问题标签 [aws-directory-services]

嗨，我有 aws CDK 应用程序，它使用 Windows IIS 服务器 EC2 实例创建 EB 应用程序和环境。

我想将 EB 内的这个 EC2 实例加入到我组织的现有 AWS AD 中。

我可以手动形成 aws 控制台

但我想在我的 cdk 代码中做到这一点

我找不到允许我使用现有 AD 域加入 EB EC2 实例的命名空间，

这是我的 CDK 代码 - https://github.com/dhirajkhodade/CDKDotNetWebAppEbPipeline/blob/master/lib/cdk_dot_net_web_app_eb_pipeline-stack.ts

我正在尝试在 Windows 上设置 SSM。我在私有子网中有一个 ASG（绝对 0 互联网访问）。我不能使用 NAT，只能使用 VPC 端点。在实例启动配置中，我有一个 PowerShell 脚本，用于Set-DnsClientServerAddress使实例可以找到并加入 AWS Managed MS AD 服务。我还想设置实例，以便可以使用 SSM 对其进行完全管理。

问题来自 DNS 客户端服务器地址。当我将其设置为匹配 AD 服务的地址时，SSM 将不起作用。当我将 DNS 客户端服务器地址保留为默认值时，SSM 工作但我无法加入 AD。

amazon-ssm-agent.json我尝试通过创建一个文件并在其中设置所有三个端点来强制 SSM 代理使用端点。这允许实例显示在托管实例列表中，但其状态从未改变，pending来自实例内的请求仍然超时。

有谁知道让这些东西同时工作的魔法酱？

编辑1：

我还尝试按照此线程中的说明添加转发，但是我要么缺少某些东西，要么不适用于我的情况： https ://forums.aws.amazon.com/thread.jspa?messageID=919331ܣ

我创建了一个 AWS Managed Microsoft AD，并且我有一个 Windows Server 2019 EC2 实例，我正在尝试启用 AD FS。我已将 EC2 实例加入域，安装了 AD 工具，并且能够使用默认的 AD Admin 用户执行基本的 AD 任务。到现在为止还挺好。

但是，当我尝试配置 AD FS 时，我遇到了这个错误

“提供的凭据不是域管理员。请提供属于域管理员组成员的凭据，然后重试。”

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_admin_account.html

为了对您的目录执行操作管理，AWS 对具有企业管理员和域管理员权限的账户具有独占控制权。这包括对 AD 管理员帐户的独占控制。

那么.....除非我有权访问 AD 管理员帐户，否则我怎么可能启用 AD FS？

我正在尝试使用 AWS Managed AD 设置 LDAPS，但在打开 PKIVIEW 时收到“无法下载”错误。请参阅下面的屏幕截图。

我授予了对存储桶和文件夹的公共访问权限，但如果登录，该 URL 会将我带到存储桶的 S3 存储桶属性选项卡，否则会将我带到 AWS 登录提示。

在尝试使用 AWS Managed AD 设置 LDAPS 时，我已达到 AWS 站点上列出的文档中“步骤 4b：配置企业从属 CA”下的第 10 步。请参阅下面的链接。

https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/

这是第 5 步之前的最后一个操作。

作为记录，我已完全按照本文档中的说明进行设置。RootCA 和 SubordinateCA 都加入了域，并且在同一个安全组和子网中。

任何帮助将不胜感激。

谢谢。

PS。我也在 AWS 论坛上发布了这个问题

我正在尝试使用 boto3 创建一个 AD 连接器，在密码部分中我需要从已创建的机密管理器中检索值。我无法弄清楚我可以传递什么值。

AWS Transfer 系列支持与 AD Connector 的集成 ( https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_app_compatibility.html )。据我了解，连接器部署在 vpn 链接的子网中，允许它们代理对本地 Active Directory 的调用。

当我选择 AD 连接器作为 AWS Transfer 的身份验证器时，究竟会发生什么（在后台创建/更新了哪些资源）？我特别好奇在 VPC 中进行了哪些更改以允许这种集成。

给出如下所示的目录结构，如何列出所有父节点和所有子节点？

目前，当我为 John 使用 listObjectParents 时，它只返回 ITAdmin 不包括 ITStaff

当我在 ITStaff 上使用 listObjectChildren 时，它只会重新调整 ITAdmin，而不包括 John。

我正在使用JavaSDK 获取AmazonCloudDirectory客户端。

我想知道集成 AWS Certificate Manager (ACS) 和 AWS Managed AD 以对用户进行多因素身份验证的可能性；访问 AWS Workspaces 的用户通过安装在其 PC 中的托管 AD 和客户端认证使用 id/passwd 进行身份验证。

具体来说，考虑以下步骤。

1. 使用 ACS 颁发根证书和私有证书
2. 将根证书注册到托管 AD
3. 将客户端证书注册到客户端 PC
4. 客户端访问 Workspaces 服务时，需要验证 id/passwd 和客户端认证

我曾经尝试过集成托管 AD 和 openssl 颁发的证书，并且工作正常。这一次，为了降低运营成本，我正在考虑使用 ACS insted of openssl。

有没有人有在 AWS 环境中集成托管 AD 和 ACM 的经验？

干杯，

将 AWS Directory 服务与企业 Active Directory 结合使用。默认情况下，有两个 DC 可见，但我无法登录它们（从 ec2 机器和外部）。

主要原因是需要从性能监视器启动 Active Directory 诊断。我知道 AD 日志由 Cloud Watch 中的 AWS 处理，但我不清楚那里的性能数据如何可用。

尝试在我的 vpc 中列出 SimpleAD，但不断收到此错误，我对此非常陌生，这是我尝试运行的代码。

这是错误：botocore.exceptions.ClientError：调用DescribeDirectories操作时发生错误（ValidationException）：检测到1个验证错误：'directoryIds'处的值'[string]'未能满足约束：成员必须满足约束：[Member必须满足正则表达式模式：^d-[0-9a-f]{10}$]

我刚刚开始使用 python 和 aws 冒险，所以非常感谢所有帮助。