一般性问题
全部打开-
Amazon Directory Service 是一种托管服务产品,提供的目录包含贵组织的相关信息,包括用户、组、计算机和其他资源。作为托管产品,Amazon Directory Service 旨在减少管理任务,从而使您可以将更多时间和资源放在业务上。无需构建您自己的复杂、高可用的目录拓扑,因为每个目录都部署在多个可用区内,且监控功能会自动检测并替换出现故障的域控制器。另外,它还为您配置了数据复制和每日自动拍摄快照的功能。无需安装软件,我们会处理所有修补工作和软件更新。
-
您可以使用 Amazon Web Services 管理控制台或 API 创建目录。只需要提供一些基本信息,例如目录的完全限定域名(FQDN)、管理员账户名和密码,以及您希望将该目录附加到的 VPC。
-
是的,您可以使用 Amazon Directory Service 管理控制台或 API 将运行 Linux 或 Windows 的现有 EC2 实例添加到 Amazon Web Services Managed Microsoft AD 目录中。
-
支持使用公共 API 来创建和管理目录。现在,您可以使用公共 API 以编程方式管理目录。
-
可以。通过 Amazon Directory Service API 或管理控制台执行的操作将包含在您的 CloudTrail 审核日志中。
-
可以。您可以对 Amazon Simple Notification Service(SNS)进行配置,以便在 Amazon Directory Service 发生变化时接收电子邮件和短信。Amazon SNS 使用主题收集消息并将其分发给订阅者。当 Amazon Directory Service 检测到您的目录状态发生变化时,它将向关联的主题发布一条消息,然后将其发送给主题订阅者。查看文档以了解更多信息。
有关更多信息,请参阅定价页面。
-
可以。Amazon Directory Service 支持成本分配标记。标签可以对 Amazon Web Services 资源进行分类和分组,让您更轻松地分配成本和优化支出。例如,您可以使用标签按管理员、应用程序名称、成本中心或特定项目对资源进行分组。
Amazon Managed Microsoft AD
全部打开-
您可以从 Amazon Web Services 管理控制台启动 Amazon Directory Service 控制台,以创建 Amazon Web Services Managed Microsoft AD 目录。或者,您也可以使用 Amazon SDK 或 Amazon CLI。
-
默认情况下,Amazon Web Services Managed Microsoft AD 目录部署在一个区域的两个可用区中,并连接到您的 Amazon Virtual Private Cloud(VPC)。每天自动进行一次备份,并对 Amazon Elastic Block Store(EBS)卷进行加密,以确保静态数据的安全。发生故障的域控制器将在同一可用区中使用相同的 IP 地址自动替换,并且可以使用最新备份执行完整的灾难恢复。
-
不能。目前不支持此功能。
-
您可以使用现有的 Active Directory 工具(在加入 Amazon Web Services Managed Microsoft AD 域的 Windows 计算机上运行)来管理 Amazon Web Services Managed Microsoft AD 目录中的用户和组。无需特殊工具、策略或行为更改。
-
为了提供托管服务体验,Amazon Web Services Managed Microsoft AD 必须禁止客户执行可能干扰服务管理的操作。因此,我们不提供对目录实例的 Windows PowerShell 访问权限,并且它还限制了对需要提升权限的目录对象、角色和组的访问。Amazon Web Services Managed Microsoft AD 不允许主机通过 Telnet、安全外壳(SSH)或 Windows 远程桌面连接直接访问域控制器。当您创建 Amazon Managed Microsoft AD 目录时,系统会向您分配一个组织单元(OU)和一个具有该组织单元管理权限的管理账户。
-
可以。设置 Amazon Web Services Managed Microsoft AD 时为您创建的管理账户已委派对管理远程访问服务(RAS)和互联网身份验证服务(IAS)安全组的管理权限。这使您能够在 Amazon Web Services Managed Microsoft AD 中注册 NPS,并管理域中账户的网络访问策略。
-
可以。Amazon Web Services Managed Microsoft AD 支持您以 LDAP 数据交换格式(LDIF)文件的形式提交给服务的架构扩展。您可以扩展但不能修改核心 Active Directory 架构。
-
Amazon Web Services Managed Microsoft AD 基于实际的 Active Directory,提供最广泛的本机 AD 工具和第三方应用程序支持,例如:基于 Active Directory 的激活(ADBA)、Active Directory 证书服务(AD CS):企业证书颁发机构、Active Directory Federation Services(AD FS)、Active Directory 用户和计算机(ADUC)、应用程序服务器(.NET)、Azure Active Directory(AD)、Azure Active Directory(AD)连接、分布式文件系统复制(DFSR)、分布式文件系统命名空间(DFSN)、Microsoft 远程桌面服务许可服务器、Microsoft SharePoint Server、Microsoft SQL Server(包括 SQL Server Always On 可用性组)、Microsoft 系统中心配置管理器(SCCM)、Microsoft Windows 和 Windows Server OSOffice 365
