一般性问题

问:什么是 Amazon Directory Service?

Amazon Directory Service 是一种托管服务产品,提供的目录包含贵组织的相关信息,包括用户、组、计算机和其他资源。作为托管产品,Amazon Directory Service 旨在减少管理任务,从而使您可以将更多时间和资源放在业务上。无需构建您自己的复杂、高可用的目录拓扑,因为每个目录都部署在多个可用区内,且监控功能会自动检测并替换出现故障的域控制器。另外,它还为您配置了数据复制和每日自动拍摄快照的功能。无需安装软件,我们会处理所有修补工作和软件更新。

问:如何创建目录?

您可以使用 Amazon Web Services 管理控制台或 API 创建目录。只需要提供一些基本信息,例如目录的完全限定域名(FQDN)、管理员账户名和密码,以及您希望将该目录附加到的 VPC。

问:我能否将现有的 Amazon EC2 实例加入 Amazon Directory Service 目录?

是的,您可以使用 Amazon Directory Service 管理控制台或 API 将运行 Linux 或 Windows 的现有 EC2 实例添加到 Amazon Web Services Managed Microsoft AD 目录中。

问:Amazon Directory Service 是否支持 API?

支持使用公共 API 来创建和管理目录。现在,您可以使用公共 API 以编程方式管理目录。

问:Amazon Directory Service 是否支持 CloudTrail 日志记录?

是。通过 Amazon Directory Service API 或管理控制台执行的操作将包含在您的 CloudTrail 审核日志中。

问:我能否在目录状态发生变化时收到通知?

是。您可以对 Amazon Simple Notification Service(SNS)进行配置,以便在 Amazon Directory Service 发生变化时接收电子邮件和短信。Amazon SNS 使用主题收集消息并将其分发给订阅者。当 Amazon Directory Service 检测到您的目录状态发生变化时,它将向关联的主题发布一条消息,然后将其发送给主题订阅者。查看文档以了解更多信息。

问:Amazon Directory Service 的费用是多少?

有关更多信息,请参阅定价页面

问:我能否标记我的目录?

能。Amazon Directory Service 支持成本分配标记。标签可以对 Amazon Web Services 资源进行分类和分组,让您更轻松地分配成本和优化支出。例如,您可以使用标签按管理员、应用程序名称、成本中心或特定项目对资源进行分组。

Amazon Managed Microsoft AD

问:如何创建 Amazon Web Services Managed Microsoft AD 目录?

您可以从 Amazon Web Services 管理控制台启动 Amazon Directory Service 控制台,以创建 Amazon Web Services 托管的 Microsoft AD 目录。或者,您也可以使用 Amazon SDK 或 Amazon CLI。

问:Amazon Web Services Managed Microsoft AD 目录是如何部署的?

默认情况下,Amazon Web Services Managed Microsoft AD 目录部署在一个区域的两个可用区中,并连接到您的 Amazon Virtual Private Cloud (VPC)。每天自动进行一次备份,并对 Amazon Elastic Block Store(EBS)卷进行加密,以确保静态数据的安全。发生故障的域控制器将在同一可用区中使用相同的 IP 地址自动替换,并且可以使用最新备份执行完整的灾难恢复。

问:我能否配置我的 Amazon Web Services Managed Microsoft AD 目录的存储、CPU 或内存参数?

不能。目前不支持此功能。

问:如何管理 Amazon Web Services Managed Microsoft AD 的用户和组?

您可以使用现有的 Active Directory 工具(在加入 Amazon Web Services Managed Microsoft AD 域的 Windows 计算机上运行)来管理 Amazon Web Services Managed Microsoft AD 目录中的用户和组。无需特殊工具、策略或行为更改。

问:Amazon Web Services Managed Microsoft AD 和在我自己的 Amazon EC2 Windows 实例中运行 Active Directory 的管理权限有何不同?

