Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erste Schritte mit AWS Managed Microsoft AD
AWS Managed Microsoft AD erstellt ein vollständig verwaltetes System, Microsoft Active Directory das von Windows Server 2019 unterstützt wird AWS Cloud und auf den Funktionsebenen Gesamtstruktur und Domäne von 2016 ausgeführt wird. Wenn Sie ein Verzeichnis mit AWS Managed Microsoft AD erstellen, Directory Service erstellt zwei Domänencontroller und fügt den DNS-Dienst in Ihrem Namen hinzu. Die Domain-Controller werden in verschiedenen Subnetzen in einer Amazon VPC erstellt. Durch diese Redundanz wird sichergestellt, dass Ihr Verzeichnis auch bei einem Ausfall zugänglich bleibt. Wenn Sie weitere Domain-Controller benötigen, können Sie diese später hinzufügen. Weitere Informationen finden Sie unter [Bereitstellung zusätzlicher Domänencontroller für Ihr AWS verwaltetes Microsoft AD](ms_ad_deploy_additional_dcs.md).
Eine Demo und einen Überblick über AWS Managed Microsoft AD finden Sie im folgenden YouTube Video.
[](http://www.youtube.com/watch?v=MdkhobcciX8?si=o0HpdeTIDwK3YWla)
**Topics**
+ [Voraussetzungen für die Erstellung eines AWS verwalteten Microsoft AD](#ms_ad_getting_started_prereqs)
+ [AWS IAM Identity Center Voraussetzungen](#prereq_aws_sso_ms_ad)
+ [Voraussetzungen für Multifaktor-Authentifizierung](#prereq_mfa_ad)
+ [Ihr AWS verwaltetes Microsoft AD erstellen](#ms_ad_getting_started_create_directory)
+ [Was wird mit Ihrem AWS Managed Microsoft AD erstellt](ms_ad_getting_started_what_gets_created.md)
+ [AWS Verwaltetes Microsoft AD-Administratorkonto und Gruppenberechtigungen](ms_ad_getting_started_admin_account.md)
## Voraussetzungen für die Erstellung eines AWS verwalteten Microsoft AD
Um ein AWS verwaltetes Microsoft AD Active Directory zu erstellen, benötigen Sie eine Amazon-VPC mit den folgenden Komponenten:
+ Mindestens zwei Subnetze. Jedes der Subnetze muss sich in einer anderen Availability Zone befinden und denselben Netzwerktyp haben.
Sie können es IPv6 für Ihre VPC verwenden. Weitere Informationen finden Sie unter [IPv6 Support für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*.
+ Die VPC muss über Standard-Hardware-Tenancy verfügen.
+ Sie können kein AWS verwaltetes Microsoft AD in einer VPC mithilfe von Adressen im 198.18.0.0/15-Adressraum erstellen.
Wenn Sie Ihre AWS verwaltete Microsoft AD-Domäne in eine bestehende lokale Active Directory-Domäne integrieren müssen, müssen Sie die Funktionsebenen Gesamtstruktur und Domäne für Ihre lokale Domäne auf Windows Server 2003 oder höher einstellen.
Directory Service verwendet eine Struktur mit zwei VPCs. Die EC2-Instances, aus denen Ihr Verzeichnis besteht, laufen außerhalb Ihres AWS Kontos und werden von verwaltet. AWS Sie haben zwei Netzwerkadapter `ETH0` und `ETH1`. `ETH0` ist der Verwaltungsadapter und existiert außerhalb Ihres Kontos. `ETH1` wird in Ihrem Konto erstellt.
Der Verwaltungs-IP-Bereich des ETH0 Netzwerks Ihres Verzeichnisses ist 198.18.0.0/15.
Ein Tutorial zum Erstellen der AWS Umgebung und von AWS Managed Microsoft AD finden Sie unter[AWS Tutorials für verwaltete Microsoft AD-Testlabore](ms_ad_tutorial_test_lab.md).
