

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 开始使用 AWS 微软 AD 托管
<a name="ms_ad_getting_started"></a>

AWS Managed Microsoft AD 创建了一个完全托管的，Microsoft Active Directory由 Windows Server 2019 提供支持，在 2016 年的森林和域功能级别上运行。 AWS Cloud 当你使用 AWS 托管 Microsoft AD Directory Service 创建目录时，会创建两个域控制器并代表你添加 DNS 服务。域控制器在 Amazon VPC 的不同子网中创建；此冗余帮助确保即使在出现故障时您的目录仍可访问。如果您需要更多域控制器，您可以在以后添加它们。有关更多信息，请参阅 [为你的 AWS 托管 Microsoft AD 部署额外的域控制器](ms_ad_deploy_additional_dcs.md)。

有关 AWS 托管 Microsoft AD 的演示和概述，请YouTube观看以下视频。

[![AWS Videos](http://img.youtube.com/vi/MdkhobcciX8?si=o0HpdeTIDwK3YWla/0.jpg)](http://www.youtube.com/watch?v=MdkhobcciX8?si=o0HpdeTIDwK3YWla)


**Topics**
+ [创建的先决条件 AWS 微软 AD 托管](#ms_ad_getting_started_prereqs)
+ [AWS IAM Identity Center 先决条件](#prereq_aws_sso_ms_ad)
+ [Multi-factor 身份验证先决条件](#prereq_mfa_ad)
+ [创建你的 AWS 微软 AD 托管](#ms_ad_getting_started_create_directory)
+ [用你的创造了什么 AWS 微软 AD 托管](ms_ad_getting_started_what_gets_created.md)
+ [AWS 托管的 Microsoft AD 管理员账户和群组权限](ms_ad_getting_started_admin_account.md)

## 创建的先决条件 AWS 微软 AD 托管
<a name="ms_ad_getting_started_prereqs"></a>

要创建 AWS 托管的 Microsoft AD 活动目录，您需要一个具有以下内容的亚马逊 VPC：
+ 至少两个子网。每个子网必须位于不同的可用区，但网络类型相同。

  可以将 IPv6 用于 VPC。有关更多信息，请参阅《Amazon Virtual Private Cloud 用户指南》**中的[ VPC 支持 IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html)。
+ VPC 必须具有默认硬件租户。
+ 你不能使用 198.18.0 中的地址在 VPC 中创建 AWS 托管 Microsoft AD。 0/15 地址空间。

如果您需要将 AWS 托管的 Microsoft AD 域与现有的本地 Active Directory 域集成，则必须将本地域的森林和域功能级别设置为 Windows Server 2003 或更高版本。

Directory Service 使用双 VPC 结构。构成您目录的 EC2 实例在您的 AWS 账户之外运行，由管理 AWS。其有 `ETH0` 和 `ETH1` 两个网络适配器。`ETH0` 是管理适配器，存在于您的账户之外。`ETH1` 在您的账户内创建。

您的目录的 ETH0 网络的管理 IP 范围为 198.18.0。 0/15。

有关如何创建 AWS 环境和 AWS 托管 Microsoft AD 的教程，请参阅[AWS 微软 AD 托管测试实验室教程](ms_ad_tutorial_test_lab.md)。

## AWS IAM Identity Center 先决条件
<a name="prereq_aws_sso_ms_ad"></a>

如果您计划将 IAM 身份中心与 AWS 托管 Microsoft AD 一起使用，则需要确保满足以下条件：
+ 你的 Microsoft AD AWS 托管目录是在你 AWS 组织的管理账户中设置的。
+ 您的 IAM 身份中心实例位于设置 AWS 托管 Microsoft AD 目录的同一区域。

有关更多信息，请参阅《AWS IAM Identity Center 用户指南》**中的 [IAM Identity Center 先决条件](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html)。

## Multi-factor 身份验证先决条件
<a name="prereq_mfa_ad"></a>

要支持对 AWS 托管 Microsoft AD 目录进行多因素身份验证，必须按以下方式配置本地或基于云的[远程身份验证 Dial-In 用户服务](https://en.wikipedia.org/wiki/RADIUS) (RADIUS) 服务器，使其能够接受来自 AWS 托管 Microsoft AD 目录的请求。 AWS

