我创建了一个 AWS Managed Microsoft AD,并且我有一个 Windows Server 2019 EC2 实例,我正在尝试启用 AD FS。我已将 EC2 实例加入域,安装了 AD 工具,并且能够使用默认的 AD Admin 用户执行基本的 AD 任务。到现在为止还挺好。
但是,当我尝试配置 AD FS 时,我遇到了这个错误
“提供的凭据不是域管理员。请提供属于域管理员组成员的凭据,然后重试。”
为了对您的目录执行操作管理,AWS 对具有企业管理员和域管理员权限的账户具有独占控制权。这包括对 AD 管理员帐户的独占控制。
那么.....除非我有权访问 AD 管理员帐户,否则我怎么可能启用 AD FS?
你不能。
当您安装 ADFS 时,它会搜索可用的 DC 并将许多条目写入 AD。
为此,它需要域管理员。
您不需要域管理员。运行 ADFS。它可以使用服务帐户。
这是 AWS Directory Service 的一个真正可悲的限制,直到令人惊讶的是,AWS 自己在他们的一篇博文中提出了一种在 AWS Managed Directory Service 上安装 AD FS 的巧妙方法:https ://aws.amazon.com/blogs/security/如何启用-您的用户-访问-office-365-with-aws-microsoft-active-directory-credentials/
博客文章的意思是,您可以为 AD FS 创建一个自定义容器,然后让 AD FS 服务使用它(而不是默认容器,因为您没有对整个域的完全管理员权限,所以默认容器不可用)。
我不会在这里提供配方,因为它在上面引用的文章中有很好的描述。