## AWS IAM Identity Center Voraussetzungen
Wenn Sie planen, IAM Identity Center mit AWS Managed Microsoft AD zu verwenden, müssen Sie sicherstellen, dass Folgendes zutrifft:
+ Ihr AWS verwaltetes Microsoft AD-Verzeichnis ist im Verwaltungskonto Ihrer AWS Organisation eingerichtet.
+ Ihre Instanz von IAM Identity Center befindet sich in derselben Region, in der Ihr AWS Managed Microsoft AD-Verzeichnis eingerichtet ist.
Weitere Informationen finden Sie unter [Voraussetzungen für IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html) im *AWS IAM Identity Center Benutzerhandbuch*.
## Voraussetzungen für Multifaktor-Authentifizierung
Um die Multi-Faktor-Authentifizierung mit Ihrem AWS verwalteten Microsoft AD-Verzeichnis zu unterstützen, müssen Sie entweder Ihren lokalen oder cloudbasierten RADIUS-Server ([Remote Authentication Dial-In User Service](https://en.wikipedia.org/wiki/RADIUS)) wie folgt konfigurieren, damit er Anfragen von Ihrem AWS verwalteten Microsoft AD-Verzeichnis annehmen kann. AWS
1. Erstellen Sie auf Ihrem RADIUS-Server zwei RADIUS-Clients, die beide AWS verwalteten Microsoft AD-Domänencontroller (DCs) in repräsentieren AWS. Sie müssen beide Clients mit den folgenden allgemeinen Parametern konfigurieren (Ihr RADIUS-Server kann abweichen):
+ **Adresse (DNS oder IP)**: Dies ist die DNS-Adresse für eines der AWS verwalteten Microsoft AD DCs. Beide DNS-Adressen befinden sich in der AWS Directory Service Console auf der **Detailseite** des AWS verwalteten Microsoft AD-Verzeichnisses, in dem Sie MFA verwenden möchten. Die angezeigten DNS-Adressen stellen die IP-Adressen für beide AWS verwalteten Microsoft AD dar DCs , die von verwendet werden AWS.
**Anmerkung**
Wenn Ihr RADIUS-Server DNS-Adressen unterstützt, müssen Sie nur eine RADIUS-Client-Konfiguration erstellen. Andernfalls müssen Sie für jedes AWS verwaltete Microsoft AD DC eine RADIUS-Clientkonfiguration erstellen.
+ **Portnummer**: Konfigurieren Sie die Portnummer, für die Ihr RADIUS-Server RADIUS-Client-Verbindungen akzeptiert. Der Standard-RADIUS-Port ist 1812.
+ **Gemeinsamer geheimer Schlüssel**: Geben Sie einen gemeinsamen geheimen Schlüssel ein oder generieren sie einen, der vom RADIUS-Server für die Verbindung mit RADIUS-Clients verwendet wird.
+ **Protokoll**: Möglicherweise müssen Sie das Authentifizierungsprotokoll zwischen dem AWS Managed Microsoft AD DCs und dem RADIUS-Server konfigurieren. Die unterstützten Protokolle sind PAP, CHAP MS- und MS CHAPv1 -. CHAPv2 MS- CHAPv2 wird empfohlen, da es die stärkste Sicherheit der drei Optionen bietet.
+ **Anwendungs-Name**: Dies kann optional in einigen RADIUS-Servern sein, und bestimmt in der Regel die Anwendung in Nachrichten oder Berichten.
1. Konfigurieren Sie Ihr vorhandenes Netzwerk so, dass eingehender Verkehr von den RADIUS-Clients (AWS verwaltete Microsoft DCs AD-DNS-Adressen, siehe Schritt 1) zu Ihrem RADIUS-Serverport zugelassen wird.
1. Fügen Sie der Amazon EC2-Sicherheitsgruppe in Ihrer AWS verwalteten Microsoft AD-Domain eine Regel hinzu, die eingehenden Datenverkehr von der zuvor definierten DNS-Adresse und Portnummer des RADIUS-Servers zulässt. Weitere Informationen finden Sie unter [Hinzufügen von Regeln zu einer Sicherheitsgruppe](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule) im *EC2-Benutzerhandbuch*.
