könnenProfilinformationen in Active Directory mit demSharePoint-Server synchronisieren.

AWS Delegated Server Administrators Mitglieder dieser Sicherheitsgruppe sind in derlokalen Administratorgruppe auf allen mit derDomäne verbundenen Computern enthalten.

AWS Delegated Sites and Services Administrators Mitglieder dieser Sicherheitsgruppe können dasDefault-First-Site-Name-Objekt in Active Directory-Standorten und -Diensten umbenennen.

Von AWS delegierteSystemverwaltungsadministratoren

Mitglieder dieser Sicherheitsgruppe könnenObjekte im Systemverwaltungscontainer erstellenund verwalten.

AWS Delegated Terminal Server LicensingAdministrators

Mitglieder dieser Sicherheitsgruppe könnenTerminal Server License Server zur Gruppe„Terminal Server License Servers“ hinzufügen unddaraus entfernen.

AWS Delegated User Principal Name SuffixAdministrators

Mitglieder dieser Sicherheitsgruppe könnenSuffixe für Benutzerprinzipalnamen hinzufügenund entfernen.

AWS Delegierte FSx-Administratoren Mitglieder dieser Sicherheitsgruppe könnenAmazon FSx-Ressourcen verwalten.

AWS Delegiert – Erlaubt, Objekte zuauthentifizieren

Mitglieder dieser Sicherheitsgruppe erhaltendie Möglichkeit, sich bei Computerressourcenin der AWS Reserved OU zu authentifizieren(nur erforderlich für lokale Objekte mit SelectiveAuthentication-fähigen Vertrauensstellungen).

AWS Delegiert – Berechtigung zurAuthentifizierung bei Domänencontrollern

Mitglieder dieser Sicherheitsgruppe erhalten dieMöglichkeit, sich bei den Computerressourcenin der OU Domain Controllers zu authentifizieren(nur erforderlich für lokale Objekte mit SelectiveAuthentication-fähigen Vertrauensstellungen).

• Erstellt die folgenden Gruppenrichtlinienobjekte (Group Policy Objects, GPOs):

Note

Sie haben keine Berechtigungen zum Löschen, Ändern oder Aufheben der Verknüpfung dieserGPOs. Dies ist beabsichtigt, da sie für die Verwendung durch AWS reserviert sind. Sie könnensie mit OUs verknüpfen, die Sie bei Bedarf steuern.

Name der Gruppenrichtlinie Gilt für Beschreibung

Standarddomänenrichtlinie Bereich Enthält Domänenpasswort undKerberos-Richtlinien.

ServerAdmins Alle Nicht-Domänencontroller-Computerkonten

Fügt die "AWS Delegated ServerAdministrators" als Mitglied derGruppe BUILTIN\\Administratorshinzu.

Version 1.016

AWS Directory Service AdministratorhandbuchAdmin-Konto

Name der Gruppenrichtlinie Gilt für Beschreibung

AWS Reservierte Richtlinie:Benutzer

Reservierte AWS-Benutzerkonten

Legt die empfohlenenSicherheitseinstellungen für alleBenutzerkonten in der AWSReserved OU fest.

Verwaltete Active Directory-Richtlinie vonAWS

Alle Domänencontroller Legt die empfohlenenSicherheitseinstellungen aufallen Domänencontrollern fest.

TimePolicyNT5DS Alle Nicht-PDCe-Domänencontroller

Legt die Zeitrichtlinie aller Nicht-PDCe-Domänencontrollerso fest, dass Windows Time(NT5DS) verwendet wird.

TimePolicyPDC Der PDCe-Domänencontroller Legt die Zeitrichtlinie des PDCe-Domänencontrollers für dieVerwendung des Network TimeProtocol (NTP) fest.

Standard-Domänencontroller-Richtlinie

Nicht verwendet Bei der Domänenerstellung wirdstattdessen die verwaltete ActiveDirectory-Richtlinie von AWSverwendet.

Wenn Sie die Einstellungen der einzelnen Gruppenrichtlinienobjekte anzeigen möchten, können Sie sieüber eine mit einer Domäne verbundene Windows-Instance mit aktivierter Group Policy ManagementConsole (GPMC) anzeigen.

Admin-KontoWenn Sie ein AWS Directory Service für Microsoft Active Directory-Verzeichnis erstellen, erstellt AWS eineOrganisationseinheit (Organizational Unit, OU), um alle mit AWS verbundenen Gruppen und Konten zuspeichern. Weitere Informationen über diese OU finden Sie unter Was wird erstellt (p. 12). Dies umfasstauch das Admin-Konto. Das Admin-Konto verfügt über die Berechtigungen zur Durchführung allgemeineradministrativer Aktivitäten für Ihre OU:

• Hinzufügen, Aktualisieren oder Löschen von Benutzern, Gruppen und Computern. Weitere Informationenfinden Sie im Verwalten von Benutzern und Gruppen in AWS Managed Microsoft AD (p. 107).

• Hinzufügen von Ressourcen zu Ihrer Domäne, etwa Datei- oder Druckserver, und anschließendesGewähren der zugehörigen Ressourcenberechtigungen für Benutzer und Gruppen in der OU.

• Zusätzliche erstellen OUs und Containern.• Befugnis von zusätzlichen OUs und Containern. Weitere Informationen finden Sie im Delegieren von

Berechtigungen zum Beitritt zu Verzeichnissen für AWS Managed Microsoft AD (p. 104).• Erstellen und Verknüpfen von Gruppenrichtlinien.• Wiederherstellen von gelöschten Objekten aus dem Active Directory-Papierkorb.• Active Directory und DNS-Windows ausführen PowerShell auf dem Active Directory-Webdienst.• Erstellen und konfigurieren von gruppenverwalteten Service-Konten. Weitere Informationen finden Sie im

Gruppenverwaltete Service-Konten (p. 20).• Konfigurieren einer eingeschränkten Kerberos-Delegierung. Weitere Informationen finden Sie im

Eingeschränkte Kerberos-Delegierung (p. 21).

Version 1.017

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753298(v=ws.10)


AWS Directory Service AdministratorhandbuchAdmin-Konto

Das Administratorkonto verfügt zudem über die Rechte zum Ausführen der folgendendomänenübergreifenden Aktivitäten:

• Verwalten von DNS-Konfigurationen (Hinzufügen, Entfernen oder Aktualisieren von Datensätzen, Zonenund Weiterleitungen)

• Aufrufen von DNS-Ereignisprotokollen• Anzeigen von Sicherheitsereignisprotokollen

Nur die hier aufgelisteten Aktionen können mit dem Administratorkonto ausgeführt werden. DasAdministratorkonto hat keine Berechtigungen für verzeichnisbezogene Aktionen außerhalb Ihrer OU, etwain der übergeordneten OU.

Important

AWS-Domänenadministratoren haben vollständigen Administratorzugriff auf alle Domänen, diein AWS gehostet werden. Weitere Informationen dazu, wie AWS in AWS-Systemen gespeicherteInhalte einschließlich der Verzeichnisinformationen verarbeitet, finden Sie in Ihrer Vereinbarungmit AWS sowie unter Häufig gestellte Fragen zum Datenschutz von AWS.

Note

Es wird empfohlen, dieses Konto nicht zu löschen oder umzubenennen. Wenn Sie das Konto nichtmehr verwenden möchten, empfehlen wir Ihnen, ein langes Passwort (128 oder mehr zufälligeZeichen) festzulegen und dann das Konto zu deaktivieren.

Privilegierte Enterprise- und Domänenadministrator-KontenZur operativen Verwaltung Ihres Verzeichnisses verfügt AWS über die exklusive Kontrolle über Konten mitEnterprise-Administrator- und Domänenadministratorberechtigungen. Dies umfasst exklusive Kontrolle überdas AD Administratorkonto. AWS schützt dieses Konto mittels Automatisierung der Passwortverwaltungüber einen Passwort-Tresor. Während der automatischen Rotation des Administratorpassworts erstelltAWS ein temporäres Benutzerkonto und gewährt diesem Domänenadministratorberechtigungen.Dieses temporäre Konto wird im Falle eines Passwortrotationsfehlers im Administratorkonto als Backupverwendet. Nachdem AWS das Administratorpasswort erfolgreich wechselt, löscht es das temporäreAdministratorkonto.

Normalerweise betreibt AWS das Verzeichnis vollständig durch Automatisierung. Für den Fall, dass einAutomatisierungsprozess ein operatives Problem nicht lösen können, muss für AWS möglicherweiseein Support-Techniker sich bei Ihrem Domänencontroller anmelden, um eine Diagnose auszuführen. Indiesen seltenen Fällen implementiert AWS ein Anforderungs-/Benachrichtigungsystem zum Gewährendes Zugriffs. Während dieses Prozesses erstellt die AWS-Automatisierung ein zeitlich begrenztesBenutzerkonto in Ihrem Verzeichnis, das über Domänenadministrator-Berechtigungen verfügt. AWSverknüpft das Benutzerkonto mit dem Techniker, der für die Arbeit an Ihrem Verzeichnis zugeordnetist. AWS zeichnet diese Zuordnung in unserem Protokollsystem auf und stellt dem Techniker dieAnmeldeinformationen bereit. Alle durchgeführten Aktionen des Technikers werden in den Windows-Ereignisprotokollen protokolliert. Wenn die zugeordnete Zeit verstrichen ist, löscht die Automatisierung dasBenutzerkonto.

Sie können administrative Aktivitäten überwachen, indem Sie die Protokoll-WeiterleitungsfunktionIhres Verzeichnisses verwenden. Mit dieser Funktion können Sie die AD-Sicherheitsereignisse an IhreCloudWatch in dem Sie Überwachungslösungen implementieren können. Weitere Informationen finden Sieim Protokollweiterleitung aktivieren (p. 58).

Version 1.018

https://aws.amazon.com/compliance/data-privacy-faq/

AWS Directory Service AdministratorhandbuchDie wichtigsten Konzepte

Die wichtigsten Konzepte für AWS ManagedMicrosoft AD

Sie können AWS Managed Microsoft AD besser nutzen, wenn Sie mit den folgenden wesentlichenKonzepten vertraut sind.

Themen• Active Directory Schema (p. 19)• Patching und Wartung für AWS Managed Microsoft AD (p. 20)• Gruppenverwaltete Service-Konten (p. 20)• Eingeschränkte Kerberos-Delegierung (p. 21)

Active Directory SchemaEin Schema ist die Definition von Attributen und Klassen, die Teil eines verteilten Verzeichnisses sind,ähnlich wie Felder und Tabellen in einer Datenbank. Schemas umfassen eine Reihe von Regeln, die dieArt und das Format der Daten bestimmen, die hinzugefügt oder in der Datenbank gespeichert werden. DieBenutzerklasse ist ein Beispiel für eine Klasse, die in der Datenbank gespeichert ist. Beispielsweise könnenBenutzerklasse-Attribute Vorname, Nachname, Telefonnummer und so weiter sein.

SchemaelementeAttribute, Klassen und Objekte sind die grundlegenden Elemente zum Erstellen von Objektdefinitionen imSchema. Im Folgenden finden Sie Details zu Schema-Elementen, die Sie kennen sollten, bevor Sie mit derErweiterung Ihres AWS Managed Microsoft AD-Schemas beginnen.

Attribute

Schemaattribute können mit den Feldern in einer Datenbank verglichen werden. Jedes Schemaattributhat mehrere Eigenschaften, die die Merkmale des Attributs definieren. Die Eigenschaft, die von LDAP-Clients zum Lesen und Schreiben des Attributs verwendet wird, ist beispielsweise LDAPDisplayName.(z. B.. Die Schaltfläche LDAPDisplayName Eigenschaft muss für alle Attribute und Klassen eindeutigsein. Eine vollständige Liste der Attributeigenschaften finden Sie auf der MSDN-Website im Bereich mitden Merkmalen von Attributen. Weitere Informationen zum Erstellen eines neuen Attributs finden Sieauf der MSDN-Website im Bereich zum Definieren eines neuen Attributs.

Klassen

Klassen sind vergleichbar mit Tabellen in einer Datenbank und haben ebenfalls verschiedenedefinierbare Eigenschaften. objectClassCategory definiert zum Beispiel die Kategorie der Klasse.Eine vollständige Liste der Klasseneigenschaften finden Sie auf der MSDN-Website im Bereich mit denMerkmalen von Objektklassen. Weitere Informationen zum Erstellen einer neuen Klasse finden Sie aufder MSDN-Website im Bereich zum Definieren einer neuen Klasse.

Objekt-ID (OID)

Alle Klassen und Attribute müssen für alle Ihre Objekte eine eindeutige OID aufweisen.Softwareanbieter müssen eine eigene OID abrufen, damit die Eindeutigkeit gewährleistet werdenkann. Die Eindeutigkeit verhindert Konflikte, wenn dasselbe Attribut von mehreren Anwendungenfür unterschiedliche Zwecke genutzt wird. Damit die Eindeutigkeit gewährleistet wird, können Sieeine Stamm-OID von einer Namensregistrierungsstelle gemäß ISO anfordern. Sie haben auch dieMöglichkeit, eine Basis-OID von Microsoft zu erhalten. Weitere Informationen über OIDs und wie mansie erhält, siehe Objektkennungen auf der MSDN-Website.

Version 1.019

https://msdn.microsoft.com/en-us/library/ms675578(v=vs.85).aspx





AWS Directory Service AdministratorhandbuchPatchen und Wartung

Mit einem Schema verknüpfte Attribute

Einige Attribute sind über Forward- und Back-Links zwischen zwei Klassen verknüpft. Das besteBeispiel hierfür sind Gruppen. Wenn Sie eine Gruppe aufrufen, sehen Sie die zugehörigen Mitglieder.Wenn Sie einen Benutzer aufrufen, sehen Sie, zu welchen Gruppen er gehört. Wenn Sie einer Gruppeeinen Benutzer hinzufügen, erstellt Active Directory einen Forward-Link zur Gruppe. Zudem fügt ActiveDirectory einen Back-Link von der Gruppe zum Benutzer hinzu. Beim Erstellen eines Attributs, dasverknüpft werden soll, muss eine eindeutige Link-ID generiert werden. Weitere Informationen findenSie auf der MSDN-Website im Bereich zu verknüpften Attributen.

Verwandte Themen

• Empfohlene Erweiterung Ihres AWS Managed Microsoft AD-Schemas (p. 132)• Tutorial: Erweitern Ihres AWS Managed Microsoft AD-Schemas (p. 133)

Patching und Wartung für AWS Managed Microsoft ADAWS Directory Service für Microsoft Active Directory, auch als AWS DS für AWS Managed Microsoft ADbezeichnet, ist eigentlich Microsoft Active Directory Domain Services (AD DS), das als verwalteter Servicebereitgestellt wird. Das System verwendet Microsoft Windows Server 2012 R2 für die Domänencontroller(DCs), und AWS fügt Software zum DCs für Service-Management-Zwecke. AWS Aktualisierungen(Patches) DCs um neue Funktionen hinzuzufügen und die Microsoft Windows Server-Software auf demaktuellen Stand zu halten. Während des Patchings kann Ihr Verzeichnis weiterhin genutzt werden.

Sicherstellen der VerfügbarkeitStandardmäßig besteht jedes Verzeichnis aus zwei DCs, die jeweils in einer anderen Availability Zoneinstalliert sind. Sie können nach Wahl DCs um die Verfügbarkeit weiter zu erhöhen. AWS Patches und IhreDCs sequenziell, während welcher Zeit der DC AWS ist aktiv patching ist nicht verfügbar. Falls einer odermehrere Ihrer DCs vorübergehend außer Betrieb ist, AWS verschiebt das Patching, bis Ihr Verzeichnismindestens zwei betriebsbereite DCs. (z. B.. Dadurch können Sie die anderen DCs während des Patch-Prozesses, der normalerweise 30 bis 45 Minuten pro DC dauert, obwohl diese Zeit variieren kann. Umsicherzustellen, dass Ihre Anwendungen einen funktionierenden DC erreichen können, falls ein odermehrere DCs ist aus irgendeinem Grund nicht verfügbar, einschließlich Patching. Ihre Anwendungensollten den Windows DC Locator-Service verwenden und keine statischen DC-Adressen verwenden.

Den Patch-Zeitplan verstehenSo halten Sie die Microsoft Windows Server-Software auf Ihrem DCs, , und Sie haben die Möglichkeit AWSverwendet Microsoft-Updates. Da Microsoft monatliche Rollup-Patches für Windows Server zur Verfügungstellt, AWS bemüht sich nach besten Kräften, das Rollup auf alle Kunden zu testen und anzuwenden DCsinnerhalb von drei Kalenderwochen. Darüber hinaus AWS überprüft Updates, die Microsoft außerhalbdes monatlichen Rollups veröffentlicht, basierend auf der Anwendbarkeit auf DCs und Dringlichkeit. FürSicherheitspatches, die Microsoft als Kritisch oder Wichtigund die relevant sind für DCs, , und Sie habendie Möglichkeit AWS unternimmt alle Anstrengungen, den Patch innerhalb von fünf Tagen zu testen undbereitzustellen.

Gruppenverwaltete Service-KontenMit Windows Server 2012 hat Microsoft eine neue Methode eingeführt, wie Administratoren Service-Konten verwalten können, sogenannte gruppenverwaltete Service-Konten (group Managed ServiceAccounts, gMSAs). Verwenden von gMSAs, Serviceadministratoren nicht mehr benötigt, um diePasswortsynchronisierung zwischen Serviceinstanzen manuell zu verwalten. Stattdessen kann einAdministrator einfach ein gMSA in Active Directory erstellen und dann mehrere Service-Instanceskonfigurieren, um dieses einzelne gMSA zu verwenden.

Version 1.020


AWS Directory Service AdministratorhandbuchEingeschränkte Kerberos-Delegierung

Um Benutzern in AWS Managed Microsoft AD die nötigen Berechtigungen zu erteilen, damit diese eingMSA erstellen können, müssen Sie ihre Konten der Sicherheitsgruppe AWS Delegated Managed ServiceAccount Administrators als Mitglied hinzufügen. Standardmäßig ist das Admin-Konto ein Mitglied dieserGruppe. Weitere Informationen über gMSAs, siehe Übersicht über gruppenverwaltete Servicekonten aufder Microsoft-Seite TechNet Webseite.

Verbunden AWS Sicherheits-Blogbeitrag

• Vorgehensweise AWS Managed Microsoft AD vereinfacht die Bereitstellung und verbessert dieSicherheit von Active Directory-integrierten.NET-Anwendungen

Eingeschränkte Kerberos-DelegierungDie eingeschränkte Kerberos-Delegierung ist eine Funktion in Windows Server. Mit dieser Funktionerhalten Service-Administratoren die Möglichkeit, Vertrauensgrenzen für Anwendungen anzugeben und zuerzwingen, indem der Umfang begrenzt wird, in dem die Anwendungsservices für einen Benutzer agierenkönnen. Dies kann nützlich sein, wenn Sie konfigurieren müssen, welche Front-End-Service-Konten etwasan ihre Back-End-Services delegieren können. Die eingeschränkte Kerberos-Delegierung verhindert auch,dass sich Ihr gMSA mit beliebigen Services für Ihre Active Directory-Benutzer verbindet, womit potenziellerMissbrauch durch einen nicht autorisierten Entwickler vermieden wird.

Angenommen, Benutzer jsmith meldet sich bei einer HR-Anwendung an. Sie möchten, dass der SQLServer die Datenbankberechtigungen von jsmith anwendet. Standardmäßig öffnet SQL Server jedochdie Datenbankverbindung unter Verwendung der Berechtigungen des Service-Kontos, sodass also dieBerechtigungen von hr-app-service angewendet werden, statt der konfigurierten Berechtigungen vonjsmith. Sie müssen der Anwendung für die HR-Gehaltsabrechnung den Zugriff auf die SQL Server-Datenbank unter Verwendung der Berechtigungen von jsmith ermöglichen. Hierzu aktivieren Sie dieeingeschränkte Kerberos-Delegierung für das hr-app-service-Service-Konto in Ihrem AWS ManagedMicrosoft AD-Verzeichnis in AWS. Wenn sich jsmith anmeldet, stellt Active Directory ein Kerberos-Ticket aus, das Windows automatisch verwendet, wenn jsmith versucht, auf andere Dienste im Netzwerkzuzugreifen. Die Kerberos-Delegierung ermöglicht dem hr-app-Service-Konto, das Kerberos-Ticketvon jsmith wiederzuverwenden, wenn sie auf die Datenbank zugreift, und somit für jsmith spezifischeBerechtigungen anzuwenden, wenn die Datenbankverbindung geöffnet wird.

Um Berechtigungen zu erteilen, mit denen Benutzer in AWS Managed Microsoft AD die eingeschränkteKerberos-Delegierung konfigurieren können, müssen Sie ihre Konten der Sicherheitsgruppe AWSDelegated Kerberos Delegation Administrators als Mitglieder hinzufügen. Standardmäßig ist das Admin-Konto ein Mitglied dieser Gruppe. Weitere Informationen zur eingeschränkten Kerberos-Delegierungfinden Sie unter Kerberos – Überblick über eingeschränkte Delegierung auf der Microsoft-Seite TechNetWebseite.

Die ressourcenbasierte eingeschränkte Delegierung wurde mit Windows Server 2012 eingeführt. Sie bietetdem Back-End-Service-Administrator die Möglichkeit, die eingeschränkte Delegierung für den Service zukonfigurieren.

Anwendungsfälle für AWS Managed Microsoft ADMit AWS Managed Microsoft AD können Sie ein einzelnes Verzeichnis für mehrere Anwendungsfällenutzen. Sie können beispielsweise ein Verzeichnis freigeben, um den Zugriff für.NET-Anwendungen zuauthentifizieren und zu autorisieren, Amazon RDS für SQL Server mit dem Windows-Authentifizierungaktiviert und Amazonas-Glocke für Messaging und Videokonferenzen.

Das folgende Diagramm zeigt einige der Anwendungsfälle für Ihr AWS Managed Microsoft AD-Verzeichnis.Dazu gehört die Möglichkeit, Ihren Benutzern Zugriff auf externe Cloud-Anwendungen zu gewähren undIhren lokalen AD-Benutzern die Verwaltung von und den Zugriff auf Ressourcen in der AWS-Cloud zugestatten.

Version 1.021

https://technet.microsoft.com/en-us/library/hh831782(v=ws.11).aspx

https://aws.amazon.com/blogs/security/how-aws-managed-microsoft-ad-helps-to-simplify-the-deployment-and-improve-the-security-of-active-directory-integrated-net-applications/


https://technet.microsoft.com/en-us/library/jj553400(v=ws.11).aspx

https://docs.microsoft.com/en-us/windows-server/security/kerberos/kerberos-constrained-delegation-overview#resource-based-constrained-delegation-across-domains


https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_SQLServerWinAuth.html

https://chime.aws/

AWS Directory Service AdministratorhandbuchAnwendungsfälle

Verwenden Sie AWS Managed Microsoft AD für einen der folgenden geschäftlichen Anwendungsfälle.

Themen• Anwendungsfall 1: Anmelden bei AWS Anwendungen und Services mit AD-

Anmeldeinformationen (p. 23)• Anwendungsfall 2: Verwalten von Amazon EC2-Instances (p. 26)• Anwendungsfall 3: Bereitstellung von Verzeichnisdiensten für Ihre AD-bewussten Workloads (p. 26)• Anwendungsfall 4: SSO zu Office 365 und anderen Cloud-Anwendungen (p. 27)• Anwendungsfall 5: Erweitern Sie Ihre lokale AD auf die AWS Wolke (Cloud) (p. 28)

Version 1.022

AWS Directory Service AdministratorhandbuchAnwendungsfall 1: Anmelden bei AWS Anwendungen

und Services mit AD-Anmeldeinformationen

• Anwendungsfall 6: Teilen Sie Ihr Verzeichnis, um sich nahtlos zu verbinden Amazon EC2 Instances zueiner Domäne über AWS Konten (p. 28)

Anwendungsfall 1: Anmelden bei AWS Anwendungenund Services mit AD-AnmeldeinformationenSie können mehrere AWS Anwendungen und Services wie AWS-Client-VPN, , und Sie haben dieMöglichkeit AWS Management Console, , und Sie haben die Möglichkeit AWS – Einmaliges Anmelden, ,und Sie haben die Möglichkeit Amazon Chime, , und Sie haben die Möglichkeit Amazon Connect, , und Siehaben die Möglichkeit Amazon FSx, , und Sie haben die Möglichkeit Amazon QuickSight, , und Sie habendie Möglichkeit Amazon RDS für SQL Server, , und Sie haben die Möglichkeit Amazon WorkDocs, , undSie haben die Möglichkeit Amazon WorkMail, und Amazon WorkSpaces um Ihre AWS Managed MicrosoftAD Verzeichnis. Wenn Sie eine AWS-Anwendung oder einen -Service in Ihrem Verzeichnis aktivieren,können Ihre Benutzer mit ihren AD-Anmeldeinformationen auf die Anwendung oder den Service zugreifen.

Beispielsweise können Sie Benutzern erlauben, sich bei der AWS Management Console mit ihren AD-Anmeldeinformationen anzumelden. Aktivieren Sie hierzu die AWS Management Console als Anwendungin Ihrem Verzeichnis und weisen Sie dann Ihre AD-Benutzer und -Gruppen IAM-Rollen zu. Wenn sich IhreBenutzer in der AWS Management Console anmelden, nehmen sie eine IAM-Rolle für die Verwaltungvon AWS-Ressourcen an. Auf diese Weise können Sie Ihren Benutzern ganz einfach Zugriff auf die AWSManagement Console gewähren, ohne eine separate SAML-Infrastruktur konfigurieren und verwalten zumüssen.

Zur weiteren Verbesserung der Endbenutzererfahrung können Sie Einzelanmeldung (SSO)-Fähigkeitenfür Amazon WorkDocs, die Ihren Benutzern die Möglichkeit bietet, auf Amazon WorkDocs von einemComputer, der mit dem Verzeichnis verbunden ist, ohne dass die Anmeldeinformationen separateingegeben werden müssen.

Sie können Zugriff auf Benutzerkonten in Ihrem Verzeichnis oder in Ihrer lokalen AD gewähren, damitsie sich bei der anmelden können AWS Management Console oder über die AWS-CLI, indem sieihre vorhandenen Anmeldeinformationen und Berechtigungen zum Verwalten von AWS-Ressourcenverwenden, indem sie den vorhandenen Benutzerkonten direkt IAM-Rollen zuweisen.

Amazon FSx für Windows File Server-Integration in AWSManaged Microsoft ADIntegrieren Amazon FSx für Windows File Server mit dem AWS Managed Microsoft AD bietet einvollständig verwaltetes natives, auf Microsoft Windows basierendes Server Message Block (SMB)-Protokoll-Dateisystem, mit dem Sie Ihre Windows-basierten Anwendungen und Clients (die gemeinsamgenutzten Dateispeicher verwenden) einfach in AWS verschieben können. Obwohl Amazon FSx fürWindows File Server kann in ein selbstverwaltetes Microsoft Active Directory integriert werden. DiesesSzenario wird hier nicht erörtert.

Häufig Amazon FSx Anwendungsfälle und Ressourcen

Dieser Abschnitt enthält einen Verweis auf Ressourcen zu allgemeinen Amazon FSx für Windows FileServer Integrationen mit AWS Managed Microsoft AD Anwendungsfälle. Jeder der Anwendungsfälle indiesem Abschnitt beginnt mit einem grundlegenden AWS Managed Microsoft AD und Amazon FSx fürWindows File Server -Konfiguration. Weitere Informationen zum Erstellen dieser Konfigurationen finden Sieunter:

• Erste Schritte mit AWS Managed Microsoft AD (p. 9)• Erste Schritte mit Amazon FSx

Version 1.023

https://aws.amazon.com/vpn/

https://aws.amazon.com/console/

https://aws.amazon.com/single-sign-on/


https://aws.amazon.com/connect

https://aws.amazon.com/fsx/windows/



https://aws.amazon.com/workdocs





https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_single_sign_on.html

docs.aws.amazon.comfsx/latest/WindowsGuide/getting-started.html



Amazon FSx für Windows File Server als persistente Speicherung auf Windows-Containern

Amazon Elastic Container Service (ECS (ECS) (ECS (ECS (EC unterstützt Windows-Container aufContainer-Instances, die mit dem gestartet werden Amazon ECS-optimiertes Windows-AMI. Die Windows-Container-Instances verwenden eine eigene Version des Amazon ECS-Container-Agenten. Auf demAmazon ECS-optimiertes Windows-AMI, das Amazon ECS -Container-Agent wird als Service auf dem Hostausgeführt.

Amazon ECS unterstützt die Active Directory-Authentifizierung für Windows-Container über ein speziellesServicekonto, das als Managed Service Account (gMSA) bezeichnet wird. Da Windows-Container nicht miteiner Domäne verbunden werden können, müssen Sie einen Windows-Container für die Ausführung mitdem gMSA konfigurieren.

Zugehörige Elemente

• Verwenden von Amazon FSx für Windows File Server als persistenter Speicher auf Windows-Containern• So konfigurieren Sie die Verwendung des gruppenverwalteten Servicekontos mit AWS Managed

Microsoft AD

Amazon AppStream 2.0-Unterstützung

Amazon AppStream und die Anzahl der ist ein vollständig verwalteter Anwendungs-Streaming-Service. Esbietet eine Reihe von Lösungen für Benutzer, um Daten über ihre Anwendungen zu speichern und daraufzuzugreifen. Amazon FSx mit dem AppStream 2.0 stellt ein persönliches persistentes Speicherlaufwerk mitAmazon FSx und können so konfiguriert werden, dass sie einen freigegebenen Ordner für den Zugriff aufgemeinsame Dateien bereitstellen.


• Anleitung 4: Verwenden von Amazon FSx mit dem Amazon AppStream und die Anzahl der• Verwenden von Amazon FSx mit dem Amazon AppStream und die Anzahl der• Verwenden von Active Directory mit AppStream 2.0

Unterstützung von Microsoft SQL Server

Amazon FSx für Windows File Server kann als Speicheroption für Microsoft SQL Server 2012 (ab Version11.x 2012) und neuere Systemdatenbanken (einschließlich Master, Model, MSDB und TempDB), und fürDatenbank-Engine-Benutzerdatenbanken.


• SQL Server mit SMB-Fileshare-Speicher installieren• Vereinfachen Sie Ihre Hochverfügbarkeitsbereitstellungen von Microsoft SQL Server mit Amazon FSx für

Windows File Server• So konfigurieren Sie die Verwendung des gruppenverwalteten Servicekontos mit AWS Managed

Microsoft AD

Support für Basisordner und Roaming-Benutzerprofile

Amazon FSx für Windows File Server kann verwendet werden, um Daten aus Active Directory-Benutzer-Home-Ordnern und Eigene Dateien an einem zentralen Speicherort zu speichern. Amazon FSx fürWindows File Server kann auch zum Speichern von Daten aus Roaming-Benutzerprofilen verwendetwerden.


Version 1.024

https://docs.aws.amazon.com/AmazonECS/latest/developerguide/Welcome.html

https://aws.amazon.com/blogs/containers/using-amazon-fsx-for-windows-file-server-as-persistent-storage-on-windows-containers/

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_key_concepts_gmsa.html


https://docs.aws.amazon.com/appstream2/latest/developerguide/what-is-appstream.html

https://docs.aws.amazon.com/fsx/latest/WindowsGuide/walkthrough04-fsx-with-appstream2.html

https://aws.amazon.com/blogs/desktop-and-application-streaming/using-amazon-fsx-with-amazon-appstream-2-0/

https://docs.aws.amazon.com/appstream2/latest/developerguide/active-directory.html

https://docs.microsoft.com/en-us/sql/database-engine/install-windows/install-sql-server-with-smb-fileshare-as-a-storage-option?view=sql-server-ver15

https://aws.amazon.com/blogs/storage/simplify-your-microsoft-sql-server-high-availability-deployments-using-amazon-fsx-for-windows-file-server/

https://aws.amazon.com/blogs/storage/simplify-your-microsoft-sql-server-high-availability-deployments-using-amazon-fsx-for-windows-file-server/





• Zuweisen eines Basisordners zu einem Benutzer• Windows Home-Verzeichnisse leicht gemacht mit Amazon FSx• Bereitstellen von Roaming-Benutzerprofilen• Verwenden von Amazon FSx für Windows File Server mit dem Amazon WorkSpaces

Unterstützung für vernetzte Dateifreigaben

Netzwerk-Dateifreigaben auf einem Amazon FSx für Windows File Server bietet eine verwaltete undskalierbare File-Sharing-Lösung. Ein Anwendungsfall sind zugeordnete Laufwerke für Clients, die manuelloder über die Gruppenrichtlinie erstellt werden können.


• Anleitung 6: Skalieren der Leistung mit Shards• Laufwerkszuordnung• Verwenden von Amazon FSx für Windows File Server mit dem Amazon WorkSpaces

Support für die Installation von Gruppenrichtlinien-Software

Da die Größe und Leistung des SYSVOL-Ordners begrenzt ist, sollten Sie als bewährte Methodevermeiden, Daten wie Software-Installationsdateien in diesem Ordner zu speichern. Als mögliche Lösungdafür Amazon FSx für Windows File Server kann so konfiguriert werden, dass alle Softwaredateien, die mitder Gruppenrichtlinie installiert werden, gespeichert werden.


• Verwendung der Gruppenrichtlinie zur Remote-Installation von Software in Windows Server 2008 undWindows Server 2003

Unterstützung von Windows Server-Sicherungszielen

Amazon FSx für Windows File Server kann als Ziellaufwerk in Windows Server Backup mit der UNC-Dateifreigabe konfiguriert werden. In diesem Fall würden Sie den UNC-Pfad zu Ihrem Amazon FSx fürWindows File Server anstatt an das angefügte EBS-Volume.


• Durchführen einer Systemzustandswiederherstellung Ihres Servers

Amazon FSx unterstützt auch AWS Managed Microsoft AD Verzeichnisfreigabe. Weitere Informationenfinden Sie unter:

• Freigeben Ihres Verzeichnisses (p. 66)• Verwenden von Amazon FSx mit dem AWS Managed Microsoft AD in einer anderen VPC oder einem

anderen Konto

Amazon RDS-Integration in AWS Managed Microsoft ADAmazon RDS unterstützt die externe Authentifizierung von Datenbankbenutzern mit Kerberos mit MicrosoftActive Directory. Kerberos ist ein Netzwerk-Authentifizierungsprotokoll, das Tickets und symmetrischeSchlüssel-Kryptographie verwendet, um die Notwendigkeit der Übertragung von Passwörtern über dasNetzwerk zu eliminieren. Amazon RDS -Unterstützung für Kerberos und Active Directory bietet die Vorteilevon Single Sign-On und zentralisierter Authentifizierung von Datenbankbenutzern, sodass Sie IhreBenutzeranmeldeinformationen in Active Directory behalten können.

Version 1.025

https://support.microsoft.com/en-us/help/816313/how-to-assign-a-home-folder-to-a-user

https://aws.amazon.com/blogs/storage/windows-home-directories-and-file-shares-made-easy-with-amazon-fsx/

https://docs.microsoft.com/en-us/windows-server/storage/folder-redirection/deploy-roaming-user-profiles

https://aws.amazon.com/blogs/desktop-and-application-streaming/using-amazon-fsx-for-windows-file-server-with-amazon-workspaces/

https://docs.aws.amazon.com/fsx/latest/WindowsGuide/scale-out-performance.html

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn581924(v%3Dws.11)

https://aws.amazon.com/blogs/desktop-and-application-streaming/using-amazon-fsx-for-windows-file-server-with-amazon-workspaces/

https://support.microsoft.com/en-us/help/816102/how-to-use-group-policy-to-remotely-install-software-in-windows-server


https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ee849849(v=ws.10)#to-perform-a-system-state-recovery-of-your-server

https://docs.aws.amazon.com/fsx/latest/WindowsGuide/shared-mad.html

https://docs.aws.amazon.com/fsx/latest/WindowsGuide/shared-mad.html

AWS Directory Service AdministratorhandbuchAnwendungsfall 2: Verwalten von Amazon EC2-Instances

Um mit diesem Anwendungsfall zu beginnen, müssen Sie zunächst ein grundlegendes AWS ManagedMicrosoft AD und Amazon RDS -Konfiguration.

• Erste Schritte mit AWS Managed Microsoft AD (p. 9)• Erste Schritte mit Amazon RDS

Alle unten genannten Anwendungsfälle beginnen mit einer Basis AWS Managed Microsoft AD und AmazonRDS und erklären, wie man Amazon RDS mit dem AWS Managed Microsoft AD. (z. B..

• Verwenden der Windows-Authentifizierung mit einer Amazon RDS for SQL Server-DB-Instance• Verwenden der Kerberos-Authentifizierung für MySQL• Verwenden der Kerberos-Authentifizierung mit Amazon RDS für Oracle• Verwenden der Kerberos-Authentifizierung mit Amazon RDS für PostgreSQL

Amazon RDS unterstützt auch AWS Managed Microsoft AD Verzeichnisfreigabe. Weitere Informationenfinden Sie unter:

• Freigeben Ihres Verzeichnisses (p. 66)• Beitritt zu Ihrem Amazon RDS DB-Instances über Konten hinweg zu einer einzigen freigegebenen

Domäne

.NET-Anwendung mit Amazon RDS für SQL Server mit einer Gruppe vonManaged Service-Konten

Sie können Amazon RDS für SQL Server mit einer grundlegenden.NET-Anwendung und einer Gruppevon Managed Service-Konten (gMSAs). Weitere Informationen finden Sie unter Vorgehensweise AWSManaged Microsoft AD Vereinfacht die Bereitstellung und verbessert die Sicherheit von Active Directory-integrierten.NET-Anwendungen

Anwendungsfall 2: Verwalten von Amazon EC2-InstancesSie können mit den vertrauten AD-Verwaltungstools AD-Gruppenrichtlinienobjekte (Group Policy Objects,GPOs) anwenden, um Amazon EC2 für Windows- oder Linux-Instances zentral zu verwalten, indem SieIhre Instances zu Ihrer AWS Managed Microsoft AD-Domäne hinzufügen.

Darüber hinaus können sich Ihre Benutzer mit ihren AD-Anmeldeinformationen bei Ihren Instancesanmelden. Dadurch müssen keine individuellen Instance-Anmeldeinformationen verwendet oder privateSchlüsseldateien (PEM) verteilt werden. Dadurch können Sie Benutzern mit AD-Benutzerverwaltungs-Tools, die Sie bereits verwenden, ganz einfach und unmittelbar Zugriff gewähren oder entziehen.

Anwendungsfall 3: Bereitstellung vonVerzeichnisdiensten für Ihre AD-bewussten WorkloadsAWS Managed Microsoft AD ist eine tatsächliche Microsoft AD, mit der Sie herkömmliche AD-fähigeWorkloads wie Lizenzierungsmanager für Remotedesktops und von Microsoft SharePoint und MicrosoftSQL Server Always On in der AWS Wolke. AWS Managed Microsoft AD hilft Ihnen auch dabei, dieSicherheit von AD-integrierten.NET-Anwendungen zu vereinfachen und zu verbessern, indem Sie Gruppevon Managed Service-Konten (gMSAs) und eingeschränkte Kerberos-Delegierung (KCD).

Version 1.026

https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_GettingStarted.html


https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/mysql-kerberos.html

https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/oracle-kerberos.html

https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/postgresql-kerberos.html

https://aws.amazon.com/blogs/database/joining-your-amazon-rds-instances-across-accounts-to-a-single-shared-domain/





https://docs.aws.amazon.com/en_us/directoryservice/latest/admin-guide/ms_ad_join_instance.html


https://forums.aws.amazon.com/ann.jspa?annID=4636

https://forums.aws.amazon.com/ann.jspa?annID=4636

https://aws.amazon.com/about-aws/whats-new/2017/05/simplify-migration-and-improve-security-of-active-directory-integrated-net-applications-by-using-aws-microsoft-ad/

https://aws.amazon.com/about-aws/whats-new/2017/05/simplify-migration-and-improve-security-of-active-directory-integrated-net-applications-by-using-aws-microsoft-ad/

AWS Directory Service AdministratorhandbuchAnwendungsfall 4: SSO zu Office 365

und anderen Cloud-Anwendungen

Anwendungsfall 4: SSO zu Office 365 und anderenCloud-AnwendungenSie können mithilfe von AWS Managed Microsoft AD SSO für Cloud-Anwendungen bereitstellen.Sie können Azure AD Connect verwenden, um Ihre Benutzer mit Azure AD zu synchronisieren, unddann Active Directory Federation Services (AD FS) verwenden, damit Ihre Benutzer auf zugreifenkönnen. Ihr Unternehmen und andere SAML 2.0-Cloud-Anwendungen verwenden, indem sie ihre AD-Anmeldeinformationen verwenden.

Integrieren AWS Managed Microsoft AD mit AWS SSO fügt SAML-Funktionen zu Ihrem AWS ManagedMicrosoft AD und/oder Ihre vertrauenswürdigen Domänen vor Ort. Nach der Integration können IhreBenutzer dann AWS SSO mit Services, die SAML unterstützen, einschließlich der AWS ManagementConsole und Cloud-Anwendungen von Drittanbietern wie Office 365, Concur und Salesforce, ohne eineSAML-Infrastruktur konfigurieren zu müssen. Für eine Demonstration des Prozesses, wie Sie Ihren lokalenBenutzern die Nutzung AWS SSO, siehe die folgenden YouTube Video zu sehen.

Version 1.027

https://aws.amazon.com/blogs/security/how-to-enable-your-users-to-access-office-365-with-aws-microsoft-active-directory-credentials/

https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html

AWS Directory Service AdministratorhandbuchAnwendungsfall 5: Erweitern Sie Ihrelokale AD auf die AWS Wolke (Cloud)

Anwendungsfall 5: Erweitern Sie Ihre lokale AD auf dieAWS Wolke (Cloud)Wenn Sie bereits über eine AD-Infrastruktur verfügen und diese für die Migration AD-fähiger Workloadsauf die AWS Cloud verwenden möchten, kann AWS Managed Microsoft AD Sie dabei unterstützen. Siekönnen AD-Vertrauen um eine Verbindung herzustellen AWS Managed Microsoft AD zu Ihrer bestehendenAD. Das bedeutet, dass Ihre Benutzer mit ihren lokalen AD-Anmeldeinformationen auf AD-fähige und aufAWS-Anwendungen zugreifen können, ohne dass Sie Benutzer, Gruppen oder Passwörter synchronisierenmüssen.

Ihre Benutzer können sich beispielsweise bei der AWS Management Console und bei AmazonWorkSpaces mit ihren vorhandenen AD-Benutzernamen und -Passwörtern anmelden. Wenn Sie AD-fähigeAnwendungen wie SharePoint mit dem AWS Managed Microsoft AD, können Ihre angemeldeten Windows-Benutzer auf diese Anwendungen zugreifen, ohne die Anmeldeinformationen erneut eingeben zu müssen.

Sie können Ihre lokale Active Directory (AD)-Domäne auch zu AWS migrieren, um die BetriebsbelastungIhrer AD-Infrastruktur mithilfe der Toolkit für die Active Directory-Migration (ADMT) zusammen mit demPassword Export Service (PES), um die Migration durchzuführen.

Anwendungsfall 6: Teilen Sie Ihr Verzeichnis, um sichnahtlos zu verbinden Amazon EC2 Instances zu einerDomäne über AWS KontenDurch Freigabe Ihres Verzeichnisses über mehrere AWS-Konten könne Sie AWS-Services wie AmazonEC2 leicht verwalten, ohne für jedes Konto und jede VPC ein Verzeichnis betreiben zu müssen. Sie könnenIhr Verzeichnis über jedes beliebige AWS-Konto und jede beliebige Amazon VPC innerhalb einer AWS-Region nutzen. Diese Funktion macht es einfacher und kostengünstiger, verzeichnisbasierte Workloads miteinem einzigen kontenübergreifenden Verzeichnis zu verwalten und VPCs. (z. B.. Beispielsweise könnenSie jetzt Ihre Windows-Arbeitslasten bereitgestellt in EC2-Instances über mehrere Konten und VPCs durchdie Verwendung eines einzigen AWS Managed Microsoft AD Verzeichnis.

Wenn Sie Ihr AWS Managed Microsoft AD-Verzeichnis für ein anderes AWS-Konto freigeben, können Siemithilfe der Amazon EC2-Konsole oder AWS Systems Manager Ihre Instances über jede beliebige AmazonVPC innerhalb des Kontos und der AWS-Region nahtlos einbinden. Sie können schnell verzeichnisfähigeWorkloads auf EC2-Instances bereitstellen, ohne manuell eine Verbindung Ihrer Instances mit einerDomäne herstellen oder Verzeichnisse in jedem Konto und der VPC bereitstellen zu müssen. WeitereInformationen finden Sie im Freigeben Ihres Verzeichnisses (p. 66).

Verwalten von AWS Managed Microsoft ADIn diesem Abschnitt werden alle Verfahren für die Ausführung und Verwaltung einer AWS ManagedMicrosoft AD-Umgebung aufgeführt.

Themen• Sichern des AWS Managed Microsoft AD-Verzeichnisses (p. 29)• Überwachen Ihrer AWS Managed Microsoft AD (p. 53)• Multiregionale Replikation (p. 60)• Freigeben Ihres Verzeichnisses (p. 66)• Verbinden einer EC2-Instance mit Ihrem AWS Managed Microsoft AD-Verzeichnis (p. 76)

Version 1.028

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_test_lab_trust.html

https://aws.amazon.com/blogs/security/how-to-migrate-your-on-premises-domain-to-aws-managed-microsoft-ad-using-admt/



https://aws.amazon.com/vpc/

https://aws.amazon.com/windows/

https://aws.amazon.com/systems-manager/

AWS Directory Service AdministratorhandbuchSichern des -Verzeichnisses

• Verwalten von Benutzern und Gruppen in AWS Managed Microsoft AD (p. 107)• Herstellen einer Verbindung zur vorhandenen AD-Infrastruktur (p. 111)• Erweitern des Schemas (p. 132)• Verwalten Ihres AWS Managed Microsoft AD-Verzeichnisses (p. 138)• Gewähren von Zugriff auf AWS-Ressourcen für Benutzer und Gruppen (p. 142)• Aktivieren des Zugriffs auf AWS-Anwendungen und -Services (p. 147)• Aktivieren des Zugriffs auf die AWS Management Console mit AD-Anmeldeinformationen (p. 156)• Bereitstellen zusätzlicher Domänencontroller (p. 160)• Migrieren von Benutzern von Active Directory zu AWS Managed Microsoft AD (p. 162)

Sichern des AWS Managed Microsoft AD-VerzeichnissesIn diesem Abschnitt wird beschrieben, wie Sie Ihre AWS Managed Microsoft AD-Umgebung sichern.

Themen• Verwaltung von Passwortrichtlinien für AWS Managed Microsoft AD (p. 29)• Aktivieren der Multifaktor-Authentifizierung für AWS Managed Microsoft AD (p. 32)• Aktivieren von Secure LDAP (LDAPS) (p. 35)• Verwalten der Compliance für AWS Managed Microsoft AD (p. 43)• Verbessern Sie Ihre AWS Managed Microsoft AD Netzwerksicherheitskonfiguration (p. 45)

Verwaltung von Passwortrichtlinien für AWS Managed MicrosoftADMit AWS Managed Microsoft AD können Sie unterschiedliche Passwort- und Kontosperrungsrichtlinien(auch als differenzierte Passwortrichtlinien bezeichnet) für Benutzergruppen definieren und zuweisen, dieSie in Ihrer AWS Managed Microsoft AD-Domäne verwalten. Wenn Sie ein AWS Microsoft AD-Verzeichniserstellen, wird eine Standard-Domänenrichtlinie generiert und auf das Verzeichnis angewendet. DieseRichtlinie enthält folgende Einstellungen:

Richtlinie Einstellung

Passwortverlauf erzwingen 24 gespeicherte Passwörter

Maximales Passwortalter 42 Tage *

Minimales Passwortalter 1 Tag

Mindestlänge für Passwörter 7 Zeichen

Das Passwort muss Komplexitätsanforderungenentsprechen

Aktiviert

Passwörter unter Verwendung umkehrbarerVerschlüsselung speichern

Disabled

* Hinweis: Das maximale Passwortalter von 42 Tagen umfasst das Admin-Passwort.

Version 1.029


Sie können z. B. eine weniger strenge Richtlinieneinstellung für Mitarbeiter festlegen, die nur Zugriff aufInformationen mit niedriger Empfindlichkeit haben. Für leitende Angestellte, die regelmäßig auf vertraulicheInformationen zugreifen, können Sie strengere Einstellungen festlegen.

AWS bietet mehrere differenzierte Passwortrichtlinien in AWS Managed Microsoft AD, die Siekonfigurieren und Ihren Gruppen zuweisen können. Zur Konfiguration der Richtlinien können Sie Standard-Richtlinientools von Microsoft verwenden, wie beispielsweise Active Directory Administrative Center(ADAC). Weitere Informationen zu den ersten Schritten mit den Richtlinientools von Microsoft finden Sieunter Installieren der Active Directory-Verwaltungstools (p. 108).

Themen• Unterstützte Richtlinieneinstellungen (p. 30)• Delegation, wer Ihre Passwortrichtlinien verwalten kann (p. 31)• Zuweisung von Passwortrichtlinien an Ihre Benutzer (p. 32)

Zugehöriger Blog-Artikel zur AWS-Sicherheit

• So konfigurieren Sie noch strengere Passwortrichtlinien, um Ihre Sicherheitsstandards mit zu erfüllenAWS Directory Service für AWS Managed Microsoft AD

Unterstützte RichtlinieneinstellungenAWS Managed Microsoft AD besitzt fünf detaillierte Richtlinien mit einem nicht veränderbarenPrioritätswert. Die Richtlinien umfassen verschiedene Eigenschaften, die Sie konfigurieren können, umdie Stärke von Passwörtern und Kontosperrmaßnahmen bei Anmeldefehlern zu verstärken. Sie könnendie Richtlinien auf null oder mehr Active Directory-Gruppen zuweisen. Wenn ein Endbenutzer Mitgliedmehrerer Gruppen ist und mehr als eine Kennwortrichtlinie erhält, erzwingt Active Directory die Richtliniemit dem niedrigsten Prioritätswert.

AWS Vordefinierte Passwortrichtlinien

In der folgenden Tabelle werden die fünf Richtlinien aufgelistet, die in Ihrem AWS Managed Microsoft AD-Verzeichnis enthalten sind, sowie der diesen zugewiesene Prioritätswert. Weitere Informationen finden Sieim Precedence (p. 31).

Richtlinienname Precedence

CustomerPSO-01 (Durchführungsgeschwindigkeit) 10

CustomerPSO-2 (Durchschnittsgeschwindigkeit) 20

CustomerPSO-03 (Durchschnittsgeschwindigkeit) 30

CustomerPSO-04 (Fragebogen für die 40

CustomerPSO-05 (Durchwahl) 50

Eigenschaften der Passwortrichtlinie

Sie können die folgenden Eigenschaften in Ihren Passwortrichtlinien bearbeiten, um konform zu denCompliance-Standards für Ihre geschäftlichen Anforderungen zu arbeiten.

• Richtlinienname• Passwortverlauf erzwingen• Mindestlänge für Passwörter

Version 1.030

https://technet.microsoft.com/en-us/library/dd560651.aspx




https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/enforce-password-history

https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-length


• Minimales Passwortalter• Maximales Passwortalter• Passwörter unter Verwendung umkehrbarer Verschlüsselung speichern• Das Passwort muss Komplexitätsanforderungen entsprechen

Sie können die Prioritätswerte für diese Richtlinien nicht ändern. Weitere Informationen dazu, wie sichdiese Einstellungen auf die Passwortdurchsetzung auswirken, finden Sie unter AD-Datensicherheit:Richtlinien für fein abgestimmte Passwörter auf dem von Microsoft TechNet Webseite. AllgemeineInformationen zu diesen Richtlinien finden Sie unter Passwortrichtlinie auf dem von Microsoft TechNetWebseite.

Kontosperrungsrichtlinien

Sie können auch die folgenden Eigenschaften Ihrer Passwortrichtlinien ändern, um anzugeben, ob und wieActive Directory ein Konto sperren soll, wenn es fehlgeschlagene Anmeldeversuche gab:

• Anzahl der zulässigen fehlgeschlagenen Anmeldeversuche• Dauer der Kontosperrung• Zurücksetzen der fehlgeschlagene Anmeldeversuche nach einer bestimmten Zeitdauer

Allgemeine Informationen zu diesen Richtlinien finden Sie unter Richtlinie zur Kontosperrung auf dem vonMicrosoft TechNet Webseite.

Precedence

Richtlinien mit einem niedrigeren Prioritätswert haben höhere Priorität. Sie weisen PasswortrichtlinienActive Directory-Sicherheitsgruppen zu. Sie sollten einer Sicherheitsgruppe nur eine einzelne Richtliniezuordnen, während ein einzelner Benutzer mehrere Passwortrichtlinien erhalten kann. Angenommen,jsmith ist ein Mitglied der HR-Gruppe und auch ein Mitglied der MANAGERS-Gruppe. Wenn SieCustomerPSO-05 (Durchwahl) (der 50 Vorrang hat) der HR-Gruppe und CustomerPSO-04 (Fragebogen fürdie (der gegenüber den MANAGERN Vorrang hat) CustomerPSO-04 (Fragebogen für die hat die höherePriorität und Active Directory wendet diese Richtlinie auf jsmith.

Wenn Sie einem Benutzer oder einer Gruppe mehrere Richtlinien zuweisen, bestimmt Active Directory dieresultierenden Richtlinie wie folgt:

1. Es gilt eine Richtlinie, die Sie direkt dem Benutzerobjekt zuweisen.2. Wenn dem Benutzerobjekt nicht direkt eine Richtlinie zugewiesen wird, gilt die Richtlinie mit dem

niedrigsten Wert aller Prioritäten, die der Benutzer aufgrund einer Gruppenmitgliedschaft erhalten hat.

Weitere Informationen finden Sie unter AD-Datensicherheit: Richtlinien für fein abgestimmte Passwörter aufdem von Microsoft TechNet Webseite.

Delegation, wer Ihre Passwortrichtlinien verwalten kann

Sie können Berechtigungen zum Verwalten von Passwortrichtlinien an bestimmte Benutzerkontendelegieren, die Sie in AWS Managed Microsoft AD erstellt haben, indem Sie die Konten derSicherheitsgruppe AWS Delegated Fine Grained Password Policy Administrators hinzufügen. Wenn einKonto Mitglied dieser Gruppe wird, hat das Konto die Berechtigungen, die zuvor (p. 30) aufgelistetenPasswortrichtlinien zu bearbeiten und zu konfigurieren.

So delegieren Sie, wer Passwortrichtlinien verwalten kann

1. Starten Sie Active Directory Administrative Center (ADAC) aus einer beliebigen verwalteten EC2-Instance, die Sie Ihrer AWS Managed Microsoft AD-Domäne hinzugefügt haben.

Version 1.031

https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-age

https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-password-age

https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption

https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements

https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx







2. Wechseln Sie zur Tree View (Baumansicht) und gehen Sie zur OU AWS Delegated Groups. WeitereInformationen über diese OU finden Sie unter Was wird erstellt (p. 12).

3. Suchen Sie die Benutzergruppe AWS Delegated Fine Grained Password Policy Administrators FügenSie dieser Gruppe Benutzer oder Gruppen aus Ihrer Domäne hinzu.

Zuweisung von Passwortrichtlinien an Ihre Benutzer

Benutzerkonten, die Mitglied der AWS Delegated Fine Grained Password Policy Administrators-Sicherheitsgruppe sind, können das folgende Verfahren verwenden, um Benutzern und SicherheitsgruppenRichtlinien zuzuweisen.

So weisen Sie Ihren Benutzern Passwortrichtlinien zu

1. Starten Sie Active Directory Administrative Center (ADAC) aus einer beliebigen verwalteten EC2-Instance, die Sie Ihrer AWS Managed Microsoft AD-Domäne hinzugefügt haben.

2. Wechseln Sie in die Tree View und öffnen Sie System\Password Settings Container.3. Doppelklicken Sie auf die differenzierte Richtlinie, die Sie bearbeiten möchten. Klicken Sie auf Add,

um die Richtlinieneigenschaften zu bearbeiten und der Richtlinie Benutzer oder Sicherheitsgruppenhinzuzufügen. Weitere Informationen über die detaillierten Standardrichtlinien in AWS ManagedMicrosoft AD finden Sie unter AWS Vordefinierte Passwortrichtlinien (p. 30).

4. Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die Passwortrichtlinie angewendet wurdePowerShell Befehl:

Get-ADUserResultantPasswordPolicy -Identity 'username'

Wenn Sie keine dieser fünf Passwortrichtlinien in Ihrem AWS Managed Microsoft AD-Verzeichniskonfigurieren, verwendet Active Directory die Standard-Domänengruppenrichtlinie. Weitere Informationenüber die Verwendung von Password Settings Container finden Sie in diesem Microsoft Blog Post.

Aktivieren der Multifaktor-Authentifizierung für AWS ManagedMicrosoft ADSie können die Multifaktor-Authentifizierung (MFA) für Ihr AWS Managed Microsoft AD-Verzeichnisaktivieren, um die Sicherheit zu erhöhen, wenn Ihre Benutzer ihre AD-Anmeldeinformationen angeben,um auf Unterstützte Amazon-Unternehmensanwendungen (p. 34) zuzugreifen. Wenn Sie die MFAaktivieren, geben Ihre Benutzer wie gewöhnlich ihren Benutzernamen und ihr Passwort (erster Faktor)ein. Darüber hinaus müssen sie jedoch einen Authentifizierungscode eingeben (zweiter Faktor), der vonIhrer virtuellen oder Hardware-MFA-Lösung bereitgestellt wird. Diese Faktoren zusammen erhöhen dieSicherheit, indem Sie Zugriffe auf Ihre Amazon Enterprise-Anwendungen verhindern, es sei denn, Benutzergeben gültige Anmeldeinformationen und einen gültigen MFA-Code ein.

Zum Aktivieren der MFA müssen Sie entweder über eine MFA-Lösung in Form eines RemoteAuthentication Dial-In User Service (RADIUS)-Servers verfügen oder über ein MFA-Plugin für einenRADIUS-Server, der bereits in Ihrer lokalen Infrastruktur vorhanden ist. Ihre MFA-Lösung sollte einmaligeSicherheitscodes (OTPs, One Time Passcodes) implementieren, die Benutzer von einem Hardwaregerätoder einer Software erhalten, die auf einem Gerät, beispielsweise einem Mobiltelefon, ausgeführt wird.

RADIUS ist ein Client/Server-Protokoll und Branchenstandard, über das Authentifizierung, Autorisierungund Abrechnungsverwaltung bereitgestellt werden, damit Benutzer Verbindungen mit Netzwerkdienstenherstellen können. AWS Managed Microsoft AD enthält einen RADIUS-Client, der eine Verbindung mitdem RADIUS-Server herstellt, auf dem Sie Ihre MFA-Lösung implementiert haben. Der RADIUS-Serverüberprüft den Benutzernamen und den OTP-Code. Wenn Ihr RADIUS-Server den Benutzer erfolgreichüberprüft hat, authentifiziert AWS Managed Microsoft AD diesen Benutzer gegenüber AD. Nach einer

Version 1.032


https://docs.microsoft.com/en-us/powershell/module/addsadministration/get-aduserresultantpasswordpolicy?view=win10-ps

https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad/




erfolgreichen AD-Authentifizierung können die Benutzer dann auf die AWS-Anwendung zugreifen.Die Kommunikation zwischen dem AWS Managed Microsoft AD-RADIUS-Client und Ihrem RADIUS-Server erfordert die Konfiguration von AWS-Sicherheitsgruppen, die eine Kommunikation über Port 1812ermöglichen.

Gehen Sie wie folgt vor, um die Multifaktor-Authentifizierung für Ihr AWS Managed Microsoft AD-Verzeichnis zu aktivieren. Weitere Informationen zum Konfigurieren Ihres RADIUS-Servers für AWSDirectory Service und MFA finden Sie unter Voraussetzungen für Multifaktor-Authentifizierung (p. 10).

Note

Die Multifaktor-Authentifizierung ist für Simple AD nicht verfügbar. MFA kann jedoch für Ihr ADConnector-Verzeichnis aktiviert werden. Weitere Informationen finden Sie unter Aktivieren derMultifaktor-Authentifizierung für AD Connector (p. 215).

Note

MFA ist eine regionale Funktion von AWS Managed Microsoft AD.

So aktivieren Sie die Multifaktor-Authentifizierung für AWS Managed Microsoft AD

1. Identifizieren Sie die IP-Adresse Ihres RADIUS-MFA-Servers und AWS Managed Microsoft AD-Verzeichnisses.

2. Bearbeiten Sie Ihre Virtual Private Cloud (VPC)-Sicherheitsgruppen, um eine Kommunikation zwischenIhren AWS Managed Microsoft AD-IP-Endpunkten und Ihrem RADIUS-MFA-Server über Port 1812 zuermöglichen.

3. Wählen Sie im Navigationsbereich AWS Directory Service console Directories (Verzeichnisse) aus.4. Klicken Sie auf den Link der Verzeichnis-ID für Ihr AWS Managed Microsoft AD-Verzeichnis.5. Führen Sie auf der Seite Directory details (Verzeichnisdetails) einen der folgenden Schritte aus:

• Wenn mehrere Regionen unter Multi-Region replication (Replikation über mehrere Regionen)angezeigt werden, wählen Sie die Region aus, in der Sie MFA aktivieren möchten, und wählen Siedann die Registerkarte Networking & security (Netzwerk und Sicherheit) aus. Weitere Informationenfinden Sie unter Primäre im Vergleich zu zusätzlichen Regionen (p. 62).

• Wenn unter Multi-Region replication (Multiregionale Replikation) keine Regionen angezeigt werden,wählen Sie die Registerkarte Networking & security (Netzwerk und Sicherheit) aus.

6. Wählen Sie auf der Registerkarte Directory details (Verzeichnisdetails) die Registerkarte Networking &security (Netzwerk und Sicherheit) aus.

7. Wählen Sie im Abschnitt Multi-factor authentication (Mehrfaktoren-Authentifizierung) die Option Actions(Aktionen) und dann Enable (Aktivieren) aus.

8. Geben Sie auf der Seite Enable multi-factor authentication (MFA) (Multi-Faktor-Authentifizierung (MFA)aktivieren) die folgenden Werte ein:

Display label (Bezeichnung anzeigen)

Geben Sie einen Bezeichnungsnamen ein.RADIUS server DNS name or IP addresses (DNS-Name oder IP-Adressen des RADIUS-Servers)

Die IP-Adressen Ihrer RADIUS-Server-Endpunkte oder die IP-Adresse Ihres RADIUS-Server-Load-Balancers. Sie können mehrere IP-Adressen getrennt durch ein Komma eingeben (z. B.192.0.0.0,192.0.0.12).

Note

RADIUS MFA ist nur anwendbar, um den Zugriff auf die AWS Management Console oderauf Amazon Enterprise-Anwendungen sowie Services wie Amazon WorkSpaces, Amazon

Version 1.033



QuickSight oder Amazon Chime zu authentifizieren. Es bietet keine MFA für Windows-Workloads, die auf EC2-Instances ausgeführt werden, oder für das Anmelden an einerEC2-Instance. AWS Directory Service unterstützt keine RADIUS Challenge/Response-Authentifizierung.Die Benutzer müssen zusätzlich zu ihrem Benutzernamen und ihrem Passwort ihrenMFA-Code angeben. Alternativ müssen Sie eine Lösung verwenden, die eine Out-of-Band-MFA ausführt, wie beispielsweise eine SMS-Text-Verifizierung für den Benutzer.Bei Out-of-Band-MFA-Lösungen müssen Sie sicherstellen, dass Sie den RADIUS-Timeoutwert entsprechend Ihrer Lösung einstellen. Wenn Sie eine Out-of-Band-MFA-Lösung verwenden, wird der Benutzer auf der Anmeldeseite aufgefordert, einen MFA-Code einzugeben. In diesem Fall hat sich für Benutzer die Eingabe ihres Passwortssowohl im Passwortfeld als auch im MFA-Feld als bewährte Methode etabliert.

Port

Der Port, den Ihr RADIUS-Server für die Kommunikation verwendet. Ihr lokales Netzwerk musseingehenden Datenverkehr über den Standard-RADIUS-Server-Port (UDP: 1812) von den AWSDirectory Service-Servern zulassen.

Shared secret code (Gemeinsamer geheimer Code)

Der gemeinsame geheime Code, der bei der Erstellung Ihrer RADIUS-Endpunkte angegebenwurde.

Confirm shared secret code (Gemeinsamen geheimen Code bestätigen)

Bestätigen Sie den gemeinsamen geheimen Code für Ihre RADIUS-Endpunkte.Protocol (Protokoll)

Wählen Sie das Protokoll aus, das bei der Erstellung Ihrer RADIUS-Endpunkte angegeben wurde.Server timeout (in seconds) (Server-Zeitbeschränkung (in Sekunden))

Die Zeit in Sekunden, die gewartet werden muss, bis der RADIUS-Server antwortet. Dies muss einWert zwischen 1 und 50 sein.

Max RADIUS request retries (Maximal zulässige Wiederholungen für RADIUS-Anforderungen)

Die Anzahl der Kommunikationsversuche mit dem RADIUS-Server. Dies muss ein Wert zwischen0 und 10 sein.

Die Multifaktor-Authentifizierung ist verfügbar, wenn sich der RADIUS-Status in Enabled (Aktiviert)ändert.

9. Wählen Sie Enable (Aktivieren) aus.

Unterstützte Amazon-UnternehmensanwendungenAlle Amazon Enterprise IT-Anwendungen einschließlich Amazon WorkSpaces, Amazon WorkDocs,Amazon WorkMail, Amazon QuickSight und der Zugriff auf AWS Single Sign-On und AWS ManagementConsole werden bei der Verwendung von AWS Managed Microsoft AD und AD Connector mit MFAunterstützt.

Weitere Informationen zum Konfigurieren des Standard-Benutzerzugriffs auf Amazon Enterprise-Anwendungen, AWS Single Sign-On und die AWS Management Console unter Verwendung von AWSDirectory Service finden Sie unter Aktivieren des Zugriffs auf AWS-Anwendungen und -Services (p. 147)und Aktivieren des Zugriffs auf die AWS Management Console mit AD-Anmeldeinformationen (p. 156).


• So aktivieren Sie die Multifaktor-Authentifizierung für AWS-Services mithilfe von AWS Managed MicrosoftAD und lokalen Anmeldeinformationen

Version 1.034




Aktivieren von Secure LDAP (LDAPS)Lightweight Directory Access Protocol (LDAP) ist ein Standard-Kommunikationsprotokoll zum Lesenund Schreiben von Daten in und aus Active Directory. Einige Anwendungen verwenden LDAP, umBenutzer und Gruppen in Active Directory hinzuzufügen, zu entfernen oder zu suchen, oder umAnmeldeinformationen zur Authentifizierung von Benutzern in Active Directory zu transportieren. JedeLDAP-Kommunikation umfasst einen Client (z. B. eine Anwendung) und einen Server (z. B. ActiveDirectory).

Standardmäßig ist die Kommunikation über LDAP nicht verschlüsselt. Auf diese Weise ist es füreinen böswilligen Benutzer möglich, eine Software zur Netzwerk-Überwachung zu verwenden,um über das Kabel übertragenen Datenpakete einzusehen. Aus diesem Grund fordern vieleUnternehmenssicherheitsrichtlinien, dass Organisationen die gesamte LDAP-Kommunikationverschlüsseln.

Um diese Form der Datenoffenlegung zu mindern, AWS Managed Microsoft AD bietet eine Option: Siekönnen LDAP über Secure Sockets Layer (SSL)/Transport Layer Security (TLS) aktivieren, auch bekanntals LDAPS. Mit LDAPS können Sie die Sicherheit über das Kabel hinweg verbessern. Sie können auchCompliance-Anforderungen erfüllen, indem Sie die gesamte Kommunikation zwischen Ihren LDAP-fähigenAnwendungen und AWS Managed Microsoft AD verschlüsseln.

AWS Managed Microsoft AD unterstützt LDAPS in den beiden folgenden Bereitstellungsszenarien:

• Server-side LDAPS (Serverseitiges LDAPS) verschlüsselt die LDAP-Kommunikation zwischenkommerziellen oder eigenen LDAP-fähigen Anwendungen (fungieren als LDAP-Clients) und AWSManaged Microsoft AD (fungiert als LDAP-Server). Weitere Informationen finden Sie im Aktivieren vonserverseitigem LDAPS mit AWS Managed Microsoft AD (p. 35).

• Client-side LDAPS (Clientseitiges LDAPS) verschlüsselt die LDAP-Kommunikation zwischen AWS-Anwendungen wie Amazon WorkSpaces (fungieren als LDAP-Clients) und Ihrem selbstverwaltetenActive Directory (fungiert als LDAP-Server). Weitere Informationen finden Sie im Aktivieren vonclientseitigem LDAPS mit AWS Managed Microsoft AD (p. 38).

Themen• Aktivieren von serverseitigem LDAPS mit AWS Managed Microsoft AD (p. 35)• Aktivieren von clientseitigem LDAPS mit AWS Managed Microsoft AD (p. 38)

Aktivieren von serverseitigem LDAPS mit AWS Managed Microsoft ADServerseitige LDAPS-Unterstützung verschlüsselt die LDAP-Kommunikation zwischen Ihren kommerziellenoder eigenen LDAP-fähigen Anwendungen und Ihrem AWS Managed Microsoft AD-Verzeichnis. Diesträgt dazu bei, die Sicherheit über die gesamte Leitung hinweg zu verbessern und die Compliance-Anforderungen mithilfe des Verschlüsselungsprotokolls Secure Sockets Layer (SSL) zu erfüllen.

Aktivieren von serverseitigem LDAPS

Ausführliche Anweisungen zum Einrichten und Konfigurieren des serverseitigen LDAPS und Ihres CA-Servers finden Sie unter So aktivieren Sie das serverseitige LDAPS für Ihr AWS Managed Microsoft AD-Verzeichnis im AWS-Sicherheits-Blog.

Ein Großteil der Einrichtung erfolgt über die Amazon EC2-Instance, die Sie für die Verwaltung IhrerAWS Managed Microsoft AD-Domänencontroller verwenden. Die folgenden Schritte führen Sie durch dieAktivierung von LDAPS für Ihre Domäne in der AWS-Cloud.

Themen• Schritt 1: Vertreter, der LDAPS aktivieren kann (p. 36)• Schritt 2: Einrichten Ihrer Zertifizierungsstelle (p. 36)

Version 1.035

https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/



• Schritt 3: Erstellen einer Zertifikatvorlage (p. 36)• Schritt 4: Sicherheitsgruppenregeln hinzufügen (p. 37)

Schritt 1: Vertreter, der LDAPS aktivieren kann

Um serverseitiges LDAPS zu aktivieren, müssen Sie Mitglied der Gruppe „Admins“ oder „AWS DelegatedEnterprise Certificate Authority Administrators“ in Ihrem AWS Managed Microsoft AD-Verzeichnis sein.Alternativ können Sie der standardmäßige Administratorbenutzer sein (Admin-Konto). Wenn Sie möchten,können Sie einen anderen Benutzer als das Admin-Konto dazu veranlassen, LDAPS einzurichten. FügenSie diesen Benutzer in diesem Fall der Gruppe „Admins“ oder „AWS Delegated Enterprise CertificateAuthority Administrators“ in Ihrem AWS Managed Microsoft AD-Verzeichnis hinzu.

Schritt 2: Einrichten Ihrer Zertifizierungsstelle

Bevor Sie serverseitiges LDAPS aktivieren können, müssen Sie ein Zertifikat erstellen. Dieses Zertifikatmuss von einem Microsoft Enterprise CA-Server ausgestellt werden, der mit Ihrem AWS ManagedMicrosoft AD Domäne. Nachdem das Zertifikat erstellt wurde, muss es auf jedem Ihrer Domänencontrollerin dieser Domäne installiert werden. Dieses Zertifikat ermöglicht, dass der LDAP-Service auf denDomänencontrollern darauf achtet, ob SSL-Verbindungen von LDAP-Clients angefordert werden, und dieseautomatisch akzeptiert.

Note

Serverseitiges LDAPS mit AWS Managed Microsoft AD unterstützt keine Zertifikate, die von einereigenständigen Zertifizierungsstelle ausgestellt wurden. Darüber hinaus unterstützt es keineZertifikate von einer Drittanbieter-Zertifizierungsstelle.

Abhängig von Ihren geschäftlichen Anforderungen können Sie die folgenden Optionen für das Einrichtenoder Herstellen einer Verbindung mit einer Zertifizierungsstelle in Ihrer Domäne haben:

• Create a subordinate Microsoft enterprise CA (Untergeordneten MicrosoftUnternehmenszertifizierungsstelle erstellen) – (empfohlen) Mit dieser Option können Sieeinen untergeordneten Microsoft-Unternehmenszertifizierungsstellenserver in der AWS Cloudbereitstellen. Der Server kann Amazon EC2 so verwenden, dass es mit Ihrer vorhandenen Microsoft-Stammzertifizierungsstelle funktioniert. Weitere Informationen zum Einrichten einer untergeordnetenMicrosoft Enterprise CA finden Sie unter Schritt 4: Hinzufügen einer Microsoft Enterprise CA zu IhremAWS Microsoft AD-Verzeichnis in (in) So aktivieren Sie das serverseitige LDAPS für Ihr AWS ManagedMicrosoft AD-Verzeichnis.

• Create a root Microsoft enterprise CA (Microsoft-Enterprise-Stammzertifizierungsstelle erstellen) –Mit dieser Option können Sie eine Microsoft Enterprise-Stammzertifizierungsstelle in der AWS Cloudunter Verwendung von Amazon EC2 erstellen und zu Ihrer AWS Managed Microsoft AD-Domänehinzufügen. Diese Root-Zertifizierungsstelle kann das Zertifikat für Ihren Domänencontroller ausstellen.Weitere Informationen zum Einrichten einer neuen Stamm-CA finden Sie unter Schritt 3: Installieren undKonfigurieren einer Offline-CA in (in) So aktivieren Sie das serverseitige LDAPS für Ihr AWS ManagedMicrosoft AD-Verzeichnis.

Weitere Informationen darüber, wie Sie Ihre EC2-Instance mit der Domäne verbinden, finden Sie unterVerbinden einer EC2-Instance mit Ihrem AWS Managed Microsoft AD-Verzeichnis (p. 76).

Schritt 3: Erstellen einer Zertifikatvorlage

Nachdem Ihre Unternehmenszertifizierungsstelle eingerichtet wurde, können Sie die Zertifikatvorlage fürKerberos-Authentifizierung konfigurieren.

Erstellen einer Zertifikatvorlage

1. Einführung Microsoft Windows Server-Verwaltung. Auswählen Tools > Zertifizierungsstelle.

Version 1.036






2. Im Fenster Zertifizierungsstelle erweitern Sie die Zertifizierungsstelle Baum im linken Bereich.Rechtsklicken Zertifikatsvorlagenund wählen Sie Verwalten.

3. Im Fenster Konsole für Zertifikatvorlagen Fenster, rechtsklicken Kerberos-Authentifizierung und wählenSie Vorlage duplizieren.

4. Die Schaltfläche Eigenschaften der neuen Vorlage wird angezeigt.5. Im Fenster Eigenschaften der neuen Vorlage öffnen Sie das Fenster Kompatibilität und führen Sie

dann die folgenden Schritte aus:

a. Ändern Zertifizierungsstelle auf das Betriebssystem, das Ihrer CA entspricht.b. Wenn ein Resultierende Änderungen wird angezeigt, wählen Sie OK (OK).c. Ändern Zertifizierungsempfänger um zu sehen, Windows 8.1/Windows Server 2012 und 2.

Note

AWS Managed Microsoft AD wird von Windows Server 2012 R2 unterstützt.d. Wenn ein Resultierende Änderungen wird angezeigt, wählen Sie OK (OK).

6. Klicken Sie auf die Schaltfläche Allgemein und ändern Sie die Anzeigename der Vorlage um zu sehen,LDAPOverSSL oder einen anderen Namen, den Sie bevorzugen würden.

7. Klicken Sie auf die Schaltfläche Sicherheit und wählen Sie Domänencontroller in der Gruppen- oderBenutzernamen Abschnitt. Im Fenster Berechtigungen für Domänencontroller überprüfen Sie, ob dieZulassen Kontrollkästchen für Lesen, , und Sie haben die Möglichkeit Anmelden, und AutomatischeAnmeldung sind markiert.

8. Auswählen OK (OK) um die LDAPOverSSL (oder den oben angegebenen Namen) Zertifikatvorlage.Schließen Sie die Konsole für Zertifikatvorlagen Fenster.

9. Im Fenster Zertifizierungsstelle Fenster, rechtsklicken Zertifikatsvorlagenund wählen Sie Neu >Auszustellende Zertifikatvorlage.

10. Im Fenster Zertifikatvorlagen aktivieren wählen Sie LDAPOverSSL (oder den oben angegebenenNamen) und wählen Sie dann OK (OK).

Schritt 4: Sicherheitsgruppenregeln hinzufügen

Im letzten Schritt müssen Sie die Amazon EC2-Konsole öffnen und Sicherheitsgruppenregelnhinzufügen. Diese Regeln ermöglichen es Ihren Domänencontrollern, eine Verbindung zu IhrerUnternehmenszertifizierungsstelle herzustellen, um ein Zertifikat anzufordern. Dazu fügen Sie Regeln fürden eingehenden Datenverkehr hinzu, sodass Ihre Enterprise CA eingehenden Datenverkehr von IhrenDomänencontrollern akzeptieren kann. Anschließend fügen Sie Regeln für ausgehenden Datenverkehr vonIhren Domänencontrollern zur Enterprise-Zertifizierungsstelle hinzu.

Sobald beide Regeln konfiguriert wurden, fordern Ihre Domänencontroller automatisch ein Zertifikatvon Ihrer Enterprise CA an und aktivieren LDAPS für Ihr Verzeichnis. Der LDAP-Service auf IhrenDomänencontrollern kann jetzt LDAPS-Verbindungen akzeptieren.

Konfigurieren von Sicherheitsgruppenregeln

1. Navigieren Sie zu Ihrer Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2 und meldenSie sich mit Administratoranmeldeinformationen an.

2. Wählen Sie links die Option Security Groups unter Network & Security.3. Wählen Sie im Hauptbereich die AWS-Sicherheitsgruppe für Ihre Zertifizierungsstelle.4. Wählen Sie die Registerkarte Inbound (Eingehend) und anschließend Edit (Bearbeiten) aus.5. Führen Sie im Dialogfeld Edit inbound rules die folgenden Schritte aus:

• Wählen Sie Add Rule (Regel auswählen) aus.• Wählen Sie All traffic für Type und Custom für Source.

Version 1.037

https://console.aws.amazon.com/ec2


• Geben Sie die AWS-Sicherheitsgruppe des Verzeichnisses (z. B. sg-123456789) im Feld nebenSource (Quelle) ein.

• Wählen Sie Save aus.6. Wählen Sie jetzt die AWS-Sicherheitsgruppe Ihres AWS Managed Microsoft AD-Verzeichnisses aus.

Wählen Sie die Registerkarte Outbound und anschließend Edit.7. Führen Sie im Dialogfeld Edit outbound rules die folgenden Schritte aus:

• Wählen Sie Add Rule (Regel auswählen) aus.• Wählen Sie All traffic für Type und Custom für Destination.• Geben Sie die AWS-Sicherheitsgruppe Ihrer CA in das Feld neben Destination (Ziel) ein.• Wählen Sie Save aus.

Sie können die LDAPS-Verbindung zum AWS Managed Microsoft AD-Verzeichnis mit dem LDP-Tooltesten. Das Tool LDP ist in den Active Directory Administrative Tools enthalten. Weitere Informationenfinden Sie im Installieren der Active Directory-Verwaltungstools (p. 108).

Note

Bevor Sie die LDAPS-Verbindung testen, müssen Sie bis zu 30 Minuten warten, bis dieuntergeordnete CA ein Zertifikat an Ihre Domänencontroller ausgibt.

Weitere Informationen über serverseitige LDAPS und einen Beispiel-Anwendungsfall für die Einrichtungfinden Sie unter How to Enable Server-Side LDAPS for Your AWS Managed Microsoft AD Directory imAWS Security Blog.

Aktivieren von clientseitigem LDAPS mit AWS Managed Microsoft ADÜber die clientseitige LDAPS-Unterstützung in AWS Managed Microsoft AD wird die Kommunikationzwischen Microsoft Active Directory (AD) und AWS-Anwendungen verschlüsselt. Beispiele für solcheAnwendungen sind Amazon WorkSpaces, AWS SSO, Amazon QuickSight und Amazon Chime.Diese Verschlüsselung hilft Ihnen, die Identitätsdaten Ihrer Organisation besser zu schützen und IhreSicherheitsanforderungen zu erfüllen.

Prerequisites

Bevor Sie clientseitiges LDAPS aktivieren, müssen Sie die folgenden Anforderungen erfüllen.

Themen• Bereitstellen von Serverzertifikaten in Active Directory (p. 38)• Zertifizierungsstellenzertifikat-Anforderungen (p. 38)• Netzwerkanforderungen (p. 39)

Bereitstellen von Serverzertifikaten in Active Directory

Um clientseitiges LDAPS aktivieren zu können, müssen Sie Serverzertifikate für jeden Domänencontrollerin Ihrem Active Directory abrufen und installieren. Diese Zertifikate werden vom LDAP-Service verwendet,um SSL-Verbindungen von LDAP-Clients zu überwachen und automatisch zu akzeptieren. Sie könnenSSL-Zertifikate verwenden, die entweder von einer internen Active Directory Certificate Services(ADCS)-Bereitstellung ausgestellt oder von einem kommerziellen Aussteller erworben werden. WeitereInformationen zu Active Directory-Serverzertifikatanforderungen finden Sie unter LDAP over SSL (LDAPS)Certificate auf der Microsoft-Website.

Zertifizierungsstellenzertifikat-Anforderungen

Ein Zertifikat der Zertifizierungsstelle (Certificate Authority, CA), das den Aussteller Ihrer Serverzertifikatedarstellt, ist für den clientseitigen LDAPS-Betrieb erforderlich. Zertifizierungsstellenzertifikate

Version 1.038


https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx



(CA-Zertifikate) werden mit den Serverzertifikaten abgeglichen, die von den Active Directory-Domänencontrollern zur Verschlüsselung der LDAP-Kommunikation bereitgestellt werden. Beachten Siedie folgenden Zertifizierungsstellenzertifikat-Anforderungen:

• Es können nur Zertifikate registriert werden, die noch mehr als 90 Tage lang gültig sind.• Zertifikate müssen im PEM-Format (Privacy-Enhanced Mail) vorliegen. Wenn Sie

Zertifizierungsstellenzertifikate aus Active Directory exportieren, wählen Sie base64-codiertes X.509(.CER) als Exportdateiformat aus.

• Pro AWS Managed Microsoft AD-Verzeichnis können maximal fünf (5) CA-Zertifikate gespeichertwerden.

• Zertifikate, die den RSASSA-PSS-Signaturalgorithmus verwenden, werden nicht unterstützt.• Zertifizierungsstellenzertifikate, die mit jedem Serverzertifikat in jeder vertrauenswürdigen Domäne

verbunden sind, müssen registriert werden.

Netzwerkanforderungen

LDAP-Datenverkehr der AWS-Anwendung wird ausschließlich auf TCP-Port 636 ausgeführt, ohne Rückgriffauf LDAP-Port 389. Für die Windows LDAP-Kommunikation, die Replikation, Vertrauensstellungenund mehr unterstützt, wird jedoch weiterhin LDAP-Port 389 mit Windows-nativer Sicherheit verwendet.Konfigurieren Sie AWS-Sicherheitsgruppen und -Netzwerk-Firewalls, um TCP-Kommunikation an Port 636in AWS Managed Microsoft AD (ausgehend) und am selbstverwalteten Active Directory (eingehend) zuermöglichen. Lassen Sie den LDAP-Port 389 zwischen AWS Managed Microsoft AD und selbstverwaltetemActive Directory geöffnet.

Aktivieren von clientseitigem LDAPS

Um clientseitiges LDAPS zu aktivieren, importieren Sie das Zertifikat der Zertifizierungsstelle (CertificateAuthority, CA) in AWS Managed Microsoft AD und aktivieren Sie dann LDAPS in Ihrem Verzeichnis.Nach der Aktivierung fließt der gesamte LDAP-Verkehr zwischen AWS-Anwendungen und Ihremselbstverwalteten Active Directory mit SSL-Kanalverschlüsselung (Secure Sockets Layer).

Sie können zwei verschiedene Verfahren nutzen, um client-seitiges LDAPS für Ihr Verzeichnis zuaktivieren. Sie können entweder das AWS Management Console-Verfahren oder das AWS CLI-Verfahrennutzen.

Note

Clientseitiges LDAPS ist eine regionale Funktion von AWS Managed Microsoft AD. .

Themen• Schritt 1: Registrieren eines Zertifikats in AWS Directory Service (p. 39)• Schritt 2: Überprüfen des Registrierungsstatus (p. 40)• Schritt 3: Aktivieren von clientseitigem LDAPS (p. 40)• Schritt 4: Überprüfen des LDAPS-Status (p. 41)

Schritt 1: Registrieren eines Zertifikats in AWS Directory Service

Nutzen Sie eines der folgenden Verfahren, um ein Zertifikat in AWS Directory Service zu registrieren.

Methode 1: So registrieren Sie Ihr Zertifikat in AWS Directory Service (AWS ManagementConsole)

1. Wählen Sie im Navigationsbereich AWS Directory Service console Directories (Verzeichnisse) aus.2. Klicken Sie auf den Verzeichnis-ID-Link für Ihr Verzeichnis.3. Führen Sie auf der Seite Directory details (Verzeichnisdetails) einen der folgenden Schritte aus:

Version 1.039



• Wenn mehrere Regionen unter Multi-Region replication (Replikation über mehrere Regionen)angezeigt werden, wählen Sie die Region aus, in der Sie Ihr Zertifikat registrieren möchten, undwählen Sie dann die Registerkarte Networking & security (Netzwerk und Sicherheit) aus. WeitereInformationen finden Sie unter Primäre im Vergleich zu zusätzlichen Regionen (p. 62).


4. Wählen Sie im Abschnitt Client-side LDAPS (clientseitiges LDAPS) das Menü Actions (Aktionen) ausund klicken Sie dann auf Register certificate (Zertifikat registrieren).

5. Klicken Sie im Dialogfeld Register a CA certificate (Registrieren eines CA-Zertifikats) auf die OptionBrowse (Durchsuchen), wählen Sie dann das Zertifikat aus und klicken Sie anschließend auf dieOption Open (Öffnen).

6. Wählen Sie die Option Register certificate (Zertifikat registrieren) aus.

Methode 2: So registrieren Sie Ihr Zertifikat in AWS Directory Service (AWS CLI)

• Führen Sie den folgenden Befehl aus. Zeigen Sie für die Zertifikatdaten auf den Speicherort derZertifizierungsstellen-Zertifikatdatei. In der Antwort wird eine Zertifikat-ID angegeben.

aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path

Schritt 2: Überprüfen des Registrierungsstatus

Um sich den Status einer Zertifikatsregistrierung oder eine Liste der registrierten Zertifikate anzeigen zulassen, nutzen Sie eines der folgenden Verfahren.

Methode 1: So überprüfen Sie den Status der Zertifikatregistrierung in AWS Directory Service(AWS Management Console)

1. Gehen Sie zum Abschnitt Client-side LDAPS (Clientseitiges LDAPS) auf der Seite Directory details(Verzeichnisdetails).

2. Überprüfen Sie den aktuellen Status der Zertifikatregistrierung, der in der Spalte Registration status(Registrierungsstatus) angezeigt wird. Wenn sich der Wert des Registrierungsstatus in Registered(Registriert) ändert, ist Ihr Zertifikat erfolgreich registriert worden.

Methode 2: So überprüfen Sie den Status der Zertifikatregistrierung in AWS Directory Service(AWS CLI)

• Führen Sie den folgenden Befehl aus. Wenn der Statuswert Registered zurückgegeben wird, wurdeIhr Zertifikat erfolgreich registriert.

aws ds list-certificates --directory-id your_directory_id

Schritt 3: Aktivieren von clientseitigem LDAPS

Nutzen Sie eines der folgenden Verfahren, um clientseitiges LDAPS im AWS Directory Service zuaktivieren.

Note

Sie müssen mindestens ein Zertifikat erfolgreich registriert haben, bevor Sie das clientseitigeLDAPS aktivieren können.

Version 1.040


Methode 1: So aktivieren Sie clientseitiges LDAPS in AWS Directory Service (AWS ManagementConsole)


2. Wählen Sie Enable (Aktivieren) aus. Steht diese Option nicht zur Verfügung, überprüfen Sie, ob eingültiges Zertifikat erfolgreich registriert wurde, und versuchen Sie es dann erneut.

3. Wählen Sie im Dialogfeld Enable client-side LDAPS (Client-seitiges LDAPS aktivieren) die OptionEnable (Aktivieren).

Methode 2: So aktivieren Sie clientseitiges LDAPS in AWS Directory Service (AWS CLI)

• Führen Sie den folgenden Befehl aus.

aws ds enable-ldaps --directory-id your_directory_id --type Client

Schritt 4: Überprüfen des LDAPS-Status

Nutzen Sie eines der folgenden Verfahren, um den LDAPS-Status in AWS Directory Service zu prüfen.

Methode 1: So überprüfen Sie den LDAPS-Status in AWS Directory Service (AWS ManagementConsole)


2. Wenn der Statuswert als Enabled (Aktiviert) angezeigt wird, wurde das LDAPS erfolgreich konfiguriert.

Methode 2: So überprüfen Sie den LDAPS-Status in AWS Directory Service (AWS CLI)

• Führen Sie den folgenden Befehl aus. Wenn der Statuswert Enabled zurückgibt, wurde das LDAPSerfolgreich konfiguriert.

aws ds describe-ldaps-settings –-directory-id your_directory_id

Verwalten von clientseitigem LDAPS

Verwenden Sie diese Befehle, um Ihre LDAPS-Konfiguration zu verwalten.

Sie können zwei verschiedene Verfahren nutzen, um client-seitige LDAPS-Einstellungen zu verwalten. Siekönnen entweder das AWS Management Console-Verfahren oder das AWS CLI-Verfahren nutzen.

Anzeigen von Details zu Zertifikaten

Nutzen Sie eines der folgenden Verfahren, um zu sehen, wann ein Zertifikat abläuft.

Methode 1: So zeigen Sie Zertifikatdetails in AWS Directory Service (AWS Management Console)an


Version 1.041



• Wenn mehrere Regionen unter Multi-Region replication (Replikation über mehrere Regionen)angezeigt werden, wählen Sie die Region aus, in der Sie das Zertifikat anzeigen möchten, undwählen Sie dann die Registerkarte Networking & security (Netzwerk und Sicherheit) aus. WeitereInformationen finden Sie unter Primäre im Vergleich zu zusätzlichen Regionen (p. 62).


4. Im Abschnitt Client-side LDAPS (Clientseitiges LDAPS) werden unter CA certificates (CA-Zertifikate)Informationen zum Zertifikat angezeigt.

Methode 2: So zeigen Sie Zertifikatdetails in AWS Directory Service (AWS CLI) an

• Führen Sie den folgenden Befehl aus. Verwenden Sie für die Zertifikat-ID den von register-certificate oder list-certificates zurückgegebenen Bezeichner.

aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id

Abmelden eines Zertifikats

Nutzen Sie eines der folgenden Verfahren, um ein Zertifikat abzumelden.

Note

Wenn nur ein Zertifikat registriert ist, müssen Sie zuerst LDAPS deaktivieren, bevor Sie dasZertifikat abmelden können.

Methode 1: So heben Sie die Registrierung eines Zertifikats in AWS Directory Service auf (AWSManagement Console)


• Wenn mehrere Regionen unter Multi-Region replication (Replikation über mehrere Regionen)angezeigt werden, wählen Sie die Region aus, für die Sie ein Zertifikat abmelden möchten, undwählen Sie dann die Registerkarte Networking & security (Netzwerk und Sicherheit) aus. WeitereInformationen finden Sie unter Primäre im Vergleich zu zusätzlichen Regionen (p. 62).


4. Wählen Sie im Abschnitt Client-side LDAPS (Clientseitiges LDAPS) die Option Actions (Aktionen) undklicken Sie dann auf Deregister certificate (Zertifikat abmelden).

5. Wählen Sie im Dialogfeld Deregister a CA certificate (Ein CA-Zertifikat abmelden) die OptionDeregister (Abmelden).

Methode 2: So heben Sie die Registrierung eines Zertifikats in AWS Directory Service auf (AWSCLI)


aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id

Version 1.042



Deaktivieren von clientseitigem LDAPS

Nutzen Sie eines der folgenden Verfahren, um clientseitiges LDAPS zu deaktivieren.

Methode 1: So deaktivieren Sie clientseitiges LDAPS in AWS Directory Service (AWSManagement Console)


• Wenn mehrere Regionen unter Multi-Region replication (Replikation über mehrere Regionen)angezeigt werden, wählen Sie die Region aus, in der Sie clientseitiges LDAPS deaktivierenmöchten, und wählen Sie dann die Registerkarte Networking & security (Netzwerk undSicherheit) aus. Weitere Informationen finden Sie unter Primäre im Vergleich zu zusätzlichenRegionen (p. 62).


4. Wählen Sie im Abschnitt Client-side LDAPS (Clientseitiges LDAPS) die Option Disable (Deaktivieren)aus.

5. Klicken Sie im Dialogfeld Disable client-side LDAPS (Clientseitiges LDAPS deaktivieren) auf Disable(Deaktivieren).

Methode 2: So deaktivieren Sie clientseitiges LDAPS in AWS Directory Service (AWS CLI)


aws ds disable-ldaps --directory-id your_directory_id --type Client

Verwalten der Compliance für AWS Managed Microsoft ADSie können AWS Managed Microsoft AD verwenden, um Ihre Active Directory–fähigen Anwendungenin der AWS Cloud zu unterstützen, die den folgenden Compliance-Anforderungen unterliegen. IhreAnwendungen genügen jedoch den Compliance-Anforderungen nicht, wenn Sie Simple AD oder ADConnector verwenden.

Unterstützte Compliance-Standards

AWS Managed Microsoft AD wurde einem Auditing für die folgenden Standards unterzogen und ist für dieVerwendung in Lösungen zulässig, für die Sie eine Compliance-Zertifizierung erlangen müssen.

Version 1.043



AWS Managed Microsoft AD die Sicherheitsanforderungendes Federal Risk and Authorization Management Program(FedRAMP) erfüllt und eine FedRAMP VorläufigeBetriebsbefugnis des Joint Authorization Board (JAB) (P-ATO)am FedRAMP Mittelschwere Baseline. Weitere Informationenüber FedRAMP, siehe FedRAMP Einhaltung.

AWS Managed Microsoft AD besitzt eine Compliance-Bescheinigung für Payment Card Industry (PCI) Data SecurityStandard (DSS) Version 3.2 auf Service Provider Level 1.Kunden, die AWS-Produkte und -Services zum Speichern,Verarbeiten oder Übertragen von Karteninhaberdaten nutzen,können AWS Managed Microsoft AD verwenden, weil sie ihreeigene PCI DSS-Compliance-Zertifizierung verwalten.

Weitere Informationen über PCI DSS, einschließlich derAnforderung einer Kopie des AWS PCI Compliance Package,finden Sie unter PCI DSS Level 1. Vor allem müssen Siedifferenzierte Passwortrichtlinien in AWS Managed MicrosoftAD konfigurieren, um mit den PCI DSS-Standards der Version3.2 konsistent zu sein. Weitere Informationen darüber,welche Richtlinien erzwungen werden müssen, finden Sie imfolgenden Abschnitt "Aktivieren der PCI-Compliance für IhrAWS Managed Microsoft AD-Verzeichnis“.

AWS hat sein Health Insurance Portability and AccountabilityAct (HIPAA) Compliance-Programm erweitert, sodass auchAWS Managed Microsoft AD als HIPAA-berechtigter Serviceenthalten ist. Wenn Sie einen Geschäftspartnervertrag(Business Associate Agreement, BAA) mit AWSabgeschlossen haben, können Sie AWS Managed MicrosoftAD für die Erstellung Ihrer HIPAA-konformen Anwendungenverwenden.

AWS stellt ein Whitepaper mit Schwerpunkt auf HIPAA fürKunden bereit, die mehr darüber erfahren möchten, wie AWSzur Verarbeitung und Speicherung von Patientendaten genutztwerden kann. Weitere Informationen finden Sie unter HIPAA-Compliance.

Version 1.044

https://aws.amazon.com/compliance/fedramp/

http://aws.amazon.com/compliance/pci-dss-level-1-faqs/

https://aws.amazon.com/compliance/hipaa-eligible-services-reference/

https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

https://aws.amazon.com/compliance/hipaa-compliance/

https://aws.amazon.com/compliance/hipaa-compliance/


Gemeinsame Verantwortlichkeit

Sicherheit, einschließlich FedRAMP, HIPAA- und PCI-Compliance ist eine gemeinsame Verantwortung.Beachten Sie unbedingt, dass der AWS Managed Microsoft AD-Compliance-Status nicht automatisch fürAnwendungen gilt, die Sie in der AWSCloud ausführen. Sie müssen sicherstellen, dass Ihre Nutzung vonAWS-Services konform zu den Standards erfolgt.

