• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

AWS Directory Service: Verwaltete Active Directory-Instanzen in AWS nutzen

Dez 17, 2021 (Letztes Update) | Posted by Thomas Joos Active Directory, Administration, Azure AD, Cloud, Konfiguration |

 

AWS Directory Service: Verwaltete Active Directory-Instanzen in AWS nutzen

Amazon bietet in AWS auch verwaltete Active Directory-Instanzen an.

Diese stehen über „AWS Directory Service“ zur Verfügung. Basis der Dienste ist Microsoft Active Directory. Hierüber können Unternehmen vollständige Active Directory-Umgebungen in der AWS-Cloud aufbauen und über den Active Directory-Connector auch mit lokalen Umgebungen synchronisieren.

Es handelt sich bei AWS Directory Service nicht um einen Mitbewerber von Azure Active Directory, sondern um eine ähnliche Lösung wie Azure Active Directory Domain Services. Auch hier ist es möglich, ein nahezu vollwertiges Active Directory in der Cloud aufzubauen, das den Funktionen von lokalen Active Directory-Umgebungen entspricht.

Inhaltsverzeichnis

  • 1 Schema-Erweiterung ist eingeschränkt möglich – aber nicht für Exchange
  • 2 Zwei Active Directory-DCs Aufstocken-Option
  • 3 Einrichten einer Active Directory-Domäne in AWS
  • 4 Active Directory in AWS verwalten
  • 5 AWS Directory Service und Microsoft/Office 365
  • 6 Lokales Active Directory in AWS einbinden – AD Connector

Schema-Erweiterung ist eingeschränkt möglich – aber nicht für Exchange

Im Gegensatz zu Azure Active Directory Domain Services ist es in AWS Directory Service möglich, über LDIF-Dateien das Schema der Active Directory-Gesamtstruktur anzupassen. Allerdings geht diese Erweiterung nicht so weit, dass es möglich ist, Exchange-Server in der Umgebung zu betreiben. Die Schemaerweiterungen umfassen nur grundlegende Änderungen, keine so umfassenden Erweiterungen die Exchange benötigt. Active Directory-abhängige Dienste lassen sich im verwalteten Active Directory von AWS problemlos betreiben. 

Zwei Active Directory-DCs Aufstocken-Option

AWS Directory Service basiert auf zwei Domänencontrollern für jede Umgebung. Für eine Gebühr von 50 US-Dollar/Monat lassen sich weitere Domänencontroller dazu buchen. Im kleineren Umfeld reicht die Standard-Edition von AWS AD. Beim Einrichten können Sie die Edition auswählen. 

Wer bis zu 500.000 Objekte in Active Directory speichern will, kann auf die Enterprise-Edition wechseln. Die Preise sind in der AWS-Dokumentation der AWS Directory Services zu finden. Mit der Enterprise-Edition des verwalteten Active Directory in AWS ist es auch möglich, Benutzer und andere Objekte zwischen verschiedenen AWS-Regionen zu synchronisieren.

Einrichten einer Active Directory-Domäne in AWS

Die Einrichtung einer Active Directory-Domäne erfolgt in AWS genauso wie bei Azure Active Directory Domain Services. Es ist nicht die Installation eines Domänencontrollers notwendig. Der komplette Vorgang erfolgt über die gewohnten Assistenten in AWS. Im Rahmen der Installation richtet AWS zunächst zwei Domänencontroller in verschiedenen Subnetzen ein. Es ist jederzeit möglich weitere DCs in die Domäne anzubinden.

Nach der Einrichtung haben Admins keinen Zugriff auf die verschiedenen Systemobjekte von Active Directory, sondern haben nur Zugriff auf eine Organisationseinheit in der Umgebung. Hier können Admins die gleichen Aufgaben durchführen, wie bei OUs in normalen Active Directory-Umgebungen.

Für die Einrichtung eines verwalteten Active Directory in AWS wird zunächst die Verwaltungsseite von Directory Service aufgerufen. Die Konfiguration erfolgt in der AWS Management Console. Mit „Verzeichnis einrichten“ startet der Assistent. Auf der ersten Seite kann mit „AWS Managed Microsoft AD“ der Vorgang gestartet werden.

Einrichten eines verwalteten AD in AWS.
Einrichten eines verwalteten AD in AWS.

Im Rahmen der Einrichtung wählen Sie die Edition, den DNS-Namen und die NetBIOS-Bezeichnung der Domäne. Auch eine Beschreibung und das Kennwort können Sie an dieser Stelle angeben. Auf dieser Seite des Assistenten steuern Sie die grundlegenden Daten der Active Directory-Domäne.

Konfigurieren der Verzeichnisdaten in AWS-AD
Konfigurieren der Verzeichnisdaten in AWS-AD

Zur Einrichtung eines verwalteten Active Directory in AWS gehört auch die Definition von zwei VPCs. AWS positioniert in den beiden Subnetzen jeweils zunächst einen AD-Domänencontroller. Später lassen sich jederzeit weitere Domänencontroller hinzufügen.

Konfigurieren der Subnetze eines neuen Active Directory.
Konfigurieren der Subnetze eines neuen Active Directory.