Weitere Informationen zur Verwendung von AWS Managed Microsoft AD mit MFA finden Sie unter[Aktivierung der Multi-Faktor-Authentifizierung für AWS Managed Microsoft AD](ms_ad_mfa.md).
## Ihr AWS verwaltetes Microsoft AD erstellen
Gehen Sie wie folgt vor, um ein neues AWS verwaltetes Microsoft AD Active Directory zu erstellen. Bevor Sie dieses Verfahren beginnen, stellen Sie sicher, dass Sie die in [Voraussetzungen für die Erstellung eines AWS verwalteten Microsoft AD](#ms_ad_getting_started_prereqs) angegebenen Voraussetzungen erfüllt haben.
**So erstellen Sie ein AWS verwaltetes Microsoft AD**
1. Wählen Sie im Navigationsbereich [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/) den Eintrag **Verzeichnisse** und wählen Sie **Verzeichnis einrichten** aus.
1. Wählen Sie auf der Seite **Verzeichnistyp auswählen** die Option **AWS Managed Microsoft AD** aus und klicken Sie dann auf **Weiter**.
1. Geben Sie auf der Seite **Enter directory information (Verzeichnisinformationen eingeben)** die folgenden Informationen ein:
**Edition**
Wählen Sie zwischen der **Standard Edition** oder der **Enterprise Edition** von AWS Managed Microsoft AD. Weitere Informationen zu Editionen finden Sie unter [AWS Directory Service für Microsoft Active Directory](what_is.md#microsoftad).
**DNS-Name des Verzeichnisses**
Den vollständig qualifizierten Namen für das Verzeichnis, z. B. `corp.example.com`.
Wenn Sie Amazon Route 53 für DNS verwenden möchten, muss sich der Domainname Ihres AWS Managed Microsoft AD von Ihrem Route 53-Domainnamen unterscheiden. Probleme mit der DNS-Auflösung können auftreten, wenn Route 53 und AWS Managed Microsoft AD denselben Domainnamen verwenden.
**NetBIOS-Name des Verzeichnisses**
Die kurzen Namen für das Verzeichnis, z. B. `CORP`.
**Verzeichnisbeschreibung**
Eine optionale Beschreibung des Verzeichnisses. Diese Beschreibung kann nach der Erstellung Ihres AWS Managed Microsoft AD geändert werden.
**Administratorpasswort**
Das Passwort für den Verzeichnisadministrator. Mit der Verzeichniserstellung wird ein Administratorkonto mit dem Benutzernamen `Admin` und diesem Passwort angelegt. Sie können das Admin-Passwort ändern, nachdem Sie Ihr AWS Managed Microsoft AD erstellt haben.
Das Passwort darf das Wort „admin“ nicht beinhalten.
Das Verzeichnisadministrator-Passwort unterscheidet zwischen Groß-/ Kleinschreibung und muss zwischen 8 und 64 Zeichen lang sein. Zudem muss es mindestens ein Zeichen aus dreien der vier folgenden Kategorien enthalten:
+ Kleinbuchstaben (a – z)
+ Großbuchstaben (A – Z)
+ Zahlen (0 – 9)
+ Nicht-alphanumerische Zeichen (\~\!@\#$%^&\*\_-\+=`\|\\(){}[]:;"'<>,.?/)
**Confirm password (Passwort bestätigen)**
Geben Sie das Administratorpasswort erneut ein.
**(Optional) Benutzer- und Gruppenverwaltung**
Um die AWS verwaltete Microsoft AD-Benutzer- und Gruppenverwaltung von zu aktivieren AWS-Managementkonsole, wählen Sie **Benutzer- und Gruppenverwaltung verwalten in der AWS-Managementkonsole**. Weitere Informationen zur Verwendung der Benutzer- und Gruppenverwaltung finden Sie unter[AWS Verwaltete Microsoft AD-Benutzer und -Gruppen mit dem AWS-Managementkonsole, AWS CLI, oder verwalten AWS -Tools für PowerShell](ms_ad_manage_users_groups_procedures.md).