Eine vollständige Liste der verschiedenen AWS Compliance-Programme, die AWS Managed Microsoft ADunterstützt, finden Sie unter Vom Compliance-Programm abgedeckte AWS-Services.

Aktivieren der PCI-Compliance für Ihr AWS Managed Microsoft AD-Verzeichnis

Um die Compliance mit PCI für Ihr AWS Managed Microsoft AD-Verzeichnis zu aktivieren, müssen Siedifferenzierte Passwortrichtlinien konfigurieren, wie in dem von AWS Artifact bereitgestellten Dokument"PCI DSS Attestation of Compliance (AOC) and Responsibility Summary" vorgegeben.

Weitere Informationen über differenzierte Passwortrichtlinien finden Sie unter Verwaltung vonPasswortrichtlinien für AWS Managed Microsoft AD (p. 29).

Verbessern Sie Ihre AWS Managed Microsoft ADNetzwerksicherheitskonfigurationDie Schaltfläche AWS Sicherheitsgruppe, die für die bereitgestellt wird AWS Managed Microsoft AD -Verzeichnis mit den minimalen eingehenden Netzwerk-Ports konfiguriert, die erforderlich sind, um allebekannten Anwendungsfälle für Ihre AWS Managed Microsoft AD Verzeichnis. Weitere Informationen zumbereitgestellten AWS Sicherheitsgruppe, siehe Was wird erstellt (p. 12).

Zur weiteren Verbesserung der Netzwerksicherheit Ihres AWS Managed Microsoft AD können Sie dasVerzeichnis AWS Sicherheitsgruppe basierend auf gängigen Szenarien, die unten aufgeführt sind.

Themen• AWS Support nur für Anwendungen (p. 45)• AWS Nur Anwendungen mit Trust-Unterstützung (p. 46)• AWS Unterstützung von Anwendungen und nativem Active Directory-Workload (p. 48)• AWS Unterstützung von Anwendungen und nativem Active Directory Workload mit Trust

Support (p. 50)

AWS Support nur für Anwendungen

Alle Benutzerkonten werden nur in Ihrem AWS Managed Microsoft AD zur Verwendung mit unterstütztenAWS Anwendungen, wie z. B.:

• Amazon Chime• Amazon Connect• Amazon QuickSight• AWS – Einmaliges Anmelden• Amazon WorkDocs• Amazon WorkMail• AWS-Client-VPN• AWS Management Console

Sie können die folgenden AWS Konfiguration der Sicherheitsgruppe zum Sperren des gesamten nichtnotwendigen Datenverkehrs zu Ihrem AWS Managed Microsoft AD Domänencontroller.

Version 1.045

https://aws.amazon.com/compliance/shared-responsibility-model/

https://aws.amazon.com/compliance/services-in-scope/


Note

• Die folgenden sind nicht kompatibel mit diesem AWS Konfiguration der Sicherheitsgruppe:• Amazon EC2-Instances• Amazon FSx• Amazon RDS für MySQL• Amazon RDS für Oracle• Amazon RDS für PostgreSQL• Amazon RDS for SQL Server• Amazon WorkSpaces• Active Directory-Vertrauen• Domäne verbunden mit Clients oder Servern


Keine.


Keine.

AWS Nur Anwendungen mit Trust-Unterstützung

Alle Benutzerkonten werden in Ihrem bereitgestellt AWS Managed Microsoft AD oder vertrauenswürdigesActive Directory zur Verwendung mit unterstützten AWS Anwendungen, wie z. B.:

• Amazon Chime• Amazon Connect• Amazon QuickSight• AWS – Einmaliges Anmelden• Amazon WorkDocs• Amazon WorkMail• AWS-Client-VPN• AWS Management Console

Sie können die bereitgestellte AWS Konfiguration der Sicherheitsgruppe zum Sperren des gesamten nichtnotwendigen Datenverkehrs zu Ihrem AWS Managed Microsoft AD Domänencontroller.

Note

• Die folgenden sind nicht kompatibel mit diesem AWS Konfiguration der Sicherheitsgruppe:• Amazon EC2-Instances• Amazon FSx• Amazon RDS für MySQL• Amazon RDS für Oracle• Amazon RDS für PostgreSQL• Amazon RDS for SQL Server• Amazon WorkSpaces• Active Directory-Vertrauen Version 1.0

46


• Domäne verbunden mit Clients oder Servern• Für diese Konfiguration müssen Sie sicherstellen, dass das „On-premise CIDR“-Netzwerk sicher

ist.• TCP 445 wird nur für die Vertrauenserstellung verwendet und kann entfernt werden, nachdem

die Vertrauensstellung eingerichtet wurde.• TCP 636 ist nur erforderlich, wenn LDAP über SSL verwendet wird.


Protocol (Protokoll) Port-Bereich Source Art des Verkehrs Active Directory-Nutzung

TCP und UDP 53 CIDR vor Ort DNS Benutzer- undComputerauthentifizierung,Namensauflösung,Vertrauen

TCP und UDP 88 CIDR vor Ort Kerberos Benutzer- undComputerauthentifizierung,Vertrauen aufGesamtstrukturebene

TCP und UDP 389 CIDR vor Ort LDAP Richtlinie fürVerzeichnis-,Replikations-,Benutzer- undComputerauthentifizierungsgruppen,Vertrauen

TCP und UDP 464 CIDR vor Ort Kerberos Passwortändern/einstellen

Replikation,Benutzer- undComputerauthentifizierung,Vertrauen

TCP 445 CIDR vor Ort KMU/CIFS (KMU/CIFS)

Replikation,Benutzer- undComputerauthentifizierung,Gruppenrichtlinienvertrauen

TCP 135 CIDR vor Ort Replikation RPC, EPM(Ersatzteilverschraubung)

TCP 636 CIDR vor Ort LDAP und SSL Richtlinie fürVerzeichnis-,Replikations-,Benutzer- undComputerauthentifizierungsgruppen,Vertrauen

TCP 49152–65535 CIDR vor Ort RPC Replikation,Benutzer- undComputerauthentifizierung,Gruppenrichtlinie,Vertrauen

TCP 3268 - 3269 CIDR vor Ort LDAP GC undLDAP GC SSL

Richtlinie fürVerzeichnis-,

Version 1.047


Protocol (Protokoll) Port-Bereich Source Art des Verkehrs Active Directory-NutzungReplikations-,Benutzer- undComputerauthentifizierungsgruppen,Vertrauen

UDP 123 CIDR vor Ort Windows-Zeit Windows-Zeit,Vertrauen



Alle Alle CIDR vor Ort GesamterDatenverkehr

AWS Unterstützung von Anwendungen und nativem Active Directory-Workload

Benutzerkonten werden nur in Ihrem AWS Managed Microsoft AD zur Verwendung mit unterstützten AWSAnwendungen, wie z. B.:

• Amazon Chime• Amazon Connect• Amazon EC2-Instances• Amazon FSx• Amazon QuickSight• Amazon RDS für MySQL• Amazon RDS für Oracle• Amazon RDS für PostgreSQL• Amazon RDS for SQL Server• AWS – Einmaliges Anmelden• Amazon WorkDocs• Amazon WorkMail• Amazon WorkSpaces• AWS-Client-VPN• AWS Management Console


Note

• Active Directory-Vertrauen können nicht zwischen Ihren AWS Managed Microsoft AD -Verzeichnis und lokale Domäne.

• Sie müssen sicherstellen, dass das „Client CIDR“-Netzwerk sicher ist.• TCP 636 ist nur erforderlich, wenn LDAP über SSL verwendet wird.

Version 1.048


• Wenn Sie eine Enterprise CA mit dieser Konfiguration verwenden möchten, müssen Sie eineOutbound-Regel „TCP, 443, CA CIDR“ erstellen.



TCP und UDP 53 CIDR des Kunden DNS Benutzer- undComputerauthentifizierung,Namensauflösung,Vertrauen

TCP und UDP 88 CIDR des Kunden Kerberos Benutzer- undComputerauthentifizierung,Vertrauen aufGesamtstrukturebene

TCP und UDP 389 CIDR des Kunden LDAP Richtlinie fürVerzeichnis-,Replikations-,Benutzer- undComputerauthentifizierungsgruppen,Vertrauen

TCP und UDP 445 CIDR des Kunden KMU/CIFS (KMU/CIFS)


TCP und UDP 464 CIDR des Kunden Kerberos Passwortändern/einstellen


TCP 135 CIDR des Kunden Replikation RPC, EPM(Ersatzteilverschraubung)

TCP 636 CIDR des Kunden LDAP und SSL Richtlinie fürVerzeichnis-,Replikations-,Benutzer- undComputerauthentifizierungsgruppen,Vertrauen

TCP 49152–65535 CIDR des Kunden RPC Replikation,Benutzer- undComputerauthentifizierung,Gruppenrichtlinie,Vertrauen

TCP 3268 - 3269 CIDR des Kunden LDAP GC undLDAP GC SSL

Richtlinie fürVerzeichnis-,Replikations-,Benutzer- undComputerauthentifizierungsgruppen,Vertrauen

Version 1.049



TCP Veranstaltungsraum"9389"

CIDR des Kunden SOAP AD DS-Webdienste

UDP 123 CIDR des Kunden Windows-Zeit Windows-Zeit,Vertrauen

UDP 138 CIDR des Kunden DFSN undNetLogon



Keine.

AWS Unterstützung von Anwendungen und nativem Active Directory Workload mitTrust Support

Alle Benutzerkonten werden in Ihrem bereitgestellt AWS Managed Microsoft AD oder vertrauenswürdigesActive Directory zur Verwendung mit unterstützten AWS Anwendungen, wie z. B.:

• Amazon Chime• Amazon Connect• Amazon EC2-Instances• Amazon FSx• Amazon QuickSight• Amazon RDS für MySQL• Amazon RDS für Oracle• Amazon RDS für PostgreSQL• Amazon RDS for SQL Server• AWS – Einmaliges Anmelden• Amazon WorkDocs• Amazon WorkMail• Amazon WorkSpaces• AWS-Client-VPN• AWS Management Console


Note

• Es erfordert, dass Sie sicherstellen, dass die „On-premise CIDR“- und „Client CIDR“-Netzwerkesicher sind.

• TCP 445 mit dem „On-premise CIDR“ wird nur für die Vertrauenserstellung verwendet und kannentfernt werden, nachdem die Vertrauensstellung eingerichtet wurde.

• TCP 445 mit dem „Client CIDR“ sollte offen gelassen werden, da es für die Verarbeitung vonGruppenrichtlinien erforderlich ist.

• TCP 636 ist nur erforderlich, wenn LDAP über SSL verwendet wird.• Wenn Sie eine Enterprise CA mit dieser Konfiguration verwenden möchten, müssen Sie eine

Outbound-Regel „TCP, 443, CA CIDR“ erstellen.

Version 1.050




TCP und UDP 53 CIDR vor Ort DNS Benutzer- undComputerauthentifizierung,Namensauflösung,Vertrauen

TCP und UDP 88 CIDR vor Ort Kerberos Benutzer- undComputerauthentifizierung,Vertrauen aufGesamtstrukturebene

TCP und UDP 389 CIDR vor Ort LDAP Richtlinie fürVerzeichnis-,Replikations-,Benutzer- undComputerauthentifizierungsgruppen,Vertrauen

TCP und UDP 464 CIDR vor Ort Kerberos Passwortändern/einstellen


TCP 445 CIDR vor Ort KMU/CIFS (KMU/CIFS)


TCP 135 CIDR vor Ort Replikation RPC, EPM(Ersatzteilverschraubung)

TCP 636 CIDR vor Ort LDAP und SSL Richtlinie fürVerzeichnis-,Replikations-,Benutzer- undComputerauthentifizierungsgruppen,Vertrauen

TCP 49152–65535 CIDR vor Ort RPC Replikation,Benutzer- undComputerauthentifizierung,Gruppenrichtlinie,Vertrauen

TCP 3268 - 3269 CIDR vor Ort LDAP GC undLDAP GC SSL


UDP 123 CIDR vor Ort Windows-Zeit Windows-Zeit,Vertrauen

Version 1.051



TCP und UDP 53 CIDR des Kunden DNS Benutzer- undComputerauthentifizierung,Namensauflösung,Vertrauen

TCP und UDP 88 CIDR des Kunden Kerberos Benutzer- undComputerauthentifizierung,Vertrauen aufGesamtstrukturebene

TCP und UDP 389 CIDR des Kunden LDAP Richtlinie fürVerzeichnis-,Replikations-,Benutzer- undComputerauthentifizierungsgruppen,Vertrauen

TCP und UDP 445 CIDR des Kunden KMU/CIFS (KMU/CIFS)


TCP und UDP 464 CIDR des Kunden Kerberos Passwortändern/einstellen


TCP 135 CIDR des Kunden Replikation RPC, EPM(Ersatzteilverschraubung)

TCP 636 CIDR des Kunden LDAP und SSL Richtlinie fürVerzeichnis-,Replikations-,Benutzer- undComputerauthentifizierungsgruppen,Vertrauen

TCP 49152–65535 CIDR des Kunden RPC Replikation,Benutzer- undComputerauthentifizierung,Gruppenrichtlinie,Vertrauen

TCP 3268 - 3269 CIDR des Kunden LDAP GC undLDAP GC SSL


TCP Veranstaltungsraum"9389"

CIDR des Kunden SOAP AD DS-Webdienste

UDP 123 CIDR des Kunden Windows-Zeit Windows-Zeit,Vertrauen

Version 1.052

AWS Directory Service AdministratorhandbuchÜberwachen Ihres -Verzeichnisses


UDP 138 CIDR des Kunden DFSN undNetLogon




Alle Alle CIDR vor Ort GesamterDatenverkehr

Überwachen Ihrer AWS Managed Microsoft ADSie können Ihr AWS Managed Microsoft AD-Verzeichnis mit folgenden Methoden überwachen:

Themen• Erläuterungen zum Verzeichnisstatus (p. 53)• Konfigurieren von Benachrichtigungen über den Verzeichnisstatus (p. 54)• Überprüfen Ihrer AWS Managed Microsoft AD-Verzeichnisprotokolle (p. 56)• Protokollweiterleitung aktivieren (p. 58)

Erläuterungen zum VerzeichnisstatusIm Folgenden sind die verschiedenen Zustandsangaben für ein Verzeichnis aufgeführt.

Active (Aktiv)

Das Verzeichnis funktioniert normal. AWS Directory Service hat keine Probleme für Ihr Verzeichniserkannt.

Creating (Erstellen)

Das Verzeichnis wird gerade erstellt. Die Verzeichniserstellung nimmt in der Regel 20 bis 45 Minutenin Anspruch, kann jedoch je nach Systemauslastung abweichen.

Deleted (Gelöscht)

Das Verzeichnis wurde gelöscht. Alle Ressourcen für das Verzeichnis wurden freigegeben. EinVerzeichnis, das diesen Zustand erreicht hat, kann nicht wiederhergestellt werden.

Deleting (Löschvorgang läuft)

Das Verzeichnis wird gerade gelöscht. Das Verzeichnis bleibt in diesem Zustand, bis es vollständiggelöscht ist. Sobald ein Verzeichnis diesen Zustand erreicht, kann der Löschvorgang nicht mehrabgebrochen werden und das Verzeichnis ist nicht wiederherstellbar.

Failed (Fehlgeschlagen)

Das Verzeichnis konnte nicht erstellt werden. Löschen Sie dieses Verzeichnis. Falls das Problemweiterhin besteht, kontaktieren Sie das AWS Support Center.

Impaired (Beeinträchtigt)

Das Verzeichnis wird nicht fehlerfrei ausgeführt. Mindestens ein Problem wurde erkannt und vermutlichwird nicht bei allen Verzeichnisvorgängen die volle Leistungskapazität erreicht. Es gibt viele mögliche

Version 1.053

https://console.aws.amazon.com/support/home#/


Gründe dafür, dass sich das Verzeichnis in diesem Zustand befindet. Darunter fallen normalebetriebliche Wartungsaktivitäten wie das Patchen oder die EC2-Instance-Rotation, das temporäreHot-Spotting durch eine Anwendung auf einem Ihrer Domänencontroller oder Änderungen, dieSie an Ihrem Netzwerk vorgenommen haben und die versehentlich die Verzeichniskommunikationstören. Weitere Informationen finden Sie unter Fehlerbehebung für AWS Managed MicrosoftAD (p. 193), AD Connector-Fehlerbehebung (p. 240), Simple AD-Fehlerbehebung (p. 298).Bei normalen wartungsbezogenen Problemen löst AWS diese innerhalb von 40 Minuten. Falls dasVerzeichnis nach der Konsultation des Themas Fehlerbehebung länger als 40 Minuten den Status„Impaired“ (Beeinträchtigt) aufweist, sollten Sie das AWS Support Center kontaktieren.

Important

Stellen Sie keinen Snapshot für ein Verzeichnis mit dem Status „Impaired“ (Beeinträchtigt)wieder her. Nur selten ist eine Snapshot-Wiederherstellung nötig, um Beeinträchtigungenzu beheben. Weitere Informationen finden Sie unter Erstellen eines Snapshots oderWiederherstellen Ihres Verzeichnisses (p. 140).

Inoperable (Funktionsunfähig)

Das Verzeichnis ist nicht funktionsfähig. Alle Verzeichnisendpunkte haben Probleme gemeldet.Requested (Angefordert)

Eine Anforderung zum Erstellen Ihres Verzeichnisses steht zurzeit an.RestoreFailed (Wiederherstellung fehlgeschlagen)

Die Wiederherstellung des Verzeichnisses anhand eines Snapshots ist fehlgeschlagen. VersuchenSie die Wiederherstellung erneut. Falls das Problem weiterhin besteht, versuchen Sie es mit einemanderen Snapshot oder wenden Sie sich an das AWS Support Center.

Restoring (Wiederherstellung läuft)

Das Verzeichnis wird zurzeit anhand eines automatischen oder manuellen Snapshotswiederhergestellt. Die Wiederherstellung anhand eines Snapshots dauert in der Regel einige Minuten,abhängig von der Größe der Verzeichnisdaten im Snapshot.

Weitere Informationen finden Sie unter Gründe für den Simple AD-Verzeichnisstatus (p. 300).

Konfigurieren von Benachrichtigungen über denVerzeichnisstatusMit Amazon Simple Notification Service (Amazon SNS) können Sie E-Mail- oder SMS (Text)-Nachrichtenerhalten, wenn sich der Status Ihres Verzeichnisses ändert. Sie werden benachrichtigt, wenn IhrVerzeichnis von einem aktiven Status in einen Impaired or Inoperable status (Beeinträchtigter oderfunktionsunfähiger Status) wechselt. Außerdem erhalten Sie eine Benachrichtigung, wenn das Verzeichnisin einen aktiven Status zurückkehrt.

So funktioniert es

Amazon SNS verwendet "Themen" zum Sammeln und Verteilen von Nachrichten. Jedes Thema hat einenoder mehrere Abonnenten, die die Nachrichten erhalten, die zu diesem Thema veröffentlicht wurden. Überdie nachfolgenden Schritte können Sie AWS Directory Service als Herausgeber für ein Amazon SNS-Thema hinzufügen. Wenn AWS Directory Service eine Änderung an Status Ihres Verzeichnisses erkennt,wird eine Nachricht an das Thema veröffentlicht. Diese wird wiederum an die Abonnenten des Themasgesendet.

Sie können mehrere Verzeichnisse als Herausgeber zu einem einzelnen Thema zuordnen. Sie könnenauch Verzeichnis-Statusmeldungen zu Themen hinzufügen, die Sie zuvor in Amazon SNS erstellt haben.

Version 1.054



https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_status.html



Sie haben die genaue Kontrolle darüber, wer ein Thema veröffentlichen und abonnieren kann. UmfassendeInformationen zu Amazon SNS finden Sie unter Was ist Amazon SNS?.

Note

Verzeichnis-Statusbenachrichtigungen sind eine regionale Funktion von AWS Managed MicrosoftAD.

So aktivieren Sie SNS Messaging für Ihr Verzeichnis

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Directory Service-Konsole unter https://console.aws.amazon.com/directoryservicev2/.

2. Wählen Sie auf der Seite Directories (Verzeichnisse) Ihre Verzeichnis-ID aus.3. Führen Sie auf der Seite Directory details (Verzeichnisdetails) einen der folgenden Schritte aus:

• Wenn mehrere Regionen unter Multi-Region replication (Replikation über mehrere Regionen)angezeigt werden, wählen Sie die Region aus, in der Sie SNS Messaging aktivieren möchten, undwählen Sie dann die Registerkarte Maintenance (Wartung) aus. Weitere Informationen finden Sieunter Primäre im Vergleich zu zusätzlichen Regionen (p. 62).

• Wenn unter Multi-Region replication (Multiregionale Replikation) keine Regionen angezeigt werden,wählen Sie die Registerkarte Maintenance (Wartung) aus.

4. Wählen Sie im Abschnitt Directory monitoring (Verzeichnisüberwachung) die Option Actions (Aktionen)und dann Create notification (Benachrichtigung erstellen) aus.

5. Wählen Sie auf der Seite Create notification (Benachrichtigung erstellen) die Option Choose anotification type (Benachrichtigungstyp auswählen) und dann Create a new notification (NeueBenachrichtigung erstellen) aus. Wenn Sie bereits über ein SNS-Thema verfügen, können Siealternativ Associate existing SNS topic (Vorhandenes SNS-Thema zuordnen) auswählen, umStatusmeldungen von diesem Verzeichnis an dieses Thema zu senden.

Note

Wenn Sie Create a new notification (Neue Benachrichtigung erstellen) auswählen, aber danndenselben Themennamen für ein SNS-Thema verwenden, das bereits vorhanden ist, erstelltAmazon SNS kein neues Thema, sondern fügt die neuen Abonnementinformationen zumvorhandenen Thema hinzu.Wenn Sie Associate existing SNS topic (Vorhandenes SNS-Thema zuordnen) auswählen,können Sie nur ein SNS-Thema auswählen, das sich in derselben Region wie das Verzeichnisbefindet.

6. Wählen Sie den Recipient type (Empfängertyp) aus und geben Sie die Kontaktinformationen für denRecipient (Empfänger) ein. Wenn Sie eine Telefonnummer für SMS eingeben, verwenden Sie nurNummern. Geben Sie keine Gedankenstriche, Leerzeichen oder Klammern ein.

7. (Optional) Geben Sie einen Namen für Ihr Thema und einen SNS-Anzeigenamen ein. DerAnzeigename ist eine Kurzbezeichnung mit bis zu 10 Zeichen, die in allen SMS-Nachrichten zu diesemThema enthalten ist. Bei der Verwendung der SMS-Option ist der Anzeigename erforderlich.

Note

Wenn Sie mit einem IAM-Benutzer oder einer IAM-Rolle angemeldet sind, die nur überdie verwaltete Richtlinie DirectoryServiceFullAccess verfügt, muss Ihr Themenname mit„DirectoryMonitoring“ beginnen. Wenn Sie Ihren Themennamen anpassen möchten,benötigen Sie zusätzliche Berechtigungen für SNS.

8. Wählen Sie Create (Erstellen) aus.

Wenn Sie zusätzliche SNS-Abonnenten angeben möchten, z. B. eine zusätzliche E-Mail-Adresse, AmazonSQS-Warteschlangen oder AWS Lambda, können Sie diese in der Amazon SNS-Konsole unter https://console.aws.amazon.com/sns/v3/home.

Version 1.055

https://docs.aws.amazon.com/sns/latest/dg/welcome.html


https://docs.aws.amazon.com/directoryservice/latest/admin-guide/role_ds_full_access.html

https://console.aws.amazon.com/sns/v3/home



Verzeichnis-Status-Nachrichten aus einem Thema entfernen



• Wenn mehrere Regionen unter Multi-Region replication (Replikation über mehrere Regionen)angezeigt werden, wählen Sie die Region aus, in der Sie Statusmeldungen entfernen möchten, undwählen Sie dann die Registerkarte Maintenance (Wartung) aus. Weitere Informationen finden Sieunter Primäre im Vergleich zu zusätzlichen Regionen (p. 62).


4. Wählen Sie im Abschnitt Directory monitoring (Verzeichnisüberwachung) einen SNS-Themennamen inder Liste aus, wählen Sie Actions (Aktionen) und dann Remove (Entfernen) aus.

5. Wählen Sie Remove (Entfernen) aus.

Dadurch wird Ihr Verzeichnis als Herausgeber für das ausgewählte SNS-Thema entfernt. Wenn Siedas gesamte Thema löschen möchten, können Sie dies über die Amazon SNS-Konsole unter https://console.aws.amazon.com/sns/v3/home.

Note

Stellen Sie vor dem Löschen eines Amazon SNS-Themas mithilfe der SNS-Konsole sicher, dasskein Verzeichnis Status-Nachrichten zu diesem Thema sendet.Wenn Sie ein Amazon SNS-Thema mithilfe der SNS-Konsole löschen, wird diese Änderung nichtsofort in der Directory Services-Konsole sichtbar. Sie würden nur benachrichtigt werden, wenn dasnächste Mal ein Verzeichnis eine Nachricht zu diesem gelöschten Thema veröffentlicht. In diesemFall würden Sie einen aktualisierten Status auf der Registerkarte Monitoring sehen, der angibt,dass das Thema nicht gefunden wurde.Um zu vermeiden, dass wichtige Verzeichnis-Status-Meldungen fehlen, sollten Sie vor demLöschen eines Themas, das Nachrichten von AWS Directory Service empfängt, Ihr Verzeichnis miteinem anderen Amazon SNS-Thema verknüpfen.

Überprüfen Ihrer AWS Managed Microsoft AD-VerzeichnisprotokolleSicherheitsprotokolle von AWS Managed Microsoft AD-Domänencontroller-Instances werden für einJahr archiviert. Sie können Ihr AWS Managed Microsoft AD-Verzeichnis auch so konfigurieren, dassDomänencontroller-Protokolle nahezu in Echtzeit an Amazon CloudWatch Logs weitergeleitet werden.Weitere Informationen finden Sie im Protokollweiterleitung aktivieren (p. 58).

AWS protokolliert die folgenden Ereignisse für die Einhaltung der Compliance.

Überwachungskategorie Richtlinieneinstellung Audit-Status

Kontoanmeldung Audit ValidierungAnmeldeinformationen

Erfolg, Fehler

SonstigeKontoanmeldungsereignisseprüfen

Erfolg, Fehler

Kontenverwaltung Audit Computerkonten-Management

Erfolg, Fehler

Version 1.056






Audit AndereKontenmanagement-Ereignisse

Erfolg, Fehler

Audit Sicherheitsgruppen-Management

Erfolg, Fehler

Audit Benutzerkonten-Management

Erfolg, Fehler

Detaillierte Nachverfolgung DPAPI-Aktivität prüfen Erfolg, Fehler

PNP-Aktivität prüfen Erfolg

Audit Prozesserstellung Erfolg, Fehler

DS-Zugriff Audit Verzeichnisservice-Zugriff Erfolg, Fehler

Audit Verzeichnisservice-Änderungen

Erfolg, Fehler

Anmeldung/Abmeldung Kontosperrung prüfen Erfolg, Fehler

Audit-Abmeldung Erfolg

Audit-Anmeldung Erfolg, Fehler

Andere Anmelde-/Abmeldeereignisse prüfen

Erfolg, Fehler

Audit Spezielle Anmeldung Erfolg, Fehler

Objektzugriff Weitere Objektzugriffsereignisseprüfen

Erfolg, Fehler

Audit Wechseldatenträger Erfolg, Fehler

Audit Zentrales Zugriffsrichtlinien-Staging

Erfolg, Fehler

Richtlinienänderungen Audit Richtlinienänderungen Erfolg, Fehler

AuditAuthentifizierungsrichtlinienänderungen

Erfolg, Fehler

AuditAutorisierungsrichtlinienänderung

Erfolg, Fehler

Änderung der MPSSVC-Richtlinieauf Regelebene prüfen

Erfolg

SonstigeRichtlinienänderungsereignisseprüfen

Fehler

Privilegierte Nutzung Audit Sensible privilegierteNutzung

Erfolg, Fehler

System (System) Prüfung IPsec Fahrer Erfolg, Fehler

Version 1.057



Andere WeitereSystemereignisse

Erfolg, Fehler

Audit Sicherheitsstatusänderung Erfolg, Fehler

AuditSicherheitssystemerweiterung

Erfolg, Fehler

Audit Systemintegrität Erfolg, Fehler

Protokollweiterleitung aktivierenSie können entweder die AWS Directory Service-Konsole oder APIs verwenden, um Domänencontroller-Sicherheitsereignisprotokolle an Amazon CloudWatch Logs weiterzuleiten. Dies hilft Ihnen, IhreAnforderungen an die Richtlinien für die Sicherheitsüberwachung, -prüfung und -aufbewahrungvon Protokollen zu erfüllen, indem die Transparenz der Sicherheitsereignisse in Ihrem Verzeichnisgewährleistet wird.

Mit CloudWatch Logs können Sie darüber hinaus diese Ereignisse an andere AWS-Konten, AWS-Servicesoder Anwendungen von Drittanbietern weiterleiten. Dies erleichtert Ihnen die zentrale Überwachung undKonfiguration von Warnungen, um ungewöhnliche Aktivitäten nahezu in Echtzeit zu erkennen und proaktivdarauf zu reagieren.

Nach der Aktivierung können Sie die CloudWatch Logs-Konsole zum Abrufen der Daten aus derProtokollgruppe verwenden, die Sie beim Aktivieren des Service angegeben haben. Diese Protokollgruppeenthält die Sicherheitsprotokolle aus Ihren Domänencontrollern.

Weitere Informationen über Protokollgruppen und das Lesen ihrer Daten finden Sie unter Arbeiten mitProtokollgruppen und Protokollstreams im Amazon CloudWatch Logs-Benutzerhandbuch.

Note

Die Protokollweiterleitung ist eine regionale Funktion von AWS Managed Microsoft AD. .

So aktivieren Sie die Protokollweiterleitung

1. Wählen Sie im Navigationsbereich der AWS Directory Service-Konsole Directories aus.2. Wählen Sie die Verzeichnis-ID des AWS Managed Microsoft AD-Verzeichnisses aus, die Sie freigeben

möchten.3. Führen Sie auf der Seite Directory details (Verzeichnisdetails) einen der folgenden Schritte aus:

• Wenn mehrere Regionen unter Multi-Region replication (Replikation über mehrere Regionen)angezeigt werden, wählen Sie die Region aus, in der Sie die Protokollweiterleitung aktivierenmöchten, und wählen Sie dann die Registerkarte Networking & security (Netzwerk undSicherheit) aus. Weitere Informationen finden Sie unter Primäre im Vergleich zu zusätzlichenRegionen (p. 62).


4. Wählen Sie im Abschnitt Log forwarding die Option Enable.5. Wählen Sie im Dialogfeld Enable log forwarding to CloudWatch eine der folgenden Optionen aus:

a. Wählen Sie Create a new CloudWatch log group (Neue Protokollgruppe erstellen) aus. Geben Sieunter Log group name (Protokollgruppenname) einen Namen an, auf den Sie in CloudWatch Logsverweisen können.

Version 1.058

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html



b. Wählen Sie Choose an existing CloudWatch log group (Vorhandene Protokollgruppe auswählen)und unter Existing CloudWatch log groups (Vorhandene Protokollgruppen) eine Protokollgruppeaus dem Menü aus.

6. Prüfen Sie die Preisinformationen und die Verknüpfung und wählen Sie dann Enable aus.

So deaktivieren Sie die Protokollweiterleitung

1. Wählen Sie im Navigationsbereich der AWS Directory Service-Konsole die Option Directories.2. Wählen Sie die Verzeichnis-ID des AWS Managed Microsoft AD-Verzeichnisses aus, die Sie freigeben


• Wenn mehrere Regionen unter Multi-Region replication (Replikation über mehrere Regionen)angezeigt werden, wählen Sie die Region aus, in der Sie die Protokollweiterleitung deaktivierenmöchten, und wählen Sie dann die Registerkarte Networking & security (Netzwerk undSicherheit) aus. Weitere Informationen finden Sie unter Primäre im Vergleich zu zusätzlichenRegionen (p. 62).


4. Wählen Sie im Abschnitt Log forwarding die Option Disable.5. Sobald Sie die Informationen im Dialogfeld Disable log forwarding gelesen haben, wählen Sie Disable

(Deaktivieren).

Verwenden der CLI zum Aktivieren der ProtokollweiterleitungBevor Sie den ds create-log-subscription-Befehl verwenden, müssen Sie zunächst eine AmazonCloudWatch-Protokollgruppe und anschließend eine IAM-Ressourcenrichtlinie erstellen, die dieser Gruppedie erforderlichen Berechtigungen zuweisen. Um mithilfe der CLI die Protokollweiterleitung zu aktivieren,führen Sie die folgenden Schritte aus.

Schritt 1: In CloudWatch Logs eine Protokollgruppe erstellen

Erstellen Sie eine Protokollgruppe, die Sicherheitsprotokolle von Ihren Domänencontrollern erhält. Wirempfehlen, dem Namen /aws/directoryservice/ voranzustellen, dies ist jedoch nicht erforderlich.Beispiel:

EXAMPLE CLI COMMAND (BEISPIEL FÜR DEN CLI-BEFEHL)

aws logs create-log-group --log-group-name '/aws/directoryservice/d-9876543210'

EXAMPLE POWERSHELL COMMAND (BEISPIEL FÜR DEN POWERSHELL-BEFEHL)

New-CWLLogGroup -LogGroupName '/aws/directoryservice/d-9876543210'

Anweisungen zum Erstellen einer CloudWatch Logs-Gruppe finden Sie unter Erstellen einerProtokollgruppe in CloudWatch Logs im Amazon CloudWatch Logs-Benutzerhandbuch.

Schritt 2: Erstellen einer CloudWatch Logs-Ressourcenrichtlinie in IAM

Erstellen Sie eine CloudWatch Logs-Ressourcenrichtlinie, die AWS Directory Service Rechte zumHinzufügen von Protokollen zur in Schritt 1 neu erstellten Protokollgruppe zuweist. Sie können entwederden genauen ARN für die Protokollgruppe angeben, um den Zugriff von Directory Service auf andereProtokollgruppen einzuschränken, oder einen Platzhalter verwenden, um alle Protokollgruppeneinzuschließen. Die folgende Beispielrichtlinie verwendet die Platzhaltermethode, um zu identifizieren, dassalle Protokollgruppen, die mit /aws/directoryservice/ beginnen, für das AWS-Konto, in dem sich IhrVerzeichnis befindet, enthalten sind.

Version 1.059


https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group

AWS Directory Service AdministratorhandbuchKonfigurieren der Multi-Region-Replikation

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ds.amazonaws.com" }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:YOUR_REGION:YOUR_ACCOUNT_NUMBER:log-group:/aws/directoryservice/*" } ]}

Sie müssen diese Richtlinie in einer Textdatei speichern (z. B. DSPolicy.json) auf Ihrer lokalen Workstation,da Sie sie über die CLI ausführen müssen. Beispiel:


aws logs put-resource-policy --policy-name DSLogSubscription --policy-documentfile://DSPolicy.json


$PolicyDocument = Get-Content .\DSPolicy.json –Raw

Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument$PolicyDocument

Schritt 3: Erstellen eines AWS Directory Service-Protokollabonnements

In diesem letzten Schritt können Sie nun die Protokollweiterleitung aktivieren, indem Sie dasProtokollabonnement erstellen. Beispiel:


aws ds create-log-subscription --directory-id 'd-9876543210' --log-group-name'/aws/directoryservice/d-9876543210'


New-DSLogSubscription -DirectoryId 'd-9876543210' -LogGroupName '/aws/directoryservice/d-9876543210'

Multiregionale ReplikationDie Multi-Regions-Replikation kann verwendet werden, um Ihre AWS Managed Microsoft AD-Verzeichnisdaten automatisch über mehrere Regionen hinweg zu replizieren. Diese Replikation kanndie Leistung für Benutzer und Anwendungen an verteilten geografischen Standorten verbessern.AWS Managed Microsoft AD verwendet die native Active Directory-Replikation, um die Daten IhresVerzeichnisses sicher in die neue Region zu replizieren.

Die Multi-Region-Replikation wird nur für die Enterprise Edition von AWS Managed Microsoft ADunterstützt. Sie können die automatisierte Multi-Region-Replikation in allen Regionen verwenden, in denenAWS Managed Microsoft AD verfügbar ist.

Version 1.060


BenefitsBei der Replikation über mehrere Regionen in AWS Managed Microsoft AD verwenden AD-fähigeAnwendungen das Verzeichnis lokal für hohe Leistung und die Funktion für mehrere Regionen fürAusfallsicherheit. Sie können die Replikation über mehrere Regionen mit AD-fähigen Anwendungen wieSharePoint und SQL Server AlwaysOn sowie mit AWS-Services wie Amazon RDS für SQL Server undAmazon FSx für Windows File Server verwenden. Im Folgenden finden Sie zusätzliche Vorteile der Multi-Region-Replikation.

• Mit dieser Lösung können Sie eine einzelne AWS Managed Microsoft AD-Instance global bereitstellen,schnell und ohne aufwändigen Aufwand bei der Selbstverwaltung einer globalen AD-Infrastruktur.

• Es vereinfacht und ist kostengünstiger für Sie, Windows- und Linux-Workloads in mehreren AWS-Regionen bereitzustellen und zu verwalten. Die automatisierte Multi-Regions-Replikation ermöglichteine optimale Leistung in Ihren globalen AD-fähigen Anwendungen. Alle Anwendungen, die in Windows-oder Linux-Instances bereitgestellt werden, verwenden AWS Managed Microsoft AD lokal in der Region,sodass Antworten auf Benutzeranfragen aus der nächstgelegenen Region möglich sind.

• Sie bietet Ausfallsicherheit in mehreren Regionen. Die Bereitstellung erfolgt in der hochverfügbarenverwalteten AWS-Infrastruktur und AWS Managed Microsoft AD übernimmt automatisierte Software-Updates, -Überwachung, -Wiederherstellung und die Sicherheit der zugrunde liegenden AD-Infrastrukturfür alle Regionen. Auf diese Weise können Sie sich auf die Erstellung Ihrer Anwendungen konzentrieren.

Themen• Globale und regionale Funktionen (p. 61)• Primäre im Vergleich zu zusätzlichen Regionen (p. 62)• So funktioniert die Replikation in mehreren Regionen (p. 62)• Hinzufügen einer replizierten Region (p. 64)• Löschen einer replizierten Region (p. 66)

Globale und regionale FunktionenWenn Sie Ihrem Verzeichnis eine AWS-Region mithilfe der Multi-Region-Replikation hinzufügen, erweitertAWS Directory Service den Umfang aller Funktionen, sodass sie regionsfähig werden. Diese Funktionenwerden auf verschiedenen Registerkarten der Detailseite aufgelistet, die angezeigt wird, wenn Siedie ID eines Verzeichnisses in der AWS Directory Service-Konsole auswählen. Das bedeutet, dassalle Funktionen basierend auf der Region, die Sie im Abschnitt Multi-Region replication der -Konsoleauswählen, aktiviert, konfiguriert oder verwaltet werden. Änderungen, die Sie an Funktionen in jeder Regionvornehmen, werden entweder global oder pro Region angewendet.

Globale Funktionen

Alle Änderungen, die Sie an globalen Funktionen vornehmen, während der Primäre Region (p. 62)ausgewählt ist, werden auf alle Regionen angewendet.

Sie können die Funktionen, die global auf der Seite Directory details (Verzeichnisdetails) verwendetwerden, identifizieren, da neben ihnen Applied to all replicated Regions (Auf alle replizierten Regionenangewendet) angezeigt werden. Wenn Sie alternativ eine andere Region in der Liste ausgewählt haben,die nicht die primäre Region ist, können Sie die global verwendeten Funktionen identifizieren, da sieInherited from primary Region anzeigen.

Regionale Funktionen

Alle Änderungen, die Sie an einer Funktion in einem

Version 1.061


Alle Regionen, die Sie Ihrem Verzeichnis hinzugefügt haben, werden als zusätzliche Regionenbezeichnet.

Obwohl einige Funktionen global für alle Regionen verwaltet werden können, werden andereindividuell pro Region verwaltet. Um eine Funktion für eine zusätzliche Region (nicht primäreRegion) zu verwalten, müssen Sie zuerst die zusätzliche Region aus der Liste im AbschnittMulti-Region replication (Replikation über mehrere Regionen) auf der Seite Directory details(Verzeichnisdetails) auswählen. Anschließend können Sie mit der Verwaltung der Funktionfortfahren.

Alle Änderungen, die Sie an Regionale Funktionen (p. 61) vornehmen, während einezusätzliche Region ausgewählt ist, werden nur auf diese Region angewendet.

(p. 62) vornehmen, werden nur auf diese Region angewendet.

Sie können die Funktionen, die regional sind, auf der Seite Directory details (Verzeichnisdetails)identifizieren, da nicht neben allen replizierten Regionen oder Inherited from primary Region (Von derprimären Region geerbt) angezeigt wird.

Primäre im Vergleich zu zusätzlichen RegionenBei der Multi-Region-Replikation verwendet AWS Managed Microsoft AD die folgenden zwei Arten vonRegionen, um zu unterscheiden, wie globale oder regionale Funktionen auf Ihr Verzeichnis angewendetwerden sollen.

Primäre Region

Die erste Region, in der Sie Ihr Verzeichnis erstellt haben, wird als primäre Region bezeichnet. Sie könnennur globale Operationen auf Verzeichnisebene durchführen, wie das Erstellen von Active Directory-Vertrauensstellungen und das Aktualisieren des AD-Schemas aus der primären Region.

Die primäre Region kann immer als erste Region identifiziert werden, die oben in der Liste im AbschnittMulti-Region replication angezeigt wird, und endet mit - Primary. Beispiel: USA Ost (Nord-Virginia) –Primär.

Alle Änderungen, die Sie an Globale Funktionen (p. 61) vornehmen, während die primäre Regionausgewählt ist, werden auf alle Regionen angewendet.

Sie können nur Regionen hinzufügen, während die primäre Region ausgewählt ist. Weitere Informationenfinden Sie unter Hinzufügen einer replizierten Region (p. 64).

Zusätzliche Region

Alle Regionen, die Sie Ihrem Verzeichnis hinzugefügt haben, werden als zusätzliche Regionen bezeichnet.

Obwohl einige Funktionen global für alle Regionen verwaltet werden können, werden andere individuellpro Region verwaltet. Um eine Funktion für eine zusätzliche Region (nicht primäre Region) zu verwalten,müssen Sie zuerst die zusätzliche Region aus der Liste im Abschnitt Multi-Region replication (Replikationüber mehrere Regionen) auf der Seite Directory details (Verzeichnisdetails) auswählen. Anschließendkönnen Sie mit der Verwaltung der Funktion fortfahren.

Alle Änderungen, die Sie an Regionale Funktionen (p. 61) vornehmen, während eine zusätzliche Regionausgewählt ist, werden nur auf diese Region angewendet.

So funktioniert die Replikation in mehreren RegionenMit der Multi-Region-Replikationsfunktion entfällt bei AWS Managed Microsoft AD der aufwändigeVerwaltungsaufwand für eine globale AD-Infrastruktur. Wenn dies konfiguriert ist, repliziert AWS alle

Version 1.062


Kundenverzeichnisdaten, einschließlich Benutzer, Gruppen, Gruppenrichtlinien und Schemata, übermehrere AWS-Regionen hinweg.

Sobald eine neue Region hinzugefügt wurde, werden die folgenden Operationen automatisch ausgeführt,wie in der Abbildung dargestellt:

• AWS Managed Microsoft AD erstellt zwei Domänencontroller in der ausgewählten VPC und stellt siein der neuen Region im selben AWS-Konto bereit. Ihre Verzeichnis-ID (directory_id) bleibt in allenRegionen gleich. Sie können später zusätzliche Domänencontroller hinzufügen, wenn Sie möchten.

• AWS Managed Microsoft AD konfiguriert die Netzwerkverbindung zwischen der primären Region und derneuen Region.

• AWS Managed Microsoft AD erstellt eine neue Active Directory-Website und gibt ihr denselben Namenwie der Region, z. B. us-east-1. Sie können diese auch später mit dem Tool für Active Directory-Standorte und -Dienste umbenennen.

• AWS Managed Microsoft AD repliziert alle AD-Objekte und -Konfigurationen in die neue Region,einschließlich Benutzer, Gruppen, Gruppenrichtlinien, AD-Vertrauensstellungen, Organisationseinheitenund AD-Schema.

• Wenn dies die erste Region ist, die Sie hinzugefügt haben, macht AWS Managed Microsoft AD alleFunktionen regionsübergreifend bekannt. Weitere Informationen finden Sie unter Globale und regionaleFunktionen (p. 61).

Version 1.063


Active Directory-Standorte

Die Multi-Region-Replikation unterstützt mehrere Active Directory-Standorte (ein AD-Standort pro Region).Wenn eine neue Region hinzugefügt wird, erhält sie denselben Namen wie die Region — z. B. us-east-1.Sie können diese auch später mit Active Directory-Standorten und -Diensten umbenennen.

AWS-Services

AWS-Services wie Amazon RDS für SQL Server und Amazon FSx stellen eine Verbindung zu den lokalenInstances des globalen Verzeichnisses her. Auf diese Weise können sich Ihre Benutzer einmal bei AD-fähigen Anwendungen anmelden, die in AWS ausgeführt werden, sowie bei AWS-Services wie AmazonRDS für SQL Server in einer beliebigen AWS-Region. Dazu benötigen Benutzer Anmeldeinformationen vonAWS Managed Microsoft AD oder einem lokalen Active Directory, wenn Sie eine Vertrauensstellung mitIhrem AWS Managed Microsoft AD haben.

Sie können die folgenden AWS-Services mit der Multi-Region-Replikationsfunktion verwenden.

• Amazon EC2• Amazon FSx für Windows File Server• Amazon RDS for SQL Server• Amazon RDS für Oracle• Amazon RDS für MySQL• Amazon RDS für PostgreSQL• Amazon RDS für MariaDB• Amazon Aurora für MySQL• Amazon Aurora für PostgreSQL

Failover

Falls alle Domänencontroller in einer Region ausfallen, stellt AWS Managed Microsoft ADdie Domänencontroller wieder her und repliziert die Verzeichnisdaten automatisch. ZwischenDomänencontrollern in anderen Regionen bleiben aktiv.

Hinzufügen einer replizierten RegionWenn Sie eine Region mit der Multiregionale Replikation (p. 60)-Funktion hinzufügen, erstellt AWSManaged Microsoft AD zwei Domänencontroller in der ausgewählten AWS-Region, Amazon VirtualPrivate Cloud (VPC) und im Subnetz. AWS Managed Microsoft AD erstellt auch die zugehörigenSicherheitsgruppen, mit denen Windows-Workloads eine Verbindung mit Ihrem Verzeichnis in der neuenRegion herstellen können. Außerdem werden diese Ressourcen mit demselben AWS-Konto erstellt, in demIhr Verzeichnis bereits bereitgestellt ist. Dazu wählen Sie die Region aus, geben die VPC an und geben dieKonfigurationen für die neue Region an.

Die Multi-Region-Replikation wird nur für die Enterprise Edition von AWS Managed Microsoft ADunterstützt.

Prerequisites

Bevor Sie mit den Schritten zum Hinzufügen einer neuen Replikationsregion fortfahren, empfehlen wirIhnen, zunächst die folgenden erforderlichen Aufgaben zu überprüfen.

• Stellen Sie sicher, dass Sie über die erforderlichen AWS Identity and Access Management (IAM)-Berechtigungen, die Amazon VPC-Einrichtung und die Subnetzeinrichtung in der neuen Region verfügen,in die Sie das Verzeichnis replizieren möchten.

Version 1.064


• Wenn Sie Ihre vorhandenen lokalen Active Directory-Anmeldeinformationen für den Zugriff aufund die Verwaltung von AD-fähigen Workloads in AWS verwenden möchten, müssen Sie eine AD-Vertrauensstellung zwischen AWS Managed Microsoft AD und Ihrer lokalen AD-Infrastruktur erstellen.Weitere Informationen zu Vertrauensstellungen finden Sie unter Herstellen einer Verbindung zurvorhandenen AD-Infrastruktur (p. 111).

Hinzufügen einer Region

Gehen Sie wie folgt vor, um eine replizierte Region für Ihr AWS Managed Microsoft AD-Verzeichnishinzuzufügen.

So fügen Sie eine replizierte Region hinzu

1. Wählen Sie im Navigationsbereich der AWS Directory Service console Directories (Verzeichnisse) aus.2. Wählen Sie auf der Seite Directories (Verzeichnisse) Ihre Verzeichnis-ID aus.3. Wählen Sie auf der Seite Directory details (Verzeichnisdetails) unter Multi-Region replication

(Multiregionale Replikation) die Region Primary (Primär) aus der Liste aus und wählen Sie dann AddRegion (Region hinzufügen).

Note

Sie können nur Regionen hinzufügen, während die Region Primary (Primär) ausgewählt ist.Weitere Informationen finden Sie unter Primäre Region (p. 62).

4. Wählen Sie auf der Seite Add Region (Region hinzufügen) unter Region die Region aus der Liste aus,die Sie hinzufügen möchten.

5. Wählen Sie unter VPC die VPC aus, die für diese Region verwendet werden soll.

Note

Diese VPC darf kein Classless Inter-Domain Routing (CIDR) haben, das sich mit einer VPCüberschneidet, die von diesem Verzeichnis in einer anderen Region verwendet wird.

6. Wählen Sie unter Subnets (Subnetze) das Subnetz aus, das für diese Region verwendet werden soll.7. Überprüfen Sie die Informationen unter Pricing (Preise) und wählen Sie dann Add (Hinzufügen) aus.8. Wenn AWS Managed Microsoft AD den Domänencontroller-Bereitstellungsprozess abgeschlossen hat,

zeigt die Region den Status Active (Aktiv) an. Sie können diese Region nun bei Bedarf aktualisieren.

Nächste Schritte

Nachdem Sie Ihre neue Region hinzugefügt haben, sollten Sie die folgenden nächsten Schritte ausführen:

• Stellen Sie nach Bedarf zusätzliche Domänencontroller (bis zu 20) in Ihrer neuen Region bereit. DieAnzahl der Domänencontroller, wenn Sie eine neue Region hinzufügen, ist standardmäßig 2. Dies ist dasMinimum, das für Fehlertoleranz und hohe Verfügbarkeit erforderlich ist. Weitere Informationen findenSie unter Zusätzliche Domänencontroller hinzufügen oder entfernen (p. 161).

• Geben Sie Ihr Verzeichnis für weitere AWS-Konten pro Region frei. Konfigurationen für dieVerzeichnisfreigabe werden nicht automatisch aus der primären Region repliziert. Weitere Informationenfinden Sie unter Freigeben Ihres Verzeichnisses (p. 66).

• Aktivieren Sie die Protokollweiterleitung, um die Sicherheitsprotokolle Ihres Verzeichnisses mit AmazonCloudWatch Logs aus der neuen Region abzurufen. Wenn Sie die Protokollweiterleitung aktivieren,müssen Sie in jeder Region, in der Sie Ihr Verzeichnis repliziert haben, einen Protokollgruppennamenangeben. Weitere Informationen finden Sie unter Protokollweiterleitung aktivieren (p. 58).

• Aktivieren Sie die Amazon Simple Notification Service (Amazon SNS)-Überwachung für die neue Region,um den Zustand Ihres Verzeichnisses pro Region zu verfolgen. Weitere Informationen finden Sie unterKonfigurieren von Benachrichtigungen über den Verzeichnisstatus (p. 54).

Version 1.065


AWS Directory Service AdministratorhandbuchFreigeben Ihres Verzeichnisses

Löschen einer replizierten RegionGehen Sie wie folgt vor, um eine Region für Ihr AWS Managed Microsoft AD-Verzeichnis zu löschen. BevorSie eine Region löschen, stellen Sie sicher, dass keine der folgenden Punkte zutrifft:

• Autorisierte Anwendungen, die diesem angefügt sind.• Die damit verbundenen freigegebenen Verzeichnisse.

So löschen Sie eine replizierte Region

1. Wählen Sie im Navigationsbereich der AWS Directory Service console Directories (Verzeichnisse) aus.2. Wählen Sie auf der Seite Directories (Verzeichnisse) Ihre Verzeichnis-ID aus.3. Wählen Sie auf der Seite Directory details unter Multi-Region replication die Option Delete Region aus.4. Überprüfen Sie die Informationen im Dialogfeld Delete Region und geben Sie dann den Namen der

Region ein, um dies zu bestätigen. Wählen Sie dann Delete aus.Note

Sie können die Region nicht aktualisieren, während sie gelöscht wird.

Freigeben Ihres VerzeichnissesAWS Managed Microsoft AD ist eng in AWS Organizations integriert, um eine nahtlose Verzeichnisfreigabeüber mehrere AWS-Konten hinweg zu ermöglichen. Sie können ein einzelnes Verzeichnis zurgemeinsamen Nutzung mit anderen vertrauenswürdigen AWS-Konten innerhalb der gleichen Organisationoder mit anderen AWS-Konten außerhalb Ihrer Organisation freigeben. Sie können Ihr Verzeichnis auchfreigeben, wenn Ihr AWS-Konto derzeit nicht Mitglied einer Organisation ist.

Note

AWS berechnet eine Zusatzgebühr für die Verzeichnisfreigabe. Weitere Informationen finden Sieauf der Seite Preise auf der AWS Directory Service-Website.

Die Verzeichnisfreigabe macht AWS Managed Microsoft AD zu einer kostengünstigeren Methode derIntegration in Amazon EC2 in mehreren Konten und VPCs. Die Verzeichnisfreigabe ist in allen AWS-Regionen verfügbar, in denen AWS Managed Microsoft AD angeboten wird.

Note

In der Region AWS China (Ningxia) ist diese Funktion nur verfügbar, wenn Sie AWS SystemsManager (SSM) verwenden, um Ihre Amazon EC2-Instances nahtlos zu verbinden.

Weitere Informationen zur Verzeichnisfreigabe und Erhöhung der Reichweite Ihres AWS ManagedMicrosoft AD-Verzeichnisses über die Grenzen des AWS-Kontos hinaus finden Sie in den folgendenThemen.

Themen• Schlüsselkonzepte der Verzeichnisfreigabe (p. 66)• Tutorial: Freigeben Ihres AWS Managed Microsoft AD-Verzeichnisses für eine nahtlose EC2-

Domänenverbindung (p. 68)• Aufheben der Freigabe Ihres Verzeichnisses (p. 75)

Schlüsselkonzepte der VerzeichnisfreigabeSie profitieren mehr von der Verzeichnisfreigabe-Funktion, wenn Sie mit den folgenden wesentlichenKonzepten vertraut sind.

Version 1.066


https://aws.amazon.com/directoryservice/pricing/

https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/

https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/




Konto des Verzeichniseigentümers

Ein Verzeichniseigentümer ist der AWS-Kontoinhaber, dem das ursprüngliche Verzeichnis inVerzeichnisfreigabe-Beziehung gehört. Ein Administrator in diesem Konto initiiert den Verzeichnisfreigabe-Workflow durch Angabe der AWS-Konten, für die das Verzeichnis freigegeben werden soll.Verzeichniseigentümer können auf der Registerkarte Scale & Share (Skalieren und Freigeben) für einbestimmtes Verzeichnis in der AWS Directory Service-Konsole einsehen, für wen sie ein Verzeichnisfreigegeben haben.

Konto des Verzeichniskonsumenten

In einer Verzeichnisfreigabe-Beziehung repräsentiert ein Verzeichniskonsument das AWS-Konto,für das der Verzeichniseigentümer das Verzeichnis freigegeben hat. Abhängig von der verwendetenFreigabemethode muss ein Administrator in diesem Konto möglicherweise zuerst eine vomVerzeichniseigentümer gesendete Einladung akzeptieren, bevor er mit der Verwendung des freigegebenenVerzeichnisses beginnen kann.

Der Verzeichnisfreigabevorgang erstellt im Konto des Verzeichniskonsumenten ein freigegebenesVerzeichnis. Dieses freigegebene Verzeichnis enthält die Metadaten, die der EC2-Instance eine nahtloseVerbindung mit der Domäne ermöglichen, die das Originalverzeichnis im Verzeichniseigentümerkontoausfindig macht. Jedes freigegebene Verzeichnis im Konto des Verzeichniskonsumenten verfügt über eineeindeutige Kennung, die Shared directory ID (ID des freigegebenen Verzeichnisses).

Freigabemethoden

AWS Managed Microsoft AD bietet die folgenden beiden Verzeichnisfreigabemethoden:

• AWS Organizations – Diese Methode vereinfacht die Freigabe des Verzeichnisses innerhalb IhrerOrganisation, da Sie die Verzeichniskonsumentenkonten durchsuchen und validieren können. Um dieseOption verwenden zu können, muss Ihre Organisation Alle Funktionen und Ihr Verzeichnis muss sich inder Organisation befinden Verwaltungskonto. Diese Freigabemethode vereinfacht Ihnen die Einrichtung,da die Verzeichniskonsumentenkonten Ihre Verzeichnisfreigabe-Anforderung nicht akzeptieren müssen.In der Konsole wird diese Methode als Share this directory with AWS accounts inside your organization(Freigabe dieses Verzeichnisses für -Konten innerhalb Ihrer Organisation) bezeichnet.

• Handshake – Diese Methode ermöglicht die Verzeichnisfreigabe, wenn Sie derzeit nicht AWSOrganizations verwenden. Bei der Handshake-Methode muss das Verzeichniskonsumentenkonto die

Version 1.067


Verzeichnisfreigabe-Anfrage akzeptieren. In der Konsole wird diese Methode als Share this directory withother AWS accounts (Freigabe dieses Verzeichnisses für andere -Konten) bezeichnet.

Netzwerkkonnektivität

Die Netzwerkkonnektivität ist eine Voraussetzung für die Verwendung einer Verzeichnisfreigabebeziehungzwischen AWS -Konten. AWS unterstützt viele Lösungen, um Ihre VPCs, einige davon sind VPC-Peering(VPC-Peering), , und Sie haben die Möglichkeit Durchgangsgateway, und VPN-Verbindung. Lesen Siezum Einstieg Tutorial: Freigeben Ihres AWS Managed Microsoft AD-Verzeichnisses für eine nahtlose EC2-Domänenverbindung (p. 68).

Tutorial: Freigeben Ihres AWS Managed Microsoft AD-Verzeichnisses für eine nahtlose EC2-DomänenverbindungIn diesem Tutorial erfahren Sie, wie Sie Ihr AWS Managed Microsoft AD-Verzeichnis (dasVerzeichniseigentümerkonto) für ein anderes AWS-Konto (das Verzeichniskonsumentenkonto)freigeben. Nachdem die Netzwerkvoraussetzungen erfüllt wurden, geben Sie ein Verzeichnis für zweiAWS-Konten frei. Danach erfahren Sie, wie Sie eine EC2-Instance nahtlos mit einer Domäne in demVerbraucherkonsumentenkonto verbinden.

Wir empfehlen, dass Sie zuerst die Schlüsselkonzepte der Verzeichnisfreigabe und den Inhalt derAnwendungsfälle durchgehen, bevor Sie mit dem Durcharbeiten dieses Tutorials beginnen. WeitereInformationen finden Sie unter Schlüsselkonzepte der Verzeichnisfreigabe (p. 66).

Der Prozess für die Freigabe Ihres Verzeichnisses unterscheidet sich abhängig davon, ob Sie dasVerzeichnis für ein anderes AWS-Konto in derselben AWS-Organisation oder für ein Konto außerhalb derAWS-Organisation freigeben. Weitere Information über die Funktionsweise der Freigabe finden Sie unterFreigabemethoden (p. 67).

Dieser Workflow umfasst vier grundlegende Schritte.

Schritt 1: Einrichten Ihrer Netzwerkumgebung (p. 69)

Im Verzeichniseigentümerkonto erfüllen Sie alle Netzwerkvoraussetzungen, die für denVerzeichnisfreigabevorgang erforderlich sind.

Schritt 2: Freigeben Ihres Verzeichnisses (p. 71)

Während Sie mit den Administrator-Anmeldeinformationen des Verzeichniseigentümers angemeldetsind, öffnen Sie die AWS Directory Service-Konsole und beginnen Sie mit dem Verzeichnisfreigabe-Workflow, der eine Einladung an das Konto des Verzeichniskonsumenten sendet.

Version 1.068

https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html


https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html

https://docs.aws.amazon.com/vpc/latest/adminguide/Welcome.html


Schritt 3: Akzeptieren der Einladung eines freigegebenen Verzeichnisses (optional) (p. 72)

Während Sie mit den Administrator-Anmeldeinformationen des Verzeichniskonsumentenangemeldet sind, öffnen Sie die AWS Directory Service-Konsole und akzeptieren Sie Einladung zurVerzeichnisfreigabe.

Schritt 4: Testen der nahtlosen Verbindung einer EC2-Instance für Windows Server mit einerDomäne (p. 72)

Schließlich versuchen Sie als Verzeichniskonsumenten-Administrator, eine EC2-Instance mit IhrerDomäne zu verbinden, und überprüfen, ob der Vorgang erfolgreich war.

Weitere Ressourcen

• Anwendungsfall: Freigeben Ihres Verzeichnisses, um Amazon EC2-Instances nahtlos über AWS-Kontenhinweg mit einer Domäne zu verbinden

• Blog-Artikel zur AWS-Sicherheit: So verbinden Sie Amazon EC2-Instances von mehreren Konten undVPCs mit einem einzigen AWS Managed Microsoft AD-Verzeichnis

Schritt 1: Einrichten Ihrer Netzwerkumgebung

Bevor Sie mit den Schritten in diesem Tutorial beginnen, müssen Sie zuerst folgende Aufgaben ausführen:

• Erstellen Sie zwei neue AWS-Konten für Testzwecke in der gleichen Region. Wenn Sie ein AWS-Kontoerstellen, wird automatisch in jedem Konto eine dedizierte Virtual Private Cloud (VPC) erstellt. NotierenSie sich die VPC-ID in jedem Konto. Sie benötigen sie zu einem späteren Zeitpunkt.

• Erstellen Sie mithilfe der Verfahren in diesem Schritt eine VPC-Peering-Verbindung zwischen den beidenVPCs in jedem Konto.

Note

Es gibt viele Möglichkeiten, Verzeichniseigentümer- und Verzeichniskonsumentenkonto-VPCszu verbinden. In diesem Tutorial wird die VPC-Peering-Methode verwendet. Weitere VPC-Konnektivitätsoptionen finden Sie unter Netzwerkkonnektivität (p. 68).

Konfigurieren einer VPC-Peering-Verbindung zwischen dem Verzeichniseigentümer- und demVerzeichniskonsumentenkonto

Die VPC-Peering-Verbindung, die Sie erstellen, besteht zwischen dem Verzeichniskonsumenten und demVerzeichniseigentümer VPCs. Führen Sie die folgenden Schritte aus, um eine VPC-Peering-Verbindung fürdie Konnektivität mit dem Verzeichniskonsumentenkonto zu konfigurieren. Mit dieser Verbindung könnenSie den Datenverkehr zwischen beiden VPCs mithilfe privater IP-Adressen weiterleiten.

So erstellen Sie eine VPC-Peering-Verbindung zwischen dem Verzeichniseigentümer- und demVerzeichniskonsumentenkonto

1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/. Achten Sie darauf,sich bei dem Verzeichniseigentümerkonto als Benutzer mit Administrator-Anmeldeinformationenanzumelden.

2. Wählen Sie im Navigationsbereich Peering Connections aus. Wählen Sie dann Create PeeringConnection (Peering-Verbindung erstellen).

3. Konfigurieren Sie die folgenden Informationen:

• Namens-Tag der Peering-Verbindung: Geben Sie einen Namen ein, der diese Verbindung mit derVPC im Verzeichniskonsumentenkonto eindeutig identifiziert.

• VPC (Anforderer): Wählen Sie die VPC-ID für das Verzeichniseigentümerkonto aus.

Version 1.069

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/usecase6.html


https://aws.amazon.com/blogs/security/how-to-domain-join-amazon-ec2-instances-aws-managed-microsoft-ad-directory-multiple-accounts-vpcs/


https://console.aws.amazon.com/vpc/


• Vergewissern Sie sich unter Select another VPC to peer with (Eine weitere VPC zum Verbindenper Peering auswählen) davon, dass My account (Mein Konto) und This region (Diese Region)ausgewählt sind.

• VPC (Accepter): Wählen Sie die VPC-ID für das Verzeichniskonsumentenkonto aus.4. Wählen Sie Create Peering Connection (Peering-Verbindung erstellen). Wählen Sie im

Bestätigungsdialogfeld OK aus.

Da sich beide VPCs in derselben Region befinden, kann der Administrator desVerzeichniseigentümerkontos, das die VPC-Peering-Anfrage gesendet hat, die Peering-Anfrage auch imNamen des Verzeichniskonsumentenkontos akzeptieren.

So akzeptieren Sie die Peering-Anfrage im Namen des Verzeichniskonsumentenkontos

1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.2. Wählen Sie im Navigationsbereich Peering Connections aus.3. Wählen Sie die ausstehende VPC-Peering-Verbindung aus. (Der Status lautet "Pending Acceptance".)

Wählen Sie Actions, Accept Request.4. Wählen Sie im Bestätigungsdialogfeld Yes, Accept aus. Wählen Sie im nächsten

Bestätigungsdialogfeld Modify my route tables now (Meine Routing-Tabellen jetzt anpassen), um direktzur Seite der Routing.Tabellen zu gelangen.

Wenn Ihre VPC-Peering-Verbindung nun aktiv ist, müssen Sie im Verzeichniseigentümerkontoeinen Eintrag zu Ihrer VPC-Routing-Tabelle hinzufügen. Auf diese Weise wird die Weiterleitung desDatenverkehrs zur VPC im Verzeichniskonsumentenkonto ermöglicht.

So fügen Sie einen Eintrag zur VPC-Routingtabelle im Verzeichniseigentümerkonto hinzu

1. Wählen Sie im BereichRoute Tables (Routing-Tabellen) der Amazon VPC-Konsole die Routing-Tabellefür die Verzeichniseigentümer-VPC aus.

2. Wählen Sie die Registerkarte Routes (Routen), klicken Sie auf Edit (Bearbeiten) und wählen Sie dannAdd another route (Eine weitere Route hinzufügen).

3. Geben Sie in der Spalte Destination (Ziel) den CIDR-Block für die Verzeichniskonsumenten-VPC ein.4. Geben Sie in der Spalte Target (Ziel) die VPC-Peering-Verbindungs-ID (wie z.

B. pcx-123456789abcde000) für die Peering-Verbindung ein, die Sie zuvor imVerzeichniseigentümerkonto erstellt haben.

5. Wählen Sie Save (Speichern) aus.

So fügen Sie einen Eintrag zur VPC-Routingtabelle im Verzeichniskonsumentenkonto hinzu

1. Wählen Sie im BereichRoute Tables (Routing-Tabellen) der Amazon VPC-Konsole die Routing-Tabellefür die Verzeichniskonsumenten-VPC aus.

2. Wählen Sie die Registerkarte Routes (Routen), klicken Sie auf Edit (Bearbeiten) und wählen Sie dannAdd another route (Eine weitere Route hinzufügen).

3. Geben Sie in der Spalte Destination (Ziel) den CIDR-Block für die Verzeichniseigentümer-VPC ein.4. Geben Sie in der Spalte Target (Ziel) die VPC-Peering-Verbindungs-ID (wie z.

B. pcx-123456789abcde001) für die Peering-Verbindung ein, die Sie zuvor imVerzeichniskonsumentenkonto erstellt haben.

5. Wählen Sie Save (Speichern) aus.

Stellen Sie sicher, dass Sie die VPCs-Sicherheitsgruppe Ihres Verzeichniskonsumenten so konfigurieren,dass ausgehender Datenverkehr durch Hinzufügen der Active Directory-Protokolle und -Ports zur

Version 1.070



Regeltabelle für ausgehenden Datenverkehr möglich ist. Weitere Informationen finden Sie unterSicherheitsgruppen für Ihre VPC und Voraussetzungen für AWS Managed Microsoft AD.

Nächster Schritt

Schritt 2: Freigeben Ihres Verzeichnisses (p. 71)

Schritt 2: Freigeben Ihres Verzeichnisses

Verfahren Sie wie folgt, um über das Verzeichniseigentümerkonto mit dem Workflow für dieVerzeichnisfreigabe zu beginnen.

Note

Die Verzeichnisfreigabe ist eine regionale Funktion von AWS Managed Microsoft AD.

So geben Sie Ihr Verzeichnis über das Verzeichniseigentümerkonto frei

1. Melden Sie sich mit Administrator-Anmeldeinformationen im Verzeichniseigentümerkonto beiAWS Management Console an und öffnen Sie die AWS Directory Service console unter https://console.aws.amazon.com/directoryservicev2/.

2. Wählen Sie im Navigationsbereich Directories (Verzeichnisse) aus.3. Wählen Sie die Verzeichnis-ID des AWS Managed Microsoft AD-Verzeichnisses aus, die Sie freigeben


• Wenn mehrere Regionen unter Multi-Region replication (Replikation über mehrere Regionen)angezeigt werden, wählen Sie die Region aus, in der Sie Ihr Verzeichnis freigeben möchten,und wählen Sie dann die Registerkarte Scale & share (Skalieren und freigeben) aus. WeitereInformationen finden Sie unter Primäre im Vergleich zu zusätzlichen Regionen (p. 62).

• Wenn unter Multi-Region replication (Multiregionale Replikation) keine Regionen angezeigt werden,wählen Sie die Registerkarte Scale & share (Skalieren und freigeben) aus.

5. Wählen Sie im Bereich Shared directories (Freigegebene Verzeichnisse) die Option Actions (Aktionen)and danach Create new shared directory (Neues freigegebenes Verzeichnis erstellen).

6. Wählen Sie auf der Seite Choose which AWS accounts to share with (Auswahl, für welche AWS-Konten die Freigabe erfolgen soll) je nach Ihren geschäftlichen Anforderungen eine der folgendenFreigabemethoden aus:

a. Share this directory with AWS accounts inside your organization (Freigabe dieses Verzeichnissesfür AWS-Konten innerhalb Ihrer Organisation) – Mit dieser Option können Sie aus einer Liste allerAWS-Konten in Ihrer AWS-Organisation die AWS-Konten auswählen, für die Sie Ihr Verzeichnisfreigeben möchten. Sie müssen zuerst vertrauenswürdigen Zugriff mit AWS Directory Serviceaktivieren, bevor Sie ein Verzeichnis freigeben. Weitere Informationen finden Sie unter Soaktivieren oder deaktivieren Sie den vertrauenswürdigen Zugriff.

Note

Um diese Option verwenden zu können, muss für Ihre Organisation All features(Alle Funktionen) aktiviert sein und Ihr Verzeichnis muss sich in der OrganisationVerwaltungskonto befinden.

i. Wählen Sie unter AWS accounts in your organization (AWS-Konten in Ihrer Organisation) dieAWS-Konten aus, für die Sie das Verzeichnis freigeben möchten, und klicken Sie auf Add(Hinzufügen).

ii. Überprüfen Sie die Preisdetails und klicken Sie auf Share (Freigeben).iii. Fahren Sie mit Schritt 4 (p. 72) in dieser Anleitung fort. Da sich alle AWS-Konten in der

gleichen Organisation befinden, müssen Sie Schritt 3 nicht befolgen.

Version 1.071

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_prereqs.html


https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_how-to-enable-disable-trusted-access

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_how-to-enable-disable-trusted-access


b. Share this directory with other AWS accounts (Freigabe dieses Verzeichnisses für andere AWS-Konten): Mit dieser Option können Sie ein Verzeichnis für Konten innerhalb oder außerhalb IhrerAWS-Organisation freigeben. Sie können diese Option auch verwenden, wenn Ihr Verzeichniskein Mitglied einer AWS-Organisation ist und Sie es für ein anderes AWS-Konto freigebenmöchten.

i. Geben Sie unter AWS account ID(s) (Konto-ID(s)) alle AWS-Konto-IDs ein, für die Sie dasVerzeichnis freigeben möchten, und klicken Sie dann auf Add (Hinzufügen).

ii. Geben Sie unter Send a note (Einen Hinweis senden) eine Nachricht an den Administrator indem anderen AWS-Konto ein.

iii. Überprüfen Sie die Preisdetails und klicken Sie auf Share (Freigeben).iv. Fahren Sie mit Schritt 3 fort.

Nächster Schritt

Schritt 3: Akzeptieren der Einladung eines freigegebenen Verzeichnisses (optional) (p. 72)

Schritt 3: Akzeptieren der Einladung eines freigegebenen Verzeichnisses(optional)

Wenn Sie im vorherigen Verfahren die Option Share this directory with other AWS accounts (Freigabedieses Verzeichnisses für andere AWS-Konten) (Handshake-Methode) ausgewählt haben, sollten Sieden Workflow der Verzeichnisfreigabe mit diesem Verfahren abschließen. Bei Wahl der Option Share thisdirectory with AWS accounts inside your organization (Freigabe dieses Verzeichnisse für AWS-Konteninnerhalb Ihrer Organisation) können Sie diesen Schritt überspringen und mit Schritt 4 fortfahren.

So akzeptieren Sie die Einladung für die Verzeichnisfreigabe

1. Melden Sie sich mit Administrator-Anmeldeinformationen im Verzeichniskonsumentenkonto bei derAWS Management Console an und öffnen Sie die AWS Directory Service console unter https://console.aws.amazon.com/directoryservicev2/.

2. Wählen Sie im Navigationsbereich Directories shared with me (Mit mir geteilte Verzeichnisse).3. Wählen Sie in der Spalte Shared directory ID ( ID des freigegebenen Verzeichnisses) die Verzeichnis-

ID aus, die sich im Zustand Pending acceptance (Annahme ausstehend) befindet.4. Wählen Sie auf der Seite Shared directory details (Weitere Informationen zu dem freigegebenen

Verzeichnis) die Option Review (Überprüfen) aus.5. Überprüfen Sie im Dialogfeld Pending shared directory invitation (Ausstehende Einladung für ein

freigegebenes Verzeichnis) Hinweis, Verzeichniseigentümer-Details und Informationen zu denPreisen. Wenn Sie damit einverstanden sind, wählen Sie Accept (Annehmen), um das Verzeichnis zuverwenden.

Nächster Schritt

Schritt 4: Testen der nahtlosen Verbindung einer EC2-Instance für Windows Server mit einerDomäne (p. 72)

Schritt 4: Testen der nahtlosen Verbindung einer EC2-Instance für WindowsServer mit einer Domäne

Sie können eine der folgenden beiden Methoden verwenden, um den reibungslosen Domänenbeitritt zutesten.

Methode 1: Testen der Domänenverbindung mit der Amazon EC2-Konsole

Version 1.072



Verwenden Sie diesen Schritt im Verzeichniskonsumentenkonto.

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon EC2-Konsole unterhttps://console.aws.amazon.com/ec2/.

2. Wählen Sie in der Regionsauswahl in der Navigationsleiste dieselbe Region wie das vorhandeneVerzeichnis aus.

3. Wählen Sie Launch Instance (Instance starten) aus.4. Klicken Sie für das richtige AMI auf der Seite Step 1 (Schritt 1) auf Select (Auswählen).5. Wählen Sie auf der Seite Schritt 2 den entsprechenden Instance-Typ aus und klicken Sie auf Next:

Configure Instance Details (Weiter: Instance-Details konfigurieren).6. Führen Sie auf der Seite Schritt 3 Folgendes durch und wählen Sie dann Next: Add Storage (Weiter:

Speicher hinzufügen):

1. Wählen Sie für Network (Netzwerk) die VPC, in der Ihr Verzeichnis erstellt wurde.2. Wählen Sie für Subnetz eines der öffentlichen Subnetze in Ihrer VPC. Der gesamte externe

Datenverkehr des ausgewählten Subnetzes muss an ein Internet-Gateway geleitet werden. Ist diesnicht der Fall, können Sie keine Remote-Verbindung zur Instance einrichten.

3. Wählen Sie für Auto-assign Public IP (Öffentlche IP automatisch zuweisen) Enable (Aktivieren) aus.

Weitere Informationen zu öffentlichen und privaten IP-Adressierung finden Sie unter IP-Adressierung für Amazon EC2-Instances im Amazon EC2-Benutzerhandbuch für Windows-Instances.

4. Wählen Sie für Domain join directory (Domänenbeitrittsverzeichnis) Ihre Domäne aus der Liste.

Note

Diese Option ist nur für Windows-Instances verfügbar. Linux-Instances müssen wiein Manueller Beitritt zu einer Linux-Instance (p. 85) beschrieben manuell mit demVerzeichnis verbunden werden.

5. Führen Sie für IAM role (Rolle) einen der folgenden Schritte aus:

Wählen Sie eine IAM-Rolle, mit den angehängten von AWS verwalteten RichtinienAmazonSSMManagedInstanceCore und AmazonSSMDirectoryServiceAccess.

-oder-

Wenn Sie keine IAM-Rolle mit den verwalteten Richtlinien AmazonSSMManagedInstanceCoreund AmazonSSMDirectoryServiceAccess erstellt haben, wählen Sie den Link Create new IAM role(Neue Rolle erstellen) und gehen Sie dann wie folgt vor:a. Wählen Sie Create role (Rolle erstellen) aus.b. Wählen Sie unter Select type of trusted entity (Typ der vertrauenswürdigen Entität auswählen) die

Option AWS service (AWS-Service) aus.c. Wählen Sie unter Choose the service that will use this role (Den Service auswählen, der diese

Rolle verwendet) in der vollständigen Liste der Services die Option EC2 aus.d. Wählen Sie unter Select your use case (Anwendungsfall auswählen) die Option EC2 und

anschließend Next: Permissions (Weiter: Berechtigungen).e. Wählen Sie in der Liste der Richtlinien die Richtlinien AmazonSSMManagedInstanceCore und

AmazonSSMDirectoryServiceAccess aus. (Geben Sie zum Filtern der Liste im Suchfeld SSM ein.)

Note

AmazonSSMDirectoryServiceAccess bietet die Berechtigung zur Verbindung vonInstances mit einem von AWS Directory Service verwalteten Active Directory.AmazonSSMManagedInstanceCore bietet die minimalen Berechtigungen zurVerwendung des Systems Manager-Service. Weitere Informationen zum Erstelleneiner Rolle mit diesen Berechtigungen sowie weitere Informationen zu anderen

Version 1.073

https://console.aws.amazon.com/ec2/

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html



Berechtigungen und Richtlinien, die Sie Ihrer IAM-Rolle hinzufügen können, findenSie unter Erstellen eines IAM Instance-Profils fürr Systems Manager im AWS SystemsManager-Benutzerhandbuch.

f. Wählen Sie Next: Tags (Weiter: Tags) aus.g. (Optional) Fügen Sie ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese

Rolle zu organisieren, zu verfolgen oder zu steuern, und wählen Sie dann Next: Review (Weitert:Prüfen) aus.

h. Geben Sie unter Role name (Rollenname) einen Namen für Ihre neue Rolle, wie z. B.EC2DomainJoin oder einen anderen von Ihnen bevorzugten Namen ein.

i. (Optional) Geben Sie im Feld Role description (Rollenbeschreibung) eine Beschreibung ein.j. Wählen Sie Create role (Rolle erstellen) aus.k. Kehren Sie zur Seite Schritt 3 zurück. Wählen Sie für IAM role (IAM-Rolle), das Aktualisieren-

Symbol neben IAM role (IAM-Rolle) aus. Ihre neue Rolle sollte jetzt im Menü angezeigt werden.Wählen Sie diese aus und übernehmen Sie die Standardwerte für die restlichen Einstellungen aufdieser Seite. Klicken Sie anschließend auf Next (Weiter).

7. Behalten Sie auf den Seiten Schritt 4 und Schritt 5 die Standardeinstellungen bei und wählen Sie dannNext (Weiter) aus.

8. Wählen Sie auf der Seite Schritt 6 eine Sicherheitsgruppe für die Instance aus, die konfiguriert wurde,um den Remote-Zugriff auf die Instance über Ihr Netzwerk zuzulassen. Wählen Sie dann Review andLaunch (Überprüfen und Starten) aus.

9. Wählen Sie auf der Seite Schritt 7 Launch (Starten), wählen Sie ein Schlüsselpaar und dann LaunchInstance (Instance starten).

Methode 2: Domänenbeitritt mit der AWS Systems Manager-Konsole testen

Verwenden Sie diesen Schritt im Verzeichniskonsumentenkonto. Zum Speichern dieser Vorgehensweisebenötigen Sie einige Informationen über das Verzeichniseigentümerkonto.

Note

Stellen Sie sicher, dass Sie die verwalteten Richtlinien AmazonSSMManagedInstanceCore undAmazonSSMDirectoryServiceAccess an die -Rollenberechtigungen für Ihre Instance anfügen,bevor Sie mit den Schritten in diesem Verfahren beginnen.IAM Weitere Informationen zu diesenverwalteten Richtlinien und anderen Richtlinien zum Anfügen an ein IAM-Instance-Profil fürSystems Manager finden Sie unter Erstellen eines IAM-Instance-Profils für Systems Manager imAWS Systems Manager-Benutzerhandbuch. Informationen über verwaltete Richtlinien finden Sieunter AWS-verwaltete Richtlinien im IAM-Benutzerhandbuch.

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Systems Manager-Konsole unter https://console.aws.amazon.com/systems-manager/.

2. Wählen Sie im Navigationsbereich die Option Run Command (Befehl ausführen).3. Wählen Sie Run Command.4. Suchen Sie auf der Seite Run a command (Einen Befehl ausführen) nach AWS-

JoinDirectoryServiceDomain. Wenn die Option AWS-JoinDirectoryServiceDomain in denSuchergebnissen angezeigt wird, wählen Sie sie aus.

5. Scrollen Sie nach unten bis zum Abschnitt Command Parameters (Befehlsparameter). Sie müssen diefolgenden Parameter angeben:

• Geben Sie für Directory Id (Verzeichnis-ID) den Namen des AWS Directory Service-Verzeichnissesein.

Note

Sie finden den Wert Directory Id (Verzeichnis-ID), indem Sie zurück zur AWS DirectoryService-Konsole wechseln, Directories shared with me (Mit mir geteilte Verzeichnisse)

Version 1.074

https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies

https://console.aws.amazon.com/systems-manager/


wählen, Ihr Verzeichnis wählen und dann den Wert im Abschnitt Shared directory details(Details des freigegebenen Verzeichnisses) suchen.

• Geben Sie für Directory Name (Verzeichnisname) den Namen des Verzeichnisses (für das Kontodes Verzeichniseigentümers) ein.

• Geben Sie für Dns Ip Addresses (DNS-IP-Adressen) die IP-Adressen der DNS-Server imVerzeichnis (für das Konto des Verzeichniseigentümers) ein.

Note

Sie finden die Werte für Directory Name (Verzeichnisname) und Dns Ip Addresses (DNS-IP-Adressen), indem Sie zurück zur AWS Directory Service-Konsole wechseln, Directoriesshared with me (Mit mir geteilte Verzeichnisse) wählen, Ihr Verzeichnis auswählen unddann die Attribute abrufen, die Sie im Abschnitt Owner directory details (Details desEigentümerverzeichnisses) finden.

6. Wählen Sie für Targets (Ziele) die Instances aus, deren Domäne Sie beitreten möchten.7. Lassen Sie den Rest des Formulars auf die Standardwerte eingestellt, blättern Sie auf der Seite nach

unten und wählen Sie dann Run (Ausführen).8. Wählen Sie im Navigationsbereich Managed Instances (Verwaltete Instances) aus.9. Stellen Sie sicher, dass die Instance der Domäne beigetreten ist, indem Sie die Instance in der Liste

überprüfen. Falls für den Association Status (Zuordnungsstatus) Success (Erfolg) angezeigt wird, istIhre Instance der Domäne erfolgreich beigetreten.

Nach Abschluss von einem der Schritte sollten Sie jetzt mit der EC2-Instance der Domäne beitretenkönnen. Nachdem Sie dies getan haben, können Sie sich mithilfe eines Remote Desktop Protocol (RDP)-Client mit den Anmeldeinformationen Ihres AWS Managed Microsoft AD-Benutzerkonto bei Ihrer Instanceanmelden.

Aufheben der Freigabe Ihres VerzeichnissesGehen Sie wie folgt vor, um die Freigabe eines AWS Managed Microsoft AD-Verzeichnisses aufzuheben.

So heben Sie die Freigabe Ihres Verzeichnisses auf

1. Wählen Sie im AWS Directory Service console-Navigationsbereich unter Active Directory die OptionDirectories (Verzeichnisse) aus.

2. Wählen Sie die Verzeichnis-ID des AWS Managed Microsoft AD-Verzeichnisses aus, die Sie freigebenmöchten.

3. Führen Sie auf der Seite Directory details (Verzeichnisdetails) einen der folgenden Schritte aus:

• Wenn mehrere Regionen unter Multi-Region replication angezeigt werden, wählen Sie die Regionaus, für die Sie die Freigabe Ihres Verzeichnisses aufheben möchten, und wählen Sie dann dieRegisterkarte Scale & share. Weitere Informationen finden Sie unter Primäre im Vergleich zuzusätzlichen Regionen (p. 62).


4. Wählen Sie im Bereich Shared directories (Freigegebene Verzeichnisse) das freigegebene Verzeichnisaus, dessen Freigabe Sie aufheben möchten. Wählen Sie dann Actions (Aktionen) und Unshare(Freigabe aufheben).

5. Wählen Sie im Dialogfeld Unshare directory (Aufheben der Freigabe für ein Verzeichnis) die OptionUnshare (Freigabe aufheben).

Weitere Ressourcen

Version 1.075


AWS Directory Service AdministratorhandbuchVerbinden einer EC2-Instance mit Ihrem -Verzeichnis

• Anwendungsfall: Freigeben Ihres Verzeichnisses, um Amazon EC2-Instances nahtlos über AWS-Kontenhinweg mit einer Domäne zu verbinden

• AWS Blog-Artikel zur -Sicherheit: So verbinden Sie Amazon EC2-Instances von mehreren Konten undVPCs mit einem einzelnen AWS Managed Microsoft AD Directory

• Kontenübergreifendes Verbinden von Amazon RDS-DB-Instances mit einer einzelnen freigegebenenDomäne

Verbinden einer EC2-Instance mit Ihrem AWSManaged Microsoft AD-VerzeichnisSie können eine EC2-Instance nahtlos zu Ihrer Verzeichnisdomäne hinzufügen, wenn die Instance mitAWS Systems Manager gestartet wird. Weitere Informationen finden Sie unter Nahtloses Verbinden einerWindows-Instance mit einer AWS Directory Service-Domäne im Amazon EC2-Benutzerhandbuch fürWindows-Instances.

Soll eine EC2-Instance manuell zur Domäne hinzugefügt werden, starten Sie die Instance in der richtigenRegion und Sicherheitsgruppe oder im richtigen Subnetz und führen Sie dann den Domänenbeitritt derInstance durch.

Damit Sie remote eine Verbindung zu diesen Instances herstellen können, muss vom Netzwerk, überdas die Verbindung erfolgt, eine IP-Konnektivität zu den Instances möglich sein. In den meisten Fällenmuss hierfür Ihrer VPC ein Internet-Gateway zugeordnet sein und die Instance benötigt eine öffentliche IP-Adresse.

Themen• Nahtloser Beitritt zu einer Windows EC2-Instance (p. 76)• Manuelle Anbindung an eine Windows-Instance (p. 78)• Nahtloses Verbinden einer Linux-EC2-Instance mit Ihrem AWS Managed Microsoft AD-

Verzeichnis (p. 80)• Manueller Beitritt zu einer Linux-Instance (p. 85)• Manueller Beitritt zu einer Linux-Instance mit Winbind (p. 96)• Delegieren von Berechtigungen zum Beitritt zu Verzeichnissen für AWS Managed Microsoft

AD (p. 104)• Erstellen Sie eine DHCP-Optionsliste (p. 106)

Nahtloser Beitritt zu einer Windows EC2-InstanceMit diesem Verfahren wird eine Windows-EC2-Instance nahtlos in Ihr AWS Managed Microsoft AD-Verzeichnis eingebunden. Falls Sie einen reibungslosen Domänenbeitritt über mehrere AWS-Kontenhinweg durchführen müssen, können Sie optional die Verzeichnisfreigabe aktivieren. Weitere Informationenfinden Sie unter Tutorial: Freigeben Ihres AWS Managed Microsoft AD-Verzeichnisses für eine nahtloseEC2-Domänenverbindung (p. 68).

So binden Sie eine Windows-EC2-Instance nahtlos ein



3. Wählen Sie Launch Instance (Instance starten) aus.

Version 1.076







https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-join-aws-domain.html


https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_sharing.html



4. Klicken Sie für das richtige AMI auf der Seite Step 1 (Schritt 1) auf Select (Auswählen).5. Wählen Sie auf der Seite Schritt 2 den entsprechenden Instance-Typ aus und klicken Sie auf Next:








Note

Diese Option ist nur für Windows-Instances verfügbar. Linux-Instances müssen wiein Manueller Beitritt zu einer Linux-Instance (p. 85) beschrieben manuell mit demVerzeichnis verbunden werden.



-oder-






Note

AmazonSSMDirectoryServiceAccess bietet die Berechtigung zur Verbindung vonInstances mit einem von AWS Directory Service verwalteten Active Directory.AmazonSSMManagedInstanceCore bietet die minimalen Berechtigungen zurVerwendung des Systems Manager-Service. Weitere Informationen zum Erstelleneiner Rolle mit diesen Berechtigungen sowie weitere Informationen zu anderenBerechtigungen und Richtlinien, die Sie Ihrer IAM-Rolle hinzufügen können, findenSie unter Erstellen eines IAM Instance-Profils fürr Systems Manager im AWS SystemsManager-Benutzerhandbuch.


Rolle zu organisieren, zu verfolgen oder zu steuern, und wählen Sie dann Next: Review (Weitert:Prüfen) aus. Version 1.0

77











Manuelle Anbindung an eine Windows-InstanceZum manuellen Verbinden einer vorhandenen Amazon EC2-Windows-Instance mit einem Simple AD- oderAWS Directory Service für Microsoft Active Directory-Verzeichnis muss die Instance wie in Nahtloser Beitrittzu einer Windows EC2-Instance (p. 76) beschrieben gestartet werden.

Eine Windows-Instance verbinden Sie wie folgt mit einem Simple AD- oder AWS ManagedMicrosoft AD-Verzeichnis:

1. Verbinden Sie die Instance mithilfe eines beliebigen Remote Desktop Protocol-Clients.2. Öffnen Sie in der Instance das Dialogfeld mit den Eigenschaften für TCP/IPv4.

a. Öffnen Sie Network Connections.

Tip

Öffnen Sie Network Connections direkt, indem Sie folgenden Befehl über die Befehlszeileder Instance ausführen.

%SystemRoot%\system32\control.exe ncpa.cpl

b. Öffnen Sie für eine beliebige aktivierte Netzwerkverbindung per Rechtsklick das Kontextmenü undwählen Sie dann Properties aus.

c. Öffnen Sie im Dialogfeld für die Verbindungseigenschaften (per Doppelklick) Internet ProtocolVersion 4.

3. Wählen Sie Folgende DNS-Serveradressen verwenden aus, geben Sie unter Bevorzugter DNS-Serverund Alternativer DNS-Server die IP-Adressen der von AWS Directory Service bereitgestellten DNS-Server ein und klicken Sie auf OK.

Version 1.078


4. Öffnen Sie das Dialogfeld System Properties für die Instance, wählen Sie die Registerkarte ComputerName und wählen Sie Change.

Tip

Öffnen Sie das Dialogfeld System Properties direkt, indem Sie folgenden Befehl über dieBefehlszeile der Instance ausführen.

%SystemRoot%\system32\control.exe sysdm.cpl

5. Wählen Sie im Feld Mitglied von den Eintrag Domäne aus, geben Sie den vollständig qualifiziertenNamen Ihres AWS Directory Service-Verzeichnisses ein und klicken Sie auf OK.

6. Wenn Sie zur Eingabe von Name und Passwort des Domänenadministrators aufgefordert werden,geben Sie den Benutzernamen und das Passwort des Kontos ein, das über Berechtigungen fürden Domänenbeitritt verfügt. Weitere Informationen zum Erteilen dieser Berechtigungen finden Sieunter Delegieren von Berechtigungen zum Beitritt zu Verzeichnissen für AWS Managed MicrosoftAD (p. 104).

Note

Sie können entweder den vollständig qualifizierten Namen Ihrer Domäne oder denNetBios-Namen gefolgt von einem umgekehrten Schrägstrich (\) und anschließend denBenutzernamen eingeben.Bei Verwendung von AWS Managed Microsoft AD wäre der Benutzername Admin.Beispielsweise corp.example.com\Admin oder corp\Admin.Bei Verwendung von Simple AD wäre der Benutzername Administrator. Beispiele:corp.example.com\administrator und corp\administrator.

7. Nachdem Sie in der Domäne willkommen geheißen wurden, starten Sie die Instance neu, damit dieÄnderungen übernommen werden.

Version 1.079


Die Instance wurde der Domäne hinzugefügt, sodass Sie sich auch remote an der Instance anmeldenund Dienstprogramme für die Verzeichnisverwaltung installieren können (z. B. um Benutzer und Gruppenhinzuzufügen).

Nahtloses Verbinden einer Linux-EC2-Instance mit Ihrem AWSManaged Microsoft AD-VerzeichnisDieses Verfahren verbindet eine Linux-EC2-Instance nahtlos mit Ihrem AWS Managed Microsoft AD-Verzeichnis. Wenn Sie nahtlosen Domänenbeitritt über mehrere AWS-Konten hinweg durchführen müssen,können Sie optional die Verzeichnisfreigabe aktivieren.

Die folgenden Linux-Instance-Distributionen und -Versionen werden unterstützt:

• Amazon Linux AMI 2018.03.0• Amazon Linux 2 (64-Bit x86)• Red Hat Enterprise Linux 8 (HVM) (64-Bit x86)• Ubuntu Server 18.04 LTS und Ubuntu Server 16.04 LTS• CentOS 7 x86-64• SUSE Linux Enterprise Server 15 SP1

Note

Verteilungen vor Ubuntu 14 und Red Hat Enterprise Linux 7 unterstützen die Funktion für einenahtlose Domänenverbindung nicht.

Prerequisites

Bevor Sie eine nahtlose Domänenverbindung mit einer Linux-EC2-Instance einrichten können, müssen Siedie in diesem Abschnitt beschriebenen Verfahren ausführen.

Auswählen Ihres Servicekontos für die nahtlose Domänenverbindung

Sie können Ihrer AWS Managed Active Directory-Domäne nahtlos Linux-Computer hinzufügen. Dazumüssen Sie ein Benutzerkonto mit Berechtigungen zum Erstellen eines Computerkontos verwenden, umdie Computer mit der Domäne zu verbinden. Obwohl Mitglieder der von AWS delegierten Administratorenoder andere Gruppen möglicherweise über ausreichende Berechtigungen zum Verbinden von Computernmit der Domäne verfügen, wird diese Verwendung nicht empfohlen. Als bewährte Methode empfehlen wir,dass Sie ein Servicekonto verwenden, das über die Mindestberechtigungen verfügt, die für die Verbindungder Computer mit der Domäne erforderlich sind.

Um ein Konto mit den Mindestberechtigungen zu delegieren, die zum Verbinden der Computer mitder Domäne erforderlich sind, können Sie die folgenden PowerShell-Befehle ausführen. Sie müssendiese Befehle von einem mit der Domäne verbundenen Windows-Computer ausführen, auf dem dieInstallieren der Active Directory-Verwaltungstools (p. 108) installiert ist. Darüber hinaus müssen Sieein Konto verwenden, das über die Berechtigung zum Ändern der Berechtigungen für Ihre Computer-Organisationseinheit oder Ihren Container verfügt. Der Befehl PowerShell legt Berechtigungen fest, mitdenen das Service-Konto Computerobjekte im Standard-Computercontainer Ihrer Domäne erstellen kann.

$AccountName = 'awsSeamlessDomain'# DO NOT modify anything below this comment.# Getting Active Directory information.Import-Module 'ActiveDirectory'$Domain = Get-ADDomain -ErrorAction Stop$BaseDn = $Domain.DistinguishedName$ComputersContainer = $Domain.ComputersContainer$SchemaNamingContext = Get-ADRootDSE | Select-Object -ExpandProperty 'schemaNamingContext'

Version 1.080



[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $SchemaNamingContext -Filter { lDAPDisplayName -eq 'Computer' } -Properties 'schemaIDGUID').schemaIDGUID# Getting Service account Information.$AccountProperties = Get-ADUser -Identity $AccountName$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value# Getting ACL settings for the Computers container.$ObjectAcl = Get-ACL -Path "AD:\$ComputersContainer" # Setting ACL allowing the service account the ability to create child computer objects in the Computers container.$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'CreateChild', 'Allow', $ServicePrincipalNameGUID, 'All'$ObjectAcl.AddAccessRule($AddAccessRule)Set-ACL -AclObject $ObjectAcl -Path "AD:\$ComputersContainer"

Wenn Sie es vorziehen, eine grafische Benutzeroberfläche (GUI) zu verwenden, können Sie den unterZuweisen von Berechtigungen zu Ihrem Servicekonto (p. 205) beschriebenen manuellen Prozessverwenden.

Erstellen der Secrets zum Speichern des Domänendienstkontos

Sie können das Domänendienstkonto mit AWS Secrets Manager speichern.

So erstellen Sie Secrets und speichern die Kontoinformationen des Domänendienstes

1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die AWS Secrets Manager-Konsole unter https://console.aws.amazon.com/secretsmanager/.

