Mobile-Menu

On-Premises AD und Cloud-Authentifizierung Amazon AWS Active Directory Connector

Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

In AWS stehen auch verwaltete Instanzen von Active Directory zur Verfügung. Darüber hinaus ist es zudem möglich, lokale AD-Umgebungen über den AD-Connector mit der Cloud zu verbinden. Wir zeigen in diesem Beitrag die Möglichkeiten und die Einrichtung.

Firmen zum Thema

Mit dem AD-Connector können lokale AD-Umgebungen mit den Amazon Web Services in der Cloud verbunden werden.
Mit dem AD-Connector können lokale AD-Umgebungen mit den Amazon Web Services in der Cloud verbunden werden.
(Bild: AWS)

Mit dem AWS Directory Service können Unternehmen in AWS ein verwaltetes Active Directory aufbauen. Dieses AD lässt sich wiederum mit lokalen AD-Umgebungen verbinden. Mit dem AD Connector können Unternehmen AWS Directory Service mit On-Premises Active-Directory-Umgebungen verbinden. Bei der Verbindung verbleiben Verzeichnisdaten im lokalen Netzwerk. AWS Directory Service repliziert keine Verzeichnisdaten, sondern stellt über einen Proxy eine Verbindung mit dem lokalen AD her und leitet Authentifizierungsanfragen weiter.

Der Dienst funktioniert ähnlich wie Azure AD Domain Services. Es handelt sich um keinen eigenständigen AD-Dienst wie Azure AD. Beim Buchen des Dienstes erstellt AWS für jede Domäne zwei Domänencontroller auf Basis von VMs. Es ist möglich weitere DCs an verschiedenen Standorten kostenpflichtig zu buchen. Wir haben uns im Beitrag „Verwaltetes Active Directory in AWS nutzen“ bereits mit dem Thema auseinandergesetzt.

Bildergalerie
Bildergalerie mit 7 Bildern

Azure AD, Azure AD Domain Services und AWS Directory Service im Vergleich

Das bietet aber auch den Vorteil, dass Schema-Änderungen in AWS Directory Service möglich sind, in Azure AD aber nicht. Im Gegensatz zu Azure AD handelt es sich bei der Verwendung von AWS Directory Domain Services um ein vollständiges AD, ähnlich zu Azure AD Domain Services. Admins haben aber keinen vollständigen Zugriff auf die DCs im AD von AWS. Zugriff besteht nur auf eine Organisationseinheit in der Domäne, in der sich weitere OUs und natürlich auch Benutzer und Computer anlegen lassen.

Wir haben die Möglichkeiten von Azure AD Domain Services und die Unterschiede zu Azure AD im Beitrag „So bringen Sie Funktionen aus Active Directory in die Azure-Cloud“ bereits beleuchtet. Diesbezüglich ist auch der Beitrag „Active Directory und Azure Active Directory im Vergleich“ interessant.

AD in AWS einrichten

Für die Einrichtung eines verwalteten Active Directory in AWS wird zunächst die Verwaltungsseite von „Directory Service“ aufgerufen. Die Konfiguration erfolgt in der AWS Management Konsole. Mit „Verzeichnis einrichten“ startet der Assistent. Auf der ersten Seite kann mit „AWS Managed Microsoft AD“ der Vorgang gestartet werden. Bei der Einrichtung eines AD-Connectors sind einige Voraussetzungen notwendig.

Für die Verbindung zwischen AWS und dem lokalen Netzwerk ist eine VPC (Virtual Private Cloud) in AWS notwendig, mit dem die Verbindung geroutet wird. Außerdem sind mindestens zwei Subnetze notwendig. Jedes der Subnetze muss sich in einer anderen Availability Zone befinden. Die VPC muss über eine VPN-Verbindung (Virtual Private Network) oder via AWS Direct Connect mit einem bestehenden Netzwerk verbunden sein.

AWS Directory Service verwendet eine Struktur mit zwei VPCs. Die EC2-Instanzen, aus denen das Verzeichnis besteht, laufen außerhalb des AWS-Kontos und werden von AWS verwaltet. Die Server haben zwei Netzwerkadapter, ETH0 und ETH1. ETH0 ist der Verwaltungsadapter und befindet sich außerhalb des Kontos. ETH1 wird innerhalb des Kontos erstellt. Die VPC darf nicht mit den folgenden VPC-Endpunkten konfiguriert sein:

  • Route53 VPC-Endpunkte, die DNS Conditional Overrides für *.amazonaws.com enthalten
  • CloudWatch VPC-Endpunkt
  • Systems Manager VPC-Endpunkt
  • Security Token Service VPC-Endpunkt

Damit AD Connector Verzeichnisanfragen an die Active Directory-Domänencontroller umleiten kann, muss die Firewall für das Netzwerk Ports für die CIDRs der beiden Subnetze in VPC geöffnet haben:

  • TCP/UDP 53 - DNS
  • TCP/UDP 88 - Kerberos-Authentifizierung
  • TCP/UDP 389 - LDAP

Für Benutzerkonten muss die Kerberos-Vorabauthentifizierung (Kerberos Preauthentication) aktiviert sein. Die Einstellungen dazu sind im lokalen AD auf der Registerkarte „Konto“ zu finden. Die Option „Keine-Kebereos-Präauthentifizierung verwenden“ darf nicht aktiviert sein.

AD Connector unterstützt verschiedene Verschlüsselungstypen bei der Authentifizierung über Kerberos an lokale Active Directory-Domänencontroller:

  • AES-256-HMAC
  • AES-128-HMAC
  • RC4-HMAC

Administratoren müssen in jeder Domäne bedingte DNS-Weiterleitungen einrichten, damit die Namensauflösung funktioniert. Die Domänencontroller in AWS und die Domänencontroller im lokalen Rechenzentrum müssen sich gegenseitig auflösen können.

Lokales Active Directory in AWS einbinden - AD Connector

Bei der Einrichtung von AWS Directory Service steht im Assistenten bei „Verzeichnistyp“ auch der AD Connector zur Verfügung. Dieser ermöglicht die Einrichtung eines Proxys der Anfragen direkt an ein lokales Active Directory weiterleitet. Nach der Auswahl des Verzeichnistyps lässt sich die Größe des verwendeten ADs auswählen. Der AD-Connector für große Umgebungen kostet etwa das dreifache, wie der kleine AD-Connector.

Bei diesem Vorgang speichert AWS keine Informationen in der Cloud. Der Connector ermöglicht daher eine Einbindung lokaler Active-Directory-Umgebungen in der AWS-Cloud. Damit die Verbindung funktioniert, muss das AD über ein VPC mit AWS verbunden sein. Das VPC kann während der Erstellung ebenfalls konfiguriert werden. Die Prüfung der Verbindung findet aber erst nach der Einrichtung statt. Zunächst fragt der Assistent die Daten der Domäne ab, mit der eine Verbindung hergestellt werden soll. Hier sind auch die IP-Adressen der Domänencontroller notwendig, die über VPC erreichbar sind. Im letzten Schritt erstellt der AD-Connector die Verbindung.

(ID:47778416)