1. Geben Sie auf der Seite **Choose VPC and subnets (VPC und Subnetze wählen)** die folgenden Informationen an und wählen Sie dann **Next (Weiter)**.
**VPC**
Wählen Sie die VPC für das Verzeichnis aus.
**Netzwerktyp**
Das Internet Protocol (IP) -Adressierungssystem, das mit Ihrer VPC und Ihren Subnetzen verknüpft ist.
Wählen Sie den CIDR-Block aus, der Ihrer vorhandenen VPC zugeordnet ist. Ressourcen in Ihrem Subnetz können so konfiguriert werden, dass sie IPv4 nur, IPv6 nur oder beides verwenden IPv6 ( IPv4 Dual-Stack). Weitere Informationen finden Sie unter [Compare IPv4 und IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/ipv4-ipv6-comparison.html) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*.
**Subnets**
Wählen Sie die Subnetze für die Domain-Controller aus. Die beiden Subnetze müssen zu verschiedenen Availability-Zonen gehören.
1. Überprüfen Sie auf der Seite **Review & create (Überprüfen und erstellen)** die Verzeichnisinformationen und nehmen Sie gegebenenfalls Änderungen vor. Wenn die Informationen richtig sind, wählen Sie **Create directory (Verzeichnis erstellen)**. Das Erstellen des Verzeichnisses dauert 20 bis 40 Minuten. Sobald sie erstellt wurden, ändert sich der **Status** in **Active**.
Weitere Informationen darüber, was mit Ihrem AWS Managed Microsoft AD erstellt wird, finden Sie im Folgenden:
+ [Was wird mit Ihrem AWS Managed Microsoft AD erstellt](ms_ad_getting_started_what_gets_created.md)
+ [AWS Verwaltetes Microsoft AD-Administratorkonto und Gruppenberechtigungen](ms_ad_getting_started_admin_account.md)
**Verwandte Blogartikel zum Thema AWS Sicherheit**
+ [So delegieren Sie die Verwaltung Ihres AWS verwalteten Microsoft AD-Verzeichnisses an Ihre lokalen Active Directory-Benutzer](https://aws.amazon.com/blogs/security/how-to-delegate-administration-of-your-aws-managed-microsoft-ad-directory-to-your-on-premises-active-directory-users/)
+ [So konfigurieren Sie mit AWS Managed Microsoft AD noch strengere Kennwortrichtlinien, um Ihre Sicherheitsstandards zu erfüllen Directory Service](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
+ [So erhöhen Sie die Redundanz und Leistung Ihres Directory Service for AWS Managed Microsoft AD durch Hinzufügen von Domain-Controllern](https://aws.amazon.com/blogs/security/how-to-increase-the-redundancy-and-performance-of-your-aws-directory-service-for-microsoft-ad-directory-by-adding-domain-controllers/)
+ [So aktivieren Sie die Verwendung von Remote-Desktops, indem Sie den Microsoft Remote Desktop Licensing Manager auf AWS Managed Microsoft AD bereitstellen](https://aws.amazon.com/blogs/security/how-to-enable-the-use-of-remote-desktops-by-deploying-microsoft-remote-desktop-licensing-manager-on-aws-microsoft-ad/)
+ [So greifen AWS-Managementkonsole Sie mithilfe von AWS Managed Microsoft AD und Ihren lokalen Anmeldeinformationen auf](https://aws.amazon.com/blogs/security/how-to-access-the-aws-management-console-using-aws-microsoft-ad-and-your-on-premises-credentials/)
+ [So aktivieren Sie die Multi-Faktor-Authentifizierung für AWS Dienste mithilfe von AWS Managed Microsoft AD und lokalen Anmeldeinformationen](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/)
+ [Wie können Sie sich mithilfe Ihres lokalen Active Directory ganz einfach bei AWS Diensten anmelden](https://aws.amazon.com/blogs/security/how-to-easily-log-on-to-aws-services-by-using-your-on-premises-active-directory/)