2. Wählen Sie Store a new secret (Ein neues Secret speichern).3. Führen Sie auf der Seite Store a new secret (Speichern eines neuen Secrets) die folgenden Schritte

aus:

a. Wählen Sie unter Select secret type (Secret-Typ auswählen) die Option Other type of secrets(Anderer Secret-Typ) aus.

b. Führen Sie unter Specify the key/value pairs to be stored in the secret (Die Schlüssel/Wert-Paareangeben, die im Secret gespeichert werden) die folgende Schritte aus:

i. Geben Sie in das erste Feld den Wert awsSeamlessDomainUsername ein. Geben Sie inderselben Zeile im nächsten Feld den Benutzernamen für Ihr Servicekonto ein. Wenn Siebeispielsweise zuvor den PowerShell-Befehl verwendet haben, lautet der ServicekontonameawsSeamlessDomain.

Note

Sie müssen awsSeamlessDomainUsername genau so eingeben, wie es ist. StellenSie sicher, dass am Anfang oder am Ende keine Leerzeichen vorhanden sind.Andernfalls schlägt der Domänenbeitritt fehl.

ii. Wählen Sie Add row (Zeile hinzufügen) aus.iii. Geben Sie in der neuen Zeile im ersten Feld awsSeamlessDomainPassword ein. Geben

Sie in derselben Zeile im nächsten Feld das Passwort für Ihr Servicekonto ein.

Note

Sie müssen awsSeamlessDomainPassword genau so eingeben, wie es ist. StellenSie sicher, dass am Anfang oder am Ende keine Leerzeichen vorhanden sind.Andernfalls schlägt der Domänenbeitritt fehl.

iv. Wählen Sie unter Select the encryption key (Verschlüsselungsschlüssel auswählen), dieOption DefaultEncryptionKey aus dem Menü aus. Wenn Sie diese Option auswählen,verschlüsselt Secrets Manager das Secret immer, und stellt es Ihnen kostenlos zurVerfügung. Sie können auch einen von Ihnen erstellten Schlüssel auswählen.

Version 1.081

https://console.aws.amazon.com/secretsmanager/


v. Wählen Sie Next.4. Geben Sie unter Secret name (Name des Secrets) einen Namen für das Secret ein, der Ihre Directory-

ID im folgenden Format enthält: aws/directory-services/d-xxxxxxxxx/seamless-domain-join Dies wird verwendet, um Secrets in der Anwendung abzurufen.

Note

Sie müssen aws/directory-services/d-xxxxxxxxx/seamless-domain-join genauso eingeben, wie es ist, aber d-xxxxxxxx durch Ihre Verzeichniskennung ersetzen. StellenSie sicher, dass am Anfang oder am Ende keine Leerzeichen vorhanden sind. Andernfallsschlägt der Domänenbeitritt fehl.

5. Lassen Sie bei allem anderen die Standardwerte festgelegt, und wählen Sie dann Next (Weiter) aus.6. Wählen Sie unter Configure automatic rotation (Automatische Rotation konfigurieren) die Option

Disable automatic rotation (Automatische Rotation deaktivieren) und dann Next (Weiter) aus.7. Überprüfen Sie die Einstellungen, und wählen Sie dann Speichern (Store) aus, um Ihre Änderungen zu

speichern. Die Secrets Manager-Konsole bringt Sie zur Liste der Secrets in Ihrem Konto zurück, wobeiIhr neues Secret nun in der Liste enthalten ist.

8. Wählen Sie Ihren neu erstellten geheimen Namen aus der Liste aus und notieren Sie sich den Wertdes Secret ARN (ARN des Secrets). Sie benötigen ihn in der nächsten Aktion.

Erstellen Sie die erforderliche IAM-Richtlinie und -Rolle.

Mit den folgenden erforderlichen Schritten können Sie eine benutzerdefinierte Richtlinie erstellen, die denschreibgeschützten Zugriff auf Ihre nahtlose Secrets Manager-Domänenverbindung (den Sie zuvor erstellthaben) ermöglicht, und eine neue IAM-LinuxEC2DomainJoin-Rolle erstellen.

Erstellen der Secrets Manager IAM-Leserichtlinie

Mit der IAM-Konsole erstellen Sie eine Richtlinie, die schreibgeschützten Zugriff auf Ihr Secrets Manager-Secret gewährt.

So erstellen Sie die Secrets Manager IAM-Leserichtlinie

1. Melden Sie sich bei AWS Management Console als ein Benutzer an, der über die Berechtigungzum Erstellen von IAM-Richtlinien verfügt. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Wählen Sie im Navigationsbereich Policies aus.3. Klicken Sie auf Create Policy.4. Wählen Sie die Registerkarte JSON aus und kopieren Sie den Text aus dem folgenden JSON-

Richtliniendokument. Fügen Sie diese dann in das JSON-Textfeld ein.

Note

Stellen Sie sicher, dass Sie den Resource-ARN durch den tatsächlichen ARN des Secretsersetzen, den Sie zuvor erstellt haben.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource": [

Version 1.082




"arn:aws:secretsmanager:us-east-1:############:secret:aws/directory-service/d-xxxxxxxxxx/seamless-domain-join-example" ] } ]}

5. Wählen Sie, wenn Sie fertig sind, Review policy (Richtlinie überprüfen) aus. Die Richtlinienvalidierungmeldet mögliche Syntaxfehler.

6. Geben Sie auf der Seite Review policy (Überprüfen der Richtlinie) einen Richtliniennamenein, z. B. SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read. Lesen Sie den Abschnitt Summary(Zusammenfassung), um die Berechtigungen anzuzeigen, die Ihre Richtlinie erteilt. Wählen Sie dannCreate Policy (Richtlinie erstellen) aus, um Ihre Änderungen zu speichern. Die neue Richtlinie wird inder Liste der verwalteten Richtlinien angezeigt und kann nun einer Identität angefügt werden.

Note

Wir empfehlen Ihnen die Erstellung einer Richtlinie pro Secret. Dadurch wird sichergestellt,dass Instances nur Zugriff auf das entsprechende Secret erhalten, und die Auswirkungen beiKompromittierung einer Instance minimiert werden.

Erstellen der LinuxEC2DomainJoin-Rolle

Mit der IAM-Konsole erstellen Sie die Rolle, die Sie für die Domänenverbindung Ihrer Linux EC2-Instanceverwenden.

So erstellen Sie die LinuxEC2DomainJoin-Rolle


2. Wählen Sie im Navigationsbereich Roles aus.3. Wählen Sie im Inhaltsbereich die Option Create role (Rolle erstellen) aus.4. Wählen Sie unter Select type of trusted entity (Auswahl des Typs der vertrauenswürdigen Entität) die

Option AWS service (AWS-Service) aus.5. Wählen Sie unter Choose a use case (Anwendungsfall auswählen) die Option EC2 und dann Next:

Permissions (Weiter: Berechtigungen) aus.6. Führen Sie für Filter policies (Filterrichtlinien), die folgenden Schritte aus:

a. Geben Sie AmazonSSMManagedInstanceCore ein. Aktivieren Sie dann das Kontrollkästchen fürdieses Element in der Liste.

b. Geben Sie AmazonSSMDirectoryServiceAccess ein. Aktivieren Sie dann dasKontrollkästchen für dieses Element in der Liste.

c. Geben Sie SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read (oder den Namen der Richtlinie ein,die Sie im vorherigen Verfahren erstellt haben). Aktivieren Sie dann das Kontrollkästchen fürdieses Element in der Liste.

Note

AmazonSSMDirectoryServiceAccess bietet die Berechtigung zur Verbindung vonInstances mit einem von AWS Directory Service verwalteten Active Directory.AmazonSSMManagedInstanceCore bietet die minimalen Berechtigungen zur Verwendungdes AWS Systems Manager-Service. Weitere Informationen zum Erstellen einer Rollemit diesen Berechtigungen sowie weitere Informationen zu anderen Berechtigungen undRichtlinien, die Sie Ihrer IAM-Rolle hinzufügen können, finden Sie unter Erstellen eines IAMInstance-Profils für Systems Manager im AWS Systems Manager-Benutzerhandbuch.

Version 1.083

https://docs.aws.amazon.com/https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html






7. Wählen Sie Next: Tags (Weiter: Tags) aus.8. (Optional) Fügen Sie ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Rolle

zu organisieren, zu verfolgen oder zu steuern. Wählen Sie dann Next: Review aus.9. Geben Sie als Nächstes unter Role name (Rollenname) einen Namen für Ihre neue Rolle, wie z. B.

LinuxEC2DomainJoin oder einen anderen von Ihnen bevorzugten Namen, ein.10. (Optional) Geben Sie im Feld Role description (Rollenbeschreibung) eine Beschreibung ein.11. Wählen Sie Create role (Rolle erstellen) aus.

Nahtloser Beitritt zu Ihrer Linux EC2-Instance

Nachdem Sie nun alle erforderlichen Aufgaben konfiguriert haben, können Sie das folgende Verfahrenverwenden, um nahtlos Ihrer Linux-EC2-Instance beizutreten.

So treten Sie nahtlos Ihrer Linux-EC2-Instance bei



3. Wählen Sie Launch Instance (Instance starten) aus.4. Wählen Sie auf der Seite Step 1 (Schritt 1) die Option Select (Auswählen) für das entsprechende

Amazon Machine Image (AMI) aus.

Note

Das verwendete AMI muss über AWS Systems Manager (SSM Agent) Version 2.3.1644.0oder höher verfügen. Informationen zum Überprüfen der installierten SSM Agent-Version inIhrem AMI durch Starten einer Instance von diesem AMI finden Sie unter Abrufen der aktuellinstallierten SSM Agent-Version. Wenn Sie den SSM Agent aktualisieren müssen, finden SieInformationen dazu unter Installieren und Konfigurieren des SSM Agent auf EC2-Instances fürLinux.

5. Wählen Sie auf der Seite Schritt 2 den entsprechenden Instance-Typ aus und klicken Sie auf Next:Configure Instance Details (Weiter: Instance-Details konfigurieren).

6. Führen Sie auf der Seite Schritt 3 Folgendes durch und wählen Sie dann Next: Add Storage (Weiter:Speicher hinzufügen):

a. Wählen Sie für Network (Netzwerk) die VPC, in der Ihr Verzeichnis erstellt wurde.b. Wählen Sie für Subnetz eines der öffentlichen Subnetze in Ihrer VPC. Der gesamte externe

Datenverkehr des ausgewählten Subnetzes muss an ein Internet-Gateway geleitet werden. Istdies nicht der Fall, können Sie keine Remote-Verbindung zur Instance einrichten.

c. Wählen Sie für Auto-assign Public IP (Öffentlche IP automatisch zuweisen) Enable (Aktivieren)aus. Weitere Informationen zu öffentlichen und privaten IP-Adressierung finden Sie unter IP-Adressierung für Amazon EC2-Instances im Amazon EC2-Benutzerhandbuch für Windows-Instances.

d. Wählen Sie für Domain join directory (Domänenbeitrittsverzeichnis) Ihre Domäne aus der Liste.e. Wählen Sie als IAM-Rolle die IAM-Rolle aus, die Sie zuvor im Abschnitt „Voraussetzungen“ erstellt

haben Schritt 2: Erstellen der LinuxEC2DomainJoin-Rolle.7. Behalten Sie auf den Seiten Step 4 (Schritt 4) und Step 5 (Schritt 5) die Standardeinstellungen bei oder

nehmen Sie bei Bedarf Änderungen vor. Wählen Sie dann auf jeder Seite Next (Weiter) aus.8. Wählen Sie auf der Seite Step 6 (Schritt 6) eine Sicherheitsgruppe aus, die so konfiguriert wurde, dass

von Ihrem Netzwerk aus Remotezugriff auf die Instance gewährt wird. Wählen Sie dann Review andLaunch (Prüfen und Starten) aus.

Version 1.084


https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-get-version.html


https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html






Note

Wenn Sie eine nahtlose Domänenverbindung mit SUSE Linux durchführen, ist ein Neustarterforderlich, bevor die Authentifizierung funktioniert. Geben Sie sudo reboot ein, um SUSE vomLinux-Terminal neu zu starten.

Manueller Beitritt zu einer Linux-InstanceZusätzlich zu Amazon EC2-Windows-Instances können Sie auch bestimmte Amazon EC2-Linux-Instancesmit Ihrem AWS Directory Service für Microsoft Active Directory-Verzeichnis verbinden. Die folgenden Linux-Instance-Distributionen und -Versionen werden unterstützt:


Note

Andere Linux-Distributionen und -Versionen können funktionieren, sind jedoch nicht getestetworden.

Beitritt einer Instance zu Ihrem Verzeichnis

Bevor Sie eine Amazon Linux-, CentOS-, Red Hat- oder Ubuntu-Instance mit Ihrem Verzeichnis verbinden,muss die Instance zunächst wie in Nahtloser Beitritt zu einer Windows EC2-Instance (p. 76) beschriebengestartet werden.

Important

Einige der folgenden Verfahren können bei fehlerhafter Ausführung dazu führen, dass IhreInstance nicht erreichbar oder nicht nutzbar ist. Aus diesem Grund empfehlen wir dringend, eineSicherung anzufertigen oder einen Snapshot der Instance zu machen, bevor diese Verfahrenausgeführt werden.

So fügen Sie Ihrem Verzeichnis eine Linux-Instance hinzu

Folgen Sie den Schritten für Ihre spezifische Linux-Instance unter Verwendung einer der folgendenRegisterkarten:

Amazon Linux

1. Stellen Sie über einen SSH-Client eine Verbindung zur Instance her.2. Konfigurieren Sie die Linux-Instance zur Verwendung der DNS-Server-IP-Adressen der vom AWS

Directory Service bereitgestellten DNS-Server. Das können Sie entweder in den DHCP-Optionender VPC oder manuell auf der Instance einrichten. Für eine manuelle Einrichtung finden Sie imAWS-Wissenszentrum im Artikel zum Thema Wie weise ich einen statischen DNS-Server zu einerprivaten Amazon EC2-Instance zu? eine Anleitung, um den persistenten DNS-Server für Ihre Linux-Distribution und -Version festzulegen.

Version 1.085

https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/



3. Stellen Sie sicher, dass Ihre Amazon Linux - 64bit-Instance auf dem neuesten Stand ist.

sudo yum -y update

4. Installieren Sie die erforderlichen Amazon Linux-Pakete auf Ihrer Linux-Instance.

Note

Einige dieser Pakete sind möglicherweise bereits installiert.Wenn Sie die Pakete installieren, werden Ihnen mehrere Pop-up-Konfigurationsbildschirmegezeigt. Sie können in der Regel die Felder in diesen Bildschirmen leer lassen.

Amazon Linux 1

sudo yum -y install sssd realmd krb5-workstation

Amazon Linux 2

sudo yum -y install sssd realmd krb5-workstation samba-common-tools

Note

Weitere Informationen zum Ermitteln Ihrer Amazon Linux-Version finden Sie unterIdentifizieren von Amazon Linux Images im Amazon EC2-Benutzerhandbuch für Linux-Instances.

5. Fügen Sie die Instance mit folgendem Befehl zur Instance hinzu.

sudo realm join -U [email protected] example.com --verbose

[email protected]

Ein Konto in der Domäne example.com, das über Berechtigungen für den Domänenbeitrittverfügt. Geben Sie das Passwort für das Konto ein, wenn Sie dazu aufgefordert werden.Weitere Informationen zum Erteilen dieser Berechtigungen finden Sie unter Delegieren vonBerechtigungen zum Beitritt zu Verzeichnissen für AWS Managed Microsoft AD (p. 104).

example.com

Der vollqualifizierte DNS-Name Ihres Verzeichnisses.

... * Successfully enrolled machine in realm

6. Konfigurieren Sie den SSH-Service so, dass die Passwortauthentifizierung zulässig ist.a. Öffnen Sie die Datei /etc/ssh/sshd_config in einem Text-Editor.

sudo vi /etc/ssh/sshd_config

b. Setzen Sie die Einstellung PasswordAuthentication auf yes.

PasswordAuthentication yes

c. Starten Sie den SSH-Service neu.

sudo systemctl restart sshd.service

Alternative Vorgehensweise: Version 1.086

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/amazon-linux-ami-basics.html#amazon-linux-image-id


sudo service sshd restart

7. Nachdem die Instance neu gestartet wurde, stellen Sie eine Verbindung zu einem SSH-Clienther und fügen mit folgenden Schritten die Gruppe der AWS-delegierten Administratoren zur Liste„sudoers“ hinzu:a. Öffnen Sie die Datei sudoers mit dem folgenden Befehl:

sudo visudo

b. Fügen Sie Folgendes unten in der sudoers-Datei ein und speichern Sie sie.

## Add the "AWS Delegated Administrators" group from the example.com domain.%AWS\ Delegated\ [email protected] ALL=(ALL:ALL) ALL

(Im obigen Beispiel steht „\space>“ für das Linux-Leerzeichen.)

CentOS



3. Stellen Sie sicher, dass Ihre CentOS 7-Instance auf dem neuesten Stand ist.

sudo yum -y update

4. Installieren Sie die erforderlichen CentOS 7-Pakete auf Ihrer Linux-Instance.

Note





[email protected]


example.com


Version 1.087











Alternative Vorgehensweise:



sudo visudo




Red Hat



3. Stellen Sie sicher, dass die Red Hat - 64bit-Instance auf dem neuesten Stand ist.

sudo yum -y update

4. Installieren Sie die erforderlichen Red Hat-Pakete auf Ihrer Linux-Instance.

Version 1.088




Note




sudo realm join -v -U join_account example.com --install=/

join_account

Der sAMAccountName für ein Konto in der Domäne example.com mitDomänenbeitrittsberechtigungen. Geben Sie das Passwort für das Konto ein, wenn Sie dazuaufgefordert werden. Weitere Informationen zum Erteilen dieser Berechtigungen finden Sieunter Delegieren von Berechtigungen zum Beitritt zu Verzeichnissen für AWS ManagedMicrosoft AD (p. 104).

example.com












sudo visudo



Version 1.089



SUSE



3. Überprüfen Sie, ob Ihre SUSE Linux 15-Instance auf dem aktuellen Stand ist.a. Verbinden Sie das Paket-Repository.

sudo SUSEConnect -p PackageHub/15.1/x86_64

b. Aktualisieren Sie SUSE.

sudo zypper update -y

4. Installieren Sie die erforderlichen SUSE Linux 15-Pakete auf Ihrer Linux-Instance.

Note


sudo zypper -n install realmd adcli sssd sssd-tools sssd-ad samba-client krb5-client


sudo realm join -U join_account example.com --verbose

join_account

Das sAMAccountName im example.com -Domäne mit Domänenbeitrittsberechtigungen.Geben Sie das Passwort für das Konto ein, wenn Sie dazu aufgefordert werden. WeitereInformationen zum Erteilen dieser Berechtigungen finden Sie unter Delegieren vonBerechtigungen zum Beitritt zu Verzeichnissen für AWS Managed Microsoft AD (p. 104).

example.com

Der vollständig qualifizierte DNS-Name Ihres Verzeichnisses.

…realm: Couldn't join realm: Enabling SSSD in nsswitch.conf and PAM failed.

Beachten Sie, dass beide folgenden Rückgaben erwartet werden.

! Couldn't authenticate with keytab while discovering which salt to use:! Enabling SSSD in nsswitch.conf and PAM failed.Version 1.0

90




6. Aktivieren Sie SSSD in PAM manuell.

sudo pam-config --add --sss

7. Bearbeiten Sie nsswitch.conf, um SSSD in nsswitch.conf zu aktivieren.

sudo vi /etc/nsswitch.conf

passwd: compat sssgroup: compat sssshadow: compat sss

8. Fügen Sie die folgende Zeile zu /etc/pam.d/common-session hinzu, um bei der ersten Anmeldungautomatisch ein Startverzeichnis zu erstellen.

sudo vi /etc/pam.d/common-session

session optional pam_mkhomedir.so skel=/etc/skel umask=077

9. Starten Sie die Instance neu, um den Domänenbeitrittsprozess abzuschließen.

sudo reboot

10.Stellen Sie über einen beliebigen SSH-Client erneut eine Verbindung mit der Instance her, umzu überprüfen, ob die Domänenverbindung erfolgreich abgeschlossen wurde, und schließen Siezusätzliche Schritte ab.a. So überprüfen Sie, ob die Instance in der Domäne registriert wurde

sudo realm list

example.com type: kerberos realm-name: EXAMPLE.COM domain-name: example.com configured: kerberos-member server-software: active-directory client-software: sssd required-package: sssd-tools required-package: sssd required-package: adcli required-package: samba-client login-formats: %[email protected] login-policy: allow-realm-logins

b. So überprüfen Sie den Status des SSSD-Daemon

systemctl status sssd

sssd.service - System Security Services Daemon Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled; vendor preset: disabled) Active: active (running) since Wed 2020-04-15 16:22:32 UTC; 3min 49s ago Main PID: 479 (sssd) Tasks: 4 CGroup: /system.slice/sssd.service ##479 /usr/sbin/sssd -i --logger=files

Version 1.091


##505 /usr/lib/sssd/sssd_be --domain example.com --uid 0 --gid 0 --logger=files ##548 /usr/lib/sssd/sssd_nss --uid 0 --gid 0 --logger=files ##549 /usr/lib/sssd/sssd_pam --uid 0 --gid 0 --logger=files

11.So gestatten Sie einem Benutzer Zugriff über SSH und Konsole

sudo realm permit [email protected]

So gestatten Sie einer Domänengruppe den Zugriff über SSH und Konsole

sudo realm permit -g 'AWS Delegated Administrators'

So gestatten Sie allen Benutzern den Zugriff

sudo realm permit --all

12.Konfigurieren Sie den SSH-Service so, dass die Passwortauthentifizierung zulässig ist.a. Öffnen Sie die Datei /etc/ssh/sshd_config in einem Text-Editor.


b. Legen Sie die Einstellung PasswordAuthentication auf yes fest.






13.13. Nachdem die Instance neu gestartet wurde, stellen Sie eine Verbindung mit einem beliebigenSSH-Client her und fügen Sie die Gruppe der delegierten AWS-Administratoren zur sudoers-Listehinzu, indem Sie die folgenden Schritte ausführen:a. Öffnen Sie die sudoers-Datei mit dem folgenden Befehl:

sudo visudo

b. Fügen Sie Folgendes am Ende der sudoers-Datei hinzu und speichern Sie die Datei.

## Add the "Domain Admins" group from the awsad.com domain.%AWS\ Delegated\ [email protected] ALL=(ALL) NOPASSWD: ALL

Ubuntu


Directory Service bereitgestellten DNS-Server. Das können Sie entweder in den DHCP-Optionender VPC oder manuell auf der Instance einrichten. Für eine manuelle Einrichtung finden Sie imAWS-Wissenszentrum im Artikel zum Thema Wie weise ich einen statischen DNS-Server zu einer

Version 1.092



privaten Amazon EC2-Instance zu? eine Anleitung, um den persistenten DNS-Server für Ihre Linux-Distribution und -Version festzulegen.

3. Stellen Sie sicher, dass Ihre Ubuntu - 64bit-Instance auf dem neuesten Stand ist.

sudo apt-get updatesudo apt-get -y upgrade

4. Installieren Sie die erforderlichen Ubuntu-Pakete auf Ihrer Linux-Instance.

Note


sudo apt-get -y install sssd realmd krb5-user samba-common packagekit adcli

5. Deaktivieren Sie die Reverse DNS-Auflösung und legen Sie den Standardbereich auf den FQDNIhrer Domäne fest. Ubuntu-Instances müssen im DNS reverse-auflösbar sein, bevor der Bereichgenutzt werden kann. Andernfalls müssen Sie Reverse DNS in der /etc/krb5.conf wie folgtdeaktivieren:

sudo vi /etc/krb5.conf

[libdefaults] default_realm = EXAMPLE.COM rdns = false



[email protected]


example.com







c. Starten Sie den SSH-Service neu.Version 1.093







sudo visudo




Einschränkung des Kontoanmeldungszugriffs

Da alle Konten in Active Directory standardmäßig definiert sind, können sich alle Benutzer aus demVerzeichnis bei der Instance anmelden. Mit ad_access_filter in sssd.conf können Sie festlegen, dass sichnur bestimmte Benutzer bei der Instance anmelden können. Beispiel:

ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)

memberOf

Gibt an, dass Benutzer nur Zugriff auf die Instance haben, wenn sie Mitglied einer bestimmten Gruppesind.

cn

Der allgemeine Name der Gruppe, die Zugriff haben soll. In diesem Beispiel ist der Name der Gruppeadmins.

ou

Dies ist die Organisationseinheit, in der sich die oben genannte Gruppe befindet. In diesem Beispiel istdie OU Testou.

dc

Dies ist die Domänenkomponente Ihrer Domäne. In diesem Beispiel example.dc

Hierbei handelt es sich um eine zusätzliche Domänenkomponente. In diesem Beispiel com.

Sie müssen ad_access_filter manuell zu /etc/sssd/sssd.conf hinzufügen.

Öffnen Sie die Datei /etc/sssd/sssd.conf in einem Text-Editor.

Version 1.094


sudo vi /etc/sssd/sssd.conf

Danach sieht sssd.conf wie folgt aus:

[sssd]domains = example.comconfig_file_version = 2 services = nss, pam

[domain/example.com] ad_domain = example.com krb5_realm = EXAMPLE.COM realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%u@%d access_provider = ad ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)

Damit diese Konfiguration wirksam wird, müssen Sie den sssd-Service neu starten:

sudo systemctl restart sssd.service

Alternativ können Sie:

sudo service sssd start

Verbinden mit der Instance

Wenn ein Benutzer die Verbindung zur Instance über einen SSH-Client herstellt, wird er zur Eingabedes Benutzernamens aufgefordert. Der Benutzer kann den Benutzernamen entweder im [email protected] oder EXAMPLE\username eingeben. Die Antwort wird ähnlich wie diefolgenden angezeigt, je nachdem, welche Linux-Distribution Sie verwenden:

Amazon Linux, Red Hat Enterprise Linux und CentOS Linux

login as: [email protected]@example.com's password:Last login: Thu Jun 25 16:26:28 2015 from XX.XX.XX.XX

SUSE Linux

SUSE Linux Enterprise Server 15 SP1 x86_64 (64-bit) As "root" (sudo or sudo -i) use the: - zypper command for package management - yast command for configuration management Management and Config: https://www.suse.com/suse-in-the-cloud-basicsDocumentation: https://www.suse.com/documentation/sles-15/Forum: https://forums.suse.com/forumdisplay.php?93-SUSE-Public-Cloud Have a lot of fun...

Version 1.095


Ubuntu Linux

login as: [email protected]@[email protected]'s password:Welcome to Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-1057-aws x86_64) * Documentation: https://help.ubuntu.com* Management: https://landscape.canonical.com* Support: https://ubuntu.com/advantage System information as of Sat Apr 18 22:03:35 UTC 2020 System load: 0.01 Processes: 102 Usage of /: 18.6% of 7.69GB Users logged in: 2 Memory usage: 16% IP address for eth0: 10.24.34.1 Swap usage: 0%

Manueller Beitritt zu einer Linux-Instance mit WinbindSie können den Winbind-Service verwenden, um Ihre Linux-Instances manuell mit einer AWS ManagedMicrosoft AD-Domäne zu verbinden. Auf diese Weise können Ihre vorhandenen lokalen Active Directory-Benutzer ihre AD-Anmeldeinformationen beim Zugriff auf die Linux-Instances verwenden, die mit IhremAWS Managed Microsoft AD verbunden sind. Die folgenden Linux-Instance-Distributionen und -Versionenwerden unterstützt:


Note


Beitritt einer Instance zu Ihrem VerzeichnisBevor Sie eine Amazon Linux-, CentOS-, Red Hat- oder Ubuntu-Instance mit Ihrem Verzeichnis verbinden,muss die Instance zunächst wie in Nahtloser Beitritt zu einer Windows EC2-Instance (p. 76) beschriebengestartet werden.

Important




Amazon Linux/CENTOS/REDHAT

1. Stellen Sie über einen SSH-Client eine Verbindung zur Instance her.

Version 1.096


2. Konfigurieren Sie die Linux-Instance zur Verwendung der DNS-Server-IP-Adressen der vom AWSDirectory Service bereitgestellten DNS-Server. Das können Sie entweder in den DHCP-Optionender VPC oder manuell auf der Instance einrichten. Für eine manuelle Einrichtung finden Sie imAWS-Wissenszentrum im Artikel zum Thema Wie weise ich einen statischen DNS-Server zu einerprivaten Amazon EC2-Instance zu? eine Anleitung, um den persistenten DNS-Server für Ihre Linux-Distribution und -Version festzulegen.

3. Stellen Sie sicher, dass Ihre Linux-Instance auf dem neuesten Stand ist.

sudo yum -y update

4. Installieren Sie die erforderlichen Samba-/Winbind-Pakete auf Ihrer Linux-Instance.

sudo yum -y install authconfig samba samba-client samba-winbind samba-winbind-clients

5. Erstellen Sie eine Sicherung der smb.conf-Hauptdatei, damit Sie diese im Fall eines Fehlerswiederherstellen können:

sudo cp /etc/samba/smb.conf /etc/samba/smb.bk

6. Öffnen Sie die ursprüngliche Konfigurationsdatei [/etc/samba/smb.conf] in einem Texteditor.

sudo vim /etc/samba/smb.conf

Geben Sie Ihre Active Directory-Domänenumgebungsinformationen wie im folgenden Beispielgezeigt ein:

[global] workgroup = example security = ads realm = example.com idmap config * : rangesize = 1000000 idmap config * : range = 1000000-19999999 idmap config * : backend = autorid winbind enum users = no winbind enum groups = no template homedir = /home/%U@%D template shell = /bin/bash winbind use default domain = false

7. Öffnen Sie die Hosts-Datei [/etc/hosts] in einem Texteditor.

sudo vim /etc/hosts

Fügen Sie die private IP-Adresse Ihrer Linux-Instance wie folgt hinzu:

10.x.x.x Linux_hostname.example.com Linux_hostname

Note

Wenn Sie Ihre IP-Adresse nicht in der Datei /etc/hosts angegeben haben, erhalten Siemöglicherweise den folgenden DNS-Fehler, während Sie die Instance mit der Domäneverbinden.No DNS domain configured for linux-instance. Unable to perform DNSUpdate. DNS update failed: NT_STATUS_INVALID_PARAMETERDieser Fehler bedeutet, dass die Verbindung erfolgreich war, aber der [net ads]-Befehl denDNS-Datensatz nicht in DNS registrieren konnte.Version 1.0

97




8. Verbinden Sie die Linux-Instance mit Active Directory mithilfe des Netzwerk-Dienstprogramms.

sudo net ads join -U [email protected]

[email protected]

Ein Konto in der example.com -Domäne mit Domänenbeitrittsberechtigungen. Geben Sie dasPasswort für das Konto ein, wenn Sie dazu aufgefordert werden. Weitere Informationen zumErteilen dieser Berechtigungen finden Sie unter Delegieren von Berechtigungen zum Beitritt zuVerzeichnissen für AWS Managed Microsoft AD (p. 104).

example.com


Enter [email protected]'s password:Using short domain name -- exampleJoined 'IP-10-x-x-x' to dns domain 'example.com'

9. PAM-Konfigurationsdatei ändern. Verwenden Sie den folgenden Befehl, um die erforderlichenEinträge für die Winbind-Authentifizierung hinzuzufügen:

sudo authconfig --enablewinbind --enablewinbindauth --enablemkhomedir --update

10.Legen Sie den SSH-Service so fest, dass er die Passwortauthentifizierung durch Bearbeiten derDatei /etc/ssh/sshd_config zulässt.a. Öffnen Sie die Datei /etc/ssh/sshd_config in einem Text-Editor.








11.Nachdem die Instance neu gestartet wurde, stellen Sie eine Verbindung mit einem beliebigen SSH-Client her und fügen Sie die Root-Berechtigungen für einen Domänenbenutzer oder eine Gruppe zursudoers-Liste hinzu, indem Sie die folgenden Schritte ausführen:a. Öffnen Sie die sudoers - Datei mit dem folgenden Befehl:

sudo visudo

b. Fügen Sie die erforderlichen Gruppen oder Benutzer aus Ihrer vertrauenswürdigen odervertrauenswürdigen Domäne wie folgt hinzu und speichern Sie sie dann.

## Adding Domain Users/Groups.%domainname\\AWS\ Delegated\ Administrators ALL=(ALL:ALL) ALL%domainname\\groupname ALL=(ALL:ALL) ALLdomainname\\username ALL=(ALL:ALL) ALL%Trusted_DomainName\\groupname ALL=(ALL:ALL) ALLVersion 1.0

98


Trusted_DomainName\\username ALL=(ALL:ALL) ALL

(Im obigen Beispiel wird "\\<space>" zum Erstellen des Linux-Leerzeichens verwendet.)

SUSE



3. Überprüfen Sie, ob Ihre SUSE Linux 15-Instance auf dem aktuellen Stand ist.a. Verbinden Sie das Paket-Repository.

sudo SUSEConnect -p PackageHub/15.1/x86_64

b. Aktualisieren Sie SUSE.

sudo zypper update -y


sudo zypper in -y samba samba-winbind

5. Erstellen Sie eine Sicherung der smb.conf-Hauptdatei, damit Sie diese im Fall eines Fehlerswiederherstellen können:







sudo vim /etc/hosts

Version 1.099






Note

Wenn Sie Ihre IP-Adresse nicht in der Datei /etc/hosts angegeben haben, erhalten Siemöglicherweise den folgenden DNS-Fehler, während Sie die Instance mit der Domäneverbinden.No DNS domain configured for linux-instance. Unable to perform DNSUpdate. DNS update failed: NT_STATUS_INVALID_PARAMETERDieser Fehler bedeutet, dass die Verbindung erfolgreich war, aber der [net ads]-Befehl denDNS-Datensatz nicht in DNS registrieren konnte.

8. Verbinden Sie die Linux-Instance mit dem Verzeichnis mit dem folgenden Befehl.


join_account

Das sAMAccountName im example.com -Domäne mit Domänenbeitrittsberechtigungen.Geben Sie das Passwort für das Konto ein, wenn Sie dazu aufgefordert werden. WeitereInformationen zum Erteilen dieser Berechtigungen finden Sie unter Delegieren vonBerechtigungen zum Beitritt zu Verzeichnissen für AWS Managed Microsoft AD (p. 104).

example.com

Der vollständig qualifizierte DNS-Name Ihres Verzeichnisses.

Enter [email protected]'s password:Using short domain name -- exampleJoined 'IP-10-x-x-x' to dns domain 'example.com'

9. Ändern Sie die PAM-Konfigurationsdatei. Verwenden Sie den folgenden Befehl, um dieerforderlichen Einträge für die Winbind-Authentifizierung hinzuzufügen:

sudo pam-config --add --winbind --mkhomedir

10.Öffnen Sie die Name Service Switch-Konfigurationsdatei [/etc/nsswitch.conf] in einemTexteditor.

vim /etc/nsswitch.conf

Fügen Sie die Winbind-Direktive wie unten gezeigt hinzu.

passwd: files winbindshadow: files winbindgroup: files winbind


sudo vim /etc/ssh/sshd_config

b. Legen Sie die Einstellung PasswordAuthentication auf yes fest.Version 1.0

100







12.Nachdem die Instance neu gestartet wurde, stellen Sie mit einem beliebigen SSH-Client eineVerbindung zu ihr her und fügen Sie Root-Berechtigungen für einen Domänenbenutzer oder eineDomänengruppe zur sudoers-Liste hinzu, indem Sie die folgenden Schritte ausführen:a. Öffnen Sie die sudoers - Datei mit dem folgenden Befehl:

sudo visudo


## Adding Domain Users/Groups.%domainname\\AWS\ Delegated\ Administrators ALL=(ALL:ALL) ALL%domainname\\groupname ALL=(ALL:ALL) ALLdomainname\\username ALL=(ALL:ALL) ALL%Trusted_DomainName\\groupname ALL=(ALL:ALL) ALLTrusted_DomainName\\username ALL=(ALL:ALL) ALL

(Im obigen Beispiel wird "\\<space>" zum Erstellen des Linux-Leerzeichens verwendet.)

Ubuntu



3. Stellen Sie sicher, dass Ihre Linux-Instance auf dem neuesten Stand ist.

sudo yum -y update

sudo apt-get -y upgrade


sudo apt -y install samba winbind libnss-winbind libpam-winbind

5. Erstellen Sie eine Sicherung der smb.conf-Hauptdatei, damit Sie diese im Fall eines Fehlerswiederherstellen können.

Version 1.0101










sudo vim /etc/hosts



Note

Wenn Sie Ihre IP-Adresse nicht in der Datei /etc/hosts angegeben haben, erhalten Siemöglicherweise den folgenden DNS-Fehler, während Sie die Instance mit der Domäneverbinden.No DNS domain configured for linux-instance. Unable to perform DNSUpdate. DNS update failed: NT_STATUS_INVALID_PARAMETERDieser Fehler bedeutet, dass die Verbindung erfolgreich war, aber der [net ads]-Befehl denDNS-Datensatz nicht in DNS registrieren konnte.

8. Verbinden Sie die Linux-Instance mit Active Directory mithilfe des Netzwerk-Dienstprogramms.


[email protected]

Ein Konto in der example.com -Domäne mit Domänenbeitrittsberechtigungen. Geben Sie dasPasswort für das Konto ein, wenn Sie dazu aufgefordert werden. Weitere Informationen zumErteilen dieser Berechtigungen finden Sie unter Delegieren von Berechtigungen zum Beitritt zuVerzeichnissen für AWS Managed Microsoft AD (p. 104).

example.com


Enter [email protected]'s password:Using short domain name -- example

Version 1.0102


Joined 'IP-10-x-x-x' to dns domain 'example.com'

9. Ändern Sie die PAM-Konfigurationsdatei. Verwenden Sie den folgenden Befehl, um dieerforderlichen Einträge für die Winbind-Authentifizierung hinzuzufügen:

sudo pam-auth-update --add --winbind --enable mkhomedir

10.Öffnen Sie die Name Service Switch-Konfigurationsdatei [/etc/nsswitch.conf] in einemTexteditor.

vim /etc/nsswitch.conf

Fügen Sie die Winbind-Direktive wie unten gezeigt hinzu.

passwd: compat winbindgroup: compat winbindshadow: compat winbind


sudo vim /etc/ssh/sshd_config







12.Nachdem die Instance neu gestartet wurde, stellen Sie mit einem beliebigen SSH-Client eineVerbindung zu ihr her und fügen Sie Root-Berechtigungen für einen Domänenbenutzer oder eineDomänengruppe zur sudoers-Liste hinzu, indem Sie die folgenden Schritte ausführen:a. Öffnen Sie die sudoers - Datei mit dem folgenden Befehl:

sudo visudo


## Adding Domain Users/Groups.%domainname\\AWS\ Delegated\ Administrators ALL=(ALL:ALL) ALL%domainname\\groupname ALL=(ALL:ALL) ALLdomainname\\username ALL=(ALL:ALL) ALL%Trusted_DomainName\\groupname ALL=(ALL:ALL) ALLTrusted_DomainName\\username ALL=(ALL:ALL) ALL

(Im obigen Beispiel wird "\\<space>" zum Erstellen des Linux-Leerzeichens verwendet.)Version 1.0

103


Verbinden mit der Instance

Wenn ein Benutzer die Verbindung zur Instance über einen SSH-Client herstellt, wird er zur Eingabedes Benutzernamens aufgefordert. Der Benutzer kann den Benutzernamen entweder im [email protected] oder EXAMPLE\username eingeben. Die Antwort wird ähnlich wie diefolgenden angezeigt, je nachdem, welche Linux-Distribution Sie verwenden:



SUSE Linux


Ubuntu Linux


Delegieren von Berechtigungen zum Beitritt zu Verzeichnissen fürAWS Managed Microsoft ADWenn Sie einen Computer mit Ihrem Verzeichnis verbinden möchten, muss Ihr Konto über dieentsprechenden Berechtigungen verfügen.

In AWS Directory Service für Microsoft Active Directory haben alle Mitglieder der Gruppen Admins undAWS Delegated Server Administrators diese Berechtigungen.

Als bewährte Methode empfehlen wir Ihnen, ein Konto zu verwenden, das nur die mindestenserforderlichen Berechtigungen hat. Die folgenden Schritte veranschaulichen, wie Sie eine neue Gruppe mitdem Namen Joiners erstellen und die Berechtigungen, die für die Verbindung von Computern mit demVerzeichnis erforderlich sind, an diese Gruppe delegieren.

Version 1.0104


Sie müssen dieses Verfahren auf einem Computer ausführen, der mit Ihrem Verzeichnis verbunden ist undauf dem das MMC-Snap-in Active Directory User and Computers installiert ist. Außerdem müssen Sie alsDomänenadministrator angemeldet sein.

So delegieren Sie Beitrittsberechtigungen für AWS Managed Microsoft AD

1. Öffnen Sie Active Directory User and Computers (Active Directory-Benutzer und -Computer) undwählen Sie die Organisationseinheit (OU) mit Ihrem NetBIOS-Namen in der Navigationsstruktur aus.Wählen Sie dann die OU Users (Benutzer) aus.

Important

Wenn Sie ein AWS Directory Service für Microsoft Active Directory-Verzeichnis starten,richtet AWS eine Organisationseinheit (Organizational Unit – OU) ein, die alle Objekte desVerzeichnisses enthält. Diese OU mit dem NetBIOS-Namen, den Sie beim Erstellen IhresVerzeichnisses eingegeben haben, befindet sich im Domänenstamm. Der Domänenstammist im Besitz von AWS und wird von diesem verwaltet. Sie können keine Änderungen amDomänenstamm selbst vornehmen. Daher müssen Sie die Joiners-Gruppe innerhalb derOU erstellen, die Ihren NetBIOS-Namen enthält.

2. Öffnen Sie das Kontextmenü (Rechtsklick) für Users, wählen Sie New und dann Group.3. Geben Sie im Dialogfeld New Object - Group Folgendes ein und klicken Sie auf OK.

• Geben Sie in Group Name (Gruppenname) Joiners ein.• Wählen Sie für Group scope die Option Global.• Wählen Sie für Group type die Option Security.

4. Wählen Sie in der Navigationsstruktur den Container Computers (Computer) unter Ihrem NetBIOS-Namen aus. Wählen Sie im Menü Action die Option Delegate Control aus.

5. Wählen Sie auf der Seite Delegation of Control Wizard Next und dann Add.6. Geben Sie in das Dialogfeld Select Users, Computers, or Groups Joiners ein und klicken Sie auf OK.

Wenn mehr als ein Objekt gefunden wurde, wählen Sie die oben erstellte Gruppe Joiners. WählenSie Next.

7. Wählen Sie auf der Seite Tasks to Delegate Create a custom task to delegate und dann Next.8. Wählen Sie Only the following objects in the folder und dann Computer objects.9. Wählen Sie Create selected objects in this folder und Delete selected objects in this folder. Wählen Sie

anschließend Next.

10. Wählen Sie Read und Write und dann Next.

Version 1.0105


11. Überprüfen Sie auf der Seite Den Assistenten für die Delegation der Kontrolle abschließen dieInformationen und wählen Sie Fertigstellen.

12. Erstellen Sie einen Benutzer mit einem sicheren Passwort und fügen Sie diesen Benutzer zurGruppe Joiners hinzu. Dieser Benutzer muss sich im Container Users (Benutzer) unter IhremNetBIOS-Namen befinden. Der Benutzer hat dann alle nötigen Berechtigungen, um Instances mit demVerzeichnis zu verbinden.

Erstellen Sie eine DHCP-OptionslisteAWS empfiehlt die Erstellung einer DHCP-Optionsliste für Ihr AWS Directory Service-Verzeichnis sowiedas Zuweisen der DHCP-Optionsliste zur VPC, in der sich Ihr Verzeichnis befindet. So können alleInstances in der entsprechenden VPC auf die angegebene Domäne und die festgelegten DNS-Serververweisen, um ihre Domänennamen aufzulösen.

Weitere Informationen zu DHCP-Optionslisten finden Sie unter DHCP-Optionsgruppen im Amazon VPCBenutzerhandbuch.

So erstellen Sie eine DHCP-Optionsliste für Ihr Verzeichnis:

1. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.2. Wählen Sie im Navigationsbereich DHCP Options Sets (DHCP-Optionslisten) und anschließend

Create DHCP Options Set (DHCP-Optionsliste erstellen) aus.3. Geben Sie auf der Seite Create DHCP options set (DHCP-Optionsliste erstellen) die folgenden Werte

für Ihr Verzeichnis ein:

Name

Dies ist ein optionales Tag für die Optionsliste.Domain name (Domänenname)

Dies ist der vollständig qualifizierte Name Ihres Verzeichnisses, z. B. corp.example.com.Domain name servers (Domänennamenserver)

Die IP-Adressen Ihres von AWS bereitgestellten DNS-Serververzeichnisses.Note

Sie finden diese Adressen, indem Sie im Navigationsbereich der AWS Directory Serviceconsole die Option Directories (Verzeichnisse) und anschließend die ID des gewünschtenVerzeichnisses auswählen.

Version 1.0106

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html




AWS Directory Service AdministratorhandbuchVerwalten von Benutzern und Gruppen

NTP servers (NTP-Server)

Lassen Sie dieses Feld leer.NetBIOS name servers (NetBIOS-Namenserver)

Lassen Sie dieses Feld leer.NetBIOS node type (NetBIOS-Knotentyp)

Lassen Sie dieses Feld leer.4. Wählen Sie Create DHCP Options Set (DHCP-Optionsliste erstellen). Die neue DHCP-Optionsliste

wird in der Liste der DHCP-Optionen angezeigt.5. Notieren Sie sich die ID der neuen DHCP-Optionsliste (dopt-xxxxxxxx). Sie benötigen die ID, um die

neue Optionsliste mit Ihrer VPC zu verknüpfen.

So ändern Sie die DHCP-Optionsliste, die mit einer VPC verknüpft ist:

Nach dem Erstellen einer DHCP-Optionsliste sind keine Änderungen an den Optionen mehr möglich.Falls Ihre VPC verschiedene DHCP-Optionslisten nutzen soll, müssen Sie eine neue Liste erstellen unddiese dann mit der VPC verknüpfen. Sie können Ihre VPC auch so einrichten, dass keine DHCP-Optionenverwendet werden.

1. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.2. Wählen Sie im Navigationsbereich Your VPCs (Ihre VPCs).3. Wählen Sie die VPC, dann Actions (Aktionen) und anschließend Edit DHCP Options Set (DHCP-

Optionsliste bearbeiten) aus.4. Wählen Sie unter DHCP Options Set (DHCP-Optionsliste) die Option No DHCP Options Set (Keine

DHCP-Optionsliste) aus und klicken Sie auf Save (Speichern).

Verwalten von Benutzern und Gruppen in AWSManaged Microsoft AD„Benutzer“ sind Einzelpersonen oder Entitäten, die Zugriff auf Ihr Verzeichnis haben. Gruppen sind sehrnützlich, um Berechtigungen zu erteilen oder zu verweigern, anstatt diese Berechtigungen für jedeneinzelnen Benutzer erstellen zu müssen. Wenn ein Benutzer zu einer anderen Organisation wechselt,verschieben Sie diesen Benutzer in eine andere Gruppe. Er erhält dann automatisch die Berechtigungenfür die neue Organisation.

Zum Erstellen von Benutzern und Gruppen in einem AWS Directory Service-Verzeichnis müssen Sieeine Instance (entweder lokal oder auf EC2) verwenden, die Ihrem AWS Directory Service-Verzeichniszugeordnet wurde, und als Benutzer angemeldet sein, der dazu berechtigt ist, Benutzer und Gruppen zuerstellen. Sie müssen außerdem die Active Directory-Tools auf Ihrer EC2-Instance installieren, sodassSie Ihre Benutzer und Gruppen mit dem Snap-in "Active Directory-Benutzer und -Computer" hinzufügenkönnen. Weitere Informationen zum Einrichten einer EC2-Instance und zum Installieren der notwendigenTools finden Sie unter Schritt 3: Bereitstellen einer EC2-Instance für die Verwaltung von AWS ManagedMicrosoft AD (p. 180).

Note

Für Ihre Benutzerkonten muss die Kerberos-Vorabauthentifizierung aktiviert sein. Dies ist dieStandardeinstellung für neue Benutzerkonten und sie sollte nicht geändert werden. WeitereInformationen zu dieser Einstellung finden Sie im Microsoft TechNet unter Vorabauthentifizierung.

Die folgenden Themen enthalten Anweisungen zum Erstellen und Verwalten von Benutzern und Gruppen.

Version 1.0107


http://technet.microsoft.com/en-us/library/cc961961.aspx


Themen• Installieren der Active Directory-Verwaltungstools (p. 108)• Erstellen eines Benutzers (p. 108)• Zurücksetzen eines Passworts (p. 109)• Erstellen einer Gruppe (p. 110)• Hinzufügen eines neuen Benutzers zu einer Gruppe (p. 110)

Installieren der Active Directory-VerwaltungstoolsUm Ihr Verzeichnis über eine EC2-Windows-Instance zu verwalten, müssen Sie Tools für Active DirectoryDomain Services und Active Directory Lightweight Directory Services auf der Instance installieren. Mit demfolgenden Verfahren können Sie diese Tools unter Windows Server 2012, Windows Server 2016 oderWindows Server 2019 installieren.

Sie können auf Wunsch die Active Directory-Verwaltungstools mithilfe von Windows PowerShellinstallieren. Sie können z. B. die Active Directory-Remoteverwaltungstools mit Install-WindowsFeature RSAT-ADDS über eine PowerShell-Eingabeaufforderung installieren. WeitereInformationen finden Sie unter Install-WindowsFeature auf der Microsoft-Website.

Installieren der Active Directory-Verwaltungstools von Windows Server 2012 bisWindows Server 2019

So installieren Sie die Active Directory-Verwaltungstools von Windows Server 2012 bis WindowsServer 2019

1. Öffnen Sie den Server-Manager. Wählen Sie dazu im Startbildschirm die Option Server-Manager aus.2. Wählen Sie im Server-Manager die Option Rollen und Features hinzufügen aus.3. Wählen Sie im Assistent zum Hinzufügen von Rollen und Features die Option Installationstyp und

Rollenbasierte oder featurebasierte Installation aus. Klicken Sie dann auf Weiter.4. Stellen Sie sicher, dass unter Serverauswahl der lokale Server ausgewählt ist. Wählen Sie dann im

linken Navigationsbereich Features aus.5. Öffnen Sie in der Baumstruktur Features die Bereiche Remoteserver-Verwaltungstools und

Rollenverwaltungstools, markieren Sie AD DS und AD LDS Tools, scrollen Sie nach unten und wählenSie DNS Server Tools aus. Klicken Sie dann auf Weiter.

6. Prüfen Sie die Informationen und klicken Sie auf Installieren. Nach Abschluss der Feature-Installationsind die Tools für Active Directory Domain Services (AD DS) und Active Directory Lightweight DirectoryServices (AD LDS) auf dem Startbildschirm im Ordner Verwaltung verfügbar.

Erstellen eines BenutzersGehen Sie wie folgt vor, um einen Benutzer mit einer EC2-Instance zu erstellen, die mit Ihrem AWSManaged Microsoft AD-Verzeichnis verbunden ist.

So erstellen Sie einen Benutzer

1. Öffnen Sie das Tool "Active Directory-Benutzer und -Computer". Im Ordner Verwaltung gibt es eineVerknüpfung zu diesem Tool.

Tip

Sie können den folgenden Befehl über eine Eingabeaufforderung auf der Instance ausführen,um das Tool "Active Directory-Benutzer und -Computer" direkt zu öffnen.

Version 1.0108

https://docs.microsoft.com/en-us/powershell/module/servermanager/install-windowsfeature?view=winserver2012r2-ps


%SystemRoot%\system32\dsa.msc

2. Wählen Sie in der Verzeichnisstruktur unter dem NetBIOS-Namen Ihres Verzeichnisses eine OU aus,in der Sie Ihren Benutzer speichern möchten (z. B. Corp\Users). Weitere Informationen über die vonVerzeichnissen im AWS verwendete OU-Struktur finden Sie unter Was wird erstellt (p. 12).

3. Klicken Sie im Menü Aktion auf Neu und dann auf Benutzer, um den Assistenten für neue Benutzeraufzurufen.

4. Geben Sie auf der ersten Seite des Assistenten die Werte für die folgenden Felder ein und klicken Sieauf Weiter.

• Vorname• Nachname• Benutzeranmeldename

5. Geben Sie auf der zweiten Seite des Assistenten ein temporäres Passwort unter Kennwort einund wählen Sie dann Kennwort bestätigen aus. Stellen Sie sicher, dass die Option Benutzer mussKennwort bei der nächsten Anmeldung ändern ausgewählt ist. Wählen Sie keine der anderen Optionenaus. Klicken Sie auf Next (Weiter).

6. Überprüfen Sie auf der dritten Seite des Assistenten, ob die Informationen zum neuen Benutzer richtigsind, und klicken Sie auf die Option für Fertig stellen. Der neue Benutzer wird im Ordner Benutzerangezeigt.

Zurücksetzen eines PasswortsBenutzer müssen sich an die Passwortrichtlinie halten, wie im Verzeichnis definiert. Gelegentlich vergessenauch die erfahrensten Benutzer und auch der Verzeichnisadministrator ihr Passwort. In einem solchenFall können Sie das Passwort des Benutzers mit AWS Directory Service zurücksetzen, wenn dieser einemSimple AD- oder AWS Managed Microsoft AD-Verzeichnis zugeordnet ist.

Abgesehen von den folgenden Ausnahmen können Sie das Passwort für jeden Benutzer in IhremVerzeichnis zurücksetzen:

• Bei Simple AD können Sie das Passwort nicht für einen Benutzer zurücksetzen, der Mitglied derGruppe der Domänenadministratoren oder der Enterprise-Administratoren ist. Dies gilt nicht für denAdministratorbenutzer.

• Bei AWS Managed Microsoft AD können Sie das Passwort nicht für einen Benutzer zurücksetzen, derzu einer Organisationseinheit gehört, die nicht die OU ist, die auf dem NetBIOS-Namen basiert, den Siebeim Erstellen des Verzeichnisses eingegeben haben. Sie können beispielsweise nicht das Passwort füreinen Benutzer in der OU AWS Reserved zurücksetzen. Weitere Informationen über die OU-Struktur fürein AWS Managed Microsoft AD-Verzeichnis finden Sie unter Was wird erstellt (p. 12).

Sie können jede der folgenden Methoden verwenden, um das Passwort eines Benutzers zurückzusetzen.

Methode 1: Zurücksetzen eines Benutzerpassworts (AWS Management Console)

1. Wählen Sie im Navigationsbereich der AWS Directory Service-Konsole unter Active Directorydie Option Directories (Verzeichnisse) und dann das Verzeichnis in der Liste aus, in der Sie dasBenutzerpasswort zurücksetzen möchten.

2. Wählen Sie auf der Seite Directory details (Verzeichnisdetails) die Option Reset user password(Benutzerpasswort zurücksetzen).

3. Geben Sie im Dialogfeld Reset user password (Benutzerpasswort zurücksetzen) unter Username(Benutzername) den Benutzernamen des Benutzers ein, dessen Passwort geändert werden soll.

4. Geben Sie dann ein Passwort in die Felder New password (Neues Passwort) und Confirm Password(Passwort bestätigen) ein und wählen Sie Reset password (Passwort zurücksetzen) aus.

Version 1.0109



Methode 2: Zurücksetzen eines Benutzerpassworts (Windows PowerShell)

1. Öffnen Sie Windows PowerShell.2. Geben Sie den folgenden Befehl ein und ersetzen Sie den Benutzernamen „joebob“ und das Passwort

„P@ssw0rd“ durch Ihre gewünschten Anmeldeinformationen. Weitere Informationen finden Sie unterReset-DSUserPassword Cmdlet.

Reset-DSUserPassword -UserName joebob -DirectoryId d-1234567890 -NewPasswordP@ssw0rd

Methode 3: Zurücksetzen eines Benutzerpassworts (AWS CLI)

1. Öffnen Sie die AWS CLI.2. Geben Sie den folgenden Befehl ein und ersetzen Sie den Benutzernamen „joebob“ und das Passwort

„P@ssw0rd“ durch Ihre gewünschten Anmeldeinformationen. Weitere Informationen finden Sie unterreset-user-password in der AWS CLI-Befehlsreferenz.

aws ds reset-user-password --directory-id d-1234567890 --user-name joebob --new-password P@ssw0rd

Erstellen einer GruppeGehen Sie wie folgt vor, um eine Sicherheitsgruppe mit einer EC2-Instance zu erstellen, die mit Ihrem AWSManaged Microsoft AD-Verzeichnis verbunden ist.

So erstellen Sie eine Gruppe


Tip



2. Wählen Sie in der Verzeichnisstruktur unter dem NetBIOS-Namen Ihres Verzeichnisses eine OU aus,in der Sie Ihre Gruppe speichern möchten (z. B. Corp\Users). Weitere Informationen über die vonVerzeichnissen im AWS verwendete OU-Struktur finden Sie unter Was wird erstellt (p. 12).

3. Klicken Sie im Menü Aktion auf Neu und dann auf Gruppe, um den Assistenten für neue Gruppenaufzurufen.

4. Geben Sie unter Gruppenname einen Namen für die Gruppe ein und wählen Sie dann einenGruppenbereich sowie die Option Sicherheit für den Gruppentyp aus.

5. Klicken Sie auf OK. Die neue Sicherheitsgruppe wird im Ordner Benutzer angezeigt.

Hinzufügen eines neuen Benutzers zu einer GruppeGehen Sie wie folgt vor, um einen Benutzer zu einer Sicherheitsgruppe mit einer EC2-Instance hinzufügen,die mit Ihrem AWS Managed Microsoft AD-Verzeichnis verbunden ist.

So fügen Sie einen neuen Benutzer zu einer Gruppe hinzu


Version 1.0110

https://docs.aws.amazon.com/powershell/latest/reference/items/Reset-DSUserPassword.html

https://docs.aws.amazon.com/cli/latest/reference/ds/reset-user-password.html

AWS Directory Service AdministratorhandbuchHerstellen einer Verbindung zurvorhandenen AD-Infrastruktur

Tip



2. Wählen Sie in der Verzeichnisstruktur unter dem NetBIOS-Namen Ihres Verzeichnisses die OU aus, inder Sie Ihre Gruppe gespeichert haben. Wählen Sie dann die Gruppe aus, zu der Sie einen Benutzerals Mitglied hinzufügen möchten.

3. Klicken Sie im Menü Aktion auf Eigenschaften, um das Dialogfeld "Eigenschaften" für die Gruppe zuöffnen.

4. Wählen Sie die Registerkarte Mitglieder aus und klicken Sie auf Hinzufügen.5. Geben Sie unter Geben Sie die zu verwendenden Objektnamen ein den hinzuzufügenden

Benutzernamen ein und klicken Sie auf OK. Der Name wird in der Liste Mitglieder angezeigt. KlickenSie erneut auf OK, um die Gruppenmitgliedschaft zu aktualisieren.

6. Überprüfen Sie, ob der Benutzer jetzt Mitglied der Gruppe ist, indem Sie den Benutzer imOrdner Benutzer auswählen und im Menü Aktion auf Eigenschaften klicken, um das Dialogfeld"Eigenschaften" zu öffnen. Wählen Sie die Registerkarte Mitglied von aus. Sie sollten den Namen derGruppe in der Liste der Gruppen sehen, zu der der Benutzer gehört.

Herstellen einer Verbindung zur vorhandenen AD-InfrastrukturDieser Abschnitt beschreibt die Konfiguration von Vertrauensstellungen zwischen AWS Managed MicrosoftAD und Ihrer vorhandenen AD-Infrastruktur.

Themen• Zeitpunkt zum Erstellen einer Vertrauensstellung (p. 111)• Lernprogramm: Erstellen Sie eine Vertrauensbeziehung zwischen Ihren AWS Managed Microsoft AD

und Ihre lokale Domäne (p. 120)

Zeitpunkt zum Erstellen einer VertrauensstellungSie können einund wechselseitige externe und Gesamtstruktur-Vertrauensstellungen zwischen Ihren AWSDirectory Service für Microsoft Active Directory- und lokalen Verzeichnissen konfigurieren sowie zwischenmehreren AWS Managed Microsoft AD-Verzeichnissen in der AWS-Cloud. AWS Managed MicrosoftAD unterstützt alle drei Richtungen für Vertrauensstellungen: Eingehend, ausgehend und bidirektional(bidirektional).

Note

Beim Einrichten von Vertrauensstellungen müssen Sie sicherstellen, dass Ihr lokales Verzeichnismit AWS Directory Services kompatibel ist und bleibt. Weitere Informationen zu IhrenVerantwortlichkeiten finden Sie in unserem Modell für übergreifende Verantwortlichkeit.

AWS Managed Microsoft AD unterstützt externe und Gesamtstruktur-Vertrauensstellungen. EinBeispielszenario, das Sie durch das Erstellen einer Gesamtstruktur-Vertrauensstellung führt, finden Sieunter Lernprogramm: Erstellen Sie eine Vertrauensbeziehung zwischen Ihren AWS Managed Microsoft ADund Ihre lokale Domäne (p. 120).

Version 1.0111

https://aws.amazon.com/compliance/shared-responsibility-model


Prerequisites

Eine Vertrauensstellung zu erstellen erfordert nur wenige Schritte, jedoch müssen Sie vor derenEinrichtung zuerst verschiedene vorbereitende Maßnahmen durchführen.

Note

AWS Managed Microsoft AD unterstützt keine Vertrauensstellung mit Single Label Domains.

Verbinden mit der VPC

Wenn Sie eine Vertrauensstellung für Ihr lokales Verzeichnis erstellen, müssen Sie zuerst Ihr lokalesNetzwerk mit der VPC verbinden, die Ihr AWS Managed Microsoft AD enthält. Die Firewall für Ihr lokalesNetzwerk muss die folgenden Ports für die CIDRs für beide Subnetze in der VPC geöffnet haben.

• TCP/UDP 53 – DNS• TCP/UDP 88 – Kerberos-Authentifizierung• TCP/UDP 389 – LDAP• TCP 445 – SMB

Note

SMBv1 wird nicht mehr unterstützt.

Das ist das Minimum an notwendigen Ports, um eine Verbindung mit Ihrem Verzeichnis herstellen zukönnen. Ihre spezifische Konfiguration erfordert möglicherweise die Öffnung zusätzlicher Ports.

Konfigurieren Ihrer VPC

Die VPC mit Ihrem AWS Managed Microsoft AD muss über die entsprechenden ausgehenden undeingehenden Regeln verfügen.

Konfigurieren Ihrer ausgehenden VPC-Regeln

1. Notieren Sie in der AWS Directory Service console auf der Seite Directory Details die ID Ihres AWSManaged Microsoft AD-Verzeichnisses.

2. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.3. Wählen Sie Security Groups.4. Suchen Sie nach der ID Ihres AWS Managed Microsoft AD-Verzeichnisses. Wählen Sie in den

Suchergebnissen das Element mit der Beschreibung „Durch AWS erstellte Sicherheitsgruppe fürVerzeichnis-ID Directory Controller” aus.

Note

Die ausgewählte Sicherheitsgruppe wird automatisch erzeugt, wenn Sie Ihr Verzeichnis zumersten Mal erstellen.

5. Wählen Sie die Registerkarte Outbound Rules dieser Sicherheitsgruppe. Wählen Sie Edit und Addanother rule. Geben Sie die folgenden Werte für die neue Regel ein:

• Typ: Gesamter Datenverkehr• -Protokoll: Alle• Destination bestimmt den Datenverkehr, der Ihre Domänencontroller verlassen kann, und wohin er

in Ihrem lokalen Netzwerk gesendet werden kann. Geben Sie eine einzelne IP-Adresse oder einenIP-Adressbereich in CIDR-Notation an (z. B. 203.0.113.5/32). Sie können auch den Namen oder die

Version 1.0112

https://support.microsoft.com/en-us/help/2269810/microsoft-support-for-single-label-domains




ID einer anderen Sicherheitsgruppe in derselben Region angeben. Weitere Informationen findenSie unter Die Konfiguration und Verwendung der AWS-Sicherheitsgruppe Ihres Verzeichnissesverstehen (p. 163).

6. Wählen Sie Save.

Konfigurieren Ihrer eingehenden VPC-Regeln

1. Notieren Sie in der AWS Directory Service console auf der Seite Directory Details die ID Ihres AWSManaged Microsoft AD-Verzeichnisses.

2. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.3. Wählen Sie Security Groups.4. Suchen Sie nach der ID Ihres AWS Managed Microsoft AD-Verzeichnisses. Wählen Sie in den

Suchergebnissen das Element mit der Beschreibung „Durch AWS erstellte Sicherheitsgruppe fürVerzeichnis-ID Directory Controller” aus.

Note

Die ausgewählte Sicherheitsgruppe wird automatisch erzeugt, wenn Sie Ihr Verzeichnis zumersten Mal erstellen.

5. Wählen Sie die Registerkarte Inbound Rules dieser Sicherheitsgruppe. Wählen Sie Edit und Addanother rule. Geben Sie die folgenden Werte für die neue Regel ein:

• Typ: Benutzerdefinierte UDP-Regel• -Protokoll: UDP• -Portbereich: 445• Geben Sie für Source eine einzelne IP-Adresse oder einen IP-Adressbereich in CIDR-Notation an

(z. B. 203.0.113.5/32). Sie können auch den Namen oder die ID einer anderen Sicherheitsgruppein derselben Region angeben. Diese Einstellung bestimmt, welcher Datenverkehr IhreDomänencontroller von Ihrem lokalen Netzwerk aus erreichen darf. Weitere Informationen findenSie unter Die Konfiguration und Verwendung der AWS-Sicherheitsgruppe Ihres Verzeichnissesverstehen (p. 163).

6. Wählen Sie Save.7. Wiederholen Sie diese Schritte, indem Sie jede der folgenden Regeln hinzufügen:

Typ Protocol(Protokoll)

Port Range(Port-Bereich)

Source

Benutzerdefinierte UDP-Regel UDP 88 Geben Siedie Sourcean, die derDatenverkehrim vorigenSchrittverwendethat.

Benutzerdefinierte UDP-Regel UDP 123 Geben Siedie Sourcean, die derDatenverkehrim vorigenSchritt

Version 1.0113






Source

verwendethat.




Zielbereich TCP 88 Geben Siedie Sourcean, die derDatenverkehrim vorigenSchrittverwendethat.


Version 1.0114




Source




Zielbereich TCP 1024 -65535

Geben Siedie Sourcean, die derDatenverkehrim vorigenSchrittverwendethat.

Zielbereich TCP 3268 - 3269 Geben Siedie Sourcean, die derDatenverkehrim vorigenSchrittverwendethat.

DNS (UDP) UDP 53 Geben Siedie Sourcean, die derDatenverkehrim vorigenSchrittverwendethat.

Version 1.0115




Source

DNS (TCP) TCP 53 Geben Siedie Sourcean, die derDatenverkehrim vorigenSchrittverwendethat.

LDAP TCP 389 Geben Siedie Sourcean, die derDatenverkehrim vorigenSchrittverwendethat.

Alle ICMP Alle – Geben Siedie Sourcean, die derDatenverkehrim vorigenSchrittverwendethat.

Gesamter Datenverkehr Alle Alle DerzeitigeSicherheitsgruppe(dieSicherheitsgruppefür IhrVerzeichnis).

Diese Sicherheitsregeln betreffen eine interne Netzwerkschnittstelle, die nicht öffentlich zugänglich ist.

Aktivieren der Kerberos-Vorabauthentifizierung

Auf Ihren Benutzerkonten muss die Kerberos-Vorabauthentifizierung aktiviert sein. Weitere Informationenzu dieser Einstellung finden Sie unter Vorauthentifizierung auf Microsoft TechNet.

Konfigurieren von DNS bedingten Weiterleitungen auf Ihrer lokalen Domäne

Sie müssen DNS bedingte Weiterleitungen auf Ihrer lokalen Domäne einrichten. Weitere Informationenzu bedingten Weiterleitungen finden Sie unter Zuweisen einer bedingten Weiterleitung für einenDomänennamen auf Microsoft TechNet.

Um die folgenden Schritte ausführen zu können, benötigen Sie Zugriff auf die folgenden Windows Server-Tools Ihrer lokalen Domäne:

• AD DS- und AD LDS-Tools• DNS

Version 1.0116


https://technet.microsoft.com/en-us/library/cc794735.aspx



So konfigurieren Sie bedingte Weiterleitungen auf Ihren lokalen Domäne

1. Zunächst benötigen Sie einige Informationen über Ihr AWS Managed Microsoft AD. Melden Sie sichan der AWS Management Console an und öffnen Sie die AWS Directory Service console unter https://console.aws.amazon.com/directoryservicev2/.

2. Wählen Sie im Navigationsbereich Directories aus.3. Wählen Sie die Verzeichnis-ID für Ihr AWS Managed Microsoft AD aus.4. Notieren Sie sich den vollqualifizierten Domänen-Namen (FQDN, Fully Qualified Domain Name) und

die DNS-Adressen Ihres Verzeichnisses.5. Jetzt kehren Sie zu Ihrem lokalen Domänencontroller zurück. Öffnen Sie Server Manager.6. Wählen Sie im Menü Tools den Eintrag DNS.7. Erweitern Sie in der Konsolenstruktur den DNS-Server der Domäne, für die Sie die Vertrauensstellung

einrichten.8. Wählen Sie in der Konsolenbaumstruktur Conditional Forwarders.9. Wählen Sie im Menü Action den Eintrag New conditional forwarder.10. Geben Sie in DNS domain den vollständig qualifizierten Domänennamen (FQDN) Ihres AWS Managed

Microsoft AD an, den Sie zuvor notiert haben.11. Wählen Sie IP addresses of the master servers (IP-Adressen der Master-Server) aus und geben Sie

die DNS-Adressen Ihres AWS Managed Microsoft AD-Verzeichnisses an, die Sie zuvor notiert haben.

Nach der Eingabe der DNS-Adressen ist es möglich, einen "Timeout" oder "nicht lösbar" Fehler zuerhalten. Sie können diese Fehler in der Regel ignorieren.

12. Wählen Sie Store this conditional forwarder in Active Directory and replicate as following (Diesenbedingten Forwarder in Active Directory speichern und wie folgt replizieren) aus: Alle DNS-Server indieser Domäne. Klicken Sie auf OK.

Passwort der Vertrauensstellung

Wenn Sie eine Vertrauensstellung mit einer bestehenden Domäne erstellen, können Sie sie mit denWindows Server Verwaltungs-Tools dort einrichten. Notieren Sie währenddessen das Passwort, das Sie fürdie Vertrauensstellung benutzen. Sie müssen dieses Passwort auch beim Einrichten der Vertrauensstellungim AWS Managed Microsoft AD verwenden. Weitere Informationen finden Sie unter Verwalten vonVertrauensstellungen auf Microsoft TechNet.

Sie können nun die Vertrauensstellung in Ihrem AWS Managed Microsoft AD erstellen.

Erstellen, Überprüfen oder Löschen einer VertrauensstellungNote

Vertrauensstellungen sind eine globale Funktion von AWS Managed Microsoft AD.

So erstellen Sie eine Vertrauensstellung in Ihrem AWS Managed Microsoft AD

1. Öffnen Sie die AWS Directory Service console.2. Wählen Sie auf der Seite Directories (Verzeichnisse) die ID Ihres AWS Managed Microsoft AD aus.3. Führen Sie auf der Seite Directory details (Verzeichnisdetails) einen der folgenden Schritte aus:

• Wenn mehrere Regionen unter Multi-Region replication (Replikation über mehrere Regionen)angezeigt werden, wählen Sie die primäre Region und dann die Registerkarte Networking & security(Netzwerk und Sicherheit) aus. Weitere Informationen finden Sie unter Primäre im Vergleich zuzusätzlichen Regionen (p. 62).

Version 1.0117







4. Wählen Sie im Abschnitt Trust relationships (Vertrauensstellungen) die Option Actions (Aktionen) unddann Add trust relationship (Vertrauensstellung hinzufügen aus.

5. Geben Sie auf der Seite Add a trust relationship (Eine Vertrauensstellung hinzufügen) dieerforderlichen Informationen ein, einschließlich Vertrauenstyps, des voll ständig qualifiziertenDomänennamens (FQDN) Ihrer vertrauenswürdigen Domäne, des Vertrauenspassworts und derRichtung der Vertrauensstellung.

6. (Optional) Falls Sie nur autorisierten Benutzern den Zugriff auf Ressourcen in Ihrem AWS ManagedMicrosoft AD-Verzeichnis erlauben möchten, können Sie optional das Kontrollkästchen Selectiveauthentication (Selektive Authentifizierung) aktivieren. Allgemeine Informationen zur selektivenAuthentifizierung finden Sie unter Sicherheitsüberlegungen für Vertrauensbeziehungen auf MicrosoftTechNet.

7. Geben Sie für Conditional forwarder die IP-Adresse Ihres lokalen DNS-Servers ein. Wenn Sie zuvorbereits bedingte Weiterleitungen erstellt haben, können Sie den FQDN Ihrer lokalen Domäne anstelleeiner DNS IP-Adresse eingeben.

8. (Optional) Wählen Sie Add another IP address (Weitere IP-Adresse hinzufügen) und geben Siedie IP-Adresse eines zusätzlichen lokalen DNS-Servers ein. Sie können diesen Schritt für jedeanzuwendende DNS Server-Adresse bis zu insgesamt vier Adressen wiederholen.

9. Wählen Sie Add aus.10. Wenn der DNS-Server oder das Netzwerk Ihrer lokalen Domäne einen öffentlichen IP-Adressraum

(nicht RFC 1918) verwendet, wählen Sie die Registerkarte IP routing (IP-Routing), Actions (Aktionen)und dann Add route (Route hinzufügen) aus. Geben Sie den IP-Adressblock Ihres DNS-Serversoder lokalen Netzwerks im CIDR-Format ein, zum Beispiel 203.0.113.0/24. Dieser Schritt ist nichterforderlich, wenn Ihr DNS-Server und Ihr lokales Netzwerk RFC 1918 IP-Adressräume verwenden.

Note

Wenn Sie einen öffentlichen IP-Adressraum verwenden, stellen Sie sicher, dass Sie keine derAWS IP-Adressbereiche verwenden, da diese nicht genutzt werden können.

11. (Optional) Wir empfehlen, dass Sie auf der Seite Add routes (Routen hinzufügen) auch Addroutes to the security group for this directory's VPC (Routen zur Sicherheitsgruppe für die VPCdieses Verzeichnisses hinzufügen) auswählen. So konfigurieren Sie die Sicherheitsgruppen wieoben unter „Konfigurieren Ihrer VPC” beschrieben. Diese Sicherheitsregeln betreffen eine interneNetzwerkschnittstelle, die nicht öffentlich zugänglich ist. Wenn diese Option nicht verfügbar ist, wirdstattdessen eine Meldung angezeigt, dass Sie Ihre Sicherheitsgruppen bereits angepasst haben.

Sie müssen die Vertrauensstellung auf beiden Domänen einrichten. Die Stellungen müssen wechselseitigsein. Wenn Sie beispielsweise eine ausgehende Vertrauensstellung in einer Domäne erstellen, benötigenSie auf der anderen eine eingehende.

Wenn Sie eine Vertrauensstellung mit einer bestehenden Domäne erstellen, können Sie sie mit denWindows Server Verwaltungs-Tools dort einrichten.

Sie können mehrere Vertrauensstellungen zwischen Ihrem AWS Managed Microsoft AD undverschiedenen Active Directory-Domänen erstellen. Jedoch kann zeitgleich nur eine Vertrauensstellungpro Paar bestehen. Wenn Sie beispielsweise über eine bestehende, einseitige Vertrauensstellung in„Eingehender Richtung” verfügen und dann eine weitere „Ausgehender Richtung” einrichten möchten,müssen Sie die bestehende Vertrauensstellung löschen und eine neue „wechselseitige” erstellen.

Um eine ausgehende Vertrauensstellung zu überprüfen:

1. Öffnen Sie die AWS Directory Service console.2. Wählen Sie auf der Seite Directories (Verzeichnisse) die ID Ihres AWS Managed Microsoft AD aus.

Version 1.0118

https://technet.microsoft.com/pt-pt/library/cc755321(v=ws.10).aspx

https://ip-ranges.amazonaws.com/ip-ranges.json






4. Wählen Sie im Abschnitt Trust relationships (Vertrauensstellungen) die Vertrauensstellung aus,die Sie überprüfen möchten, dann Actions (Aktionen) und schließlich Verify trust relationship(Vertrauensstellung überprüfen).

Dieser Prozess überprüft nur die ausgehende Richtung einer wechselseitigen Vertrauensstellung. AWSunterstützt nicht die Verifizierung von eingehenden Vertrauensstellungen. Weitere Informationen zumÜberprüfen einer Vertrauensstellung zu oder von Ihrem lokalen Active Directory finden Sie unter Verify aTrust auf Microsoft TechNet.

Um eine bestehende Vertrauensstellung zu löschen:

1. Öffnen Sie die AWS Directory Service console.2. Wählen Sie auf der Seite Directories (Verzeichnisse) die ID Ihres AWS Managed Microsoft AD aus.3. Führen Sie auf der Seite Directory details (Verzeichnisdetails) einen der folgenden Schritte aus:



4. Wählen Sie im Abschnitt Trust relationships (Vertrauensstellungen) die Beziehung aus, die Sielöschen möchten, dann Actions (Aktionen) und schließlich Delete trust relationship (Vertrauensstellunglöschen).

5. Wählen Sie Delete.

Hinzufügen von IP-Routen bei der Verwendung von öffentlichen IP-Adressen

Mit AWS Directory Service für Microsoft Active Directory können Sie die vielen leistungsstarken ActiveDirectory-Funktionen nutzen, wie beispielsweise die Einrichtung von Vertrauensstellungen mit anderenVerzeichnissen. Wenn die DNS-Server für die Netzwerke der anderen Verzeichnisse jedoch öffentliche(nicht RFC 1918) IP-Adressen verwenden, müssen Sie diese IP-Adressen als Teil der Konfigurationder Vertrauensstellung angeben. Anweisungen hierzu finden Sie unter Zeitpunkt zum Erstellen einerVertrauensstellung (p. 111).

In ähnlicher Weise müssen Sie auch die Information der IP-Adresse eingeben, wenn Sie Datenverkehr ausIhrem AWS Managed Microsoft AD auf AWS zu einer gleichgestellten AWS-VPC routen. Das gilt für denFall, dass die VPC öffentliche IP-Bereiche verwendet.

Wenn Sie die IP-Adressen wie in Zeitpunkt zum Erstellen einer Vertrauensstellung (p. 111) beschriebenhinzufügen, haben Sie die Option, Add routes to the security group for this directory's VPC auszuwählen.Diese Option sollte gewählt werden, es sei denn, Sie haben Ihre Sicherheitsgruppe vorher so angepasst,dass sie den erforderlichen Datenverkehr wie unten dargestellt erlaubt. Weitere Informationen finden Sie imDie Konfiguration und Verwendung der AWS-Sicherheitsgruppe Ihres Verzeichnisses verstehen (p. 163).

Diese Option konfiguriert die Sicherheitsgruppen für die VPC Ihres Verzeichnisses wie folgt:

Version 1.0119








Port-Bereich Source

Benutzerdefinierte UDP-Regel UDP 88 0.0.0.0/0






Benutzerdefinierte TCP-Regel TCP 88 0.0.0.0/0





Benutzerdefinierte TCP-Regel TCP 1024 -65535

0.0.0.0/0

Benutzerdefinierte TCP-Regel TCP 3268 - 3269 0.0.0.0/0

DNS (UDP) UDP 53 0.0.0.0/0

DNS (TCP) TCP 53 0.0.0.0/0

LDAP TCP 389 0.0.0.0/0

Alle ICMP Alle N/A 0.0.0.0/0



Port-Bereich Zieladresse

Gesamter Datenverkehr Alle Alle 0.0.0.0/0

Diese Sicherheitsregeln betreffen eine interne Netzwerkschnittstelle, die nicht öffentlich zugänglich ist.

Lernprogramm: Erstellen Sie eine Vertrauensbeziehung zwischenIhren AWS Managed Microsoft AD und Ihre lokale DomäneIn diesem Tutorial erfahren Sie Schritt für Schritt, wie Sie zwischen AWS Directory Service für MicrosoftActive Directory und Ihrem lokalen Microsoft Active Directory eine Vertrauensstellung herstellen. EineVertrauensstellung zu erstellen, erfordert nur wenige Schritte, jedoch müssen Sie zuerst die folgendenvorbereitenden Schritte ausführen.

Themen

Version 1.0120


• Prerequisites (p. 121)• Schritt 1: Bereiten Sie Ihre Domäne vor Ort vor (p. 122)• Schritt 2: Vorbereiten Ihrer AWS Managed Microsoft AD (p. 124)• Schritt 3: Erstellen der Vertrauensstellung (p. 130)

Weitere Informationen finden Sie auch unter:

Zeitpunkt zum Erstellen einer Vertrauensstellung (p. 111)

Prerequisites

In dieser praktischen Anleitung wird davon ausgegangen, dass Sie bereits über folgende Elementeverfügen:

Note

AWS Managed Microsoft AD unterstützt keine Vertrauensstellung mit Single Label Domains.

• Ein AWS Managed Microsoft AD-Verzeichnis, das in AWS erstellt wurde. Weitere Informationen hierzufinden Sie unter Erste Schritte mit AWS Managed Microsoft AD (p. 9).

• Diesem AWS Managed Microsoft AD muss eine EC2-Instance hinzugefügt worden sein, in der Windowsausgeführt wird. Weitere Informationen hierzu finden Sie unter Manuelle Anbindung an eine Windows-Instance (p. 78).

Important

Das Administratorkonto für Ihr AWS Managed Microsoft AD muss Administratorzugriff auf dieseInstance besitzen.

• Folgende Windows Server-Tools müssen in der Instance installiert sein:• AD DS- und AD LDS-Tools• DNS

Weitere Informationen hierzu finden Sie unter Installieren der Active Directory-Verwaltungstools (p. 108).

• Ein lokales Microsoft Active Directory

Sie müssen Administratorzugriff auf dieses Verzeichnis haben. Für dieses Verzeichnis müssen ebenfallsdie oben genannten Windows Server-Tools verfügbar sein.

• Es muss eine aktive Verbindung zwischen Ihrem lokalen Netzwerk und der VPC vorhanden sein, dieIhr AWS Managed Microsoft AD enthält. Weitere Informationen hierzu finden Sie im Bereich mit denKonnektivitätsoptionen für Amazon Virtual Private Cloud.

Praktische Anleitung zur Konfiguration

Für dieses Tutorial wurden bereits ein AWS Managed Microsoft AD und eine lokale Domäne erstellt. Daslokale Netzwerk ist mit der VPC des AWS Managed Microsoft AD verbunden. Im Folgenden sehen Sie dieEigenschaften der beiden Verzeichnisse:

AWS Managed Microsoft AD wird in AWS ausgeführt.

• Domänenname (FQDN): MyManagedADBeispiel• NetBIOS Bezeichnung: MyManagedAD• DNS-Adressen: 10.0.10.246 und 10.0.20.121• VPC-CIDR-Kennzeichnung: 10.0.0.0/16

Version 1.0121


http://media.amazonwebservices.com/AWS_Amazon_VPC_Connectivity_Options.pdf


Das AWS Managed Microsoft AD-Verzeichnis befindet sich in der VPC und hat die folgende ID:vpc-12345678.

Lokale Domäne

• Domänenname (FQDN): corp.example.com• NetBIOS Bezeichnung: UNTERNEHMEN• DNS-Adressen: 172.16.10.153 (USA)• CIDR vor Ort: 172.16.0.0/16

Nächster Schritt

Schritt 1: Bereiten Sie Ihre Domäne vor Ort vor (p. 122)

Schritt 1: Bereiten Sie Ihre Domäne vor Ort vor

Zuerst müssen Sie bei Ihrer lokalen Domäne mehrere vorbereitende Schritte ausführen.

Konfigurieren Sie Ihre lokale Firewall

Sie müssen Ihre lokale Firewall so konfigurieren, dass die folgenden Ports für die CIDRs für alle Subnetze,die von der VPC verwendet werden, die Ihren AWS Managed Microsoft AD. Für die Zwecke diesesTutorials wird sowohl ein- als auch ausgehender Datenverkehr von 10.0.0.0/16 (dem CIDR-Block der VPCunseres AWS Managed Microsoft AD) über folgende Ports zugelassen:

• TCP/UDP 53 – DNS• TCP/UDP 88 – Kerberos-Authentifizierung• TCP/UDP 389 – LDAP• TCP 445 – SMB

Note

SMBv1 wird nicht mehr unterstützt.

Note

Dies sind die minimalen Ports, die für die Verbindung der VPC mit dem lokalen Verzeichnisnotwendig sind. Ihre spezifische Konfiguration erfordert möglicherweise die Öffnung zusätzlicherPorts.

Stellen Sie sicher, dass Kerberos-Vorauthentifizierung aktiviert ist

Benutzerkonten in beiden Verzeichnissen müssen Kerberos Vorauthentifizierung aktiviert haben. Diesist die Standardeinstellung. Wir überprüfen allerdings die Eigenschaften eines beliebigen Benutzers, umsicherzustellen, dass nichts geändert ist.

So zeigen Sie Benutzer-Kerberos-Einstellungen an

1. Öffnen Sie auf Ihrem lokalen Domänencontroller den Server-Manager.2. Wählen Sie im Menü Tools den Eintrag Active Directory Users and Computers.3. Wählen Sie den Ordner Users (Benutzer) und öffnen Sie das Kontextmenü (rechte Maustaste). Wählen

Sie im rechten Bereich ein beliebiges Benutzerkonto aus. Wählen Sie Properties (Eigenschaften).4. Wählen Sie die Registerkarte Account. Scrollen Sie in der Liste Account options nach unten und stellen

Sie sicher, dass Do not require Kerberos preauthentication nicht ausgewählt ist.

Version 1.0122


Konfigurieren Sie DNS-bedingte Weiterleitungen für Ihre lokale Domäne

Sie müssen DNS-bedingte Weiterleitungen auf jeder Domäne einrichten. Bevor Sie dies für Ihre lokaleDomäne durchführen, erhalten Sie einige Informationen zu Ihrem AWS Managed Microsoft AD.

So konfigurieren Sie bedingte Weiterleitungen auf Ihren lokalen Domäne

1. Melden Sie sich an der AWS Management Console an und öffnen Sie die AWS Directory Serviceconsole unter https://console.aws.amazon.com/directoryservicev2/.

2. Wählen Sie im Navigationsbereich Directories aus.3. Wählen Sie die Verzeichnis-ID für Ihr AWS Managed Microsoft AD aus.4. Notieren Sie sich auf der Seite Details die Werte in Directory name (Verzeichnisname) und die DNS

address (DNS-Adresse) Ihres Verzeichnisses.5. Jetzt kehren Sie zu Ihrem lokalen Domänencontroller zurück. Öffnen Sie Server Manager.6. Wählen Sie im Menü Tools den Eintrag DNS.7. Erweitern Sie in der Konsolenstruktur den DNS-Server der Domäne, für die Sie die Vertrauensstellung

einrichten. Unser Server ist WIN-5V70CN7VJ0.corp.example.com.8. Wählen Sie in der Konsolenbaumstruktur Conditional Forwarders.9. Wählen Sie im Menü Action den Eintrag New conditional forwarder.10. Geben Sie in DNS domain den vollständig qualifizierten Domänennamen (FQDN) Ihres AWS

Managed Microsoft AD an, den Sie zuvor notiert haben. In diesem Beispiel ist der FQDNMyManagedAD.beispiel.com.

11. Wählen Sie IP addresses of the master servers (IP-Adressen der Master-Server) aus und geben Siedie DNS-Adressen Ihres AWS Managed Microsoft AD-Verzeichnisses an, die Sie zuvor notiert haben.In diesem Beispiel sind dies: 10.0.10.246 und 10.0.20.121

Version 1.0123




Nach der Eingabe der DNS-Adressen ist es möglich, einen "Timeout" oder "nicht lösbar" Fehler zuerhalten. Sie können diese Fehler in der Regel ignorieren.

12. Markieren Sie das Kontrollkästchen Store this conditional forwarder in Active Directory, and replicate itas follows.

13. Wählen Sie All DNS servers in this domain und dann OK.

Nächster Schritt

Schritt 2: Vorbereiten Ihrer AWS Managed Microsoft AD (p. 124)

Schritt 2: Vorbereiten Ihrer AWS Managed Microsoft AD

Sie müssen nun Ihr AWS Managed Microsoft AD für die Vertrauensstellung vorbereiten. Viele derfolgenden Schritte sind fast identisch mit dem, was Sie gerade bei Ihrer lokalen Domäne gemacht haben.Dieses Mal arbeiten Sie jedoch mit Ihrem AWS Managed Microsoft AD.

Konfigurieren Sie Ihre VPC-Subnetze und Sicherheitsgruppen

Sie müssen Datenverkehr von Ihrem lokalen Netzwerk zu der VPC zulassen, die Ihr AWS ManagedMicrosoft AD enthält. Dazu müssen Sie sicherstellen, dass die ACLs, die den Subnetzen zugeordnetist, die für die Bereitstellung Ihrer AWS Managed Microsoft AD verwendet werden, und die auf IhrenDomänencontrollern konfigurierten Sicherheitsgruppenregeln beide den erforderlichen Datenverkehr zurUnterstützung von Vertrauensstellungen zulassen.

Version 1.0124


Die Portanforderungen variieren je nach der Version von Windows Server, die von IhrenDomänencontrollern, den Services und den Anwendungen verwendet wird, die die Vertrauensstellungnutzen. Für dieses Tutorial müssen Sie folgende Ports öffnen:

Eingehend

• TCP/UDP 53 – DNS• TCP/UDP 88 – Kerberos-Authentifizierung• UDP 123 – NTP• TCP 135 – RPC• UDP 137-138 – Netlogon• TCP 139 – Netlogon• TCP/UDP 389 – LDAP• TCP/UDP 445 – SMB

Note

SMBv1 wird nicht mehr unterstützt.• TCP/UDP 464 – Kerberos-Authentifizierung• TCP 636 - LDAPS (LDAP über TLS/SSL)• TCP 873 – Rsync• TCP 3268-3269 – Globaler Katalog• TCP/UDP 1024-65535 – Flüchtige Ports für RPC• Alle ICMP

Ausgehend

• ALL

Note

Dies sind die minimalen Ports, die für die Verbindung der VPC mit dem lokalen Verzeichnisnotwendig sind. Ihre spezifische Konfiguration erfordert möglicherweise die Öffnung zusätzlicherPorts.

So konfigurieren Sie Regeln für den einund ausgehenden Datenverkehr für Ihren AWS ManagedMicrosoft ADDomänencontroller

1. Kehren Sie zum AWS Directory Service console zurück. Notieren Sie sich die Verzeichnis-ID für IhrAWS Managed Microsoft AD-Verzeichnis in der Verzeichnisliste.

2. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.3. Wählen Sie im Navigationsbereich Security Groups aus.4. Verwenden Sie das Suchfeld für die Suche nach der ID Ihres AWS Managed Microsoft AD-

Verzeichnisses. Wählen Sie in den Suchergebnissen das Element mit der Beschreibung AWS createdsecurity group for <yourdirectoryID> directory controllers aus.

Version 1.0125




5. Wählen Sie die Registerkarte Outbound Rules dieser Sicherheitsgruppe. Wählen Sie Edit und dannAdd another rule. Geben Sie die folgenden Werte für die neue Regel ein:

• Typ: Gesamter Datenverkehr• -Protokoll: ALL• Destination bestimmt den Datenverkehr, der Ihre Domänencontroller verlassen kann, und wohin

er gesendet werden kann. Geben Sie eine einzelne IP-Adresse oder einen IP-Adressbereichin CIDR-Notation an (z. B. 203.0.113.5/32). Sie können auch den Namen oder die ID eineranderen Sicherheitsgruppe in derselben Region angeben. Weitere Informationen finden Sieunter Die Konfiguration und Verwendung der AWS-Sicherheitsgruppe Ihres Verzeichnissesverstehen (p. 163).

6. Wählen Sie Save.

7. Wählen Sie die Registerkarte Inbound Rules derselben Sicherheitsgruppe. Wählen Sie Edit und dannAdd another rule. Geben Sie die folgenden Werte für die neue Regel ein:

• Typ: Benutzerdefinierte UDP-Regel• -Protokoll: UDP• -Portbereich: 445• Geben Sie für Source eine einzelne IP-Adresse oder einen IP-Adressbereich in CIDR-Notation an

(z. B. 203.0.113.5/32). Sie können auch den Namen oder die ID einer anderen Sicherheitsgruppein derselben Region angeben. Diese Einstellung bestimmt, welcher Datenverkehr IhreDomänencontroller erreichen kann. Weitere Informationen finden Sie unter Die Konfiguration undVerwendung der AWS-Sicherheitsgruppe Ihres Verzeichnisses verstehen (p. 163).

8. Wählen Sie Save.9. Wiederholen Sie die Schritte 7 und 8, und fügen Sie jede der folgenden Regeln hinzu:

Version 1.0126




Source






Version 1.0127




Source






Zielbereich TCP 1024 -65535

Geben Siedie Sourcean, die derDatenverkehrim vorigenSchrittverwendethat.

Version 1.0128




Source

Zielbereich TCP 3268 - 3269 Geben Siedie Sourcean, die derDatenverkehrim vorigenSchrittverwendethat.

DNS (UDP) UDP 53 Geben Siedie Sourcean, die derDatenverkehrim vorigenSchrittverwendethat.

DNS (TCP) TCP 53 Geben Siedie Sourcean, die derDatenverkehrim vorigenSchrittverwendethat.

LDAP TCP 389 Geben Siedie Sourcean, die derDatenverkehrim vorigenSchrittverwendethat.

Alle ICMP Alle – Geben Siedie Sourcean, die derDatenverkehrim vorigenSchrittverwendethat.

Gesamter Datenverkehr Alle Alle DerzeitigeSicherheitsgruppe(dieSicherheitsgruppefür IhrVerzeichnis).

Version 1.0129


Stellen Sie sicher, dass Kerberos-Vorauthentifizierung aktiviert ist

Nun müssen Sie bestätigen, dass für die Benutzer in Ihrem AWS Managed Microsoft AD auch dieKerberos-Vorauthentifizierung aktiviert werden soll. Dies ist das gleiche Verfahren wie für Ihr lokalesVerzeichnis. Dies ist die Standardeinstellung, die jedoch noch einmal überprüft werden sollte, umsicherzustellen, dass nichts geändert ist.

So zeigen Sie Benutzer-Kerberos-Einstellungen an

1. Melden Sie sich bei einer Instance an, die ein Mitglied Ihres AWS Managed Microsoft AD-Verzeichnisses ist, und verwenden Sie dazu entweder Admin-Konto (p. 17) für die Domäne oder einKonto mit delegierten Rechten zur Verwaltung von Benutzern in der Domäne.

2. Wenn sie nicht bereits installiert sind, installieren Sie das Active Directory-Benutzer- und -Computer-Tool und das DNS-Tool. Erfahren Sie, wie Sie diese Tools installieren, in Installieren der ActiveDirectory-Verwaltungstools (p. 108).

3. Öffnen Sie Server Manager. Wählen Sie im Menü Tools den Eintrag Active Directory Users andComputers.

4. Wählen Sie den Ordner Users in Ihrer Domäne. Beachten Sie, dass dies der Ordner Users (Benutzer)unter Ihrem NetBIOS-Namen ist, nicht der Ordner Users (Benutzer) unter dem vollqualifiziertenDomänennamen (Fully Qualified Domain Name, FQDN).

5. Klicken Sie in der Liste der Benutzer mit der rechten Maustaste auf einen Benutzer, und klicken Siedann auf Properties (Eigenschaften).

6. Wählen Sie die Registerkarte Account. Stellen Sie in der Liste Account options sicher, dass Do notrequire Kerberos preauthentication nicht ausgewählt ist.

Nächster Schritt

Schritt 3: Erstellen der Vertrauensstellung (p. 130)

Schritt 3: Erstellen der VertrauensstellungDa die Vorbereitungen jetzt abgeschlossen sind, können Sie die Vertrauensstellungen herstellen. Zunächsterstellen Sie die Vertrauensstellung in Ihrer lokalen Domäne und dann in Ihrer AWS Managed Microsoft

Version 1.0130


AD. Wenn während der Erstellung von Vertrauensstellungen Probleme auftreten, finden Sie weitereInformationen unter Trust Erstellungsstatus Gründe (p. 200).

Konfigurieren der Vertrauensstellung in Ihrem lokalen Active Directory

Mithilfe dieses Tutorials können Sie eine bidirektionale Gesamtstruktur-Vertrauensstellung konfigurieren.Wenn Sie eine unidirektionale Gesamtstruktur-Vertrauensstellung nutzen möchten, müssen Sie daraufachten, dass sich die Richtungen für die einzelnen Domänen ergänzen. Wenn Sie beispielsweise in Ihrerlokalen Domäne eine ausgehende unidirektionale Vertrauensstellung erstellen, müssen Sie in Ihrer AWSManaged Microsoft AD eine unidirektionale eingehende Vertrauensstellung erstellen.

Note

AWS Managed Microsoft AD unterstützt auch externe Vertrauensstellungen. Für dieses Tutorialerstellen Sie jedoch eine bidirektionale Gesamtstruktur-Vertrauensstellung.