1. 在你的 RADIUS 服务器上，创建两个 RADIUS 客户端来代表中的 AWS两个 AWS 托管 Microsoft AD 域控制器 (DC)。必须使用以下通用参数配置两个客户端（您的 RADIUS 服务器可能会有所不同）：
   + **地址（DNS 或 IP）**：这是其中一个 AWS 托管 Microsoft AD DC 的 DNS 地址。这两个 DNS 地址都可以在你计划使用 MFA 的 AWS 托管 Microsoft AD 目录的**详细信息**页面的目录服务控制台中找到。 AWS 显示的 DNS 地址代表使用的两个 AWS 托管 Microsoft AD DC 的 IP 地址。 AWS
**注意**  
如果 RADIUS 服务器支持 DNS 地址，则您只能创建一个 RADIUS 客户端配置。否则，您必须为每个 AWS 托管的 Microsoft AD DC 创建一个 RADIUS 客户端配置。
   + **端口号**：配置 RADIUS 服务器为其接受 RADIUS 客户端连接的端口号。标准 RADIUS 端口是 1812。
   + **共享密钥**：键入或生成将由 RADIUS 服务器用于与 RADIUS 客户端连接的共享密钥。
   + **协议**：你可能需要在 AWS 托管的 Microsoft AD DC 和 RADIUS 服务器之间配置身份验证协议。支持的协议有 PAP MS-CHAPv1、CHAP 和。 MS-CHAPv2 MS-CHAPv2 之所以推荐，是因为它提供了三个选项中最强的安全性。
   + **应用程序名称**：在某些 RADIUS 服务器中为可选设置，通常用于在消息或报告中标识应用程序。

1. 配置现有网络以允许从 RADIUS 客户端（AWS 托管的 Microsoft AD DC 的 DNS 地址，参见步骤 1）到您的 RADIUS 服务器端口的入站流量。

1. 在您的 AWS 托管 Microsoft AD 域中的 Amazon EC2 安全组中添加一条规则，允许来自之前定义的 RADIUS 服务器 DNS 地址和端口号的入站流量。有关更多信息，请参阅《EC2 用户指南》中的[向安全组添加规则](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule)**。

有关将 AWS 托管 Microsoft AD 与 MFA 配合使用的更多信息，请参阅。[启用多因素身份验证 AWS 微软 AD 托管](ms_ad_mfa.md)

## 创建你的 AWS 微软 AD 托管
<a name="ms_ad_getting_started_create_directory"></a>

要创建新的 AWS 托管 Microsoft AD 活动目录，请执行以下步骤。在开始此过程之前，请确保已满足了[创建的先决条件 AWS 微软 AD 托管](#ms_ad_getting_started_prereqs)中确定的先决条件。

**要创建 AWS 微软 AD 托管**

1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中，选择**目录**，然后选择**设置目录**。

1. 在**选择目录类型**页面上，选择 **AWS Managed Microsoft AD**，然后选择**下一步**。

1. 在**输入目录信息**页面上，提供以下信息：  
**版本**  
从 AWS 托管 Microsoft AD 的**标准版****或企业版**中进行选择。有关版本的更多信息，请参阅 [AWS Directory Service for Microsoft Active Directory](what_is.md#microsoftad)。  
**目录 DNS 名称**  
目录的完全限定名称，例如 `corp.example.com`。  
如果您计划使用 Amazon Route 53 私有托管区域进行 DNS，则您的 AWS 托管 Microsoft AD 的域名必须与您的 Route 53 域名不同。如果 Route 53 和 AWS 托管 Microsoft AD 共享相同的域名，则可能会出现 DNS 解析问题。另外，可以考虑将 “**如果没有转发器可用，则使用根提示**” 设置从 true 更改为 false。当设置为 true 且无法访问转发器时， AWS Microsoft AD 会回退到互联网根目录提示，该提示会返回私有托管区域名称的 NXDOMAIN。这种负面响应会被缓存，即使在恢复连接后仍会延长解析失败时间。  
**目录 NetBIOS 名称**  
目录的短名称，如 `CORP`。  
**目录描述**  
目录的可选描述。创建您的 AWS 托管 Microsoft AD 后，可以更改此描述。  
**管理员密码**  
目录管理员的密码。目录创建过程将创建一个具有 `Admin` 用户名和此密码的管理员账户。你可以在创建 AWS 托管 Microsoft AD 后更改管理员密码。  
密码不能包含单词“admin”。  
目录管理员密码区分大小写，且长度必须介于 8 到 64 (含) 个字符之间。至少，它还必须包含下列四种类别中三种类别的一个字符：  
   + 小写字母 (a-z)
   + 大写字母 () A-Z
   + 数字 (0-9)
   + Non-alphanumeric 字符 (\~\! @\#$%^&\*\_-\+=`\|\\ () {} []:; “'<>，。？ /)  
**确认密码**  
重新键入管理员密码。  
**（可选）用户和组管理**  
要从中启用 AWS 托管 Microsoft AD 用户和群组**管理 AWS 管理控制台，请在中选择管理用户和群组管理 AWS 管理控制台**。有关如何使用用户和组管理的更多信息，请参阅[管理 AWS 使用管理微软 AD 用户和群组 AWS 管理控制台, AWS CLI或 AWS Tools for PowerShell](ms_ad_manage_users_groups_procedures.md)。