为了提供托管服务体验,Amazon Web Services Managed Microsoft AD 必须禁止客户执行可能干扰服务管理的操作。因此,我们不提供对目录实例的 Windows PowerShell 访问权限,并且它还限制了对需要提升权限的目录对象、角色和组的访问。Amazon Web Services Managed Microsoft AD 不允许主机通过 Telnet、安全外壳(SSH)或 Windows 远程桌面连接直接访问域控制器。当您创建 Amazon Managed Microsoft AD 目录时,系统会向您分配一个组织单元(OU)和一个具有该组织单元管理权限的管理账户。 

问:我能否将 Microsoft Network Policy Server(NPS)与 Amazon Web Services Managed Microsoft AD 配合使用?

能。设置 Amazon Web Services Managed Microsoft AD 时为您创建的管理账户已委派对管理远程访问服务(RAS)和互联网身份验证服务(IAS)安全组的管理权限。这使您能够在 Amazon Web Services Managed Microsoft AD 中注册 NPS,并管理域中账户的网络访问策略。

问:Amazon Web Services Managed Microsoft AD 是否支持架构扩展?

是。Amazon Web Services Managed Microsoft AD 支持您以 LDAP 数据交换格式(LDIF)文件的形式提交给服务的架构扩展。您可以扩展但不能修改核心 Active Directory 架构。

问:哪种第三方软件与 Amazon Web Services Managed Microsoft AD 兼容?

Amazon Web Services Managed Microsoft AD 基于实际的 Active Directory,提供最广泛的本机 AD 工具和第三方应用程序支持,例如:基于 Active Directory 的激活(ADBA)、Active Directory 证书服务(AD CS):企业证书颁发机构、Active Directory Federation Services(AD FS)、Active Directory 用户和计算机(ADUC)、应用程序服务器(.NET)、Azure Active Directory(AD)、Azure Active Directory(AD)连接、分布式文件系统复制(DFSR)、分布式文件系统命名空间(DFSN)、Microsoft 远程桌面服务许可服务器、Microsoft SharePoint Server、Microsoft SQL Server(包括 SQL Server Always On 可用性组)、Microsoft 系统中心配置管理器(SCCM)、Microsoft Windows 和 Windows Server OSOffice 365

问:哪些第三方软件与 Amazon Managed Microsoft AD 不兼容?

Active Directory 证书服务(AD CS):证书注册 Web 服务、Active Directory 证书服务(AD CS):证书注册策略 Web 服务、Microsoft Exchange Server、Microsoft Skype for Business Server

问:我能否将现有的本地 Microsoft Active Directory 迁移到 Amazon Web Services Managed Microsoft AD?

我们不提供任何迁移工具来将自行管理的 Active Directory 迁移到 Amazon Web Services Managed Microsoft AD。您必须制定执行迁移的策略,包括密码重置,并使用远程服务器管理工具实施计划。

问:我能否在 Directory Service 控制台中配置条件转发器和信任?

可以。您可以使用 Directory Service 控制台为 Amazon Web Services Managed Microsoft AD 配置条件转发器和信任。

问:我能否手动将其他域控制器添加到我的 Amazon Web Services Managed Microsoft AD 中?

可以。您可以使用 Amazon Directory Service 控制台或 API 向托管域添加其他域控制器。请注意,不支持手动将 Amazon EC2 实例提升为域控制器。 

问:我能否将 Microsoft Office 365 与 Amazon Web Services Managed Microsoft AD 中托管的用户账户配合使用?

可以。你可以使用 Azure AD Connect 将身份从 Amazon Web Services Managed Microsoft AD 同步到 Azure AD,并使用适用于 Windows 2016 的 Microsoft Active Directory 联合身份验证服务(AD FS)和 Amazon Web Services Managed Microsoft AD 对 Office 365 用户进行身份验证。 

问:我能否在使用 Amazon Web Services Managed Microsoft AD 的云应用程序中使用基于安全断言标记语言(SAML)2.0 的身份验证?