Nach der Erstellung steht das AD in wenigen Minuten zur Verfügung. Zur Verwaltung ist jetzt nur noch eine EC2-Instanz notwendig, mit der Sie das AD in der Cloud verwalten. Es ist natürlich auch jederzeit möglich weitere Domänen zu implementieren. Bei der Installation von Windows Server 2019 in der EC2-Instanz müssen noch die Verwaltungstools von Active Directory installiert werden, genauso wie bei der Verwaltung von herkömmlichen Servern in Active Directory.

Active Directory in AWS verwalten

Die Verwaltung von Active Directory Services in AWS erfolgt über die Standardtools von Microsoft, mit Ausnahme der PowerShell. Diese steht in AWS nicht zur Verfügung. Das heißt, in der Umgebung wird ein Computer eingebunden, auf dem die Verwaltungstools installiert sind.

Dabei kann es sich auch um einen virtuellen Computer in EC2 handeln. Ein direkter Zugriff auf die Domänencontroller ist bei AWS  Directory Services aber genauso wenig möglich, wie bei Azure Active Directory Domain Services. Mit den AWS Directory Services können auch die verschiedenen Dienste in AWS mit Active Directory-Berechtigungen gesteuert werden. Das gilt natürlich auch für VMs in EC2.

Für eine effektive Verwaltung von AWS-AD ist es notwendig, dass nach der Einrichtung der Umgebung eine Windows Server-Instanz von EC2 Mitglied der Domäne wird. Danach lassen sich von diesem Server die (erlaubten) Verwaltungsaufgaben durchführen. Idealerweise sollte hier ein Server mit mindestens Windows Server 2019 zum Einsatz kommen.

AWS Directory als Datenquelle

Identity Management auf AWS basierend

Die IAM-Lösung IDM-Portal kann direkt auf Ihr AWS Directory, Azure AD und/oder AD zugreifen. Sie pflegen die Daten nur noch einmal. Außerdem können Sie die Verwaltung von Identity Management- und Authorization-Tasks durch Automatisierung und Delegation verbessern.

AWS Directory Service und Microsoft/Office 365

Benutzerkonten aus AWS Directory Service lassen sich auch mit Microsoft 365 und dessen Dienste nutzen. Die Synchronisierung von lokalen Active Directory-Umgebungen erfolgt in diesem Fall über den bereits erwähnten Active Directory-Connector. Um Benutzerkonten aus AWS Directory Service auch mit Microsoft-Cloud-Diensten in Microsoft 365 zu nutzen, zum Beispiel für Exchange Online, SharePoint Online oder Microsoft Teams, kann Azure AD Connect dazu verwendet werden, die Benutzerkonten aus dem AWS-AD zu Azure-AD zu synchronisieren.

Das AWS-AD kann sich mit Azure AD synchronisieren, für die Verwendung von Microsoft 365-Diensten (Screenshot: Amazon/AWS)
Das AWS-AD kann sich mit Azure AD synchronisieren, für die Verwendung von Microsoft 365-Diensten (Screenshot: Amazon/AWS)

Da der Azure AD Connect-Server nur ausgehenden Datenverkehr benötigt, sollten Sie den Azure AD Connect-Server in einem privaten Subnetz betreiben, während der ausgehende Datenverkehr über ein NAT-Gateway oder eine Instanz in einem öffentlichen Subnetz geleitet wird. Die Einrichtung der Verbindung zwischen AWS AD und Azure AD erfolgt über die bereits erwähnte EC2-Instanz, die Sie nach der Inbetriebnahme von AWS Directory Services in die neue Domäne aufgenommen haben. Auf dem Server müssen die Active Directory-Verwaltungstools installiert sein.

Die Verbindung erfolgt über einen neuen Benutzer mit der Bezeichnung „AADConnectSvc“. Der Benutzer benötigt zunächst keine besonderen Rechte. Die Einrichtung der Synchronisierung ist zunächst kein einfacher Vorgang. Im AWS Security Blog ist eine Schritt-für-Schritt-Anleitung dazu im Beitrag „Enable Office 365 with AWS Managed Microsoft AD without user password synchronization“ zu finden.

Lokales Active Directory in AWS einbinden – AD Connector

Bei der Einrichtung von AWS Directory Service steht im Assistenten bei „Verzeichnistyp“ auch der AD Connector zur Verfügung. Dieser ermöglicht die Einrichtung eines Proxys, der Anfragen direkt an ein lokales Active Directory weiterleitet. Bei diesem Vorgang speichert AWS keine Informationen in der Cloud. Der Connector ermöglicht daher eine Einbindung lokaler Active Directory-Umgebungen in der AWS-Cloud. Damit die Verbindung funktioniert, muss das AD über ein VPC mit AWS verbunden sein.

Verbinden von lokalen AD-Gesamtstrukturen mit AWS
Verbinden von lokalen AD-Gesamtstrukturen mit AWS

Unterstützung benötigt?

Gerne stellen wir Ihnen unsere Leistungen und Lösungen in einem persönlichen Gespräch vor und würden uns über Ihre Kontaktaufnahme sehr freuen!

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 30.09.2021
Tags: AWSAWS-CloudDirectory Service
1

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next