So konfigurieren Sie die Vertrauensstellung in Ihrem lokalen AD

1. Öffnen Sie Server Manager und wählen Sie im Menü Tools die Option Active Directory Domains andTrusts.

2. Öffnen Sie mit einem Rechtsklick das Kontextmenü Ihrer Domäne und wählen Sie Properties aus.3. Wählen Sie die Registerkarte Trusts und dann New trust. Geben Sie den Namen Ihrer AWS Managed

Microsoft AD ein und wählen Sie Next (Weiter) aus.4. Wählen Sie Forest trust. Wählen Sie Next.5. Wählen Sie Two-way. Wählen Sie Next.6. Wählen Sie This domain only. Wählen Sie Next.7. Wählen Sie Forest-wide authentication. Wählen Sie Next.8. Geben Sie ein Trust password ein. Merken Sie sich dieses Passwort, da Sie es beim Einrichten der

Vertrauensstellung für Ihr AWS Managed Microsoft AD benötigen werden.9. Bestätigen Sie im nächsten Dialogfeld Ihre Einstellungen und wählen Sie Next aus. Prüfen Sie, ob die

Vertrauensstellung richtig erstellt wurde, und wählen Sie erneut Next aus.10. Wählen Sie No, do not confirm the outgoing trust. Wählen Sie Next.11. Wählen Sie No, do not confirm the incoming trust. Wählen Sie Next.

Konfigurieren der Vertrauensstellung in Ihrem AWS Managed Microsoft AD-Verzeichnis

Zum Schluss konfigurieren Sie die Gesamtstruktur-Vertrauensstellung mit Ihrem AWS Managed MicrosoftAD-Verzeichnis. Da Sie für die lokale Domäne eine bidirektionale Gesamtstruktur-Vertrauensstellungerstellt haben, müssen Sie mit Ihrem AWS Managed Microsoft AD-Verzeichnis ebenfalls eine bidirektionaleVertrauensstellung erstellen.

Note


So konfigurieren Sie die Vertrauensstellung in Ihrem AWS Managed Microsoft AD-Verzeichnis

1. Kehren Sie zum AWS Directory Service console zurück.2. Wählen Sie auf der Seite Directories (Verzeichnisse) die ID Ihres AWS Managed Microsoft AD aus.3. Führen Sie auf der Seite Directory details (Verzeichnisdetails) einen der folgenden Schritte aus:

• Wenn mehrere Regionen unter Multi-Region replication (Replikation über mehrere Regionen)angezeigt werden, wählen Sie die primäre Region und dann die Registerkarte Networking & security

Version 1.0131


AWS Directory Service AdministratorhandbuchErweitern des Schemas

(Netzwerk und Sicherheit) aus. Weitere Informationen finden Sie unter Primäre im Vergleich zuzusätzlichen Regionen (p. 62).



5. Geben Sie auf der Seite Add a trust relationship (Eine Vertrauensbeziehung hinzufügen) den FQDNIhrer lokalen Domäne ein (in diesem Tutorial corp.example.com). Geben Sie das Passwort ein, dasSie beim Erstellen der Vertrauensstellung für Ihre lokale Domäne verwendet haben. Geben Sie dieRichtung an. In unserem Beispiel wählen wir Two-way aus.

6. Geben Sie im Feld Conditional forwarder die IP-Adresse Ihres lokalen DNS-Servers ein. In unseremBeispiel lautet sie 172.16.10.153.

7. (Optional) Wählen Sie Add another IP address (Weitere IP-Adresse hinzufügen) aus und geben Sieeine zweite IP-Adresse für Ihren lokalen DNS-Server ein. Sie können insgesamt bis zu vier DNS-Server angeben.

8. Wählen Sie Add aus.

Herzlichen Glückwunsch. Sie haben nun eine Vertrauensstellung zwischen Ihrer lokalen Domäne(corp.example.com) und Ihrem AWS Managed Microsoft AD (MyManagedAD.example.com) erstellt.Zwischen diesen beiden Domänen kann nur eine Vertrauensstellung eingerichtet werden. Wenn Siebeispielweise statt einer bidirektionalen eine unidirektionale Vertrauensstellung nutzen möchten, müssenSie die bestehende Vertrauensstellung löschen und eine neue erstellen.

Weitere Informationen, etwa Anleitungen zum Bestätigen oder Löschen von Vertrauensstellungen, findenSie unter Zeitpunkt zum Erstellen einer Vertrauensstellung (p. 111).

Erweitern des SchemasAWS Managed Microsoft AD verwendet Schemas, um die Art der Speicherung von Verzeichnisdaten zuorganisieren und durchzusetzen. Das Hinzufügen von Definitionen zu dem Schema wird als "Erweiterungdes Schemas" bezeichnet. Schema-Erweiterungen ermöglichen Ihnen, das Schema Ihres AWS ManagedMicrosoft AD-Verzeichnisses mittels einer gültigen LDAP Data Interchange Format (LDIF)-Datei zu ändern.Weitere Informationen über AD-Schemas und darüber, wie Sie Ihr Schema erweitern, finden Sie unternachfolgenden Themen.

Themen• Empfohlene Erweiterung Ihres AWS Managed Microsoft AD-Schemas (p. 132)• Tutorial: Erweitern Ihres AWS Managed Microsoft AD-Schemas (p. 133)

Empfohlene Erweiterung Ihres AWS Managed Microsoft AD-SchemasSie können Ihr AWS Managed Microsoft AD-Schema durch das Hinzufügen neuer Objektklassen undAttribute erweitern. Tun Sie dies beispielsweise, wenn Sie eine Anwendung nutzen, für die Änderungen amSchema erforderlich sind, damit die Funktionen der Einmalanmeldung unterstützt werden.

Sie können Schemaerweiterungen auch verwenden, damit Anwendungen unterstützt werden, die aufbestimmten Active Directory-Objektklassen und -Attributen beruhen. Dies ist besonders dann nützlich,wenn Sie Unternehmensanwendungen in die AWS Cloud migrieren müssen, die von AWS ManagedMicrosoft AD abhängig sind.

Jedes Attribut und jede Klasse, das bzw. die einem vorhandenen Active Directory-Schema hinzugefügtwird, muss mit einer eindeutigen ID definiert sein. Wenn Unternehmen dem Schema Erweiterungen

Version 1.0132


hinzufügen, kann dadurch garantiert werden, dass das jeweilige neue Element nur einmal vorhandenist und nicht in Konflikt mit einem anderen Element steht. Diese IDs werden als AD-Objekt-IDs (OIDs)bezeichnet und in AWS Managed Microsoft AD.

Lesen Sie zum Einstieg Tutorial: Erweitern Ihres AWS Managed Microsoft AD-Schemas (p. 133).

Verwandte Themen

• Erweitern des Schemas (p. 132)• Schemaelemente (p. 19)

Tutorial: Erweitern Ihres AWS Managed Microsoft AD-SchemasIn diesem Tutorial erfahren Sie, wie Sie das Schema für Ihr AWS Directory Service für Microsoft ActiveDirectory-Verzeichnis erweitern können, auch als AWS Managed Microsoft AD bekannt, indem Siespezifische Attribute und Klassen hinzufügen, die Ihre spezifischen Anforderungen erfüllen. AWS ManagedMicrosoft AD-Schemaerweiterungen können nur in Form einer gültigen LDIF (Lightweight DirectoryInterchange Format)-Skriptdatei hochgeladen und angewendet werden.

Attribute (attributeSchema) definieren die Felder in der Datenbank, während Klassen (classSchema) dieTabellen in der Datenbank definieren. So werden beispielsweise alle Benutzerobjekte in Active Directorydurch die Schemaklasse User definiert, während die einzelnen Eigenschaften eines Benutzers wie z. B. dieE-Mail-Adresse oder Telefonnummer jeweils durch ein Attribut definiert werden.

Wenn Sie eine neue Eigenschaft wie z. B. „Shoe-Size” hinzufügen wollten, müssten Sie ein neues Attributdes Typs Integer definieren. Sie könnten auch Unter- und Obergrenzen definieren, beispielsweise 1 bis 20.Sobald das attributeSchema-Objekt der Schuhgröße erstellt wurde, ändern Sie das User-classSchema-Objekt so, dass es dieses Attribut enthält. Attribute können mit mehreren Klassen verknüpft werden. Shoe-Size könnte auch beispielsweise zur Klasse Contact hinzugefügt werden. Weitere Informationen zu denActive Directory-Schemas finden Sie unter Empfohlene Erweiterung Ihres AWS Managed Microsoft AD-Schemas (p. 132).

Dieser Workflow umfasst drei grundlegende Schritte.

Schritt 1: Erstellen Ihrer LDIF-Datei (p. 134)

Zunächst erstellen Sie eine LDIF-Datei und definieren die neuen Attribute sowie alle Klassen, denendie Attribute hinzugefügt werden sollen. Diese Datei verwenden Sie für die nächste Phase desWorkflows.

Version 1.0133


Schritt 2: Importieren Ihrer LDIF-Datei (p. 135)

In diesem Schritt importieren Sie die LDIF-Datei über die AWS Directory Service-Konsole in IhreMicrosoft AD-Umgebung.

Schritt 3: Überprüfen, ob die Schemaerweiterung erfolgreich war (p. 136)

Schließlich prüfen Sie als Administrator über eine EC2 Instance, ob die neuen Erweiterungen im ActiveDirectory-Schema-Snap-In aufgeführt sind.

Schritt 1: Erstellen Ihrer LDIF-Datei

Bei einer LDIF-Datei handelt es sich um ein standardmäßiges Klartext-Datenaustauschformat zurDarstellung von LDAP-Verzeichnisinhalten und Aktualisierungsanforderungen (LDAP = LightweightDirectory Access Protocol). LDIF übermittelt Verzeichnisinhalte als Datensatzgruppe mit einem Datensatzfür jedes Objekt (oder jeden Eintrag). Auch Aktualisierungsanforderungen wie z. B. Hinzufügen,Ändern, Löschen und Umbenennen werden als Datensatzgruppe mit einem Datensatz für jedeAktualisierungsanforderung dargestellt.

Der AWS Directory Service importiert Ihre LDIF-Datei mit den Schemaänderungen durch Ausführung derldifde.exe-Anwendung in Ihrem AWS Managed Microsoft AD-Verzeichnis. Daher werden Sie es hilfreichfinden, wenn Sie die LDIF-Skriptsyntax verstehen. Weitere Informationen finden Sie unter LDIF Scripts.

Mehrere LDIF-Tools von Drittanbietern können Ihre Schemaaktualisierungen extrahieren, bereinigen undaktualisieren. Unabhängig davon, welches Tool Sie verwenden, ist es wichtig zu wissen, dass alle in IhrerLDIF-Datei verwendeten Kennungen eindeutig sein müssen.

Wir empfehlen Ihnen dringend, sich die folgenden Konzepte und Tipps anzusehen, bevor Sie Ihre LDIF-Datei erstellen.

• Schemaelemente – Erfahren Sie mehr über Schemaelemente wie Attribute, Klassen, Objekt-IDs undverknüpfte Attribute. Weitere Informationen finden Sie unter Schemaelemente (p. 19).

• Folge der Elemente – Stellen Sie sicher, dass die Reihenfolge, in der die Elemente in Ihrer LDIF-Dateiangeordnet sind, dem Directory Information Tree (DIT) von oben nach unten folgt. In Bezug auf dieSequenzierung in einer LDIF-Datei gelten u. a. folgende allgemeine Regeln:

• Trennen Sie die Elemente durch eine Leerzeile.• Listen Sie untergeordnete Elemente nach ihren übergeordneten Elementen auf.• Stellen Sie sicher, dass Elemente wie Attribute oder Objektklassen in dem Schema vorhanden sind.

Falls dies nicht der Fall ist, müssen Sie sie zum Schema hinzufügen, bevor sie verwendet werdenkönnen. So muss beispielsweise ein Attribut erstellt werden, bevor Sie es einer Klasse zuweisenkönnen.

• Format des DN – Definieren Sie für jede neue Anweisung in der LDIF-Datei den definierten Namen(DN) als erste Zeile der Anweisung. Der DN identifiziert ein Active Directory-Objekt innerhalb derStruktur des Active Directory-Objekts und muss die Domänenkomponenten für Ihr Verzeichnisenthalten. Die Domänenkomponenten für das Verzeichnis in diesem Tutorial lauten beispielsweiseDC=example,DC=com.

Der DN muss auch den allgemeinen Namen (CN) des Active Directory-Objekts enthalten. Der erste CN-Eintrag ist der Attribut- oder Klassenname. Als Nächstes müssen Sie CN=Schema,CN=Configurationverwenden. Dieser CN stellt sicher, dass Sie das Active Directory-Schema erweitern können. Wie bereitserwähnt, können Sie keine Inhalte von Active Directory-Objekten hinzufügen oder ändern. Im Folgendensehen Sie das allgemeine Format für einen DN.

dn: CN=[attribute or class name],CN=Schema,CN=Configuration,DC=[domain_name]

Version 1.0134

https://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol


https://en.wikipedia.org/wiki/Directory_information_tree


Für dieses Tutorial würde der DN für das neue Attribut „Shoe-Size” wie folgt aussehen:

dn: CN=Shoe-Size,CN=Schema,CN=Configuration,DC=example,DC=com

• Warnungen – Beachten Sie die folgenden Warnungen, bevor Sie Ihr Schema erweitern.• Bevor Sie Ihr Active Directory-Schema erweitern, ist es wichtig, die Microsoft-Warnungen bezüglich der

Auswirkungen dieses Vorgangs zu beachten. Weitere Informationen finden Sie unter What You MustKnow Before Extending the Schema.

• Schemaattribute oder Klassen können nicht gelöscht werden. Wenn Ihnen ein Fehler unterläuft undSie keine Wiederherstellung von einem Backup durchführen möchten, können Sie daher das Objektnur deaktivieren. Weitere Informationen finden Sie unter Disabling Existing Classes and Attributes.

Weitere Informationen zum Aufbau von LDIF-Dateien sowie eine LDIF-Beispieldatei, die zum Testen vonAWS Managed Microsoft AD-Schemaerweiterungen verwendet werden kann, finden Sie im Artikel How toExtend your AWS Managed Microsoft AD directory Schema im Blog AWS Security.

Nächster Schritt

Schritt 2: Importieren Ihrer LDIF-Datei (p. 135)

Schritt 2: Importieren Ihrer LDIF-Datei

Sie können Ihr Schema durch Importieren einer LDIF-Datei über die AWS Directory Service-Konsole oderdie API erweitern. Weitere Informationen zur Vorgehensweise mit der Schemaerweiterung APIs finden Sieunter AWS Directory Service API Reference. Zurzeit unterstützt AWS keine externen Anwendungen wieMicrosoft Exchange in Bezug auf die direkte Ausführung von Schemaaktualisierungen.

Important

Aktualisierungen Ihres AWS Managed Microsoft AD-Verzeichnisschemas können nicht rückgängiggemacht werden. Mit anderen Worten, wenn Sie eine neue Klasse oder ein neues Attributerstellen, lässt Active Directory nicht zu, dass Sie diese(s) entfernen. Eine Deaktivierung ist jedochmöglich.Wenn Sie die Schemaänderungen löschen müssen, besteht eine Möglichkeit darin, dasVerzeichnis anhand eines früheren Snapshots wiederherzustellen. Beim Wiederherstellen einesSnapshots werden sowohl das Schema als auch die Verzeichnisdaten auf einen früheren Standzurückgesetzt, nicht nur das Schema. Hinweis: Das maximal unterstützte Alter eines Snapshotsbeträgt 180 Tage. Weitere Informationen finden Sie unter Useful shelf life of a system-statebackup of Active Directory auf der Microsoft-Website.

Vor Beginn der Aktualisierung erstellt AWS Managed Microsoft AD einen Snapshot, um den aktuellenStatus Ihres Verzeichnisses zu speichern.

Note

Schemaerweiterungen sind eine globale Funktion von AWS Managed Microsoft AD. .

So importieren Sie Ihre LDIF-Datei

1. Wählen Sie im Navigationsbereich AWS Directory Service console Directories (Verzeichnisse) aus.2. Wählen Sie auf der Seite Directories (Verzeichnisse) Ihre Verzeichnis-ID aus.3. Führen Sie auf der Seite Directory details (Verzeichnisdetails) einen der folgenden Schritte aus:

• Wenn mehrere Regionen unter Multi-Region replication (Replikation über mehrere Regionen)angezeigt werden, wählen Sie die primäre Region und dann die Registerkarte Maintenance

Version 1.0135




https://aws.amazon.com/blogs/security/how-to-add-more-application-support-to-your-microsoft-ad-directory-by-extending-the-schema/

https://aws.amazon.com/blogs/security/how-to-add-more-application-support-to-your-microsoft-ad-directory-by-extending-the-schema/

https://docs.aws.amazon.com/directoryservice/latest/devguide/

https://support.microsoft.com/en-za/help/216993/useful-shelf-life-of-a-system-state-backup-of-active-directory




(Wartung) aus. Weitere Informationen finden Sie unter Primäre im Vergleich zu zusätzlichenRegionen (p. 62).


4. Wählen Sie im Abschnitt Schema extensions (Schemaerweiterungen) die Option Actions (Aktionen)und dann Upload and update schema (Schema hochladen und aktualisieren) aus.

5. Klicken Sie im Dialogfeld auf Browse, wählen Sie eine gültige LDIF-Datei aus, geben Sie eineBeschreibung ein und wählen Sie dann Update Schema aus.

Important

Die Erweiterung des Schemas ist ein kritischer Vorgang. Wenden Sie keineSchemaaktualisierungen in Produktionsumgebungen an, ohne sie zuvor mit Ihrer Anwendungin einer Entwicklungs- oder Testumgebung zu testen.

Anwendung der LDIF-Datei

Nachdem Ihre LDIF-Datei hochgeladen wurde, führt AWS Managed Microsoft AD Schritte zum SchutzIhres Verzeichnisses vor Fehlern aus, während die Änderungen in der folgenden Reihenfolge angewendetwerden.

1. Validierung der LDIF-Datei. Da LDIF-Skripts jedes Objekt in der Domäne bearbeiten können, führtAWS Managed Microsoft AD direkt nach dem Hochladen Prüfungen aus, um sicherzustellen, dass derImportvorgang erfolgreich ist. Im Rahmen dieser Prüfungen wird u. a. Folgendes sichergestellt:• Die zu aktualisierenden Objekte befinden sich nur im Schema-Container.• Der DC-Teil (Domain-Controller) entspricht dem Namen der Domäne, in der das LDIF-Skript

ausgeführt wird.2. Erstellen eines Snapshots Ihres Verzeichnisses. Mithilfe des Snapshots können Sie Ihr Verzeichnis

wiederherstellen, falls nach der Schemaaktualisierung Probleme mit Ihrer Anwendung auftreten.3. Wendet die Änderungen auf einen einzelnen DC an. AWS Managed Microsoft AD isoliert einen Ihrer

DCs und wendet die Aktualisierungen in der LDIF-Datei auf den isolierten DC an. Anschließend wirdeine Ihrer DCs als Schema-Master ausgewählt, der DC wird aus der Verzeichnisreplikation entfernt unddie LDIF-Datei wird mithilfe von Ldifde.exe angewendet.

4. Die Replikation erfolgt für alle DCs. AWS Managed Microsoft AD fügt den isolierten DC wieder zurReplikation hinzu, um die Aktualisierung abzuschließen. Währenddessen bietet Ihr Verzeichnis weiterhinohne Unterbrechungen Active Directory-Service für Ihre Anwendungen.

Nächster Schritt

Schritt 3: Überprüfen, ob die Schemaerweiterung erfolgreich war (p. 136)

Schritt 3: Überprüfen, ob die Schemaerweiterung erfolgreich war

Nach Abschluss des Importprozesses ist es wichtig, sicherzustellen, dass die Schemaaktualisierungenauf Ihr Verzeichnis angewendet wurden. Dies ist besonders vor der Migration oder Aktualisierungvon Anwendungen wichtig, die auf der Schemaaktualisierung beruhen. Sie können zu diesem Zweckverschiedene LDAP-Tools verwenden oder ein Test-Tool schreiben, das die entsprechenden LDAP-Befehleausgibt.

Dieses Verfahren verwendet das Active Directory-Schema-Snap-in und/oder PowerShell, um zuüberprüfen, ob die Schema-Updates angewendet wurden. Sie müssen diese Tools von einem Computerausführen, der Ihrer AWS Managed Microsoft AD-Domäne beigetreten ist. Hierbei kann es sich um einenWindows-Server handeln, der in Ihrem lokalen Netzwerk mit Zugriff auf Ihre Virtual Private Cloud (VPC)oder über eine VPN-Verbindung (Virtual Private Network) ausgeführt wird. Sie können diese Tools auch

Version 1.0136


auf einer Amazon EC2-Instance in Windows ausführen (Informationen hierzu finden Sie unter Starten einerneuen EC2-Instance mit nahtloser Domäneneinbindung).

Überprüfung mithilfe des Active Directory-Schema-Snap-Ins

1. Installieren Sie das Active Directory-Schema-Snap-In anhand der Anweisungen auf derTechNet-Website.

2. Öffnen Sie die Microsoft Management Console (MMC) und erweitern Sie die Struktur AD Schema fürIhr Verzeichnis.

3. Navigieren Sie durch die Ordner Classes und Attributes, bis Sie die zuvor vorgenommenenSchemaänderungen finden.

So überprüfen Sie mithilfe vonPowerShell

1. Öffnen Sie ein PowerShell-Fenster.2. Verwenden Sie das nachfolgend dargestellte Cmdlet Get-ADObject, um die Schemaänderung zu

prüfen. Beispiel:

get-adobject -Identity 'CN=Shoe-Size,CN=Schema,CN=Configuration,DC=example,DC=com' -Properties *

Optionaler Schritt

(Optional) Hinzufügen eines Wertes zu dem neuen Attribut (p. 137)

(Optional) Hinzufügen eines Wertes zu dem neuen AttributVerwenden Sie diesen optionalen Schritt, wenn Sie ein neues Attribut erstellt haben und dem Attribut inIhrem AWS Managed Microsoft AD-Verzeichnis einen neuen Wert hinzufügen möchten.

So fügen Sie einen Wert zu einem Attribut hinzu

1. Öffnen Sie das Windows-Befehlszeilen-Dienstprogramm PowerShell und legen Sie das neue Attributmit dem folgenden Befehl fest. In diesem Beispiel fügen wir dem Attribut für einen bestimmtenComputer einen neuen EC2InstanceID-Wert hinzu.

PS C:\> set-adcomputer -Identity computer name -add @{example-EC2InstanceID= 'EC2 instance ID'}

2. Sie können überprüfen, ob der EC2InstanceID-Wert dem Computerobjekt hinzugefügt wurde, indemSie den folgenden Befehl ausführen:

PS C:\> get-adcomputer -Identity computer name –Property example-EC2InstanceID

Verwandte RessourcenAuf der Microsoft-Website sind folgende Links zu Ressourcen mit zugehörigen Informationen zu finden.

• Extending the Schema (Windows)• Active Directory Schema (Windows)• Active Directory Schema• Windows-Administration: Erweitern des Active Directory-Schemas• Restrictions on Schema Extension (Windows)• Ldifde

Version 1.0137

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-join-aws-domain.html#join-domain-console

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-join-aws-domain.html#join-domain-console





https://technet.microsoft.com/en-us/magazine/a39543ba-e561-4933-b590-0878885f44f5



AWS Directory Service AdministratorhandbuchVerwalten Ihres -Verzeichnisses

Verwalten Ihres AWS Managed Microsoft AD-VerzeichnissesIn diesem Abschnitt wird die Verwaltung allgemeiner Administrationsaufgaben für Ihre AWS ManagedMicrosoft AD-Umgebung beschrieben.

Themen• Hinzufügen alternativer UPN-Suffixe (p. 138)• Löschen Ihres Verzeichnisses (p. 138)• Umbenennen der Standorts Ihres Verzeichnisses (p. 140)• Erstellen eines Snapshots oder Wiederherstellen Ihres Verzeichnisses (p. 140)• Anzeigen von Verzeichnisinformationen (p. 142)

Hinzufügen alternativer UPN-SuffixeSie können die Verwaltung von Active Directory (AD)-Anmeldenamen vereinfachen und dieBenutzeranmeldeerfahrung verbessern, indem Sie Suffixe von Benutzerprinzipalnamen (UPN, UserPrincipal Name) zu Ihrem AWS Managed Microsoft AD-Verzeichnis hinzufügen. Hierzu müssen Sie mitdem Admin-Konto oder einem Konto, das Mitglied der Gruppe AWS Delegated User Principal Name SuffixAdministrators ist, angemeldet sein. Weitere Informationen zu dieser Gruppe finden Sie unter Was wirderstellt (p. 12).

So fügen Sie alternative UPN-Suffixe hinzu

1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.2. Suchen Sie eine Amazon EC2-Instance, die Ihrem AWS Managed Microsoft AD-Verzeichnis

beigetreten ist. Wählen Sie die Instance aus und klicken Sie auf Connect (Verbinden).3. Wählen Sie im Fenster Server Manager die Option Tools aus. Wählen Sie dann den Eintrag Active

Directory Domains and Trusts (Active Directory-Domänen und -Vertrauensbeziehungen) aus.4. Klicken Sie im linken Bereich mit der rechten Maustaste auf Active Directory Domains and Trusts

(Active Directory-Domänen und -Vertrauensstellungen) und wählen Sie Properties (Eigenschaften)aus.

5. Geben Sie auf der Registerkarte UPN Suffixes (UPN-Suffixe) ein alternatives UPN-Suffix ein(beispielsweise sales.example.com). Wählen Sie Add (Hinzufügen) und anschließend Apply(Anwenden) aus.

6. Wenn Sie weitere alternative UPN-Suffixe hinzufügen möchten, wiederholen Sie Schritt 5, bis diegewünschte Anzahl erreicht ist.

Löschen Ihres VerzeichnissesWenn ein Simple AD- oder AWS Directory Service für Microsoft Active Directory-Verzeichnis gelöscht wird,werden auch alle Verzeichnisdaten und Snapshots gelöscht und können nicht wiederhergestellt werden.Alle Instances, die dem Verzeichnis zugeordnet sind, bleiben erhalten, nachdem das Verzeichnis gelöschtwurde. Sie können sich jedoch nicht mit den Anmeldeinformationen Ihres Verzeichnisses bei diesenInstances anmelden. In dem Fall müssen Sie sich mit einem lokalen Benutzerkonto bei den jeweiligenInstances anmelden.

Wenn ein AD Connector-Verzeichnis gelöscht wird, bleibt Ihr lokales Verzeichnis intakt. Alle zugeordnetenInstances bleiben ebenfalls erhalten und sind weiterhin mit Ihrem lokalen Verzeichnis verknüpft. Sie könnensich nach wie vor mit den Anmeldeinformationen Ihres Verzeichnisses bei diesen Instances anmelden.

Version 1.0138



So löschen Sie ein Verzeichnis

1. Wählen Sie im Navigationsbereich AWS Directory Service console Directories (Verzeichnisse) aus.2. Stellen Sie sicher, dass Sie Multiregionale Replikation (p. 60) nicht für das Verzeichnis verwenden,

das Sie löschen möchten. Sie müssen alle replizierten Regionen löschen, bevor Sie mit dem Löschendieses Verzeichnisses fortfahren können. Weitere Informationen finden Sie unter Löschen einerreplizierten Region (p. 66).

3. Stellen Sie sicher, dass keine AWS-Anwendungen für das Verzeichnis aktiviert sind.

a. Wählen Sie auf der Seite Directories (Verzeichnisse) Ihre Verzeichnis-ID aus.b. Wählen Sie auf der Seite Directory details (Verzeichnisdetails) die Registerkarte Application

Management (Anwendungsverwaltung) aus. Im Abschnitt AWS apps & services (AWS-Apps und -Services) sehen Sie, welche AWS-Anwendungen für Ihr Verzeichnis aktiviert sind.

• Um Amazon WorkSpaces zu deaktivieren, müssen Sie den Service aus dem Verzeichnis in derAmazon WorkSpaces-Konsole abmelden. Weitere Informationen finden Sie unter Abmeldeneines Verzeichnisses im Amazon WorkSpaces Administration Guide.

• Zur Deaktivierung von Amazon WorkSpaces Application Manager müssen Sie alleAnwendungszuweisungen in der Amazon WAM-Konsole entfernen. Weitere Informationenfinden Sie unter Entfernen aller Anwendungszuordnungen im Amazon WAM AdministrationGuide.

• Um Amazon WorkDocs zu deaktivieren, müssen Sie die Amazon WorkDocs-Seite in derAmazon WorkDocs-Konsole löschen. Weitere Informationen finden Sie unter Löschen einerWebsite im Amazon WorkDocs Administration Guide.

• Um Amazon WorkMail zu deaktivieren, müssen Sie die Amazon WorkMail-Organisation in derAmazon WorkMail-Konsole entfernen. Weitere Informationen finden Sie unter Entfernen einerOrganisation im Amazon WorkMail Administrator Guide.

• Deaktivieren Sie den AWS Management Console-Zugriff.• Um Amazon Relational Database Service zu deaktivieren, müssen Sie die Amazon RDS-

Instance aus der Domäne entfernen. Weitere Informationen finden Sie unter Verwalten einerDB-Instance in einer Domäne im Amazon RDS-Benutzerhandbuch.

• Zur Deaktivierung von Amazon QuickSight müssen Sie sich von Amazon QuickSight abmelden.Weitere Informationen finden Sie unter Schließen Ihres Amazon QuickSight-Kontos im AmazonQuickSight-Benutzerhandbuch.

• Zur Deaktivierung von Amazon Connect müssen Sie die Amazon Connect-Instance löschen.Weitere Informationen finden Sie unter Eine Amazon Connect-Instance löschen im AmazonConnect Administration Guide.

• Zum Deaktivieren von Amazon FSx für Windows File Server müssen Sie das Amazon FSx-Dateisystem aus der Domäne entfernen. Weitere Informationen finden Sie unter Arbeiten mitActive Directory in Amazon FSx für Windows File Server im Amazon FSx für Windows FileServer-Benutzerhandbuch.

Note

Wenn Sie AWS Single Sign-On verwenden und es zuvor mit dem AWS ManagedMicrosoft AD-Verzeichnis verbunden haben, das Sie löschen möchten, müssen Siezuerst das Verzeichnis von AWS SSO trennen, bevor Sie es löschen können. WeitereInformationen finden Sie unter Ein Verzeichnis trennen im AWS SSO-Benutzerhandbuch.

4. Wählen Sie im Navigationsbereich Directories (Verzeichnisse) aus.5. Wählen Sie nur das zu löschende Verzeichnis aus und klicken Sie auf Delete. Es dauert einige

Minuten, bis das Verzeichnis gelöscht ist. Wenn dieser Vorgang abgeschlossen ist, wird es aus IhrerVerzeichnisliste entfernt.

Version 1.0139


https://docs.aws.amazon.com/workspaces/latest/adminguide/registration.html#deregister_directory


http://docs.aws.amazon.com/wam/latest/adminguide/remove_all_assignments.html

https://docs.aws.amazon.com/workdocs/latest/adminguide/admin_console.html#manage_deactivate


https://docs.aws.amazon.com/workmail/latest/adminguide/remove_organization.html


https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_SQLServerWinAuth.html#USER_SQLServerWinAuth.Managing


https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html

https://docs.aws.amazon.com/connect/latest/adminguide/gettingstarted.html#delete-instance

https://docs.aws.amazon.com/fsx/latest/WindowsGuide/aws-ad-integration-fsxW.html


https://docs.aws.amazon.com/singlesignon/latest/userguide/howtodisconnectdirectory.html


Umbenennen der Standorts Ihres VerzeichnissesSie können den Namen des Standardstandorts Ihres AWS Managed Microsoft AD-Verzeichnissesumbenennen, sodass der Name mit bereits vorhandenen Microsoft Active Directory (AD)-Standortnamenübereinstimmt. Dadurch kann AWS Managed Microsoft AD vorhandene AD-Benutzer in Ihrem lokalenVerzeichnis schneller finden und authentifizieren. Dies führt zu einer besseren Benutzererfahrung, wennsich Benutzer an AWS-Ressourcen wie Amazon EC2- und Amazon RDS for SQL Server-Instancesanmelden, die Sie Ihrem AWS Managed Microsoft AD-Verzeichnis hinzugefügt haben.

Hierzu müssen Sie mit dem Admin-Konto oder einem Konto angemeldet sein, das Mitglied der GruppeAWS Delegated Sites and Services Administrators ist. Weitere Informationen zu dieser Gruppe finden Sieunter Was wird erstellt (p. 12).

Weitere Vorteile bei der Umbenennung Ihrer Website in Bezug auf Vertrauensstellungen finden Sie unterDomain-Locator in einem Forest Trust auf der Microsoft-Website.

So benennen Sie den AWS Managed Microsoft AD-Standortnamen um

1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.2. Suchen Sie eine Amazon EC2-Instance, die Ihrem AWS Managed Microsoft AD-Verzeichnis

beigetreten ist. Wählen Sie die Instance aus und klicken Sie auf Connect (Verbinden).3. Wählen Sie im Fenster Server Manager die Option Tools aus. Wählen Sie dann Active Directory Sites

and Services (Active Directory-Standorte und -Dienste) aus.4. Erweitern Sie im linken Bereich den Ordner Sites (Standorte), klicken Sie mit der rechten Maustaste

auf den Standortnamen (Standard: Default-Site-Names) und wählen Sie anschließend Rename(Umbenennen) aus.

5. Geben Sie den neuen Namen ein und wählen Sie Enter (Eingabe).

Erstellen eines Snapshots oder Wiederherstellen IhresVerzeichnissesAWS Directory Service bietet die Möglichkeit, manuelle Daten-Snapshots für Ihr AWS Managed MicrosoftAD-Verzeichnis zu erstellen. Mit diesen Snapshots können Sie eine zeitbezogene Wiederherstellung für IhrVerzeichnis ausführen. Sie können keine Snapshots von AD Connector-Verzeichnissen erstellen.

Note

Snapshot ist eine globale Funktion von AWS Managed Microsoft AD.

Themen• Erstellen eines Snapshots Ihres Verzeichnisses (p. 140)• Wiederherstellen Ihres Verzeichnisses mithilfe eines Snapshots (p. 141)• Löschen eines Snapshots (p. 142)

Erstellen eines Snapshots Ihres VerzeichnissesEin Snapshot kann verwendet werden, um Ihr Verzeichnis auf den Zustand zu dem Zeitpunktwiederherzustellen, an dem der Snapshot erstellt wurde. Gehen Sie zum Erstellen eines manuellenSnapshots Ihres Verzeichnisses folgendermaßen vor.

Note

Sie können maximal den für 5 angegebenen Wert an manuellen Snapshots für jedes Verzeichniserstellen. Falls Sie diesen Maximalwert bereits erreicht haben, müssen Sie einen vorhandenenmanuellen Snapshot löschen, bevor Sie einen neuen erstellen.

Version 1.0140



https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/domain-locator-across-a-forest-trust/ba-p/395689



So erstellen Sie einen manuellen Snapshot


• Wenn mehrere Regionen unter Multi-Region replication (Replikation über mehrere Regionen)angezeigt werden, wählen Sie die primäre Region und dann die Registerkarte Maintenance(Wartung) aus. Weitere Informationen finden Sie unter Primäre im Vergleich zu zusätzlichenRegionen (p. 62).


4. Wählen Sie im Abschnitt Snapshots die Option Actions und dann Create snapshot aus.5. Geben Sie im Dialogfeld Create directory snapshot ggf. einen Namen für den Snapshot an. Wenn Sie

bereit sind, wählen Sie Create (Erstellen) aus.

Je nach Größe Ihres Verzeichnisses kann es einige Minuten dauern, bis der Snapshot erstellt ist. Wenn derSnapshot fertig ist, ändert sich der Wert von Status in Completed.

Wiederherstellen Ihres Verzeichnisses mithilfe eines Snapshots

Das Wiederherstellen eines Verzeichnisses mithilfe eines Snapshots entspricht dem Zurücksetzen einesVerzeichnisses auf einen bestimmten vergangenen Zeitpunkt. Verzeichnis-Snapshots sind eindeutig fürdas Verzeichnis, aus dem sie erstellt wurden. Ein Snapshot kann nur in das Verzeichnis wiederhergestelltwerden, aus dem er erstellt wurde. Darüber hinaus beträgt das maximal unterstützte Alter eines manuellenSnapshots 180 Tage. Weitere Informationen finden Sie unter Useful shelf life of a system-state backup ofActive Directory auf der Microsoft-Website.

Warning

Wir empfehlen Ihnen, sich vor der Wiederherstellung von Snapshots an das AWS Support Centerzu wenden. Möglicherweise helfen wir Ihnen, die Notwendigkeit einer Snapshot-Wiederherstellungzu vermeiden. Wiederherstellungen aus Snapshots können zu Datenverlust führen, da siezeitpunktbezogen sind. Es ist wichtig, dass Sie verstehen, dass alle DCs- und DNS-Server, diedem Verzeichnis zugeordnet sind, offline sind, bis die Wiederherstellung abgeschlossen ist.

Gehen Sie folgendermaßen vor, um Ihr Verzeichnis mithilfe eines Snapshots wiederherzustellen.

So stellen Sie ein Verzeichnis mithilfe eines Snapshots wieder her


• Wenn mehrere Regionen unter Multi-Region replication (Replikation über mehrere Regionen)angezeigt werden, wählen Sie die Region aus, in der Sie Ihren Snapshot wiederherstellen möchten,und wählen Sie dann die Registerkarte Maintenance (Wartung) aus. Weitere Informationen findenSie unter Primäre im Vergleich zu zusätzlichen Regionen (p. 62).


4. Wählen Sie im Abschnitt Snapshots einen Snapshot in der Liste aus, wählen Sie Actions und dannRestore snapshot aus.

5. Überprüfen Sie die Informationen im Dialogfeld Restore directory snapshot (Verzeichnis-Snapshotwiederherstellen) und wählen Sie Restore (Wiederherstellen) aus.

Version 1.0141






AWS Directory Service AdministratorhandbuchGewähren von Zugriff auf AWS-Ressourcen

Bei einem AWS Managed Microsoft AD-Verzeichnis kann es zwischen zwei und drei Stunden dauern, bisdas Verzeichnis wiederhergestellt ist. Wenn es erfolgreich wiederhergestellt wurde, ändert sich der Status-Wert des Verzeichnisses in Active. Alle nach dem Snapshot-Datum vorgenommenen Änderungen amVerzeichnis werden überschrieben.

Löschen eines Snapshots

So löschen Sie einen Snapshot


• Wenn mehrere Regionen unter Multi-Region replication (Replikation über mehrere Regionen)angezeigt werden, wählen Sie die Region aus, in der Sie Ihren Snapshot löschen möchten, undwählen Sie dann die Registerkarte Maintenance (Wartung) aus. Weitere Informationen finden Sieunter Primäre im Vergleich zu zusätzlichen Regionen (p. 62).


4. Wählen Sie im Abschnitt Snapshots die Option Actions und dann Delete snapshot aus.5. Überprüfen Sie, ob Sie den Snapshot löschen möchten, und wählen Sie dann Delete (Löschen) aus.

Anzeigen von VerzeichnisinformationenSie können detaillierte Informationen zu einem Verzeichnis anzeigen.

So rufen Sie detaillierte Informationen zu einem Verzeichnis auf

1. Wählen Sie im Navigationsbereich AWS Directory Service console Directories (Verzeichnisse) aus.2. Klicken Sie auf den Link der Verzeichnis-ID. Weitere Informationen zum Verzeichnis auf der Seite

Directory details (Verzeichnisdetails) angezeigt.

Für weitere Informationen zum Feld Status siehe Erläuterungen zum Verzeichnisstatus (p. 53).

Gewähren von Zugriff auf AWS-Ressourcen fürBenutzer und GruppenAWS Directory Service bietet die Möglichkeit, Benutzern und Gruppen im Verzeichnis Zugriff aufAWS-Services und -Ressourcen zu erteilen, beispielsweise den Zugriff auf die Amazon EC2-Konsole. Ähnlich wie Sie IAM-Benutzern Zugriff für die Verwaltung von Verzeichnissen erteilen wiein Abschnitt Identitätsbasierte Richtlinien (IAM-Richtlinien) (p. 308) beschrieben, müssen Sie IhrenVerzeichnisbenutzern und -gruppen IAM-Rollen und -Richtlinien zuweisen, damit die Benutzer in IhremVerzeichnis auf andere AWS-Ressourcen wie Amazon EC2 zugreifen können. Weitere Informationenfinden Sie unter IAM-Rollen im IAM-Benutzerhandbuch.

Wie Sie Benutzern Zugriff auf die AWS Management Console erteilen können, erfahren Sie in AbschnittAktivieren des Zugriffs auf die AWS Management Console mit AD-Anmeldeinformationen (p. 156).

Themen• Erstellen einer neuen Rolle (p. 143)• Bearbeiten der Vertrauensstellung für eine vorhandene Rolle (p. 144)• Zuweisen von Benutzern oder Gruppen zu einer vorhandenen Rolle (p. 144)• Anzeigen von Benutzern und Gruppen, die einer Rolle zugewiesen sind (p. 145)

Version 1.0142



https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html


• Entfernen eines Benutzers oder einer Gruppe aus einer Rolle (p. 145)• Verwendung von AWS-verwalteten Richtlinien mit AWS Directory Service (p. 146)

Erstellen einer neuen RolleWenn Sie eine neue IAM-Rolle zur Verwendung mit AWS Directory Service erstellen müssen, müssenSie dies über die IAM-Konsole tun. Sobald die Rolle erstellt wurde, müssen Sie eine Vertrauensstellungmit dieser Rolle einrichten. Erst danach wird die betreffende Rolle in der AWS Directory Service-Konsoleangezeigt. Weitere Informationen finden Sie unter Bearbeiten der Vertrauensstellung für eine vorhandeneRolle (p. 144).

Note

Benutzer, die diese Aufgabe durchführen, müssen über die Berechtigung zur Ausführung derfolgenden IAM-Aktionen verfügen. Weitere Informationen finden Sie unter IdentitätsbasierteRichtlinien (IAM-Richtlinien) (p. 308).

• iam: PassRole• iam:GetRole• iam:CreateRole• iam:PutRolePolicy

Um eine neue Rolle in der IAM-Konsole zu erstellen, gehen Sie wie folgt vor:

1. Wählen Sie im Navigationsbereich der IAM-Konsole Roles (Rollen) aus. Weitere Informationen findenSie unter Erstellen einer Rolle (AWS-Managementkonsole) im IAM-Benutzerhandbuch.

2. Wählen Sie Create role aus.3. Wählen Sie unter Choose the service that will use this role (Wählen Sie den Service aus, der diese

Rolle verwendet) die Option Directory Service und anschließend Next (Weiter) aus.4. Aktivieren Sie das Kontrollkästchen neben der Richtlinie (z. B. AmazonEC2FullAccess), die Sie auf

Ihre Verzeichnisbenutzer anwenden möchten, und klicken Sie dann auf Next (Weiter).5. Fall erforderlich, fügen Sie ein Tag zur Rolle hinzu und klicken Sie dann auf Next (Weiter).6. Geben Sie einen Role name (Rollennamen) und optional eine Description (Beschreibung) ein und

wählen Sie dann Create role (Rolle erstellen) aus.

Beispiel: Erstellen einer Rolle, um den AWS Management Console-Zugriff zu ermöglichen

Die folgende Checkliste zeigt ein Beispiel der Aufgaben, die Sie zum Erstellen einer neuen Rolle ausführenmüssen, die spezifischen Verzeichnisnutzer-Zugriff auf die Amazon EC2-Konsole gewährt.

1. Erstellen Sie eine Rolle mit der IAM-Konsole mit dem oben beschriebenen Verfahren. Wenn Sie zurEingabe einer Richtlinie aufgefordert werden, wählen Sie AmazonEC2FullAccess aus.

2. Folgen Sie den Schritten unter Bearbeiten der Vertrauensstellung für eine vorhandene Rolle (p. 144),um die soeben erstellte Rolle zu bearbeiten, und fügen Sie dann dem Richtliniendokument dieerforderlichen Vertrauensstellungsinformationen hinzu. Dieser Schritt ist erforderlich, damit die Rollesofort sichtbar wird, nachdem Sie im nächsten Schritt den Zugriff auf die AWS Management Consolegewährt haben.

3. Folgen Sie den Anweisungen unter Aktivieren des Zugriffs auf die AWS Management Console mit AD-Anmeldeinformationen (p. 156), um den allgemeinen Zugriff auf die AWS Management Console zukonfigurieren.

4. Folgen Sie den Anweisungen unter Zuweisen von Benutzern oder Gruppen zu einer vorhandenenRolle (p. 144), um der neuen Rolle Benutzer hinzuzufügen, die Vollzugriff auf EC2-Ressourcenbenötigen.

Version 1.0143

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html


Bearbeiten der Vertrauensstellung für eine vorhandene RolleSie können Ihre vorhandenen IAM-Rollen Ihren AWS Directory Service-Benutzern und -Gruppen zuweisen.Hierzu muss die Rolle jedoch über eine Vertrauensstellung bei AWS Directory Service verfügen. WennSie AWS Directory Service verwenden, um mithilfe des in Abschnitt Erstellen einer neuen Rolle (p. 143)beschriebenen Verfahrens eine Rolle zu erstellen, wird diese Vertrauensstellung automatisch festgelegt.Sie müssen diese Vertrauensstellung nur für IAM-Rollen einrichten, die nicht von AWS Directory Serviceerstellt wurden.

So richten Sie für eine vorhandene Rolle eine Vertrauensstellung bei AWS Directory Service ein

1. Wählen Sie im Navigationsbereich der IAM-Konsole Roles (Rollen) aus.

In der Konsole werden die Rollen für Ihr Konto angezeigt.2. Wählen Sie den Namen der Rolle aus, die Sie ändern möchten, und öffnen Sie die Registerkarte Trust

relationships auf der Detailseite.3. Wählen Sie Edit Trust Relationship (Vertrauensstellungen bearbeiten).4. Fügen Sie unter Policy Document Folgendes ein und wählen Sie dann Update Trust Policy.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ds.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}

Sie können dieses Richtliniendokument auch mit der IAM CLI aktualisieren. Weitere Informationen findenSie unter put-role-policy in IAM-Befehlszeilenreferenz.

Zuweisen von Benutzern oder Gruppen zu einer vorhandenenRolleSie können AWS Directory Service-Benutzern oder -Gruppen eine vorhandene IAM-Rolle zuweisen. DieRolle muss über eine Vertrauensstellung bei AWS Directory Service verfügen. Weitere Informationen findenSie unter Bearbeiten der Vertrauensstellung für eine vorhandene Rolle (p. 144).

So weisen Sie einer vorhandenen IAM-Rolle Benutzer oder Gruppen zu

1. Wählen Sie im Navigationsbereich der AWS Directory Service console Directories (Verzeichnisse) aus.2. Wählen Sie auf der Seite Directories (Verzeichnisse) Ihre Verzeichnis-ID aus.3. Führen Sie auf der Seite Directory details (Verzeichnisdetails) einen der folgenden Schritte aus:

• Wenn mehrere Regionen unter Multi-Region replication (Replikation über mehrere Regionen)angezeigt werden, wählen Sie die Region aus, in der Sie Ihre Zuweisungen vornehmen möchten,und wählen Sie dann die Registerkarte Application management (Anwendungsverwaltung) aus.Weitere Informationen finden Sie unter Primäre im Vergleich zu zusätzlichen Regionen (p. 62).

Version 1.0144

https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html



• Wenn unter Multi-Region replication (Multiregionale Replikation) keine Regionen angezeigt werden,wählen Sie die Registerkarte Application management (Anwendungsverwaltung) aus.

4. Wählen Sie im Abschnitt AWS Management Console (AWS-Managementkonsole) unter Delegateconsole access (Konsolenzugriff delegieren) den IAM-Rollennamen für die vorhandene IAM-Rolleaus, der Sie Benutzer zuweisen möchten. Wenn die Rolle noch nicht erstellt wurde, finden Sie weitereInformationen unter Erstellen einer neuen Rolle (p. 143).

5. Wählen Sie auf der Seite Selected role (Rolle auswählen) unter Manage users and groups for this role(Benutzer und Gruppen für diese Rolle verwalten) die Option Add (Hinzufügen) aus.

6. Wählen Sie auf der Seite Add Users and Groups to Role (Benutzer und Gruppen zu Rollen hinzufügen)neben Select Forest (Struktur auswählen) entweder die AWS Managed Microsoft AD-Struktur (dieseStruktur) oder die lokale Struktur (vertrauenswürdige Struktur) aus, je nachdem, welche Struktur dieKonten enthält, die Zugriff auf die AWS Management Console benötigen. Weitere Informationenzum Konfigurieren einer vertrauenswürdigen Gesamtstruktur finden Sie unter Lernprogramm:Erstellen Sie eine Vertrauensbeziehung zwischen Ihren AWS Managed Microsoft AD und Ihre lokaleDomäne (p. 120).

7. Wählen Sie unter Specify, which users or groups to add (Angeben, welche Benutzer oder Gruppenhinzugefügt werden sollen) entweder Find by user (Nach Benutzer suchen) oder Find by group (NachGruppe suchen) aus und geben Sie dann den Namen des Benutzers oder der Gruppe ein. Wählen Siein der Liste der möglichen Treffer den Benutzer oder die Gruppe aus, den/die Sie hinzufügen möchten.

8. Wählen Sie Add (Hinzufügen) aus, um die Zuweisung der Benutzer und Gruppen zu der Rolleabzuschließen.

Note

Der Zugriff für Benutzer in verschachtelten Gruppen innerhalb Ihres Verzeichnisses wirdnicht unterstützt. Mitglieder übergeordneter Gruppen haben Konsolenzugriff, Mitgliederuntergeordneter Gruppen nicht.

Anzeigen von Benutzern und Gruppen, die einer Rollezugewiesen sindGehen Sie wie folgt vor, um die einer Rolle zugewiesenen Benutzer und Gruppen anzuzeigen.

So zeigen Sie die einer Rolle zugewiesenen Benutzer und Gruppen an


• Wenn mehrere Regionen unter Multi-Region replication (Replikation über mehrere Regionen)angezeigt werden, wählen Sie die Region aus, in der Sie Ihre Zuweisungen anzeigen möchten, undwählen Sie dann die Registerkarte Application management (Anwendungsverwaltung) aus. WeitereInformationen finden Sie unter Primäre im Vergleich zu zusätzlichen Regionen (p. 62).


4. Wählen Sie im Abschnitt AWS-Management Console die Rolle aus, die Sie anzeigen möchten.5. Auf der Seite Selected role (Ausgewählte Rolle) unter Manage users and groups for this role (Benutzer

und Gruppen für diese Rolle verwalten) können Sie die der Rolle zugewiesenen Benutzer undGruppen anzeigen.

Entfernen eines Benutzers oder einer Gruppe aus einer RolleGehen Sie wie folgt vor, um einen Benutzer oder eine Gruppe aus einer Rolle zu entfernen.

Version 1.0145



So entfernen Sie einen Benutzer oder eine Gruppe aus einer Rolle


• Wenn mehrere Regionen unter Multi-Region replication (Replikation über mehrere Regionen)angezeigt werden, wählen Sie die Region aus, in der Sie Ihre Zuweisungen entfernen möchten, undwählen Sie dann die Registerkarte Application management (Anwendungsverwaltung) aus. WeitereInformationen finden Sie unter Primäre im Vergleich zu zusätzlichen Regionen (p. 62).


4. Wählen Sie im Abschnitt AWS-Management Console die Rolle aus, die Sie anzeigen möchten.5. Wählen Sie auf der Seite Selected role (Ausgewählte Rolle) unter Manage users and groups for

this role (Benutzer und Gruppen für diese Rolle verwalten) die Benutzer oder Gruppen aus, ausdenen die Rolle entfernt werden soll, und klicken Sie auf Remove (Entfernen). Die Rolle wird von denangegebenen Benutzern und Gruppen entfernt, nicht jedoch aus Ihrem Konto.

Verwendung von AWS-verwalteten Richtlinien mit AWS DirectoryServiceAWS Directory Service bietet die folgenden verwalteten AWS-Richtlinien, um Ihren Benutzern und GruppenZugriff auf AWS-Services und -Ressourcen zu erteilen, beispielsweise Zugriff auf die Amazon EC2-Konsole. Sie müssen sich an der AWS Management Console anmelden, bevor Sie diese Richtlinienanzeigen können.

• Schreibgeschützter Zugriff• Power User Access• AWS Directory Service Voller Zugriff• AWS Directory Service Schreibgeschützter Zugriff• Amazon Cloud Directory Voller Zugriff• Amazon Cloud Directory Schreibgeschützter Zugriff• Amazon EC2 Voller Zugriff• Amazon EC2 Schreibgeschützter Zugriff• Amazon VPC Voller Zugriff• Amazon VPC Schreibgeschützter Zugriff• Amazon RDS Voller Zugriff• Amazon RDS Schreibgeschützter Zugriff• Amazon DynamoDB Voller Zugriff• Amazon DynamoDB Schreibgeschützter Zugriff• Amazon S3 Voller Zugriff• Amazon S3 Schreibgeschützter Zugriff• AWS CloudTrail Voller Zugriff• AWS CloudTrail Schreibgeschützter Zugriff• Amazon CloudWatch Voller Zugriff• Amazon CloudWatch Schreibgeschützter Zugriff• Amazon CloudWatch Logs Voller Zugriff• Amazon CloudWatch Logs Schreibgeschützter Zugriff

Version 1.0146


https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/ReadOnlyAccess

https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/PowerUserAccess

https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceFullAccess

https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceReadOnlyAccess

https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonCloudDirectoryFullAccess

https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonCloudDirectoryReadOnlyAccess

https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess

https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess

https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonVPCFullAccess

https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonVPCReadOnlyAccess

https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRDSFullAccess

https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRDSReadOnlyAccess

https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess

https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBReadOnlyAccess

https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3FullAccess

https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCloudTrailFullAccess

https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCloudTrailReadOnlyAccess

https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchFullAccess

https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchReadOnlyAccess

https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchLogsFullAccess

https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchLogsReadOnlyAccess

AWS Directory Service AdministratorhandbuchAktivieren des Zugriffs auf AWS-

Anwendungen und -Services

Weitere Informationen zum Erstellen eigener Richtlinien finden Sie unter Beispielrichtlinien für dieVerwaltung von AWS-Ressourcen im IAM-Benutzerhandbuch

Aktivieren des Zugriffs auf AWS-Anwendungen und -ServicesAWS Directory Service kann anderen AWS-Anwendungen und -Services wie Amazon WorkSpaces Zugriffauf Ihre Verzeichnisbenutzer geben. Die folgenden AWS-Anwendungen und -Services können für dieVerwendung mit AWS Directory Service aktiviert oder deaktiviert werden:

AWS-Anwendung/-Service Weitere Informationen ...

Amazon Chime Weitere Informationen finden Sie imAdministrationshandbuch zu Amazon Chime.

Amazon Connect Weitere Informationen finden Sie imAdministrationshandbuch zu Amazon Connect.

Amazon FSx für Windows File Server Weitere Informationen finden Sie unter Verwendenvon Amazon FSx mit AWS Directory Service fürMicrosoft Active Directory im Amazon FSx fürWindows File Server-Benutzerhandbuch.

Amazon QuickSight Weitere Informationen finden Sie im AmazonQuickSight-Benutzerhandbuch.

Amazon Relational Database Service Weitere Informationen hierzu finden Sie im AmazonRDS-Benutzerhandbuch.

Amazon WorkDocs Weitere Informationen hierzu finden Sie im AmazonWorkDocs Administration Guide.

Amazon WorkMail Weitere Informationen hierzu finden Sie im AmazonWorkMail Administrator Guide.

Amazon WorkSpaces Sie können ein Simple AD, AWS ManagedMicrosoft AD oder einen AD Connector direkt ausAmazon WorkSpaces heraus erstellen. Rufen Sieeinfach Advanced Setup (Erweiterte Einstellungen)bei der Workspace-Erstellung auf.

Weitere Informationen hierzu finden Sie im AmazonWorkSpaces Administration Guide.

Amazon WorkSpaces Application Manager Weitere Informationen hierzu finden Sie im AmazonWAM Administration Guide.

AWS Management Console Weitere Informationen finden Sie unter Aktivierendes Zugriffs auf die AWS Management Console mitAD-Anmeldeinformationen (p. 156).

Nach der Aktivierung verwalten Sie den Zugriff auf Ihre Verzeichnisse in der Konsole der Anwendung oderdes Service, der bzw. dem Zugriff auf das Verzeichnis gewährt werden soll. Um die oben beschriebenenLinks zu AWS-Anwendungen und -Services in der AWS Directory Service-Konsole zu finden, führen Sie diefolgenden Schritte aus.

Version 1.0147

https://docs.aws.amazon.com/console/iam/example-policies

https://docs.aws.amazon.com/console/iam/example-policies

https://docs.aws.amazon.com/chime/latest/ag/what-is-chime.html

https://docs.aws.amazon.com/connect/latest/adminguide/what-is-amazon-connect.html

https://docs.aws.amazon.com/fsx/latest/WindowsGuide/fsx-aws-managed-ad.html



https://docs.aws.amazon.com/quicksight/latest/user/welcome.html


https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/


https://docs.aws.amazon.com/workdocs/latest/adminguide/


https://docs.aws.amazon.com/workmail/latest/adminguide/


https://docs.aws.amazon.com/workspaces/latest/adminguide/


http://docs.aws.amazon.com/wam/latest/adminguide/




So zeigen Sie Anwendungen und Services für ein Verzeichnis an

1. Wählen Sie im Navigationsbereich der AWS Directory Service console Directories (Verzeichnisse) aus.2. Wählen Sie auf der Seite Directories (Verzeichnisse) Ihre Verzeichnis-ID aus.3. Wählen Sie auf der Seite Directory details (Verzeichnisdetails) die Registerkarte Application

Management (Anwendungsverwaltung) aus.4. Überprüfen Sie die Liste im Abschnitt AWS Apps & Services (AWS-Apps und -Services).

Themen• Erstellen einer Zugriffs-URL (p. 148)• Einmaliges Anmelden (p. 149)

Erstellen einer Zugriffs-URLMit einer Zugriffs-URL gelangen Sie in AWS-Anwendungen und -Services wie Amazon WorkSpaces auf dieAnmeldeseite für Ihr Verzeichnis. Die URL muss global eindeutig sein. Folgen Sie der Anleitung unten, umeine Zugriffs-URL für Ihr Verzeichnis zu erstellen.

Warning

Nachdem die URL für den Anwendungszugriff für dieses Verzeichnis erstellt wurde, kann sienicht mehr geändert werden. Wenn die Zugriffs-URL erstellt und festgelegt wurde, kann sie nichtvon anderen verwendet werden. Beim Löschen Ihres Verzeichnisses wird auch die Zugriffs-URLgelöscht. Dann kann sie in einem anderen Konto genutzt werden.

So erstellen Sie eine Zugriffs-URL

1. Wählen Sie im Navigationsbereich AWS Directory Service console Directories (Verzeichnisse) aus.2. Wählen Sie auf der Seite Directories (Verzeichnisse) Ihre Verzeichnis-ID aus.3. Wählen Sie auf der Seite Directory details (Verzeichnisdetails) die Registerkarte Application

Management (Anwendungsverwaltung) aus.4. Wenn dem Verzeichnis keine Zugriffs-URL zugewiesen ist, wird im Bereich Application access URL

(URL für den Anwendungszugriff) die Schaltfläche Create (Erstellen) angezeigt. Geben Sie einenVerzeichnisalias ein und wählen Sie Create (Erstellen) aus. Falls der Fehler Entity Already Exists(Entity ist bereits vorhanden) zurückgegeben wird, wurde der angegebene Alias bereits einem anderenVerzeichnis zugewiesen. Wählen Sie einen anderen Alias aus und wiederholen Sie die Schritte.

Ihre Zugriffs-URL wird im Format <alias>.awsapps.com angezeigt.

Note

Die Zugriffs-URL ist eine regionale Funktion von AWS Managed Microsoft AD.



• Wenn mehrere Regionen unter Multi-Region replication angezeigt werden, wählen Sie die Regionaus, in der Sie Ihre Zugriffs-URL erstellen möchten, und wählen Sie dann die Registerkarte

Version 1.0148






Application management. Weitere Informationen finden Sie unter Primäre im Vergleich zuzusätzlichen Regionen (p. 62).


4. Wenn dem Verzeichnis keine Zugriffs-URL zugewiesen ist, wird im Bereich Application access URL(URL für den Anwendungszugriff) die Schaltfläche Create (Erstellen) angezeigt. Geben Sie einenVerzeichnisalias ein und wählen Sie Create (Erstellen) aus. Wenn der Fehler Entity Already Exists(Entity ist bereits vorhanden) zurückgegeben wird, wurde der angegebene Verzeichnisalias bereitszugewiesen. Wählen Sie ein anderes Alias aus und wiederholen Sie die Schritte.

Ihre Zugriffs-URL wird im Format angezeigt. <alias>.awsapps.com

Einmaliges AnmeldenMit AWS Directory Service können Sie Benutzern Zugriff auf Amazon WorkDocs mit einem an dasVerzeichnis angebundenen Computer gewähren, ohne die Anmeldeinformationen separat eingeben zumüssen.

Bevor Sie Single Sign-On aktivieren können, sind zusätzliche Schritte erforderlich, in denen dieWebbrowser der Benutzer zur Verwendung von Single Sign-On konfiguriert werden. Die Benutzer müsseneventuell die Einstellungen ihrer Webbrowser ändern, um Single Sign-On nutzen zu können.

Note

Single Sign-On funktioniert nur mit einem Computer, der dem AWS Directory Service-Verzeichnisbeigetreten ist. SSO kann nicht auf Computern verwendet werden, die nicht an das Verzeichnisangebunden sind.

Wenn es sich bei Ihrem Verzeichnis um ein AD Connector-Verzeichnis handelt und das ADConnector-Servicekonto nicht über die Berechtigung zum Hinzufügen oder Entfernen des Service-Prinzipalnamensattributs verfügt, stehen Ihnen für die folgenden Schritte 5 und 6 zwei Optionen zurVerfügung:

1. Sie können fortfahren und werden zur Eingabe des Benutzernamens und des Passworts füreinen Verzeichnisbenutzer aufgefordert, der über diese Berechtigung zum Hinzufügen oderEntfernen des Service-Prinzipalnamensattributs für das AD Connector-Servicekonto verfügt. DieseAnmeldeinformationen werden nur verwendet, um Single Sign-On zu aktivieren; sie werden nicht vomService gespeichert. Die Berechtigungen des AD Connector-Servicekontos werden nicht geändert.

2. Sie können Berechtigungen delegieren, damit das AD Connector-Servicekonto das Service-Prinzipalnamenattribut für sich selbst hinzufügen oder entfernen kann. Sie können die folgendenPowerShell-Befehle von einem Computer aus ausführen, der über Berechtigungen zum Ändernder Berechtigungen für das AD Connector-Servicekonto verfügt. Der folgende Befehl gibt demAD Connector-Servicekonto die Möglichkeit, ein Service-Prinzipalnamenattribut nur für sich selbsthinzuzufügen und zu entfernen.

$AccountName = 'ConnectorAccountName'# DO NOT modify anything below this comment.# Getting Active Directory information.Import-Module 'ActiveDirectory'$RootDse = Get-ADRootDSE [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID# Getting AD Connector service account Information.$AccountProperties = Get-ADUser -Identity $AccountName$AclPath = $AccountProperties.DistinguishedName

Version 1.0149



$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value# Getting ACL settings for AD Connector service account.$ObjectAcl = Get-ACL -Path "AD:\$AclPath" # Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None'$ObjectAcl.AddAccessRule($AddAccessRule)Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"

So aktivieren oder deaktivieren Sie Single Sign-On mit Amazon WorkDocs


Management (Anwendungsverwaltung) aus.4. Wählen Sie unter Application access URL (URL für den Anwendungszugriff) die Option Enable

(Aktivieren) aus, um Single Sign-On für Amazon WorkDocs zu aktivieren.

Wird die Schaltfläche Enable (Aktivieren) nicht angezeigt wird, müssen Sie zunächst eine Zugriffs-URL erstellen. Weitere Informationen zum Erstellen einer Zugriffs-URL finden Sie unter Erstellen einerZugriffs-URL (p. 148).

5. Wählen Sie im Dialogfeld Enable Single Sign-On for this directory (Single Sign-On für diesesVerzeichnis aktivieren) die Option Enable (Aktivieren) aus. Single Sign-On ist für das Verzeichnisaktiviert.

6. Wenn Sie Single Sign-On mit Amazon WorkDocs später deaktivieren wollen, wählen Sie Disable(Deaktivieren) und im Dialogfeld Disable Single Sign-On for this directory (Single Sign-On für diesesVerzeichnis deaktivieren) erneut Disable (Deaktivieren) aus.

Themen• Single Sign-On für IE und Chrome (p. 150)• Single Sign-On für Firefox (p. 155)

Single Sign-On für IE und Chrome

Damit Microsoft Internet Explorer (IE) und Google Chrome-Browser Single Sign-On unterstützen, müssendie folgenden Aufgaben auf dem Client-Computer ausgeführt werden:

• Fügen Sie die Zugriffs-URL (z. B. https://<alias>.awsapps.com) zur Liste der zulässigen Websites fürSingle Sign-On hinzu.

• Aktivieren Sie die aktiven Skripts (JavaScript).• Erlauben Sie die automatische Anmeldung.• Aktivieren Sie die integrierte Authentifizierung.

Sie oder Ihre Benutzer können diese Aufgaben manuell ausführen oder Sie können diese Einstellungenmithilfe von Gruppenrichtlinieneinstellungen ändern.

Themen• Manuelles Update für Single Sign-On für Windows (p. 151)• Manuelles Update für Single Sign-On für OS X (p. 153)• Gruppenrichtlinieneinstellungen für Single Sign-On (p. 153)

Version 1.0150




Manuelles Update für Single Sign-On für Windows

Um Single Sign-On auf einem Windows-Computer manuell zu aktivieren, führen Sie die folgenden Schritteauf dem Client-Computer aus. Einige dieser Einstellungen können bereits korrekt eingestellt sein.

So können Sie Single Sign-On für Internet Explorer und Chrome unter Windows manuell aktivieren

1. Um das Dialogfeld Internet Properties (Interneteigenschaften) zu öffnen, wählen Sie das MenüStart aus, geben in das Suchfeld Internet Options ein und wählen dann Internet Options(Internetoptionen) aus.

2. Fügen Sie Ihre Zugriffs-URL zur Liste der zulässigen Websites für Single Sign-On hinzu, indem Sie diefolgenden Schritte ausführen:

a. Wählen Sie im Dialogfeld Internet Properties (Interneteigenschaften) die Registerkarte Security(Sicherheit) aus.

b. Wählen Sie Local intranet (Lokales Intranet) und Sites aus.c. Wählen Sie im Dialogfeld Local intranet (Lokales Intranet) die Option Advanced (Erweitert) aus.d. Fügen Sie die Zugriffs-URL der Liste der Websites hinzu und wählen Sie Close (Schließen) aus.e. Wählen Sie im Dialogfeld Local intranet (Lokales Intranet) OK aus.

3. Zum Aktivieren der aktiven Skripts führen Sie die folgenden Schritte aus:

a. Wählen Sie im Dialogfeld (Interneteigenschaften) auf der Registerkarte Security (Sicherheit) dieOption Custom level (Stufe anpassen) aus.

b. Scrollen Sie im Dialogfeld Security Settings - Local Intranet Zone (Sicherheitseinstellungen –Lokale Intranetzone) nach unten bis zu Scripting (Skript-Erstellung) und wählen Sie unter ActiveScripting (Active-Skript-Erstellung) die Option Enable (Aktivieren) aus.

c. Wählen Sie im Dialogfeld Security Settings - Local Intranet Zone (Sicherheitseinstellungen –Lokale Intranetzone) OK aus.

4. Zum Aktivieren der automatischen Anmeldung führen Sie die folgenden Schritte aus:


b. Scrollen Sie im Dialogfeld Security Settings - Local Intranet Zone (Sicherheitseinstellungen– Lokale Intranetzone) nach unten bis zu User Authentication (Benutzerauthentifizierung)

Version 1.0151



und wählen Sie unter Login (Anmeldung) die Option Automatic logon only in Intranet zone(Automatisches Anmelden nur in der Intranetzone) aus.


d. Wählen Sie im Dialogfeld Security Settings - Local Intranet Zone (Sicherheitseinstellungen –Lokale Intranetzone) OK aus.

5. Zum Aktivieren der integrierten Authentifizierung führen Sie die folgenden Schritte aus:

a. Wählen Sie im Dialogfeld Internet Properties (Interneteigenschaften) die Registerkarte Advanced(Erweitert) aus.

b. Scrollen Sie nach unten zu Security (Sicherheit) und wählen Sie Enable Integrated WindowsAuthentication (Integrierte Windows-Authentifizierung aktivieren) aus.

c. Klicken Sie im Dialogfeld Internet Properties (Interneteigenschaften) auf OK.

Version 1.0152



6. Schließen Sie den Browser und öffnen Sie ihn erneut, damit diese Änderungen wirksam werden.

Manuelles Update für Single Sign-On für OS X

Um Single Sign-On für Chrome auf OS X manuell zu aktivieren, führen Sie auf dem Client-Computerdie folgenden Schritte aus. Sie benötigen Administratorrechte auf Ihrem Computer, um diese Schritteausführen zu können.

So können Sie Single Sign-On für Chrome auf OS X manuell aktivieren

1. Fügen Sie die Zugriffs-URL mit dem folgenden Befehl der Richtlinie AuthServerWhitelist hinzu:

defaults write com.google.Chrome AuthServerWhitelist "https://<alias>.awsapps.com"

2. Öffnen Sie System Preferences (Systemeinstellungen), wechseln Sie in den Bereich Profiles (Profile)und löschen Sie das Profil Chrome Kerberos Configuration.

3. Starten Sie Chrome neu und öffnen Sie "chrome://policy" in Chrome, um zu bestätigen, dass die neuenEinstellungen vorhanden sind.

Gruppenrichtlinieneinstellungen für Single Sign-On

Der Domänenadministrator kann Gruppenrichtlinieneinstellungen implementieren, um die Single Sign-On-Änderungen auf Client-Computern in der Domäne durchzuführen.

Note

Wenn Sie Chrome-Webbrowser auf den Computern in Ihrer Domäne mit Chrome-Richtlinienverwalten, müssen Sie Ihre Zugriffs-URL der Richtlinie AuthServerWhitelist hinzufügen. WeitereInformationen zum Einrichten von Chrome-Richtlinien finden Sie unter Policy Settings in Chrome.

So aktivieren Sie Single Sign-On für Internet Explorer und Chrome mithilfe vonGruppenrichtlinieneinstellungen

1. Erstellen Sie ein neues Gruppenrichtlinienobjekt, indem Sie die folgenden Schritte ausführen:

a. Öffnen Sie das Tool für die Gruppenrichtlinienverwaltung, navigieren Sie zu Ihrer Domäne undwählen Sie Group Policy Objects (Gruppenrichtlinienobjekte) aus.

b. Wählen Sie im Hauptmenü Action (Aktion) und dann New (Neu) aus.c. Geben Sie im Dialogfeld New GPO (Neues Gruppenrichtlinienobjekt) einen aussagekräftigen

Namen für das Gruppenrichtlinienobjekt ein (z. B. SSO Policy) und übernehmen Sie für SourceStarter GPO (Quell-Starter-Gruppenrichtlinienobjekt) den Wert (none) ((Kein)). Klicken Sie auf OK.

2. Fügen Sie die Zugriffs-URL zur Liste der zulässigen Websites für Single Sign-On hinzu, indem Sie diefolgenden Schritte ausführen:

a. Im Tool für die Gruppenrichtlinienverwaltung navigieren Sie zu Ihrer Domäne, wählen Sie GroupPolicy Objects (Gruppenrichtlinienobjekte) aus, öffnen Sie das Kontextmenü (rechte Maustaste)für die SSO-Richtlinie und wählen Sie dann Edit (Bearbeiten).

b. Navigieren Sie in der Richtlinien-Baumstruktur zu User Configuration (Benutzerkonfiguration) >Preferences (Einstellungen) > Windows Settings (Windows-Einstellungen).

c. Öffnen Sie in der Liste Windows Settings (Windows-Einstellungen) das Kontextmenü(rechte Maustaste) für Registry (Registrierung) und wählen Sie New registry item (NeuesRegistrierungselement).

d. Geben Sie im Dialogfeld New Registry Properties (Neue Registrierungseigenschaften) diefolgenden Einstellungen ein und wählen Sie OK aus:

Version 1.0153

http://www.chromium.org/administrators/policy-list-3#AuthServerWhitelist


http://www.chromium.org/developers/how-tos/enterprise/adding-new-policies



Action (Aktion)

Update

Hive

HKEY_CURRENT_USER

Pfad

Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>

Der Wert für <alias> wird aus der Zugriffs-URL abgeleitet. Wenn Ihre Zugriffs-URLhttps://examplecorp.awsapps.com ist, lautet der Alias examplecorp und derRegistrierungsschlüssel ist Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp.

Value name (Wertname)

https

Value type (Werttyp)

REG_DWORD

Value data (Wertdaten)

1



b. Navigieren Sie in der Richtlinienbaumstruktur zu Computer Configuration (Computerkonfiguration)> Policies (Richtlinien) > Administrative Templates (Administrative Vorlagen) > WindowsComponents (Windows-Komponenten) > Internet Explorer > Internet Control Panel(Internetsystemsteuerung) > Security Page (Sicherheitsseite) > Intranet Zone (Intranetzone).

c. Öffnen Sie in der Liste Intranet Zone (Intranetzone) das Kontextmenü (rechte Maustaste) für Allowactive scripting (Active Scripting zulassen) und wählen Sie Edit (Bearbeiten) aus.

d. Geben Sie im Dialogfeld Allow active scripting (Active Scripting zulassen) die folgendenEinstellungen ein und klicken Sie auf OK:

• Wählen Sie das Optionsfeld Enabled (Aktiviert) aus.• Weisen Sie unter Options (Optionen) der Option Allow active scripting (Active Scripting

zulassen) den Wert Enable (Aktivieren) zu.4. Zum Aktivieren der automatischen Anmeldung führen Sie die folgenden Schritte aus:

a. Navigieren Sie im Tool für die Gruppenrichtlinienverwaltung zur Domäne, wählen Sie "GroupPolicy Objects (Gruppenrichtlinienobjekte)", öffnen Sie das Kontextmenü (rechte Maustaste) fürdie SSO-Richtlinie und klicken Sie auf Edit (Bearbeiten).


c. Öffnen Sie in der Liste Intranet Zone (Intranetzone) das Kontextmenü (rechte Maustaste) fürLogon options (Anmeldeoptionen) und wählen Sie Edit (Bearbeiten) aus.

d. Geben Sie im Dialogfeld Logon options (Anmeldeoptionen) die folgenden Einstellungen ein undklicken Sie auf OK: Version 1.0

154



• Wählen Sie das Optionsfeld Enabled (Aktiviert) aus.• Weisen Sie unter Options (Optionen) der Option Logon options (Anmeldeoptionen) den Wert

Automatic logon only in Intranet zone (Automatisches Anmelden nur in der Intranetzone) zu.5. Zum Aktivieren der integrierten Authentifizierung führen Sie die folgenden Schritte aus:





Action (Aktion)

Update

Hive

HKEY_CURRENT_USER

Pfad

Software\Microsoft\Windows\CurrentVersion\Internet Settings


EnableNegotiate


REG_DWORD


1

6. Schließen Sie das Fenster Group Policy Management Editor (Gruppenrichtlinienverwaltungs-Editor),falls es noch geöffnet ist.

7. Weisen Sie die neue Richtlinie Ihrer Domäne zu, indem Sie die folgenden Schritte ausführen:

a. Öffnen Sie in der Gruppenrichtlinienbaumstruktur das Kontextmenü (rechte Maustaste) fürdie Domäne und wählen Sie Link an Existing GPO (Vorhandenes Gruppenrichtlinienobjektverknüpfen) aus.

b. Wählen Sie in der Liste Group Policy Objects (Gruppenrichtlinienobjekte) die SSO-Richtlinie ausund klicken Sie auf OK.

Diese Änderungen werden nach dem nächsten Gruppenrichtlinien-Update auf dem Client oder bei dernächsten Anmeldung des Benutzers wirksam.

Single Sign-On für Firefox

Damit der Browser Mozilla Firefox unterstützt, müssen Sie die Zugriffs-URL (z. B.https://<alias>.awsapps.com URL) der Liste der genehmigten Websites für Single Sign-On hinzufügen.Dies kann manuell oder automatisiert durch ein Skript erfolgen.

Themen

Version 1.0155

AWS Directory Service AdministratorhandbuchAktivieren des Zugriffs auf die AWS Management Console

• Manuelles Update für Single Sign-On (p. 156)• Automatisches Update für Single Sign-On (p. 156)

Manuelles Update für Single Sign-On

Um manuell Ihre Zugriffs-URL zur Liste der zulässigen Websites in Firefox hinzuzufügen, führen Sie diefolgenden Schritte auf dem Client-Computer aus.

So fügen Sie manuell Ihre Zugriffs-URL zur Liste der zulässigen Websites in Firefox hinzu

1. Öffnen Sie Firefox und öffnen Sie die Seite about:config.2. Öffnen Sie die Einstellung network.negotiate-auth.trusted-uris und fügen Sie Ihre Zugriffs-

URL der Liste der Websites hinzu. Verwenden Sie ein Komma (,), um mehrere Einträge zu trennen.

Automatisches Update für Single Sign-On

Als Domänenadministrator können Sie ein Skript hinzufügen, um Ihre Zugriffs-URL auf allen Computernin Ihrem Netzwerk der Firefox-Benutzereinstellung network.negotiate-auth.trusted-urishinzuzufügen. Weitere Informationen finden Sie unter https://support.mozilla.org/en-US/questions/939037.

Aktivieren des Zugriffs auf die AWS ManagementConsole mit AD-AnmeldeinformationenAWS Directory Service ermöglicht es Ihnen, Mitgliedern Ihres Verzeichnisses Zugriff auf die AWSManagement Console zu gewähren. Standardmäßig haben Verzeichnismitglieder keinen Zugriff auf AWS-

Version 1.0156

https://support.mozilla.org/en-US/questions/939037


Ressourcen. Weisen Sie den Verzeichnismitgliedern IAM-Rollen zu, um ihnen Zugriff auf verschiedeneAWS-Services und -Ressourcen zu gewähren. Die IAM-Rolle definiert die Services, Ressourcen undZugriffsebenen, die für Verzeichnismitglieder verfügbar sind.

Damit Sie Verzeichnismitgliedern den Konsolenzugriff gewähren können, benötigt das Verzeichnis eineZugriffs-URL. Weitere Informationen zum Abrufen von Verzeichnisdetails und der Zugriffs-URL findenSie unter Anzeigen von Verzeichnisinformationen (p. 142). Weitere Informationen zum Erstellen einerZugriffs-URL finden Sie unter Erstellen einer Zugriffs-URL (p. 148).

Weitere Informationen zum Erstellen von IAM-Rollen und deren Zuweisung zu Verzeichnismitgliedernfinden Sie unter Gewähren von Zugriff auf AWS-Ressourcen für Benutzer und Gruppen (p. 142).

Themen• Gewähren des AWS Management Console-Zugriffs (p. 157)• Deaktivieren des AWS Management Console-Zugriffs (p. 157)• Festlegen der Dauer der Anmeldesitzung (p. 158)• Gewähren des AWS Management Console-Zugriffs (p. 157)• Deaktivieren des AWS Management Console-Zugriffs (p. 157)• Festlegen der Dauer der Anmeldesitzung (p. 158)


• So greifen Sie auf die AWS Management Console mit AWS Managed Microsoft AD und Ihren lokalenAnmeldeinformationen zu

Gewähren des AWS Management Console-ZugriffsStandardmäßig ist der Konsolenzugriff für kein Verzeichnis aktiviert. Gehen Sie zum Aktivieren desKonsolenzugriffs für Benutzer und Gruppen in Ihrem Verzeichnis folgendermaßen vor:

So aktivieren Sie den Konsolenzugriff


Management (Anwendungsverwaltung) aus.4. Wählen Sie im Abschnitt AWS Management Console die Option Enable (Aktivieren). Der

Konsolenzugriff ist jetzt für Ihr Verzeichnis aktiviert.

Damit sich Benutzer mit der Zugriffs-URL an der Konsole anmelden können, müssen Sie Ihre Benutzerzuerst zur Rolle hinzufügen. Allgemeine Informationen zum Zuweisen von Benutzern zu IAM-Rollenfinden Sie unter Zuweisen von Benutzern oder Gruppen zu einer vorhandenen Rolle (p. 144).Nachdem die IAM-Rollen zugewiesen wurden, können die entsprechenden Benutzer über dieZugriffs-URL auf die Konsole zugreifen. Lautet die Zugriffs-URL Ihres Verzeichnisses zum Beispiel"example-corp.awsapps.com", dann lautet die URL für den Zugriff auf die Konsole "https://example-corp.awsapps.com/console/".

Deaktivieren des AWS Management Console-ZugriffsGehen Sie zum Deaktivieren des Konsolenzugriffs für Benutzer und Gruppen in Ihrem Verzeichnisfolgendermaßen vor:

Version 1.0157





So deaktivieren Sie den Konsolenzugriff


Management (Anwendungsverwaltung) aus.4. Wählen Sie im Abschnitt AWS Management Console die Option Disable (Deaktivieren). Der

Konsolenzugriff ist jetzt für Ihr Verzeichnis deaktiviert.5. Nach dem Zuweisen der IAM-Rollen zu Benutzern oder Gruppen im Verzeichnis ist die Schaltfläche

Disable (Deaktivieren) möglicherweise nicht mehr verfügbar. In diesem Fall müssen Sie zunächst alleIAM-Rollenzuweisungen für das Verzeichnis entfernen, einschließlich der Zuweisungen für gelöschteBenutzer oder Gruppen in Ihrem Verzeichnis. Diese werden als Deleted User (Gelöschter Benutzer)oder Deleted Group (Gelöschte Gruppe) angezeigt.

Nachdem alle IAM-Rollenzuweisungen entfernt wurden, wiederholen Sie die oben genannten Schritte.

Festlegen der Dauer der AnmeldesitzungStandardmäßig haben Benutzer eine Stunde Zeit, um nach dem Anmelden in der Konsole eine Sitzungzu nutzen, bevor sie abgemeldet werden. Nach dieser Zeit müssen sich die Benutzer erneut anmelden,um eine weitere einstündige Sitzung zu starten, bevor sie erneut abgemeldet werden. Gehen Siefolgendermaßen vor, um die Dauer auf bis zu 12 Stunden pro Sitzung zu ändern.

So legen Sie die Dauer der Anmeldesitzung fest


Management (Anwendungsverwaltung) aus.4. Wählen Sie im Abschnitt AWS Apps & Services (AWS-Apps und -Services) die Option AWS

Management Console aus.5. Wählen Sie im Dialogfeld Manage Access to AWS Resource (Zugriff auf AWS-Ressourcen verwalten)

die Option Continue (Fortfahren) aus6. Ändern Sie auf der Seite Assign users and groups to IAM roles (Benutzer und Gruppen zu IAM-Rollen

zuweisen) unter Set login session length (Dauer der Anmeldesitzung festlegen) den Zahlenwert ausund klicken Sie auf Save (Speichern).

Note

Der Zugriff auf die AWS Management Console ist eine regionale Funktion von AWS ManagedMicrosoft AD.



1. Wählen Sie im Navigationsbereich der AWS Directory Service console Directories (Verzeichnisse) aus.2. Wählen Sie auf der Seite Directories (Verzeichnisse) Ihre Verzeichnis-ID aus.

Version 1.0158






• Wenn mehrere Regionen unter Multi-Region replication (Replikation über mehrere Regionen)angezeigt werden, wählen Sie die Region aus, für die Sie den Zugriff auf die AWS ManagementConsole aktivieren möchten, und wählen Sie dann die Registerkarte Application management(Anwendungsverwaltung) aus. Weitere Informationen finden Sie unter Primäre im Vergleich zuzusätzlichen Regionen (p. 62).


4. Wählen Sie im Abschnitt AWS Management Console die Option Enable (Aktivieren) aus. DerKonsolenzugriff ist jetzt für Ihr Verzeichnis aktiviert.

Bevor sich Benutzer mit Ihrer Zugriffs-URL bei der Konsole anmelden können, müssen Sie IhreBenutzer der Rolle hinzufügen. Allgemeine Informationen zum Zuweisen von Benutzern zu IAM-Rollen finden Sie unter Zuweisen von Benutzern oder Gruppen zu einer vorhandenen Rolle (p. 144).Nachdem die IAM-Rollen zugewiesen wurden, können die entsprechenden Benutzer über dieZugriffs-URL auf die Konsole zugreifen. Wenn Ihre Verzeichniszugriffs-URL beispielsweise"example-corp.awsapps.com" lautet, lautet die URL für den Zugriff auf die Konsole "https://example-corp.awsapps.com/console/.".




• Wenn mehrere Regionen unter Multi-Region replication (Replikation über mehrere Regionen)angezeigt werden, wählen Sie die Region aus, in der Sie den Zugriff auf die AWS ManagementConsole deaktivieren möchten, und wählen Sie dann die Registerkarte Application management(Anwendungsverwaltung) aus. Weitere Informationen finden Sie unter Primäre im Vergleich zuzusätzlichen Regionen (p. 62).


4. Wählen Sie im Abschnitt AWS Management Console die Option Disable (Deaktivieren) aus. DerKonsolenzugriff ist jetzt für Ihr Verzeichnis deaktiviert.

5. Wenn Benutzern oder Gruppen im Verzeichnis IAM-Rollen zugewiesen wurden, ist die SchaltflächeDisable (Deaktivieren) möglicherweise nicht verfügbar. In diesem Fall müssen Sie alle IAM-Rollenzuweisungen für das Verzeichnis entfernen, bevor Sie fortfahren, einschließlich Zuweisungenfür Benutzer oder Gruppen in Ihrem Verzeichnis, die gelöscht wurden. Diese werden als Deleted User(Gelöschter Benutzer) oder Deleted Group (Gelöschte Gruppe) angezeigt.


Festlegen der Dauer der AnmeldesitzungStandardmäßig haben Benutzer 1 Stunde Zeit, um ihre Sitzung zu verwenden, nachdem sie sich erfolgreichbei der Konsole angemeldet haben, bevor sie abgemeldet werden. Danach müssen sich Benutzer erneutanmelden, um die nächste 1-stündige Sitzung zu starten, bevor sie erneut abgemeldet werden. Gehen Siefolgendermaßen vor, um die Dauer auf bis zu 12 Stunden pro Sitzung zu ändern.

Version 1.0159


AWS Directory Service AdministratorhandbuchBereitstellen zusätzlicher Domänencontroller



• Wenn mehrere Regionen unter Multi-Region replication (Replikation über mehrere Regionen)angezeigt werden, wählen Sie die Region aus, in der Sie die Länge der Anmeldesitzungfestlegen möchten, und wählen Sie dann die Registerkarte Application management(Anwendungsverwaltung) aus. Weitere Informationen finden Sie unter Primäre im Vergleich zuzusätzlichen Regionen (p. 62).


4. Wählen Sie im Abschnitt AWS Apps & Services (AWS-Apps und -Dienste) die Option AWSManagement Console (Verwaltungskonsole) aus.

5. Wählen Sie im Dialogfeld Manage Access to AWS Resource die Option Continue.6. Bearbeiten Sie auf der Seite Assign users and groups to IAM roles unter Set login session length den

Zahlenwert, und wählen Sie dann Save.

Bereitstellen zusätzlicher DomänencontrollerDie Bereitstellung zusätzlicher Domänencontroller erhöht die Redundanz. Dies führt zu einer nochgrößeren Ausfallsicherheit und höherer Verfügbarkeit. Dies verbessert auch die Leistung IhresVerzeichnisses, weil mehr Active Directory-Anfragen unterstützt werden. Beispielsweise können Sie jetztAWS Managed Microsoft AD verwenden, um mehrere .NET-Anwendungen zu unterstützen, die auf großenServerfarmen von Amazon EC2 und Amazon RDS für SQL Server-Instances bereitgestellt werden.

Beim ersten Erstellen Ihres Verzeichnisses stellt AWS Managed Microsoft AD zwei Domänencontroller inmehreren Availability Zones bereit. Dies ist für eine hohe Verfügbarkeit erforderlich. Später können Sieganz einfach zusätzliche Domänencontroller über die AWS Directory Service-Konsole bereitstellen, indemSie einfach die gewünschte Gesamtzahl der Domänencontroller angeben. AWS Managed Microsoft ADverteilt die zusätzlichen Domänencontroller auf die Availability Zones und VPC-Subnetze, in denen IhrVerzeichnis ausgeführt wird.

In der folgenden Abbildung beispielsweise stellen DC-1 und DC-2 die beiden Domänencontroller dar, dieursprünglich mit Ihrem Verzeichnis erstellt wurden. Die AWS Directory Service-Konsole verweist auf dieseStandard-Domänencontroller als Required (Erforderlich). AWS Managed Microsoft AD legt bewusst jedendieser Domänencontroller in unterschiedlichen Availability Zones ab, während das Verzeichnis erstelltwird. Später können Sie zwei weitere Domänencontroller hinzufügen, um die Authentifizierungslast beiSpitzenanmeldezeiten zu verteilen. DC-3 und DC-4 und reflektieren den neuen Domänencontroller, diedie Konsole jetzt als Additional angibt. Wie zuvor platziert AWS Managed Microsoft AD auch die neuenDomänencontroller automatisch in unterschiedlichen Availability Zones, um eine hohe Verfügbarkeit IhrerDomäne sicherzustellen.

Version 1.0160


AWS Directory Service AdministratorhandbuchBereitstellen zusätzlicher Domänencontroller

Dank dieses Prozess müssen Sie die Verzeichnisdatenreplikation, die automatischen täglichen Snapshotsoder die Überwachung für die zusätzlichen Domänencontroller nicht mehr manuell konfigurieren. Außerdemist es für Sie einfacher, unternehmenskritische, in das Active Directory–integrierte Workloads in die AWSCloud zu migrieren und auszuführen, ohne dass Sie Ihre eigene Active Directory-Infrastruktur bereitstellenund warten müssen. Sie können auch zusätzliche Domänencontroller für AWS Managed Microsoft ADmithilfe der UpdateNumberOfDomainControllers-API bereitstellen oder entfernen.

Note

Zusätzliche Domänencontroller sind eine regionale Funktion von AWS Managed Microsoft AD. .

Zusätzliche Domänencontroller hinzufügen oder entfernenFühren Sie die folgenden Schritte aus, um zusätzliche Domänencontroller in Ihrem AWS ManagedMicrosoft AD-Verzeichnis bereitzustellen oder daraus zu entfernen.

Note

Wenn Sie AWS Managed Microsoft AD konfiguriert haben, um LDAPS zu aktivieren, ist für allezusätzlichen Domänencontroller, die Sie hinzufügen, LDAPS automatisch aktiviert. WeitereInformationen finden Sie unter Aktivieren von Secure LDAP (LDAPS) (p. 35).

Zusätzliche Domänencontroller hinzufügen oder entfernen

1. Wählen Sie im Navigationsbereich der AWS Directory Service console Directories (Verzeichnisse) aus.

Version 1.0161

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateNumberOfDomainControllers.html


AWS Directory Service AdministratorhandbuchMigrieren von Benutzern von ADzu AWS Managed Microsoft AD


• Wenn mehrere Regionen unter Multi-Region replication angezeigt werden, wählen Sie die Regionaus, in der Sie Domänencontroller hinzufügen oder entfernen möchten, und wählen Sie danndie Registerkarte Scale & share. Weitere Informationen finden Sie unter Primäre im Vergleich zuzusätzlichen Regionen (p. 62).


4. Wählen Sie auf der Registerkarte Directory details (Verzeichnisdetails) die Registerkarte Scale(Skalieren).

5. Wählen Sie im Abschnitt Domain controllers (Domänencontroller) die Option Edit (Bearbeiten).6. Geben Sie die Anzahl der Domänencontroller an, die Ihrem Verzeichnis hinzugefügt oder daraus

entfernt werden sollen, und wählen Sie dann Modify (Ändern).7. Wenn AWS Managed Microsoft AD den Bereitstellungsprozess abgeschlossen hat, werden alle

Domänencontroller mit dem Status Active (Aktiv) sowie die zugewiesene Availability Zone und dieVPC-Subnetze angezeigt. Neue Domänencontroller werden gleichmäßig auf die Availability ZonesSubnetze verteilt, in denen Ihr Verzeichnis bereits bereitgestellt ist.

Note

Nachdem Sie zusätzliche Domänencontroller bereitgestellt haben, können Sie die Anzahl derDomänencontroller auf zwei reduzieren, das Minimum für Fehlertoleranz und hohe Verfügbarkeit.


• So erhöhen Sie die Redundanz und Leistung Ihres AWS Directory Service für AWS Managed MicrosoftAD, indem Sie Domänencontroller hinzufügen

Migrieren von Benutzern von Active Directory zu AWSManaged Microsoft ADSie können den Active Directory Migration Toolkit (ADMT) zusammen mit dem Passwort Export Service(PES) zum Migrieren von Benutzern des selbstverwalteten AD zu Ihrem AWS Managed Microsoft AD-Verzeichnis verwenden. Auf diese Weise können Sie AD-Objekte und verschlüsselte Passwörter für IhreBenutzer leichter migrieren.

Detaillierte Anweisungen finden Sie unter How to migrate your on-premises domain to AWS ManagedMicrosoft AD using ADMT im AWS Security Blog.

Bewährte Methoden für AWS Managed MicrosoftAD

Hier finden Sie einige Vorschläge und Richtlinien, die Sie in Betracht ziehen sollten, um Probleme zuvermeiden und AWS Managed Microsoft AD optimal zu nutzen.

Einrichten: VoraussetzungenBeachten Sie die folgenden Richtlinien, bevor Sie Ihr Verzeichnis erstellen.

Version 1.0162





AWS Directory Service AdministratorhandbuchEinrichten: Voraussetzungen

Überprüfen der Auswahl des richtigen VerzeichnistypsAWS Directory Service bietet mehrere Möglichkeiten zur Nutzung von Microsoft Active Directory mitanderen AWS-Services. Sie können den Directory Service mit den benötigten Funktionen auswählen, ohneIhr Budget zu überlasten:

• AWS Directory Service für Microsoft Active Directory ist ein verwaltetes Microsoft Active Directory mitgroßem Funktionsumfang, das in der AWS-Cloud gehostet wird. AWS Managed Microsoft AD ist diebeste Wahl, wenn Sie über mehr als 5 000 Benutzer verfügen und eine Vertrauensstellung zwischeneinem AWS-Hosting-Verzeichnis und lokalen Verzeichnissen einrichten müssen.

• AD Connector verbindet das lokale Active Directory einfach mit AWS. AD Connector ist die beste Wahl,wenn Sie ein lokales Verzeichnis mit AWS-Services verwenden möchten.

• Simple AD: kostengünstiger Active Directory-kompatibler Service mit den allgemeinen Directory-Funktionen. In den meisten Fällen ist Simple AD die kostengünstigste Option und die beste Wahl, wennSie 5.000 oder weniger Benutzer haben und keine erweiterten Microsoft Active Directory-Funktionenbenötigen.

Für eine detaillierte Gegenüberstellung der AWS Directory Service-Optionen siehe Welcheauswählen (p. 1).

Sicherstellen der korrekten Konfiguration von VPCs undInstancesUm die Verbindung zu Ihren Verzeichnissen herzustellen sowie zu deren Verwaltung und Verwendungmüssen die VPCs, denen die Verzeichnisse zugeordnet sind, ordnungsgemäß konfiguriert sein. WeitereInformationen zu VPC-Sicherheits- und Netzwerkanforderungen finden Sie unter AWS ManagedMicrosoft AD-Voraussetzungen (p. 9), AD Connector-Voraussetzungen (p. 202) oder Simple AD-Voraussetzungen (p. 245).

Wenn Sie Ihrer Domäne eine Instance hinzufügen, stellen Sie sicher, dass Sie eine Verbindung undRemote-Zugriff auf Ihre Instance haben, wie in Verbinden einer EC2-Instance mit Ihrem AWS ManagedMicrosoft AD-Verzeichnis (p. 76) beschrieben.

Beachten Ihrer LimitsErfahren Sie mehr über die verschiedenen Limits für Ihren spezifischen Verzeichnistyp. Der verfügbareSpeicher und die Aggregationsgröße Ihrer Objekte sind die einzigen Einschränkungen für die Anzahl vonObjekten, die Sie in Ihrem Verzeichnis speichern können. Einzelheiten zum gewählten Verzeichnis findenSie unter Grenzwerte für AWS Managed Microsoft AD (p. 168), Grenzwerte für AD Connector (p. 239)oder Grenzwerte für Simple AD (p. 297).

