TechTarget

Melpomene - Fotolia

Ratgeber

AWS Simple AD: Active-Directory mit Samba 4 in der Cloud

Simple AWS AD Directory ermöglicht den Aufbau eines Active Directory in AWS auf Basis von Linux und Samba 4. Das Verzeichnis ist kompatibel mit EC2 oder AWS Workspaces.

Thomas Joos
von
Zuletzt aktualisiert:21 Okt. 2022

Amazon stellt in AWS neben dem AWS Directory Service auch eine günstigere Version auf Basis von Linux und Samba 4 zur Verfügung – allerdings mit einem reduzierten Funktionsumfang. Für den Aufbau dieses Verzeichnisses brauchen Sie kein Windows und erledigen die Verwaltung mit Standardtools. Vor der Bereitstellung einer Simple AD-Instanz sollten Sie zunächst überprüfen, ob Sie die Voraussetzungen für den Betrieb von Simple AD erfüllen.

Viele der gewohnten Funktionen wie Gruppenrichtlinien und Kerberos sind verfügbar. Allerdings lassen sich Multifaktor-Authentifizieung und PowerShell nicht nutzen und einige AD-abhängige Dienste in AWS unterstützen Simple AD nicht, darunter auch Vertrauensstellungen. Sie sollten daher vorab klären, ob Simple AD alle Funktionen bereithält, die Sie benötigen. Dazu kommt, dass der Dienst nicht in allen AWS-Regionen zur Verfügung steht.

Ein neues Verzeichnis mit Simple AD erstellen

In der Verwaltungskonsole von AWS erstellen Sie eine Simple-AD-Instanz in wenigen Minuten, inklusive einer eigenen VPC und zwei Subnetzen. Die grundlegende Architektur bilden zwei Linux-Server, die mit Samba 4 als Domänencontroller zum Einsatz kommen.

Für verschiedene Einsatzgebiete können Sie mehrere Verzeichnisse parallel führen, auch zeitgleich mit AWS-Directory-Service-Instanzen. Sobald Sie ein Verzeichnis in der jeweiligen Region erstellt haben, finden Sie es in der AWS-Konsole. Klicken Sie auf die ID unter Netzwerk und Sicherheit, um verschiedene Optionen zu sehen, darunter auch das Zurücksetzen des Administrator-Benutzers sowie das Löschen des Verzeichnisses.

Abbildung 1: Die Verzeichnisinstanz in der Detailansicht von AWS Simple AD.
Abbildung 1: Die Verzeichnisinstanz in der Detailansicht von AWS Simple AD.

Simple AD-Instanz warten und überwachen

In der AWS-Konsole regeln Sie im Menüpunkt Wartung die Überwachung von einzelnen Verzeichnissen. Mit Benachrichtigung erstellen legen Admins fest, dass das System bei Problemen oder Anpassungen des Verzeichnisses eine E-Mail an bestimmte Benutzer sendet. Nun erhalten Sie automatisch eine E-Mail an die gewünschte Adresse, um die Überwachung per E-Mail zu aktivieren.

Abbildung 2: Konfigurieren von Benachrichtigungen für AWS Simple AD.
Abbildung 2: Konfigurieren von Benachrichtigungen für AWS Simple AD.

Im selben Dialog entfernen Sie außerdem den für die Überwachung hinterlegten Benutzer. Mit der Schaltfläche Snapshot erstellen speichern Sie in Simple AD bis zu fünf manuelle Snapshots des Verzeichnisses. Bei jedem weiteren Snapshot müssen Sie einen älteren wieder entfernen.

Abbildung 3: Erstellen Sie einen Snapshot, aus dem Sie Ihr Verzeichnis wiederherstellen können.
Abbildung 3: Erstellen Sie einen Snapshot, aus dem Sie Ihr Verzeichnis wiederherstellen können.

Das Erstellen eines Snapshots dauert wenige Minuten. Sie finden ihn anschließend unter Wartung in den Einstellungen der Instanz, wo Sie Ihre Snapshots weiter verwalten. Mit Snapshot wiederherstellen setzen Sie eine Simple-AD-Instanz auf den vorherigen Zustand mit allen zugehörigen Einstellungen zurück. Während dieses Vorgangs ist die Instanz bis zu zwei Stunden nicht verfügbar.

Sie sollten außerdem die Funktionen nutzen, um den Snapshots einheitliche, aussagekräftige Namen zu geben. Das Löschen eines Snapshots beeinträchtig eine Simple AD-Instanz nicht und dauert nur wenige Sekunden.

Sie entfernen die komplette Instanz mit Verzeichnis löschen in den Einstellungen der jeweiligen Instanz aus dem AWS-Abonnement. Nach dem Löschen der Instanz sollten Sie prüfen, dass es keine weiteren Objekte im AWS-Abonnement gibt, die Sie versehentlich erstellt haben. Löschen Sie manuell alles, was Sie nicht benötigen. Das spart unnötige Kosten.

Abbildung 4: Warten einer Simple AD-Instanz in der AWS-Konsole.
Abbildung 4: Warten einer Simple AD-Instanz in der AWS-Konsole.

Simple AD-Instanz für AWS-Dienste nutzen

Wenn im AWS-Abonnement Dienste Zugriff auf Active Directory benötigen, kann der NetBios oder der DNS-Name der Simple-AD-Domäne dazu dienen, den Computer oder den Dienst an die Domäne anzubinden. Das funktioniert genauso wie bei Active Directory auf Basis von Windows-Servern. Auch die Verwaltung mit Active Directory-Benutzer und -Computer ist problemlos möglich, genauso wie das Einbinden von EC2-Instanzen oder AWS-Workspaces in die Umgebung. Das Anlegen von Benutzern und Gruppen funktioniert genauso, mit dem Unterschied, dass Sie weder PowerShell noch das Active Directory Administrative Center verwenden.

Beim Erstellen von neuen Ressourcen, zum Beispiel einer EC2-Instanz können Sie als Verzeichnis bei Domänen-Verbindungsverzeichnis ebenfalls das Simple AD-Verzeichnis ohne Zusatz-Tools nutzen.

Abbildung 5: Aufnehmen von neuen Computern auf Basis von EC2 in die Simple AD-Domäne.
Abbildung 5: Aufnehmen von neuen Computern auf Basis von EC2 in die Simple AD-Domäne.

Fazit

Simple AD ist eine schnelle und einfache Möglichkeit, um in AWS eine Active Directory-Instanz zu verwenden. Die Bereitstellung ist schnell abgeschlossen und der Dienst ist mit einigen AWS-Diensten kompatibel. Für EC2 und Workspaces ist AWS Simple AD durchaus brauchbar, da Sie Gruppenrichtlinien wie in Windows anwenden.

Erfahren Sie mehr über Cloud Computing

ComputerWeekly.de
Close