问题描述
我已经创建了一个AWS Managed Microsoft AD,并且我有一个Windows Server 2019 EC2实例,我正在其中尝试启用AD FS。我已将EC2实例加入域,安装了AD工具,并能够使用默认的AD Admin用户执行基本的AD任务。到目前为止一切顺利。
但是,当我尝试配置AD FS时,却卡在了这个错误中
看一下AWS文档,我发现了这一点。
所以.....除非我有权访问AD管理员帐户,否则如何启用AD FS?
解决方法
你不能。
在安装ADFS时,它会搜索可用的DC并将大量条目写入AD。
为此,需要域管理员。
您不需要域管理员。运行ADFS。它可以使用服务帐户。
,这是 AWS Directory Service 的一个真正可悲的限制,直到令人惊讶的是,AWS 自己在他们的一篇博文中提出了一种在 AWS Managed Directory Service 上安装 AD FS 的巧妙方法:https://aws.amazon.com/blogs/security/how-to-enable-your-users-to-access-office-365-with-aws-microsoft-active-directory-credentials/
博文所说的是,您可以为 AD FS 创建一个自定义容器,然后让 AD FS 服务使用它(而不是默认容器,因为您没有对整个容器的完全管理员权限,因此该容器不可用)域)。
我不会在这里提供配方,因为它在上面引用的文章中有很好的描述。