Die Konfiguration und Verwendung der AWS-SicherheitsgruppeIhres Verzeichnisses verstehenAWS erstellt eine Sicherheitsgruppe und fügt Sie den Elastic Network-Schnittstellen desDomänencontrollers Ihres Verzeichnisses hinzu. Diese Sicherheitsgruppe blockiert unnötigen Datenverkehrzum Domänencontroller und lässt Datenverkehr zu, der für die Active Directory-Kommunikation erforderlichist. AWS konfiguriert die Sicherheitsgruppe, um nur die Ports zu öffnen, die für die Active Directory-Kommunikation erforderlich sind. In der Standard-Konfiguration akzeptiert die SicherheitsgruppeDatenverkehr zu diesen Ports von jeder beliebigen IP-Adresse aus. AWS fügt die Sicherheitsgruppean die Schnittstellen Ihrer Domänencontroller an, auf die innerhalb Ihres Peers zugegriffen werdenkann oder deren Größe geändert wurde VPCs. (z. B.. Diese Schnittstellen sind über das Internet nichtzugänglich, auch wenn Sie Routing-Tabellen ändern, die Netzwerkverbindungen zu Ihrer VPC ändernund die konfigurieren NAT-Gateway-Dienst. Daher können nur Instances und Computer, die über einenNetzwerkpfad in die VPC verfügen, auf das Verzeichnis zugreifen. Dies vereinfacht die Einrichtung, weil

Version 1.0163




https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-nat-gateway.html

AWS Directory Service AdministratorhandbuchEinrichten: Erstellen Ihres Verzeichnisses

es nicht mehr erforderlich ist, spezifische Adressbereiche zu konfigurieren. Stattdessen konfigurieren SieRouten und Sicherheitsgruppen in der VPC, die Datenverkehr von vertrauenswürdigen Instances undComputern aus zulassen.

Ändern der VerzeichnissicherheitsgruppeWenn Sie die Sicherheit der Sicherheitsgruppen Ihrer Verzeichnisse erhöhen wollen, können Sie sieso abändern, dass sie Datenverkehr von einer restriktiveren IP-Adressliste akzeptieren. Beispielsweisekönnten Sie die akzeptierten Adressen von 0.0.0.0/0 in einen CIDR-Bereich ändern, der spezifisch fürein einzelnes Subnetz oder einen Computer ist. Ebenso könnten Sie die Zieladressen einschränken,mit denen Ihre Domänencontroller kommunizieren können. Nehmen Sie diese Änderungen nur vor,wenn Sie verstehen, wie Sicherheitsgruppenfilter funktionieren. Weitere Informationen finden Sie unterAmazon EC2-Sicherheitsgruppen für Linux-Instances im Amazon EC2-Benutzerhandbuch. FehlerhafteÄnderungen können zu einem Verlust der Kommunikation mit vorgesehenen Computern und Instancesführen. AWS empfiehlt, nicht zu versuchen, zusätzlichen Ports zu dem Domänencontroller zu öffnen,weil dies die Sicherheit Ihres Verzeichnisses verringert. Sehen Sie sich das AWS-Modell übergreifenderVerantwortlichkeit genau an.

Warning

Es ist technisch möglich, dass Sie die Sicherheitsgruppen, die Ihr Verzeichnis verwendet, anderenEC2-Instances zuordnen, die Sie erstellen. AWS rät jedoch von dieser Vorgehensweise ab. AWShat möglicherweise Gründe, die Sicherheitsgruppe ohne vorherige Ankündigung zu ändern, umFunktions- oder Sicherheitsanforderungen des verwalteten Verzeichnisses nachzukommen.Solche Änderungen wirken sich auf alle Instances aus, die Sie der Verzeichnis-Sicherheitsgruppezuordnen. Außerdem entsteht durch die Zuordnung der Verzeichnis-Sicherheitsgruppe zuIhren EC2-Instances ein potenzielles Sicherheitsrisiko für Ihre EC2-Instances. Die Verzeichnis-Sicherheitsgruppe akzeptiert Datenverkehr auf erforderlichen Active Directory-Ports von jederbeliebigen IP-Adresse aus. Wenn Sie diese Sicherheitsgruppe einer EC2-Instance zuordnen, dieeine öffentliche IP-Adresse im Internet hat, kann jeder Computer im Internet über die geöffnetenPorts mit Ihrer EC2-Instance kommunizieren.

Einrichten: Erstellen Ihres VerzeichnissesHier finden Sie einige Vorschläge, wie Sie Ihr Verzeichnis erstellen.

Beachten Sie Ihre Administratoren-ID und das PasswortWenn Sie Ihr Verzeichnis einrichten, geben Sie ein Passwort für das Administratorkonto ein. Die Konto-ID für AWS Managed Microsoft AD lautet Admin. Merken Sie sich das Passwort, das Sie für dieses Kontoerstellen. Andernfalls können Sie keine Objekte in Ihrem Verzeichnis hinzufügen.

Erstellen Sie eine DHCP-OptionslisteWir empfehlen die Erstellung einer DHCP-Optionsliste für Ihr AWS Directory Service-Verzeichnis sowie dasZuweisen der DHCP-Optionsliste zur VPC, in der sich Ihr Verzeichnis befindet. Auf diese Weise könnenalle Instances in dieser VPC auf die angegebene Domäne zeigen und DNS-Server können ihre Domänen-Namen auflösen.

Weitere Informationen zu den DHCP-Optionen finden Sie unter Erstellen Sie eine DHCP-Optionsliste (p. 106).

Bereitstellen zusätzlicher DomänencontrollerStandardmäßig erstellt AWS zwei Domänencontroller, die sich in separaten Availability Zones befinden.Dies sorgt für Fehlerresilienz während des Software-Patchings und anderen Ereignissen, aufgrundderer ein Domänencontroller möglicherweise nicht erreichbar oder nicht verfügbar ist. Wir empfehlen,zusätzliche Domänencontroller bereitzustellen, um die Resilienz weiter zu erhöhen und die Leistung der

Version 1.0164

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html




AWS Directory Service AdministratorhandbuchVerwendung Ihres Verzeichnisses

horizontalen Skalierung bei einem längerfristigen Ereignis sicherzustellen, das sich auf den Zugriff aufeinen Domänencontroller oder eine Availability Zone auswirkt.

Weitere Informationen finden Sie im Verwenden des Windows DC-Suchdiensts (p. 167).

Einschränkungen für Benutzernamen für AWS-AnwendungenverstehenAWS Directory Service unterstützt die meisten Zeichenformate, die für Benutzernamen verwendet werdenkönnen. Es gibt jedoch Einschränkungen, die für Zeichen erzwungen werden, die für Benutzernamen zurAnmeldung bei AWS-Anwendungen verwendet werden, wie beispielsweise Amazon WorkSpaces, AmazonWorkDocs, Amazon WorkMail oder Amazon QuickSight. Diese Einschränkungen verlangen, dass diefolgenden Zeichen nicht verwendet werden:

• Leerzeichen• !"#$%&'()*+,/:;<=>?@[\]^`{|}~

Note

Das Symbol @ ist zulässig, wenn es einem UPN-Suffix vorausgeht.

Verwendung Ihres VerzeichnissesHier finden Sie einige Vorschläge zur Verwendung Ihres Verzeichnisses.

Ändern Sie keine vordefinierten Benutzer, Gruppen undOrganisationseinheitenWenn Sie AWS Directory Service verwenden, um ein Verzeichnis zu starten, erstellt AWS eineOrganisationseinheit (Organizational Unit, OU), die alle Objekte Ihres Verzeichnisses enthält. DieseOrganisationseinheit, die NetBIOS Name, den Sie beim Erstellen Ihres Verzeichnisses eingegeben haben,befindet sich im Domänenstamm. Der Domänenstamm ist im Besitz von AWS und wird von diesemverwaltet. Ebenso werden mehrere Gruppen und Benutzer erstellt.

Diese vordefinierten Objekte nicht verschieben, löschen oder auf andere Weise ändern! Ansonsten lässtsich Ihr Verzeichnis möglicherweise nicht mehr von Ihnen und AWS aufrufen. Weitere Informationen findenSie im Was wird erstellt (p. 12).

Automatisch mit Domänen verbindenWenn Sie eine Windows-Instance starten, die Teil einer AWS Directory Service-Domäne sein soll, ist esoft einfacher, der Domäne als Teil des Instance-Erstellungsprozesses beizutreten, anstatt die Instance zueinem späteren Zeitpunkt hinzuzufügen. Um eine Domäne automatisch hinzuzufügen, wählen Sie einfachdas richtige Verzeichnis für Domain join directory beim Starten einer neuen Instance. Details finden Sie inNahtloser Beitritt zu einer Windows EC2-Instance (p. 76).

Vertrauensstellungen korrekt einrichtenWenn Sie eine Vertrauensstellung zwischen Ihrem AWS Managed Microsoft AD-Verzeichnis und einemanderen Verzeichnis einrichten, beachten Sie die folgenden Richtlinien:

• Der Vertrauensstellungstyp muss auf beiden Seiten übereinstimmen (Forest oder External)• Stellen Sie sicher, dass die Vertrauensrichtung korrekt eingerichtet ist, wenn Sie eine unidirektionale

Vertrauensstellung verwenden (ausgehend bei vertrauenswürdiger Domäne, eingehend beivertrauenswürdiger Domäne)

Version 1.0165

AWS Directory Service AdministratorhandbuchVerwalten Ihres Verzeichnisses

• Sowohl vollqualifizierte Domänennamen (FQDNs) als auch NetBIOS Namen müssen zwischen denGesamtheiten/Domänen eindeutig sein

Weitere Details und Anweisungen zum Einrichten einer Vertrauensstellung finden Sie unter Zeitpunkt zumErstellen einer Vertrauensstellung (p. 111).

Verwalten Ihres VerzeichnissesBeachten Sie die folgenden Vorschläge für die Verwaltung von Ihrem Verzeichnis.

Schemaerweiterungen sorgfältig planenWenden Sie Schemaerweiterungen gut durchdacht an, um Ihr Verzeichnis nach wichtigen und häufigenAbfragen zu indizieren. Achten Sie darauf, keinen zu umfangreichen Index zu verwenden, da Indizes vielVerzeichnisspeicherplatz beanspruchen und schnell ändernde indizierte Werte zu Leistungsproblemenführen können. Zum Hinzufügen von Indizes müssen Sie eine Lightweight Directory Access Protocol(LDAP) Directory Interchange Format (LDIF)-Datei erstellen und Ihre Schemaänderung erweitern. WeitereInformationen finden Sie im Erweitern des Schemas (p. 132).

Über Load BalancerVerwenden Sie keinen Load Balancer vor AWS Managed Microsoft AD-Endpunkten. Microsoft hat ActiveDirectory (AD) für die Nutzung eines Domänencontroller (DC)-Erkennungsalgorithmus entwickelt, der denreaktionsschnellsten DC ohne externen Lastausgleich findet. Externe Netzwerk-Load Balancer erkennennicht korrekt aktive DCs und kann dazu führen, dass Ihre Anwendung an einen DC gesendet wird, der sichin Kürze befindet, aber noch nicht einsatzbereit ist. Weitere Informationen finden Sie unter Load Balancerund Active Directory auf Microsoft TechNet Das empfiehlt, Anwendungen korrekt zu korrigieren, damit ADkorrekt verwendet wird, anstatt externe Load Balancer zu implementieren.

Erstellen Sie ein Backup Ihrer InstanceWenn Sie eine Instance einer bestehenden AWS Directory Service-Domäne manuell hinzufügen, erstellenSie zuerst eine Sicherung oder einen Snapshot der Instance. Dies ist besonders wichtig, wenn derBeitritt zu einer Linux-Instance erfolgt. Einige der Verfahren zum Hinzufügen einer Instance können,wenn sie nicht richtig durchgeführt werden, Ihre Instance nicht erreichbar oder nicht verwendungsfähigmachen. Weitere Informationen finden Sie im Erstellen eines Snapshots oder Wiederherstellen IhresVerzeichnisses (p. 140).

SNS Messaging einrichtenMit Amazon Simple Notification Service (Amazon SNS) können Sie E-Mail- oder Text-Nachrichten(SMS) erhalten, wenn sich der Status Ihres Verzeichnisses ändert. Sie werden benachrichtigt, wenn IhrVerzeichnis von einem Active-Status in einen Impaired- oder Inoperable-Status übergeht. Außerdemerhalten Sie eine Benachrichtigung, wenn das Verzeichnis in einen aktiven Status zurückkehrt.

Denken Sie auch daran, dass Sie, wenn Sie ein SNS-Thema haben, das Nachrichten von AWS DirectoryService erhält, vor dem Löschen dieses Themas von der Amazon SNS-Konsole Ihr Verzeichnis mit einemanderen SNS-Thema verknüpfen sollten. Andernfalls riskieren Sie, wichtige Verzeichnis-Statusmeldungenzu verpassen. Informationen zum Einrichten von Amazon SNS finden Sie unter Konfigurieren vonBenachrichtigungen über den Verzeichnisstatus (p. 54).

Entfernen von Amazon Enterprise-Anwendungen vor demLöschen eines VerzeichnissesBevor Sie ein Verzeichnis löschen, das mit einer oder mehreren Amazon Enterprise-Anwendungen wieAmazon WorkSpaces, Amazon WorkSpaces Application Manager, Amazon WorkDocs, Amazon WorkMail,

Version 1.0166

https://social.technet.microsoft.com/wiki/contents/articles/33547.load-balancers-and-active-directory.aspx

https://social.technet.microsoft.com/wiki/contents/articles/33547.load-balancers-and-active-directory.aspx

AWS Directory Service AdministratorhandbuchProgrammieren Ihrer Anwendungen

AWS Management Console oder Amazon Relational Database Service (Amazon RDS) verknüpft ist,müssen Sie zunächst die einzelnen Anwendungen entfernen. Weitere Informationen zum Entfernen dieserAnwendungen finden Sie unter Löschen Ihres Verzeichnisses (p. 138).

Beim Zugriff auf die SYSVOL- und NETLOGON-Freigaben SMB2.x-Clients verwendenClientcomputer verwenden Server Message Block (SMB), um auf die SYSVOL- und NETLOGON-Freigaben auf AWS Managed Microsoft AD-Domänencontrollern für Gruppenrichtlinien, Anmeldeskriptsund andere Dateien zuzugreifen. AWS Managed Microsoft AD unterstützt nur SMB Version 2.0 (SMBv2)und neuer.

Die Schaltfläche SMBv2 Protokolle und neuere Versionen fügen eine Reihe von Funktionen hinzu, dieClient-Leistung verbessern und die Sicherheit Ihrer Domänencontroller und Clients erhöhen. DieseÄnderung folgt den Empfehlungen der US-amerikanisches Computer-Notfallteam und von Microsoft zumDeaktivieren SMBv1.

Important

Wenn Sie derzeit SMBv1 um auf die SYSVOL- und NETLOGON-Freigaben IhresDomänencontrollers zuzugreifen, müssen Sie diese Clients aktualisieren, um SMBv2 oder neuerist. Ihr Verzeichnis funktioniert korrekt, aber Ihr SMBv1 -Clients können keine Verbindung zu denSYSVOL- und NETLOGON-Freigaben Ihrer AWS Managed Microsoft AD-Domänencontrollerherstellen und können auch keine Gruppenrichtlinie verarbeiten.

SMBv1 Kunden mit anderen SMBv1 kompatible Dateiserver, die Sie haben. AWS empfiehlt jedoch, dassSie alle Ihre SMB-Server und -Clients auf SMBv2 oder neuer ist. Um mehr über die Deaktivierung zuerfahren SMBv1 und aktualisieren Sie auf neuere SMB-Versionen auf Ihren Systemen, sehen Sie sichdiese Veröffentlichungen auf von Microsoft TechNet und Unterstützung.

Nachverfolgen SMBv1 Remote-Verbindungen

Sie können die Microsoft-Windows-SMBServer/Prüfung Windows-Ereignisprotokoll über Fernverbindungmit dem AWS Managed Microsoft AD Domänencontrollers zeigen alle Ereignisse in diesem ProtokollSMBv1 Anschlüsse. Im Folgenden finden Sie ein Beispiel für die Informationen, die Sie in einem dieserProtokolle finden können:

SMB1-Zugriff

Clientadresse: ###.###.###.###

Leitfaden:

Dieses Ereignis zeigt an, dass ein Client versucht hat, über SMB1 auf den Server zuzugreifen. VerwendenSie zum Beenden der Prüfung des SMB1-Zugriffs die Windows- PowerShell cmdlet-Einstellung-SmbServerKonfiguration.

Programmieren Ihrer AnwendungenStellen Sie folgende Überlegungen an, ehe Sie Ihre Anwendungen programmieren:

Verwenden des Windows DC-SuchdienstsNutzen Sie beim Entwickeln von Anwendungen den Windows DC-Suchdienst oder den Dynamic DNS-Service (DDNS) von AWS Managed Microsoft AD, um Domänencontroller (DCs) zu finden. KodierenSie Anwendungen nicht fest mit der Adresse eines Domänencontrollers. Der DC-Suchdienst sorgt füreine Verteilung der Verzeichnislast und ermöglicht Ihnen die Nutzung einer horizontalen Skalierungdurch das Hinzufügen von Domänencontrollern zu Ihrer Bereitstellung. Wenn Sie Ihre Anwendung

Version 1.0167

https://www.us-cert.gov/ncas/current-activity/2017/01/16/SMB-Security-Best-Practices

https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/

https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/

https://support.microsoft.com/en-us/help/2696547/how-to-detect-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and

AWS Directory Service AdministratorhandbuchEinschränkungen

an einen festen DC binden und der DC einem Patching oder einer Wiederherstellung unterzogenwird, verliert Ihre Anwendung den Zugriff auf den DC, anstatt einen der verbleibenden DCs. (z. B..)Darüber hinaus kann die harte Codierung des DC zu Hot Spotting auf einem einzelnen DC führen. Inextremen Fällen kann dies dazu führen, dass Ihr DC nicht mehr reagiert. Darüber hinaus ist es möglich,dass die AWS-Verzeichnisautomatisierung das Verzeichnis als nicht funktionsfähig kennzeichnet undWiederherstellungsprozesse auslöst, die den nicht reagierenden DC ersetzen.

Auslastungstests vor der InbetriebnahmeFühren Sie Labortests mit Objekten und Anforderungen durch, die Ihren Produktions-Workloaddarstellen, um sicherzustellen, dass das Verzeichnis entsprechend der Arbeitslast Ihrer Anwendungskaliert wird. Sollten Sie zusätzliche Kapazität benötigen, testen Sie mit zusätzlichen DCs währendAnfragen zwischen den DCs. (z. B.. Weitere Informationen finden Sie unter Bereitstellen zusätzlicherDomänencontroller (p. 160).

Verwenden effizienter LDAP-AbfragenUmfassende LDAP-Abfragen für einen Domänencontroller bei tausenden von Objekten könnenumfangreiche CPU-Zyklen auf einem einzelnen DC verursachen und ein Hot Spotting nach sich ziehen.Dies kann Auswirkungen auf Anwendungen haben, die während der Abfrage denselben DC verwenden.

Grenzwerte für AWS Managed Microsoft ADDie folgenden Grenzwerte sind die Standardgrenzwerte für AWS Managed Microsoft AD. Jedes Limit giltpro Region, sofern nicht anders angegeben.

Limits für AWS Managed Microsoft AD

Ressource Standardlimit

AWS Managed Microsoft AD-Verzeichnisse 20

Manuelle Snapshots* 5 pro AWS Managed Microsoft AD

Alter manueller Snapshots ** 180 Tage

Maximale Anzahl von Domänencontrollern proVerzeichnis

20

Freigegebene Domänen pro Standard Microsoft AD 5

Freigegebene Domänen pro Enterprise MicrosoftAD

125

Maximale Anzahl registrierterZertifizierungsstellenzertifikate (CA) proVerzeichnis

5

Maximale Gesamtzahl der AWS-Regionen in einemeinzelnen AWS Managed Microsoft AD (EnterpriseEdition)-Verzeichnis ***

5

*Der Grenzwert für manuelle Snapshots kann nicht geändert werden.

** Das maximal unterstützte Alter eines manuellen Snapshots beträgt 180 Tage und kann nicht geändertwerden. Dies liegt an dem Tombstone-Lifetime-Attribut gelöschter Objekte, das die Nutzungsdauer einer

Version 1.0168

AWS Directory Service AdministratorhandbuchErhöhen des Limits

Systemstatussicherung von Active Directory definiert. Eine Wiederherstellung von einem Snapshot, derälter als 180 Tage ist, ist nicht möglich. Weitere Informationen finden Sie unter Useful shelf life of a system-state backup of Active Directory auf der Microsoft-Website.

*** Dies umfasst 1 primäre Region und bis zu 4 zusätzliche Regionen. Weitere Informationen finden Sieunter Primäre im Vergleich zu zusätzlichen Regionen (p. 62).

Note

Sie können Ihrer Elastic Network-Schnittstelle (ENI) von AWS öffentliche IP-Adresse zuweisen.

Informationen zum Anwendungsdesign und der Lastverteilung finden Sie unter Programmieren IhrerAnwendungen (p. 167).

Informationen zu den Grenzwerten für Speicher und Objekte finden Sie in der Vergleichstabelle auf derSeite zu AWS Directory Service-Preisen.

Erhöhen des LimitsFühren Sie die folgenden Schritte aus, um Ihr Limit für eine Region zu erhöhen.

So beantragen Sie eine Erhöhung des Limits für eine Region

1. Rufen Sie die Seite AWS Support-Center, melden Sie sich bei Bedarf an und klicken Sie auf Open anew case (Neuen Fall öffnen).

2. Wählen Sie unter Regarding (Betreff) die Option Service Limit Increase (Erhöhung des Service-Limits).3. Wählen Sie unter Limit Type (Limittyp) die Option AWS Directory Service aus.4. Füllen Sie alle erforderlichen Felder des Formulars aus und klicken Sie unten auf der Seite auf die

Schaltfläche für die gewünschte Kontaktmethode.

Richtlinie zur Anwendungskompatibilität für AWSManaged Microsoft AD

AWS Directory Service für Microsoft Active Directory (AWS Managed Microsoft AD) ist mit mehreren AWS-Services und Anwendungen von Drittanbietern kompatibel.

Die folgende Liste enthält die kompatiblen AWS-Anwendungen und -Services:

• Amazon Chime – Detaillierte Anweisungen finden Sie unter Herstellen einer Verbindung mit ActiveDirectory.

• Amazon Connect – Weitere Informationen finden Sie unter Die Funktionsweise von Amazon Connect.• Amazon EC2 – Weitere Informationen finden Sie unter Verbinden einer EC2-Instance mit Ihrem AWS

Managed Microsoft AD-Verzeichnis (p. 76).• Amazon FSx für Windows File Server – Weitere Informationen finden Sie unter Was ist Amazon FSx für

Windows File Server?.• Amazon QuickSight – Weitere Informationen finden Sie unter Verwalten von Benutzerkonten in der

Amazon QuickSight-Enterprise-Edition.• Amazon RDS für MySQL - Weitere Informationen finden Sie unter Verwenden der Kerberos-

Authentifizierung für MySQL.• Amazon RDS für SQL Server – Weitere Informationen finden Sie unter Verwenden der Windows-

Authentifizierung mit einer Amazon RDS Microsoft SQL Server-DB-Instance.• Amazon RDS für Oracle – Weitere Informationen finden Sie unter Verwendung der Kerberos-

Authentifizierung mit Amazon RDS für Oracle.

Version 1.0169



https://aws.amazon.com/directoryservice/pricing/


https://docs.aws.amazon.com/chime/latest/ag/active_directory.html


https://docs.aws.amazon.com/connect/latest/adminguide/what-is-amazon-connect.html#amazon-connect-fundamentals

https://docs.aws.amazon.com/fsx/latest/WindowsGuide/what-is.html

https://docs.aws.amazon.com/fsx/latest/WindowsGuide/what-is.html

https://docs.aws.amazon.com/quicksight/latest/user/managing-users-enterprise.html








AWS Directory Service AdministratorhandbuchRichtlinien für die Kompatibilität

• Amazon RDS für PostgreSQL - Weitere Informationen finden Sie unter Verwenden der Kerberos-Authentifizierung mit Amazon RDS für PostgreSQL.

• AWS Single Sign-On – Detaillierte Anweisungen finden Sie unter Verbinden von AWS SSO mit einemlokalen Active Directory.

• Amazon WorkDocs – Detaillierte Anweisungen finden Sie unter Herstellen einer Verbindung zu Ihremlokalen Verzeichnis mit AWS Managed Microsoft AD.

• Amazon WorkMail – Detaillierte Anweisungen finden Sie unter Integrieren von Amazon WorkMail in einvorhandenes Verzeichnis (Standardeinrichtung).

• Amazon WorkSpaces - Für detaillierte Anweisungen siehe Starten eines WorkSpace Verwenden vonAWS Managed Microsoft AD.

• AWS-Client-VPN – Detaillierte Anweisungen finden Sie unter Client-Authentifizierung und Autorisierung.• AWS Management Console – Weitere Informationen finden Sie unter Aktivieren des Zugriffs auf die AWS

Management Console mit AD-Anmeldeinformationen (p. 156).

Aufgrund der Masse an benutzerdefinierten und kommerziellen Standardanwendungen, die ActiveDirectory nutzen, führt AWS keine formale oder umfangreiche Verifizierung der Kompatibilität vonDrittanbieteranwendungen mit AWS Directory Service für Microsoft Active Directory (AWS ManagedMicrosoft AD) durch. Obwohl AWS mit Kunden an der Überwindung möglicher Schwierigkeiten bei derAnwendungsinstallation arbeitet, können wir nicht garantieren, dass alle Anwendungen mit AWS ManagedMicrosoft AD kompatibel sind oder kompatibel bleiben.

Die folgenden Anwendungen von Drittanbietern sind mit AWS Managed Microsoft AD kompatibel:

• Active Directory-basierte Aktivierung (ADBA)• Active Directory-Zertifikatdienste (AD CS): Enterprise Certificate Authority• Active Directory Federation Services (AD FS)• Active Directory Users and Computers (ADUC)• Application Server (.NET)• Azure Active Directory (Azure AD)• Azure Active Directory (AD) Connect• DFS-Replikation (Distributed File System Replication, DFSR)• DFS-Namespaces (Distributed File System Namespaces, DFSN)• Microsoft Remotedesktopdienste-Lizenzserver• von Microsoft SharePoint Server (Server)• Microsoft SQL Server (einschließlich SQL Server Always On-Verfügbarkeitsgruppen)• Microsoft System Center Configuration Manager (SCCM) – Der Benutzer, der SCCM bereitstellt, muss

ein Mitglied der AWS Delegated System Management-Administratorengruppe sein.• Betriebssystem Microsoft Windows und Windows Server• Office 365

Beachten Sie, dass möglicherweise nicht alle Konfigurationen dieser Anwendungen unterstützt werden.

Richtlinien für die KompatibilitätBei Anwendungen mit einer nicht kompatiblen Konfiguration kann das Problem oftmals mitAnwendungsbereitstellungskonfigurationen behoben werden. Im Folgenden werden die häufigstenGründe für die Inkompatibilität einer Anwendung aufgeführt. Kunden können anhand dieser InformationenKompatibilitätsmerkmale einer gewünschten Anwendung prüfen und mögliche Bereitstellungsänderungenidentifizieren.

Version 1.0170



https://docs.aws.amazon.com/singlesignon/latest/userguide/connectawsad.html


https://docs.aws.amazon.com/workdocs/latest/adminguide/connect_directory_microsoft.html

https://docs.aws.amazon.com/workdocs/latest/adminguide/connect_directory_microsoft.html

https://docs.aws.amazon.com/workmail/latest/adminguide/premises_directory.html


https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspace-microsoft-ad.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspace-microsoft-ad.html

https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/authentication-authorization.html

AWS Directory Service AdministratorhandbuchBekannte inkompatible Anwendungen

• Domänenadministrator oder andere privilegierte Berechtigungen – Bei manchen Anwendungen ist eineInstallation als Domänenadministrator erforderlich. Da sich AWS die exklusive Kontrolle über dieseBerechtigungsstufe vorbehält, um Active Directory als verwalteten Service bereitstellen zu können,können Sie nicht die Rolle des Domänenadministrators annehmen, um solche Anwendungen zuinstallieren. Häufig können Sie solche Anwendungen jedoch installieren, indem Sie spezifische, wenigerprivilegiertere und von AWS unterstützte Berechtigungen an die Person delegieren, die die Installationvornimmt. Weitere Informationen zu den Berechtigungen, die Ihre Anwendung benötigt, erhalten Sievon Ihrem Anwendungsanbieter. Weitere Informationen zu Berechtigungen, für die AWS ein Delegierenzulässt, finden Sie unter Was wird erstellt (p. 12).

• Zugriff auf privilegierte Active Directory-Container – Innerhalb Ihres Verzeichnisses stellt AWSManaged Microsoft AD eine Organisationseinheit (OU, Organizational Unit) bereit, für die Sie die volleadministrative Kontrolle innehaben. Sie haben keine Berechtigung zum Erstellen und Schreiben undmöglicherweise nur eine eingeschränkte Leseberechtigung für Container, die in der Active Directory-Struktur höher stehen als Ihre OU. Anwendungen, die Container erstellen oder auf Container zugreifen,für die Sie keine Berechtigung haben, funktionieren möglicherweise nicht. Diese Anwendungenunterstützen jedoch oftmals das Verwenden eines Containers, den Sie alternativ in Ihrer OU erstellthaben. Erkundigen Sie sich bei Ihrem Anwendungsanbieter nach Möglichkeiten zum Erstellen undVerwenden eines Containers in Ihrer OU. Weitere Informationen zum Verwalten Ihrer OU finden Sieunter Verwalten von AWS Managed Microsoft AD (p. 28).

• Schemaänderungen während des Installations-Workflows – Einige Active Directory-Anwendungenerfordern Änderungen am standardmäßigen Active Directory-Schema. Möglicherweise versuchensie auch, diese Änderungen im Rahmen des Anwendungsinstallations-Workflows zu installieren.Aufgrund der privilegierten Art von Schemaerweiterungen macht AWS dies möglich, indem LDIF-Dateien(Lightweight Directory Interchange Format) über die AWS Directory Service-Konsole, die CLI oderein SDK importiert werden. Diese Anwendungen enthalten oftmals eine LDIF-Datei, die Sie über denAWS Directory Service-Schemaaktualisierungsprozess auf das Verzeichnis anwenden können. WeitereInformationen zur Funktionsweise des LDIF-Importprozesses finden Sie unter Tutorial: Erweitern IhresAWS Managed Microsoft AD-Schemas (p. 133). Sie können die Anwendung so installieren, dass dieSchemainstallation während des Installationsprozesses umgangen wird.

Bekannte inkompatible AnwendungenIm Folgenden werden die häufig benötigten kommerziellen Standardanwendungen aufgeführt, für die wirkeine Konfiguration finden konnten, die mit AWS Managed Microsoft AD funktioniert. AWS aktualisiert dieseListe von Zeit zu Zeit nach eigenem Ermessen, um unnötige Bemühungen von vornherein zu vermeiden.AWS stellt diese Informationen unverbindlich zur Verfügung. Ein Anspruch auf aktuelle oder zukünftigeKompatibilität besteht nicht.

• Active Directory-Zertifikatdienste (AD CS): Zertifikat-Registrierungs-Webdienst• Active Directory-Zertifikatdienste (AD CS): Zertifikat-Registrierungsrichtlinie-Webservice• Microsoft Exchange Server• Microsoft Skype for Business Server

Tutorials für AWS Managed Microsoft AD-Testumgebungen

Dieser Abschnitt enthält eine Reihe angeleiteter Tutorials für die Einrichtung von Testumgebungen in AWS,in denen Sie mit AWS Managed Microsoft AD experimentieren können.

Themen• Tutorial: Einrichten Ihrer grundlegenden AWS Managed Microsoft AD-Testumgebung in AWS (p. 172)

Version 1.0171

AWS Directory Service AdministratorhandbuchTutorial: Einrichten Ihrer grundlegenden

AWS Managed Microsoft AD-Testumgebung

• Tutorial: Erstellen einer Vertrauensbeziehung zwischen AWS Managed Microsoft AD und einerselbstverwalteten Active Directory-Installation in Amazon EC2 (p. 185)

Tutorial: Einrichten Ihrer grundlegenden AWSManaged Microsoft AD-Testumgebung in AWSIn diesem Tutorial erfahren Sie, wie Sie Ihre AWS-Umgebung zur Vorbereitung auf eine neue AWSManaged Microsoft AD-Installation einrichten, in der eine neue EC2-Instance mit Windows Server 2019ausgeführt wird. Anschließend erfahren Sie, wie Sie typische Active Directory-Administrationstools für dieVerwaltung Ihrer AWS Managed Microsoft AD-Umgebung über Ihr Windows-System verwenden. Wenn Siedas Tutorial abgeschlossen haben, haben Sie die Netzwerkvoraussetzungen eingerichtet und eine neueAWS Managed Microsoft AD-Gesamtstruktur konfiguriert.

Wie in der folgenden Abbildung gezeigt, ist die in diesem Tutorial erstellte Testumgebung dieBasiskomponente für praktische Übungen zu AWS Managed Microsoft AD. Sie können später optionaleTutorials hinzufügen, um weitere praktische Erfahrungen zu sammeln. Diese Tutorialreihe ist ideal füralle Personen geeignet, die bei AWS Managed Microsoft AD einsteigen und eine Testumgebung zuEvaluierungszwecken benötigen. Für dieses Tutorial brauchen Sie ungefähr 1 Stunde.

Schritt 1: Einrichten Ihrer AWS-Umgebung für AWS Managed Microsoft AD (p. 173)

Nachdem Sie Ihre vorbereitenden Aufgaben erledigt haben, erstellen und konfigurieren Sie eine VPCin Ihrer EC2-Instance.

Schritt 2: Erstellen Ihres AWS Managed Microsoft AD-Verzeichnisses inAWS (p. 179)

In diesem Schritt richten Sie AWS Managed Microsoft AD zum ersten Mal in AWS ein.

Version 1.0172



Schritt 3: Bereitstellen einer EC2-Instance für die Verwaltung von AWS Managed Microsoft AD (p. 180)

Hier durchlaufen Sie die verschiedenen Aufgaben nach der Bereitstellung, die für Client-Computererforderlich sind, um eine Verbindung mit Ihrer neuen Domäne herzustellen und ein neues WindowsServer-System in EC2 einzurichten.

Schritt 4: Überprüfen, ob die Basistestumgebung funktional ist (p. 184)

Als Administrator überprüfen Sie zum Schluss, ob Sie sich anmelden und von Ihrem Windows Server-System aus eine Verbindung mit AWS Managed Microsoft AD in EC2 herstellen können. NachdemSie erfolgreich getestet haben, ob die Testumgebung funktional ist, können Sie weitere Module zu derTestumgebung hinzufügen.

PrerequisitesWenn Sie nur die UI-Schritte in diesem Tutorial nutzen wollen, um Ihre Testumgebung einzurichten,überspringen Sie diesen Abschnitt über die Voraussetzungen und fahren fort mit Schritt 1. Wenn Sie jedochdie Verwendung von AWS CLI-Befehlen oder AWS-Tools für Windows PowerShell-Module planen, um IhreTestumgebung zu erstellen, müssen Sie zunächst Folgendes konfigurieren:

• IAM user with the access and secret access key – Sie benötigen einen IAM-Benutzer mit einemZugriffsschlüssel, wenn Sie die AWS CLI oder AWS-Tools für Windows PowerShell-Module verwendenmöchten. Wenn Sie keinen Zugriffsschlüssel haben, lesen Sie nach unter Erstellen, Modifizieren undAnzeigen von Zugriffsschlüsseln (AWS-Managementkonsole).

• AWS Command Line Interface (optional) – Laden Sie die AWS CLI unter Windows herunter undinstallieren Sie sie. Öffnen Sie nach der Installation die Eingabeaufforderung oder das Windows-PowerShell-Fenster und geben Sie dann aws configure ein. Beachten Sie, dass Sie denZugriffsschlüssel und den geheimen Schlüssel benötigen, um die Einrichtung abzuschließen. WeitereInformationen darüber finden Sie unter der ersten Voraussetzung für die Schritte. Die folgendenInformationen werden abgefragt:• AWS-Zugriffsschlüssel-ID [Keine]: AKIAIOSFODNN7EXAMPLE• Geheimer AWS-Schlüssel [Keiner]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY• Standardregionsname [Keiner]: us-west-2• Standardausgabeformat [Keines]: json

• AWS-Tools für Windows PowerShell (Optional) – Laden Sie die neuste Version von AWS-Tools fürWindows PowerShell von https://aws.amazon.com/powershell/ herunter und installieren Sie diese.Führen Sie anschließend den folgenden Befehl aus. Beachten Sie, dass Sie Ihren Zugriffsschlüssels undden geheimen Schlüssel benötigen, um die Einrichtung abzuschließen. Weitere Informationen darüberfinden Sie unter der ersten Voraussetzung für die Schritte.

Set-AWSCredentials -AccessKey {AKIAIOSFODNN7EXAMPLE} -SecretKey{wJalrXUtnFEMI/K7MDENG/ bPxRfiCYEXAMPLEKEY} -StoreAs {default}

Schritt 1: Einrichten Ihrer AWS-Umgebung für AWS ManagedMicrosoft ADBevor Sie AWS Managed Microsoft AD in Ihrer AWS-Testumgebung erstellen können, müssen Siezunächst Ihr Amazon EC2-Schlüsselpaar einrichten, damit alle Anmeldedaten verschlüsselt werden.

Erstellen eines Schlüsselpaares

Wenn Sie bereits ein Schlüsselpaar haben, können Sie diesen Schritt überspringen. Weitere Informationenüber Amazon EC2-Schlüsselpaare finden Sie unter http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html.

Version 1.0173

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey

https://docs.aws.amazon.com/cli/latest/userguide/install-windows.html

https://aws.amazon.com/powershell/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html



Erstellen eines Schlüsselpaares


2. Wählen Sie im Navigationsbereich unter Network & Security Key Pairs, und wählen Sie dann CreateKey Pair.

3. Geben Sie für Key pair name ein.AWS-DS-KP Wählen Sie für Key pair file format die Option pem undanschließend Create aus.

4. Die private Schlüsseldatei wird von Ihrem Browser automatisch runtergeladen. Der Dateiname istder Name, den Sie beim Erstellen des Schlüsselpaars mit der Erweiterung .pem angegeben haben.Speichern Sie die Datei mit dem privaten Schlüssel an einem sicheren Ort.

Important

Dies ist die einzige Möglichkeit, die private Schlüsseldatei zu speichern. Sie müssen denNamen für Ihr Schlüsselpaar beim Starten einer Instance angeben. Der entsprechendeprivate Schlüssel muss jedes Mal angegeben werden, wenn Sie das Passwort für die Instanceentschlüsseln.

Erstellen, Konfigurieren und Verbinden von zwei VPCs

Wie in der folgenden Abbildung dargestellt, haben Sie zwei öffentliche VPCs, zwei öffentliche Subnetzepro VPC, ein Internet-Gateway pro VPC und eine VPC-Peering-Verbindung zwischen der VPCs erstelltund konfiguriert. Wir haben uns für die Verwendung von öffentlichen VPCs- und -Subnetzen entschieden,um Einfachheit und Kosten zu vermeiden. Für Produktions-Workloads empfehlen wir die Verwendung vonprivaten VPCs. Weitere Informationen zur Verbesserung der VPC-Sicherheit finden Sie unter Sicherheit inder Amazon Virtual Private Cloud.

Version 1.0174


https://docs.aws.amazon.com/vpc/latest/userguide/security.html

https://docs.aws.amazon.com/vpc/latest/userguide/security.html



Alle AWS-CLI- und PowerShell-Beispiele verwenden die VPC-Informationen aus unten und sind in us-west-2 integriert. Sie können eine beliebige unterstützte Region auswählen, in der Ihre Umgebung erstelltwerden soll. Allgemeine Informationen finden Sie unter Was ist Amazon VPC?.

Schritt 1: Erstellen von zwei VPCs

In diesem Schritt müssen Sie zwei VPCs im selben Konto unter Verwendung der angegebenen Parameterin der folgenden Tabelle erstellen. AWS Managed Microsoft AD unterstützt die Verwendung separaterKonten mit der Freigeben Ihres Verzeichnisses (p. 66)-Funktion. Die erste VPC wird für AWS ManagedMicrosoft AD verwendet. Die zweite VPC wird für Ressourcen verwendet, die später in Tutorial: Erstelleneiner Vertrauensbeziehung zwischen AWS Managed Microsoft AD und einer selbstverwalteten ActiveDirectory-Installation in Amazon EC2 (p. 185) verwendet werden können.

Managed AD VPC-Informationen Informationen zur lokalen VPC

Name tag (Namensbezeichner): AWS-DS-VPC01

IPv4-CIDR-Block: 10.0.0.0/16

IPv6-CIDR-Block: Kein IPv6-CIDR-Block

Tenancy: Standard

Name tag (Namensbezeichner): AWS-OnPrem-VPC01


IPv6-CIDR-Block: Kein IPv6-CIDR-Block

Tenancy: Standard

Detaillierte Anweisungen finden Sie unter Erstellen einer VPC.

Version 1.0175

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html

https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html

https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC



Schritt 2: Erstellen von zwei Subnetzen pro VPC

Nachdem Sie die VPCs erstellt haben, müssen Sie zwei Subnetze pro VPC unter Verwendung der in derfolgenden Tabelle angegebenen Parameter erstellen. Für diese Testumgebung ist jedes Subnetz ein /24.Auf diese Weise können bis zu 256 Adressen pro Subnetz ausgegeben werden. Jedes Subnetz muss sichin einer separaten AZ befinden. Das Einfügen jedes Subnetzes in eine eigene in AZ ist eines der AWSManaged Microsoft AD-Voraussetzungen (p. 9).

Informationen zum AWS-DS-VPC01-Subnetz: Informationen zum AWS-OnPrem-VPC01-Subnetz

Name tag (Namensbezeichner): AWS-DS-VPC01-Subnetz01

VPC: vpc-xxxxxxxxxxxxxx AWS-DS-VPC01

Availability Zone: us-west-2a


Name tag (Namensbezeichner): AWS-OnPrem-VPC01-Subnet01

VPC: vpc-xxxxxxxxxxxxxx AWS-OnPrem-VPC01

Availability Zone: us-west-2a


Name tag (Namensbezeichner): AWS-DS-VPC01-Subnetz02


Availability Zone: us-west-2b


Name tag (Namensbezeichner): AWS-OnPrem-VPC01-Subnet02


Availability Zone: us-west-2b


Detaillierte Anweisungen finden Sie unter Erstellen eines Subnetzes in Ihrer VPC.

Schritt 3: Erstellen und Anfügen eines Internet-Gateways an Ihren VPCs

Da wir öffentliches VPCs verwenden, müssen Sie ein Internet-Gateway erstellen und Ihrem VPCs unterVerwendung der in der folgenden Tabelle angegebenen Parameter anfügen. Auf diese Weise können Sieeine Verbindung zu Ihren EC2-Instances herstellen und sie verwalten.

AWS-DS-VPC01-Internet-Gateway-Informationen AWS-OnPrem-VPC01-Internet-Gateway-Informationen

Name tag (Namensbezeichner): AWS-DS-VPC01-IGW


Name tag (Namensbezeichner): AWS-OnPrem-VPC01-IGW


Detaillierte Anweisungen finden Sie unter Internet-Gateways.

Schritt 4: Konfigurieren einer VPC-Peering-Verbindung zwischen AWS-DS-VPC01 und AWS-OnPrem-VPC01

Da Sie bereits zuvor zwei VPCs erstellt haben, müssen Sie diese mithilfe von VPC-Peering über dieangegebenen Parameter in der folgenden Tabelle miteinander verbinden. Dieses Tutorial verwendet VPCPeering. VPCs unterstützt viele Lösungen, um Ihre AWS Managed Microsoft AD zu verbinden. Einigedavon sind VPCsVPC Peering, Transit Gateway und VPN.

Peering-Verbindungsnamen-Tag: AWS-DS-VPC01&AWS-OnPrem-VPC01-Peer

Version 1.0176

https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html


https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html

https://docs.aws.amazon.com/vpc/latest/adminguide/Welcome.html



VPC (Anforderer): vpc-xxxxxxxxxxxxxx AWS-DS-VPC01

Konto: Mein Konto

Region: Diese Region

VPC (Accepter): vpc-xxxxxxxxxxxxxx AWS-OnPrem-VPC01

Anweisungen zum Erstellen einer VPC-Peering-Verbindung mit einer anderen VPC von mit in Ihrem Kontofinden Sie unter Erstellen einer VPC-Peering-Verbindung mit einer anderen VPC in Ihrem Konto.

Schritt 5: Hinzufügen von zwei Routen zur Haupt-Routing-Tabelle jeder VPC

Damit die Internet-Gateways und die VPC-Peering-Verbindung, die in den vorherigen Schritten erstelltwurden, funktionsfähig sind, müssen Sie die Haupt-Routing-Tabelle beider VPCs mithilfe der angegebenenParameter in der folgenden Tabelle aktualisieren. Sie fügen zwei Routen hinzu: 0.0.0.0/0, die an alleZiele weitergeleitet werden, die nicht explizit der Routing-Tabelle bekannt sind, und 10.0.0.0/16 oder10.100.0.0/16, die über die oben eingerichtete VPC-Peering-Verbindung an jede VPC weitergeleitetwerden.

Sie können die richtige Routing-Tabelle für jede VPC leicht finden, indem Sie nach dem VPC-Namen-Tag(AWS-DS-VPC01 oder AWS-OnPrem-VPC01) filtern.

Informationen zu AWS-DS-VPC01-Route 1

AWS-DS-VPC01-Route2-Informationen

Informationen zu AWS-OnPrem-VPC01-Route1

Informationen zu AWS-OnPrem-VPC01-Route2

Ziel: 0.0.0.0/0

Ziel: igw-xxxxxxxxxxxxxx AWS-DS-VPC01-IGW

Ziel: 10.100.0.0/16

Ziel: pcx-xxxxxxxxxxxxxx AWS-DS-VPC01&AWS-OnPrem-VPC01-Peer

Ziel: 0.0.0.0/0

Ziel: igw-xxxxxxxxxxxxxx AWS-Onprem-VPC01

Ziel: 10.0.0.0/16

Ziel: pcx-xxxxxxxxxxxxxx AWS-DS-VPC01&AWS-OnPrem-VPC01-Peer

Anweisungen zum Hinzufügen von Routen zu einer VPC-Routing-Tabelle finden Sie unter Hinzufügen undEntfernen von Routen aus einer Routing-Tabelle.

Erstellen von Sicherheitsgruppen für EC2-InstancesStandardmäßig erstellt AWS Managed Microsoft AD eine Sicherheitsgruppe zur Verwaltungdes Datenverkehrs zwischen seinen Domänencontrollern. In diesem Abschnitt müssen Sie zweiSicherheitsgruppen (eine für jede VPC) erstellen, die zur Verwaltung des Datenverkehrs innerhalbIhrer VPC für Ihre EC2-Instances mithilfe der in den folgenden Tabellen angegebenen Parameterverwendet werden. Außerdem fügen Sie eine Regel hinzu, die eingehenden RDP (3389)-Datenverkehraus jeder beliebigen Quelle und für alle aus der lokalen VPC eingehenden Verkehrstypen zulässt. WeitereInformationen finden Sie unter Amazon EC2-Sicherheitsgruppen für Windows-Instances.

Informationen zur AWS-DS-VPC01-Sicherheitsgruppe:

Name der Sicherheitsgruppe: Sicherheitsgruppe für AWS DS-Testumgebung

Beschreibung Sicherheitsgruppe für AWS DS-Testumgebung


Sicherheitsgruppen-Eingangsregeln für AWS-DS-VPC01

Version 1.0177

https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#create-vpc-peering-connection-local

https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes

https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html



Typ Protocol (Protokoll) Port-Bereich Source Art desDatenverkehrs

Zielbereich TCP 3389 Meine IP Remotedesktop


Alle Alle 10.0.0.0/16 Der gesamtelokale VPC-Datenverkehr

Regeln für ausgehenden Datenverkehr der Sicherheitsgruppe für AWS-DS-VPC01



Alle Alle 0.0.0.0/0 GesamterDatenverkehr

Informationen zur AWS-OnPrem-VPC01-Sicherheitsgruppe:

Name der Sicherheitsgruppe: AWS OnPrem Test Lab-Sicherheitsgruppe.

Beschreibung AWS OnPrem Test Lab-Sicherheitsgruppe.


Sicherheitsgruppen-Eingangsregeln für AWS-OnPrem-VPC01


Zielbereich TCP 3389 Meine IP Remotedesktop

Zielbereich TCP 53 10.0.0.0/16 DNS

Zielbereich TCP 88 10.0.0.0/16 Kerberos

Zielbereich TCP 389 10.0.0.0/16 LDAP

Zielbereich TCP 464 10.0.0.0/16 Kerberos-Änderung/Passwort festlegen

Zielbereich TCP 445 10.0.0.0/16 SMB/CIFS

Zielbereich TCP 135 10.0.0.0/16 Replikation

Zielbereich TCP 636 10.0.0.0/16 LDAP-SSL

Zielbereich TCP 49152–65535 10.0.0.0/16 RPC

Zielbereich TCP 3268 - 3269 10.0.0.0/16 LDAP GC undLDAP GC SSL

Zielbereich UDP 53 10.0.0.0/16 DNS

Version 1.0178




BenutzerdefinierteUDP-Regel

UDP 88 10.0.0.0/16 Kerberos


UDP 123 10.0.0.0/16 Windows-Zeit


UDP 389 10.0.0.0/16 LDAP


UDP 464 10.0.0.0/16 Kerberos-Änderung/Passwort festlegen


Alle Alle 10.100.0.0/16 Der gesamtelokale VPC-Datenverkehr

Regeln für ausgehenden Datenverkehr der Sicherheitsgruppe für AWS-OnPrem-VPC01



Alle Alle 0.0.0.0/0 GesamterDatenverkehr

Detaillierte Anweisungen zum Erstellen und Hinzufügen von Regeln zu Ihren Sicherheitsgruppen finden Sieunter Arbeiten mit Sicherheitsgruppen.

Schritt 2: Erstellen Ihres AWS Managed Microsoft AD-Verzeichnisses inAWSSie können Ihr Verzeichnis unter Verwendung von drei verschiedenen Methoden erstellen. Sie können dasAWS Management Console-Verfahren (für dieses Tutorial empfohlen) oder das AWS CLI- oder AWS-Toolsfür Windows PowerShell-Verfahren verwenden, um Ihr Verzeichnis zu erstellen.

Methode 1: So erstellen Sie Ihr AWS Managed Microsoft AD-Verzeichnis (AWS ManagementConsole)


2. Wählen Sie auf der Seite Select directory type (Verzeichnistyp auswählen) die Option AWS ManagedMicrosoft AD aus und klicken Sie dann auf Next (Weiter).

3. Geben Sie auf der Seite Enter directory information (Verzeichnisinformationen eingeben) die folgendenInformationen ejn und wählen Sie dann Next (Weiter) aus.

• Wählen Sie in Edition entweder Standard Edition oder Enterprise Edition aus. Weitere Informationenzu den Editionen finden Sie unter AWS Directory Service für Microsoft Active Directory.

• Geben Sie in Directory DNS name (DNS-Name des Verzeichnisses) den Wert corp.example.comein.

• Geben Sie für Directory NetBIOS name ein.corp

Version 1.0179

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups




• Geben Sie in Destination (Ziel) den Wert AWS DS Managed ein.• Geben Sie für Admin password das Passwort ein, das Sie für dieses Konto verwenden wollen, und

wiederholen Sie die Passworteingabe in Confirm password. Dieses Admin-Konto wird automatischerstellt, wenn das Verzeichnis erstellt wird. Das Passwort darf das Wort admin nicht beinhalten.Das Verzeichnisadministrator-Passwort unterscheidet zwischen Groß-/ Kleinschreibung und musszwischen 8 und 64 Zeichen lang sein. Zudem muss es mindestens ein Zeichen aus dreien der vierfolgenden Kategorien enthalten:• Kleinbuchstaben (a – z)• Großbuchstaben (A – Z)• Zahlen (0 – 9)• Nicht-alphanumerische Zeichen (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

4. Geben Sie auf der Seite Choose VPC and subnets (VPC und Subnetze wählen) die folgendenInformationen an und wählen Sie dann Next (Weiter).

• Wählen Sie für VPC die Option aus, die mit AWS-DS-VPC01 beginnt und mit (10.0.0.0/16) endet.• Wählen Sie für Subnets (Subnetze) die öffentlichen Subnetze 10.0.0.0/24 und 10.0.1.0/24 aus.

5. Überprüfen Sie auf der Seite Review & create (Überprüfen und erstellen) die Verzeichnisinformationenund nehmen Sie gegebenenfalls Änderungen vor. Wenn die Informationen richtig sind, wählen SieCreate directory (Verzeichnis erstellen). Das Erstellen des Verzeichnisses dauert 20 bis 40 Minuten.Sobald sie erstellt wurden, ändert sich der Status in Active.

Methode 2: So erstellen Sie Ihre AWS Managed Microsoft AD (Windows PowerShell) (optional)

1. Öffnen Sie Windows PowerShell.2. Geben Sie den folgenden Befehl ein: Verwenden Sie unbedingt die Werte, die in Schritt 4 des

vorhergehenden AWS Management Console-Verfahrens bereitgestellt wurden.

New-DSMicrosoftAD -Name corp.example.com –ShortName corp –PasswordP@ssw0rd –Description “AWS DS Managed” - VpcSettings_VpcId vpc-xxxxxxxx -VpcSettings_SubnetId subnet-xxxxxxxx, subnet-xxxxxxxx

Methode 3: So erstellen Sie Ihre AWS Managed Microsoft AD (AWS CLI) (optional)

1. Öffnen Sie die AWS CLI.2. Geben Sie den folgenden Befehl ein: Verwenden Sie unbedingt die Werte, die in Schritt 4 des

vorhergehenden AWS Management Console-Verfahrens bereitgestellt wurden.

aws ds create-microsoft-ad --name corp.example.com --short-name corp --password P@ssw0rd --description "AWS DS Managed" --vpc-settings VpcId= vpc-xxxxxxxx,SubnetIds= subnet-xxxxxxxx, subnet-xxxxxxxx

Schritt 3: Bereitstellen einer EC2-Instance für die Verwaltung vonAWS Managed Microsoft ADFür diese Übung verwenden wir EC2-Instances mit öffentlichen IP-Adressen, um einen einfachen Zugriffauf die Management-Instance von jedem Ort aus zuzulassen. In einer Produktionsumgebung können SieInstances verwenden, die sich in einer privaten VPC befinden, und die nur über eine VPN- oder AmazonDirect Connect-Verbindung zugreifbar sind. Es ist nicht notwendig, dass die Instance über eine öffentlicheIP-Adresse verfügt.

In diesem Abschnitt durchlaufen Sie die verschiedenen Aufgaben nach der Bereitstellung, die für Client-Computer erforderlich sind, um unter Verwendung des Windows Servers auf Ihrer neuen EC2-Instance

Version 1.0180



eine Verbindung mit Ihrer neuen Domäne herzustellen. Sie verwenden die Windows Server im nächstenSchritt, um sicherzustellen, dass die Testumgebung funktional ist.

Optional: Erstellen einer DHCP-Optionsliste in AWS-DS-VPC01 für Ihr Verzeichnis

In diesem optionalen Verfahren richten Sie einen DHCP-Optionsbereich ein, sodass EC2-Instances inIhrer VPC automatisch Ihre AWS Managed Microsoft AD für die DNS-Auflösung verwenden. WeitereInformationen finden Sie unter DHCP-Options-Sets.

So erstellen Sie eine DHCP-Optionsliste für Ihr Verzeichnis

1. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.2. Wählen Sie im Navigationsbereich DHCP Options Sets und anschließend Create DHCP Options Set

aus.3. Geben Sie auf der Seite Create DHCP options set (DHCP-Optionsliste erstellen) die folgenden Werte


• Geben Sie in Name (Name) AWS DS DHCP ein.• Geben Sie für Domain name (Domänenname) corp.example.com ein.• Geben Sie für Domain name servers (Domänennamen-Server) die IP-Adressen der DNS-Server

Ihres von AWS bereitgestellten Verzeichnisses ein.

Note

Um diese Adressen zu finden, gehen Sie zur Seite AWS Directory Service Directories(Verzeichnisse) und wählen Sie dann die entsprechende Verzeichnis-ID aus. IdentifizierenSie auf der Seite Details die IPs, die in DNS address (DNS-Adresse) angezeigt werden.

• Lassen Sie die Einstellungen für NTP servers (NTP-Server), NetBIOS name servers (-Nameserverund NetBIOS-Knotentyp leer.

4. Wählen Sie Create DHCP options set (DHCP-Optionsliste erstellen) und anschließend Close(Schließen) aus. Die neue DHCP-Optionsliste wird in der Liste der DHCP-Optionen angezeigt.

5. Notieren Sie sich die ID der neuen DHCP-Optionsliste (dopt-xxxxxxxx: ). Sie benötigen ihn am Endedieses Verfahrens, wenn Sie die neue Optionsliste mit Ihrer VPC verknüpfen.

Note

Der nahtlose Domänenbeitritt funktioniert, ohne dass eine DHCP-Optionsliste konfiguriertwerden muss.

6. Wählen Sie im Navigationsbereich Your VPCs (Ihre) aus.7. Wählen Sie in der Liste VPCs die Option AWS DS VPC, Actions (Aktionen) und dann Edit DHCP

options set (DHCP-Optionsliste bearbeiten) aus.8. Wählen Sie auf der Seite Edit DHCP options set (DHCP-Optionsliste bearbeiten) die Optionsliste aus,

die Sie sich in Schritt 5 notiert haben, und wählen Sie dann Save (Speichern) aus.

Erstellen einer Rolle, um Windows-Instances mit Ihrer AWS Managed MicrosoftAD-Domäne zu verbinden

Verwenden Sie dieses Verfahren, um eine Rolle zu konfigurieren, die eine EC2-Windows-Instance miteiner Domäne verbindet. Weitere Informationen finden Sie unter Nahtloser Beitritt zu einer Windows EC2-Instance im Amazon EC2-Benutzerhandbuch für Windows-Instances.

So konfigurieren Sie EC2, um Windows-Instances mit Ihrer Domäne zu verbinden

1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.Version 1.0

181

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html







2. Klicken Sie im Navigationsbereich der IAM-Konsole auf Roles und wählen Sie dann Create role aus.3. Wählen Sie unter Select type of trusted entity (Typ der vertrauenswürdigen Entität auswählen) die

Option AWS service (AWS-Service) aus.4. Wählen Sie direkt unter Choose the service that will use this role (Service auswählen, der diese Rolle

verwendet) die Option EC2 und dann Next: (Weiter:) aus. Berechtigungen5. Führen Sie auf der Seite Attached permissions policy (Richtlinie für angefügte Berechtigungen) die

folgenden Schritte aus:

• Aktivieren Sie das Kontrollkästchen neben der verwalteten RichtlinieAmazonSSMManagedInstanceCore. Diese Richtlinie enthält die erforderlichenMindestberechtigungen zum Verwenden des Systems Manager-Dienstes.

• Aktivieren Sie das Kontrollkästchen neben der verwalteten RichtlinieAmazonSSMDirectoryServiceAccess. Die Richtlinie enthält die Berechtigungen zum Verbinden vonInstances mit einem von AWS Directory Service verwalteten Active Directory.

Weitere Informationen zu diesen verwalteten Richtlinien und anderen Richtlinien zum Anfügen anein IAM-Instance-Profil für Systems Manager finden Sie unter Erstellen eines IAM-Instance-Profilsfür Systems Manager im AWS Systems Manager-Benutzerhandbuch. Weitere Informationen zuverwalteten Richtlinien finden Sie unter AWS-verwaltete Richtlinien im IAM-Benutzerhandbuch.

6. Wählen Sie Next: (Weiter:) aus. -Tags.7. (Optional) Fügen Sie ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Rolle

zu organisieren, zu verfolgen oder zu steuern, und wählen Sie dann Next: (Weiter:) aus. -Prüfung.8. Geben Sie unter Role name (Rollenname) einen Namen für die Rolle ein, der beschreibt, dass sie

verwendet wird, um Instances mit einer Domäne zu verbinden, z. B. EC2DomainJoin.9. (Optional) Geben Sie im Feld Role description (Rollenbeschreibung) eine Beschreibung ein.10. Wählen Sie Create role aus. Das System leitet Sie zur Seite Roles (Rollen) zurück.

Erstellen einer EC2-Instance und automatische Verbindung des Verzeichnisses

In diesem Verfahren richten Sie ein Windows Server-System in Amazon EC2 ein, das später verwendetwerden kann, um Benutzer, Gruppen und Richtlinien in Active Directory zu verwalten.

So erstellen Sie eine EC2-Instance und verbinden automatisch das Verzeichnis

1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.2. Wählen Sie Launch Instance aus.3. Auf der Seite Step 1 (Schritt 1) neben Microsoft Windows Server 2019 Base -

ami-xxxxxxxxxxxxxxxxx Wählen Sie Select (Auswählen) aus.4. Wählen Sie auf der Seite Step 2 (Schritt 2) die Option t3.micro (t3.micro) aus (beachten Sie, dass

Sie einen größeren Instance-Typ auswählen können) und klicken Sie dann auf Next: (Weiter:).Konfigurieren von Instance-Details.

5. Führen Sie auf der Seite Step 3 die folgenden Schritte aus:

• Wählen Sie für Network (Netzwerk) die VPC aus, die mit AWS-DS-VPC01 endet (z. B.vpc-xxxxxxxxxxxxxxxxx | AWS-DS-VPC01.

• Wählen Sie für Subnet (Subnetz) die Option Public subnet 1 (Öffentliches Subnetz 1) aus, die fürIhre bevorzugte Availability Zone vorkonfiguriert werden soll (z. B. subnet-xxxxxxxxxxxxxxxxx |AWS-DS-VPC01-Subnet01 | us-west-2a).

• Wählen Sie für Auto-assign Public IP die Option Enable (falls die Subnetz-Einstellung nichtstandardmäßig auf Enable gesetzt ist).

• Wählen Sie für Domain join directorycorp.example.com (d-xxxxxxxxxx).

Version 1.0182







• Wählen Sie für IAM role (IAM-Rolle) den Namen aus, den Sie Ihrer Instance-Rolle in Erstelleneiner Rolle, um Windows-Instances mit Ihrer AWS Managed Microsoft AD-Domäne zuverbinden (p. 181) gegeben haben, z. B. EC2DomainJoin.

• Übernehmen Sie für die anderen Einstellungen die Standardwerte.• Wählen Sie Next: (Weiter:) aus. Fügen Sie Speicher hinzu.

6. Behalten Sie auf der Seite Step 4 (Schritt 4) die Standardeinstellungen bei und wählen Sie dann Next:(Weiter:) aus. Add Tags (Tags hinzufügen).

7. Wählen Sie auf der Seite Step 5 die Option Add Tag aus. Geben Sie unter Key (Schlüssel) einund wählen Sie dann corp.example.com-mgmtNext: (Weiter:) aus. Configure Security Group(Sicherheitsgruppe konfigurieren).

8. Wählen Sie auf der Seite Step 6 die Option Select an existing security group, wählen Sie AWS DSRDP Security Group und dann Review and Launch, um Ihre Instance anzuzeigen.

9. Überprüfen Sie auf der Seite Step 7 die Seite und wählen Sie dann Launch.10. Erledigen Sie im Dialogfeld Select an existing key pair or create a new key pair Folgendes:

• Wählen Sie Choose an existing key pair aus.

• Wählen Sie unter Select a key pair die Option AWS-DS-KP.• Markieren Sie das Kontrollkästchen I acknowledge....• Wählen Sie Launch Instances (Instances starten) aus.

11. Wählen Sie View Instances aus, um zur Amazon EC2-Konsole zurückzukehren und den Status derBereitstellung anzuzeigen.

Installieren der Active Directory-Tools auf Ihrer EC2-Instance

Sie haben die Wahl zwischen zwei Methoden zur Installation der Active Directory-Domain-Management-Tools für Ihre EC2-Instance. Sie können die Server Manager-Benutzeroberfläche (für dieses Tutorialempfohlen) oder Windows PowerShell verwenden.

So installieren Sie die Active Directory-Tools auf Ihrer EC2-Instance (Server Manager)

1. Wählen Sie in der Amazon EC2-Konsole die Option Instances, wählen Sie die zuvor erstellte Instanceund dann Connect.

2. Wählen Sie im Dialogfeld Connect To Your Instance (Herstellen einer Verbindung mit Ihrer Instance)die Option Get Password (Passwort abrufen) aus, um Ihr Passwort abzurufen (sofern noch nichtgeschehen), und wählen Sie anschließend Download Remote Desktop File (Remote Desktop-Dateiherunterladen) aus.

3. Geben Sie im Dialogfeld Windows Security Ihre lokalen Administrator-Anmeldeinformationen für denWindows Server-Computer ein, um sich anzumelden (z. B. administrator).

4. Wählen Sie im Menü Start die Option Server Manager.5. Wählen Sie im Dashboard Add Roles and Features.6. Wählen Sie im Add Roles and Features Wizard Next.7. Wählen Sie auf der Seite Select installation type die Option Role-based or feature-based installation

und wählen Sie Next.8. Stellen Sie sicher, dass auf der Seite Select destination server der lokale Server ausgewählt ist, und

wählen Sie dann Next.9. Wählen Sie auf der Seite Select server roles Next.10. Führen Sie auf der Seite Select features die folgenden Schritte aus:

• Wählen Sie das Kontrollkästchen Group Policy Management.

Version 1.0183



• Erweitern Sie Remote Server Administration Tools und erweitern Sie dann Role AdministrationTools.

• Wählen Sie das Kontrollkästchen AD DS and AD LDS Tools.• Wählen Sie das Kontrollkästchen DNS Server Tools .• Wählen Sie Next.

11. Überprüfen Sie auf der Seite Confirm installation selections die Informationen und wählen Sie dannInstall. Wenn die Installation der Funktion abgeschlossen ist, stehen die folgenden neuen Tools oderSnap-Ins über den Ordner Windows Administrative Tools im Start-Menü zur Verfügung.

• Active Directory Administrative Center• Active Directory-Domänen und -Vertrauensbeziehungen• Active Directory-Modul für Windows PowerShell• Active Directory-Standorte und -Dienste• Active Directory-Benutzer und -Computer• ADSI bearbeiten• DNS• Gruppenrichtlinienverwaltung

So installieren Sie die Active Directory-Tools auf Ihrer EC2-Instance (Windows PowerShell)(optional)

1. Starten Sie Windows PowerShell.2. Geben Sie den folgenden Befehl ein:

Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server

Schritt 4: Überprüfen, ob die Basistestumgebung funktional istFühren Sie die folgenden Schritte aus, um sicherzustellen, dass die Testumgebung erfolgreich eingerichtetwurde, bevor Sie der Testumgebung weitere Module hinzufügen. Dieses Verfahren stellt sicher, dass IhrWindows Server geeignet konfiguriert ist, eine Verbindung mit der Domäne corp.example.com herzustellen,und zur Verwaltung Ihres AWS Managed Microsoft AD-Forests verwendet werden kann.

So stellen Sie sicher, dass die Testumgebung funktional ist

1. Melden Sie sich von der EC2-Instance ab, bei der Sie als lokaler Administrator angemeldet waren.2. Wenn Sie zurück in der Amazon EC2-Konsole sind, wählen Sie im Navigationsbereich Instances aus.

Anschließend wählen Sie die Instance aus, die Sie erstellt haben. Wählen Sie Connect (Verbinden)aus.

3. Wählen Sie im Dialogfeld Connect To Your Instance Download Remote Desktop File aus.4. Geben Sie im Dialogfeld Windows Security Ihre lokalen Administrator-Anmeldeinformationen für die

CORP-Domäne ein, um sich anzumelden (z. B. corp\admin).5. Sobald Sie angemeldet sind, wählen Sie im Start-Menü unter Windows Administrative Tools den

Eintrag Active Directory Users and Computers.6. Sie sollten corp.example.com mit allen Standard-OUs und Konten sehen, die einer neuen Domäne

zugeordnet sind. Unter Domain Controllers sehen Sie die Namen der Domänencontroller, dieautomatisch erstellt wurden, als Sie Ihr AWS Managed Microsoft AD in Schritt 2 dieses Tutorialserstellt haben.

Version 1.0184

AWS Directory Service AdministratorhandbuchTutorial: Erstellen einer Vertrauensbeziehungzwischen AWS Managed Microsoft AD und

einer selbstverwalteten AD-Installation auf EC2Herzlichen Glückwunsch! Ihre grundlegende AWS Managed Microsoft AD-Testumgebung ist damiterfolgreich konfiguriert. Sie können jetzt die nächsten Testumgebungen der Serie hinzufügen.

Nächstes Tutorial: Tutorial: Erstellen einer Vertrauensbeziehung zwischen AWS Managed Microsoft ADund einer selbstverwalteten Active Directory-Installation in Amazon EC2 (p. 185)

Tutorial: Erstellen einer Vertrauensbeziehungzwischen AWS Managed Microsoft AD und einerselbstverwalteten Active Directory-Installation inAmazon EC2In diesem Tutorial erfahren Sie, wie Sie eine Vertrauensbeziehung mit dem AWS Directory Service fürMicrosoft Active Directory-Forest erstellen, den Sie im Base Tutorial (p. 172) erstellt haben. Sie erfahrenaußerdem, wie Sie einen neuen nativen Active Directory-Forest auf einem Windows-Server in Amazon EC2erstellen. Wie in der folgenden Abbildung dargestellt, ist die Übung, die Sie in diesem Tutorial durchführen,der zweite Baustein, den Sie brauchen, um eine vollständige AWS Managed Microsoft AD-Testumgebungzu erstellen. Sie können die Testumgebung nutzen, um Ihre rein auf der Cloud basierenden oder hybrideauf der Cloud–basierende AWS-Lösungen zu testen.

Es sollte nur einmal erforderlich sein, dieses Tutorial zu erstellen. Anschließend können Sie bei Bedarfweitere optionale Tutorials hinzufügen.

Schritt 1: Einrichten Ihrer Umgebung für Vertrauensbeziehungen (p. 186)

Damit Sie Vertrauensstellungen zwischen einem neuen Active Directory-Forest und dem AWSManaged Microsoft AD-Forest, den Sie im Base Tutorial (p. 172) erstellt haben, einrichten können,müssen Sie Ihre Amazon EC2-Umgebung vorbereiten. Dazu erstellen Sie zunächst einen Windows

Version 1.0185


einer selbstverwalteten AD-Installation auf EC2Server 2019-Server, stufen diesen Server zu einem Domänencontroller hoch und konfigurieren dannIhre VPC entsprechend.

Schritt 2: Erstellen der Vertrauensbeziehungen (p. 190)

In diesem Schritt erstellen Sie eine bidirektionale Forest-Vertrauensbeziehung zwischen Ihrem neuerstellten Active Directory-Forest, der in Amazon EC2 gehostet wird, und Ihrem AWS ManagedMicrosoft AD-Forest in AWS.

Schritt 3: Überprüfen der Vertrauensstellung (p. 192)

Als Administrator verwenden Sie die AWS Directory Service-Konsole später, um zu überprüfen, ob dieneuen Vertrauensbeziehungen funktional sind.

Schritt 1: Einrichten Ihrer Umgebung für VertrauensbeziehungenIn diesem Abschnitt richten Sie Ihre Amazon EC2-Umgebung ein, stellen Ihren neuen Forest bereit undbereiten Ihre VPC auf Vertrauensbeziehungen mit AWS vor.

Erstellen einer Windows Server 2019 EC2-InstanceGehen Sie wie folgt vor, um einen Windows Server 2019-Mitgliedsserver in Amazon EC2 zu erstellen.

So erstellen Sie eine Windows Server 2019 EC2-Instance

1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.2. Wählen Sie in der Amazon EC2-Konsole Launch Instance (Instance starten) aus.

Version 1.0186



einer selbstverwalteten AD-Installation auf EC23. Suchen Sie auf der Seite Step 1 (Schritt 1) die Option Microsoft Windows Server 2019 Base -

ami-xxxxxxxxxxxxxxxxx in der Liste. Wählen Sie anschließend Select aus.4. Wählen Sie auf der Seite Step 2 (Schritt 2) die Option t2.large und dann Next: (Weiter:) aus. Instance-

Details konfigurieren.5. Führen Sie auf der Seite Step 3 die folgenden Schritte aus:

• Wählen Sie für Network (Netzwerk) die Option vpc- aus.xxxxxxxxxxxxxxxxx AWS-DS-VPC01(die Sie zuvor im Base Tutorial (p. 174) eingerichtet haben).

• Wählen Sie für Subnet (Subnetz) die Option subnet-xxxxxxxxxxxxxxxxx | AWS-OnPrem-VPC01-Subnet01 | AWS-OnPrem-VPC01.

• Wählen Sie für Auto-assign Public IP die Option Enable (falls die Subnetz-Einstellung nichtstandardmäßig auf Enable gesetzt ist).

• Übernehmen Sie für die anderen Einstellungen die Standardwerte.• Wählen Sie Next: (Weiter:) aus. Fügen Sie Speicher hinzu.

6. Behalten Sie auf der Seite Step 4 (Schritt 4) die Standardeinstellungen bei und wählen Sie dann Next:(Weiter:) aus. Add Tags (Tags hinzufügen).

7. Wählen Sie auf der Seite Step 5 die Option Add Tag aus. Geben Sie unter Key ein und wählen Siedann example.local-DC01Next:. Configure Security Group (Sicherheitsgruppe konfigurieren).

8. Wählen Sie auf der Seite Step 6 die Option Select an existing security group, wählen Sie AWS DSRDP Security Group (die Sie zuvor im Base Tutorial (p. 177)) eingerichtet haben, und wählen Siedann Review and Launch, um Ihre Instance anzuzeigen.

9. Überprüfen Sie auf der Seite Step 7 die Seite und wählen Sie dann Launch.10. Erledigen Sie im Dialogfeld Select an existing key pair or create a new key pair Folgendes:

• Wählen Sie Choose an existing key pair aus.• Wählen Sie unter Select a key pair die Option AWS-DS-KP (die Sie zuvor im Base Tutorial (p. 173)

eingerichtet haben).• Markieren Sie das Kontrollkästchen I acknowledge....• Wählen Sie Launch Instances (Instances starten) aus.

11. Wählen Sie View Instances aus, um zur Amazon EC2-Konsole zurückzukehren und den Status derBereitstellung anzuzeigen.

Ihren Server einem Domain-Controller bekanntgeben

Bevor Sie Vertrauensbeziehungen erstellen können, müssen Sie den ersten Domänencontroller für einenneuen Forest erstellen und bereitstellen. Während dieses Prozesses konfigurieren Sie einen neuen ActiveDirectory-Forest, installieren DNS und richten Sie diesen Server so ein, dass er den lokalen DNS-Server fürdie Namensauflösung verwendet. Nach Abschluss dieses Verfahrens müssen Sie den Server neu starten.

Note

Wenn Sie einen Domänencontroller in AWS erstellen möchten, der Ihre lokales Netzwerkrepliziert, müssen Sie zunächst die EC2-Instance manuell zu Ihrer lokalen Domäne hinzufügen.Anschließend können Sie den Server einem Domänencontroller bekanntgeben.

Ihren Server einem Domänencontroller bekanntgeben

1. Wählen Sie in der Amazon EC2-Konsole die Option Instances, wählen Sie die zuvor erstellte Instanceund dann Connect.

2. Wählen Sie im Dialogfeld Connect To Your Instance Download Remote Desktop File aus.3. Geben Sie im Dialogfeld Windows Security Ihre lokalen Administrator-Anmeldeinformationen für den

Windows Server-Computer ein, um sich anzumelden (z. B. administrator). Wenn Sie das lokale

Version 1.0187


einer selbstverwalteten AD-Installation auf EC2Administratorpasswort noch nicht haben, gehen Sie zurück zur Amazon EC2-Konsole, klicken mit derrechten Maustaste auf die Instance und wählen Get Windows Password. Navigieren Sie zu Ihrer AWSDS KP.pem Datei oder Ihren persönlichen .pem Schlüssel, und wählen Sie dann Decrypt Password.

4. Wählen Sie im Menü Start die Option Server Manager.5. Wählen Sie im Dashboard Add Roles and Features.6. Wählen Sie im Add Roles and Features Wizard Next.7. Wählen Sie auf der Seite Select installation type die Option Role-based or feature-based installation

und wählen Sie Next.8. Stellen Sie sicher, dass auf der Seite Select destination server der lokale Server ausgewählt ist, und

wählen Sie dann Next.9. Wählen Sie auf der Seite Select server roles die Option Active Directory Domain Services. Überprüfen

Sie im Dialogfeld Add Roles and Features Wizard, ob das Kontrollkästchen Include management tools(if applicable) ausgewählt ist. Wählen Sie Add Features und anschließend Next aus.

10. Wählen Sie auf der Seite Features auswählen die Option Weiter aus.11. Wählen Sie auf der Seite Active Directory Domain Services Next.12. Wählen Sie auf der Seite Confirm installation selections Install.13. Nachdem die Active Directory-Binärdateien installiert wurden, wählen Sie Close.14. Wenn Server Manager geöffnet wird, suchen Sie nach einem Flag oben neben dem Wort Manage.

Wenn dieses Flag gelb wird, kann der Server bekanntgegeben werden.15. Wählen Sie das gelbe Flag und wählen Sie dann Promote this server to a domain controller.16. Wählen Sie auf der Seite Deployment Configuration Add a new forest. Geben Sie in Root domain

name die Zeichenfolge example.local ein und wählen Sie Next.17. Erledigen Sie auf der Seite Domain Controller Options Folgendes:

• Wählen Sie sowohl auf der Forest functional level als auch auf der Domain functional level dieOption Windows Server 2019 aus.

• Überprüfen Sie unter Specify domain controller capabilities, ob Domain Name System (DNS) serverund Global Catalog (GC) ausgewählt sind.

• Geben Sie ein DSRM-Passwort (Directory Services Restore Mode) ein und bestätigen Sie es.Wählen Sie anschließend Next.

18. Ignorieren Sie auf der Seite DNS Options die Warnung über die Delegation und wählen Sie Next.19. Stellen Sie auf der Seite Additional options (Zusätzliche Optionen) sicher, dass EXAMPLE (BEISPIEL)

als NetBios-Domänenname aufgeführt ist.20. Behalten Sie auf der Seite Paths die Standardwerte bei, und wählen Sie dann Next.21. Wählen Sie auf der Seite Review Options Weiter. Der Server prüft jetzt, ob alle Voraussetzungen für

den Domänencontroller erfüllt sind. Möglicherweise werden einige Warnungen angezeigt, Sie könnensie jedoch einfach ignorieren.

22. Wählen Sie Installieren aus. Nachdem die Installation abgeschlossen ist, wird der Server neu gestartetund wird dann zu einem funktionalen Domänencontroller.

Konfigurieren Ihrer VPC

Die folgenden drei Verfahren führen Sie durch die Schritte zum Konfigurieren Ihrer VPC für die Anbindungan AWS.

Konfigurieren Ihrer ausgehenden VPC-Regeln

1. Notieren Sie in der AWS Directory Service-Konsole die AWS Managed Microsoft AD-Verzeichnis-ID fürcorp.example.com, die Sie zuvor im Base Tutorial (p. 179) erstellt haben.

Version 1.0188


einer selbstverwalteten AD-Installation auf EC22. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.3. Wählen Sie im Navigationsbereich Security Groups aus.4. Suchen Sie nach der ID Ihres AWS Managed Microsoft AD-Verzeichnisses. Wählen Sie in den

Suchergebnissen das Element mit der Beschreibung AWS created security group for d-xxxxxxVerzeichnis-Controller.

Note

Diese Sicherheitsgruppe wurde automatisch erstellt, als Sie Ihr Verzeichnis erstellt haben.5. Wählen Sie die Registerkarte Outbound Rules unter dieser Sicherheitsgruppe. Wählen Sie Edit, Add

another rule und fügen Sie die folgenden Werte hinzu:

• Wählen Sie für Type die Option All Traffic aus.• Geben Sie für Destination den Wert 0.0.0.0/0 ein.• Übernehmen Sie für die anderen Einstellungen die Standardwerte.• Wählen Sie Save.

Überprüfen, ob die Kerberos-Vorauthentifizierung aktiviert ist

1. Öffnen Sie auf dem Domänencontroller example.local Server Manager.2. Wählen Sie im Menü Tools den Eintrag Active Directory Users and Computers.3. Gehen Sie in das Verzeichnis Users (Benutzer), klicken Sie mit der rechten Maustaste auf einen

Benutzer und wählen Sie Properties (Eigenschaften). Wählen Sie dann die Registerkarte Account(Konto). Scrollen Sie in der Liste Account options nach unten und stellen Sie sicher, dass Do notrequire Kerberos preauthentication nicht ausgewählt ist.

4. Führen Sie dieselben Schritte für die Domäne corp.example.com aus der Instance corp.example.com-mgmt aus.

So konfigurieren Sie DNS-bedingte Weiterleitungen

Note

Eine bedingte Weiterleitung ist ein DNS-Server in einem Netzwerk, der DNS-Abfragenentsprechend dem DNS-Domänennamen in der Abfrage weiterleitet. Beispielsweise kann einDNS-Server so konfiguriert werden, dass er alle Abfragen, die er für Namen erhält, die mitwidgets.example.com enden, an die IP-Adresse eines bestimmten DNS-Servers oder an die IP-Adressen mehrerer DNS-Server weiterleitet.

1. Zunächst benötigen Sie einige Informationen über Ihr AWS Managed Microsoft AD.

Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Directory Service-Konsole unter https://console.aws.amazon.com/directoryservicev2/.

2. Wählen Sie im Navigationsbereich Directories (Verzeichnisse) aus.3. Wählen Sie die Verzeichnis-ID Ihres AWS Managed Microsoft AD.4. Notieren Sie sich den vollqualifizierten Domänen-Namen (FQDN, Fully Qualified Domain Name),

corp.example.com, und die DNS-Adressen Ihres Verzeichnisses.5. Jetzt kehren Sie zurück zu Ihrem Domänencontroller example.local und öffnen dann Server Manager.6. Wählen Sie im Menü Tools den Eintrag DNS.7. Erweitern Sie in der Konsolenstruktur den DNS-Server der Domäne, für die Sie die

Vertrauensbeziehung einrichten, und gehen Sie zu Conditional Forwarders.8. Klicken Sie mit der rechten Maustaste auf Conditional Forwarders, und wählen Sie dann New

Conditional Forwarder.

Version 1.0189




einer selbstverwalteten AD-Installation auf EC29. Geben Sie als DNS-Domäne corp.example.com ein.10. Wählen Sie unter IP addresses of the master servers die Option Click here to add ...>, geben Sie die

erste DNS-Adresse Ihres AWS Managed Microsoft AD-Verzeichnisses an (die Sie sich im vorigenVerfahren notiert haben) und drücken Sie dann Enter. Wiederholen Sie diesen Schritt für die zweiteDNS-Adresse. Nach der Eingabe der DNS-Adressen können ein „Timeout“- oder ein „unable toresolve“-Fehler auftreten. Sie können diese Fehler in der Regel ignorieren.

11. Markieren Sie das Kontrollkästchen Store this conditional forwarder in Active Directory, and replicateas follows. Wählen Sie im Dropdown-Menü den Eintrag All DNS servers in this Forest und wählen Siedann OK.

Schritt 2: Erstellen der VertrauensbeziehungenIn diesem Abschnitt erstellen Sie zwei separate Forest-Vertrauensbeziehungen. Eine Vertrauensbeziehungwird aus der Active Directory-Domäne für Ihre EC2-Instance erstellt und die andere von Ihrem AWSManaged Microsoft AD in AWS.

So erstellen Sie die Vertrauensbeziehung zwischen Ihrer EC2-Domäne und Ihrem AWS ManagedMicrosoft AD

1. Melden Sie sich bei example.local an.2. Öffnen Sie Server Manager und wählen Sie in der Konsolenstruktur DNS. Notieren Sie sich die für den

Server aufgelistete IPv4-Adresse. Sie benötigen diese im nächsten Verfahren, wenn Sie eine bedingteWeiterleitung von corp.example.com zum Verzeichnis example.local erstellen.

3. Wählen Sie im Menü Tools den Eintrag Active Directory Domains and Trusts.4. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf example.local und wählen Sie dann

Properties.5. Wählen Sie auf der Registerkarte Trusts die Option New Trust und dann Next.6. Geben Sie auf der Seite Trust Name den Namen corp.example.com ein und wählen Sie dann Next.7. Wählen Sie auf der Seite Trust Type die Option Forest trust und wählen Sie dann Next.

Note

AWS Managed Microsoft AD unterstützt auch externe Vertrauensstellungen. Für diesesTutorial erstellen Sie jedoch eine bidirektionale Gesamtstruktur-Vertrauensstellung.

8. Wählen Sie auf der Seite Direction of Trust die Option Two-way und wählen Sie dann Next.

Note

Wenn Sie sich später dafür entscheiden, dies stattdessen mit einer unidirektionalenVertrauensstellung zu versuchen, stellen Sie sicher, dass die Vertrauensrichtungen korrekteingerichtet sind (Outgoing on trusting domain, Incoming on trusted domain). AllgemeineInformationen finden Sie unter Understanding Trust Direction auf der Microsoft-Website.

Version 1.0190



einer selbstverwalteten AD-Installation auf EC29. Wählen Sie auf der Seite Sides of Trust die Option This domain only und dann Next.10. Wählen Sie auf der Seite Outgoing Trust Authentication Level die Option Forest-wide authentication

und dann Next.

Note

Obwohl Selective authentication (Selektive Authentifizierung) in einer Option enthalten ist,empfehlen wir der Einfachheit halber, sie hier nicht zu aktivieren. Nach der Konfiguration wirdder Zugriff über eine externe oder eine Gesamtstruktur-Vertrauensstellung auf die Benutzer ineiner vertrauenswürdigen Domäne oder einem vertrauenswürdigen Forest beschränkt, denenexplizit Authentifizierungsberechtigungen für Computerobjekte (Ressourcencomputer) in dervertrauenswürdigen Domäne oder dem Forest erteilt wurden. Weitere Informationen findenSie unter Konfigurieren von Einstellungen für die selektive Authentifizierung.

11. Geben Sie auf der Seite Trust Password zweimal das Passwort für die Vertrauensbeziehung ein, undwählen Sie dann Next. Im nächsten Verfahren verwenden Sie dasselbe Passwort.

12. Sehen Sie sich auf der Seite Trust Selections Complete die Ergebnisse an, und wählen Sie dann Next.13. Sehen Sie sich auf der Seite Trust Creation Complete die Ergebnisse an, und wählen Sie dann Next.14. Wählen Sie auf der Seite Confirm Outgoing Trust die Option No, do not confirm the outgoing trust.

Wählen Sie anschließend Next.15. Wählen Sie auf der Seite Confirm Incoming Trust die Option No, do not confirm the incoming trust.

Wählen Sie anschließend Next.16. Wählen Sie auf der Seite Completing the New Trust Wizard die Option Finish.

Note


So erstellen Sie die Vertrauensbeziehung von Ihrem AWS Managed Microsoft AD zu Ihrer EC2-Domäne

1. Öffnen Sie die AWS Directory Service-Konsole.2. Wählen Sie das Verzeichnis corp.example.com.3. Führen Sie auf der Seite Directory details (Verzeichnisdetails) einen der folgenden Schritte aus:

• Wenn mehrere Regionen unter Multi-Region replication angezeigt werden, wählen Sie die primäreRegion und dann die Registerkarte Networking & security aus. Weitere Informationen finden Sieunter Primäre im Vergleich zu zusätzlichen Regionen (p. 62).



5. Führen Sie im Dialogfeld Add a trust relationship die folgenden Schritte aus:

• Wählen Sie unter Trust type die Option Forest trust aus.

Note

Stellen Sie sicher, dass der Trust type (Vertrauenstyp), den Sie hier auswählen, mit demVertrauenstyp übereinstimmt, der im vorherigen Verfahren konfiguriert wurde (So erstellenSie die Vertrauensbeziehung von Ihrer EC2-Domäne zu Ihrer AWS Managed Microsoft AD).

• Geben Sie für Existing or new remote domain nameexample.local ein.• Geben Sie für Trust password dasselbe Passwort ein, das Sie im vorigen Verfahren verwendet

haben.Version 1.0

191



einer selbstverwalteten AD-Installation auf EC2• Wählen Sie unter Trust direction (Vertrauensrichtung) die Option Two-Way (Zwei-Wege) aus.

Note

• Wenn Sie sich später dafür entscheiden, dies stattdessen mit einer unidirektionalenVertrauensstellung zu versuchen, stellen Sie sicher, dass die Vertrauensrichtungenkorrekt eingerichtet sind (Outgoing on trusting domain, Incoming on trusted domain).Allgemeine Informationen finden Sie unter Understanding Trust Direction auf derMicrosoft-Website.

• Obwohl Selective authentication (Selektive Authentifizierung) in einer Option enthalten ist,empfehlen wir der Einfachheit halber, sie hier nicht zu aktivieren. Nach der Konfigurationwird der Zugriff über eine externe oder eine Gesamtstruktur-Vertrauensstellung aufdie Benutzer in einer vertrauenswürdigen Domäne oder einem vertrauenswürdigenForest beschränkt, denen explizit Authentifizierungsberechtigungen für Computerobjekte(Ressourcencomputer) in der vertrauenswürdigen Domäne oder dem Forest erteiltwurden. Weitere Informationen finden Sie unter Konfigurieren von Einstellungen für dieselektive Authentifizierung.

• Geben Sie für Conditional forwarder (Bedingte Weiterleitung) die IP-Adresse Ihres DNS-Servers inder Gesamtstruktur example.local ein (die Sie im vorherigen Verfahren notiert haben).

Note

Eine bedingte Weiterleitung ist ein DNS-Server in einem Netzwerk, der DNS-Abfragenentsprechend dem DNS-Domänennamen in der Abfrage weiterleitet. Beispielsweise kannein DNS-Server so konfiguriert werden, dass er alle Abfragen, die er für Namen erhält, diemit widgets.example.com enden, an die IP-Adresse eines bestimmten DNS-Servers oderan die IP-Adressen mehrerer DNS-Server weiterleitet.

6. Wählen Sie Add aus.

Schritt 3: Überprüfen der VertrauensstellungIn diesem Abschnitt testen Sie, ob die Vertrauensbeziehungen zwischen AWS und Active Directory aufAmazon EC2 erfolgreich eingerichtet wurden.

So überprüfen Sie die Vertrauensbeziehung

1. Öffnen Sie die AWS Directory Service-Konsole.2. Wählen Sie das Verzeichnis corp.example.com.3. Führen Sie auf der Seite Directory details (Verzeichnisdetails) einen der folgenden Schritte aus:



4. Wählen Sie im Abschnitt Trust relationships (Vertrauensstellungen) die gerade erstellteVertrauensstellung aus.

5. Wählen Sie Actions und dann Verify trust relationship.

Nachdem die Überprüfung abgeschlossen ist, sollte Verified in der Spalte Status angezeigt werden.

Herzlichen Glückwunsch! Sie haben dieses Tutorial abgeschlossen! Sie verfügen jetzt über eine vollfunktionsfähige Active Directory-Multiforest-Umgebung, in der Sie verschiedene Szenarien testen können.

Version 1.0192




AWS Directory Service AdministratorhandbuchFehlerbehebung

Zusätzliche Testlabor-Tutorials sind für 2018 geplant. Sehen Sie deshalb gelegentlich nach, ob esNeuigkeiten gibt.

Fehlerbehebung für AWS Managed Microsoft ADDie folgenden Informationen können Ihnen beim Beheben von ein paar gängigen Problemen behilflich sein,die beim Erstellen oder Benutzen Ihres Verzeichnisses auftreten können.

Wiederherstellen des PasswortsWenn ein Benutzer ein Passwort vergisst oder Probleme bei der Anmeldung bei Ihrem Simple AD oderAWS Managed Microsoft AD können Sie ihr Passwort entweder mit der AWS Management Console,Fenster PowerShell oder die AWS Befehlszeilenschnittstelle.

Weitere Informationen finden Sie im Zurücksetzen eines Passworts (p. 109).

Themen• DNS-Fehlersuche (p. 193)• Linux-Domänenverbindungsfehler (p. 194)• Active Directory – Geringer verfügbarer Speicherplatz (p. 196)• Fehler in Zusammenhang mit Schemaerweiterungen (p. 198)• Trust Erstellungsstatus Gründe (p. 200)

DNS-FehlersucheSie können Ihre AWS Managed Microsoft AD-DNS-Ereignisse überwachen, um DNS-Probleme schnellererkennen und beheben zu können. Wenn beispielsweise ein DNS-Datensatz fehlt, können Sie mit demDNS Audit-Ereignisprotokoll die Ursache des Problems identifizieren und den Fehler beheben. Sie könnenDNS Audit-Ereignisprotokolle auch zur Verbesserung der Sicherheit einsetzen, sodass Anforderungen, dievon verdächtigen IP-Adressen stammen, erkannt und blockiert werden.

Hierzu müssen Sie mit dem Admin-Konto oder einem Konto, das Mitglied der Gruppe AWS Domain NameSystem Administrators ist, angemeldet sein. Weitere Informationen zu dieser Gruppe finden Sie unter Waswird erstellt (p. 12).

So beheben Sie DNS-Fehler in AWS Managed Microsoft AD

1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.2. Wählen Sie im linken Navigationsbereich die Option Instances aus.3. Suchen Sie eine Amazon EC2-Instance, die Ihrem AWS Managed Microsoft AD-Verzeichnis

beigetreten ist. Wählen Sie die Instance aus und klicken Sie auf Connect (Verbinden).4. Öffnen Sie die Ereignisanzeige im Ordner Administrative Tools.5. Wählen Sie im Fenster der Ereignisanzeige Action (Aktion) und dann Connect to Another Computer

(Verbindung zu einem anderen Computer) aus.6. Wählen Sie Another Computer (Anderer Computer) aus, geben Sie einen Ihrer AWS Managed

Microsoft AD-DNS-Servernamen oder eine entsprechende IP-Adresse ein und klicken Sie auf OK.7. Navigieren Sie im linken Fensterbereich zu Applications and Services Logs (Anwendungs- und

Serviceprotokolle)>Microsoft>Windows>DNS-Server und wählen Sie Audit (Überwachen) aus.

Version 1.0193


AWS Directory Service AdministratorhandbuchLinux-Domänenverbindungsfehler

Linux-DomänenverbindungsfehlerDie folgenden Informationen können Ihnen beim Beheben einiger Fehlermeldungen helfen, die beimVerbinden einer EC2-Instance mit Ihrem AWS Managed Microsoft AD-Verzeichnis auftreten können.

Linux-Instances können nicht in Domäne eingebunden oderauthentifiziert werdenUbuntu 14.04-, 16.04- und 18.04-Instances müssen in der DNS reverse-auflösbar sein, bevor ein Bereichmit Microsoft AD arbeiten kann. Ansonsten können Sie auf eines der beiden folgenden Szenarien stoßen:

Szenario 1: Ubuntu-Instances, die noch nicht mit einem Bereich verbunden sind

Für Ubuntu-Instances, die versuchen, einem Bereich beizutreten, könnte der sudo realm join-Befehlnicht die erforderlichen Berechtigungen für die Verbindung mit der Domäne liefern und den folgendenFehler ausgeben:

! Couldn't authenticate to active directory: SASL(-1): generic failure: GSSAPI Error: An invalid name wassupplied (Success) adcli: couldn't connect to EXAMPLE.COM domain: Couldn't authenticate to activedirectory: SASL(-1): generic failure: GSSAPI Error: An invalid name was supplied (Success) ! Insufficientpermissions to join the domain realm: Couldn't join realm: Insufficient permissions to join the domain

Szenario 2: Ubuntu-Instances, die mit einem Bereich verbunden sind

Für Ubuntu-Instances, die bereits in eine Microsoft AD-Domäne eingebunden sind, könnten Versuche einerSSH-Verbindung zur Instance mit den Domänen-Anmeldeinformationen mit folgenden Fehlermeldungenfehlschlagen:

$ ssh [email protected]@198.51.100

no such identity: /Users/username/.ssh/id_ed25519: No such file or directory

[email protected]@198.51.100's password:

Permission denied, please try again.

[email protected]@198.51.100's password:

Wenn Sie sich mit einem öffentlichen Schlüssel bei der Instance anmelden und überprüfen /var/log/auth.logsehen Sie möglicherweise die folgenden Fehler, wenn Sie den Benutzer nicht finden können:

May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam_unix(sshd:auth): authentication failure; logname= uid=0euid=0 tty=ssh ruser= rhost=203.0.113.0

May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam_sss(sshd:auth): authentication failure; logname= uid=0euid=0 tty=ssh ruser= rhost=203.0.113.0 [email protected]

May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam_sss(sshd:auth): received for user [email protected]:10 (User not known to the underlying authentication module)

May 12 01:02:14 ip-192-0-2-0 sshd[2251]: Failed password for invalid user [email protected] from203.0.113.0 port 13344 ssh2

May 12 01:02:15 ip-192-0-2-0 sshd[2251]: Connection closed by 203.0.113.0 [preauth]

Allerdings kinit für den Benutzer funktioniert noch. Siehe dieses Beispiel:

Version 1.0194

AWS Directory Service AdministratorhandbuchLinux-Domänenverbindungsfehler

ubuntu@ip-192-0-2-0:~$ kinit [email protected] Password for [email protected]:ubuntu@ip-192-0-2-0:~$ klist Ticket cache: FILE:/tmp/krb5cc_1000 Default principal:[email protected]

WorkaroundDie derzeit empfohlene Umgehungslösung für beide Szenarien ist die Deaktivierung von Reverse DNS in /etc/krb5.conf im Abschnitt [libdefaults] (libStandards), wie dies im Folgenden dargestellt ist:

[libdefaults]default_realm = EXAMPLE.COMrdns = false

Problem mit der One-Way-Trust-Authentifizierung mit nahtlosemDomänen-JoinWenn Sie zwischen Ihren AWS Managed Microsoft AD und Ihrer lokalen AD, können Sie einAuthentifizierungsproblem feststellen, wenn Sie versuchen, sich mit Ihren vertrauenswürdigen AD-Anmeldeinformationen mit Winbind gegen die Linux-Instance zu authentifizieren, die der Domänebeigetreten ist.