1. 在 **Choose VPC and subnets (选择 VPC 和子网)** 页面上，提供以下信息，然后选择 **Next (下一步)**。  
**VPC**  
为目录选择 VPC。  
**网络类型**  
与 VPC 和子网相关的互联网协议（IP）地址系统。  
选择与现有 VPC 相关的 CIDR 数据块。子网中的资源可以配置为仅使用 IPv4、仅使用 IPv6 或同时使用 IPv4 和 IPv6（双堆栈）。有关更多信息，请参阅《Amazon Virtual Private Cloud 用户指南》**中的[比较 IPv4 和 IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/ipv4-ipv6-comparison.html)。  
**子网**  
为域控制器选择子网。两个子网必须位于不同的可用区。

1. 在 **Review & create (检查并创建)** 页面上，检查目录信息并进行任何必要的更改。如果信息正确，请选择 **Create directory (创建目录)**。创建目录需要 20 到 40 分钟。创建后，**Status** 值将更改为 **Active**。

有关使用 AWS 托管 Microsoft AD 创建的内容的更多信息，请参阅以下内容：
+ [用你的创造了什么 AWS 微软 AD 托管](ms_ad_getting_started_what_gets_created.md)
+ [AWS 托管的 Microsoft AD 管理员账户和群组权限](ms_ad_getting_started_admin_account.md)

**相关 AWS 安全博客文章**
+ [如何将托 AWS 管 Microsoft AD 目录的管理委托给您的本地 Active Directory 用户](https://aws.amazon.com/blogs/security/how-to-delegate-administration-of-your-aws-managed-microsoft-ad-directory-to-your-on-premises-active-directory-users/)
+ [如何使用 AWS 托管 Microsoft AD 来配置更严格的密码策略 Directory Service 以帮助满足你的安全标准](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
+ [如何通过添加域控制器来提高 AWS 托管 Microsoft AD 的冗余和性能 Directory Service](https://aws.amazon.com/blogs/security/how-to-increase-the-redundancy-and-performance-of-your-aws-directory-service-for-microsoft-ad-directory-by-adding-domain-controllers/)
+ [如何通过在 AWS 托管 Microsoft AD 上部署Microsoft远程桌面许可管理器来启用远程桌面的使用](https://aws.amazon.com/blogs/security/how-to-enable-the-use-of-remote-desktops-by-deploying-microsoft-remote-desktop-licensing-manager-on-aws-microsoft-ad/)
+ [如何 AWS 管理控制台 使用 AWS 托管 Microsoft AD 和您的本地凭据进行访问](https://aws.amazon.com/blogs/security/how-to-access-the-aws-management-console-using-aws-microsoft-ad-and-your-on-premises-credentials/)
+ [如何使用 AWS 托管 Microsoft AD 和本地凭据为 AWS 服务启用多因素身份验证](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/)
+ [如何使用本地 Active Directory 轻松登录 AWS 服务](https://aws.amazon.com/blogs/security/how-to-easily-log-on-to-aws-services-by-using-your-on-premises-active-directory/)