AWS Directory Service
管理指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

使用公有 IP 地址时添加 IP 路由

可以使用 AWS Directory Service for Microsoft Active Directory 来利用许多强大的 Active Directory 功能,包括与其他目录建立信任关系。但是,如果其他目录网络的 DNS 服务器使用公有 (非 RFC 1918) IP 地址,则必须在配置信任的过程中指定这些 IP 地址。有关执行此操作的说明位于何时创建信任关系

同样,如果 VPC 使用公有 IP 范围,则在将流量从 AWS 上的 AWS Managed Microsoft AD 路由到对等 AWS VPC 时,也必须输入 IP 地址信息。

当您按照何时创建信任关系中所述添加 IP 地址时,您可以选择 Add routes to the security group for this directory's VPC。除非以前自定义了安全组以允许所需流量 (如下所示),否则应选择此选项。有关更多信息,请参阅了解目录的 AWS 安全组配置和使用

此选项为目录的 VPC 配置安全组,如下所示:

入站规则

类型 协议 端口范围
自定义 UDP 规则 UDP 88 0.0.0.0/0
自定义 UDP 规则 UDP 123 0.0.0.0/0
自定义 UDP 规则 UDP 138 0.0.0.0/0
自定义 UDP 规则 UDP 389 0.0.0.0/0
自定义 UDP 规则 UDP 445 0.0.0.0/0
自定义 UDP 规则 UDP 464 0.0.0.0/0
自定义 TCP 规则 TCP 88 0.0.0.0/0
自定义 TCP 规则 TCP 135 0.0.0.0/0
自定义 TCP 规则 TCP 445 0.0.0.0/0
自定义 TCP 规则 TCP 464 0.0.0.0/0
自定义 TCP 规则 TCP 636 0.0.0.0/0
自定义 TCP 规则 TCP 1024-65535 0.0.0.0/0
自定义 TCP 规则 TCP 3268 - 3269 0.0.0.0/0
DNS (UDP) UDP 53 0.0.0.0/0
DNS (TCP) TCP 53 0.0.0.0/0
LDAP TCP 389 0.0.0.0/0
所有 ICMP All 不适用 0.0.0.0/0

出站规则

类型 协议 端口范围 目标
所有流量 全部 全部 0.0.0.0/0

这些安全规则会影响未公开的内部网络接口。