ErrorsJul 31 00:00:00 EC2AMAZ-LSMWqT sshd[23832]: Failed password for [email protected] fromxxx.xxx.xxx.xxx port 18309 ssh2

Jul 31 00:05:00 EC2AMAZ-LSMWqT sshd[23832]: pam_winbind(sshd:auth): getting password(0x00000390)

Jul 31 00:05:00 EC2AMAZ-LSMWqT sshd[23832]: pam_winbind(sshd:auth): pam_get_item returned apassword

Jul 31 00:05:00 EC2AMAZ-LSMWqT sshd[23832]: pam_winbind(sshd:auth): request wbcLogonUserfailed: WBC_ERR_AUTH_ERROR, PAM error: PAM_SYSTEM_ERR (4), NTSTATUS:**NT_STATUS_OBJECT_NAME_NOT_FOUND**, Error message was: The object name is not found.

Jul 31 00:05:00 EC2AMAZ-LSMWqT sshd[23832]: pam_winbind(sshd:auth): internal module error (retval =PAM_SYSTEM_ERR(4), user = 'CORP\user')

WorkaroundUm dieses Problem zu beheben, müssen Sie eine Anweisung aus der Konfigurationsdatei des PAM-Moduls auskommentieren oder entfernen (/etc/security/pam_winbind.conf) mit den folgendenSchritten.

1. Öffnen Sie die Datei /etc/security/pam_winbind.conf in einem Text-Editor.

sudo vim /etc/security/pam_winbind.conf

2. Kommentieren oder entfernen Sie die folgende Richtlinie krb5_auth = ja.

[global]

cached_login = yeskrb5_ccache_type = FILE#krb5_auth = yes

3. Stoppen Sie den Winbind-Dienst und starten Sie ihn erneut.

Version 1.0195

AWS Directory Service AdministratorhandbuchGeringer verfügbarer Speicherplatz

service winbind stop or systemctl stop winbindnet cache flush service winbind start or systemctl start winbind

Active Directory – Geringer verfügbarer SpeicherplatzWenn AWS Managed Microsoft AD aufgrund des geringen verfügbaren Speicherplatzes von ActiveDirectory beeinträchtigt ist, sind sofortige Maßnahmen erforderlich, um das Verzeichnis wieder in einenaktiven Zustand zu versetzen. Die beiden häufigsten Ursachen für diese Beeinträchtigung werden in denfolgenden Abschnitten behandelt:

1. SYSVOL-Ordner speichert nicht nur wesentliche Gruppenrichtlinienobjekte (p. 196)2. Active Directory-Datenbank hat das Volume gefüllt (p. 196)

Preisinformationen zum AWS Managed Microsoft AD-Speicher finden Sie unter AWS Directory Service –Preise.

SYSVOL-Ordner speichert nicht nur wesentlicheGruppenrichtlinienobjekteEine häufige Ursache für diese Beeinträchtigung ist das Speichern nicht wesentlicher Dateien fürdie Verarbeitung von Gruppenrichtlinien im SYSVOL-Ordner. Diese unwichtigen Dateien könntenEXEs, , und Sie haben die Möglichkeit MSIs, oder jede andere Datei, die für die Verarbeitung von nichtunbedingt erforderlich ist. Die wesentlichen Objekte für die Verarbeitung von Gruppenrichtlinien sindGruppenrichtlinienobjekte, An-/Abmeldeskripts und der zentrale Speicher für Gruppenrichtlinienobjekte. Allenicht wesentlichen Dateien sollten auf einem anderen Dateiserver als Ihren AWS Managed Microsoft AD-Domänencontrollern gespeichert werden.

Wenn Dateien für die Gruppenrichtlinien-Softwareinstallation benötigt werden, sollten Sie einen Dateiserververwenden, um diese Installationsdateien zu speichern. Für den Fall, dass Sie einen Dateiserver nichtselbst verwalten möchten, bietet AWS eine verwaltete Dateiserver-Option Amazon FSx.

Um nicht erforderliche Dateien zu entfernen, können Sie über den UNC-Pfad (Universal NamingConvention) auf die SYSVOL-Freigabe zugreifen. Wenn der vollqualifizierte Domänenname (FQDN) IhrerDomäne beispielsweise example.com ist, lautet der UNC-Pfad für SYSVOL „\\example.local\SYSVOL\example.local\“. Sobald Sie Objekte, die für die Verarbeitung des Verzeichnisses von Gruppenrichtliniennicht erforderlich sind, gefunden und entfernt haben, sollte das Verzeichnis innerhalb von 30 Minuten zumStatus „Aktiv“ zurückkehren. Wenn das Verzeichnis nach 30 Minuten nicht aktiv ist, wenden Sie sich bittean den AWS Support.

Wenn Sie nur wesentliche Gruppenrichtliniendateien in Ihrer SYSVOL-Freigabe speichern, wirdsichergestellt, dass Sie Ihr Verzeichnis durch Aufblähen des SYSVOL-Ordners nicht beeinträchtigen.

Active Directory-Datenbank hat das Volume gefülltEine häufige Ursache für diese Beeinträchtigung ist darauf zurückzuführen, dass die Active Directory-Datenbank das Volume füllt. Um festzustellen, ob dies der Fall ist, können Sie die Gesamtzahl der Objektein Ihrem Verzeichnis überprüfen. Das Wort Gesamtzahl ist fett formatiert, um sicherzustellen, dass Sieverstehen, dass gelöschte Objekte zur Gesamtzahl der Objekte in einem Verzeichnis zählen.

Standardmäßig bewahrt AWS Managed Microsoft AD Elemente 180 Tage im AD-Papierkorb auf, bevorsie zu einem Recycled-Objekt werden. Sobald ein Element zu einem Recycled-Objekt (veraltet) wird,wird es für weitere 180 Tage aufbewahrt. Anschließend wird es dauerhaft aus dem Verzeichnis gelöscht.

Version 1.0196

https://aws.amazon.com/directoryservice/pricing/#Comparison_Table


https://support.microsoft.com/en-us/help/3087759/how-to-create-and-manage-the-central-store-for-group-policy-administra


https://aws.amazon.com/fsx/

AWS Directory Service AdministratorhandbuchGeringer verfügbarer Speicherplatz

Wenn also ein Objekt gelöscht wird, war es vor dem Löschen noch 360 Tage in der Verzeichnisdatenbankvorhanden. Aus diesem Grund muss die Gesamtzahl der Objekte berücksichtigt werden.

Weitere Informationen zu der von AWS Managed Microsoft AD unterstützten Objektanzahl finden Sie unterAWS Directory Service – Preise.

Um die Gesamtzahl der Objekte in einem Verzeichnis abzurufen, das die gelöschten Objekte enthält,können Sie Folgendes ausführen PowerShell -Befehl aus einer Domäne, die mit einer Windows-Instanceverbunden ist. Anweisungen zum Einrichten einer Verwaltungsinstanz finden Sie unter Verwalten vonBenutzern und Gruppen in AWS Managed Microsoft AD (p. 107).

Get-ADObject -Filter * -IncludeDeletedObjects | Measure-Object -Property 'Count' | Select-Object -Property 'Count'

Nachfolgend ist eine Beispielausgabe für den obigen Befehl aufgeführt:

Count10000

Wenn die Gesamtzahl über der unterstützten Objektanzahl für die in der obigen Anmerkung aufgeführtenVerzeichnisgröße liegt, haben Sie die Kapazität Ihres Verzeichnisses überschritten.

Im Folgenden sind die Optionen aufgeführt, um diese Beeinträchtigung zu beheben:

1. AD bereinigena. Löschen Sie alle unerwünschten AD-Objekte.b. Entfernen Sie alle Objekte, die nicht erforderlich sind, aus dem AD-Papierkorb. Beachten Sie, dass

dieser Vorgang destruktiv ist. Die einzige Möglichkeit, diese gelöschten Objekte wiederherzustellen,besteht in der Wiederherstellung des Verzeichnisses.

c. Mit dem folgenden Befehl werden alle gelöschten Objekte aus dem AD-Papierkorb entfernt.Important

Verwenden Sie diesen Befehl mit äußerster Vorsicht, da dies ein destruktiver Befehl ist,und die einzige Möglichkeit, diese gelöschten Objekte wiederherzustellen, besteht in derWiederherstellung des Verzeichnisses.

$DomainInfo = Get-ADDomain$BaseDn = $DomainInfo.DistinguishedName$NetBios = $DomainInfo.NetBIOSName$ObjectsToRemove = Get-ADObject -Filter { isDeleted -eq $true } -IncludeDeletedObjects -SearchBase "CN=Deleted Objects,$BaseDn" -Properties 'LastKnownParent','DistinguishedName','msDS-LastKnownRDN' | Where-Object { ($_.LastKnownParent -Like "*OU=$NetBios,$BaseDn") -or ($_.LastKnownParent -Like '*\0ADEL:*') }ForEach ($ObjectToRemove in $ObjectsToRemove) { Remove-ADObject -Identity $ObjectToRemove.DistinguishedName -IncludeDeletedObjects }

d. Wenden Sie sich an den AWS Support, um anzufordern, dass AWS Directory Service den freienSpeicherplatz freigibt.

2. Wenn Ihr Verzeichnistyp Standard Edition lautet, wenden Sie sich an den AWS Support, um ein UpgradeIhres Verzeichnisses auf Enterprise Edition zu beantragen. Dadurch erhöhen sich auch die Kosten für IhrVerzeichnis. Preisinformationen finden Sie unter AWS Directory Service – Preise.

In AWS Managed Microsoft AD können Mitglieder der Gruppe Von AWS auf Lebenszeit delegierteAdministratoren für gelöschte Objekte das Attribut msDS-DeletedObjectLifetime ändern, das die Zeitin Tagen festlegt, die gelöschte Objekte im AD-Papierkorb aufbewahrt werden, bevor sie zu Recycled-Objekten werden.

Version 1.0197



AWS Directory Service AdministratorhandbuchFehler in Zusammenhang mit Schemaerweiterungen

Note

Dies ist ein Thema für Fortgeschrittene. Bei unsachgemäßer Konfiguration können Datenverlustedie Folge sein. Wir empfehlen Ihnen dringend, zuerst Der Papierkorb für Werbespots: Verstehen,Implementieren, Bewährte Verfahren und Fehlerbehebung um ein besseres Verständnis dieserProzesse zu erhalten.

Die Möglichkeit, den Wert des Attributs msDS-DeletedObjectLifetime in eine niedrigere Zahlzu ändern, kann dazu beitragen, dass die Anzahl der Objekte die unterstützten Grenzwerte nichtüberschreitet. Der niedrigste gültige Wert, auf den dieses Attribut eingestellt werden kann, ist 2 Tage.Sobald dieser Wert überschritten wird, können Sie das gelöschte Objekt mit dem AD-Papierkorb nichtmehr wiederherstellen. Zum Wiederherstellen gelöschter Objekte müssen Sie Ihr Verzeichnis mithilfeeines Snapshots wiederherstellen. Weitere Informationen finden Sie im Erstellen eines Snapshotsoder Wiederherstellen Ihres Verzeichnisses (p. 140). Wiederherstellungen aus Snapshots können zuDatenverlust führen, da sie zeitpunktbezogen sind.

Führen Sie den folgenden Befehl aus, um die Lebensdauer der gelöschten Objekte Ihres Verzeichnisses zuändern:

Note

Wenn Sie den Befehl so ausführen, wie er ist, wird der Attributwert für die Lebensdauer dergelöschten Objekte auf 30 Tage festgelegt. Wenn Sie die Lebensdauer verlängern oder verkürzenmöchten, ersetzen Sie „30“ durch die gewünschte Zahl. Wir empfehlen jedoch, keinen höherenWert als die Standardanzahl 180 zu verwenden.

$DeletedObjectLifetime = 30$DomainInfo = Get-ADDomain$BaseDn = $DomainInfo.DistinguishedNameSet-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,$BaseDn" -Partition "CN=Configuration,$BaseDn" -Replace:@{"msDS-DeletedObjectLifetime" = $DeletedObjectLifetime}

Fehler in Zusammenhang mit SchemaerweiterungenDie folgenden Informationen können Ihnen beim Beheben einiger Fehlermeldungen helfen, die bei einerSchemaerweiterung für Ihr AWS Managed Microsoft AD-Verzeichnis auftreten können.

ReferralFehler

Fehler hinzufügen bei Eingabe beginnend in Zeile 1: Zuweisung Der serverseitige Fehler ist: 0x202bEine Zuweisung wurde vom Server zurückgegeben. Der erweiterte Serverfehler ist: 0000202B(Durchwahl B): RefErr: DSID-0310082F, Daten 0, 1 Zugangspunkte \tref 1: ‘example.com’ Anzahl dergeänderten Objekte: 0

Fehlerbehebung

Stellen Sie sicher, dass in allen Feldern für definierte Namen der richtige Domänenname angegebenist. In dem Beispiel oben sollte DC=example,dc=com durch den DistinguishedName ersetztwerden, der vom Cmdlet Get-ADDomain angezeigt wird.

Lesen der Importdatei nicht möglichFehler

Die Importdatei kann nicht gelesen werden. Anzahl der geänderten Objekte: 0

Version 1.0198

https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/the-ad-recycle-bin-understanding-implementing-best-practices-and/ba-p/396944

https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/the-ad-recycle-bin-understanding-implementing-best-practices-and/ba-p/396944

AWS Directory Service AdministratorhandbuchFehler in Zusammenhang mit Schemaerweiterungen

Fehlerbehebung

Die importierte LDIF-Datei ist leer (0 Byte). Stellen Sie sicher, dass die richtige Datei hochgeladenwurde.

SyntaxfehlerFehler

In der Eingabedatei ist ein Syntaxfehler in Zeile 21 fehlgeschlagen. The last token starts with 'q'.Anzahl der geänderten Objekte: 0

Fehlerbehebung

Der Text in Zeile 21 ist nicht ordnungsgemäß formatiert. Der erste Buchstabe des ungültigen Textes istA. (z. B.. Zeile 21 mit gültiger LDIF-Syntax aktualisieren. Weitere Informationen zum Formatieren derLDIF-Datei finden Sie unter Schritt 1: Erstellen Ihrer LDIF-Datei (p. 134).

Attribut oder Wert vorhandenFehler

Fehler hinzufügen bei Eingabe beginnend in Zeile 1: Attribut oder Wert vorhanden Der serverseitigeFehler ist: 0x2083 Der angegebene Wert ist bereits vorhanden. Der erweiterte Serverfehlerist: Telefonnummer 00002083: AtrErr: DSID-03151830, Nr. 1: \t0: Telefonnummer 00002083:DSID-03151830, Problem 1006 (ATT_OR_VALUE_EXISTS), Daten 0, Att 20019 (kann enthalten):len 4Anzahl der geänderten Objekte: 0

Fehlerbehebung

Die Schemaänderung wurde bereits angewendet.

Kein solches Attribut vorhandenFehler

Fehler hinzufügen bei Eingabe beginnend in Zeile 1: Kein solches Attribut Der serverseitige Fehlerist: 0x2085 Der Attributwert kann nicht entfernt werden, da er auf dem Objekt nicht vorhandenist. Der erweiterte Serverfehler ist: Telefonnummer 00002085: AtrErr: DSID-03152367, Nr. 1: \t0:Telefonnummer 00002085: DSID-03152367, Problem 1001 (NO_ATTRIBUTE_OR_VAL), Daten 0, Att20019 (kann enthalten):len 4 Anzahl der geänderten Objekte: 0

Fehlerbehebung

Die LDIF-Datei versucht, ein Attribut aus einer Klasse zu entfernen, das betreffende Attribut ist derKlasse zurzeit jedoch nicht angefügt. Die Schemaänderung wurde wahrscheinlich bereits angewendet.

Fehler

Fehler bei Eingabe hinzufügen, die in Zeile 41 beginnt: Kein solches Attribut 0x57 Der Parameterist falsch. The extended server error is: 0x208d Directory object not found. Der erweiterteServerfehler ist: "Durchwahl 00000057: LdapErr: DSID-0C090D8A, Anmerkung: Fehler beiAttributkonvertierungsoperation, Daten 0, v2580" Anzahl der geänderten Objekte: 0

Fehlerbehebung

Das Attribut in Zeile 41 ist nicht korrekt. Überprüfen Sie die Schreibweise erneut.

Version 1.0199

AWS Directory Service AdministratorhandbuchTrust Erstellungsstatus Gründe

Kein solches Objekt vorhandenFehler

Fehler hinzufügen bei Eingabe beginnend in Zeile 1: Kein solches Objekt Der serverseitige Fehlerist: 0x208d Verzeichnisobjekt nicht gefunden. Der erweiterte Serverfehler ist: 0000208 Tage vor derWoche: NameErr: DSID-03100238, Problem 2001 (NO_OBJECT), Daten 0, beste Übereinstimmungvon: ’CN=Schema,CN=Konfiguration,DC=Beispiel,DC=com’ Anzahl der geänderten Objekte: 0

Fehlerbehebung

Das Objekt, auf das von dem definierten Namen (DN) verwiesen wird, ist nicht vorhanden.

Trust Erstellungsstatus GründeWenn Erstellung von Vertrauensstellungen nicht erfolgreich ist, enthält die Statusmeldung weitereInformationen. Hier finden Sie Hilfe zu verstehen, was diese Nachrichten bedeuten.

Zugriff verweigertDer Zugriff wurde verweigert, wenn Sie versuchen, die Vertrauensstellung zu erstellen. Entweder dasVertrauensstellungspasswort ist falsch, oder die Sicherheitseinstellungen der Remote-Domäne ermöglichenkeine Konfiguration der Vertrauensstellung. Versuchen Sie Folgendes, um dieses Problem zu beheben:

• Stellen Sie sicher, dass Sie das gleiche Vertrauensstellungspasswort verwenden wie beim Erstellen derentsprechenden Vertrauensstellung in der Remote-Domäne.

• Vergewissern Sie sich außerdem, dass Ihre Domänen-Sicherheitseinstellungen die Erstellung vonVertrauensstellungen ermöglichen.

• Überprüfen Sie, ob Ihre lokale Sicherheitsrichtlinie korrekt eingerichtet ist. Überprüfen Sie insbesondereLocal Security Policy > Local Policies > Security Options > Network access:Named Pipes that can be accessed anonymously und stellen Sie sicher, dass sie mindestensdie drei folgenden benannten Pipes enthält:• netlogon• samr• lsarpc

Note

Standardmäßig Network access: Named Pipes that can be accessed anonymouslyist nicht eingestellt und wird angezeigt Not Defined. (z. B.. Dies ist normal, da die effektivenStandardeinstellungen des Domänencontrollers für Network access: Named Pipes thatcan be accessed anonymously ist netlogon, , und Sie haben die Möglichkeit samr, , undSie haben die Möglichkeit lsarpc.

Der angegebene Domänen-Name ist nicht vorhanden oderkonnte nicht hergestellt werdenUm dieses Problem zu lösen, müssen Sie sicherstellen, dass die Sicherheitsgruppen-Einstellungen fürIhre Domäne und Zugriffskontrollliste (ACL) für Ihre VPC korrekt sind und Sie die Informationen für Ihrebedingte Weiterleitung korrekt eingegeben haben. Weitere Informationen zu Sicherheitsanforderungenfinden Sie unter Zeitpunkt zum Erstellen einer Vertrauensstellung (p. 111).

Wenn dies das Problem nicht löst, ist es möglich, dass Informationen für eine zuvor erstellte bedingteWeiterleitung zwischengespeichert wurden. Dies verhindert die Erstellung einer neuen Vertrauensstellung.

Version 1.0200

AWS Directory Service AdministratorhandbuchTrust Erstellungsstatus Gründe

Bitte warten Sie einige Minuten und versuchen Sie dann erneut, die Vertrauensstellung und die bedingteWeiterleitung zu erstellen.

Standard-Tool für das Testen von VertrauensbeziehungenDie Schaltfläche DirectoryServicePortTest Testtool kann bei der Behebung von Problemen mit derVertrauensstellung zwischen AWS Managed Microsoft AD und lokalem Active Directory. Ein Beispiel, wiedas Tool verwendet werden kann, finden Sie unter Testen Sie Ihren AD Connector (p. 207).

Version 1.0201

samples/DirectoryServicePortTest.zip


Active Directory ConnectorAD Connector ist ein Verzeichnis-Gateway, mit dem Sie Verzeichnisanfragen an Ihr lokales MicrosoftActive Directory weiterleiten können, ohne dass Informationen im Cache der Cloud gespeichert werden. ADConnector ist in zwei Größen verfügbar: klein und groß. Sie können Anwendungslasten über mehrere ADConnectors verteilen, um gemäß Ihren Leistungsanforderungen zu skalieren. Es gibt keine erzwungenenBenutzer- oder Verbindungslimits.

Nach der Einrichtung von AD Connector profitieren Sie von folgenden Vorteilen:

• Ihre Endbenutzer und IT-Administratoren können ihre bestehenden Anmeldeinformationen desUnternehmens nutzen, um sich bei AWS-Anwendungen wie beispielsweise Amazon WorkSpaces,Amazon WorkDocs oder Amazon WorkMail anzumelden.

• Sie können AWS-Ressourcen wie Amazon EC2-Instances oder Amazon S3-Buckets mithilfe desrollenbasierten IAM-Zugriffs auf die AWS Management Console verwalten.

• Sie können für eine konsistente Durchsetzung bestehender Sicherheitsrichtlinien (beispielsweisePasswortablauf und -verlauf sowie Kontosperren) sorgen – unabhängig davon, ob die Benutzer oder IT-Administratoren auf Ressourcen in Ihrer lokalen Infrastruktur oder in der AWS Cloud zugreifen.

• Mit AD Connector können Sie eine Multifaktor-Authentifizierung aktivieren, indem Sie Ihre bestehendeRADIUS-basierte MFA-Infrastruktur integrieren. Dadurch verfügen Sie über eine zusätzlicheSicherheitsebene, wenn Benutzer auf AWS-Anwendungen zugreifen.

Lesen Sie die Themen in diesem Abschnitt, um zu erfahren, wie Sie eine Verbindung zu einem Verzeichnisherstellen und die AD Connector-Funktionen optimal nutzen.

Themen• Erste Schritte mit AD Connector (p. 202)• Verwalten von AD Connector (p. 214)• Bewährte Methoden für AD Connector (p. 236)• Grenzwerte für AD Connector (p. 239)• Richtlinie zur Anwendungskompatibilität für AD Connector (p. 239)• AD Connector-Fehlerbehebung (p. 240)

Erste Schritte mit AD ConnectorMit AD Connector können Sie AWS Directory Service mit Ihrem vorhandenen Unternehmensverzeichnisverbinden. Bei Verbindung mit Ihrem vorhandenen Verzeichnis bleiben alle Ihre Verzeichnisdaten auf IhrenDomänencontrollern. AWS Directory Service repliziert keine Ihrer Verzeichnisdaten.

Themen• AD Connector-Voraussetzungen (p. 202)• Erstellen eines AD Connector (p. 213)• Was wird erstellt (p. 214)

AD Connector-VoraussetzungenZum Herstellen einer Verbindung mit Ihrem vorhandenen Verzeichnis über AD Connector benötigen SieFolgendes:

Version 1.0202

AWS Directory Service AdministratorhandbuchAD Connector-Voraussetzungen

VPC

Richten Sie eine VPC mit Folgendem ein:• Mindestens zwei Subnetze. Jedes dieser Subnetze muss sich in einer anderen Availability Zone

befinden.• Die VPC muss mit Ihrem vorhandenen Netzwerk über ein VPN (Virtual Private Network) oder AWS

Direct Connect verbunden sein.• Die VPC muss über Standard-Hardware-Tenancy verfügen.

AWS Directory Service verwendet eine Struktur aus zwei VPCs. Die EC2-Instances, aus denen IhrVerzeichnis besteht, werden außerhalb Ihres AWS-Kontos ausgeführt und von AWS verwaltet. Siebesitzen zwei Netzwerkadapter: ETH0 und ETH1. ETH0 ist der Verwaltungsadapter und ist außerhalbIhres Kontos vorhanden. ETH1 wird innerhalb Ihres Kontos erstellt.

Der Verwaltungs-IP-Bereich Ihres Verzeichnisnetzwerks ETH0 wird programmgesteuert ausgewählt,um sicherzustellen, dass er zu keinem Konflikt mit der VPC führt, in der Ihr Verzeichnis bereitgestelltwird. Dieser IP-Bereich kann sich in einem beliebigen der folgenden Paare (als in zwei Subnetzenausgeführten Verzeichnissen) befinden:• 10.0.1.0/24 und 10.0.2.0/24• 192.168.1.0/24 & 192.168.2.0/24

Wir vermeiden Konflikte, indem wir das erste Oktet des CIDR ETH1 überprüfen. Wenn es mit 10 startet,wählen wir die VPC 192.168.0.0/16 mit den Subnetzen 192.168.1.0/24 und 192.168.2.0/24. Wenn daserste Oktet ein anderer Wert als 10 ist, wählen wir die VPC 10.0.0.0/16 mit den Subnetzen 10.0.1.0/24und 10.0.2.0/24.

Der Auswahlalgorithmus beinhaltet keine Routen in Ihrer VPC. Es ist daher möglich, dass diesesSzenario zu einem IP-Weiterleitungskonflikt führt.

Weitere Informationen finden Sie unter folgenden Themen im Amazon VPC Benutzerhandbuch:• Was ist Amazon VPC?• Subnetze in Ihrer VPC• Hinzufügen eines Hardware Virtual Private Gateway zu Ihrer VPC

Weitere Informationen zu AWS Direct Connect finden Sie im AWS Direct Connect Benutzerhandbuch.Vorhandenes Active Directory

Sie benötigen eine Verbindung zu einem vorhandenen Netzwerk mit einer Active Directory-Domäne.

Note

AD Connector unterstützt keine Vertrauensstellung mit Single Label Domains.

Die Funktionsebene dieser Domäne muss Windows Server 2003 oder höher sein. AD Connectorunterstützt darüber hinaus das Herstellen einer Verbindung mit einer auf einer Amazon EC2-Instancegehosteten Domäne.

Note

AD Connector unterstützt keine schreibgeschützten Domänencontroller (RODC), wenn es inVerbindung mit der Amazon EC2-Funktion zur Domänenverbindung verwendet wird.

Servicekonto

Sie müssen über Anmeldeinformationen für ein Servicekonto im vorhandenen Verzeichnis verfügen,dem die folgenden Berechtigungen zugewiesen sind:

Version 1.0203


https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#VPCSubnet

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_VPN.html

https://docs.aws.amazon.com/directconnect/latest/UserGuide/



• Lesen von Benutzern und Gruppen – erforderlich• Beitritt von Computern zur Domäne – nur bei Verwendung von Seamless Domain Join und Amazon

WorkSpaces erforderlich• Erstellen von Computerobjekten – nur erforderlich bei Verwendung von nahtloser Integration in

Domänen und Amazon WorkSpaces

Weitere Informationen finden Sie im Zuweisen von Berechtigungen zu Ihrem Servicekonto (p. 205).Benutzerberechtigungen

Alle Active Directory-Benutzer müssen die Berechtigung haben, ihre eigenen Attribute zu lesen.Insbesondere die folgenden Attribute:• GivenName• SurName• Mail• SamAccountName• UserPrincipalName• UserAccountControl• MemberOf

Standardmäßig haben Active Directory-Benutzer Leseberechtigungen für diese Attribute.Administratoren können jedoch diese Berechtigungen im Laufe der Zeit ändern. Daher sollten Sie vorder ersten Einrichtung von AD Connector überprüfen, ob Ihre Benutzer über diese Leseberechtigungenverfügen.

IP-Adressen

Holen Sie sich die IP-Adressen von zwei DNS-Servern oder Domänencontrollern in Ihremvorhandenen Verzeichnis.

AD Connector ermittelt _ldap._tcp.<DnsDomainName> und_kerberos._tcp.<DnsDomainName> SRV-Datensätze von diesen Servern bei der Verbindung zuIhrem Verzeichnis, daher müssen diese Server diese SRV-Datensätze enthalten. Der AD Connectorversucht, einen gemeinsamen Domänencontroller zu finden, der LDAP und Kerberos-Services bietet,sodass diese SRV-Datensätze mindestens einen gemeinsamen Domänen-Controller enthaltenmüssen. Weitere Informationen zu SRV-Datensätzen finden Sie unter SRV-Ressourcendatensätze aufMicrosoft TechNet.

Ports für Subnetze

Für AD Connector um Verzeichnisanforderungen an Ihre vorhandenen Active Directory-Domänencontroller umzuleiten, muss die Firewall für Ihr vorhandenes Netzwerk die folgenden Ports fürdie CIDRs für beide Subnetze in Ihrem Amazon VPC.• TCP/UDP 53 – DNS• TCP/UDP 88 – Kerberos-Authentifizierung• TCP/UDP 389 – LDAP

Das ist das Minimum an notwendigen Ports, damit AD Connector eine Verbindung mit IhremVerzeichnis herstellen kann. Ihre spezifische Konfiguration erfordert möglicherweise die Öffnungzusätzlicher Ports.

Note

Wenn sich die DNS-Server oder Domänencontroller-Server für Ihre vorhandene ActiveDirectory-Domäne innerhalb der VPC befinden, müssen die Sicherheitsgruppen, die diesenServern zugeordnet sind, die oben genannten Ports für die CIDRs für beide Subnetze in derVPC.

Version 1.0204



Weitere Anschlussanforderungen finden Sie unter Anforderungen an AD- und AD-DS-Ports aufMicrosoft TechNet.

Kerberos-Vorabauthentifizierung

Für Ihre Benutzerkonten muss die Kerberos-Vorabauthentifizierung aktiviert sein. DetaillierteAnweisungen dazu, wie Sie diese Einstellung aktivieren, finden Sie unter Stellen Sie sicher, dassKerberos-Vorauthentifizierung aktiviert ist (p. 122). Allgemeine Informationen zu dieser Einstellungfinden Sie unter Vorauthentifizierung auf Microsoft TechNet.

Verschlüsselungstypen

AD Connector unterstützt die folgenden Verschlüsselungstypen bei der Authentifizierung Ihrer ActiveDirectory-Domänencontroller über Kerberos:• AES-256-HMAC• AES-128-HMAC• RC4-HMAC

AWS – Einmaliges Anmelden-VoraussetzungenWenn Sie AWS – Einmaliges Anmelden (AWS SSO) mit AD Connector verwenden möchten, müssen Siesicherstellen, dass Folgendes zutrifft:

• Ihre AD Connector ist in Ihrem AWS Organisation Verwaltungskonto.• Ihre Instance von AWS SSO befindet sich in der gleichen Region, in der Ihr AD Connector eingerichtet

ist.

Weitere Informationen finden Sie unter AWS SSO-Voraussetzungen im AWS – Einmaliges Anmelden-Benutzerhandbuch.

Voraussetzungen für Multifaktor-AuthentifizierungFür die Unterstützung von Multifaktor-Authentifizierung bei Ihrem AD Connector-Verzeichnis benötigen SieFolgendes:

• Ein Remote Authentication Dial-In User Service (RADIUS)-Server in Ihrem vorhandenen Netzwerk, derzwei Client-Endpunkte hat. Die RADIUS-Client-Endpunkte müssen folgende Anforderungen erfüllen:• Für die Erstellung der Endpunkte benötigen Sie die IP-Adressen der AWS Directory Service-Server.

Diese IP-Adressen finden Sie im Directory IP Address-Feld Ihres Verzeichnisses.• Beide RADIUS-Endpunkte müssen denselben geheimen Code verwenden.

• Ihr vorhandenes Netzwerk muss eingehenden Datenverkehr über den Standard-RADIUS-Server-Port(UDP: 1812) von den AWS Directory Service-Servern zulassen.

• Die Benutzernamen für Ihren RADIUS-Server und Ihr vorhandenes Verzeichnis müssen identisch sein.

Weitere Informationen zur Verwendung von AD Connector mit MFA finden Sie unter Aktivieren derMultifaktor-Authentifizierung für AD Connector (p. 215).

Zuweisen von Berechtigungen zu Ihrem ServicekontoFür die Verbindung mit Ihrem vorhandenen Verzeichnis benötigen Sie die Anmeldeinformationen für einAD Connector-Servicekonto im vorhandenen Verzeichnis, dem bestimmte Berechtigungen zugewiesenwurden. Obwohl Mitglieder der Domain Admins (Domänenadministratoren)-Gruppe über ausreichendeBerechtigungen verfügen, um das Verzeichnis aufzurufen, ist es eine bewährte Methode, ein Servicekonto

Version 1.0205

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd772723(v=ws.10)


https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html



zu verwenden, das nur über die Berechtigungen verfügt, die zum Aufrufen des Verzeichnisses mindestensnotwendig sind. Die folgenden Schritte veranschaulichen, wie Sie eine neue Gruppe mit dem NamenConnectors erstellen, dieser Gruppe die für die Verknüpfung von AWS Directory Service notwendigenBerechtigungen zuweisen und dann ein neues Servicekonto zu dieser Gruppe hinzufügen.

Dieser Vorgang muss auf einem Computer durchgeführt werden, der Ihrem Verzeichnis hinzugefügt ist undauf dem das MMC-Snap-In Active Directory User and Computers installiert ist. Außerdem müssen Sie alsDomänenadministrator angemeldet sein.

So weisen Sie Ihrem Servicekonto Berechtigungen zu

1. Öffnen Sie Active Directory User and Computers und wählen Sie in der Navigationsbaumstruktur IhreDomänen-Root aus.

2. Klicken Sie in der Liste im linken Bereich mit der rechten Maustaste auf Users, wählen Sie New unddann Group.

3. Geben Sie im Dialogfeld New Object - Group Folgendes ein und klicken Sie auf OK.

Feld Wert/Auswahl

Group name (Gruppenname) Connectors

Group scope (Gruppenumfang) Global

Group type (Gruppentyp) Sicherheit

4. Wählen Sie in der Navigationsstruktur Active Directory User and Computers Ihre Domänen-Rootaus. Wählen Sie im Menü Action und dann Delegate Control. Wenn Ihre AD Connector ist verbundenmit AWS Managed Microsoft AD, haben Sie keinen Zugriff auf die Delegierungskontrolle auf derDomänenstammebene. Wählen Sie in diesem Fall die Organisationseinheit unter Ihrer Verzeichnis-Organisationseinheit aus, in der Ihre Computerobjekte erstellt werden sollen, um die Steuerung zudelegieren.

5. Klicken Sie auf der Seite Delegation of Control Wizard auf Next und dann auf Add.6. Geben Sie in das Dialogfeld Select Users, Computers, or Groups Connectors ein und klicken Sie auf

OK. Wenn mehr als ein Objekt gefunden wurde, wählen Sie die oben erstellte Gruppe Connectors.Klicken Sie auf Next (Weiter).

7. Wählen Sie auf der Seite Tasks to Delegate Create a custom task to delegate und dann Next.8. Wählen Sie Only the following objects in the folder und dann Computer objects und User objects.9. Wählen Sie Create selected objects in this folder und Delete selected objects in this folder. Wählen Sie

anschließend Next (Weiter) aus.

Version 1.0206


10. Wählen Sie Read und dann Next.

Note

Wenn Sie nahtlose Integration von Domänen oder Amazon WorkSpaces verwenden,müssen Sie ebenfalls Write-Berechtigungen aktivieren, damit AWS Managed Microsoft ADComputerobjekte erstellen kann.

11. Überprüfen Sie die Informationen auf der Seite Completing the Delegation of Control Wizard undklicken Sie auf Finish.

12. Erstellen Sie ein Benutzerkonto mit einem sicheren Passwort und fügen Sie diesen Benutzer zurGruppe Connectors hinzu. Dieser Benutzer wird dann als Ihr AD Connector-Servicekonto geführt.Da er nun Mitglied der Connectors-Gruppe ist, hat er jetzt ausreichende Berechtigung, um AWSDirectory Service mit dem Verzeichnis zu verbinden.

Testen Sie Ihren AD ConnectorFür AD Connector um eine Verbindung zu Ihrem bestehenden Verzeichnis herzustellen, muss die Firewallfür Ihr bestehendes Netzwerk bestimmte Ports für das CIDRs für beide Subnetze in der VPC. Um zuprüfen, ob das der Fall ist, führen Sie die folgenden Schritte aus:

Testen der Verbindung

1. Starten Sie eine Windows-Instance in der VPC und stellen Sie eine VPC-Verbindung über RDP her.Die Instance muss Mitglied Ihrer vorhandenen Domäne sein. Die weiteren Schritte werden in dieserVPC-Instance ausgeführt.

2. Laden Sie die herunter und entpacken Sie die DirectoryServicePortTest Anwendung testen. DerQuellcode und die Visual Studio-Projektdateien sind enthalten, sodass Sie die Testanwendung beiBedarf ändern können.

Note

Dieses Skript wird auf Windows Server 2003 oder älteren Betriebssystemen nicht unterstützt.3. Führen Sie die Testanwendung DirectoryServicePortTest in einer Windows-Eingabeaufforderung mit

den folgenden Optionen aus:

Note

Die Schaltfläche DirectoryServicePortTest Die Testanwendung kann nur verwendet werden,wenn die Domänen- und Gesamtfunktionsebenen auf Windows Server 2012 R2 und daruntereingestellt sind.

Version 1.0207

samples/DirectoryServicePortTest.zip


DirectoryServicePortTest.exe -d <domain_name> -ip <server_IP_address> -tcp "53,88,389" -udp "53,88,389"

<domain_name>

Der vollqualifizierte Domänenname. Dieser wird verwendet, um die Gesamtstruktur- undFunktionsebenen der Domäne zu prüfen. Wenn Sie den Domänennamen nicht angeben, werdendie Funktionsebenen nicht getestet.

<server_IP_address>

Die IP-Adresse eines Domänencontrollers in Ihrer vorhandenen Domäne. Die Ports werden mitdieser IP-Adresse getestet. Wenn Sie die IP-Adresse nicht angeben, werden die Ports nichtgetestet.

Diese Test-App bestimmt, ob die erforderlichen Ports von der VPC zu Ihrer Domäne geöffnet sind undüberprüft auch die minimale Gesamtstruktur und Domänenfunktionsebenen.

Die Ausgabe sieht folgendermaßen oder ähnlich aus:

Testing forest functional level.Forest Functional Level = Windows2008R2Forest : PASSED

Testing domain functional level.Domain Functional Level = Windows2008R2Domain : PASSED

Testing required TCP ports to <server_IP_address>:Checking TCP port 53: PASSEDChecking TCP port 88: PASSEDChecking TCP port 389: PASSED

Testing required UDP ports to <server_IP_address>:Checking UDP port 53: PASSEDChecking UDP port 88: PASSEDChecking UDP port 389: PASSED

Nachfolgend der Quellcode für die Anwendung DirectoryServicePortTest.

/* Copyright 2010-2019 Amazon.com, Inc. or its affiliates. All Rights Reserved.

This file is licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance with the License. A copy of the License is located at

http://aws.amazon.com/apache2.0/

This file is distributed on an "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. See the License for the specific language governing permissions and limitations under the License.*/using System;using System.Collections.Generic;using System.IO;using System.Linq;using System.Net;using System.Net.Sockets;using System.Text;using System.Threading.Tasks;

Version 1.0208


using System.DirectoryServices.ActiveDirectory;using System.Threading;using System.DirectoryServices.AccountManagement;using System.DirectoryServices;using System.Security.Authentication;using System.Security.AccessControl;using System.Security.Principal;

namespace DirectoryServicePortTest{ class Program { private static List<int> _tcpPorts; private static List<int> _udpPorts;

private static string _domain = ""; private static IPAddress _ipAddr = null;

static void Main(string[] args) { if (ParseArgs(args)) { try { if (_domain.Length > 0) { try { TestForestFunctionalLevel();

TestDomainFunctionalLevel(); } catch (ActiveDirectoryObjectNotFoundException) { Console.WriteLine("The domain {0} could not be found.\n", _domain); } }

if (null != _ipAddr) { if (_tcpPorts.Count > 0) { TestTcpPorts(_tcpPorts); }

if (_udpPorts.Count > 0) { TestUdpPorts(_udpPorts); } } } catch (AuthenticationException ex) { Console.WriteLine(ex.Message); } } else { PrintUsage(); }

Console.Write("Press <enter> to continue."); Console.ReadLine(); }

Version 1.0209


static void PrintUsage() { string currentApp = Path.GetFileName(System.Reflection.Assembly.GetExecutingAssembly().Location); Console.WriteLine("Usage: {0} \n-d <domain> \n-ip \"<server IP address>\" \n[-tcp \"<tcp_port1>,<tcp_port2>,etc\"] \n[-udp \"<udp_port1>,<udp_port2>,etc\"]", currentApp); }

static bool ParseArgs(string[] args) { bool fReturn = false; string ipAddress = "";

try { _tcpPorts = new List<int>(); _udpPorts = new List<int>();

for (int i = 0; i < args.Length; i++) { string arg = args[i];

if ("-tcp" == arg | "/tcp" == arg) { i++; string portList = args[i]; _tcpPorts = ParsePortList(portList); }

if ("-udp" == arg | "/udp" == arg) { i++; string portList = args[i]; _udpPorts = ParsePortList(portList); }

if ("-d" == arg | "/d" == arg) { i++; _domain = args[i]; }

if ("-ip" == arg | "/ip" == arg) { i++; ipAddress = args[i]; } } } catch (ArgumentOutOfRangeException) { return false; }

if (_domain.Length > 0 || ipAddress.Length > 0) { fReturn = true; }

if (ipAddress.Length > 0) { _ipAddr = IPAddress.Parse(ipAddress); } return fReturn;

Version 1.0210


}

static List<int> ParsePortList(string portList) { List<int> ports = new List<int>();

char[] separators = {',', ';', ':'};

string[] portStrings = portList.Split(separators); foreach (string portString in portStrings) { try { ports.Add(Convert.ToInt32(portString)); } catch (FormatException) { } }

return ports; }

static void TestForestFunctionalLevel() { Console.WriteLine("Testing forest functional level.");

DirectoryContext dirContext = new DirectoryContext(DirectoryContextType.Forest, _domain, null, null); Forest forestContext = Forest.GetForest(dirContext);

Console.Write("Forest Functional Level = {0} : ", forestContext.ForestMode);

if (forestContext.ForestMode >= ForestMode.Windows2003Forest) { Console.WriteLine("PASSED"); } else { Console.WriteLine("FAILED"); }

Console.WriteLine(); }

static void TestDomainFunctionalLevel() { Console.WriteLine("Testing domain functional level.");

DirectoryContext dirContext = new DirectoryContext(DirectoryContextType.Domain, _domain, null, null); Domain domainObject = Domain.GetDomain(dirContext);

Console.Write("Domain Functional Level = {0} : ", domainObject.DomainMode);

if (domainObject.DomainMode >= DomainMode.Windows2003Domain) { Console.WriteLine("PASSED"); } else { Console.WriteLine("FAILED"); }

Console.WriteLine(); }

Version 1.0211


static List<int> TestTcpPorts(List<int> portList) { Console.WriteLine("Testing TCP ports to {0}:", _ipAddr.ToString());

List<int> failedPorts = new List<int>();

foreach (int port in portList) { Console.Write("Checking TCP port {0}: ", port);

TcpClient tcpClient = new TcpClient();

try { tcpClient.Connect(_ipAddr, port);

tcpClient.Close(); Console.WriteLine("PASSED"); } catch (SocketException) { failedPorts.Add(port); Console.WriteLine("FAILED"); } }

Console.WriteLine();

return failedPorts; }

static List<int> TestUdpPorts(List<int> portList) { Console.WriteLine("Testing UDP ports to {0}:", _ipAddr.ToString());

List<int> failedPorts = new List<int>();

foreach (int port in portList) { Console.Write("Checking UDP port {0}: ", port);

UdpClient udpClient = new UdpClient();

try { udpClient.Connect(_ipAddr, port); udpClient.Close(); Console.WriteLine("PASSED"); } catch (SocketException) { failedPorts.Add(port); Console.WriteLine("FAILED"); } }

Console.WriteLine();

return failedPorts; } }}

Version 1.0212

AWS Directory Service AdministratorhandbuchErstellen eines AD Connector

Erstellen eines AD ConnectorFühren Sie die folgenden Schritte aus, um mit AD Connector eine Verbindung zu einem vorhandenenVerzeichnis herzustellen. Bevor Sie dieses Verfahren beginnen, stellen Sie sicher, dass Sie die in ADConnector-Voraussetzungen (p. 202) angegebenen Voraussetzungen erfüllt haben.

Herstellen einer Verbindung mit AD Connector


2. Wählen Sie auf der Seite Select directory type (Verzeichnistyp auswählen) die Option AD Connectoraus und klicken Sie dann auf Next (Weiter).

3. Geben Sie auf der Seite Enter AD Connector information (AD Connector-Informationen eingeben) diefolgenden Informationen ein:

Verzeichnisgröße

Wählen Sie die Größenoption Small (Klein) oder Large (Groß). Weitere Informationen überGrößen finden Sie unter Active Directory Connector (p. 202).

Verzeichnisbeschreibung

Eine optionale Beschreibung des Verzeichnisses.4. Geben Sie auf der Seite Choose VPC and subnets (VPC und Subnetze wählen) die folgenden


VPC

Die VPC für das Verzeichnis.Subnetze


5. Geben Sie auf der Seite Connect to AD (Mit AD verbinden) die folgenden Informationen ein:


Den vollständig qualifizierten Namen Ihres vorhandenen Verzeichnisses, z. Bcorp.example.com.

Verzeichnis NetBIOS Bezeichnung

Den Kurznamen Ihres vorhandenen Verzeichnisses, z. B CORP.DNS-IP-Adressen

Die IP-Adresse von mindestens einem DNS-Server in Ihrem vorhandenen Verzeichnis. Auf dieseServer muss aus jedem im nächsten Abschnitt angegebenen Subnetz zugegriffen werden können.

Benutzername für Service-Konto

Den Benutzernamen eines Benutzers im vorhandenen Verzeichnis. Weitere Informationen zudiesem Konto finden Sie im Abschnitt AD Connector-Voraussetzungen (p. 202).

Passwort des Service-Kontos

Das Passwort für das vorhandene Benutzerkonto.Passwort bestätigen

Geben Sie das Passwort für das vorhandene Benutzerkonto erneut ein.Version 1.0213



6. Überprüfen Sie auf der Seite Review & create (Überprüfen und erstellen) die Verzeichnisinformationenund nehmen Sie gegebenenfalls Änderungen vor. Wenn die Informationen richtig sind, wählen SieCreate directory (Verzeichnis erstellen). Es dauert einige Minuten, bis das Verzeichnis erstellt wurde.Sobald sie erstellt wurden, ändert sich der Status in Active.

Was wird erstelltWenn Sie eine AD Connector, , und Sie haben die Möglichkeit AWS Directory Service automatischerstellt eine Elastic Network-Schnittstelle (Elastic Network Interface, ENI) und ordnet sie jedem IhrerDomänencontroller zu. Jede ENI hat eine kritische Bedeutung für die Konnektivität zwischen IhrerVPC und Ihren AWS Directory Service-Domänencontrollern und darf niemals gelöscht werden. Siekönnen alle Netzwerkschnittstellen, die für die Verwendung mit AWS Directory Service reserviert sind,anhand der Beschreibung: „AWS created network interface for directory directory-id (Von AWS erstellteNetzwerkschnittstelle für Verzeichnis directory-id)“ identifizieren. Weitere Informationen finden Sie unterElastic Network-Schnittstellen im Amazon EC2-Benutzerhandbuch für Windows-Instances.

Verwalten von AD ConnectorIn diesem Abschnitt werden alle Verfahren für die Ausführung und Verwaltung einer AD Connector-Umgebung aufgeführt.

Themen• Sichern des AD Connector-Verzeichnisses (p. 214)• Überwachen Ihres AD Connector-Verzeichnisses (p. 224)• Verbinden einer EC2-Instance mit Ihrem AD Connector-Verzeichnis (p. 227)• Verwalten Ihres AD Connector-Verzeichnisses (p. 234)• Aktualisieren der DNS-Adresse für AD Connector (p. 236)

Sichern des AD Connector-VerzeichnissesIn diesem Abschnitt wird beschrieben, wie Sie Ihre AD Connector-Umgebung sichern.

Themen• Aktualisieren der Anmeldeinformationen Ihres AD Connector-Service-Kontos in AWS Directory

Service (p. 214)• Aktivieren der Multifaktor-Authentifizierung für AD Connector (p. 215)• Aktivieren von clientseitigem LDAPS mit AD Connector (p. 216)• Aktivieren der Smartcard-Authentifizierung in AD Connector (p. 221)

Aktualisieren der Anmeldeinformationen Ihres AD Connector-Service-Kontos in AWS Directory ServiceDie von Ihnen in AWS Directory Service angegebenen AD Connector-Anmeldeinformationen stehenfür das Konto, mit dem Sie auf Ihr vorhandenes lokales Verzeichnis zugreifen. Sie können dieAnmeldeinformationen des Service-Kontos in AWS Directory Service ändern, indem Sie die folgendenSchritte ausführen.

Version 1.0214



Note

Wenn die Einmalanmeldung für das Verzeichnis aktiviert ist, muss AWS Directory Service denPrinzipalnamen des Services (Service Principal Name, SPN) vom aktuellen Servicekonto andas neue Servicekonto übertragen. Falls das aktuelle Servicekonto nicht zum Löschen des SPNoder das neue Servicekonto nicht zum Hinzufügen des SPN berechtigt ist, werden Sie nach denAnmeldeinformationen eines Verzeichniskontos gefragt, das die Berechtigungen zum Ausführenbeider Aktionen hat. Diese Anmeldeinformationen werden nur für die Übertragung des SPNverwendet. Sie werden nicht vom Service gespeichert.

So aktualisieren Sie die Anmeldeinformationen Ihres AD Connector-Service-Kontos in AWSDirectory Service

1. Wählen Sie im Navigationsbereich AWS Directory Service console Directories (Verzeichnisse) aus.2. Klicken Sie auf den Link der Verzeichnis-ID.3. Wählen Sie auf der Seite Directory details (Verzeichnisdetails) die Registerkarte Networking & security

(Netzwerk & Sicherheit) aus.4. Wählen Sie im Abschnitt Service account credentials (Servicekonto-Anmeldeinformationen) die Option

Update (Aktualisieren) aus.5. Geben Sie im Dialogfeld Update service account credentials (Anmeldeinformationen für Service-Konto

aktualisieren) den neuen Benutzernamen und das Passwort ein und wählen Sie dann Update Directory(Verzeichnis aktualisieren) aus.

Aktivieren der Multifaktor-Authentifizierung für AD ConnectorDie Multifaktor-Authentifizierung kann für AD Connector aktiviert werden, wenn Active Directory lokal oderin EC2-Instances ausgeführt wird. Weitere Informationen zur Verwendung der Multifaktor-Authentifizierungmit AWS Directory Service finden Sie unter AD Connector-Voraussetzungen (p. 202).

Note

Die Multifaktor-Authentifizierung ist für Simple AD nicht verfügbar. MFA kann jedoch für Ihr AWSManaged Microsoft AD-Verzeichnis aktiviert werden. Weitere Informationen finden Sie unterAktivieren der Multifaktor-Authentifizierung für AWS Managed Microsoft AD (p. 32).

So aktivieren Sie die Multifaktor-Authentifizierung für AD Connector

1. Wählen Sie im Navigationsbereich AWS Directory Service console Directories (Verzeichnisse) aus.2. Klicken Sie auf den Link der Verzeichnis-ID für Ihr AD Connector-Verzeichnis.3. Wählen Sie auf der Registerkarte Directory details (Verzeichnisdetails) die Registerkarte Networking &

security (Netzwerk und Sicherheit) aus.4. Wählen Sie auf der Registerkarte Directory details (Verzeichnisdetails) die Registerkarte Networking &

security (Netzwerk und Sicherheit) aus.5. Wählen Sie im Abschnitt Multi-factor authentication (Mehrfaktoren-Authentifizierung) die Option Actions

(Aktionen) und dann Enable (Aktivieren) aus.6. Geben Sie auf der Seite Enable multi-factor authentication (MFA) (Multi-Faktor-Authentifizierung (MFA)

aktivieren) die folgenden Werte ein:

Display label (Bezeichnung anzeigen)

Geben Sie einen Bezeichnungsnamen ein.RADIUS server DNS name or IP addresses (DNS-Name oder IP-Adressen des RADIUS-Servers)

Die IP-Adressen Ihrer RADIUS-Server-Endpunkte oder die IP-Adresse Ihres RADIUS-Server-Load-Balancers. Sie können mehrere IP-Adressen getrennt durch ein Komma eingeben (z. B.192.0.0.0,192.0.0.12).

Version 1.0215




Note

RADIUS MFA ist nur anwendbar, um den Zugriff auf die AWS Management Console oderauf Amazon Enterprise-Anwendungen sowie Services wie Amazon WorkSpaces, AmazonQuickSight oder Amazon Chime zu authentifizieren. Es bietet keine MFA für Windows-Workloads, die auf EC2-Instances ausgeführt werden, oder für das Anmelden an einerEC2-Instance. AWS Directory Service unterstützt keine RADIUS Challenge/Response-Authentifizierung.Die Benutzer müssen zusätzlich zu ihrem Benutzernamen und ihrem Passwort ihrenMFA-Code angeben. Alternativ müssen Sie eine Lösung verwenden, die eine Out-of-Band-MFA ausführt, wie beispielsweise eine SMS-Text-Verifizierung für den Benutzer.Bei Out-of-Band-MFA-Lösungen müssen Sie sicherstellen, dass Sie den RADIUS-Timeoutwert entsprechend Ihrer Lösung einstellen. Wenn Sie eine Out-of-Band-MFA-Lösung verwenden, wird der Benutzer auf der Anmeldeseite aufgefordert, einen MFA-Code einzugeben. In diesem Fall hat sich für Benutzer die Eingabe ihres Passwortssowohl im Passwortfeld als auch im MFA-Feld als bewährte Methode etabliert.

Port

Der Port, den Ihr RADIUS-Server für die Kommunikation verwendet. Ihr lokales Netzwerk musseingehenden Datenverkehr über den Standard-RADIUS-Server-Port (UDP: 1812) von den AWSDirectory Service-Servern zulassen.

Shared secret code (Gemeinsamer geheimer Code)

Der gemeinsame geheime Code, der bei der Erstellung Ihrer RADIUS-Endpunkte angegebenwurde.

Confirm shared secret code (Gemeinsamen geheimen Code bestätigen)

Bestätigen Sie den gemeinsamen geheimen Code für Ihre RADIUS-Endpunkte.Protocol (Protokoll)

Wählen Sie das Protokoll aus, das bei der Erstellung Ihrer RADIUS-Endpunkte angegeben wurde.Server timeout (in seconds) (Server-Zeitbeschränkung (in Sekunden))

Die Zeit in Sekunden, die gewartet werden muss, bis der RADIUS-Server antwortet. Dies muss einWert zwischen 1 und 50 sein.

Max RADIUS request retries (Maximal zulässige Wiederholungen für RADIUS-Anforderungen)

Die Anzahl der Kommunikationsversuche mit dem RADIUS-Server. Dies muss ein Wert zwischen0 und 10 sein.

Die Multifaktor-Authentifizierung ist verfügbar, wenn sich der RADIUS-Status in Enabled (Aktiviert)ändert.

7. Wählen Sie Enable (Aktivieren) aus.

Aktivieren von clientseitigem LDAPS mit AD ConnectorÜber die clientseitige LDAPS-Unterstützung in AD Connector wird die Kommunikation zwischen MicrosoftActive Directory (AD) und AWS-Anwendungen verschlüsselt. Beispiele für solche Anwendungen sindAmazon WorkSpaces, AWS SSO, Amazon QuickSight und Amazon Chime. Diese Verschlüsselung hilftIhnen, die Identitätsdaten Ihrer Organisation besser zu schützen und Ihre Sicherheitsanforderungen zuerfüllen.

Version 1.0216


Prerequisites

Bevor Sie clientseitiges LDAPS aktivieren, müssen Sie die folgenden Anforderungen erfüllen.

Themen• Bereitstellen von Serverzertifikaten in Active Directory (p. 217)• Zertifizierungsstellenzertifikat-Anforderungen (p. 217)• Netzwerkanforderungen (p. 217)

Bereitstellen von Serverzertifikaten in Active Directory

Um clientseitiges LDAPS aktivieren zu können, müssen Sie Serverzertifikate für jeden Domänencontrollerin Ihrem Active Directory abrufen und installieren. Diese Zertifikate werden vom LDAP-Service verwendet,um SSL-Verbindungen von LDAP-Clients zu überwachen und automatisch zu akzeptieren. Sie könnenSSL-Zertifikate verwenden, die entweder von einer internen Active Directory Certificate Services(ADCS)-Bereitstellung ausgestellt oder von einem kommerziellen Aussteller erworben werden. WeitereInformationen zu Active Directory-Serverzertifikatanforderungen finden Sie unter LDAP over SSL (LDAPS)Certificate auf der Microsoft-Website.


Ein Zertifikat der Zertifizierungsstelle (Certificate Authority, CA), das den Aussteller Ihrer Serverzertifikatedarstellt, ist für den clientseitigen LDAPS-Betrieb erforderlich. Zertifizierungsstellenzertifikate(CA-Zertifikate) werden mit den Serverzertifikaten abgeglichen, die von den Active Directory-Domänencontrollern zur Verschlüsselung der LDAP-Kommunikation bereitgestellt werden. Beachten Siedie folgenden Zertifizierungsstellenzertifikat-Anforderungen:

• Es können nur Zertifikate registriert werden, die noch mehr als 90 Tage lang gültig sind.• Zertifikate müssen im PEM-Format (Privacy-Enhanced Mail) vorliegen. Wenn Sie

Zertifizierungsstellenzertifikate aus Active Directory exportieren, wählen Sie base64-codiertes X.509(.CER) als Exportdateiformat aus.

• Pro AD Connector-Verzeichnis können maximal fünf (5) CA-Zertifikate gespeichert werden.• Zertifikate, die den RSASSA-PSS-Signaturalgorithmus verwenden, werden nicht unterstützt.

Netzwerkanforderungen

LDAP-Datenverkehr der AWS-Anwendung wird ausschließlich auf TCP-Port 636 ausgeführt, ohne Rückgriffauf LDAP-Port 389. Für die Windows LDAP-Kommunikation, die Replikation, Vertrauensstellungenund mehr unterstützt, wird jedoch weiterhin LDAP-Port 389 mit Windows-nativer Sicherheit verwendet.Konfigurieren Sie AWS-Sicherheitsgruppen und -Netzwerk-Firewalls, um TCP-Kommunikation an Port 636in AD Connector (ausgehend) und am selbstverwalteten Active Directory (eingehend) zu ermöglichen.

Aktivieren von clientseitigem LDAPS

Um clientseitiges LDAPS zu aktivieren, importieren Sie das Zertifikat der Zertifizierungsstelle (CertificateAuthority, CA) in AD Connector und aktivieren Sie dann LDAPS in Ihrem Verzeichnis. Nach der Aktivierungfließt der gesamte LDAP-Verkehr zwischen AWS-Anwendungen und Ihrem selbstverwalteten ActiveDirectory mit SSL-Kanalverschlüsselung (Secure Sockets Layer).

Sie können zwei verschiedene Verfahren nutzen, um client-seitiges LDAPS für Ihr Verzeichnis zuaktivieren. Sie können entweder das AWS Management Console-Verfahren oder das AWS CLI-Verfahrennutzen.

Themen

Version 1.0217




• Schritt 1: Zertifikat registrieren in AWS Directory Service (p. 218)• Schritt 2: Registrierungsstatus prüfen (p. 218)• Schritt 3: Aktivieren von clientseitigem LDAPS (p. 219)• Schritt 4: LDAPS-Status prüfen (p. 219)

Schritt 1: Zertifikat registrieren in AWS Directory Service

Nutzen Sie eines der folgenden Verfahren, um ein Zertifikat in AWS Directory Service zu registrieren.

Methode 1: So registrieren Sie Ihr Zertifikat in AWS Directory Service (AWS ManagementConsole)


(Netzwerk & Sicherheit) aus.4. Wählen Sie im Abschnitt Client-side LDAPS (clientseitiges LDAPS) das Menü Actions (Aktionen) aus

und klicken Sie dann auf Register certificate (Zertifikat registrieren).5. Klicken Sie im Dialogfeld Register a CA certificate (Registrieren eines CA-Zertifikats) auf die Option

Browse (Durchsuchen), wählen Sie dann das Zertifikat aus und klicken Sie anschließend auf dieOption Open (Öffnen).

6. Wählen Sie die Option Register certificate (Zertifikat registrieren) aus.

Methode 2: So registrieren Sie Ihr Zertifikat in AWS Directory Service (AWS CLI)

• Führen Sie den folgenden Befehl aus. Zeigen Sie für die Zertifikatdaten auf den Speicherort derZertifizierungsstellen-Zertifikatdatei. In der Antwort wird eine Zertifikat-ID angegeben.

aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path

Schritt 2: Registrierungsstatus prüfen

Um sich den Status einer Zertifikatsregistrierung oder eine Liste der registrierten Zertifikate anzeigen zulassen, nutzen Sie eines der folgenden Verfahren.

Methode 1: So überprüfen Sie den Zertifikatregistrierungsstatus in AWS Directory Service (AWSManagement Console)

1. Gehen Sie zu Clientseitiges LDAPS Abschnitt auf der Verzeichnisdetails Seite.2. Überprüfen Sie den aktuellen Status der Zertifikatregistrierung, der in der Spalte Registration status

(Registrierungsstatus) angezeigt wird. Wenn sich der Wert des Registrierungsstatus in Registered(Registriert) ändert, ist Ihr Zertifikat erfolgreich registriert worden.

Methode 2: So überprüfen Sie den Zertifikatregistrierungsstatus in AWS Directory Service (AWSCLI)

• Führen Sie den folgenden Befehl aus. Wenn der Statuswert Registered zurückgegeben wird, wurdeIhr Zertifikat erfolgreich registriert.


Version 1.0218



Schritt 3: Aktivieren von clientseitigem LDAPS

Nutzen Sie eines der folgenden Verfahren, um clientseitiges LDAPS im AWS Directory Service zuaktivieren.

Note

Sie müssen mindestens ein Zertifikat erfolgreich registriert haben, bevor Sie das clientseitigeLDAPS aktivieren können.

Methode 1: So aktivieren Sie clientseitiges LDAPS in AWS Directory Service (AWS ManagementConsole)

1. Gehen Sie zu Clientseitiges LDAPS Abschnitt auf der Verzeichnisdetails Seite.2. Wählen Sie Enable (aktivieren). Steht diese Option nicht zur Verfügung, überprüfen Sie, ob ein

gültiges Zertifikat erfolgreich registriert wurde, und versuchen Sie es dann erneut.3. Wählen Sie im Dialogfeld Enable client-side LDAPS (Client-seitiges LDAPS aktivieren) die Option

Enable (Aktivieren).

Methode 2: So aktivieren Sie clientseitiges LDAPS in AWS Directory Service (AWS CLI)


aws ds enable-ldaps --directory-id your_directory_id --type Client

Schritt 4: LDAPS-Status prüfen

Nutzen Sie eines der folgenden Verfahren, um den LDAPS-Status in AWS Directory Service zu prüfen.

Methode 1: So überprüfen Sie den LDAPS-Status in AWS Directory Service (AWS ManagementConsole)

1. Gehen Sie zu Clientseitiges LDAPS Abschnitt auf der Verzeichnisdetails Seite.2. Wenn der Statuswert als Enabled (Aktiviert) angezeigt wird, wurde das LDAPS erfolgreich konfiguriert.

Methode 2: So überprüfen Sie den LDAPS-Status in AWS Directory Service (AWS CLI)

• Führen Sie den folgenden Befehl aus. Wenn der Statuswert Enabled zurückgibt, wurde das LDAPSerfolgreich konfiguriert.

aws ds describe-ldaps-settings –directory-id your_directory_id

Verwalten von clientseitigem LDAPS

Verwenden Sie diese Befehle, um Ihre LDAPS-Konfiguration zu verwalten.

Sie können zwei verschiedene Verfahren nutzen, um client-seitige LDAPS-Einstellungen zu verwalten. Siekönnen entweder das AWS Management Console-Verfahren oder das AWS CLI-Verfahren nutzen.

Anzeigen von Details zu Zertifikaten

Nutzen Sie eines der folgenden Verfahren, um zu sehen, wann ein Zertifikat abläuft.

Version 1.0219


Methode 1: So zeigen Sie Zertifikatdetails in an AWS Directory Service (AWS ManagementConsole)


(Netzwerk & Sicherheit) aus.4. Im Abschnitt Client-side LDAPS (Clientseitiges LDAPS) werden unter CA certificates (CA-Zertifikate)

Informationen zum Zertifikat angezeigt.

Methode 2: So zeigen Sie Zertifikatdetails in an AWS Directory Service (AWS CLI)


aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id

Abmelden eines Zertifikats

Nutzen Sie eines der folgenden Verfahren, um ein Zertifikat abzumelden.

Note

Wenn nur ein Zertifikat registriert ist, müssen Sie zuerst LDAPS deaktivieren, bevor Sie dasZertifikat abmelden können.

Methode 1: So heben Sie die Registrierung eines Zertifikats in auf AWS Directory Service (AWSManagement Console)


(Netzwerk & Sicherheit) aus.4. Wählen Sie im Abschnitt Client-side LDAPS (Clientseitiges LDAPS) die Option Actions (Aktionen) und

klicken Sie dann auf Deregister certificate (Zertifikat abmelden).5. Wählen Sie im Dialogfeld Deregister a CA certificate (Ein CA-Zertifikat abmelden) die Option

Deregister (Abmelden).

Methode 2: So heben Sie die Registrierung eines Zertifikats in auf AWS Directory Service (AWSCLI)


aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id

Deaktivieren von clientseitigem LDAPS

Nutzen Sie eines der folgenden Verfahren, um clientseitiges LDAPS zu deaktivieren.

Version 1.0220




Methode 1: So deaktivieren Sie clientseitiges LDAPS in AWS Directory Service (AWSManagement Console)


(Netzwerk & Sicherheit) aus.4. Wählen Sie im Abschnitt Client-side LDAPS (Clientseitiges LDAPS) die Option Disable (Deaktivieren)

aus.5. Klicken Sie im Dialogfeld Disable client-side LDAPS (Clientseitiges LDAPS deaktivieren) auf Disable

(Deaktivieren).

Methode 2: So deaktivieren Sie clientseitiges LDAPS in AWS Directory Service (AWS CLI)


aws ds disable-ldaps --directory-id your_directory_id --type Client

Aktivieren der Smartcard-Authentifizierung in AD ConnectorSie können Smartcards verwenden, um Benutzer über Ihr lokales Active Directory (AD) und ADConnector bei Amazon WorkSpaces zu authentifizieren. Wenn diese Option aktiviert ist, wählenBenutzer ihre Smartcard auf dem WorkSpaces-Anmeldebildschirm aus und geben eine PIN ein, umsich zu authentifizieren, anstatt einen Benutzernamen und ein Passwort zu verwenden. Von dort ausverwendet der virtuelle Windows- oder Linux-Desktop die Smartcard, um sich von dem nativen Desktop-Betriebssystem aus in AD zu authentifizieren.

Note

Die Smartcard-Authentifizierung in AD Connector ist nur in der Region AWS GovCloud (USA-West) und nur mit Amazon WorkSpaces verfügbar. Andere AWS-Anwendungen werden nichtunterstützt.

Prerequisites

Um die Smartcard-Authentifizierung für Amazon WorkSpaces zu aktivieren, benötigen Sie eine operativeSmartcard-Infrastruktur, die in Ihr lokales AD integriert ist. Weitere Informationen zum Einrichten derSmartcard-Authentifizierung bei Amazon WorkSpaces und AD finden Sie unter Amazon WorkSpacesAdministration Guide.

Bevor Sie die Smartcard-Authentifizierung für Amazon WorkSpaces aktivieren, lesen Sie bitte die folgendenÜberlegungen:

• Zertifizierungsstellenzertifikat-Anforderungen (p. 221)• Anforderungen an Benutzerzertifikate (p. 222)• Überprüfungsprozess für die Zertifikatsperre (p. 222)• Weitere Überlegungen (p. 222)


AD Connector erfordert ein Zertifikat der Zertifizierungsstelle (Certificate Authority, CA), das den AusstellerIhrer Benutzerzertifikate repräsentiert, für die Smartcard-Authentifizierung. AD Connector gleicht CA-

Version 1.0221


https://docs.aws.amazon.com/workspaces/latest/adminguide/smart-cards.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/smart-cards.html


Zertifikate mit den Zertifikaten ab, die von Ihren Benutzern mit ihren Smartcards bereitgestellt werden.Beachten Sie die folgenden Zertifizierungsstellenzertifikat-Anforderungen:

• Bevor Sie ein CA-Zertifikat registrieren können, muss es vor 90 Tagen ablaufen.• CA-Zertifikate müssen im PEM-Format (Privacy-Enhanced Mail) vorliegen. Wenn Sie CA-Zertifikate aus

Active Directory exportieren, wählen Sie Base64-kodiertes X.509 (.CER) als Exportdateiformat aus.• Alle Stamm- und Zwischen-CA-Zertifikate, die von einer ausstellenden CA zu Benutzerzertifikaten

verkettet sind, müssen hochgeladen werden, damit die Smartcard-Authentifizierung erfolgreich ist.• Pro AD Connector-Verzeichnis können maximal 100 CA-Zertifikate gespeichert werden.• AD Connector unterstützt den RSASSA-PSS-Signaturalgorithmus für CA-Zertifikate nicht.

Anforderungen an Benutzerzertifikate

Benutzerzertifikate, die AD Connector präsentiert werden, müssen die userPrincipalName (UPN) desAD-Benutzers im Feld subjectAltName (SAN) des Zertifikats enthalten.

Überprüfungsprozess für die Zertifikatsperre

Um die Smartcard-Authentifizierung durchzuführen, muss AD Connector den Sperrstatus vonBenutzerzertifikaten mithilfe des Online Certificate Status Protocol (OCSP) überprüfen. Um eineZertifikatsperrprüfung durchzuführen, muss auf eine OCSP-Responder-URL über das Internet zugegriffenwerden können. Wenn Sie einen DNS-Namen verwenden, muss eine OCSP-Responder-URL eine Top-Level-Domain verwenden, die in der Internet Assigned Numbers Authority (IANA) Root Zone Database zufinden ist.

Die AD Connector-Prüfung der Zertifikatsperre erfolgt wie folgt:

• AD Connector muss die Authority Information Access (AIA)-Erweiterung im Benutzerzertifikat auf eineOCSP-Responder-URL überprüfen. Anschließend verwendet AD Connector die URL, um auf Sperren zuprüfen.

• Wenn AD Connector die in der AIA-Erweiterung des Benutzerzertifikats gefundene URL nicht auflösenkann oder eine OCSP-Responder-URL im Benutzerzertifikat findet, verwendet AD Connector dieoptionale OCSP-URL, die bei der Registrierung des CA-Stammzertifikats bereitgestellt wird.

Wenn die URL in der AIA-Erweiterung des Benutzerzertifikats aufgelöst wird, aber nicht reagiert, schlägtdie Benutzerauthentifizierung fehl.

• Wenn die OCSP-Responder-URL, die während der Registrierung des CA-Stammzertifikats bereitgestelltwurde, nicht aufgelöst werden kann, nicht reagiert oder keine OCSP-Responder-URL angegeben wurde,schlägt die Benutzerauthentifizierung fehl.

Note

AD Connector erfordert eine HTTP-URL für die OCSP-Responder-URL.

Weitere Überlegungen

Bevor Sie die Smartcard-Authentifizierung in AD Connector aktivieren, sollten Sie die folgenden Elementeberücksichtigen:

• Die Smartcard-Authentifizierung ersetzt die Benutzernamen- und Passwortauthentifizierung bei AmazonWorkSpaces.

Wenn Sie in Ihrem AD Connector-Verzeichnis andere AWS-Anwendungen mit aktivierter Smartcard-Authentifizierung konfiguriert haben, zeigen diese Anwendungen weiterhin den Eingabebildschirm fürBenutzername und Passwort an.

Version 1.0222

https://www.iana.org/domains/root/db


• Das Aktivieren der Smartcard-Authentifizierung begrenzt die Länge der Benutzersitzung auf diemaximale Lebensdauer für Kerberos-Service-Tickets. Sie können diese Einstellung mithilfe einerGruppenrichtlinie konfigurieren. Sie ist standardmäßig auf 10 Stunden festgelegt. Weitere Informationenzu dieser Einstellung finden Sie in der Microsoft-Dokumentation.

Aktivieren der Smartcard-Authentifizierung

Um die Smartcard-Authentifizierung zu aktivieren, führen Sie die folgenden Schritte aus, um IhreZertifikate der Zertifizierungsstelle (Certificate Authority, CA) mithilfe der AD Connector-AWS DirectoryServiceAPI oder der CLI in zu importieren. Aktivieren Sie dann die Smartcard-Authentifizierung für AmazonWorkSpaces auf Ihrem AD Connector.

• STEP 1: Aktivieren der eingeschränkten Kerberos-Delegierung für das AD Connector-Servicekonto (p. 223)

• STEP 2: Registrieren des CA-Zertifikats in AD Connector (p. 224)• STEP 3: Überprüfen des Registrierungsstatus Ihres CA-Zertifikats (p. 224)• STEP 4: Aktivieren der Smartcard-Authentifizierung für Amazon WorkSpaces (p. 224)

STEP 1: Aktivieren der eingeschränkten Kerberos-Delegierung für das ADConnector-Servicekonto

Um die Smartcard-Authentifizierung mit AD Connector zu verwenden, müssen Sie Kerberos ConstrainedDelegation (KCD) für das AD Connector-Service-Konto für den LDAP-Service im lokalen AD.-Verzeichnisaktivieren.

Die eingeschränkte Kerberos-Delegierung ist eine Funktion in Windows Server. Mit dieser Funktionkönnen Administratoren Vertrauensgrenzen für Anwendungen angeben und erzwingen, indem sie denUmfang einschränken, in dem Anwendungsservices im Namen eines Benutzers agieren können. WeitereInformationen finden Sie unter Eingeschränkte Kerberos-Delegierung.

1. Verwenden Sie den Befehl SetSpn, um einen Service Principal Name (SPN) für das ADConnector-Servicekonto in der lokalen AD festzulegen. Dies aktiviert das Servicekonto für dieDelegierungskonfiguration.

Der SPN kann eine beliebige Service- oder Namenskombination sein, aber kein Duplikat einesvorhandenen SPN. Der -s prüft auf Duplikate.

setspn -s my/spn service_account

2. Klicken Sie in AD Users and Computers mit der rechten Maustaste auf das AD Connector-Servicekonto und wählen Sie Properties aus.

3. Wählen Sie die Registerkarte Delegation.4. Wählen Sie die Optionsfelder Trust this user for delegate to specified service only und Use any

authentication protocol.5. Wählen Sie Add (Hinzufügen) und dann Users or Computers (Benutzer oder Computer) aus, um den

Domänencontroller zu finden.6. Wählen Sie OK aus, um eine Liste der verfügbaren Services anzuzeigen, die für die Delegierung

verwendet werden.7. Wählen Sie den LDAP-Servicetyp aus und klicken Sie auf OK.8. Klicken Sie erneut auf OK, um die Konfiguration zu speichern.9. Wiederholen Sie diesen Vorgang für andere Domänencontroller in AD. Alternativ können Sie den

Prozess mit PowerShell automatisieren.

Version 1.0223

https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-lifetime-for-service-ticket

https://docs.aws.amazon.com/directoryservice/latest/devguide/welcome.html

https://docs.aws.amazon.com/cli/latest/reference/ds/index.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_key_concepts_kerberos.html


STEP 2: Registrieren des CA-Zertifikats in AD ConnectorVerwenden Sie den folgenden CLI-Befehl, um Ihr CA-Zertifikat in AD Connector zu registrieren:

aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path --type ClientCertAuth --Client-Cert-Auth-Settings '{"OCSPUrl":"http://your_OCSP_address"}'

Zeigen Sie für die Zertifikatdaten auf den Speicherort Ihres CA-Zertifikats. Um eine sekundäre OCSP-Responder-Adresse bereitzustellen, verwenden Sie das optionale ClientCertAuthSettings-Objekt.Die Antwort enthält eine Zertifikat-ID.

STEP 3: Überprüfen des Registrierungsstatus Ihres CA-ZertifikatsFühren Sie den folgenden Befehl aus, um den Status einer CA-Zertifikatregistrierung oder einer Listeregistrierter CA-Zertifikate zu überprüfen:


Wenn der Statuswert Registered zurückgibt, haben Sie Ihr Zertifikat erfolgreich registriert.

STEP 4: Aktivieren der Smartcard-Authentifizierung für Amazon WorkSpacesUm die Smartcard-Authentifizierung für Amazon WorkSpaces in AD Connector zu aktivieren, verwendenSie den folgenden CLI-Befehl:

aws ds enable-client-authentication --directory-id your_directory_id --type SmartCard

Bei Erfolg gibt AD Connector die Antwort HTTP 200 mit leerem HTTP-Text zurück.

Überwachen Ihres AD Connector-VerzeichnissesSie können Ihr AD Connector-Verzeichnis mit folgenden Methoden überwachen:

Themen• Erläuterungen zum Verzeichnisstatus (p. 224)• Konfigurieren von Benachrichtigungen über den Verzeichnisstatus (p. 225)


Active (Aktiv)




Deleted (Gelöscht)


Version 1.0224







Das Verzeichnis wird nicht fehlerfrei ausgeführt. Mindestens ein Problem wurde erkannt und vermutlichwird nicht bei allen Verzeichnisvorgängen die volle Leistungskapazität erreicht. Es gibt viele möglicheGründe dafür, dass sich das Verzeichnis in diesem Zustand befindet. Darunter fallen normalebetriebliche Wartungsaktivitäten wie das Patchen oder die EC2-Instance-Rotation, das temporäreHot-Spotting durch eine Anwendung auf einem Ihrer Domänencontroller oder Änderungen, dieSie an Ihrem Netzwerk vorgenommen haben und die versehentlich die Verzeichniskommunikationstören. Weitere Informationen finden Sie unter Fehlerbehebung für AWS Managed MicrosoftAD (p. 193), AD Connector-Fehlerbehebung (p. 240), Simple AD-Fehlerbehebung (p. 298).Bei normalen wartungsbezogenen Problemen löst AWS diese innerhalb von 40 Minuten. Falls dasVerzeichnis nach der Konsultation des Themas Fehlerbehebung länger als 40 Minuten den Status„Impaired“ (Beeinträchtigt) aufweist, sollten Sie das AWS Support Center kontaktieren.

Important




Eine Anforderung zum Erstellen Ihres Verzeichnisses steht zurzeit an.RestoreFailed (Wiederherstellung fehlgeschlagen)





Konfigurieren von Benachrichtigungen über denVerzeichnisstatusMit Amazon Simple Notification Service (Amazon SNS) können Sie E-Mail- oder SMS (Text)-Nachrichtenerhalten, wenn sich der Status Ihres Verzeichnisses ändert. Sie werden benachrichtigt, wenn Ihr

Version 1.0225





Verzeichnis vom aktiven Status in einen eingeschränkten oder funktionsunfähigen Status wechselt.Außerdem erhalten Sie eine Benachrichtigung, wenn das Verzeichnis in den aktiven Status zurückkehrt.

So funktioniert esAmazon SNS verwendet "Themen" zum Sammeln und Verteilen von Nachrichten. Jedes Thema hateinen oder mehrere Abonnenten, die zu diesem Thema veröffentlichte Nachrichten empfangen. Über dienachfolgenden Schritte können Sie AWS Directory Service einem Amazon SNS-Thema als Herausgeberhinzufügen. Wenn AWS Directory Service eine Änderung am Status Ihres Verzeichnisses erkennt,wird eine Nachricht an das Thema veröffentlicht. Diese wird wiederum an die Abonnenten des Themasgesendet.

Sie können mehrere Verzeichnisse als Herausgeber zu einem einzelnen Thema zuordnen. Sie könnenauch Verzeichnisstatusmeldungen zu Themen hinzufügen, die Sie zuvor in Amazon SNS erstellt haben.Sie haben umfassende Kontrolle, wer ein Thema veröffentlichen und abonnieren kann. UmfassendeInformationen zu Amazon SNS finden Sie unter Was ist Amazon SNS?



2. Wählen Sie auf der Seite Directories (Verzeichnisse) Ihre Verzeichnis-ID aus.3. Wählen Sie die Registerkarte Maintenance (Wartung) aus.4. Wählen Sie im Abschnitt Directory monitoring (Verzeichnisüberwachung) die Option Actions (Aktionen)

und dann Create notification (Benachrichtigung erstellen) aus.5. Wählen Sie auf der Seite Create notification (Benachrichtigung erstellen) die Option Choose a

notification type (Benachrichtigungstyp auswählen) und dann Create a new notification (NeueBenachrichtigung erstellen) aus. Wenn Sie bereits über ein SNS-Thema verfügen, könnenSie Associate existing SNS topic (Mit vorhandenem SNS-Thema verknüpfen) auswählen, umStatusmeldungen von diesem Verzeichnis an das Thema zu senden.

Note

Wenn Sie Create a new notification (Neue Benachrichtigung erstellen) wählen, aber denNamen eines bereits vorhandenen SNS-Themas verwenden, erstellt Amazon SNS kein neuesThema, sondern fügt die neuen Abonnementinformationen zum vorhandenen Thema hinzu.Wenn Sie Associate existing SNS topic (Mit vorhandenem SNS-Thema verknüpfen) wählen,können Sie immer nur ein SNS-Thema auswählen, das in derselben Region wie dasVerzeichnis ist.

6. Wählen Sie Recipient type (Empfängertyp) und geben Sie die Kontaktinformationen für Recipient(Empfänger) ein. Wenn Sie unter "SMS" eine Telefonnummer eingeben, verwenden Sie nur Zahlen.Geben Sie keine Gedankenstriche, Leerzeichen oder Klammern ein.

7. (Optional) Geben Sie einen Namen für Ihr Thema und einen SNS-Anzeigenamen ein. DerAnzeigename ist ein kurzer Name (bis zu 10 Zeichen), der in alle SMS-Nachrichten zu diesem Themaaufgenommen wird. Bei der Verwendung der SMS-Option ist der Anzeigename erforderlich.

Note

Falls Sie als IAM-Benutzer oder mit einer IAM-Rolle angemeldet sind, die nur über dieverwaltete Richtlinie DirectoryServiceFullAccess verfügt, muss Ihr Themaname mit"DirectoryMonitoring" beginnen. Wenn Sie Ihren Themanamen anpassen möchten, benötigenSie zusätzliche Berechtigungen für SNS.

8. Wählen Sie Create aus.

Zusätzliche SNS-Abonnenten – z. B. eine zusätzliche E-Mail-Adresse, Amazon SQS-Warteschlangen oderAWS Lambda – können Sie in der Amazon SNS-Konsole unter https://console.aws.amazon.com/sns/v3/home angeben.

Version 1.0226








Verzeichnisstatusmeldungen aus einem Thema entfernen


2. Wählen Sie auf der Seite Directories (Verzeichnisse) Ihre Verzeichnis-ID aus.3. Wählen Sie die Registerkarte Maintenance (Wartung) aus.4. Wählen Sie im Abschnitt Directory monitoring (Verzeichnisüberwachung) einen SNS-Themennamen,

anschließend Actions (Aktionen) und dann Remove (Entfernen) aus.5. Wählen Sie Remove (Entfernen) aus.

Damit wird Ihr Verzeichnis als Herausgeber für das ausgewählte SNS-Thema entfernt. Das gesamteThema können Sie in der Amazon SNS-Konsole unter https://console.aws.amazon.com/sns/v3/homelöschen.

Note

Stellen Sie vor dem Löschen eines Amazon SNS-Themas mithilfe der SNS-Konsole sicher, dasskein Verzeichnis Statusmeldungen an dieses Thema sendet.Wenn Sie ein Amazon SNS-Thema über die SNS-Konsole löschen, wird diese Änderung nichtsofort in der Directory Services-Konsole sichtbar. Sie werden nur benachrichtigt, wenn dasnächste Mal ein Verzeichnis eine Benachrichtigung an das gelöschte Thema veröffentlicht.In diesem Fall wird auf der Registerkarte Monitoring (Überwachung) ein aktualisierter Statusangezeigt, der angibt, dass das Thema nicht gefunden wurde.Damit Ihnen keine wichtigen Verzeichnisstatusmeldungen entgehen, sollten Sie vor dem Löscheneines Themas, das Nachrichten von AWS Directory Service empfängt, das Verzeichnis mit einemanderen Amazon SNS-Thema verknüpfen.

Verbinden einer EC2-Instance mit Ihrem ADConnector-VerzeichnisSie können eine EC2-Instance nahtlos zu Ihrer Verzeichnisdomäne hinzufügen, wenn die Instance mitAWS Systems Manager gestartet wird. Weitere Informationen finden Sie unter Nahtloses Verbinden einerWindows-Instance mit einer AWS Directory Service-Domäne im Amazon EC2-Benutzerhandbuch fürWindows-Instances.



Themen• Nahtloser Beitritt zu einer Windows EC2-Instance (p. 227)• Nahtloses Verbinden einer Linux-EC2-Instance mit Ihrem AD Connector Verzeichnis (p. 229)

Nahtloser Beitritt zu einer Windows EC2-InstanceMit diesem Verfahren wird eine Windows-EC2-Instance nahtlos in Ihr AD Connector-Verzeichniseingebunden.

Version 1.0227

















Note

Diese Option ist nur für Windows-Instances verfügbar. Linux-Instances müssen wie inManueller Beitritt zu einer Linux-Instance (p. 85) beschrieben manuell mit dem Verzeichnisverbunden werden.



-oder-






Note

AmazonSSMDirectoryServiceAccess bietet die Berechtigung zur Verbindung vonInstances mit einem von AWS Directory Service verwalteten Active Directory.AmazonSSMManagedInstanceCore bietet die minimalen Berechtigungen zurVerwendung des Systems Manager-Service. Weitere Informationen zum Erstelleneiner Rolle mit diesen Berechtigungen sowie weitere Informationen zu anderen

Version 1.0228





Berechtigungen und Richtlinien, die Sie Ihrer IAM-Rolle hinzufügen können, findenSie unter Erstellen eines IAM Instance-Profils fürr Systems Manager im AWS SystemsManager-Benutzerhandbuch.









Nahtloses Verbinden einer Linux-EC2-Instance mit Ihrem ADConnector VerzeichnisDieses Verfahren verbindet eine Linux EC2-Instance nahtlos mit Ihrem AD Connector Verzeichnis.



Note


Prerequisites

Bevor Sie einen nahtlosen Domänen-Join zu einer Linux-EC2-Instance einrichten können, müssen Sie dieVerfahren in diesem Abschnitt ausführen.

Wählen Sie Ihr nahtloses Domänen-Join-Service-Konto

Sie können Linux-Computer nahtlos mit Ihrer lokalen Active Directory-Domäne verbinden, indemSie AD Connector. Dazu müssen Sie ein Benutzerkonto mit Berechtigungen zum Erstellen einesComputerkontos erstellen, um die Computer mit der Domäne zu verbinden. Sie können Ihre AD Connector

Version 1.0229



Servicekonto, wenn Sie bevorzugen. Sie können auch jedes andere Konto verwenden, das überausreichende Berechtigungen verfügt, um Computer mit der Domäne zu verbinden. Obwohl Mitgliederdes Domänenadministratoren oder andere Gruppen über ausreichende Berechtigungen verfügen, umComputer mit der Domäne zu verbinden, empfehlen wir diese nicht. Als bewährte Methode empfehlen wir,dass Sie ein Servicekonto verwenden, das über die Mindestberechtigungen verfügt, um Computer mit derDomäne zu verbinden.

Um ein Konto mit den Mindestberechtigungen zu delegieren, die zum Verbinden von Computern mitder Domäne erforderlich sind, können Sie Folgendes ausführen: PowerShell Befehle. Sie müssen dieseBefehle von einem mit einer Domäne verbundenen Windows-Computer mit der Installieren der ActiveDirectory-Verwaltungstools (p. 108) installiert hat. Darüber hinaus müssen Sie ein Konto verwenden, dasüber die Berechtigung zum Ändern der Berechtigungen auf Ihrer Computer-OU oder Ihrem Containerverfügt. Die Schaltfläche PowerShell -Befehl legt Berechtigungen fest, mit denen das ServicekontoComputerobjekte in Ihrem Domänenstandard-Computercontainer erstellen kann. Wenn Sie eine grafischeBenutzeroberfläche (GUI) bevorzugen, können Sie den manuellen Prozess verwenden, der in beschriebenwird. Zuweisen von Berechtigungen zu Ihrem Servicekonto (p. 205).

$AccountName = 'awsSeamlessDomain'# DO NOT modify anything below this comment.# Getting Active Directory information.Import-Module 'ActiveDirectory'$Domain = Get-ADDomain -ErrorAction Stop$BaseDn = $Domain.DistinguishedName$ComputersContainer = $Domain.ComputersContainer$SchemaNamingContext = Get-ADRootDSE | Select-Object -ExpandProperty 'schemaNamingContext'[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $SchemaNamingContext -Filter { lDAPDisplayName -eq 'Computer' } -Properties 'schemaIDGUID').schemaIDGUID# Getting Service account Information.$AccountProperties = Get-ADUser -Identity $AccountName$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value# Getting ACL settings for the Computers container.$ObjectAcl = Get-ACL -Path "AD:\$ComputersContainer" # Setting ACL allowing the service account the ability to create child computer objects in the Computers container.$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'CreateChild', 'Allow', $ServicePrincipalNameGUID, 'All'$ObjectAcl.AddAccessRule($AddAccessRule)Set-ACL -AclObject $ObjectAcl -Path "AD:\$ComputersContainer"

Wenn Sie lieber eine grafische Benutzeroberfläche (GUI) verwenden möchten, können Sie den manuellenProzess verwenden, um zu beschreiben in Zuweisen von Berechtigungen zu Ihrem Servicekonto (p. 205).






aus:



Version 1.0230




Note




Note





Note

Sie müssen aws/directory-services/d-xxxxxxxxx/seamless-domain-join genauso eingeben, wie es ist, aber d-xxxxxxxx durch Ihre Verzeichniskennung ersetzen. StellenSie sicher, dass am Anfang oder am Ende keine Leerzeichen vorhanden sind. Andernfallsschlägt der Domänenbeitritt fehl.









Version 1.0231






Note


{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource": [ "arn:aws:secretsmanager:us-east-1:############:secret:aws/directory-service/d-xxxxxxxxxx/seamless-domain-join-example" ] } ]}



Note






2. Wählen Sie im Navigationsbereich Roles aus.

Version 1.0232







3. Wählen Sie im Inhaltsbereich die Option Create role (Rolle erstellen) aus.4. Wählen Sie unter Select type of trusted entity (Auswahl des Typs der vertrauenswürdigen Entität) die






Note




LinuxEC2DomainJoin oder einen anderen von Ihnen bevorzugten Namen, ein.10. (Optional) Geben Sie im Feld Role description (Rollenbeschreibung) eine Beschreibung ein.11. Wählen Sie Create role (Rolle erstellen) aus.

Nahtloses Beitreten zu Ihrer Linux EC2-Instance

Nachdem Sie nun alle erforderlichen Aufgaben konfiguriert haben, können Sie das folgende Verfahrenverwenden, um nahtlos Ihrer Linux-EC2-Instance beizutreten.





Amazon Machine Image (AMI) aus.

Note

Das verwendete AMI muss über AWS Systems Manager (SSM Agent) Version 2.3.1644.0oder höher verfügen. Informationen zum Überprüfen der installierten SSM Agent-Version inIhrem AMI durch Starten einer Instance von diesem AMI finden Sie unter Abrufen der aktuellinstallierten SSM Agent-Version. Wenn Sie den SSM Agent aktualisieren müssen, finden Sie

Version 1.0233







Informationen dazu unter Installieren und Konfigurieren des SSM Agent auf EC2-Instances fürLinux.











Note


Verwalten Ihres AD Connector-VerzeichnissesIn diesem Abschnitt wird die Verwaltung allgemeiner Administrationsaufgaben für Ihre AD Connector-Umgebung beschrieben.

Themen• Löschen Ihres Verzeichnisses (p. 234)• Anzeigen von Verzeichnisinformationen (p. 235)



Version 1.0234







1. Wählen Sie im Navigationsbereich AWS Directory Service console Directories (Verzeichnisse) aus.2. Stellen Sie sicher, dass keine AWS-Anwendungen für das Verzeichnis aktiviert sind.


Management (Anwendungsverwaltung) aus. Im Abschnitt AWS Apps & Services können Siesehen, welche AWS-Anwendungen für Ihr Verzeichnis aktiviert sind.










Note

Wenn Sie AWS Single Sign-On verwenden und es zuvor mit dem zu löschenden AWSManaged Microsoft AD-Verzeichnis verknüpft haben, müssen Sie das Verzeichnis erstvon AWS SSO trennen, bevor Sie es löschen können. Weitere Informationen finden Sieunter Ein Verzeichnis trennen im AWS SSO-Benutzerhandbuch.

3. Wählen Sie im Navigationsbereich Directories (Verzeichnisse) aus.4. Wählen Sie nur das Verzeichnis aus, das gelöscht werden soll, und klicken Sie auf Delete (Löschen).

Es dauert einige Minuten, bis das Verzeichnis gelöscht ist. Wenn dieser Vorgang abgeschlossen ist,wird es aus Ihrer Verzeichnisliste entfernt.


Version 1.0235
















AWS Directory Service AdministratorhandbuchAktualisieren der DNS für AD Connector





Aktualisieren der DNS-Adresse für AD ConnectorGehen Sie bei der Aktualisierung der DNS-Adressen, auf die AD Connector verweist, folgendermaßen vor.

Note

Wenn derzeit eine Aktualisierung ausgeführt wird, müssen Sie vor dem Übermitteln einer weiterenAktualisierung warten, bis der aktuelle Vorgang abgeschlossen ist.

Note

Wenn Sie Amazon WorkSpaces mit Ihrem AD Connector, stellen Sie sicher, dass Ihr WorkSpaceDNS-Adressen werden ebenfalls aktualisiert. Weitere Informationen finden Sie unter Aktualisierenvon DNS-Servern für WorkSpaces.

So aktualisieren Sie die DNS-Einstellungen für AD Connector

1. Wählen Sie im Navigationsbereich der AWS Directory Service console Directories (Verzeichnisse) aus.2. Klicken Sie auf den Link der Verzeichnis-ID.3. Klicken auf der Seite Directory details (Verzeichnisdetails) auf Network & security (Netzwerk und

Sicherheit).4. Wählen Sie im Bereich Existing DNS settings (Vorhandene DNS-Einstellungen) die Option Update

(Aktualisieren).5. Geben Sie im Dialogfeld Update existing DNS addresses (Vorhandene DNS-Adressen aktualisieren)

die aktualisierten DNS-IP-Adressen ein und wählen Sie dann Update (Aktualisieren) aus.

Bewährte Methoden für AD ConnectorHier finden Sie einige Vorschläge und Richtlinien, die Sie in Betracht ziehen sollten, um Probleme zuvermeiden und AD Connector optimal zu nutzen.

Einrichten von: VoraussetzungenBeachten Sie die folgenden Richtlinien, bevor Sie Ihr Verzeichnis erstellen.



Version 1.0236


https://docs.aws.amazon.com/workspaces/latest/adminguide/update-dns-server.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/update-dns-server.html


AWS Directory Service AdministratorhandbuchEinrichten von: Voraussetzungen






Beachten Ihrer LimitsErfahren Sie mehr über die verschiedenen Limits für Ihren spezifischen Verzeichnistyp. Der verfügbareSpeicher und die Aggregationsgröße Ihrer Objekte sind die einzigen Einschränkungen für die Anzahl vonObjekten, die Sie in Ihrem Verzeichnis speichern können. Einzelheiten zum gewählten Verzeichnis findenSie unter Grenzwerte für AWS Managed Microsoft AD (p. 168), Grenzwerte für AD Connector (p. 239)oder Grenzwerte für Simple AD (p. 297).

Die Konfiguration und Verwendung der AWS-SicherheitsgruppeIhres Verzeichnisses verstehenAWS erstellt eine Sicherheitsgruppe und fügt sie an die Elastic Network-Schnittstellen Ihres Verzeichnissesan, auf die über Ihre per Peering verbundenen oder größenangepassten VPCs zugegriffen werden kann.AWS konfiguriert die Sicherheitsgruppe so, dass unnötiger Datenverkehr zum Verzeichnis blockiert wirdund der erforderliche Datenverkehr zugelassen wird.

Ändern der VerzeichnissicherheitsgruppeWenn Sie die Sicherheit der Sicherheitsgruppen Ihrer Verzeichnisse ändern möchten, können Sie dies tun.Nehmen Sie diese Änderungen nur vor, wenn Sie verstehen, wie Sicherheitsgruppenfilter funktionieren.Weitere Informationen finden Sie unter Amazon EC2-Sicherheitsgruppen für Linux-Instances im AmazonEC2-Benutzerhandbuch. Fehlerhafte Änderungen können zu einem Verlust der Kommunikation mitvorgesehenen Computern und Instances führen. AWS empfiehlt, dass Sie nicht versuchen, zusätzlichePorts zu Ihrem Verzeichnis zu öffnen, da dadurch die Sicherheit Ihres Verzeichnisses verringert wird.Sehen Sie sich das AWS-Modell übergreifender Verantwortlichkeit genau an.