可以。你可以将适用于 Windows 2016 的 Microsoft Active Directory Federation Services(AD FS)与 Amazon Web Services Managed Microsoft AD 托管域一起使用,为支持 SAML 的云应用程序进行用户身份验证。 

问:我能否使用 LDAPS 加密我的应用程序与 Amazon Web Services Managed Microsoft AD 之间的通信?

可以。Amazon Web Services Managed Microsoft AD 在客户端和服务器角色中都支持基于安全套接字层(SSL)/传输层安全性协议(TLS)的轻量级目录访问协议(LDAP)(也称为 LDAPS)。充当服务器时,Amazon Web Services Managed Microsoft AD 通过端口 636(SSL)和 389(TLS)支持 LDAPS。您可以通过在 Amazon Web Services Managed Microsoft AD 域控制器上安装来自基于 Amazon Web Services 的 Active Directory 证书服务证书颁发机构(CA)的证书来启用服务器端 LDAPS 通信。要了解更多信息,请参阅启用安全 LDAP(LDAPS)。 

问:我能否使用 Amazon Web Services Managed Microsoft AD 加密 Amazon Web Services 应用程序和自行管理的 AD 之间的 LDAP 通信?

可以。Amazon Web Services Managed Microsoft AD 在客户端和服务器角色中都支持基于安全套接字层(SSL)/传输层安全性协议(TLS)的轻量级目录访问协议(LDAP)(也称为 LDAPS)。充当客户端时,Amazon Web Services Managed Microsoft AD 支持通过端口 636(SSL)的 LDAPS。您可以通过在 Amazon Web Services 中注册服务器证书颁发机构颁发的证书颁发机构(CA)证书来启用客户端 LDAPS 通信。要了解更多信息,请参阅启用安全 LDAP(LDAPS)。 

问: Amazon Web Services Managed Microsoft AD 支持多少用户、组、计算机和对象总数?

Amazon Web Services Managed Microsoft AD(标准版)包含 1 GB 的目录对象存储空间。此容量最多可支持 5000 个用户或 30000 个目录对象,包括用户、组和计算机。Amazon Web Services Managed Microsoft AD(企业版)包含 17 GB 的目录对象存储空间,最多可支持 100000 个用户或 50 万个对象。 

问:我能否将 Amazon Web Services Managed Microsoft AD 用作资源林?

可以。您可以将 Amazon Web Services Managed Microsoft AD 用作资源林,主要包含与本地目录具有信任关系的计算机和组。这样,您的用户就可以使用其本地 AD 凭证访问 Amazon Web Services 应用程序和资源。 

无缝域加入

问:什么是无缝域加入?

无缝域加入是一项功能,允许您在启动时通过 Amazon Web Services 管理控制台将 Amazon EC2 for Windows Server 和 Amazon EC2 for Linux 实例无缝加入域。您可以将实例加入您在 Amazon Web Services 云中启动的 Amazon Web Services Managed Microsoft AD。

问:如何将实例无缝加入域?

当您从 Amazon Web Services 管理控制台创建并启动 EC2 for Windows 或 EC2 for Linux 实例时,您可以选择实例将加入的域。要了解更多信息,请参阅文档

问:我能否将现有的 EC2 for Windows Server 实例无缝加入域?

对于现有的 EC2 for Windows Server 实例和 EC2 for Linux 实例,您无法使用 Amazon Web Services 管理控制台中的无缝域加入功能,但可以使用 EC2 API 或在实例上使用 PowerShell 将现有实例加入域。要了解更多信息,请参阅文档。无缝域加入功能支持哪些发行版和版本的 Linux?

无缝域加入功能目前适用于 Linux、Linux 2、CentOS 7 或更高版本、RHEL 7.5 或更高版本以及 Ubuntu 14 至 18。

关闭
1010 0766
由光环新网运营的
北京区域
1010 0966
由西云数据运营的
宁夏区域
关闭
由光环新网运营的
北京区域
由西云数据运营的
宁夏区域