-
Active Directory 证书服务(AD CS):证书注册 Web 服务、Active Directory 证书服务(AD CS):证书注册策略 Web 服务、Microsoft Exchange Server、Microsoft Skype for Business Server
-
我们不提供任何迁移工具来将自行管理的 Active Directory 迁移到 Amazon Web Services Managed Microsoft AD。您必须制定执行迁移的策略,包括密码重置,并使用远程服务器管理工具实施计划。
-
可以。您可以使用 Directory Service 控制台为 Amazon Web Services Managed Microsoft AD 配置条件转发器和信任。
-
可以。您可以使用 Amazon Directory Service 控制台或 API 向托管域添加其他域控制器。请注意,不支持手动将 Amazon EC2 实例提升为域控制器。
-
可以。您可以使用 Azure AD Connect 将身份从 Amazon Web Services Managed Microsoft AD 同步到 Azure AD,并使用适用于 Windows 2016 的 Microsoft Active Directory 联合身份验证服务(AD FS)和 Amazon Web Services Managed Microsoft AD 对 Office 365 用户进行身份验证。
-
可以。您可以将适用于 Windows 2016 的 Microsoft Active Directory Federation Services(AD FS)与 Amazon Web Services Managed Microsoft AD 托管域一起使用,为支持 SAML 的云应用程序进行用户身份验证。
-
可以。Amazon Web Services Managed Microsoft AD 在客户端和服务器角色中都支持基于安全套接字层(SSL)/传输层安全性协议(TLS)的轻量级目录访问协议(LDAP)(也称为 LDAPS)。充当服务器时,Amazon Web Services Managed Microsoft AD 通过端口 636(SSL)和 389(TLS)支持 LDAPS。您可以通过在 Amazon Web Services Managed Microsoft AD 域控制器上安装来自基于 Amazon Web Services 的 Active Directory 证书服务证书颁发机构(CA)的证书来启用服务器端 LDAPS 通信。要了解更多信息,请参阅启用安全 LDAP(LDAPS)。
-
可以。Amazon Web Services Managed Microsoft AD 在客户端和服务器角色中都支持基于安全套接字层(SSL)/传输层安全性协议(TLS)的轻量级目录访问协议(LDAP)(也称为 LDAPS)。充当客户端时,Amazon Web Services Managed Microsoft AD 支持通过端口 636(SSL)的 LDAPS。您可以通过在 Amazon Web Services 中注册服务器证书颁发机构颁发的证书颁发机构(CA)证书来启用客户端 LDAPS 通信。要了解更多信息,请参阅启用安全 LDAP(LDAPS)。
-
Amazon Web Services Managed Microsoft AD(标准版)包含 1 GB 的目录对象存储空间。此容量最多可支持 5000 个用户或 30000 个目录对象,包括用户、组和计算机。Amazon Web Services Managed Microsoft AD(企业版)包含 17 GB 的目录对象存储空间,最多可支持 10 万个用户或 50 万个对象。
-
可以。您可以将 Amazon Web Services Managed Microsoft AD 用作资源林,主要包含与本地目录具有信任关系的计算机和组。这样,您的用户就可以使用其本地 AD 凭证访问 Amazon Web Services 应用程序和资源。
无缝域加入
全部打开-
无缝域加入是一项功能,允许您在启动时通过 Amazon Web Services 管理控制台将 Amazon EC2 for Windows Server 和 Amazon EC2 for Linux 实例无缝加入域。您可以将实例加入您在 Amazon Web Services 云中启动的 Amazon Web Services Managed Microsoft AD。
-
当您从 Amazon Web Services 管理控制台创建并启动 EC2 for Windows 或 EC2 for Linux 实例时,您可以选择实例将加入的域。要了解更多信息,请参阅文档。
-
对于现有的 EC2 for Windows Server 实例和 EC2 for Linux 实例,您无法使用 Amazon Web Services 管理控制台中的无缝域加入功能,但可以使用 EC2 API 或在实例上使用 PowerShell 将现有实例加入域。要了解更多信息,请参阅文档。无缝域加入功能支持哪些发行版和版本的 Linux?
-
无缝域加入功能目前适用于 Linux、Linux 2、CentOS 7 或更高版本、RHEL 7.5 或更高版本以及 Ubuntu 14 至 18。