Warning

Es ist technisch möglich, dass Sie die Sicherheitsgruppe des Verzeichnisses anderen vonIhnen erstellten EC2-Instances zuordnen. AWS rät jedoch von dieser Vorgehensweise ab.AWS hat möglicherweise Gründe, die Sicherheitsgruppe ohne vorherige Ankündigung zuändern, um Funktions- oder Sicherheitsanforderungen des verwalteten Verzeichnissesnachzukommen. Solche Änderungen wirken sich auf alle Instances aus, denen Sie die

Version 1.0237






AWS Directory Service AdministratorhandbuchProgrammieren Ihrer Anwendungen

Verzeichnis-Sicherheitsgruppe zuordnen, und können den Betrieb der dazugehörigen Instancesstören. Außerdem entsteht durch die Zuordnung der Verzeichnis-Sicherheitsgruppe zu Ihren EC2-Instances möglicherweise ein potenzielles Sicherheitsrisiko für Ihre EC2-Instances.

Konfigurieren Sie lokale Webseiten und Subnetze korrekt beiVerwendung von AD ConnectorWenn Ihr lokales Netzwerk Active Directory-Websites definiert hat, müssen Sie sicherstellen, dass dieSubnetze in der VPC, wo sich Ihr AD Connector befindet, in einer Active Directory-Website definiert sindund dass es keine Konflikte zwischen den Subnetzen in Ihrer VPC und den Subnetzen in Ihren anderenWebsites gibt.

Um Domänencontroller zu entdecken, verwendet AD Connector die Active Directory-Website, derenSubnetz-IP-Adressbereiche in der Nähe derjenigen in der VPC liegen, die den AD Connector enthalten.Wenn Sie über eine Website verfügen, deren Subnetze dieselben IP-Adressbereiche wie in Ihrer VPChaben, entdeckt AD Connector die Domänencontroller in dieser Website, die möglicherweise nicht physischin der Nähe Ihrer Region liegen.


• Leerzeichen• !"#$%&'()*+,/:;<=>?@[\]^`{|}~

Note



Auslastungstests vor der InbetriebnahmeFühren Sie Labortests mit Anwendungen und Anforderungen durch, die Ihren Produktions-Workloaddarstellen, um sicherzustellen, dass das Verzeichnis entsprechend der Arbeitslast Ihrer Anwendung skaliertwird. Wenn Sie zusätzliche Kapazitäten benötigen, verteilen Sie Ihre Ladevorgänge über mehrere ADConnector-Verzeichnisse.

Verwendung Ihres VerzeichnissesHier finden Sie einige Vorschläge zur Verwendung Ihres Verzeichnisses.

Wechseln Sie regelmäßig die Administrator-Anmeldeinformationen.Ändern Sie das AD Connector-Administratorpasswort Ihres Servicekontos regelmäßig und stellen Siesicher, dass das Passwort Ihren vorhandenen Active Directory-Passwortrichtlinien entspricht. Anleitungen

Version 1.0238


zum Ändern des Servicekonto-Passworts finden Sie unter Aktualisieren der Anmeldeinformationen IhresAD Connector-Service-Kontos in AWS Directory Service (p. 214).

Verwenden Sie eindeutige AD Connectors für jede DomäneAD Connectors und Ihre lokalen AD-Domänen haben eine 1-zu-1-Beziehung. Das bedeutet, dassfür jede lokale Domäne, einschließlich untergeordneter Domänen in AD-Gesamtstrukturen, die Sieauthentifizieren möchten, ein eindeutiger AD Connector erstellt werden muss. Für jeden AD Connector,den Sie erstellen, müssen Sie ein anderes Service-Konto verwenden, auch wenn sie mit dem gleichenVerzeichnis verbunden sind.

Überprüfen der KompatibilitätBei der Verwendung von AD Connector müssen Sie sicherstellen, dass Ihr lokales Verzeichnis kompatibelmit AWS Directory Services ist und bleibt. Weitere Informationen zu Ihren Verantwortlichkeiten finden Sie inunserem Modell für übergreifende Verantwortlichkeit.

Grenzwerte für AD ConnectorDie folgenden Grenzwerte sind die Standardgrenzwerte für AD Connector. Jedes Limit gilt pro Region,sofern nicht anders angegeben.

Limits für AD Connector


AD Connector-Verzeichnisse 10

Maximale Anzahl registrierterZertifizierungsstellenzertifikate (CA) proVerzeichnis

5






Richtlinie zur Anwendungskompatibilität für ADConnector

Alternativ zu AWS Directory Service für Microsoft Active Directory (AWS Managed Microsoft AD (p. 8))gibt es AD Connector. Dabei handelt es sich um einen Active Directory-Proxy für mit AWS erstellte

Version 1.0239

https://aws.amazon.com/compliance/shared-responsibility-model


AWS Directory Service AdministratorhandbuchFehlersuche

Anwendungen und Services. Sie konfigurieren den Proxy für die Verwendung einer angegebenen ActiveDirectory-Domäne. Wenn die Anwendung in Active Directory nach einem Benutzer oder einer Gruppesuchen muss, leitet AD Connector die Anforderungen an das Verzeichnis weiter. Wenn sich ein Benutzerbei der Anwendung anmeldet, leitet AD Connector die Authentifizierungsanforderung ebenfalls an dasVerzeichnis weiter. Es gibt keine Anwendungen von Drittanbietern, die mit AD Connector kompatibel sind.

Die folgende Liste enthält die kompatiblen AWS-Anwendungen und -Services:

• Amazon Chime – Detaillierte Anweisungen finden Sie unter Herstellen einer Verbindung mit ActiveDirectory.

• Amazon Connect – Weitere Informationen finden Sie unter Die Funktionsweise von Amazon Connect.• Amazon EC2 für Windows oder Linux – Sie können die nahtlose Domänen-Join-Funktion von verwenden

Amazon EC2 Windows oder Linux, um Ihre Instance mit Ihrem selbstverwalteten Active Directory (vorOrt) zu verbinden. Nach dem Herstellen der Verbindung kommuniziert die Instance direkt mit IhremActive Directory und umgeht AD Connector. Weitere Informationen finden Sie im Verbinden einer EC2-Instance mit Ihrem AD Connector-Verzeichnis (p. 227).

• AWS Management Console – Sie können AD Connector verwenden, um AWS Management Console-Benutzer über ihre Active Directory-Anmeldeinformationen zu authentifizieren, ohne eine SAML-Infrastruktur einrichten zu müssen. Weitere Informationen finden Sie im Aktivieren des Zugriffs auf dieAWS Management Console mit AD-Anmeldeinformationen (p. 156).

• Amazon QuickSight – Weitere Informationen finden Sie unter Verwalten von Benutzerkonten in derAmazon QuickSight-Enterprise-Edition.

• AWS Single Sign-On – Detaillierte Anweisungen finden Sie unter Verbinden von AWS SSO mit einemlokalen Active Directory.

• Amazon WorkDocs – Detaillierte Anweisungen finden Sie unter Herstellen einer Verbindung zu Ihremlokalen Verzeichnis mit AD Connector.

• Amazon WorkMail – Detaillierte Anweisungen finden Sie unter Integrieren von Amazon WorkMail in einvorhandenes Verzeichnis (Standardeinrichtung).

• Amazon WorkSpaces - Für detaillierte Anweisungen siehe Starten eines WorkSpace Verwenden von ADConnector.

Note

Amazon RDS ist kompatibel mit AWS Managed Microsoft AD und ist nicht kompatibel mit ADConnector. Weitere Informationen finden Sie im AWS Microsoft AD-Abschnitt im AWS DirectoryService FAQs Seite.

AD Connector-FehlerbehebungDie folgenden Informationen können Ihnen beim Beheben von ein paar gängigen Problemen behilflich sein,die beim Erstellen oder Benutzen Ihres Verzeichnisses auftreten können.

Hier finden Sie ein paar häufig auftretende Probleme mit AD Connector.

Nahtlose Domäneneinbindung für EC2-Instancesfunktioniert nicht mehrWenn eine zuvor funktionierende nahtlose Domäneneinbindung für EC2-Instances bei aktivem ADConnector nicht mehr funktioniert, sind die Anmeldeinformationen für Ihr AD Connector-Service-Konto

Version 1.0240



https://docs.aws.amazon.com/connect/latest/adminguide/what-is-amazon-connect.html#amazon-connect-fundamentals





https://docs.aws.amazon.com/workdocs/latest/adminguide/connect_directory_connector.html

https://docs.aws.amazon.com/workdocs/latest/adminguide/connect_directory_connector.html



https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspace-ad-connector.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspace-ad-connector.html

https://aws.amazon.com/directoryservice/faqs/#microsoft-ad

https://aws.amazon.com/directoryservice/faqs/#microsoft-ad

AWS Directory Service AdministratorhandbuchDie Fehlermeldung "Unable to authenticate(Authentifizierung nicht möglich)" erscheint

bei der Verwendung von AWS-Anwendungenzur Suche von Benutzern oder Gruppenmöglicherweise abgelaufen. Abgelaufene Anmeldeinformationen können AD Connector daran hindern,

Computerobjekte in Ihrem Active Directory zu erstellen.

Um dieses Problem zu beheben, aktualisieren Sie die Passwörter des Service-Kontos in der folgendenReihenfolge, damit die Passwörter übereinstimmen:

1. Aktualisieren des Passworts für das Service-Konto in Ihrem Active Directory2. Aktualisieren des Passworts für das Service-Konto in Ihrem AD Connector in AWS Directory Service

Wenn das Passwort nur in AWS Directory Service aktualisiert wird, wird die Passwortänderung NICHTvon Ihrem lokalen Active Directory übernommen. Es ist also wichtig, in der angezeigten Reihenfolgevorzugehen.

Die Fehlermeldung "Unable to authenticate(Authentifizierung nicht möglich)" erscheint bei derVerwendung von AWS-Anwendungen zur Suche vonBenutzern oder GruppenWenn bei der Nutzung von AWS-Anwendungen, wie z. B. Amazon WorkSpaces oder Amazon QuickSight,nach Benutzern gesucht wird, treten möglicherweise selbst dann Fehler auf, wenn der Status ADConnector aktiv war. Abgelaufene Anmeldeinformationen können AD Connector daran hindern, Abfragenvon Objekten in Ihrem Active Directory durchzuführen. Aktualisieren Sie das Passwort für das Service-Konto unter Verwendung der Schritte in der oben angegebenen Reihenfolge.

Ich erhalte die Fehlermeldung "DNS unavailable",wenn ich eine Verbindung zu meinem lokalenVerzeichnis herstellen möchteSie erhalten eine Fehlermeldung ähnlich der Folgenden, wenn Sie eine Verbindung zu Ihrem lokalenVerzeichnis herstellen möchten:

DNS unavailable (TCP port 53) for IP: <DNS IP address>

AD Connector muss über TCP und UDP über Port 53 mit Ihren lokalen DNS-Servern kommunizierenkönnen. Stellen Sie sicher, dass Ihre Sicherheitsgruppen und lokalen Firewalls die TCP- und UDP-Kommunikation über diesen Port erlauben. Weitere Informationen finden Sie unter AD Connector-Voraussetzungen (p. 202).

Ich erhalte die Fehlermeldung "Connectivity issuesdetected", wenn ich eine Verbindung zu meinemlokalen Verzeichnis herstellen möchteSie erhalten eine Fehlermeldung ähnlich der Folgenden, wenn Sie eine Verbindung zu Ihrem lokalenVerzeichnis herstellen möchten:

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address>Kerberos/authentication unavailable (TCP port 88) for IP: <IP address>

Version 1.0241

AWS Directory Service AdministratorhandbuchIch erhalte die Fehlermeldung "SRV record",

wenn ich eine Verbindung zu meinemlokalen Verzeichnis herstellen möchte

Please ensure that the listed ports are available and retry the operation.

AD Connector muss über TCP und UDP über folgende Ports mit Ihren lokalen Domänencontrollernkommunizieren können. Überprüfen Sie, ob Ihre Sicherheitsgruppen und lokalen Firewalls die TCP- undUDP-Kommunikation über diese Ports erlauben. Weitere Informationen finden Sie unter AD Connector-Voraussetzungen (p. 202).

• 88 (Kerberos)• 389 (LDAP)

Ich erhalte die Fehlermeldung "SRV record", wennich eine Verbindung zu meinem lokalen Verzeichnisherstellen möchteSie erhalten eine Fehlermeldung ähnlich einer oder mehr der Folgenden, wenn Sie eine Verbindung zuIhrem lokalen Verzeichnis herstellen möchten:

SRV record for LDAP does not exist for IP: <DNS IP address>

SRV record for Kerberos does not exist for IP: <DNS IP address>

AD Connector muss beim Aufbau einer Verbindung zu Ihrem Verzeichnis SRV-Datensätze für_ldap._tcp.<DnsDomainName> und _kerberos._tcp.<DnsDomainName> abrufen. Sie erhaltendiese Fehlermeldung, wenn der Service diese Datensätze nicht von den DNS-Servern abrufen kann, dieSie beim Aufbau einer Verbindung zu ihrem Verzeichnis angegeben haben. Weitere Informationen zudiesen SRV-Datensätzen finden Sie unter SRV record requirements (p. 204).

Mein Verzeichnis bleibt dauerhaft im Status„Angefragt”.Wenn sich Ihr Verzeichnis länger als fünf Minuten im „Angefragt”-Status befindet, löschen Sie dasVerzeichnis und erstellen es neu. Wenn dieses Problem weiterhin besteht, wenden Sie sich an das AWSSupport Center.

Der Fehler „Beschränktes AZ” wird angezeigt, wennich ein Verzeichnis erstellen will.Einige AWS-Konten, die vor 2012 erstellt wurden, haben möglicherweise Zugriff auf Availability Zones inden USA Ost (Nord-Virginia)-, USA West (Nordkalifornien)- oder Asien-Pazifik (Tokio)-Regionen, die AWSDirectory Service-Verzeichnisse nicht unterstützen. Wenn während der Erstellung eines Verzeichnisses einFehler wie dieser angezeigt wird, wählen Sie ein Subnetz aus einer anderen Availability Zone und erstellenSie das Verzeichnis erneut.

Einige meiner Benutzer können sich in meinemVerzeichnis nicht authentifizieren.Für Ihre Benutzerkonten muss die Kerberos-Vorabauthentifizierung aktiviert sein. Dies ist dieStandardeinstellung für neue Benutzerkonten und sie sollte nicht geändert werden. Weitere Informationenzu dieser Einstellung finden Sie unter Vorauthentifizierung auf Microsoft TechNet.

Version 1.0242




AWS Directory Service AdministratorhandbuchDer Fehler „Ungültige Anmeldeinformationen” wird

angezeigt, wenn das von AD Connector verwendeteServicekonto versucht, sich zu authentifizieren.

Der Fehler „Ungültige Anmeldeinformationen” wirdangezeigt, wenn das von AD Connector verwendeteServicekonto versucht, sich zu authentifizieren.Das kann passieren, wenn die Festplatte auf Ihrem Domänen-Controller nicht mehr über genügendSpeicherplatz verfügt. Stellen Sie sicher, dass Ihre Domänen-Controller-Festplatten nicht voll sind.

Version 1.0243


Simple Active DirectorySimple AD ist ein eigenständig verwaltetes Verzeichnis auf einem mit Samba 4 Active Directorykompatiblen Server. Es ist in zwei Größen erhältlich.

• Klein – Unterstützt bis zu 500 Benutzer (ungefähr 2.000 Objekte einschließlich Benutzern, Gruppen undComputern).

• Groß – Unterstützt bis zu 5.000 Benutzer (ungefähr 20.000 Objekte einschließlich Benutzern, Gruppenund Computern).

Simple AD stellt einen Teil der Funktionen von AWS Managed Microsoft AD bereit, wie beispielsweise dieMöglichkeit, Benutzerkonten und Gruppenmitgliedschaften zu verwalten, Gruppenrichtlinien zu erstellenund anzuwenden, eine sichere Verbindung zu Amazon EC2-Instances herzustellen oder einen Kerberos-basierten Single Sign-On (SSO; einmaliges Anmelden) bereitzustellen. Beachten Sie jedoch, dass SimpleAD unterstützt keine Funktionen wie Multi-Faktor-Authentifizierung (MFA), Vertrauensstellungen mitanderen Domänen, Active Directory Administrative Center, PowerShell Unterstützung, Active Directory-Papierkorb, gruppenverwaltete Servicekonten und Schemaerweiterungen für POSIX- und Microsoft-Anwendungen.

Simple AD bietet viele Vorteile:

• Mit Simple AD ist es noch einfacher, Amazon EC2-Instances zu verwalten, auf denen Linux undWindows ausgeführt wird, und Windows-Anwendungen in der AWS-Cloud bereitzustellen.

• Viele der Anwendungen und Tools, die Sie heutzutage benutzen und die den Microsoft Active Directory-Support erfordern, können mit Simple AD verwendet werden.

• Benutzerkonten in Simple AD erlauben den Zugriff auf AWS-Anwendungen wie beispielsweise AmazonWorkSpaces, Amazon WorkDocs oder Amazon WorkMail.

• Sie können AWS-Ressourcen mit IAM rollen–basiertem Zugriff auf die AWS Management Consoleverwalten.

• Täglich automatisierte Snapshots ermöglichen eine zeitpunktbezogene Wiederherstellung.

Simple AD unterstützt Folgendes nicht:

• Amazon AppStream 2.0• Amazon Chime• Amazon RDS for SQL Server• AWS – Einmaliges Anmelden• Vertrauensstellungen mit anderen Domänen• Active Directory Administrative Center• PowerShell• Active Directory-Papierkorb• Gruppenverwaltete Service-Konten• Schemaerweiterungen für POSIX und Microsoft-Anwendungen

Lesen Sie die Themen in diesem Abschnitt, um zu erfahren, wie Sie Ihr eigenes Simple AD erstellen.

Themen• Erste Schritte mit Simple AD (p. 245)

Version 1.0244

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_join_instance.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_join_instance.html


• Verwalten von Simple AD (p. 248)• Tutorial: Erstellen eines Simple AD-Verzeichnisses. (p. 291)• Bewährte Methoden für Simple AD (p. 294)• Grenzwerte für Simple AD (p. 297)• Richtlinie zur Anwendungskompatibilität für Simple AD (p. 298)• Simple AD-Fehlerbehebung (p. 298)

Erste Schritte mit Simple ADSimple AD erstellt ein vollständig verwaltetes, Samba-basiertes Verzeichnis in der AWS Cloud. Wenn Sieein Verzeichnis mit Simple AD erstellen, richtet AWS Directory Service zwei Domänencontroller und DNS-Server für Sie ein. Die Domänencontroller werden in verschiedenen Subnetzen in einer VPC erstellt. DieseRedundanz hilft sicherzustellen, dass Ihr Verzeichnis verfügbar bleibt, auch wenn ein Fehler auftritt.

Themen• Simple AD-Voraussetzungen (p. 245)• Erstellen eines Simple AD-Verzeichnisses. (p. 246)• Was wird erstellt (p. 247)• Konfigurieren von DNS (p. 248)

Simple AD-VoraussetzungenUm ein Simple AD-Verzeichnis zu erstellen, benötigen Sie eine VPC mit Folgendem:

• Mindestens zwei Subnetze. Damit Simple AD korrekt installiert wird, müssen Sie Ihre zweiDomänencontroller in getrennten Subnetzen installieren, die sich in einer anderen Availability Zonebefinden müssen. Die Subnetze müssen sich außerdem im selben Classless Inter-Domain Routing(CIDR)-Bereich befinden. Wenn Sie die VPC für Ihr Verzeichnis erweitern oder die Größe ändern wollen,stellen Sie sicher, dass beide Domänencontroller-Subnetze für den erweiterten VPC CIDR-Bereichausgewählt sind.

• Die VPC muss über Standard-Hardware-Tenancy verfügen.• Die VPC muss nicht mit den folgenden Optionen konfiguriert werden: VPC-Endpunkt(e):

• CloudWatch VPC-Endpunkt• Wenn Sie mit Simple AD LDAPS-Unterstützung benötigen, empfehlen wir, sie mittels eines Elastic Load

Balancer und HA Proxy zu konfigurieren, die auf EC2-Instances ausgeführt werden. Dieses Modellermöglicht es Ihnen, ein leistungsstarkes Zertifikat für die LDAPS-Verbindung zu verwenden, den Zugriffauf LDAPS über eine einzelne ELB-IP-Adresse zu vereinfachen und einen automatischen Failover überden HA-Proxy durchzuführen. Weitere Informationen zum Konfigurieren von LDAPS mit Simple ADfinden Sie unter Konfigurieren eines LDAPS-Endpunkts für Simple AD im AWS-Blog zur Sicherheit.

• Die folgenden Verschlüsselungstypen müssen in dem Verzeichnis aktiviert werden:• RC4_HMAC_MD5• AES128_HMAC_SHA1• AES256_HMAC_SHA1• Zukünftige Verschlüsselungstypen

Note

Wenn diese Verschlüsselungstypen deaktiviert werden, kann dies zuKommunikationsproblemen mit RSAT (Remote Server Administration Tools) und zuAuswirkungen auf die Verfügbarkeit oder Ihr Verzeichnis führen.

Version 1.0245

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch-and-interface-VPC.html

https://aws.amazon.com/blogs/security/how-to-configure-ldaps-endpoint-for-simple-ad/

AWS Directory Service AdministratorhandbuchErstellen eines Simple AD-Verzeichnisses.

AWS Directory Service verwendet eine Struktur aus zwei VPCs. Die EC2-Instances, aus denen IhrVerzeichnis besteht, werden außerhalb Ihres AWS-Kontos ausgeführt und von AWS verwaltet. Sie besitzenzwei Netzwerkadapter: ETH0 und ETH1. ETH0 ist der Verwaltungsadapter und ist außerhalb Ihres Kontosvorhanden. ETH1 wird innerhalb Ihres Kontos erstellt.

Der Verwaltungs-IP-Bereich Ihres Verzeichnisnetzwerks ETH0 wird programmgesteuert ausgewählt, umsicherzustellen, dass er zu keinem Konflikt mit der VPC führt, in der Ihr Verzeichnis bereitgestellt wird.Dieser IP-Bereich kann sich in einem beliebigen der folgenden Paare (als in zwei Subnetzen ausgeführtenVerzeichnissen) befinden:

• 10.0.1.0/24 und 10.0.2.0/24• 192.168.1.0/24 & 192.168.2.0/24

Wir vermeiden Konflikte, indem wir das erste Oktet des CIDR ETH1 überprüfen. Wenn es mit 10 startet,wählen wir die VPC 192.168.0.0/16 mit den Subnetzen 192.168.1.0/24 und 192.168.2.0/24. Wenn daserste Oktet ein anderer Wert als 10 ist, wählen wir die VPC 10.0.0.0/16 mit den Subnetzen 10.0.1.0/24 und10.0.2.0/24.

Der Auswahlalgorithmus beinhaltet keine Routen in Ihrer VPC. Es ist daher möglich, dass dieses Szenariozu einem IP-Weiterleitungskonflikt führt.

Erstellen eines Simple AD-Verzeichnisses.Zum Erstellen eines neuen Verzeichnisses führen Sie folgende Schritte aus. Bevor Sie dieses Verfahrenbeginnen, stellen Sie sicher, dass Sie die in Simple AD-Voraussetzungen (p. 245) angegebenenVoraussetzungen erfüllt haben.

Ein Simple AD-Verzeichnis erstellen


2. Wählen Sie auf der Seite Select directory type (Verzeichnistyp auswählen) die Option Simple AD unddann Next (Weiter) aus.


Directory size (Verzeichnisgröße)

Wählen Sie die Größenoption Small (Klein) oder Large (Groß). Weitere Informationen überGrößen finden Sie unter Simple Active Directory (p. 244).

Organization name (Organisationsname)

Für die Registrierung von Client-Geräten wird ein eindeutiger Organisationsname für IhrVerzeichnis verwendet.

Dieses Feld steht nur zur Verfügung, wenn Sie Ihr Verzeichnis als Teil eines AmazonWorkSpaces-Starts erstellen.


Den vollständig qualifizierten Namen für das Verzeichnis, z. B. corp.example.com.NetBIOS-Name des Verzeichnisses

Die kurzen Namen für das Verzeichnis, z. B. CORP.Administrator password

Das Passwort für den Verzeichnisadministrator. Mit der Verzeichniserstellung wird einAdministratorkonto mit dem Benutzernamen Administrator und diesem Passwort angelegt.

Version 1.0246



Das Verzeichnisadministrator-Passwort unterscheidet zwischen Groß-/ Kleinschreibung und musszwischen 8 und 64 Zeichen lang sein. Zudem muss es mindestens ein Zeichen aus dreien der vierfolgenden Kategorien enthalten:• Kleinbuchstaben (a – z)• Großbuchstaben (A – Z)• Zahlen (0 bis 9)• Nicht-alphanumerische Zeichen (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

Confirm password

Geben Sie das Administratorpasswort erneut ein.Verzeichnisbeschreibung



VPC

Die VPC für das Verzeichnis.Subnets (Subnetze)


5. Überprüfen Sie auf der Seite Review & create (Überprüfen und erstellen) die Verzeichnisinformationenund nehmen Sie gegebenenfalls Änderungen vor. Wenn die Informationen richtig sind, wählen SieCreate directory (Verzeichnis erstellen). Es dauert einige Minuten, bis das Verzeichnis erstellt wurde.Sobald es erstellt wurde, ändert sich der Wert von Status in Active (Aktiv).

Was wird erstelltWenn Sie ein Verzeichnis mit Simple AD erstellen, führt AWS Directory Service für Sie die folgendenAufgaben aus:

• Installiert ein Samba-basiertes Verzeichnis in der VPC.• Erstellt ein Konto für den Verzeichnisadministrator mit dem Benutzernamen Administrator und dem

angegebenen Passwort. Mit diesem Konto verwalten Sie das Verzeichnis.

Important

Denken Sie daran, dieses Passwort zu speichern. AWS Directory Service speichert diesesPasswort nicht und es kann nicht abgerufen werden. Sie können jedoch ein Passwort von derAWS Directory Service Konsole oder mithilfe der ResetUserPassword API.

• Erstellt eine Sicherheitsgruppe für die Verzeichniscontroller.• Erstellt ein Konto mit dem Namen AWSAdminD-xxxxxxxx, das Domänen-Administrator-Berechtigungen

hat. Dieses Konto wird von AWS Directory Service verwendet, um automatisierte Operationen fürVerzeichnis-Wartungsoperationen auszuführen, z. B. das Erstellen von Verzeichnis-Snapshots undFSMO-Rollen-Übertragungen. Die Anmeldeinformationen für dieses Konto werden von AWS DirectoryService sicher gespeichert.

• Automatisch erstellt eine Elastic Network-Schnittstelle (Elastic Network Interface, ENI) und ordnet siejedem Ihrer Domänencontroller zu. Jede ENI hat eine kritische Bedeutung für die Konnektivität zwischenIhrer VPC und Ihren AWS Directory Service-Domänencontrollern und darf niemals gelöscht werden. Siekönnen alle Netzwerkschnittstellen, die für die Verwendung mit AWS Directory Service reserviert sind,anhand der Beschreibung: „AWS created network interface for directory directory-id (Von AWS erstellte

Version 1.0247


AWS Directory Service AdministratorhandbuchKonfigurieren von DNS

Netzwerkschnittstelle für Verzeichnis directory-id)“ identifizieren. Weitere Informationen finden Sie unterElastic Network-Schnittstellen im Amazon EC2-Benutzerhandbuch für Windows-Instances.

Konfigurieren von DNSSimple AD; leitet DNS-Anfragen an die IP-Adresse des von Amazon bereitgestellten DNS-Servers fürIhre VPC weiter. Diese DNS-Server lösen Namen auf, die in Ihren Route 53 privat gehosteten Zonenkonfiguriert sind. Durch Verweisen Ihrer lokalen Computer an Simple AD können Sie nun DNS-Anfragen anIhre privat gehostete Zone auflösen.

Beachten Sie, dass für die Bereitstellung Ihrer Simple AD zur Beantwortung externer DNS-Abfragen dieNetzwerk-ACL (Access Control List, Zugriffskontrollliste) für die VPC mit Ihrer Simple AD so konfiguriertsein muss, dass Datenverkehr von außerhalb der VPC zugelassen wird.

Wenn Sie nicht Route 53 privat gehostete Zonen verwenden, werden Ihre DNS-Anfragen zu öffentlichenDNS-Servern weitergeleitet.

Wenn Sie benutzerdefinierte DNS-Server verwenden, die außerhalb Ihrer VPC liegen, und private DNSverwenden möchten, müssen Sie neu konfigurieren, um benutzerdefinierte DNS-Server auf EC2-Instancesinnerhalb Ihrer VPC zu verwenden. Weitere Informationen finden Sie unter Arbeiten mit privat gehostetenZonen.

Wenn Sie möchten, dass Ihr Simple AD Namen mit DNS-Servern innerhalb Ihrer VPC und privaten DNS-Servern außerhalb Ihrer VPC auflöst, verwenden Sie DHCP-Optionen. Ein detailliertes Beispiel finden Siein diesem Artikel.

Note

Dynamische DNS-Aktualisierungen werden von Simple AD-Domänen nicht unterstützt.Stattdessen können Sie die Änderungen direkt vornehmen, indem Sie Ihr Verzeichnis per DNS-Manager mit einer Instance verbinden, die Ihrer Domäne zugeordnet ist.

Weitere Informationen zu Route 53 finden Sie unter Was ist Route 53.

Verwalten von Simple ADIn diesem Abschnitt werden alle Verfahren für die Ausführung und Verwaltung einer Simple AD-Umgebungaufgeführt.

Themen• Verwalten von Benutzern und Gruppen in Simple AD (p. 248)• Überwachen Ihres Simple AD-Verzeichnisses (p. 252)• Verbinden einer EC2-Instance mit Ihrem Simple AD-Verzeichnis (p. 255)• Verwalten Ihres Simple AD-Verzeichnisses (p. 275)• Aktivieren des Zugriffs auf AWS-Anwendungen und -Services (p. 278)• Aktivieren des Zugriffs auf die AWS Management Console mit AD-Anmeldeinformationen (p. 288)

Verwalten von Benutzern und Gruppen in Simple AD„Benutzer“ sind Einzelpersonen oder Entitäten, die Zugriff auf Ihr Verzeichnis haben. Gruppen sind sehrnützlich, um Berechtigungen zu erteilen oder zu verweigern, anstatt diese Berechtigungen für jedeneinzelnen Benutzer erstellen zu müssen. Wenn ein Benutzer zu einer anderen Organisation wechselt,verschieben Sie diesen Benutzer in eine andere Gruppe. Er erhält dann automatisch die Berechtigungenfür die neue Organisation.

Version 1.0248


https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html

https://blogs.aws.amazon.com/security/post/Tx3SU68M25RX2PS/How-to-Set-Up-DNS-Resolution-Between-On-Premises-Networks-and-AWS-Using-AWS-Dire

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html


Zum Erstellen von Benutzern und Gruppen in einem AWS Directory Service-Verzeichnis müssen Sieeine Instance (entweder lokal oder auf EC2) verwenden, die Ihrem AWS Directory Service-Verzeichniszugeordnet wurde, und als Benutzer angemeldet sein, der dazu berechtigt ist, Benutzer und Gruppen zuerstellen. Sie müssen außerdem die Active Directory-Tools auf Ihrer EC2-Instance installieren, sodassSie Ihre Benutzer und Gruppen mit dem Snap-in "Active Directory-Benutzer und -Computer" hinzufügenkönnen. Weitere Informationen zum Einrichten einer EC2-Instance und zum Installieren der notwendigenTools finden Sie unter Schritt 3: Bereitstellen einer EC2-Instance für die Verwaltung von AWS ManagedMicrosoft AD (p. 180).

Note

Für Ihre Benutzerkonten muss die Kerberos-Vorabauthentifizierung aktiviert sein. Dies ist dieStandardeinstellung für neue Benutzerkonten und sie sollte nicht geändert werden. WeitereInformationen zu dieser Einstellung finden Sie im Microsoft TechNet unter Vorabauthentifizierung.

Die folgenden Themen enthalten Anweisungen zum Erstellen und Verwalten von Benutzern und Gruppen.

Themen• Installieren der Active Directory-Verwaltungstools (p. 249)• Erstellen eines Benutzers (p. 250)• Zurücksetzen eines Passworts (p. 250)• Erstellen einer Gruppe (p. 251)• Hinzufügen eines neuen Benutzers zu einer Gruppe (p. 252)

Installieren der Active Directory-VerwaltungstoolsUm Ihr Verzeichnis über eine EC2-Windows-Instance zu verwalten, müssen Sie Tools für Active DirectoryDomain Services und Active Directory Lightweight Directory Services auf der Instance installieren. Mit demfolgenden Verfahren können Sie diese Tools unter Windows Server 2012, Windows Server 2016 oderWindows Server 2019 installieren.

Sie können auf Wunsch die Active Directory-Verwaltungstools mithilfe von Windows PowerShellinstallieren. Sie können z. B. die Active Directory-Remoteverwaltungstools mit Install-WindowsFeature RSAT-ADDS über eine PowerShell-Eingabeaufforderung installieren. WeitereInformationen finden Sie unter Install-WindowsFeature auf der Microsoft-Website.

Installieren der Active Directory-Verwaltungstools von Windows Server 2012 bisWindows Server 2019

So installieren Sie die Active Directory-Verwaltungstools von Windows Server 2012 bis WindowsServer 2019

1. Öffnen Sie den Server-Manager. Wählen Sie dazu im Startbildschirm die Option Server-Manager aus.2. Wählen Sie im Server-Manager die Option Rollen und Features hinzufügen aus.3. Wählen Sie im Assistent zum Hinzufügen von Rollen und Features die Option Installationstyp und

Rollenbasierte oder featurebasierte Installation aus. Klicken Sie dann auf Weiter.4. Stellen Sie sicher, dass unter Serverauswahl der lokale Server ausgewählt ist. Wählen Sie dann im

linken Navigationsbereich Features aus.5. Öffnen Sie in der Baumstruktur Features die Bereiche Remoteserver-Verwaltungstools und

Rollenverwaltungstools, markieren Sie AD DS und AD LDS Tools, scrollen Sie nach unten und wählenSie DNS Server Tools aus. Klicken Sie dann auf Weiter.

6. Prüfen Sie die Informationen und klicken Sie auf Installieren. Nach Abschluss der Feature-Installationsind die Tools für Active Directory Domain Services (AD DS) und Active Directory Lightweight DirectoryServices (AD LDS) auf dem Startbildschirm im Ordner Verwaltung verfügbar.

Version 1.0249


https://docs.microsoft.com/en-us/powershell/module/servermanager/install-windowsfeature?view=winserver2012r2-ps


Erstellen eines BenutzersNote

Bei Verwendung von Simple AD, wenn Sie ein Benutzerkonto auf einer Linux-Instance mit derOption "Benutzer bei der ersten Anmeldung zum Ändern des Passworts zwingen" erstellen,kann der Benutzer sein Passwort nicht mit kpasswd. (z. B.. Um das Passwort zum ersten Malzu ändern, muss ein Domänenadministrator das Benutzerpasswort mit den Active DirectoryManagement Tools aktualisieren.

Gehen Sie wie folgt vor, um einen Benutzer mit einer EC2-Instance zu erstellen, die mit Ihrem Simple AD-Verzeichnis verbunden ist.

So erstellen Sie einen Benutzer


Tip



2. Wählen Sie in der Verzeichnisstruktur unter dem NetBIOS-Namen Ihres Verzeichnisses eine OU aus,in der Sie Ihren Benutzer speichern möchten (z. B. Corp\Users). Weitere Informationen über die vonVerzeichnissen im AWS verwendete OU-Struktur finden Sie unter Was wird erstellt (p. 12).

3. Klicken Sie im Menü Aktion auf Neu und dann auf Benutzer, um den Assistenten für neue Benutzeraufzurufen.

4. Geben Sie auf der ersten Seite des Assistenten die Werte für die folgenden Felder ein und klicken Sieauf Weiter.

• Vorname• Nachname• Benutzeranmeldename

5. Geben Sie auf der zweiten Seite des Assistenten ein temporäres Passwort unter Kennwort einund wählen Sie dann Kennwort bestätigen aus. Stellen Sie sicher, dass die Option Benutzer mussKennwort bei der nächsten Anmeldung ändern ausgewählt ist. Wählen Sie keine der anderen Optionenaus. Klicken Sie auf Next (Weiter).

6. Überprüfen Sie auf der dritten Seite des Assistenten, ob die Informationen zum neuen Benutzer richtigsind, und klicken Sie auf die Option für Fertig stellen. Der neue Benutzer wird im Ordner Benutzerangezeigt.

Zurücksetzen eines Passworts

Benutzer müssen sich an die Passwortrichtlinie halten, wie im Verzeichnis definiert. Gelegentlich vergessenauch die erfahrensten Benutzer und auch der Verzeichnisadministrator ihr Passwort. In einem solchenFall können Sie das Passwort des Benutzers mit AWS Directory Service zurücksetzen, wenn dieser einemSimple AD- oder AWS Managed Microsoft AD-Verzeichnis zugeordnet ist.

Abgesehen von den folgenden Ausnahmen können Sie das Passwort für jeden Benutzer in IhremVerzeichnis zurücksetzen:

Version 1.0250


• Bei Simple AD können Sie das Passwort nicht für einen Benutzer zurücksetzen, der Mitglied derGruppe der Domänenadministratoren oder der Enterprise-Administratoren ist. Dies gilt nicht für denAdministratorbenutzer.

• Bei AWS Managed Microsoft AD können Sie das Passwort nicht für einen Benutzer zurücksetzen, derzu einer Organisationseinheit gehört, die nicht die OU ist, die auf dem NetBIOS-Namen basiert, den Siebeim Erstellen des Verzeichnisses eingegeben haben. Sie können beispielsweise nicht das Passwort füreinen Benutzer in der OU AWS Reserved zurücksetzen. Weitere Informationen über die OU-Struktur fürein AWS Managed Microsoft AD-Verzeichnis finden Sie unter Was wird erstellt (p. 12).

Sie können jede der folgenden Methoden verwenden, um das Passwort eines Benutzers zurückzusetzen.

Methode 1: Zurücksetzen eines Benutzerpassworts (AWS Management Console)

1. Wählen Sie im Navigationsbereich der AWS Directory Service-Konsole unter Active Directorydie Option Directories (Verzeichnisse) und dann das Verzeichnis in der Liste aus, in der Sie dasBenutzerpasswort zurücksetzen möchten.

2. Wählen Sie auf der Seite Directory details (Verzeichnisdetails) die Option Reset user password(Benutzerpasswort zurücksetzen).

3. Geben Sie im Dialogfeld Reset user password (Benutzerpasswort zurücksetzen) unter Username(Benutzername) den Benutzernamen des Benutzers ein, dessen Passwort geändert werden soll.

4. Geben Sie dann ein Passwort in die Felder New password (Neues Passwort) und Confirm Password(Passwort bestätigen) ein und wählen Sie Reset password (Passwort zurücksetzen) aus.

Methode 2: Zurücksetzen eines Benutzerpassworts (Windows PowerShell)

1. Öffnen Sie Windows PowerShell.2. Geben Sie den folgenden Befehl ein und ersetzen Sie den Benutzernamen „joebob“ und das Passwort

„P@ssw0rd“ durch Ihre gewünschten Anmeldeinformationen. Weitere Informationen finden Sie unterReset-DSUserPassword Cmdlet.

Reset-DSUserPassword -UserName joebob -DirectoryId d-1234567890 -NewPasswordP@ssw0rd

Methode 3: Zurücksetzen eines Benutzerpassworts (AWS CLI)

1. Öffnen Sie die AWS CLI.2. Geben Sie den folgenden Befehl ein und ersetzen Sie den Benutzernamen „joebob“ und das Passwort

„P@ssw0rd“ durch Ihre gewünschten Anmeldeinformationen. Weitere Informationen finden Sie unterreset-user-password in der AWS CLI-Befehlsreferenz.

aws ds reset-user-password --directory-id d-1234567890 --user-name joebob --new-password P@ssw0rd

Erstellen einer GruppeGehen Sie wie folgt vor, um eine Sicherheitsgruppe mit einer EC2-Instance zu erstellen, die mit IhremSimple AD-Verzeichnis verbunden ist.

So erstellen Sie eine Gruppe


Version 1.0251


https://docs.aws.amazon.com/powershell/latest/reference/items/Reset-DSUserPassword.html

https://docs.aws.amazon.com/cli/latest/reference/ds/reset-user-password.html


Tip



2. Wählen Sie in der Verzeichnisstruktur unter dem NetBIOS-Namen Ihres Verzeichnisses eine OU aus,in der Sie Ihre Gruppe speichern möchten (z. B. Corp\Users). Weitere Informationen über die vonVerzeichnissen im AWS verwendete OU-Struktur finden Sie unter Was wird erstellt (p. 12).

3. Klicken Sie im Menü Aktion auf Neu und dann auf Gruppe, um den Assistenten für neue Gruppenaufzurufen.

4. Geben Sie unter Gruppenname einen Namen für die Gruppe ein und wählen Sie dann einenGruppenbereich sowie die Option Sicherheit für den Gruppentyp aus.

5. Klicken Sie auf OK. Die neue Sicherheitsgruppe wird im Ordner Benutzer angezeigt.

Hinzufügen eines neuen Benutzers zu einer GruppeGehen Sie wie folgt vor, um einen Benutzer zu einer Sicherheitsgruppe mit einer EC2-Instance hinzufügen,die mit Ihrem Simple AD-Verzeichnis verbunden ist.

So fügen Sie einen neuen Benutzer zu einer Gruppe hinzu


Tip



2. Wählen Sie in der Verzeichnisstruktur unter dem NetBIOS-Namen Ihres Verzeichnisses die OU aus, inder Sie Ihre Gruppe gespeichert haben. Wählen Sie dann die Gruppe aus, zu der Sie einen Benutzerals Mitglied hinzufügen möchten.

3. Klicken Sie im Menü Aktion auf Eigenschaften, um das Dialogfeld "Eigenschaften" für die Gruppe zuöffnen.

4. Wählen Sie die Registerkarte Mitglieder aus und klicken Sie auf Hinzufügen.5. Geben Sie unter Geben Sie die zu verwendenden Objektnamen ein den hinzuzufügenden

Benutzernamen ein und klicken Sie auf OK. Der Name wird in der Liste Mitglieder angezeigt. KlickenSie erneut auf OK, um die Gruppenmitgliedschaft zu aktualisieren.

6. Überprüfen Sie, ob der Benutzer jetzt Mitglied der Gruppe ist, indem Sie den Benutzer imOrdner Benutzer auswählen und im Menü Aktion auf Eigenschaften klicken, um das Dialogfeld"Eigenschaften" zu öffnen. Wählen Sie die Registerkarte Mitglied von aus. Sie sollten den Namen derGruppe in der Liste der Gruppen sehen, zu der der Benutzer gehört.

Überwachen Ihres Simple AD-VerzeichnissesSie können Ihr Simple AD-Verzeichnis mit folgenden Methoden überwachen:

Themen

Version 1.0252


• Erläuterungen zum Verzeichnisstatus (p. 253)• Konfigurieren von Benachrichtigungen über den Verzeichnisstatus (p. 254)


Active (Aktiv)




Deleted (Gelöscht)







Das Verzeichnis wird nicht fehlerfrei ausgeführt. Mindestens ein Problem wurde erkannt und vermutlichwird nicht bei allen Verzeichnisvorgängen die volle Leistungskapazität erreicht. Es gibt viele möglicheGründe dafür, dass sich das Verzeichnis in diesem Zustand befindet. Darunter fallen normalebetriebliche Wartungsaktivitäten wie das Patchen oder die EC2-Instance-Rotation, das temporäreHot-Spotting durch eine Anwendung auf einem Ihrer Domänencontroller oder Änderungen, dieSie an Ihrem Netzwerk vorgenommen haben und die versehentlich die Verzeichniskommunikationstören. Weitere Informationen finden Sie unter Fehlerbehebung für AWS Managed MicrosoftAD (p. 193), AD Connector-Fehlerbehebung (p. 240), Simple AD-Fehlerbehebung (p. 298). Beinormalen wartungsbezogenen Problemen löst AWS diese innerhalb von 40 Minuten. Falls dasVerzeichnis nach der Konsultation des Themas Fehlerbehebung länger als 40 Minuten den Status„Impaired“ (Beeinträchtigt) aufweist, sollten Sie das AWS Support Center kontaktieren.

Important




Eine Anforderung zum Erstellen Ihres Verzeichnisses steht zurzeit an.

Version 1.0253




RestoreFailed (Wiederherstellung fehlgeschlagen)





Konfigurieren von Benachrichtigungen über denVerzeichnisstatusMit Amazon Simple Notification Service (Amazon SNS) können Sie E-Mail- oder SMS (Text)-Nachrichtenerhalten, wenn sich der Status Ihres Verzeichnisses ändert. Sie werden benachrichtigt, wenn IhrVerzeichnis vom aktiven Status in einen eingeschränkten oder funktionsunfähigen Status wechselt.Außerdem erhalten Sie eine Benachrichtigung, wenn das Verzeichnis in den aktiven Status zurückkehrt.

So funktioniert es

Amazon SNS verwendet "Themen" zum Sammeln und Verteilen von Nachrichten. Jedes Thema hateinen oder mehrere Abonnenten, die zu diesem Thema veröffentlichte Nachrichten empfangen. Über dienachfolgenden Schritte können Sie AWS Directory Service einem Amazon SNS-Thema als Herausgeberhinzufügen. Wenn AWS Directory Service eine Änderung am Status Ihres Verzeichnisses erkennt,wird eine Nachricht an das Thema veröffentlicht. Diese wird wiederum an die Abonnenten des Themasgesendet.

Sie können mehrere Verzeichnisse als Herausgeber zu einem einzelnen Thema zuordnen. Sie könnenauch Verzeichnisstatusmeldungen zu Themen hinzufügen, die Sie zuvor in Amazon SNS erstellt haben.Sie haben umfassende Kontrolle, wer ein Thema veröffentlichen und abonnieren kann. UmfassendeInformationen zu Amazon SNS finden Sie unter Was ist Amazon SNS?



2. Wählen Sie auf der Seite Directories (Verzeichnisse) Ihre Verzeichnis-ID aus.3. Wählen Sie die Registerkarte Maintenance (Wartung) aus.4. Wählen Sie im Abschnitt Directory monitoring (Verzeichnisüberwachung) die Option Actions (Aktionen)

und dann Create notification (Benachrichtigung erstellen) aus.5. Wählen Sie auf der Seite Create notification (Benachrichtigung erstellen) die Option Choose a

notification type (Benachrichtigungstyp auswählen) und dann Create a new notification (NeueBenachrichtigung erstellen) aus. Wenn Sie bereits über ein SNS-Thema verfügen, könnenSie Associate existing SNS topic (Mit vorhandenem SNS-Thema verknüpfen) auswählen, umStatusmeldungen von diesem Verzeichnis an das Thema zu senden.

Note

Wenn Sie Create a new notification (Neue Benachrichtigung erstellen) wählen, aber denNamen eines bereits vorhandenen SNS-Themas verwenden, erstellt Amazon SNS kein neuesThema, sondern fügt die neuen Abonnementinformationen zum vorhandenen Thema hinzu.

Version 1.0254






Wenn Sie Associate existing SNS topic (Mit vorhandenem SNS-Thema verknüpfen) wählen,können Sie immer nur ein SNS-Thema auswählen, das in derselben Region wie dasVerzeichnis ist.

6. Wählen Sie Recipient type (Empfängertyp) und geben Sie die Kontaktinformationen für Recipient(Empfänger) ein. Wenn Sie unter "SMS" eine Telefonnummer eingeben, verwenden Sie nur Zahlen.Geben Sie keine Gedankenstriche, Leerzeichen oder Klammern ein.

7. (Optional) Geben Sie einen Namen für Ihr Thema und einen SNS-Anzeigenamen ein. DerAnzeigename ist ein kurzer Name (bis zu 10 Zeichen), der in alle SMS-Nachrichten zu diesem Themaaufgenommen wird. Bei der Verwendung der SMS-Option ist der Anzeigename erforderlich.

Note

Falls Sie als IAM-Benutzer oder mit einer IAM-Rolle angemeldet sind, die nur über dieverwaltete Richtlinie DirectoryServiceFullAccess verfügt, muss Ihr Themaname mit"DirectoryMonitoring" beginnen. Wenn Sie Ihren Themanamen anpassen möchten, benötigenSie zusätzliche Berechtigungen für SNS.

8. Wählen Sie Create aus.

Zusätzliche SNS-Abonnenten – z. B. eine zusätzliche E-Mail-Adresse, Amazon SQS-Warteschlangen oderAWS Lambda – können Sie in der Amazon SNS-Konsole unter https://console.aws.amazon.com/sns/v3/home angeben.

Verzeichnisstatusmeldungen aus einem Thema entfernen


2. Wählen Sie auf der Seite Directories (Verzeichnisse) Ihre Verzeichnis-ID aus.3. Wählen Sie die Registerkarte Maintenance (Wartung) aus.4. Wählen Sie im Abschnitt Directory monitoring (Verzeichnisüberwachung) einen SNS-Themennamen,

anschließend Actions (Aktionen) und dann Remove (Entfernen) aus.5. Wählen Sie Remove (Entfernen) aus.

Damit wird Ihr Verzeichnis als Herausgeber für das ausgewählte SNS-Thema entfernt. Das gesamteThema können Sie in der Amazon SNS-Konsole unter https://console.aws.amazon.com/sns/v3/homelöschen.

Note

Stellen Sie vor dem Löschen eines Amazon SNS-Themas mithilfe der SNS-Konsole sicher, dasskein Verzeichnis Statusmeldungen an dieses Thema sendet.Wenn Sie ein Amazon SNS-Thema über die SNS-Konsole löschen, wird diese Änderung nichtsofort in der Directory Services-Konsole sichtbar. Sie werden nur benachrichtigt, wenn dasnächste Mal ein Verzeichnis eine Benachrichtigung an das gelöschte Thema veröffentlicht.In diesem Fall wird auf der Registerkarte Monitoring (Überwachung) ein aktualisierter Statusangezeigt, der angibt, dass das Thema nicht gefunden wurde.Damit Ihnen keine wichtigen Verzeichnisstatusmeldungen entgehen, sollten Sie vor dem Löscheneines Themas, das Nachrichten von AWS Directory Service empfängt, das Verzeichnis mit einemanderen Amazon SNS-Thema verknüpfen.

Verbinden einer EC2-Instance mit Ihrem Simple AD-VerzeichnisSie können eine EC2-Instance nahtlos zu Ihrer Verzeichnisdomäne hinzufügen, wenn die Instance mitAWS Systems Manager gestartet wird. Weitere Informationen finden Sie unter Nahtloses Verbinden einer

Version 1.0255








Windows-Instance mit einer AWS Directory Service-Domäne im Amazon EC2-Benutzerhandbuch fürWindows-Instances.



Themen• Nahtloser Beitritt zu einer Windows EC2-Instance (p. 256)• Manuelle Anbindung an eine Windows-Instance (p. 257)• Nahtloses Verbinden einer Linux-EC2-Instance mit Ihrem Simple AD Verzeichnis (p. 259)• Manueller Beitritt zu einer Linux-Instance (p. 264)• Delegieren von Berechtigungen zum Beitritt zu Verzeichnissen für Simple AD (p. 272)• Erstellen Sie eine DHCP-Optionsliste (p. 274)

Nahtloser Beitritt zu einer Windows EC2-InstanceMit diesem Verfahren wird eine Windows-EC2-Instance nahtlos in Ihr Simple AD-Verzeichnis eingebunden.












Note

Diese Option ist nur für Windows-Instances verfügbar. Linux-Instances müssen wie inManueller Beitritt zu einer Linux-Instance (p. 85) beschrieben manuell mit dem Verzeichnisverbunden werden.


Version 1.0256







-oder-





AmazonSSMDirectoryServiceAccess aus. (Geben Sie zum Filtern der Liste im Suchfeld SSM ein.)Note

AmazonSSMDirectoryServiceAccess bietet die Berechtigung zur Verbindung vonInstances mit einem von AWS Directory Service verwalteten Active Directory.AmazonSSMManagedInstanceCore bietet die minimalen Berechtigungen zurVerwendung des Systems Manager-Service. Weitere Informationen zum Erstelleneiner Rolle mit diesen Berechtigungen sowie weitere Informationen zu anderenBerechtigungen und Richtlinien, die Sie Ihrer IAM-Rolle hinzufügen können, findenSie unter Erstellen eines IAM Instance-Profils fürr Systems Manager im AWS SystemsManager-Benutzerhandbuch.









Manuelle Anbindung an eine Windows-InstanceZum manuellen Verbinden einer vorhandenen Amazon EC2-Windows-Instance mit einem Simple AD- oderAWS Directory Service für Microsoft Active Directory-Verzeichnis muss die Instance wie in Nahtloser Beitrittzu einer Windows EC2-Instance (p. 76) beschrieben gestartet werden.

Version 1.0257



Eine Windows-Instance verbinden Sie wie folgt mit einem Simple AD- oder AWS ManagedMicrosoft AD-Verzeichnis:

1. Verbinden Sie die Instance mithilfe eines beliebigen Remote Desktop Protocol-Clients.2. Öffnen Sie in der Instance das Dialogfeld mit den Eigenschaften für TCP/IPv4.

a. Öffnen Sie Network Connections.

Tip

Öffnen Sie Network Connections direkt, indem Sie folgenden Befehl über die Befehlszeileder Instance ausführen.

%SystemRoot%\system32\control.exe ncpa.cpl

b. Öffnen Sie für eine beliebige aktivierte Netzwerkverbindung per Rechtsklick das Kontextmenü undwählen Sie dann Properties aus.

c. Öffnen Sie im Dialogfeld für die Verbindungseigenschaften (per Doppelklick) Internet ProtocolVersion 4.

3. Wählen Sie Folgende DNS-Serveradressen verwenden aus, geben Sie unter Bevorzugter DNS-Serverund Alternativer DNS-Server die IP-Adressen der von AWS Directory Service bereitgestellten DNS-Server ein und klicken Sie auf OK.

4. Öffnen Sie das Dialogfeld System Properties für die Instance, wählen Sie die Registerkarte ComputerName und wählen Sie Change.

Tip

Öffnen Sie das Dialogfeld System Properties direkt, indem Sie folgenden Befehl über dieBefehlszeile der Instance ausführen.

%SystemRoot%\system32\control.exe sysdm.cpl

Version 1.0258


5. Wählen Sie im Feld Mitglied von den Eintrag Domäne aus, geben Sie den vollständig qualifiziertenNamen Ihres AWS Directory Service-Verzeichnisses ein und klicken Sie auf OK.

6. Wenn Sie zur Eingabe von Name und Passwort des Domänenadministrators aufgefordert werden,geben Sie den Benutzernamen und das Passwort des Kontos ein, das über Berechtigungen fürden Domänenbeitritt verfügt. Weitere Informationen zum Erteilen dieser Berechtigungen finden Sieunter Delegieren von Berechtigungen zum Beitritt zu Verzeichnissen für AWS Managed MicrosoftAD (p. 104).

Note

Sie können entweder den vollständig qualifizierten Namen Ihrer Domäne oder denNetBios-Namen gefolgt von einem umgekehrten Schrägstrich (\) und anschließend denBenutzernamen eingeben.Bei Verwendung von AWS Managed Microsoft AD wäre der Benutzername Admin.Beispielsweise corp.example.com\Admin oder corp\Admin.Bei Verwendung von Simple AD wäre der Benutzername Administrator. Beispiele:corp.example.com\administrator und corp\administrator.

7. Nachdem Sie in der Domäne willkommen geheißen wurden, starten Sie die Instance neu, damit dieÄnderungen übernommen werden.

Die Instance wurde der Domäne hinzugefügt, sodass Sie sich auch remote an der Instance anmeldenund Dienstprogramme für die Verzeichnisverwaltung installieren können (z. B. um Benutzer und Gruppenhinzuzufügen).

Nahtloses Verbinden einer Linux-EC2-Instance mit Ihrem SimpleAD VerzeichnisDieses Verfahren verbindet eine Linux EC2-Instance nahtlos mit Ihrem Simple AD Verzeichnis.



Note


Prerequisites

Bevor Sie einen nahtlosen Domänen-Join zu einer Linux-EC2-Instance einrichten können, müssen Sie dieVerfahren in diesem Abschnitt ausführen.

Wählen Sie Ihr nahtloses Domänen-Join-Service-Konto

Sie können Linux-Computer nahtlos mit Ihrem Simple AD Domäne. Dazu müssen Sie ein Benutzerkontomit Berechtigungen zum Erstellen eines Computerkontos erstellen, um die Computer mit derDomäne zu verbinden. Obwohl Mitglieder des Domänenadministratoren oder andere Gruppen über

Version 1.0259


ausreichende Berechtigungen verfügen, um Computer mit der Domäne zu verbinden, empfehlen wirdies nicht. Als bewährte Methode empfehlen wir Ihnen, ein Servicekonto zu verwenden, das über dieMindestberechtigungen verfügt, die zum Verbinden der Computer mit der Domäne erforderlich sind.

Weitere Informationen zum Verarbeiten und Delegieren von Berechtigungen an Ihr Servicekontofür die Erstellung von Computerkonten finden Sie unter Zuweisen von Berechtigungen zu IhremServicekonto (p. 205).






aus:




Note




Note





Note

Sie müssen aws/directory-services/d-xxxxxxxxx/seamless-domain-join genauso eingeben, wie es ist, aber d-xxxxxxxx durch Ihre Verzeichniskennung ersetzen. StellenVersion 1.0

260



Sie sicher, dass am Anfang oder am Ende keine Leerzeichen vorhanden sind. Andernfallsschlägt der Domänenbeitritt fehl.













Note


{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource": [ "arn:aws:secretsmanager:us-east-1:############:secret:aws/directory-service/d-xxxxxxxxxx/seamless-domain-join-example" ] } ]}


Version 1.0261






Note






2. Wählen Sie im Navigationsbereich Roles aus.3. Wählen Sie im Inhaltsbereich die Option Create role (Rolle erstellen) aus.4. Wählen Sie unter Select type of trusted entity (Auswahl des Typs der vertrauenswürdigen Entität) die






Note




LinuxEC2DomainJoin oder einen anderen von Ihnen bevorzugten Namen, ein.10. (Optional) Geben Sie im Feld Role description (Rollenbeschreibung) eine Beschreibung ein.

Version 1.0262






11. Wählen Sie Create role (Rolle erstellen) aus.

Nahtloses Beitreten zu Ihrer Linux EC2-InstanceNachdem Sie nun alle erforderlichen Aufgaben konfiguriert haben, können Sie das folgende Verfahrenverwenden, um nahtlos Ihrer Linux-EC2-Instance beizutreten.





Amazon Machine Image (AMI) aus.Note

Das verwendete AMI muss über AWS Systems Manager (SSM Agent) Version 2.3.1644.0oder höher verfügen. Informationen zum Überprüfen der installierten SSM Agent-Version inIhrem AMI durch Starten einer Instance von diesem AMI finden Sie unter Abrufen der aktuellinstallierten SSM Agent-Version. Wenn Sie den SSM Agent aktualisieren müssen, finden SieInformationen dazu unter Installieren und Konfigurieren des SSM Agent auf EC2-Instances fürLinux.











Note


Version 1.0263









Manueller Beitritt zu einer Linux-InstanceZusätzlich zu Amazon EC2-Windows-Instances können Sie auch bestimmte Amazon EC2-Linux-Instancesmit Ihrem Simple AD-Verzeichnis verbinden. Die folgenden Linux-Instance-Distributionen und -Versionenwerden unterstützt:


Note


Beitritt einer Instance zu Ihrem VerzeichnisBevor Sie eine Amazon Linux-, CentOS-, Red Hat- oder Ubuntu-Instance mit Ihrem Verzeichnis verbinden,muss die Instance zunächst wie in Nahtloser Beitritt zu einer Windows EC2-Instance (p. 76) beschriebengestartet werden.

Important




Amazon Linux



3. Stellen Sie sicher, dass Ihre Amazon Linux - 64bit-Instance auf dem neuesten Stand ist.

sudo yum -y update

4. Installieren Sie die erforderlichen Amazon Linux-Pakete auf Ihrer Linux-Instance.Note


Version 1.0264




Amazon Linux 1

sudo yum -y install sssd realmd krb5-workstation

Amazon Linux 2


Note

Weitere Informationen zum Ermitteln Ihrer Amazon Linux-Version finden Sie unterIdentifizieren von Amazon Linux Images im Amazon EC2-Benutzerhandbuch für Linux-Instances.



[email protected]


example.com











7. Nachdem die Instance neu gestartet wurde, stellen Sie eine Verbindung zu einem SSH-Client herund fügen mit folgenden Schritten die Gruppe der Domänen-Admins zur Liste „sudoers“ hinzu:a. Öffnen Sie die Datei sudoers mit dem folgenden Befehl:

sudo visudo

b. Fügen Sie Folgendes unten in der sudoers-Datei ein und speichern Sie sie.Version 1.0265

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/amazon-linux-ami-basics.html#amazon-linux-image-id


## Add the "Domain Admins" group from the example.com domain.%Domain\ [email protected] ALL=(ALL:ALL) ALL


CentOS



3. Stellen Sie sicher, dass Ihre CentOS 7-Instance auf dem neuesten Stand ist.

sudo yum -y update

4. Installieren Sie die erforderlichen CentOS 7-Pakete auf Ihrer Linux-Instance.

Note





[email protected]


example.com






Version 1.0266










sudo visudo




Red Hat



3. Stellen Sie sicher, dass die Red Hat - 64bit-Instance auf dem neuesten Stand ist.

sudo yum -y update

4. Installieren Sie die erforderlichen Red Hat-Pakete auf Ihrer Linux-Instance.

Note




sudo realm join -v -U join_account example.com --install=/

Version 1.0267




join_account


example.com












sudo visudo




Ubuntu


Directory Service bereitgestellten DNS-Server. Das können Sie entweder in den DHCP-Optionender VPC oder manuell auf der Instance einrichten. Für eine manuelle Einrichtung finden Sie imAWS-Wissenszentrum im Artikel zum Thema Wie weise ich einen statischen DNS-Server zu einer

Version 1.0268



privaten Amazon EC2-Instance zu? eine Anleitung, um den persistenten DNS-Server für Ihre Linux-Distribution und -Version festzulegen.

3. Stellen Sie sicher, dass Ihre Ubuntu - 64bit-Instance auf dem neuesten Stand ist.

sudo apt-get updatesudo apt-get -y upgrade

4. Installieren Sie die erforderlichen Ubuntu-Pakete auf Ihrer Linux-Instance.

Note


sudo apt-get -y install sssd realmd krb5-user samba-common packagekit adcli

5. Deaktivieren Sie die Reverse DNS-Auflösung und legen Sie den Standardbereich auf den FQDNIhrer Domäne fest. Ubuntu-Instances müssen im DNS reverse-auflösbar sein, bevor der Bereichgenutzt werden kann. Andernfalls müssen Sie Reverse DNS in der /etc/krb5.conf wie folgtdeaktivieren:

sudo vi /etc/krb5.conf

[libdefaults] default_realm = EXAMPLE.COM rdns = false



[email protected]


example.com







c. Starten Sie den SSH-Service neu.Version 1.0269







sudo visudo




Note

Bei Verwendung von Simple AD, wenn Sie ein Benutzerkonto auf einer Linux-Instance mit derOption "Benutzer bei der ersten Anmeldung zum Ändern des Passworts zwingen" erstellen,kann der Benutzer sein Passwort nicht mit kpasswd. (z. B..) Um das Passwort zum ersten Malzu ändern, muss ein Domänenadministrator das Benutzerpasswort mit den Active DirectoryManagement Tools aktualisieren.

Verwalten von Konten über eine Linux-Instance

Zum Verwalten von Konten in Simple AD über eine Linux-Instance müssen Sie spezifischeKonfigurationsdateien folgendermaßen in Ihrer Linux-Instance aktualisieren:

1. Einstellen krb5_verwenden_kdcinfo um zu sehen, Falsch in der /etc/ssd/ssd.conf (etc/ssd/ssd.conf)Datei. Beispiel:

[domain/example.com] krb5_use_kdcinfo = False

2. Damit diese Konfiguration wirksam wird, müssen Sie den sssd-Service neu starten:

$ sudo systemctl restart sssd.service


$ sudo service sssd start

3. Wenn Sie Benutzer von einem CentOS Linux-Instance, müssen Sie auch die Datei bearbeiten /etc/smb.zurück die Folgendes enthalten:

[global] workgroup = EXAMPLE.COM realm = EXAMPLE.COM netbios name = EXAMPLE

Version 1.0270


security = ads

Einschränkung des Kontoanmeldungszugriffs

Da alle Konten in Active Directory standardmäßig definiert sind, können sich alle Benutzer aus demVerzeichnis bei der Instance anmelden. Mit ad_access_filter in sssd.conf können Sie festlegen, dass sichnur bestimmte Benutzer bei der Instance anmelden können. Beispiel:

ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)

memberOf

Gibt an, dass Benutzer nur Zugriff auf die Instance haben, wenn sie Mitglied einer bestimmten Gruppesind.

cn

Der allgemeine Name der Gruppe, die Zugriff haben soll. In diesem Beispiel ist der Name der Gruppeadmins.

ou

Dies ist die Organisationseinheit, in der sich die oben genannte Gruppe befindet. In diesem Beispiel istdie OU Testou.

dc

Dies ist die Domänenkomponente Ihrer Domäne. In diesem Beispiel example.dc

Hierbei handelt es sich um eine zusätzliche Domänenkomponente. In diesem Beispiel com.

Sie müssen ad_access_filter manuell zu /etc/sssd/sssd.conf hinzufügen.

Öffnen Sie die Datei /etc/sssd/sssd.conf in einem Text-Editor.

sudo vi /etc/sssd/sssd.conf

Danach sieht sssd.conf wie folgt aus:

[sssd]domains = example.comconfig_file_version = 2 services = nss, pam

[domain/example.com] ad_domain = example.com krb5_realm = EXAMPLE.COM realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%u@%d access_provider = ad ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)

Version 1.0271


Damit diese Konfiguration wirksam wird, müssen Sie den sssd-Service neu starten:

sudo systemctl restart sssd.service


sudo service sssd start

Verbinden mit der InstanceWenn ein Benutzer die Verbindung zur Instance über einen SSH-Client herstellt, wird er zur Eingabedes Benutzernamens aufgefordert. Der Benutzer kann den Benutzernamen entweder im [email protected] oder EXAMPLE\username eingeben. Die Antwort wird ähnlich wie diefolgenden angezeigt, je nachdem, welche Linux-Distribution Sie verwenden:



SUSE Linux


Ubuntu Linux


Delegieren von Berechtigungen zum Beitritt zu Verzeichnissen fürSimple ADWenn Sie einen Computer mit Ihrem Verzeichnis verbinden möchten, muss Ihr Konto über dieentsprechenden Berechtigungen verfügen.

Version 1.0272


Bei Simple AD haben alle Mitglieder der Gruppe Domain Admins alle erforderlichen Berechtigungen, umComputer mit einem Verzeichnis zu verbinden.

Als bewährte Methode empfehlen wir Ihnen, ein Konto zu verwenden, das nur die mindestenserforderlichen Berechtigungen hat. Die folgenden Schritte veranschaulichen, wie Sie eine neue Gruppe mitdem Namen Joiners erstellen und die Berechtigungen, die für die Verbindung von Computern mit demVerzeichnis erforderlich sind, an diese Gruppe delegieren.

Sie müssen dieses Verfahren auf einem Computer durchführen, der mit Ihrem Verzeichnis verbunden istund über die Active Directory-Benutzer und -Computer MMC Snap-in installiert. Außerdem müssen Sie alsDomänenadministrator angemeldet sein.

So delegieren Sie Beitrittsberechtigungen für Simple AD

1. Öffnen Sie Active Directory User and Computers und wählen Sie in der Navigationsbaumstruktur IhreDomänen-Root aus.

2. Öffnen Sie links in der Navigationsstruktur mit einem Rechtsklick das Kontextmenü von Users undwählen Sie New und dann Group aus.

3. Geben Sie im Dialogfeld New Object - Group Folgendes ein und klicken Sie auf OK.

• Geben Sie in Group Name (Gruppenname) Joiners ein.• Wählen Sie für Group scope die Option Global.• Wählen Sie für Group type die Option Security.

4. Wählen Sie in der Navigationsstruktur Ihre Domain Root aus. Wählen Sie im Menü Action die OptionDelegate Control aus.

5. Wählen Sie auf der Seite Delegation of Control Wizard Next und dann Add.6. Geben Sie in das Dialogfeld Select Users, Computers, or Groups Joiners ein und klicken Sie auf OK.

Wenn mehr als ein Objekt gefunden wurde, wählen Sie die oben erstellte Gruppe Joiners. WählenSie Next (weiter).

7. Wählen Sie auf der Seite Tasks to Delegate Create a custom task to delegate und dann Next.8. Wählen Sie Only the following objects in the folder und dann Computer objects.9. Wählen Sie Create selected objects in this folder und Delete selected objects in this folder. Wählen Sie

anschließend Next (Weiter) aus.

10. Wählen Sie Read und Write und dann Next.

Version 1.0273


11. Überprüfen Sie auf der Seite Den Assistenten für die Delegation der Kontrolle abschließen dieInformationen und wählen Sie Fertigstellen.

12. Erstellen Sie einen Benutzer mit einem sicheren Passwort und fügen Sie diesen Benutzer zur GruppeJoiners hinzu. Der Benutzer hat dann alle nötigen Berechtigungen, um AWS Directory Service mitdem Verzeichnis zu verbinden.

Erstellen Sie eine DHCP-OptionslisteAWS empfiehlt die Erstellung einer DHCP-Optionsliste für Ihr AWS Directory Service-Verzeichnis sowiedas Zuweisen der DHCP-Optionsliste zur VPC, in der sich Ihr Verzeichnis befindet. So können alleInstances in der entsprechenden VPC auf die angegebene Domäne und die festgelegten DNS-Serververweisen, um ihre Domänennamen aufzulösen.

Weitere Informationen zu DHCP-Optionslisten finden Sie unter DHCP-Optionsgruppen im Amazon VPCBenutzerhandbuch.

So erstellen Sie eine DHCP-Optionsliste für Ihr Verzeichnis:

1. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.2. Wählen Sie im Navigationsbereich DHCP Options Sets (DHCP-Optionslisten) und anschließend

Create DHCP Options Set (DHCP-Optionsliste erstellen) aus.3. Geben Sie auf der Seite Create DHCP options set (DHCP-Optionsliste erstellen) die folgenden Werte


Name

Dies ist ein optionales Tag für die Optionsliste.Domain name (Domänenname)

Dies ist der vollständig qualifizierte Name Ihres Verzeichnisses, z. B. corp.example.com.Domain name servers (Domänennamenserver)

Die IP-Adressen Ihres von AWS bereitgestellten DNS-Serververzeichnisses.

Note

Sie finden diese Adressen, indem Sie im Navigationsbereich der AWS Directory Serviceconsole die Option Directories (Verzeichnisse) und anschließend die ID des gewünschtenVerzeichnisses auswählen.

Version 1.0274

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html





NTP servers (NTP-Server)

Lassen Sie dieses Feld leer.NetBIOS name servers (NetBIOS-Namenserver)

Lassen Sie dieses Feld leer.NetBIOS node type (NetBIOS-Knotentyp)

Lassen Sie dieses Feld leer.4. Wählen Sie Create DHCP Options Set (DHCP-Optionsliste erstellen). Die neue DHCP-Optionsliste

wird in der Liste der DHCP-Optionen angezeigt.5. Notieren Sie sich die ID der neuen DHCP-Optionsliste (dopt-xxxxxxxx). Sie benötigen die ID, um die

neue Optionsliste mit Ihrer VPC zu verknüpfen.

So ändern Sie die DHCP-Optionsliste, die mit einer VPC verknüpft ist:

Nach dem Erstellen einer DHCP-Optionsliste sind keine Änderungen an den Optionen mehr möglich.Falls Ihre VPC verschiedene DHCP-Optionslisten nutzen soll, müssen Sie eine neue Liste erstellen unddiese dann mit der VPC verknüpfen. Sie können Ihre VPC auch so einrichten, dass keine DHCP-Optionenverwendet werden.

1. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.2. Wählen Sie im Navigationsbereich Your VPCs (Ihre VPCs).3. Wählen Sie die VPC, dann Actions (Aktionen) und anschließend Edit DHCP Options Set (DHCP-

Optionsliste bearbeiten) aus.4. Wählen Sie unter DHCP Options Set (DHCP-Optionsliste) die Option No DHCP Options Set (Keine

DHCP-Optionsliste) aus und klicken Sie auf Save (Speichern).

Verwalten Ihres Simple AD-VerzeichnissesIn diesem Abschnitt wird die Verwaltung allgemeiner Administrationsaufgaben für Ihre Simple AD-Umgebung beschrieben.

Themen• Löschen Ihres Verzeichnisses (p. 275)• Erstellen eines Snapshots oder Wiederherstellen Ihres Verzeichnisses (p. 277)• Anzeigen von Verzeichnisinformationen (p. 278)



Version 1.0275




1. Wählen Sie im Navigationsbereich AWS Directory Service console Directories (Verzeichnisse) aus.2. Stellen Sie sicher, dass keine AWS-Anwendungen für das Verzeichnis aktiviert sind.


Management (Anwendungsverwaltung) aus. Im Abschnitt AWS Apps & Services können Siesehen, welche AWS-Anwendungen für Ihr Verzeichnis aktiviert sind.










Note

Wenn Sie AWS Single Sign-On verwenden und es zuvor mit dem zu löschenden AWSManaged Microsoft AD-Verzeichnis verknüpft haben, müssen Sie das Verzeichnis erstvon AWS SSO trennen, bevor Sie es löschen können. Weitere Informationen finden Sieunter Ein Verzeichnis trennen im AWS SSO-Benutzerhandbuch.

3. Wählen Sie im Navigationsbereich Directories (Verzeichnisse) aus.4. Wählen Sie nur das Verzeichnis aus, das gelöscht werden soll, und klicken Sie auf Delete (Löschen).

Es dauert einige Minuten, bis das Verzeichnis gelöscht ist. Wenn dieser Vorgang abgeschlossen ist,wird es aus Ihrer Verzeichnisliste entfernt.

Version 1.0276

















Erstellen eines Snapshots oder Wiederherstellen IhresVerzeichnissesAWS Directory Service bietet die Möglichkeit, manuelle Daten-Snapshots für Ihr Simple AD-Verzeichniszu erstellen. Mit diesen Snapshots können Sie eine zeitbezogene Wiederherstellung für Ihr Verzeichnisausführen. Sie können keine Snapshots von AD Connector-Verzeichnissen erstellen.

Themen• Erstellen eines Snapshots Ihres Verzeichnisses (p. 277)• Wiederherstellen Ihres Verzeichnisses mithilfe eines Snapshots (p. 277)• Löschen eines Snapshots (p. 278)

Erstellen eines Snapshots Ihres VerzeichnissesEin Snapshot kann verwendet werden, um Ihr Verzeichnis auf den Zustand zu dem Zeitpunktwiederherzustellen, an dem der Snapshot erstellt wurde. Gehen Sie zum Erstellen eines manuellenSnapshots Ihres Verzeichnisses folgendermaßen vor.

Note

Sie können maximal den für 5 angegebenen Wert an manuellen Snapshots für jedes Verzeichniserstellen. Falls Sie diesen Maximalwert bereits erreicht haben, müssen Sie einen vorhandenenmanuellen Snapshot löschen, bevor Sie einen neuen erstellen.

So erstellen Sie einen manuellen Snapshot

1. Wählen Sie im Navigationsbereich AWS Directory Service console Directories (Verzeichnisse) aus.2. Wählen Sie auf der Seite Directories (Verzeichnisse) Ihre Verzeichnis-ID aus.3. Wählen Sie auf der Registerkarte Directory details (Verzeichnisdetails) die Registerkarte Maintenance

(Wartung) aus.4. Wählen Sie im Abschnitt Snapshots die Option Actions und dann Create snapshot aus.5. Geben Sie im Dialogfeld Create directory snapshot ggf. einen Namen für den Snapshot an. Wenn Sie

bereit sind, wählen Sie Create (Erstellen) aus.

Je nach Größe Ihres Verzeichnisses kann es einige Minuten dauern, bis der Snapshot erstellt ist. Wenn derSnapshot fertig ist, ändert sich der Wert von Status in Completed.

Wiederherstellen Ihres Verzeichnisses mithilfe eines SnapshotsDas Wiederherstellen eines Verzeichnisses mithilfe eines Snapshots entspricht dem Zurücksetzen einesVerzeichnisses auf einen bestimmten vergangenen Zeitpunkt. Verzeichnis-Snapshots sind eindeutig fürdas Verzeichnis, aus dem sie erstellt wurden. Ein Snapshot kann nur in das Verzeichnis wiederhergestelltwerden, aus dem er erstellt wurde. Darüber hinaus beträgt das maximal unterstützte Alter eines manuellenSnapshots 180 Tage. Weitere Informationen finden Sie unter Useful shelf life of a system-state backup ofActive Directory auf der Microsoft-Website.

Warning

Wir empfehlen Ihnen, sich vor der Wiederherstellung von Snapshots an das AWS Support Centerzu wenden. Möglicherweise helfen wir Ihnen, die Notwendigkeit einer Snapshot-Wiederherstellungzu vermeiden. Wiederherstellungen aus Snapshots können zu Datenverlust führen, da siezeitpunktbezogen sind. Es ist wichtig, dass Sie verstehen, dass alle DCs- und DNS-Server, diedem Verzeichnis zugeordnet sind, offline sind, bis die Wiederherstellung abgeschlossen ist.

Gehen Sie folgendermaßen vor, um Ihr Verzeichnis mithilfe eines Snapshots wiederherzustellen.

Version 1.0277







So stellen Sie ein Verzeichnis mithilfe eines Snapshots wieder her


(Wartung) aus.4. Wählen Sie im Abschnitt Snapshots einen Snapshot in der Liste aus, wählen Sie Actions und dann

Restore snapshot aus.5. Überprüfen Sie die Informationen im Dialogfeld Restore directory snapshot (Verzeichnis-Snapshot

wiederherstellen) und wählen Sie Restore (Wiederherstellen) aus.

Bei einem Simple AD-Verzeichnis kann es einige Minuten dauern, bis das Verzeichnis wiederhergestellt ist.Wenn es erfolgreich wiederhergestellt wurde, ändert sich der Status-Wert des Verzeichnisses in Active.Alle nach dem Snapshot-Datum vorgenommenen Änderungen am Verzeichnis werden überschrieben.

Löschen eines Snapshots

So löschen Sie einen Snapshot


(Wartung) aus.4. Wählen Sie im Abschnitt Snapshots die Option Actions und dann Delete snapshot aus.5. Überprüfen Sie, ob Sie den Snapshot löschen möchten, und wählen Sie dann Delete (Löschen) aus.






Aktivieren des Zugriffs auf AWS-Anwendungen und -ServicesAWS Directory Service kann anderen AWS-Anwendungen und -Services wie Amazon WorkSpaces Zugriffauf Ihre Verzeichnisbenutzer geben. Die folgenden AWS-Anwendungen und -Services können für dieVerwendung mit AWS Directory Service aktiviert oder deaktiviert werden:


Amazon Chime Weitere Informationen finden Sie imAdministrationshandbuch zu Amazon Chime.

Version 1.0278




https://docs.aws.amazon.com/chime/latest/ag/what-is-chime.html




Amazon Connect Weitere Informationen finden Sie imAdministrationshandbuch zu Amazon Connect.

Amazon FSx für Windows File Server Weitere Informationen finden Sie unter Verwendenvon Amazon FSx mit AWS Directory Service fürMicrosoft Active Directory im Amazon FSx fürWindows File Server-Benutzerhandbuch.

Amazon QuickSight Weitere Informationen finden Sie im AmazonQuickSight-Benutzerhandbuch.

Amazon Relational Database Service Weitere Informationen hierzu finden Sie im AmazonRDS-Benutzerhandbuch.

Amazon WorkDocs Weitere Informationen hierzu finden Sie im AmazonWorkDocs Administration Guide.

Amazon WorkMail Weitere Informationen hierzu finden Sie im AmazonWorkMail Administrator Guide.

Amazon WorkSpaces Sie können ein Simple AD, AWS ManagedMicrosoft AD oder einen AD Connector direkt ausAmazon WorkSpaces heraus erstellen. Rufen Sieeinfach Advanced Setup (Erweiterte Einstellungen)bei der Workspace-Erstellung auf.

Weitere Informationen hierzu finden Sie im AmazonWorkSpaces Administration Guide.

Amazon WorkSpaces Application Manager Weitere Informationen hierzu finden Sie im AmazonWAM Administration Guide.

AWS Management Console Weitere Informationen finden Sie unter Aktivierendes Zugriffs auf die AWS Management Console mitAD-Anmeldeinformationen (p. 156).

Nach der Aktivierung verwalten Sie den Zugriff auf Ihre Verzeichnisse in der Konsole der Anwendung oderdes Service, der bzw. dem Zugriff auf das Verzeichnis gewährt werden soll. Um die oben beschriebenenLinks zu AWS-Anwendungen und -Services in der AWS Directory Service-Konsole zu finden, führen Sie diefolgenden Schritte aus.

So zeigen Sie Anwendungen und Services für ein Verzeichnis an


Management (Anwendungsverwaltung) aus.4. Überprüfen Sie die Liste im Abschnitt AWS Apps & Services (AWS-Apps und -Services).

Themen• Erstellen einer Zugriffs-URL (p. 280)• Einmaliges Anmelden (p. 280)

Version 1.0279

https://docs.aws.amazon.com/connect/latest/adminguide/what-is-amazon-connect.html



















Erstellen einer Zugriffs-URLMit einer Zugriffs-URL gelangen Sie in AWS-Anwendungen und -Services wie Amazon WorkSpaces auf dieAnmeldeseite für Ihr Verzeichnis. Die URL muss global eindeutig sein. Folgen Sie der Anleitung unten, umeine Zugriffs-URL für Ihr Verzeichnis zu erstellen.

Warning

Nachdem die URL für den Anwendungszugriff für dieses Verzeichnis erstellt wurde, kann sienicht mehr geändert werden. Wenn die Zugriffs-URL erstellt und festgelegt wurde, kann sie nichtvon anderen verwendet werden. Beim Löschen Ihres Verzeichnisses wird auch die Zugriffs-URLgelöscht. Dann kann sie in einem anderen Konto genutzt werden.




(URL für den Anwendungszugriff) die Schaltfläche Create (Erstellen) angezeigt. Geben Sie einenVerzeichnisalias ein und wählen Sie Create (Erstellen) aus. Falls der Fehler Entity Already Exists(Entity ist bereits vorhanden) zurückgegeben wird, wurde der angegebene Alias bereits einem anderenVerzeichnis zugewiesen. Wählen Sie einen anderen Alias aus und wiederholen Sie die Schritte.

Ihre Zugriffs-URL wird im Format <alias>.awsapps.com angezeigt.




(URL für den Anwendungszugriff) die Schaltfläche Create (Erstellen) angezeigt. Geben Sie einenVerzeichnisalias ein und wählen Sie Create (Erstellen) aus. Wenn ein Entity Already Exists-Fehlerzurückgegeben wird, wurde der angegebene Verzeichnisalias bereits zugewiesen. Wählen Sie einanderes Alias aus und wiederholen Sie die Schritte.

Ihre Zugriffs-URL wird im Format angezeigt. <alias>.awsapps.com

Einmaliges AnmeldenMit AWS Directory Service können Sie Benutzern Zugriff auf Amazon WorkDocs mit einem an dasVerzeichnis angebundenen Computer gewähren, ohne die Anmeldeinformationen separat eingeben zumüssen.

Bevor Sie Single Sign-On aktivieren können, sind zusätzliche Schritte erforderlich, in denen dieWebbrowser der Benutzer zur Verwendung von Single Sign-On konfiguriert werden. Die Benutzer müsseneventuell die Einstellungen ihrer Webbrowser ändern, um Single Sign-On nutzen zu können.

Note

Single Sign-On funktioniert nur mit einem Computer, der dem AWS Directory Service-Verzeichnisbeigetreten ist. SSO kann nicht auf Computern verwendet werden, die nicht an das Verzeichnisangebunden sind.

Version 1.0280





Wenn es sich bei Ihrem Verzeichnis um ein AD Connector-Verzeichnis handelt und das ADConnector-Servicekonto nicht über die Berechtigung zum Hinzufügen oder Entfernen des Service-Prinzipalnamensattributs verfügt, stehen Ihnen für die folgenden Schritte 5 und 6 zwei Optionen zurVerfügung:

1. Sie können fortfahren und werden zur Eingabe des Benutzernamens und des Passworts füreinen Verzeichnisbenutzer aufgefordert, der über diese Berechtigung zum Hinzufügen oderEntfernen des Service-Prinzipalnamensattributs für das AD Connector-Servicekonto verfügt. DieseAnmeldeinformationen werden nur verwendet, um Single Sign-On zu aktivieren; sie werden nicht vomService gespeichert. Die Berechtigungen des AD Connector-Servicekontos werden nicht geändert.

2. Sie können Berechtigungen delegieren, damit das AD Connector-Servicekonto das Service-Prinzipalnamenattribut für sich selbst hinzufügen oder entfernen kann. Sie können die folgendenPowerShell-Befehle von einem Computer aus ausführen, der über Berechtigungen zum Ändernder Berechtigungen für das AD Connector-Servicekonto verfügt. Der folgende Befehl gibt demAD Connector-Servicekonto die Möglichkeit, ein Service-Prinzipalnamenattribut nur für sich selbsthinzuzufügen und zu entfernen.

$AccountName = 'ConnectorAccountName'# DO NOT modify anything below this comment.# Getting Active Directory information.Import-Module 'ActiveDirectory'$RootDse = Get-ADRootDSE [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID# Getting AD Connector service account Information.$AccountProperties = Get-ADUser -Identity $AccountName$AclPath = $AccountProperties.DistinguishedName$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value# Getting ACL settings for AD Connector service account.$ObjectAcl = Get-ACL -Path "AD:\$AclPath" # Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None'$ObjectAcl.AddAccessRule($AddAccessRule)Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"

So aktivieren oder deaktivieren Sie Single Sign-On mit Amazon WorkDocs


Management (Anwendungsverwaltung) aus.4. Wählen Sie unter Application access URL (URL für den Anwendungszugriff) die Option Enable

(Aktivieren) aus, um Single Sign-On für Amazon WorkDocs zu aktivieren.

Wird die Schaltfläche Enable (Aktivieren) nicht angezeigt wird, müssen Sie zunächst eine Zugriffs-URL erstellen. Weitere Informationen zum Erstellen einer Zugriffs-URL finden Sie unter Erstellen einerZugriffs-URL (p. 148).

5. Wählen Sie im Dialogfeld Enable Single Sign-On for this directory (Single Sign-On für diesesVerzeichnis aktivieren) die Option Enable (Aktivieren) aus. Single Sign-On ist für das Verzeichnisaktiviert.

6. Wenn Sie Single Sign-On mit Amazon WorkDocs später deaktivieren wollen, wählen Sie Disable(Deaktivieren) und im Dialogfeld Disable Single Sign-On for this directory (Single Sign-On für diesesVerzeichnis deaktivieren) erneut Disable (Deaktivieren) aus.

Version 1.0281




Themen• Single Sign-On für IE und Chrome (p. 150)• Single Sign-On für Firefox (p. 155)

Single Sign-On für IE und Chrome

Damit Microsoft Internet Explorer (IE) und Google Chrome-Browser Single Sign-On unterstützen, müssendie folgenden Aufgaben auf dem Client-Computer ausgeführt werden:

• Fügen Sie die Zugriffs-URL (z. B. https://<alias>.awsapps.com) zur Liste der zulässigen Websites fürSingle Sign-On hinzu.

• Aktivieren Sie die aktiven Skripts (JavaScript).• Erlauben Sie die automatische Anmeldung.• Aktivieren Sie die integrierte Authentifizierung.

Sie oder Ihre Benutzer können diese Aufgaben manuell ausführen oder Sie können diese Einstellungenmithilfe von Gruppenrichtlinieneinstellungen ändern.

Themen• Manuelles Update für Single Sign-On für Windows (p. 151)• Manuelles Update für Single Sign-On für OS X (p. 153)• Gruppenrichtlinieneinstellungen für Single Sign-On (p. 153)

Manuelles Update für Single Sign-On für Windows

Um Single Sign-On auf einem Windows-Computer manuell zu aktivieren, führen Sie die folgenden Schritteauf dem Client-Computer aus. Einige dieser Einstellungen können bereits korrekt eingestellt sein.

So können Sie Single Sign-On für Internet Explorer und Chrome unter Windows manuell aktivieren

1. Um das Dialogfeld Internet Properties (Interneteigenschaften) zu öffnen, wählen Sie das MenüStart aus, geben in das Suchfeld Internet Options ein und wählen dann Internet Options(Internetoptionen) aus.

2. Fügen Sie Ihre Zugriffs-URL zur Liste der zulässigen Websites für Single Sign-On hinzu, indem Sie diefolgenden Schritte ausführen:

a. Wählen Sie im Dialogfeld Internet Properties (Interneteigenschaften) die Registerkarte Security(Sicherheit) aus.

b. Wählen Sie Local intranet (Lokales Intranet) und Sites aus.c. Wählen Sie im Dialogfeld Local intranet (Lokales Intranet) die Option Advanced (Erweitert) aus.d. Fügen Sie die Zugriffs-URL der Liste der Websites hinzu und wählen Sie Close (Schließen) aus.e. Wählen Sie im Dialogfeld Local intranet (Lokales Intranet) OK aus.



b. Scrollen Sie im Dialogfeld Security Settings - Local Intranet Zone (Sicherheitseinstellungen –Lokale Intranetzone) nach unten bis zu Scripting (Skript-Erstellung) und wählen Sie unter ActiveScripting (Active-Skript-Erstellung) die Option Enable (Aktivieren) aus.

Version 1.0282




4. Zum Aktivieren der automatischen Anmeldung führen Sie die folgenden Schritte aus:


b. Scrollen Sie im Dialogfeld Security Settings - Local Intranet Zone (Sicherheitseinstellungen– Lokale Intranetzone) nach unten bis zu User Authentication (Benutzerauthentifizierung)und wählen Sie unter Login (Anmeldung) die Option Automatic logon only in Intranet zone(Automatisches Anmelden nur in der Intranetzone) aus.


d. Wählen Sie im Dialogfeld Security Settings - Local Intranet Zone (Sicherheitseinstellungen –Lokale Intranetzone) OK aus.

5. Zum Aktivieren der integrierten Authentifizierung führen Sie die folgenden Schritte aus:

Version 1.0283



a. Wählen Sie im Dialogfeld Internet Properties (Interneteigenschaften) die Registerkarte Advanced(Erweitert) aus.

b. Scrollen Sie nach unten zu Security (Sicherheit) und wählen Sie Enable Integrated WindowsAuthentication (Integrierte Windows-Authentifizierung aktivieren) aus.

c. Klicken Sie im Dialogfeld Internet Properties (Interneteigenschaften) auf OK.6. Schließen Sie den Browser und öffnen Sie ihn erneut, damit diese Änderungen wirksam werden.

Manuelles Update für Single Sign-On für OS X

Um Single Sign-On für Chrome auf OS X manuell zu aktivieren, führen Sie auf dem Client-Computerdie folgenden Schritte aus. Sie benötigen Administratorrechte auf Ihrem Computer, um diese Schritteausführen zu können.

So können Sie Single Sign-On für Chrome auf OS X manuell aktivieren

1. Fügen Sie die Zugriffs-URL mit dem folgenden Befehl der Richtlinie AuthServerWhitelist hinzu:

defaults write com.google.Chrome AuthServerWhitelist "https://<alias>.awsapps.com"

2. Öffnen Sie System Preferences (Systemeinstellungen), wechseln Sie in den Bereich Profiles (Profile)und löschen Sie das Profil Chrome Kerberos Configuration.

3. Starten Sie Chrome neu und öffnen Sie "chrome://policy" in Chrome, um zu bestätigen, dass die neuenEinstellungen vorhanden sind.

Gruppenrichtlinieneinstellungen für Single Sign-On

Der Domänenadministrator kann Gruppenrichtlinieneinstellungen implementieren, um die Single Sign-On-Änderungen auf Client-Computern in der Domäne durchzuführen.

Version 1.0284




Note

Wenn Sie Chrome-Webbrowser auf den Computern in Ihrer Domäne mit Chrome-Richtlinienverwalten, müssen Sie Ihre Zugriffs-URL der Richtlinie AuthServerWhitelist hinzufügen. WeitereInformationen zum Einrichten von Chrome-Richtlinien finden Sie unter Policy Settings in Chrome.

So aktivieren Sie Single Sign-On für Internet Explorer und Chrome mithilfe vonGruppenrichtlinieneinstellungen

1. Erstellen Sie ein neues Gruppenrichtlinienobjekt, indem Sie die folgenden Schritte ausführen:

a. Öffnen Sie das Tool für die Gruppenrichtlinienverwaltung, navigieren Sie zu Ihrer Domäne undwählen Sie Group Policy Objects (Gruppenrichtlinienobjekte) aus.

b. Wählen Sie im Hauptmenü Action (Aktion) und dann New (Neu) aus.c. Geben Sie im Dialogfeld New GPO (Neues Gruppenrichtlinienobjekt) einen aussagekräftigen

Namen für das Gruppenrichtlinienobjekt ein (z. B. SSO Policy) und übernehmen Sie für SourceStarter GPO (Quell-Starter-Gruppenrichtlinienobjekt) den Wert (none) ((Kein)). Klicken Sie auf OK.

2. Fügen Sie die Zugriffs-URL zur Liste der zulässigen Websites für Single Sign-On hinzu, indem Sie diefolgenden Schritte ausführen:





Action (Aktion)

Update

Hive

HKEY_CURRENT_USER

Pfad

Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>

Der Wert für <alias> wird aus der Zugriffs-URL abgeleitet. Wenn Ihre Zugriffs-URLhttps://examplecorp.awsapps.com ist, lautet der Alias examplecorp und derRegistrierungsschlüssel ist Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp.


https


REG_DWORD


1


Version 1.0285


http://www.chromium.org/developers/how-tos/enterprise/adding-new-policies





c. Öffnen Sie in der Liste Intranet Zone (Intranetzone) das Kontextmenü (rechte Maustaste) für Allowactive scripting (Active Scripting zulassen) und wählen Sie Edit (Bearbeiten) aus.

d. Geben Sie im Dialogfeld Allow active scripting (Active Scripting zulassen) die folgendenEinstellungen ein und klicken Sie auf OK:

• Wählen Sie das Optionsfeld Enabled (Aktiviert) aus.• Weisen Sie unter Options (Optionen) der Option Allow active scripting (Active Scripting

zulassen) den Wert Enable (Aktivieren) zu.4. Zum Aktivieren der automatischen Anmeldung führen Sie die folgenden Schritte aus:

a. Navigieren Sie im Tool für die Gruppenrichtlinienverwaltung zur Domäne, wählen Sie "GroupPolicy Objects (Gruppenrichtlinienobjekte)", öffnen Sie das Kontextmenü (rechte Maustaste) fürdie SSO-Richtlinie und klicken Sie auf Edit (Bearbeiten).


c. Öffnen Sie in der Liste Intranet Zone (Intranetzone) das Kontextmenü (rechte Maustaste) fürLogon options (Anmeldeoptionen) und wählen Sie Edit (Bearbeiten) aus.

d. Geben Sie im Dialogfeld Logon options (Anmeldeoptionen) die folgenden Einstellungen ein undklicken Sie auf OK:

• Wählen Sie das Optionsfeld Enabled (Aktiviert) aus.• Weisen Sie unter Options (Optionen) der Option Logon options (Anmeldeoptionen) den Wert

Automatic logon only in Intranet zone (Automatisches Anmelden nur in der Intranetzone) zu.5. Zum Aktivieren der integrierten Authentifizierung führen Sie die folgenden Schritte aus:





Action (Aktion)

Update

Hive

HKEY_CURRENT_USER

Pfad

Software\Microsoft\Windows\CurrentVersion\Internet Settings

Version 1.0286




EnableNegotiate


REG_DWORD


1

6. Schließen Sie das Fenster Group Policy Management Editor (Gruppenrichtlinienverwaltungs-Editor),falls es noch geöffnet ist.

7. Weisen Sie die neue Richtlinie Ihrer Domäne zu, indem Sie die folgenden Schritte ausführen:

a. Öffnen Sie in der Gruppenrichtlinienbaumstruktur das Kontextmenü (rechte Maustaste) fürdie Domäne und wählen Sie Link an Existing GPO (Vorhandenes Gruppenrichtlinienobjektverknüpfen) aus.

b. Wählen Sie in der Liste Group Policy Objects (Gruppenrichtlinienobjekte) die SSO-Richtlinie ausund klicken Sie auf OK.

Diese Änderungen werden nach dem nächsten Gruppenrichtlinien-Update auf dem Client oder bei dernächsten Anmeldung des Benutzers wirksam.

