AWS Directory Service
管理指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

步骤 2:准备您的 AWS Managed Microsoft AD

现在我们来为信任关系准备 AWS Managed Microsoft AD。以下许多步骤与刚才为本地域完成的步骤几乎相同。但是,这次是使用的是 AWS Managed Microsoft AD。

配置 VPC 子网和安全组

您必须允许流量从本地网络流向包含 AWS Managed Microsoft AD 的 VPC。为此,您需要确保与子网关联的 ACL 用于部署 AWS Managed Microsoft AD 并确保在您的域控制器上配置安全组规则,二者都允许必需的流量以支持信任。

端口要求因域控制器使用的 Windows Server 版本和将利用信任的服务或应用程序而异。在本教程中,您将需要打开以下端口:

入站

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 身份验证

  • UDP 123 - NTP

  • TCP 135 - RPC

  • UDP 137-138 - Netlogon

  • TCP 139 - Netlogon

  • TCP/UDP 389 - LDAP

  • TCP/UDP 445 - SMB

  • TCP 636 - LDAPS (通过 TLS/SSL 的 LDAP)

  • TCP 873 - Rsync

  • TCP 3268 - 全局目录

  • TCP/UDP 1024-65535 - RPC 的临时端口

出站

  • ALL

注意

这些是连接 VPC 和本地目录所需的最少端口。根据您的特定配置,您可能需要打开其他端口。

配置 AWS Managed Microsoft AD 域控制器出站和入站规则

  1. 返回到 AWS Directory Service console。在目录列表中,请记下您的 AWS Managed Microsoft AD 目录的目录 ID。

  2. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  3. 在导航窗格中,选择 Security Groups

  4. 使用搜索框搜索您的 AWS Managed Microsoft AD 目录 ID。在搜索结果中,选择带 AWS created security group for <yourdirectoryID> directory controllers (AWS 已为 <yourdirectoryID> 目录控制器创建安全组) 说明的项。

    
                                    搜索安全组
  5. 转到该安全组的 Outbound Rules 选项卡。依次选择 EditAdd another rule。对于新规则,输入以下值:

    • Type:ALL Traffic

    • Protocol:ALL

    • Destination 确定可以离开您的域控制器的流量,以及它可以传送到何处。用 CIDR 表示法指定单个 IP 地址或 IP 地址范围 (例如 203.0.113.5/32)。您还可以在同一区域中指定其他安全组的名称或 ID。有关更多信息,请参阅了解目录的 AWS 安全组配置和使用

  6. 选择 Save

    
                                    编辑安全组
  7. 转到同一个安全组的 Inbound Rules 选项卡。依次选择 EditAdd another rule。对于新规则,输入以下值:

    • Type:Custom UDP Rule

    • Protocol:UDP

    • Port Range:445

    • 对于 Source,用 CIDR 表示法指定单个 IP 地址或 IP 地址范围 (例如 203.0.113.5/32)。您还可以在同一区域中指定其他安全组的名称或 ID。此设置确定可以到达您的域控制器的流量。有关更多信息,请参阅了解目录的 AWS 安全组配置和使用

  8. 选择 Save

  9. 重复这些步骤,添加以下每个规则:

    类型 协议 端口范围
    自定义 UDP 规则 UDP 88 指定在上一步中使用的流量。
    自定义 UDP 规则 UDP 123 指定在上一步中使用的流量。
    自定义 UDP 规则 UDP 138 指定在上一步中使用的流量。
    自定义 UDP 规则 UDP 389 指定在上一步中使用的流量。
    自定义 UDP 规则 UDP 464 指定在上一步中使用的流量。
    自定义 TCP 规则 TCP 88 指定在上一步中使用的流量。
    自定义 TCP 规则 TCP 135 指定在上一步中使用的流量。
    自定义 TCP 规则 TCP 445 指定在上一步中使用的流量。
    自定义 TCP 规则 TCP 464 指定在上一步中使用的流量。
    自定义 TCP 规则 TCP 636 指定在上一步中使用的流量。
    自定义 TCP 规则 TCP 1024-65535 指定在上一步中使用的流量。
    自定义 TCP 规则 TCP 3268 - 3269 指定在上一步中使用的流量。
    DNS (UDP) UDP 53 指定在上一步中使用的流量。
    DNS (TCP) TCP 53 指定在上一步中使用的流量。
    LDAP TCP 389 指定在上一步中使用的流量。
    所有 ICMP All 不适用 指定在上一步中使用的流量。
    所有流量 全部 全部 当前安全组 (您的目录的安全组).

确保已启用 Kerberos 预身份验证

现在要确认 AWS Managed Microsoft AD 中的用户还启用了 Kerberos 预身份验证。此过程与针对本地目录完成的过程相同。这是默认设置,但是我们来检查一下以确保未更改任何内容。

查看用户 Kerberos 设置

  1. 使用 管理员账户 或被委派了管理权限的账户登录作为 AWS Managed Microsoft AD 成员的实例。

  2. 如果尚未安装,请安装“Active Directory 用户和计算机”工具和 DNS 工具。可在安装 Active Directory 管理工具中了解如何安装这些工具。

  3. 打开服务器管理器。在 Tools 菜单上,选择 Active Directory Users and Computers

  4. 选择您的域中的 Users 文件夹。请注意,这是您的 NetBIOS 名称下的用户文件夹,而不是全限定域名 (FQDN) 下的用户文件夹。

    
                                        正确的用户文件夹
  5. 在用户列表中,右键单击一名用户,然后选择属性

  6. 选择 Account 选项卡。在 Account options 列表中,确保 选中 Do not require Kerberos preauthentication

下一步

步骤 3:创建信任关系