Single Sign-On für Firefox

Damit der Browser Mozilla Firefox unterstützt, müssen Sie die Zugriffs-URL (z. B.https://<alias>.awsapps.com URL) der Liste der genehmigten Websites für Single Sign-On hinzufügen.Dies kann manuell oder automatisiert durch ein Skript erfolgen.

Themen• Manuelles Update für Single Sign-On (p. 156)• Automatisches Update für Single Sign-On (p. 156)

Manuelles Update für Single Sign-On

Um manuell Ihre Zugriffs-URL zur Liste der zulässigen Websites in Firefox hinzuzufügen, führen Sie diefolgenden Schritte auf dem Client-Computer aus.

So fügen Sie manuell Ihre Zugriffs-URL zur Liste der zulässigen Websites in Firefox hinzu

1. Öffnen Sie Firefox und öffnen Sie die Seite about:config.2. Öffnen Sie die Einstellung network.negotiate-auth.trusted-uris und fügen Sie Ihre Zugriffs-

URL der Liste der Websites hinzu. Verwenden Sie ein Komma (,), um mehrere Einträge zu trennen.

Version 1.0287


Automatisches Update für Single Sign-On

Als Domänenadministrator können Sie ein Skript hinzufügen, um Ihre Zugriffs-URL auf allen Computernin Ihrem Netzwerk der Firefox-Benutzereinstellung network.negotiate-auth.trusted-urishinzuzufügen. Weitere Informationen finden Sie unter https://support.mozilla.org/en-US/questions/939037.

Aktivieren des Zugriffs auf die AWS ManagementConsole mit AD-AnmeldeinformationenAWS Directory Service ermöglicht es Ihnen, Mitgliedern Ihres Verzeichnisses Zugriff auf die AWSManagement Console zu gewähren. Standardmäßig haben Verzeichnismitglieder keinen Zugriff auf AWS-Ressourcen. Weisen Sie den Verzeichnismitgliedern IAM-Rollen zu, um ihnen Zugriff auf verschiedeneAWS-Services und -Ressourcen zu gewähren. Die IAM-Rolle definiert die Services, Ressourcen undZugriffsebenen, die für Verzeichnismitglieder verfügbar sind.

Damit Sie Verzeichnismitgliedern den Konsolenzugriff gewähren können, benötigt das Verzeichnis eineZugriffs-URL. Weitere Informationen zum Abrufen von Verzeichnisdetails und der Zugriffs-URL finden Sieunter Anzeigen von Verzeichnisinformationen (p. 142). Weitere Informationen zum Erstellen einer Zugriffs-URL finden Sie unter Erstellen einer Zugriffs-URL (p. 148).

Weitere Informationen zum Erstellen von IAM-Rollen und deren Zuweisung zu Verzeichnismitgliedernfinden Sie unter Gewähren von Zugriff auf AWS-Ressourcen für Benutzer und Gruppen (p. 142).

Themen• Gewähren des AWS Management Console-Zugriffs (p. 157)• Deaktivieren des AWS Management Console-Zugriffs (p. 157)

Version 1.0288

https://support.mozilla.org/en-US/questions/939037


• Festlegen der Dauer der Anmeldesitzung (p. 158)• Gewähren des AWS Management Console-Zugriffs (p. 290)• Deaktivieren des AWS Management Console-Zugriffs (p. 290)• Festlegen der Dauer der Anmeldesitzung (p. 291)


• So greifen Sie auf die AWS Management Console mit AWS Managed Microsoft AD und Ihren lokalenAnmeldeinformationen zu




Management (Anwendungsverwaltung) aus.4. Wählen Sie im Abschnitt AWS Management Console die Option Enable (Aktivieren). Der


Damit sich Benutzer mit der Zugriffs-URL an der Konsole anmelden können, müssen Sie Ihre Benutzerzuerst zur Rolle hinzufügen. Allgemeine Informationen zum Zuweisen von Benutzern zu IAM-Rollenfinden Sie unter Zuweisen von Benutzern oder Gruppen zu einer vorhandenen Rolle (p. 144).Nachdem die IAM-Rollen zugewiesen wurden, können die entsprechenden Benutzer über dieZugriffs-URL auf die Konsole zugreifen. Lautet die Zugriffs-URL Ihres Verzeichnisses zum Beispiel"example-corp.awsapps.com", dann lautet die URL für den Zugriff auf die Konsole "https://example-corp.awsapps.com/console/".




Management (Anwendungsverwaltung) aus.4. Wählen Sie im Abschnitt AWS Management Console die Option Disable (Deaktivieren). Der

Konsolenzugriff ist jetzt für Ihr Verzeichnis deaktiviert.5. Nach dem Zuweisen der IAM-Rollen zu Benutzern oder Gruppen im Verzeichnis ist die Schaltfläche

Disable (Deaktivieren) möglicherweise nicht mehr verfügbar. In diesem Fall müssen Sie zunächst alleIAM-Rollenzuweisungen für das Verzeichnis entfernen, einschließlich der Zuweisungen für gelöschteBenutzer oder Gruppen in Ihrem Verzeichnis. Diese werden als Deleted User (Gelöschter Benutzer)oder Deleted Group (Gelöschte Gruppe) angezeigt.


Version 1.0289






Festlegen der Dauer der AnmeldesitzungStandardmäßig haben Benutzer eine Stunde Zeit, um nach dem Anmelden in der Konsole eine Sitzungzu nutzen, bevor sie abgemeldet werden. Nach dieser Zeit müssen sich die Benutzer erneut anmelden,um eine weitere einstündige Sitzung zu starten, bevor sie erneut abgemeldet werden. Gehen Siefolgendermaßen vor, um die Dauer auf bis zu 12 Stunden pro Sitzung zu ändern.



Management (Anwendungsverwaltung) aus.4. Wählen Sie im Abschnitt AWS Apps & Services (AWS-Apps und -Services) die Option AWS

Management Console aus.5. Wählen Sie im Dialogfeld Manage Access to AWS Resource (Zugriff auf AWS-Ressourcen verwalten)

die Option Continue (Fortfahren) aus6. Ändern Sie auf der Seite Assign users and groups to IAM roles (Benutzer und Gruppen zu IAM-Rollen

zuweisen) unter Set login session length (Dauer der Anmeldesitzung festlegen) den Zahlenwert ausund klicken Sie auf Save (Speichern).




Management (Anwendungsverwaltung) aus.4. Wählen Sie im Abschnitt AWS Management Console die Option Enable (Aktivieren) aus. Der


Bevor sich Benutzer mit Ihrer Zugriffs-URL bei der Konsole anmelden können, müssen Sie IhreBenutzer der Rolle hinzufügen. Allgemeine Informationen zum Zuweisen von Benutzern zu IAM-Rollen finden Sie unter Zuweisen von Benutzern oder Gruppen zu einer vorhandenen Rolle (p. 144).Nachdem die IAM-Rollen zugewiesen wurden, können die entsprechenden Benutzer über dieZugriffs-URL auf die Konsole zugreifen. Wenn Ihre Verzeichniszugriffs-URL beispielsweise"example-corp.awsapps.com" lautet, lautet die URL für den Zugriff auf die Konsole "https://example-corp.awsapps.com/console/.".



1. Wählen Sie im Navigationsbereich der AWS Directory Service console Directories (Verzeichnisse) aus.2. Wählen Sie auf der Seite Directories (Verzeichnisse) Ihre Verzeichnis-ID aus.

Version 1.0290




AWS Directory Service AdministratorhandbuchTutorial: Erstellen eines Simple AD-Verzeichnisses.

3. Wählen Sie auf der Seite Directory details (Verzeichnisdetails) die Registerkarte ApplicationManagement (Anwendungsverwaltung) aus.

4. Wählen Sie im Abschnitt AWS Management Console die Option Disable (Deaktivieren) aus. DerKonsolenzugriff ist jetzt für Ihr Verzeichnis deaktiviert.

5. Wenn Benutzern oder Gruppen im Verzeichnis IAM-Rollen zugewiesen wurden, ist die SchaltflächeDisable (Deaktivieren) möglicherweise nicht verfügbar. In diesem Fall müssen Sie alle IAM-Rollenzuweisungen für das Verzeichnis entfernen, bevor Sie fortfahren, einschließlich Zuweisungenfür Benutzer oder Gruppen in Ihrem Verzeichnis, die gelöscht wurden. Diese werden als Deleted User(Gelöschter Benutzer) oder Deleted Group (Gelöschte Gruppe) angezeigt.


Festlegen der Dauer der AnmeldesitzungStandardmäßig haben Benutzer 1 Stunde Zeit, um ihre Sitzung zu verwenden, nachdem sie sich erfolgreichbei der Konsole angemeldet haben, bevor sie abgemeldet werden. Danach müssen sich Benutzer erneutanmelden, um die nächste 1-stündige Sitzung zu starten, bevor sie erneut abgemeldet werden. Gehen Siefolgendermaßen vor, um die Dauer auf bis zu 12 Stunden pro Sitzung zu ändern.



Management (Anwendungsverwaltung) aus.4. Wählen Sie im Abschnitt AWS Apps & Services (AWS-Apps und -Dienste) die Option AWS

Management Console (Verwaltungskonsole) aus.5. Wählen Sie im Dialogfeld Manage Access to AWS Resource die Option Continue.6. Bearbeiten Sie auf der Seite Assign users and groups to IAM roles unter Set login session length den

Zahlenwert, und wählen Sie dann Save.

Tutorial: Erstellen eines Simple AD-Verzeichnisses.Im folgenden praktischen Tutorial werden alle erforderlichen Schritte zum Einrichten eines AWS DirectoryService Simple AD-Verzeichnisses beschrieben. Die Anleitung hilft Ihnen beim schnellen und einfachenEinstieg in die Verwendung von AWS Directory Service, eignet sich aber nicht für die Verwendung inGroßproduktionsumgebungen.

Themen• Prerequisites (p. 291)• Schritt 1: Erstellen und Konfigurieren Ihrer VPC (p. 292)• Schritt 2: Erstellen Ihres Simple AD-Verzeichnisses (p. 293)

PrerequisitesIn diesem Tutorial wird von Folgendem ausgegangen:

• Sie haben ein aktives AWS-Konto.• Ihr Konto hat das Limit von VPCs für die Region, in der Sie AWS Directory Service verwenden möchten,

nicht erreicht. Weitere Informationen über Amazon VPC finden Sie unter Was ist Amazon VPC? undSubnetze in Ihrer VPC im Amazon VPC Benutzerhandbuch.

Version 1.0291



https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#VPCSubnet

AWS Directory Service AdministratorhandbuchSchritt 1: Erstellen und Konfigurieren Ihrer VPC

• Sie haben keine vorhandene VPC in der Region mit einem CIDR von 10.0.0.0/16.

Schritt 1: Erstellen und Konfigurieren Ihrer VPCIn den folgenden Abschnitten erfahren Sie, wie eine VPC für die Verwendung mit AWS Directory Serviceerstellt und konfiguriert wird.

Themen• Erstellen einer neuen VPC (p. 292)• Hinzufügen eines zweiten Subnetzes (p. 293)

Erstellen einer neuen VPCDieses Tutorial verwendet einen der VPC-Assistenten, um Folgendes zu erstellen:

• Die VPC• Eines der Subnetze• Ein Internet-Gateway

So erstellen Sie Ihren VPC mithilfe des VPC-Assistenten

1. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.2. Wählen Sie im Navigationsbereich VPC Dashboard (VPC-Dashboard) aus. Wenn Sie noch keine VPC-

Ressourcen haben, rufen Sie den Bereich Your Virtual Private Cloud (Ihre virtuelle private Cloud) aufdem Dashboard auf und wählen Get started creating a VPC (Erste Schritte zum Erstellen einer VPC)aus. Klicken Sie andernfalls auf Start VPC Wizard (VPC-Assistent starten).

3. Wählen Sie die zweite Option, VPC with a Single Public Subnet (VPC mit nur einem öffentlichenSubnetz), und klicken Sie dann auf Select (Auswählen).

4. Geben Sie im Assistenten die folgenden Informationen ein und wählen Sie Create VPC (VPC erstellen)aus.

IP CIDR block (IP CIDR-Block)

10.0.0.0/16

VPC name (VPC-Name)

ADS VPC

Öffentliches Subnetz

10.0.0.0/24

Availability Zone

No Preference (Keine Präferenz)Subnet name (Subnetz-Name)

ADS Subnet 1

Enable DNS hostnames

Belassen Sie die StandardauswahlHardware tenancy (Hardware-Tenancy)

StandardVersion 1.0

292


AWS Directory Service AdministratorhandbuchSchritt 2: Erstellen Ihres Simple AD-Verzeichnisses

5. Es dauert einige Minuten, bis die VPC erstellt wird. Fügen Sie nach dem Erstellen der VPC gemäßfolgendem Abschnitt ein zweites Subnetz hinzu.

Hinzufügen eines zweiten SubnetzesFür AWS Directory Service sind zwei Subnetze in Ihrer VPC erforderlich und jedes Subnetz muss sich ineiner anderen Availability Zone befinden. Mit dem VPC-Assistenten wird nur ein Subnetz erstellt, sodassSie manuell ein zweites Subnetz einrichten müssen. Dabei müssen Sie eine andere Availability Zone als fürdas erste Subnetz angeben. Gehen Sie beim Erstellen des zweiten Subnetzes folgendermaßen vor.

So erstellen Sie ein Subnetz

1. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.2. Wählen Sie im Navigationsbereich Subnets (Subnetze), dann das Subnetz mit dem Namen ADS

Subnet 1 und schließlich unten auf der Seite die Registerkarte Summary (Zusammenfassung) aus.Notieren Sie die Availability Zone für dieses Subnetz.

3. Wählen Sie Create Subnet (Subnetz erstellen) aus und geben Sie im Dialogfeld Create Subnet(Subnetz erstellen) die folgenden Informationen ein. Wählen Sie dann Yes, Create (Jetzt erstellen)aus.

Name tag (Namensbezeichner)

ADS Subnet 2

VPC

Wählen Sie Ihre VPC aus. Dies ist die VPC mit dem Namen ADS VPC.Availability Zone

Wählen Sie eine andere als die in Schritt 2 notierte Availability Zone aus. Die zwei Subnetze fürAWS Directory Service müssen zu verschiedenen Availability Zones gehören.

CIDR Block (CIDR-Block)

10.0.1.0/24

Schritt 2: Erstellen Ihres Simple AD-VerzeichnissesZum Erstellen eines neuen Verzeichnisses führen Sie folgende Schritte aus. Bevor Sie dieses Verfahrenbeginnen, stellen Sie sicher, dass Sie die in Simple AD-Voraussetzungen (p. 245) angegebenenVoraussetzungen erfüllt haben.

Ein Simple AD-Verzeichnis erstellen


2. Wählen Sie auf der Seite Select directory type (Verzeichnistyp auswählen) die Option Simple AD unddann Next (Weiter) aus.


Directory size (Verzeichnisgröße)

Wählen Sie die Größenoption Small (Klein) oder Large (Groß). Weitere Informationen überGrößen finden Sie unter Simple Active Directory (p. 244).

Version 1.0293



AWS Directory Service AdministratorhandbuchBewährte Methoden

Organization name (Organisationsname)

Für die Registrierung von Client-Geräten wird ein eindeutiger Organisationsname für IhrVerzeichnis verwendet.

Dieses Feld steht nur zur Verfügung, wenn Sie Ihr Verzeichnis als Teil eines AmazonWorkSpaces-Starts erstellen.


Den vollständig qualifizierten Namen für das Verzeichnis, z. B. corp.example.com.NetBIOS-Name des Verzeichnisses

Die kurzen Namen für das Verzeichnis, z. B. CORP.Administrator password

Das Passwort für den Verzeichnisadministrator. Mit der Verzeichniserstellung wird einAdministratorkonto mit dem Benutzernamen Administrator und diesem Passwort angelegt.

Das Verzeichnisadministrator-Passwort unterscheidet zwischen Groß-/ Kleinschreibung und musszwischen 8 und 64 Zeichen lang sein. Zudem muss es mindestens ein Zeichen aus dreien der vierfolgenden Kategorien enthalten:• Kleinbuchstaben (a – z)• Großbuchstaben (A – Z)• Zahlen (0 bis 9)• Nicht-alphanumerische Zeichen (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

Confirm password

Geben Sie das Administratorpasswort erneut ein.Verzeichnisbeschreibung



VPC

Die VPC für das Verzeichnis.Subnets (Subnetze)


5. Überprüfen Sie auf der Seite Review & create (Überprüfen und erstellen) die Verzeichnisinformationenund nehmen Sie gegebenenfalls Änderungen vor. Wenn die Informationen richtig sind, wählen SieCreate directory (Verzeichnis erstellen). Es dauert einige Minuten, bis das Verzeichnis erstellt wurde.Sobald es erstellt wurde, ändert sich der Wert von Status in Active (Aktiv).

Bewährte Methoden für Simple ADHier finden Sie einige Vorschläge und Richtlinien, die Sie in Betracht ziehen sollten, um Probleme zuvermeiden und AWS Managed Microsoft AD optimal zu nutzen.

Einrichten: VoraussetzungenBeachten Sie die folgenden Richtlinien, bevor Sie Ihr Verzeichnis erstellen.

Version 1.0294

AWS Directory Service AdministratorhandbuchEinrichten: Voraussetzungen








Beachten Ihrer LimitsErfahren Sie mehr über die verschiedenen Limits für Ihren spezifischen Verzeichnistyp. Der verfügbareSpeicher und die Aggregationsgröße Ihrer Objekte sind die einzigen Einschränkungen für die Anzahl vonObjekten, die Sie in Ihrem Verzeichnis speichern können. Einzelheiten zum gewählten Verzeichnis findenSie unter Grenzwerte für AWS Managed Microsoft AD (p. 168), Grenzwerte für AD Connector (p. 239) oderGrenzwerte für Simple AD (p. 297).

Die Konfiguration und Verwendung der AWS-SicherheitsgruppeIhres Verzeichnisses verstehenAWS erstellt eine Sicherheitsgruppe und fügt Sie den Elastic Network-Schnittstellen desDomänencontrollers Ihres Verzeichnisses hinzu. AWS konfiguriert die Sicherheitsgruppe so, dass unnötigerDatenverkehr zum Verzeichnis blockiert wird, und lässt erforderlichen Datenverkehr zu.

Ändern der Verzeichnissicherheitsgruppe

Wenn Sie die Sicherheit der Sicherheitsgruppen Ihrer Verzeichnisse ändern möchten, können Sie dies tun.Nehmen Sie diese Änderungen nur vor, wenn Sie verstehen, wie Sicherheitsgruppenfilter funktionieren.Weitere Informationen finden Sie unter Amazon EC2-Sicherheitsgruppen für Linux-Instances im Amazon

Version 1.0295




AWS Directory Service AdministratorhandbuchEinrichten: Erstellen Ihres Verzeichnisses

EC2-Benutzerhandbuch. Fehlerhafte Änderungen können zu einem Verlust der Kommunikation mitvorgesehenen Computern und Instances führen. AWS empfiehlt, dass Sie nicht versuchen, zusätzlichePorts zu Ihrem Verzeichnis zu öffnen, da dadurch die Sicherheit Ihres Verzeichnisses verringert wird.Sehen Sie sich das AWS-Modell übergreifender Verantwortlichkeit genau an.

Warning

Es ist technisch möglich, dass Sie die Sicherheitsgruppe des Verzeichnisses anderen vonIhnen erstellten EC2-Instances zuordnen. AWS rät jedoch von dieser Vorgehensweise ab.AWS hat möglicherweise Gründe, die Sicherheitsgruppe ohne vorherige Ankündigung zuändern, um Funktions- oder Sicherheitsanforderungen des verwalteten Verzeichnissesnachzukommen. Solche Änderungen wirken sich auf alle Instances aus, denen Sie dieVerzeichnis-Sicherheitsgruppe zuordnen, und können den Betrieb der dazugehörigen Instancesstören. Außerdem entsteht durch die Zuordnung der Verzeichnis-Sicherheitsgruppe zu Ihren EC2-Instances möglicherweise ein potenzielles Sicherheitsrisiko für Ihre EC2-Instances.

Verwenden von AWS Managed Microsoft AD, wennVertrauensbeziehungen erforderlich sindSimple AD unterstützt keine Vertrauensstellungen. Wenn Sie eine Vertrauensstellung zwischen Ihrem AWSDirectory Service-Verzeichnis und einem anderen Verzeichnis brauchen, sollten Sie AWS Directory Servicefür Microsoft Active Directory verwenden.

Einrichten: Erstellen Ihres VerzeichnissesHier finden Sie einige Vorschläge, wie Sie Ihr Verzeichnis erstellen.

Beachten Sie Ihre Administratoren-ID und das PasswortWenn Sie Ihr Verzeichnis einrichten, geben Sie ein Passwort für das Administratorkonto ein. Die Konto-ID für Simple AD lautet Administrator. Merken Sie sich das Passwort, das Sie für dieses Konto erstellen.Andernfalls können Sie keine Objekte in Ihrem Verzeichnis hinzufügen.


• Leerzeichen• !"#$%&'()*+,/:;<=>?@[\]^`{|}~

Note



Version 1.0296



Verwenden des Windows DC-SuchdienstsNutzen Sie beim Entwickeln von Anwendungen den Windows DC-Suchdienst oder den Dynamic DNS-Service (DDNS) von AWS Managed Microsoft AD, um Domänencontroller (DCs) zu finden. KodierenSie Anwendungen nicht fest mit der Adresse eines Domänencontrollers. Der DC-Suchdienst sorgt füreine Verteilung der Verzeichnislast und ermöglicht Ihnen die Nutzung einer horizontalen Skalierungdurch das Hinzufügen von Domänencontrollern zu Ihrer Bereitstellung. Wenn Sie Ihre Anwendungan einen festen DC binden und der DC einem Patching oder einer Wiederherstellung unterzogenwird, verliert Ihre Anwendung den Zugriff auf den DC, anstatt einen der verbleibenden DCs. (z. B..Darüber hinaus kann die harte Codierung des DC zu Hot Spotting auf einem einzelnen DC führen. Inextremen Fällen kann dies dazu führen, dass Ihr DC nicht mehr reagiert. Darüber hinaus ist es möglich,dass die AWS-Verzeichnisautomatisierung das Verzeichnis als nicht funktionsfähig kennzeichnet undWiederherstellungsprozesse auslöst, die den nicht reagierenden DC ersetzen.

Auslastungstests vor der InbetriebnahmeFühren Sie Labortests mit Objekten und Anforderungen durch, die Ihren Produktions-Workload darstellen,um sicherzustellen, dass das Verzeichnis entsprechend der Arbeitslast Ihrer Anwendung skaliertwird. Wenn Sie zusätzliche Kapazitäten benötigen, sollten Sie AWS Directory Service für MicrosoftActive Directory verwenden, wodurch Ihnen ermöglicht wird, Domain-Controller für hohe Performancehinzuzufügen. Weitere Informationen finden Sie im Bereitstellen zusätzlicher Domänencontroller (p. 160).

Verwenden effizienter LDAP-AbfragenUmfassende LDAP-Abfragen für einen Domänencontroller über Tausende von Objekten könnenumfangreiche CPU-Zyklen auf einem einzelnen DC verursachen und ein Hot Spotting nach sich ziehen.Dies kann Auswirkungen auf Anwendungen haben, die während der Abfrage denselben DC verwenden.

Grenzwerte für Simple ADIm Allgemeinen sollten Sie nicht mehr als 500 Benutzer zu einem kleinen Simple AD-Verzeichnisund nicht mehr als 5.000 Benutzer zu einem großen Simple AD-Verzeichnis hinzufügen. FlexiblereSkalierungsoptionen und zusätzliche Active Directory-Funktionen erhalten Sie, wenn Sie stattdessen dieVerwendung von AWS Directory Service für Microsoft Active Directory (Standard Edition oder EnterpriseEdition) in Betracht ziehen.

Die folgenden Grenzwerte sind die Standardgrenzwerte für Simple AD. Jedes Limit gilt pro Region, sofernnicht anders angegeben.

Limits für Simple AD


Simple AD-Verzeichnisse 10

Manuelle Snapshots* 5 pro Simple AD

*Der Grenzwert für manuelle Snapshots kann nicht geändert werden.Note

Sie können Ihrer Elastic Network-Schnittstelle (ENI) von AWS öffentliche IP-Adresse zuweisen.


Version 1.0297

AWS Directory Service AdministratorhandbuchAnwendungskompatibilität





Richtlinie zur Anwendungskompatibilität für SimpleAD

Simple AD ist eine Samba-Implementierung, die viele der grundlegenden Funktionen von Active Directorybereitstellt. Aufgrund der Masse an benutzerdefinierten und kommerziellen Standardanwendungen, dieActive Directory nutzen, führt AWS keine formale oder umfangreiche Verifizierung der Kompatibilitätvon Drittanbieteranwendungen mit Simple AD durch. Obwohl AWS mit Kunden an der Überwindungmöglicher Schwierigkeiten bei der Anwendungsinstallation arbeitet, können wir nicht garantieren, dass alleAnwendungen mit Simple AD kompatibel sind oder kompatibel bleiben.

Die folgenden Anwendungen von Drittanbietern sind mit Simple AD kompatibel:

• Microsoft Internet Information Services (IIS) auf den folgenden Plattformen:• Windows Server 2003 R2• Windows Server 2008 R1• Windows Server 2008 R2• Windows Server 2012• Windows Server 2012 R2

• Microsoft SQL Server:• SQL Server 2005 R2 (Express, Web und Standard Editionen)• SQL Server 2008 R2 (Express, Web und Standard Editionen)• SQL Server 2012 (Express, Web und Standard Editionen)• SQL Server 2014 (Express, Web und Standard Editionen)

• von Microsoft SharePoint:• SharePoint Grundlage 2010• SharePoint Unternehmen 2010• SharePoint 2013 Unternehmen

Kunden können sich für die Verwendung von AWS Directory Service für Microsoft Active Directory (AWSManaged Microsoft AD (p. 8)) für einen höheren Grad an Kompatibilität basierend auf dem tatsächlichenActive Directory entscheiden.

Simple AD-FehlerbehebungDie folgenden Informationen können Ihnen beim Beheben von ein paar gängigen Problemen behilflich sein,die beim Erstellen oder Benutzen Ihres Verzeichnisses auftreten können.

Themen

Version 1.0298


AWS Directory Service AdministratorhandbuchWiederherstellen des Passworts

• Wiederherstellen des Passworts (p. 299)• Beim Hinzufügen eines Benutzers zu Simple AD wird der Fehler „KDC can't fulfill requested

option“ (KDC kann die angeforderte Option nicht erfüllen) angezeigt. (p. 299)• Ich kann den DNS-Namen oder die IP-Adresse einer meiner Domänen zugeordneten Instance nicht

aktualisieren (dynamische DNS-Aktualisierung). (p. 299)• Ich kann mich mit einem SQL-Serverkonto nicht dort anmelden. (p. 299)• Mein Verzeichnis bleibt dauerhaft im Status „Angefragt”. (p. 300)• Der Fehler „Beschränktes AZ” wird angezeigt, wenn ich ein Verzeichnis erstellen will. (p. 300)• Einige meiner Benutzer können sich in meinem Verzeichnis nicht authentifizieren. (p. 300)• Gründe für den Simple AD-Verzeichnisstatus (p. 300)

Wiederherstellen des PasswortsWenn ein Benutzer ein Passwort vergessen hat oder Schwierigkeiten bei der Anmeldung in Ihrem SimpleAD- oder AWS Managed Microsoft AD-Verzeichnis hat, können Sie sein Passwort entweder über die AWSManagement Console, Windows PowerShell oder die AWS-CLI zurücksetzen.

Weitere Informationen finden Sie unter Zurücksetzen eines Passworts (p. 250).

Beim Hinzufügen eines Benutzers zu Simple AD wirdder Fehler „KDC can't fulfill requested option“ (KDCkann die angeforderte Option nicht erfüllen) angezeigt.Dies kann passieren, wenn der Samba CLI-Client die net-Befehle nicht ordnungsgemäß an alleDomänencontroller sendet. Falls Sie diese Fehlermeldung bei der Verwendung des Befehls „net ads“zum Hinzufügen eines Benutzers zu Ihrem Simple AD-Verzeichnis verwenden, verwenden Sie das -SArgument und geben Sie die IP-Adresse von einem Ihrer Domänencontroller an. Falls immer noch einFehler angezeigt wird, testen Sie den anderen Domänencontroller. Sie können auch die Active Directory-Verwaltungstools verwenden, um Ihrem Verzeichnis Benutzer hinzuzufügen. Weitere Informationen findenSie unter Installieren der Active Directory-Verwaltungstools (p. 249).

Ich kann den DNS-Namen oder die IP-Adresseeiner meiner Domänen zugeordneten Instance nichtaktualisieren (dynamische DNS-Aktualisierung).Dynamische DNS-Aktualisierungen werden von Simple AD-Domänen nicht unterstützt. Stattdessen könnenSie die Änderungen direkt vornehmen, indem Sie Ihr Verzeichnis per DNS-Manager mit einer Instanceverbinden, die Ihrer Domäne zugeordnet ist.

Ich kann mich mit einem SQL-Serverkonto nicht dortanmelden.Möglicherweise wird ein Fehler angezeigt, wenn Sie versuchen, SQL Server Management Studio (SSMS)zusammen mit einem SQL Server-Konto für die Anmeldung bei einem SQL Server zu verwenden, der ineiner Windows 2012 R2 EC2-Instance oder in Amazon RDS ausgeführt wird. Das Problem tritt auf, wennSSMS als Domänen-Benutzer ausgeführt wird, und kann auch bei gültigen Anmeldeinformationen dazuführen, dass der Fehler „Fehlgeschlagene Benutzeranmeldung” angezeigt wird. Es handelt sich hierbei umein bekanntes Problem, an dessen Lösung AWS aktiv arbeitet.

Version 1.0299

AWS Directory Service AdministratorhandbuchMein Verzeichnis bleibt dauerhaft im Status „Angefragt”.

Um das Problem zu umgehen, können Sie sich anstelle einer SQL- mit einer Windows-Authentifizierungbeim SQL-Server anmelden. Oder Sie starten SSMS als lokalen anstatt als Simple AD Domänenbenutzer.

Mein Verzeichnis bleibt dauerhaft im Status„Angefragt”.Wenn sich Ihr Verzeichnis länger als fünf Minuten im „Angefragt”-Status befindet, löschen Sie dasVerzeichnis und erstellen es neu. Wenn dieses Problem weiterhin besteht, wenden Sie sich an das AWSSupport Center.

Der Fehler „Beschränktes AZ” wird angezeigt, wennich ein Verzeichnis erstellen will.Einige AWS-Konten, die vor 2012 erstellt wurden, haben möglicherweise Zugriff auf Availability Zones inden USA Ost (Nord-Virginia)-, USA West (Nordkalifornien)- oder Asien-Pazifik (Tokio)-Regionen, die AWSDirectory Service-Verzeichnisse nicht unterstützen. Wenn während der Erstellung eines Verzeichnisses einFehler wie dieser angezeigt wird, wählen Sie ein Subnetz aus einer anderen Availability Zone und erstellenSie das Verzeichnis erneut.

Einige meiner Benutzer können sich in meinemVerzeichnis nicht authentifizieren.Für Ihre Benutzerkonten muss die Kerberos-Vorabauthentifizierung aktiviert sein. Das ist dieStandardeinstellung für neue Benutzerkonten und sollte nicht geändert werden. Weitere Informationen zudieser Einstellung finden Sie unter Vorauthentifizierung auf Microsoft TechNet.

Themen• Gründe für den Simple AD-Verzeichnisstatus (p. 300)

Gründe für den Simple AD-VerzeichnisstatusWenn ein Verzeichnis beeinträchtigt oder nicht funktionsfähig ist, enthält die Verzeichnis-Statusmeldungweitere Informationen. Die Statusmeldung wird in der AWS Directory Service-Konsole angezeigt oderin dem DirectoryDescription.StageReason-Mitglied von der DescribeDirectories-APIzurückgegeben. Weitere Informationen über den Verzeichnisstatus finden Sie unter Erläuterungen zumVerzeichnisstatus (p. 53).

Im Folgenden sind die Statusmeldungen für ein Simple AD-Verzeichnis aufgeführt:

Themen• Die Elastic Network-Schnittstelle für den Verzeichnisservice ist nicht angefügt (p. 301)• Von der Instance erkannte Probleme (p. 301)• Der für den kritischen AWS-Verzeichnisdienst reservierte Benutzer fehlt im Verzeichnis (p. 301)• Der für den kritischen AWS-Verzeichnisdienst reservierte Benutzer muss zu der Domain Admins AD-

Gruppe gehören (p. 302)• Der für den kritischen AWS-Verzeichnisdienst reservierte Benutzer ist deaktiviert (p. 302)• Der Haupt-Domänencontroller hat nicht alle FSMO-Rollen (p. 302)• Domänencontroller Replikationsfehler (p. 302)

Version 1.0300




https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DirectoryDescription.html#ADS-Type-DirectoryDescription-StageReason

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeDirectories.html

AWS Directory Service AdministratorhandbuchGründe für den Verzeichnisstatus

Die Elastic Network-Schnittstelle für den Verzeichnisservice istnicht angefügtBeschreibung

Die kritische Elastic Network-Schnittstelle (ENI), die für Sie beim Erstellen des Verzeichnisses erstelltwurde, um eine Netzwerkverbindung mit der VPC einzurichten, ist nicht an die Verzeichnis-Instanceangefügt. AWS-Anwendungen, die auf dieses Verzeichnis angewiesen sind, können nicht ausgeführtwerden. Ihr Verzeichnis kann keine Verbindung zu Ihrem lokalen Netzwerk herstellen.

Fehlersuche

Wenn die ENI getrennt ist, aber immer noch existiert, wenden Sie sich an den AWS Support. Wenndie ENI gelöscht wurde, gibt es keine Möglichkeit, das Problem zu lösen, und Ihr Verzeichnis kann niewieder verwendet werden. Sie müssen das Verzeichnis löschen und ein neues erstellen.

Von der Instance erkannte ProblemeBeschreibung

Die Instance hat einen internen Fehler erkannt. Dies bedeutet normalerweise, dass derÜberwachungsservice aktiv versucht, die beeinträchtigten Instances wiederherzustellen.

Fehlersuche

Größtenteils ist dies ein vorübergehendes Problem und das Verzeichnis geht irgendwann wieder inden aktiven Status über. Wenn das Problem weiterhin bestehen bleibt, wenden Sie sich an den AWSSupport, um weitere Unterstützung zu erhalten.

Der für den kritischen AWS-Verzeichnisdienst reservierteBenutzer fehlt im VerzeichnisDescription (Beschreibung)

Wenn ein Simple AD erstellt wird, AWS Directory Service erstellt ein Servicekonto im Verzeichnismit dem Namen AWSAdminD-xxxxxxxxx. (z. B.. Dieser Fehler wird empfangen, wenn diesesDienstkonto nicht gefunden werden kann. Ohne dieses Konto kann AWS Directory Servicekeine Verwaltungsfunktionen auf dem Verzeichnis ausführen, weshalb das Verzeichnis nichtverwendungsfähig ist.

Fehlerbehebung

Um dieses Problem zu beheben, stellen Sie das Verzeichnis mit einem früheren Snapshot wieder her,der erstellt wurde, bevor das Service-Konto gelöscht wurde. Automatische Snapshots werden vonIhrem Simple AD-Verzeichnis einmal pro Tag erstellt. Wenn mehr als fünf Tage nach dem Löschen desKontos vergangen sind, können Sie das Verzeichnis nicht auf einen Zustand wiederherstellen, in demdieses Konto vorhanden ist. Wenn Sie das Verzeichnis nicht anhand eines Snapshots wiederherstellenkönnen, in dem dieses Konto vorhanden ist, könnte Ihr Verzeichnis dauerhaft unbenutzbar werden.Wenn dies der Fall ist, müssen Sie Ihr Verzeichnis löschen und ein neues erstellen.

Version 1.0301


Der für den kritischen AWS-Verzeichnisdienst reservierteBenutzer muss zu der Domain Admins AD-Gruppe gehörenDescription (Beschreibung)

Wenn ein Simple AD erstellt wird, AWS Directory Service erstellt ein Servicekonto im Verzeichnismit dem Namen AWSAdminD-xxxxxxxxx. (z. B.. Dieser Fehler wird empfangen, wenn diesesServicekonto kein Mitglied des Domain Admins Gruppe. Die Mitgliedschaft in dieser Gruppe isterforderlich, damit AWS Directory Service die benötigten Berechtigungen zu Wartungs- und Recovery-Operationen hat, wie zum Beispiel die Übertragung von FSMO-Rollen, Einbindung der Domäne inneue Verzeichnis-Controller und die Wiederherstellung von Snapshots.

Fehlerbehebung

Verwenden Sie das Tool Active Directory-Benutzer und -Computer, um das Service-Konto der DomainAdmins-Gruppe wieder hinzuzufügen.

Der für den kritischen AWS-Verzeichnisdienst reservierteBenutzer ist deaktiviertDescription (Beschreibung)

Wenn ein Simple AD erstellt wird, AWS Directory Service erstellt ein Servicekonto im Verzeichnis mitdem Namen AWSAdminD-xxxxxxxxx. (z. B.. Dieser Fehler wird empfangen, wenn dieses Dienstkontodeaktiviert ist. Dieses Konto muss aktiviert werden, damit AWS Directory Service Wartungs- undRecovery-Operationen im Verzeichnis ausführen kann.

Fehlerbehebung

Verwenden Sie das Tool Active Directory-Benutzer und -Computer, um das Service-Konto wieder zuaktivieren.

Der Haupt-Domänencontroller hat nicht alle FSMO-RollenDescription (Beschreibung)

Nicht alle FSMO-Rollen sind im Besitz des Simple AD-Verzeichnis-Controllers. AWS Directory Servicekann bestimmte Verhalten und Funktionalitäten nicht garantieren, wenn die FSMO-Rollen nicht zumrichtigen Simple AD-Verzeichnis-Controller gehören.

Fehlerbehebung

Verwenden Sie Active Directory-Tools zum Verschieben der FSMO-Rollen zurück zum ursprünglichenArbeitsverzeichnis-Controller. Weitere Informationen zum Verschieben der FSMO-Rollen finden Sieunter https://support.microsoft.com/en-us/kb/324801. Wenn das Problem damit nicht behoben wird,wenden Sie sich bitte an den AWS Support, um weitere Unterstützung zu erhalten.

Domänencontroller ReplikationsfehlerDescription (Beschreibung)

Die Simple AD-Verzeichnis-Controller lassen sich nicht replizieren. Dies kann durch eines odermehrere der folgenden Probleme verursacht werden:• Die Sicherheitsgruppen für die Verzeichnis-Controller haben nicht die richtigen Ports geöffnet.• Das Netzwerk ACLs sind zu restriktiv.

Version 1.0302

https://support.microsoft.com/en-us/kb/324801


• Die VPC-Routing-Tabelle routet den Netzwerkverkehr zwischen den Verzeichnis-Controllern nichtkorrekt.

• Eine andere Instance wurde zu einem Domänencontroller im Verzeichnis.Fehlerbehebung

Weitere Informationen über Ihre VPC-Netzwerk-Anforderungen finden Sie unter AWS ManagedMicrosoft AD AWS Managed Microsoft AD-Voraussetzungen (p. 9), AD Connector AD Connector-Voraussetzungen (p. 202) oder Simple AD Simple AD-Voraussetzungen (p. 245). Wenn einunbekannter Domänencontroller in Ihrem Verzeichnis ist, müssen Sie diesen herabstufen. Wenn IhrVPC-Netzwerk korrekt eingerichtet ist, aber der Fehler weiterhin besteht, wenden Sie sich bitte an denAWS Support, um weitere Unterstützung zu erhalten.

Version 1.0303


Sicherheit in AWS Directory ServiceCloud-Sicherheit hat bei AWS höchste Priorität. Als AWS-Kunde profitieren Sie von einer Rechenzentrums-und Netzwerkarchitektur, die zur Erfüllung der Anforderungen von Organisationen entwickelt wurden, fürdie Sichherheit eine kritische Bedeutung hat.

Sicherheit ist eine übergreifende Verantwortlichkeit zwischen AWS und Ihnen. Im Modell derübergreifenden Verantwortlichkeit wird Folgendes mit „Sicherheit der Cloud“ bzw. „Sicherheit in der Cloud“umschrieben:

• Sicherheit der Cloud selbst – AWS ist dafür verantwortlich, die Infrastruktur zu schützen, mit derAWS-Services in der AWS- Cloud ausgeführt werden. AWS stellt Ihnen außerdem Services bereit,die Sie sicher nutzen können. Auditoren von Drittanbietern testen und überprüfen die Effektivitätunserer Sicherheitsmaßnahmen im Rahmen der AWS-Compliance-Programme regelmäßig. WeitereInformationen zu den Compliance-Programmen für AWS Directory Service finden Sie unter Im Rahmendes Compliance-Programms zugelassene AWS-Services.

• Sicherheit in der Cloud in – Ihr Verantwortungsumfang wird durch den AWS-Service bestimmt, den Sieverwenden. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, fürdie Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.

In dieser Dokumentation wird die Bedeutung des Modells der übergreifenden Verantwortlichkeit bei derVerwendung von AWS Directory Service beschrieben. Die folgenden Themen veranschaulichen, wieSie AWS Directory Service zur Erfüllung Ihrer Sicherheits- und Compliance-Ziele konfigurieren können.Sie erfahren außerdem, wie Sie andere AWS-Services verwenden, um Ihre AWS Directory Service-Ressourcen zu überwachen und zu schützen.

Sicherheitsthemen

Die folgenden Sicherheitsthemen finden Sie in diesem Abschnitt:

• Identity and Access Management für AWS Directory Service (p. 305)• Protokollierung und Überwachung in AWS Directory Service (p. 317)• Compliance-Validierung für AWS Directory Service (p. 317)• Ausfallsicherheit in AWS Directory Service (p. 318)• Sicherheit der Infrastruktur in AWS Directory Service (p. 318)

Zusätzliche Sicherheitsthemen

Die folgenden zusätzlichen Sicherheitsthemen finden Sie in diesem Handbuch:

Konten, Vertrauensstellungen und AWS-Ressourcenzugriff

• Admin-Konto (p. 17)• Gruppenverwaltete Service-Konten (p. 20)• Zeitpunkt zum Erstellen einer Vertrauensstellung (p. 111)• Eingeschränkte Kerberos-Delegierung (p. 21)• Gewähren von Zugriff auf AWS-Ressourcen für Benutzer und Gruppen (p. 142)• Aktivieren des Zugriffs auf AWS-Anwendungen und -Services (p. 147)

Version 1.0304

http://aws.amazon.com/compliance/shared-responsibility-model/

http://aws.amazon.com/compliance/shared-responsibility-model/

http://aws.amazon.com/compliance/programs/

http://aws.amazon.com/compliance/services-in-scope/


AWS Directory Service AdministratorhandbuchIdentity and Access Management

Sichern des -Verzeichnisses

• Sichern des AWS Managed Microsoft AD-Verzeichnisses (p. 29)• Sichern des AD Connector-Verzeichnisses (p. 214)

Protokollierung und Überwachung

• Überwachen Ihrer AWS Managed Microsoft AD (p. 53)• Überwachen Ihres AD Connector-Verzeichnisses (p. 224)

Resilienz

• Patching und Wartung für AWS Managed Microsoft AD (p. 20)

Identity and Access Management für AWS DirectoryService

Für den Zugriff auf AWS Directory Service werden Anmeldeinformationen benötigt, die AWSzurAuthentifizierung Ihrer Anforderungen verwenden kann. Diese Anmeldeinformationen müssen überBerechtigungen für den Zugriff auf AWS-Ressourcen verfügen, z. B. ein AWS Directory Service-Verzeichnis. In den folgenden Abschnitten erfahren Sie, wie Sie Ihre Ressourcen mithilfe von AWS Identityand Access Management (IAM) und AWS Directory Service sichern können, indem Sie den Zugriff daraufkontrollieren:

• Authentifizierung (p. 305)• Zugriffskontrolle (p. 306)

AuthentifizierungSie können mit einer der folgenden Identitäten auf AWS zugreifen:

• Stammbenutzer des AWS-Kontos – Wenn Sie ein AWS-Konto neu erstellen, enthält es zunächst nureine einzelne Anmeldeidentität, die über Vollzugriff auf sämtliche AWS-Services und -Ressourcenim Konto verfügt. Diese Identität wird als Root-Benutzer des AWS-Kontos bezeichnet. Um aufes zuzugreifen, müssen Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, die zurErstellung des Kontos verwendet wurden. Wir raten ausdrücklich davon ab, den Root-Benutzer fürAlltagsaufgaben einschließlich administrativen Aufgaben zu verwenden. Bleiben Sie stattdessen beider bewährten Methode, den Root-Benutzer nur zu verwenden, um Ihren ersten IAM-Benutzer zuerstellen. Anschließend legen Sie die Anmeldedaten für den Root-Benutzer an einem sicheren Ort abund verwenden ihn nur, um einige Konto- und Service-Verwaltungsaufgaben durchzuführen.

• IAM-Benutzer – Ein IAM-Benutzer ist eine Identität in Ihrem AWS-Konto mit bestimmtenbenutzerdefinierten Berechtigungen (z. B. die Berechtigung zum Erstellen von a directory in AWSDirectory Service). Sie können einen IAM-Benutzernamen und ein Passwort für die Anmeldung beisicheren AWS-Webseiten verwenden. Dazu zählen beispielsweise die AWS Management Console,AWS-Diskussionsforen und das AWS Support Center.

Zusätzlich zu einem Benutzernamen und Passwort können Sie Zugriffsschlüssel für jeden Benutzererstellen. Verwenden Sie diese Schlüssel, wenn Sie über eines der verschiedenen SDKs oder über die

Version 1.0305

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html

https://console.aws.amazon.com/

https://forums.aws.amazon.com/


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html

https://aws.amazon.com/tools/#sdk

AWS Directory Service AdministratorhandbuchZugriffskontrolle

AWS Command Line Interface (CLI) programmgesteuert auf AWS-Services zugreifen. Das SDK unddie CLI-Tools verwenden die Zugriffsschlüssel, um Ihre Anfrage verschlüsselt zu signieren. Wenn Siekeine AWS-Tools verwenden, müssen Sie die Anforderung selbst signieren. AWS Directory ServicesupportsSignature Version 4 ein Protokoll für die Authentifizierung eingehender API-Anfragen. WeitereInformationen zur Authentifizierung von Anfragen finden Sie unter Signature Version 4-Signaturprozessim AWS General Reference.

• IAM-Rolle – Eine IAM-Rolle ist eine IAM-Identität, die Sie in Ihrem Konto mit bestimmten Berechtigungen

erstellen können. Eine IAM-Rolle ist einem IAM-Benutzer insofern sehr ähnlich, weil es sich hierbeium eine AWS-Identität mit Berechtigungsrichtlinien handelt, die festlegen, welche Aktionen dieIdentität in AWS ausführen kann und welche nicht. Eine Rolle ist jedoch nicht einer einzigen Personzugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. EinerRolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oderZugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle annehmen, erhalten Sie stattdessen temporäreAnmeldeinformationen für Ihre Rollensitzung. IAM-Rollen mit temporären Anmeldeinformationen sind infolgenden Situationen hilfreich:

• Zugriff für verbundene Benutzer – Statt einen IAM-Benutzer zu erstellen, können Sie vorhandene

Identitäten von AWS Directory Service, aus Ihrem Unternehmens-Benutzerverzeichnis oder von einemWeb-Identitätsanbieter verwenden. Diese werden als verbundene Benutzer bezeichnet. AWS weisteinem verbundenen Benutzer eine Rolle zu, wenn der Zugriff über einen Identitätsanbieter angefordertwird. Weitere Informationen zu verbundenen Benutzern finden Sie unter Verbundene Benutzer undRollen im IAM-Benutzerhandbuch.

• Zugriff auf AWS-Services: – Eine Servicerolle ist eine IAM-Rolle, die ein Service übernimmt, um

Aktionen in Ihrem Namen durchzuführen. Service-Rollen bieten nur Zugriff innerhalb Ihres Kontosund können nicht genutzt werden, um Zugriff auf Services in anderen Konten zu erteilen. Ein IAM-Administrator kann eine Servicerolle in IAM erstellen, ändern und löschen. Weitere Informationenfinden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service imIAM-Benutzerhandbuch.

• Anwendungen, die auf Amazon EC2 ausgeführt werden: – Sie können eine IAM-Rolle nutzen,

um temporäre Anmeldeinformationen für Anwendungen zu verwalten, die auf einer EC2-Instance ausgeführt werden und AWS CLI- oder AWS-API-Anforderungen durchführen. Das istempfehlenswerter als Zugriffsschlüssel innerhalb der EC2 Instance zu speichern. Erstellen Sie einInstance-Profil, das an die Instance angefügt ist, um eine AWS-Rolle einer EC2-Instance zuzuweisenund die Rolle für sämtliche Anwendungen der Instance bereitzustellen. Ein Instance-Profil enthältdie Rolle und ermöglicht, dass Programme, die in der EC2-Instance ausgeführt werden, temporäreAnmeldeinformationen erhalten. Weitere Informationen finden Sie unter Verwenden einer IAM-Rollezum Erteilen von Berechtigungen für Anwendungen, die auf Amazon EC2-Instances ausgeführtwerden im IAM-Benutzerhandbuch.

ZugriffskontrolleAuch wenn Sie über gültige Anmeldeinformationen zur Authentifizierung Ihrer Anfragen verfügen, könnenSie die AWS Directory Service-Ressourcen nur mit entsprechenden Berechtigungen erstellen oder daraufzugreifen. Beispiel: Sie müssen über Berechtigungen verfügen, um ein AWS Directory Service-Verzeichnisoder einen Verzeichnis-Snapshot zu erstellen.

In den folgenden Abschnitten wird die Verwaltung von Berechtigungen für AWS Directory Servicebeschrieben. Wir empfehlen Ihnen, zunächst die Übersicht zu lesen.

Version 1.0306

https://aws.amazon.com/cli/

https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

id_roles_providers.html

introduction_access-management.html#intro-access-roles

introduction_access-management.html#intro-access-roles

id_roles.html

id_roles_create_for-service.html

id_roles_use_switch-role-ec2.html



AWS Directory Service AdministratorhandbuchÜbersicht über die Verwaltung von Zugriffsberechtigungen

• Übersicht über die Verwaltung von Zugriffsberechtigungen für Ihre AWS Directory Service-Ressourcen (p. 307)

• Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für AWS Directory Service (p. 310)• AWS Directory Service-API-Berechtigungen: Referenz für Aktionen, Ressourcen und

Bedingungen (p. 316)

Übersicht über die Verwaltung vonZugriffsberechtigungen für Ihre AWS DirectoryService-RessourcenJede AWS-Ressource gehört einem AWS-Konto an und die Berechtigungen für die Erstellung einerRessource oder den Zugriff darauf werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministratorkann IAM-Identitäten (d. h. Benutzer, Gruppen und Rollen) Berechtigungsrichtlinien zuweisen. MancheServices (z. B. AWS Lambda) unterstützen auch die Zuweisung von Berechtigungsrichtlinien zuRessourcen.

Note

Ein Kontoadministrator (oder Administratorbenutzer) ist ein Benutzer mit Administratorrechten.Weitere Informationen finden Sie unter Bewährte Methoden für IAM im IAM-Benutzerhandbuch.

Beim Erteilen von Berechtigungen entscheiden Sie, wer die Berechtigungen erhält, für welche Ressourcendie Berechtigungen gelten und welche Aktionen an diesen Ressourcen gestattet werden sollen.

Themen• AWS Directory Service-Ressourcen und -Vorgänge (p. 307)• Grundlegendes zum Eigentum an Ressourcen (p. 308)• Verwalten des Zugriffs auf Ressourcen (p. 308)• Angeben von Richtlinienelementen: Aktionen, Effekte, Ressourcen und Prinzipale (p. 309)• Angeben von Bedingungen in einer Richtlinie (p. 310)

AWS Directory Service-Ressourcen und -VorgängeIn AWS Directory Service ist die primäre Ressource ein Verzeichnis. AWS Directory Service unterstütztauch Verzeichnis-Snapshot-Ressourcen. Sie können jedoch nur Snapshots im Kontext mit einembestehenden Verzeichnis erstellen. Aus diesem Grund wird ein Snapshot eine Subressource genannt.

Diesen Ressourcen sind eindeutige Amazon-Ressourcennamen (ARN) zugeordnet, siehe nachfolgendeTabelle.

Ressourcentyp ARN-Format

Verzeichnis arn:aws:ds:region:account-id:directory/external-directory-id

Snapshot arn:aws:ds:region:account-id:snapshot/external-snapshot-id

AWS Directory Service ermöglicht eine Reihe von Operationen mit den entsprechenden Ressourcen. EineListe der verfügbaren Operationen finden Sie unter Verzeichnisservice-Aktionen.

Version 1.0307

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_Operations.html


Grundlegendes zum Eigentum an RessourcenBei dem -Konto, das die Ressource erstellt hat, handelt es sich um den RessourceneigentümerAWS.Genauer gesagt ist der Ressourceneigentümer das AWS-Konto der Prinzipal-Entität (d. h. das Root-Konto,ein IAM-Benutzer oder eine IAM-Rolle), welche die Anforderung, die die Ressource erstellt, authentifiziert.Die Funktionsweise wird anhand der folgenden Beispiele deutlich:

• Wenn Sie die Root-Konto-Anmeldeinformationen für Ihr AWS-Konto verwenden, um eine AWS DirectoryService-Ressource, z. B. ein Verzeichnis, zu erstellen, ist Ihr AWS-Konto der Eigentümer dieserRessource.

• Wenn Sie einen IAM-Benutzer in Ihrem AWS-Konto erstellen und diesem Benutzer Berechtigungen zumErstellen von AWS Directory Service-Ressourcen erteilen, kann er AWS Directory Service-Ressourcenerstellen. Jedoch ist Ihr AWS-Konto, dem der Benutzer angehört, der Eigentümer der Ressourcen.

• Wenn Sie in Ihrem AWS-Konto eine IAM-Rolle mit Berechtigungen zum Erstellen von AWS DirectoryService-Ressourcen einrichten, kann jeder Benutzer, der die Rolle übernimmt, AWS Directory Service-Ressourcen erstellen. Ihr AWS-Konto, dem die Rolle angehört, ist der Eigentümer der AWS DirectoryService-Ressourcen.

Verwalten des Zugriffs auf RessourcenEine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werdendie verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.

Note

Dieser Abschnitt behandelt die Verwendung von IAM im Zusammenhang mit AWS DirectoryService. Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie im Thema Was ist IAM? im IAM-Benutzerhandbuch. Informationen überdie IAM-Richtliniensyntax und Beschreibungen finden Sie in der IAM-JSON-Richtlinienreferenz imIAM-Benutzerhandbuch.

Richtlinien, die einer IAM-Identität zugeordnet sind, werden als identitätsbasierte Richtlinien (IAM-Richtlinien) bezeichnet, während Richtlinien, die einer Ressource zugeordnet sind, als ressourcenbasierteRichtlinien bezeichnet werden. AWS Directory Service unterstützt Richtlinien auf Identititätsbasis (IAM-Richtlinien).

Themen• Identitätsbasierte Richtlinien (IAM-Richtlinien) (p. 308)• Ressourcenbasierte Richtlinien (p. 309)

Identitätsbasierte Richtlinien (IAM-Richtlinien)Richtlinien können IAM-Identitäten zugewiesen werden. Sie können z. B. Folgendes tun:

• Anfügen von Berechtigungsrichtlinien an Benutzer oder Gruppen in Ihrem Konto – Ein Kontoadministratorkann eine Berechtigungsrichtlinie verwenden, die einem bestimmten Benutzer zugeordnet ist, umdiesem Benutzer Berechtigungen zum Erstellen einer AWS Directory Service-Ressource zu erteilen, wiebeispielsweise ein neues Verzeichnis.

• Einer Rolle eine Berechtigungsrichtlinie zuweisen (kontoübergreifende Berechtigungen erteilen) – Siekönnen einer IAM-Rolle eine identitätsbasierte Berechtigungsrichtlinie zuweisen, um kontoübergreifendeBerechtigungen zu erteilen. Beispielsweise kann der Administrator in Konto A eine Rolle erstellen, umeinem anderen AWS-Konto (z. B. Konto B) oder einem AWS-Service kontoübergreifende Berechtigungenzu erteilen. Dazu geht er folgendermaßen vor:

Version 1.0308


https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html


1. Der Administrator von Konto A erstellt eine IAM-Rolle und weist ihr eine Berechtigungsrichtlinie zu, dieBerechtigungen für Ressourcen in Konto A erteilt.

2. Der Administrator von Konto A weist der Rolle eine Vertrauensrichtlinie zu, die Konto B als denPrinzipal identifiziert, der die Rolle übernehmen kann.

3. Der Administrator von Konto B kann nun Berechtigungen zur Übernahme der Rolle an alle Benutzer inKonto B delegieren. Daraufhin können die Benutzer in Konto B auf Ressourcen von Konto A zugreifen.Der Prinzipal in der Vertrauensrichtlinie kann auch ein AWS-Service-Prinzipal sein. Somit können Sieauch einem AWS-Service die Berechtigungen zur Übernahme der Rolle erteilen.

Weitere Informationen zum Delegieren von Berechtigungen mithilfe von IAM finden Sie unterZugriffsverwaltung im IAM-Benutzerhandbuch.

Die folgende Berechtigungsrichtlinie erteilt einem Benutzer Berechtigungen zum Ausführen aller Aktionen,die mit Describe beginnen. Diese Aktionen zeigen Informationen zu einer AWS Directory Service-Ressource, z. B. ein Verzeichnis oder einen Snapshot. Beachten Sie, dass das Platzhalterzeichen (*) imResource-Element anzeigt, dass die Aktionen für alle AWS Directory Service-Ressourcen erlaubt sind, diedem Konto gehören.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ds:Describe*", "Resource":"*" } ]}

Weitere Informationen zur Verwendung von identitätsbasierten Richtlinien mit AWS Directory Servicefinden Sie unter Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für AWS DirectoryService (p. 310). Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sieunter Identitäten (Benutzer, Gruppen und Rollen) im IAM-Benutzerhandbuch.

Ressourcenbasierte Richtlinien

Andere Services, z. B. Amazon S3, unterstützen auch ressourcenbasierte Berechtigungsrichtlinien.Beispielsweise können Sie einem S3-Bucket eine ressourcenbasierte Richtlinie zuweisen, um dieZugriffsberechtigungen für diesen Bucket zu verwalten. AWS Directory Service bietet keine Unterstützungfür ressourcenbasierte Richtlinien.

Angeben von Richtlinienelementen: Aktionen, Effekte,Ressourcen und PrinzipaleFür jede AWS Directory Service-Ressource definiert der Dienst eine Reihe von API-Operationen. WeitereInformationen finden Sie unter AWS Directory Service-Ressourcen und -Vorgänge (p. 307). Eine Liste derverfügbaren API-Operationen finden Sie unter Verzeichnisservice-Aktionen.

Zur Erteilung von Berechtigungen für diese API-Operationen definiert AWS Directory Service Aktionen, dieSie in einer Richtlinie angeben können. Zur Durchführung einer API-Operation können Berechtigungen fürmehrere Aktionen erforderlich sein.

Grundlegende Richtlinienelemente:

• Ressource – In einer Richtlinie wird der Amazon-Ressourcenname (ARN) zur Identifizierung derRessource verwendet, für die Richtlinie gilt. Für AWS Directory Service-Ressourcen verwenden Sie in

Version 1.0309

https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_Operations.html

AWS Directory Service AdministratorhandbuchVerwenden von identitätsbasierten

Richtlinien (IAM-Richtlinien)

IAM-Richtlinien immer das Platzhalterzeichen (*). Weitere Informationen finden Sie unter AWS DirectoryService-Ressourcen und -Vorgänge (p. 307).

• Aktion:– Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oderverweigern möchten. Die Berechtigung ds:DescribeDirectories erteilt dem Benutzer zum BeispielBerechtigungen zum Ausführen der AWS Directory Service-Operation DescribeDirectories.

• Effekt:– Die von Ihnen festgelegte Auswirkung, wenn ein Benutzer die jeweilige Aktion anfordert. –entweder "allow" (Zugriffserlaubnis) oder "deny" (Zugriffsverweigerung). Wenn Sie den Zugriff auf eineRessource nicht ausdrücklich gestatten ("Allow"), wird er automatisch verweigert. Sie können den Zugriffauf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht daraufzugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.

• Prinzipal – – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtliniezugewiesen ist, automatisch der Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer,das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll(gilt nur für ressourcenbasierte Richtlinien). AWS Directory Service bietet keine Unterstützung fürressourcenbasierte Richtlinien.

Weitere Informationen zur IAM-Richtliniensyntax und entsprechende Beschreibungen finden Sie in der IAM-JSON-Richtlinienreferenz und im IAM-Benutzerhandbuch.

Eine Tabellenliste mit allen AWS Directory Service-API-Aktionen und den Ressourcen, für die diese gelten,finden Sie unter AWS Directory Service-API-Berechtigungen: Referenz für Aktionen, Ressourcen undBedingungen (p. 316).

Angeben von Bedingungen in einer RichtlinieBeim Erteilen von Berechtigungen können Sie mithilfe der Sprache der Zugriffsrichtlinie die Bedingungenangeben, wann die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eineRichtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zum Angeben von Bedingungen ineiner Richtliniensyntax finden Sie im Thema Bedingung im IAM-Benutzerhandbuch.

Bedingungen werden mithilfe vordefinierter Bedingungsschlüssel formuliert. Für AWS DirectoryService gibt es keine speziellen Bedingungsschlüssel. Stattdessen können Sie nach Bedarf die AWS-Bedingungsschlüssel verwenden. Eine vollständige Liste der AWS-weiten Schlüssel finden Sie unterVerfügbare Schlüssel für globale Bedingungen im IAM-Benutzerhandbuch.

Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für AWS Directory ServiceIn diesem Thema finden Sie Beispiele für identitätsbasierte Richtlinien, in denen ein Kontoadministrator denIAM-Identitäten (Benutzer, Gruppen und Rollen) Berechtigungsrichtlinien anfügen kann.

Important

Wir empfehlen Ihnen, zunächst die einführenden Themen zu lesen, in denen die Grundkonzepteund für Sie verfügbaren Optionen zum Verwalten des Zugriffs auf Ihre AWS Directory Service-Ressourcen erläutert werden. Weitere Informationen finden Sie unter Übersicht über dieVerwaltung von Zugriffsberechtigungen für Ihre AWS Directory Service-Ressourcen (p. 307).

Das Thema besteht aus folgenden Abschnitten:

• Erforderliche Berechtigungen für die Verwendung der AWS Directory Service-Konsole (p. 312)• Von AWS verwaltete (vordefinierte) Richtlinien für AWS Directory Service (p. 312)

Version 1.0310



https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys



• Beispiele für vom Kunden verwaltete Richtlinien (p. 313)• Verwenden von Tags mit IAM-Richtlinien (p. 314)

Hier ein Beispiel für eine Berechtigungsrichtlinie.

{ "Version" : "2012-10-17", "Statement" : [ { "Action" : [ "ds:CreateDirectory" ], "Effect" : "Allow", "Resource" : "*" }, { "Action" : [ "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:PutRolePolicy" ], "Effect" : "Allow", "Resource" : "*" }, { "Action" : [ "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress" ], "Effect" : "Allow", "Resource" : "*" } ]}

Die Richtlinie umfasst Folgendes:

• Die erste Anweisung gewährt die Berechtigung zum Erstellen eines AWS Directory Service-Verzeichnisses. AWS Directory Service unterstützt keine Berechtigungen auf Ressourcenebene für diesebestimmte Aktion. Daher, gibt die Richtlinie ein Platzhalterzeichen (*) für den Resource-Wert an.

• Die zweite Anweisung erteilt Berechtigungen für bestimmte IAM-Aktionen. Der Zugriff auf IAM Aktionenist erforderlich, damit AWS Directory Service in Ihrem Namen IAM-Rollen lesen und erstellen kann. DasPlatzhalterzeichen (*) am Ende des Resource-Wertes bedeutet, dass die Anweisung Berechtigungenfür die Aktion IAM für die IAM-Rolle zulässt. Um diese Berechtigungen auf eine bestimmte Rolle zubeschränken, ersetzen Sie das Platzhalterzeichen (*) im ARN der Ressource durch den spezifischenRollennamen. Weitere Informationen finden Sie unter IAM-Aktionen.

• Die dritte Anweisung erteilt Berechtigungen für eine bestimmte Gruppe von Amazon EC2-Ressourcen,die notwendig sind, um zu ermöglichen, dass AWS Directory Service seine Verzeichnisse erstellen,

Version 1.0311

https://docs.aws.amazon.com/IAM/latest/APIReference/API_Operations.html



konfigurieren und zerstören kann. Das Platzhalterzeichen (*) am Ende des Resource Werts bedeutet,dass die Anweisung Berechtigung für die EC2-Aktionen oder beliebige EC2-Ressource- oderSubressource-Aktionen zulässt. Um diese Berechtigung auf eine bestimmte Rolle zu beschränken,ersetzen Sie das Platzhalterzeichen (*) im ARN der Ressource durch die spezifische Ressource oderSubressource. Weitere Informationen finden Sie unter Amazon EC2 Aktionen

Das Element Principal ist in der Richtlinie nicht angegeben, da in identitätsbasierten Richtlinien dieAngabe des Prinzipals als Empfänger der Berechtigung nicht erforderlich ist. Wenn Sie einem Benutzereine Richtlinie zuweisen, ist der Benutzer automatisch der Prinzipal. Wird die Berechtigungsrichtlinieeiner IAM-Rolle zugewiesen, erhält der in der Vertrauensrichtlinie der Rolle angegebene Prinzipal dieBerechtigungen.

Eine Tabellenliste mit allen AWS Directory Service-API-Aktionen und den Ressourcen, für die diese gelten,finden Sie unter AWS Directory Service-API-Berechtigungen: Referenz für Aktionen, Ressourcen undBedingungen (p. 316).

Erforderliche Berechtigungen für die Verwendung der AWSDirectory Service-KonsoleDamit der Benutzer mit der AWS Directory Service-Konsole arbeiten kann, muss dieser Benutzer überdie in der Richtlinie oben aufgeführten Berechtigungen oder die durch die "Directory Service Full Access"-Rolle oder die "Directory Service Read Only"-Rolle gewährten Berechtigungen verfügen, wie in Von AWSverwaltete (vordefinierte) Richtlinien für AWS Directory Service (p. 312) beschrieben.

Wenn Sie eine IAM-Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen,funktioniert die Konsole nicht wie vorgesehen für Benutzer mit dieser IAM-Richtlinie.

Von AWS verwaltete (vordefinierte) Richtlinien für AWS DirectoryServiceDurch die Bereitstellung von eigenständigen IAM-Richtlinien, die von AWS erstellt und verwaltet werden,deckt AWS viele häufige Anwendungsfälle ab. Die verwalteten Richtlinien erteilen die erforderlichenBerechtigungen für viele häufige Anwendungsfälle, sodass Sie nicht mühsam ermitteln müssen, welcheBerechtigungen erforderlich sind. Weitere Informationen finden Sie unter AWS-verwaltete Richtlinien imIAM-Benutzerhandbuch.

Die folgenden von AWS verwalteten Richtlinien, die Sie Benutzern in Ihrem Konto anfügen können, geltenspeziell für AWS Directory Service:

• AWSDirectoryServiceReadOnlyAccess – Gewährt einem Benutzer oder einer Gruppeschreibgeschützten Zugriff auf alle AWS Directory Service-Ressourcen, EC2-Subnetze, EC2-Netzwerkschnittstellen sowie Amazon Simple Notification Service (Amazon SNS)-Themen und -Abonnements für das AWS-Stammkonto. Weitere Informationen finden Sie unter Verwendung von AWS-verwalteten Richtlinien mit AWS Directory Service (p. 146).

• AWSDirectoryServiceFullAccess – Gewährt einem Benutzer oder einer Gruppe Folgendes:• Vollzugriff auf AWS Directory Service• Zugriff auf wichtige Amazon EC2-Services, die für die Verwendung von AWS Directory Service

erforderlich sind• Möglichkeit der Auflistung von Amazon SNS-Themen• Die Möglichkeit zum Erstellen, Verwalten und Löschen von Amazon SNS-Themen mit Namen, die mit

"DirectoryMonitoring" beginnen

Weitere Informationen finden Sie unter Verwendung von AWS-verwalteten Richtlinien mit AWS DirectoryService (p. 146).

Version 1.0312

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_Operations.html




Darüber hinaus gibt es andere AWS-verwaltete Richtlinien für die gemeinsame Nutzung mit anderen IAM-Rollen. Diese Richtlinien werden den Rollen zugewiesen, die Benutzern in Ihrem AWS Directory ServiceVerzeichnis zugeordnet sind. Diese Richtlinien sind erforderlich, damit diese Benutzer Zugriff auf andereAWS Ressourcen haben, z. B. Amazon EC2. Weitere Informationen finden Sie unter Gewähren von Zugriffauf AWS-Ressourcen für Benutzer und Gruppen (p. 142).

Sie können auch benutzerdefinierte IAM-Richtlinien erstellen, mit denen Benutzer Zugriff auf dieerforderlichen API-Aktionen und Ressourcen erhalten. Die benutzerdefinierten Richtlinien können Sie dannden IAM-Benutzern oder -Gruppen zuweisen, die diese Berechtigungen benötigen.

Beispiele für vom Kunden verwaltete RichtlinienIn diesem Abschnitt finden Sie Beispiele für Benutzerrichtlinien, die Berechtigungen für verschiedene AWSDirectory Service-Aktionen gewähren.

Note

In allen Beispielen werden die Region USA West (Oregon) (us-west-2) und das fiktive Konto IDsverwendet.

Beispiele• Beispiel 1: Einem Benutzer alle Beschreibungsaktionen auf allen AWS Directory Service-Ressourcen

erlauben (p. 313)• Beispiel 2: Einem Benutzer das Erstellen eines Verzeichnisses erlauben (p. 313)

Beispiel 1: Einem Benutzer alle Beschreibungsaktionen auf allen AWS DirectoryService-Ressourcen erlauben

Die folgende Berechtigungsrichtlinie erteilt einem Benutzer Berechtigungen zum Ausführen aller Aktionen,die mit Describe beginnen. Diese Aktionen zeigen Informationen zu einer AWS Directory Service-Ressource, z. B. ein Verzeichnis oder einen Snapshot. Beachten Sie, dass das Platzhalterzeichen (*) imResource-Element anzeigt, dass die Aktionen für alle AWS Directory Service-Ressourcen erlaubt sind, diedem Konto gehören.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ds:Describe*", "Resource":"*" } ]}

Beispiel 2: Einem Benutzer das Erstellen eines Verzeichnisses erlauben

Die folgende Berechtigungsrichtlinie gewährt Berechtigungen, um zu ermöglichen, dass ein Benutzer einVerzeichnis und alle anderen verwandten Ressourcen, z. B. Snapshots und Vertrauensstellungen erstellenkann. Dafür sind auch Berechtigungen für bestimmte Amazon EC2-Services erforderlich.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [

Version 1.0313



"ds:Create*", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:CreateSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:DeleteSecurityGroup", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress" ], "Resource":"*" ] } ]}

Verwenden von Tags mit IAM-RichtlinienSie können Tag-basierte Berechtigungen auf Ressourcenebene in den IAM-Richtlinien anwenden,die Sie für die meisten AWS Directory Service-API-Aktionen verwenden. Dies ermöglicht Ihnen einebessere Kontrolle darüber, welche Ressourcen ein Benutzer erstellen, ändern oder verwenden kann.Sie können das Condition-Element (auch als Condition-Block bezeichnet) mit den folgendenBedingungskontextschlüsseln und Werten in einer IAM-Richtlinie zum Steuern des Benutzerzugriffs(Berechtigungen) basierend auf den Tags einer Ressource verwenden:

• Verwenden Sie aws:ResourceTag/tag-key: , um Benutzeraktionen für Ressourcen mit bestimmtenTags zuzulassen oder zu verweigern.tag-value

• Verwenden Sie aws:ResourceTag/tag-key: tag-value erfordert, dass ein bestimmter Tag verwendet(oder nicht verwendet) wird, wenn eine API-Anforderung zum Erstellen oder Ändern einer Ressourcegestellt wird, die Tags zulässt.

• Verwenden Sie aws:TagKeys: [tag-key, ...] die verlangen, dass ein bestimmter Satz von Tag-Schlüsseln verwendet wird (oder nicht), wenn eine API-Anforderung zum Erstellen einer Ressourcedurchgeführt wird, die Tags zulässt.

Note

Die Bedingungskontextschlüssel und -werte in einer IAM-Richtlinie gelten nur für die AWSDirectory Service-Aktionen, bei denen eine Kennung für eine Ressource, die Tags zulässt, einerforderlicher Parameter ist.

Zugriffssteuerung mit Tags im IAM-Benutzerhandbuch enthält zusätzliche Informationen über dieVerwendung von Tags. Der Abschnitt IAM-JSON-Richtlinienreferenz dieses Handbuchs enthält diedetaillierte Syntax sowie Beschreibungen und Beispiele für Elemente, Variablen und die Auswertung vonJSON-Richtlinien in IAM.

Mit der folgenden Beispielrichtlinie gestatten Sie alle ds-Aufrufe, solange diese das Tag-Schlüssel-Paar"fooKey":"fooValue" enthält.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"VisualEditor0", "Effect":"Allow", "Action":[ "ds:*"

Version 1.0314

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html




], "Resource":"*", "Condition":{ "StringEquals":{ "aws:ResourceTag/fooKey":"fooValue" } } }, { "Effect":"Allow", "Action":[ "ec2:*" ], "Resource":"*" } ]}

Mit der folgenden Beispielrichtlinie gestatten Sie alle ds-Aufrufe, solange die Ressource die Verzeichnis-ID"d-1234567890" enthält.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"VisualEditor0", "Effect":"Allow", "Action":[ "ds:*" ], "Resource":"arn:aws:ds:us-east-1:123456789012:directory/d-1234567890" }, { "Effect":"Allow", "Action":[ "ec2:*" ], "Resource":"*" } ]}

Weitere Informationen zu ARNs finden Sie unter Amazon-Ressourcennamen (ARNs) und AWS-Service-Namespaces.

Die folgende Liste von AWS Directory Service-API-Operationen unterstützt Tag-basierte Berechtigungenauf Ressourcenebene:

• AcceptSharedDirectory• AddIpRoutes• AddTagsToResource• CancelSchemaExtension• CreateAlias• CreateComputer• CreateConditionalForwarder• CreateSnapshot• CreateLogSubscription• CreateTrust• DeleteConditionalForwarder

Version 1.0315

https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html

https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_AcceptSharedDirectory.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_AddIpRoutes.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_AddTagsToResource.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CancelSchemaExtension.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateAlias.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateComputer.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateConditionalForwarder.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateSnapshot.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateLogSubscription.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateTrust.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteConditionalForwarder.html

AWS Directory Service AdministratorhandbuchReferenztabelle für AWS Directory

Service-API-Berechtigungen

• DeleteDirectory• DeleteLogSubscription• DeleteSnapshot• DeleteTrust• DeregisterEventTopic• DescribeConditionalForwarders• DescribeDomainControllers• DescribeEventTopics• DescribeSharedDirectories• DescribeSnapshots• DescribeTrusts• DisableRadius• DisableSso• EnableRadius• EnableSso• GetSnapshotLimits• ListIpRoutes• ListSchemaExtensions• ListTagsForResource• RegisterEventTopic• RejectSharedDirectory• RemoveIpRoutes• RemoveTagsFromResource• ResetUserPassword• RestoreFromSnapshot• ShareDirectory• StartSchemaExtension• UnshareDirectory• UpdateConditionalForwarder• UpdateNumberOfDomainControllers• UpdateRadius• UpdateTrust• VerifyTrust

AWS Directory Service-API-Berechtigungen: Referenzfür Aktionen, Ressourcen und BedingungenWenn Sie die Zugriffskontrolle (p. 306) einrichten und Berechtigungsrichtlinien für eine IAM-Identität(identitätsbasierte Richtlinie) verfassen, können Sie die folgende Tabelle als Referenz verwenden. Dieenthält Folgendes:

• Jede AWS Directory Service API-Operation• Die entsprechenden Aktionen, für die Sie Berechtigungen zum Ausführen der Aktion erteilen können• Die AWS Ressource, für die Sie die Berechtigungen erteilen können

Version 1.0316

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteDirectory.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteLogSubscription.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteSnapshot.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteTrust.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeregisterEventTopic.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeConditionalForwarders.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeDomainControllers.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeEventTopics.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeSharedDirectories.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeSnapshots.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeTrusts.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DisableRadius.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DisableSso.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_EnableRadius.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_EnableSso.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_GetSnapshotLimits.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ListIpRoutes.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ListSchemaExtensions.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ListTagsForResource.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RegisterEventTopic.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RejectSharedDirectory.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RemoveIpRoutes.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RemoveTagsFromResource.html


https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RestoreFromSnapshot.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ShareDirectory.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_StartSchemaExtension.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UnshareDirectory.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateConditionalForwarder.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateNumberOfDomainControllers.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateRadius.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateTrust.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/API_VerifyTrust.html

AWS Directory Service AdministratorhandbuchProtokollierung und Überwachung

Die Aktionen geben Sie im Feld Action und den Wert für die Ressource im Feld Resource der Richtliniean.

Note

Einige AWS-Anwendungen erfordern möglicherweise die Verwendung von nicht-öffentlichenAWS Directory Service-API-Operationen wie ds:AuthorizeApplication, ds:CheckAlias,ds:CreateIdentityPoolDirectory und ds:UnauthorizeApplication in ihrenRichtlinien.

Zum Formulieren von Bedingungen in Ihren AWS-Richtlinien können Sie die AWS Directory Service-weiten Bedingungsschlüssel verwenden. Eine vollständige Liste der AWS-weiten Schlüssel finden Sie unterVerfügbare Schlüssel für globale Bedingungen im IAM-Benutzerhandbuch.

Note

Um eine Aktion anzugeben, verwenden Sie das Präfix ds: gefolgt vom Namen der API-Operation(z. B. ds:CreateDirectory).

Verwandte Themen• Zugriffskontrolle (p. 306)

Protokollierung und Überwachung in AWS DirectoryService

Als bewährte Methode sollten Sie Ihre Organisation überwachen, um sicherzustellen, dass Änderungenprotokolliert werden. Auf diese Weise können Sie sicherstellen, dass alle unerwarteten Änderungenuntersucht werden und ungewollte Änderungen rückgängig gemacht werden können. AWS DirectoryService unterstützt zurzeit die folgenden AWS-Services, mit denen Sie Ihre Organisation und die Aktivitätendarin überwachen können.

• Amazon CloudWatch Events - Sie können CloudWatch-Ereignisse mit dem AWS Managed Microsoft AD-Verzeichnistyp verwenden. Weitere Informationen finden Sie im Protokollweiterleitung aktivieren (p. 58).

• AWS CloudTrail - Sie können CloudTrail mit allen AWS Directory Service-Verzeichnistypen verwenden.Weitere Informationen finden Sie unter Protokollieren von AWS Directory Service API-aufrufen mitCloudTrail

Compliance-Validierung für AWS Directory ServiceExterne Prüfer bewerten im Rahmen verschiedener AWS-Compliance-Programme die Sicherheit undCompliance von AWS Directory Service. Mit AWS Managed Microsoft AD, darunter SOC, PCI, FedRAMP,HIPAA und andere. Weitere Informationen finden Sie im Verwalten der Compliance für AWS ManagedMicrosoft AD (p. 43).

Eine Liste der AWS-Services, die in den Geltungsbereich bestimmter Compliance-Programme fallen, findenSie unter AWS-Services in Scope nach Compliance-Programm. Allgemeine Informationen finden Sie unterAWS-Compliance-Programme.

Die Auditberichte von Drittanbietern lassen sich mit AWS Artifact herunterladen. Weitere Informationenfinden Sie unter Herunterladen von Berichten in AWS Artifact.

Ihre Verantwortung in Bezug auf die Compliance bei der Verwendung von AWS Directory Service wirddurch die Vertraulichkeit Ihrer Daten, die Compliance-Ziele Ihres Unternehmens und die geltenden Gesetze

Version 1.0317

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys

https://docs.aws.amazon.com/directoryservice/latest/devguide/cloudtrail_logging.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/cloudtrail_logging.html


http://aws.amazon.com/compliance/programs/

https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html

AWS Directory Service AdministratorhandbuchResilienz

und Vorschriften bestimmt. AWS stellt die folgenden Ressourcen zur Unterstützung bei Compliance-Fragenbereit:

• Kurzanleitungen für Sicherheit und Compliance: In diesen Bereitstellungsleitfäden finden Sie wichtigeÜberlegungen zur Architektur sowie die einzelnen Schritte zur Bereitstellung von sicherheits- undCompliance-orientierten Basisumgebungen in AWS.

• Whitepaper zur Erstellung einer Architektur mit HIPAA-konformer Sicherheit und Compliance – DiesesWhitepaper beschreibt, wie Unternehmen mithilfe von AWS HIPAA-konforme Anwendungen erstellenkönnen.

• AWS-Compliance-Ressourcen – Diese Arbeitsbücher und Leitfäden könnten für Ihre Branche und IhrenStandort interessant sein.

• AWS Config – Dieser AWS-Service bewertet, zu welchem Grad die Konfiguration Ihrer Ressourcen deninternen Vorgehensweisen, Branchenrichtlinien und Vorschriften entspricht.

• AWS Security Hub – Dieser AWS-Service liefert einen umfassenden Überblick über denSicherheitsstatus in AWS. So können Sie die Compliance mit den Sicherheitsstandards in der Brancheund den bewährten Methoden abgleichen.

Ausfallsicherheit in AWS Directory ServiceDie Schaltfläche AWS globale Infrastruktur basiert auf AWS Regionen und Availability Zones. AWSRegionen bieten mehrere physisch getrennte und isolierte Availability Zones, die mit niedriger Latenz,hohem Durchsatz und hochredundanten Netzwerken verbunden sind. Mithilfe von Availability Zoneskönnen Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischenAvailability Zones ausführen, ohne dass es zu Unterbrechungen kommt. Verfügbarkeitszonen haben einehöhere Verfügbarkeit und sind fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einemoder mehreren Rechenzentren.

Weitere Informationen über zu AWS-Regionen und Availability Zones finden Sie unter Weltweite AWS-Infrastruktur.

Neben der AWS globalen Infrastruktur bietet AWS Directory Service die Möglichkeit, jederzeit manuelleSnapshots von Daten zu erstellen, um Ihre Datenausfallsicherheit und Backup-Anforderungen zuunterstützen. Weitere Informationen finden Sie im Erstellen eines Snapshots oder Wiederherstellen IhresVerzeichnisses (p. 140).

Sicherheit der Infrastruktur in AWS DirectoryService

Als verwalteter Service AWS Directory Service ist geschützt durch die AWS globalenNetzwerksicherheitsverfahren, die im Amazon Web Services: Übersicht über SicherheitsprozesseWeißbuch.

Sie verwenden von AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf AWS Directory Servicezuzugreifen. Clients müssen Transport Layer Security (TLS) unterstützen. TLS 1.2 oder höher wirdjedoch empfohlen. Clients müssen außerdem Cipher Suites mit PFS (Perfect Forward Secrecy) wie DHE(Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) unterstützen. Diemeisten modernen Systemen wie Java 7 und höher unterstützen diese Modi.

Wenn Sie FIPS 140 - 2-validierte kryptographische Module für den Zugriff auf AWS verwenden Sieüber eine Befehlszeilenschnittstelle oder eine API einen FIPS-Endpunkt. Weitere Informationen zu denverfügbaren FIPS-Endpunkten finden Sie unter Bundesstandard zur Informationsverarbeitung (FIPS)140 - 2.

Version 1.0318

http://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance

https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

http://aws.amazon.com/compliance/resources/

https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html

https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html

http://aws.amazon.com/about-aws/global-infrastructure/

http://aws.amazon.com/about-aws/global-infrastructure/

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

http://aws.amazon.com/compliance/fips/

http://aws.amazon.com/compliance/fips/

AWS Directory Service AdministratorhandbuchSicherheit der Infrastruktur

Außerdem müssen Anforderungen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüsselsigniert sein, der mit einem IAM-Prinzipal verknüpft ist. Alternativ können Sie mit AWS Security TokenService (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zusignieren.

Version 1.0319

https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html

https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html


Service Level Agreement für AWSDirectory Service

AWS Directory Service ist ein hochverfügbarer Dienst, der auf einer von AWS verwalteten Infrastrukturbasiert. Er wird durch ein Service Level Agreement ergänzt, das unsere Richtlinie zur Serviceverfügbarkeitdefiniert.

Weitere Informationen finden Sie unter Service Level Agreement für AWS Directory Service.

Version 1.0320

https://aws.amazon.com/directoryservice/sla/


Verfügbarkeit in Regionen für AWSDirectory Service

Die folgende Tabelle enthält eine Liste, die beschreibt, welche regionsspezifischen Endpunkte vomVerzeichnistyp unterstützt werden.

NamederRegion

Region Endpunkt Protocol(Protokoll)

AWSManagedMicrosoftAD

ADConnector

SimpleAD

USAOst(Ohio)

us-east-2

ds.us-east-2.amazonaws.com HTTPS X X –

USAOst(Nord-Virginia)

us-east-1

ds.us-east-1.amazonaws.com HTTPS X X X

USAWest(Nordkalifornien)

us-west-1

ds.us-west-1.amazonaws.com HTTPS X X –

USAWest(Oregon)

us-west-2

ds.us-west-2.amazonaws.com HTTPS X X X

Afrika(Kapstadt)*

af-south-1

ds.af-south-1.amazonaws.com HTTPS X X –

Asien-Pazifik(Hongkong)*

ap-east-1

ds.ap-east-1.amazonaws.com HTTPS X X –

Asien-Pazifik(Mumbai)

ap-south-1

ds.ap-south-1.amazonaws.com HTTPS X X –

Asien-Pazifik(Seoul)

ap-northeast-2

ds.ap-northeast-2.amazonaws.com HTTPS X X –

Asien-Pazifik(Singapur)

ap-southeast-1

ds.ap-southeast-1.amazonaws.com HTTPS X X X

Asien-Pazifik(Sydney)

ap-southeast-2

ds.ap-southeast-2.amazonaws.com HTTPS X X X

Version 1.0321


NamederRegion

Region Endpunkt Protocol(Protokoll)

AWSManagedMicrosoftAD

ADConnector

SimpleAD

Asien-Pazifik(Tokio)

ap-northeast-1

ds.ap-northeast-1.amazonaws.com HTTPS X X X

Kanada(Zentral)

ca-central-1

ds.ca-central-1.amazonaws.com HTTPS X X –

China(Peking)

cn-north-1

ds.cn-north-1.amazonaws.com.cn HTTPS X X –

China(Ningxia)

cn-northwest-1

ds.cn-northwest-1.amazonaws.com.cn HTTPS X X –

Europa(Frankfurt)

eu-central-1

ds.eu-central-1.amazonaws.com HTTPS X X –

Europa(Irland)

eu-west-1

ds.eu-west-1.amazonaws.com HTTPS X X X

Europa(London)

eu-west-2

ds.eu-west-2.amazonaws.com HTTPS X X –

Europa(Paris)

eu-west-3

ds.eu-west-3.amazonaws.com HTTPS X X –

Europa(Stockholm)

eu-north-1

ds.eu-north-1.amazonaws.com HTTPS X X –

Europa(Mailand)*

eu-south-1

ds.eu-south-1.amazonaws.com HTTPS X X –

NaherOsten(Bahrain)*

me-south-1

ds.me-south-1.amazonaws.com HTTPS X X –

Südamerika(SãoPaulo)

sa-east-1

ds.sa-east-1.amazonaws.com HTTPS X X –

AWSGovCloud(US-West)

us-gov-west-1

ds.us-gov-west-1.amazonaws.com HTTPS X X –

AWSGovCloud(USAOst)

us-gov-east-1

ds.us-gov-east-1.amazonaws.com HTTPS X X –

* Die folgenden AWS Managed Microsoft AD-Funktionen werden derzeit in den Regionen Asien-Pazifik(Hongkong), Naher Osten (Bahrain), Afrika (Kapstadt) und Europa (Mailand) nicht unterstützt:

Version 1.0322


• Zugriffs-URL für das Verzeichnis• Zuordnen von Benutzern zu IAM-Rollen für den Zugriff auf die AWS Management Console

Informationen über die Verwendung von AWS Directory Service in der Region AWS GovCloud (US-West)finden Sie unter AWS GovCloud (US-West) Endpoints.

Informationen über die Verwendung von AWS Directory Service in der Region China (Peking) finden Sieunter China (Peking) Region Endpoints.

Version 1.0323

https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/using-govcloud-endpoints.html

http://docs.amazonaws.cn/en_us/general/latest/gr/rande.html#cnnorth_region


BrowserkompatibilitätAlle AWS-Anwendungen und -Services, wie z. B. Amazon WorkSpaces, Amazon WorkMail, AmazonConnect, Amazon Chime, Amazon WorkDocs und AWS – Einmaliges Anmelden, erfordern gültigeAnmeldeinformationen von einem kompatiblen Browser, bevor Sie auf sie zugreifen können. Die folgendeTabelle beschreibt nur die Browser und Browser-Versionen, die für Anmeldungen kompatibel sind.

Browser Version Kompatibilität

Desktop IE, Versionen 7 und niedriger Nicht kompatibel

Desktop IE, Versionen 8, 9 und 10 Nur beim Ausführenvon Windows 7 oderhöher und bei aktiviertemTLS 1.1 kompatibel.Weitere Informationenfinden Sie unter Was istTLS? (p. 325).

Desktop IE, Versionen 11 und höher Kompatibel

Mobile IE, Versionen 10 und niedriger Nicht kompatibel

Microsoft Internet Explorer

Mobile IE, Versionen 11 und höher Kompatibel

Microsoft Edge Alle Versionen Kompatibel

Firefox 23 und niedriger Nicht kompatibel

Firefox 24 bis 26 Kompatibel, aber nichtstandardmäßig.

Mozilla Firefox

Firefox 27 und höher Kompatibel

Google Chrome 21 und niedriger Nicht kompatibel

Google Chrome 22 bis 37 Kompatibel, aber nichtstandardmäßig.

Google Chrome

Google Chrome 38 und höher Kompatibel

Desktop-Safari, Versionen 6 und niedriger,für OS X 10.8 (Mountain Lion) und niedriger

Nicht kompatibel

Desktop-Safari, Version 7 und höher, für OSX 10.9 (Mavericks) und höher

Kompatibel

Mobile Safari für iOS 4 und niedriger Nicht kompatibel

Apple Safari

Mobile Safari, Versionen 5 und höher, füriOS 5 und höher

Kompatibel

Nachdem Sie überprüft haben, dass Sie eine unterstützte Version Ihres Browsers verwenden, empfehlenwir, außerdem anhand des Abschnitts unten sicherzustellen, dass Ihr Browser für die Verwendung derTransport Layer Security(TLS)-Einstellung konfiguriert wurde, die für AWS benötigt wird.

Version 1.0324

AWS Directory Service AdministratorhandbuchWas ist TLS?

Was ist TLS?TLS ist ein Protokoll, das von Webbrowsern und anderen Anwendungen für den sicheren Datenaustauschüber ein Netzwerk genutzt wird. TLS stellt durch Verschlüsselung und Überprüfung der Endpunktidentitätsicher, dass eine Verbindung mit dem beabsichtigten Endpunkt hergestellt wird. Die aktuellen Versionenvon TLS sind TLS 1.0, 1.1, 1.2 und 1.3.

Von AWS SSO unterstützte TLS-VersionenAWS-Anwendungen und -Services unterstützen TLS 1.1, 1.2 und 1.3 für sichere Anmeldungen. Abdem 30. Oktober 2019 wird TLS 1.0 nicht mehr unterstützt. Daher ist es wichtig, dass alle Browser sokonfiguriert sind, dass sie TLS 1.1 oder höher unterstützen. Das bedeutet, dass Sie sich nicht mehrbei AWS-Anwendungen und -Services anmelden können, wenn Sie auf sie zugreifen, während TLS1.0 aktiviert ist. Wenden Sie sich für Unterstützung bei der Vornahme dieser Änderungen an IhrenAdministrator.

Wie aktiviere ich die unterstützten TLS-Versionen inmeinem Browser?

Dies ist von Ihrem Browser abhängig. In der Regel finden Sie diese Einstellung unter dem Bereichder erweiterten Einstellungen in den Browser-Einstellungen. Beispiel: In Internet Explorer finden Sieverschiedene TLS-Optionen unter Internet-Eigenschaften auf der Registerkarte Erweitert im BereichSicherheit. Überprüfen Sie die Hilfe-Website Ihres Browser-Herstellers auf spezifische Anweisungen.

Version 1.0325


DokumentverlaufIn der folgenden Tabelle werden wichtige Änderungen seit der letzten Veröffentlichung desAdministratorhandbuchs für AWS Directory Service beschrieben.

• Letzte Aktualisierung der Dokumentation: 2. Januar 2019

update-history-change update-history-description update-history-date

Smartcard-Unterstützung Inhalt zur Unterstützung vonSmartcards und AmazonWorkSpaces ApplicationManager in Region AWSGovCloud (US-West) hinzugefügt

December 1, 2020

Zurücksetzen des Passworts Es wurde Inhalt zumZurücksetzen vonBenutzerpasswörtern mit derAWS Management Console,Windows PowerShell und AWS-CLI hinzugefügt.

January 2, 2019

Verzeichnisfreigabe Dokumentation fürdie Verwendung derVerzeichnisfreigabe mit AWSManaged Microsoft AD wurdehinzugefügt.

September 25, 2018

Inhalte zu neuem Amazon CloudDirectory-Entwicklerhandbuchmigriert

Die zuvor in diesem Handbuchenthaltenen Amazon CloudDirectory-Inhalte wurden in dasneue Entwicklerhandbuch fürdas Amazon Cloud Directoryverschoben.

June 21, 2018

Vollständige Überarbeitung desInhaltsverzeichnisses des Admin-Leitfadens

Der Inhalt wurde umstrukturiert,um mehr den Bedürfnissen derKunden zu entsprechen. Darüberhinaus wurden an Stellen, andenen dies notwendig war, neueInhalte hinzugefügt.

April 5, 2018

Delegierte AWS-Gruppen Es wurde eine Liste delegierterAWS-Gruppen hinzugefügt, diezu lokalen Benutzern zugewiesenwerden können.

March 8, 2018

Differenzierte Passwortrichtlinien Neuen Passwortrichtlinieninhalthinzugefügt.

July 5, 2017

Zusätzliche Domänencontroller Informationen zum Hinzufügenweiterer Domänencontroller zuIhrem AWS Managed MicrosoftAD hinzugefügt.

June 30, 2017

Version 1.0326

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_manage_users_groups_reset_password.html


https://docs.aws.amazon.com/clouddirectory/latest/developerguide/what_is_cloud_directory.html



https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html



https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_password_policies.html



Tutorials Neue Tutorials für das Testeneiner AWS Managed MicrosoftAD-Testumgebung hinzugefügt.

June 21, 2017

MFA mit AWS ManagedMicrosoft AD

Dokumentation für die Nutzungvon MFA mit AWS ManagedMicrosoft AD hinzugefügt.

February 13, 2017

Amazon Cloud Directory Ein neuer Verzeichnistyp wurdeeingeführt.

January 26, 2017

Umfassende Neugestaltungdes Administratorhandbuchs fürDirectory Service

Die Inhalte wurden neustrukturiert, damit sie direktden Bedürfnissen der Kundenzugeordnet werden können.

November 14, 2016

Schemaerweiterungen Dokumentation fürSchemaerweiterungen mit AWSDirectory Service für MicrosoftActive Directory hinzugefügt.

November 14, 2016

SNS-Benachrichtigungen Dokumentation für SNS-Benachrichtigungen wurdehinzugefügt.

February 25, 2016

Autorisierung undAuthentifizierung

Weitere Dokumentation für dieNutzung von IAM mit DirectoryServices wurde hinzugefügt.

February 25, 2016

AWS Managed Microsoft AD Dokumentation für AWSManaged Microsoft ADhinzugefügt und mehrereHandbücher in einem einzigenHandbuch zusammengefasst.

November 17, 2015

Erlauben der Verbindung vonLinux-Instances mit einem SimpleAD-Verzeichnis

Dokumentation für dieVerbindung einer Linux-Instancemit einem Simple AD-Verzeichnishinzugefügt.

July 23, 2015

Aufteilung des Handbuchs Das Administratorhandbuch fürAWS Directory Service wurdein die zwei NachschlagewerkeSimple AD-Handbuch und ADConnector-Handbuch aufgeteilt.

July 14, 2015

Unterstützung von Single Sign-on Dokumentation zu Single Sign-On wurde hinzugefügt.

March 31, 2015

Neues Handbuch Dies ist die erste Versiondes AWS Directory ServiceAdministration Guide.

October 21, 2014

Version 1.0327

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_test_lab.html




https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what-is.html



https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_schema_extensions.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_enable_notifications.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/iam_auth_access.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/iam_auth_access.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_linux_instance.html




https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_single_sign_on.html



Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchszwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge vonVerzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Version 1.0cccxxviii

AWS Directory Service - Administratorhandbuch · AWS Directory Service beinhaltet mehrere...

Documents

Transcript of AWS Directory Service - Administratorhandbuch · AWS Directory Service beinhaltet mehrere...