Step 2: Prepare your AWS Managed Microsoft AD - AWS Directory Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Step 2: Prepare your AWS Managed Microsoft AD

现在我们来为信任关系准备 AWS Managed Microsoft AD 以下许多步骤与刚才为本地域完成的步骤几乎相同。但是,这次是使用的是 AWS Managed Microsoft AD.

Configure your VPC subnets and security groups

您必须允许流量从本地网络流向包含 的 VPC。AWS Managed Microsoft AD. To do this, you will need to make sure that the ACLs associated with the subnets used to deploy your AWS Managed Microsoft AD and the security group rules configured on your domain controllers, both allow the requisite traffic to support trusts.

端口要求因域控制器使用的 Windows Server 版本和将利用信任的服务或应用程序而异。在本教程中,您将需要打开以下端口:

入站

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 身份验证

  • UDP 123 - NTP

  • TCP 135 - RPC

  • UDP 137-138 - Netlogon

  • TCP 139 - Netlogon

  • TCP/UDP 389 - LDAP

  • TCP/UDP 445 - SMB

    注意

    SMBv1 is no longer supported.

  • TCP/UDP 464 - Kerberos 身份验证

  • TCP 636 - LDAPS (通过 TLS/SSL 的 LDAP)

  • TCP 873 - Rsync

  • TCP 3269 - 全局目录

  • TCP/UDP 1024-65535 - RPC 的临时端口

  • ICMP All

出站

  • ALL

注意

这些是连接 VPC 和本地目录所需的最少端口。根据您的特定配置,您可能需要打开其他端口。

配置 AWS Managed Microsoft AD 域控制器出站和入站规则

  1. 返回到 AWS Directory Service console. 在目录列表中,请记下您的 AWS Managed Microsoft AD 目录的目录 ID。

  2. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  3. 在导航窗格中,选择 Security Groups.

  4. 使用搜索框搜索您的 AWS Managed Microsoft AD 目录 ID。In the search results, select the item with the description AWS created security group for <yourdirectoryID> directory controllers.

    
                                    搜索安全组
  5. Go to the Outbound Rules tab for that security group. 依次选择 EditAdd another rule. 对于新规则,输入以下值:

    • Type:ALL Traffic

    • Protocol:ALL

    • Destination 确定可以离开您的域控制器的流量,以及它可以传送到何处。用 CIDR 表示法指定单个 IP 地址或 IP 地址范围 (例如 203.0.113.5/32)。You can also specify the name or ID of another security group in the same Region. 有关更多信息,请参阅 了解目录的 AWS 安全组配置和使用.

  6. 选择 Save.

    
                                    编辑安全组
  7. Go to the Inbound Rules tab for that same security group. 依次选择 EditAdd another rule. 对于新规则,输入以下值:

    • Type:Custom UDP Rule

    • Protocol:UDP

    • Port Range: 445

    • For Source, specify a single IP address, or an IP address range in CIDR notation (for example, 203.0.113.5/32). You can also specify the name or ID of another security group in the same Region. 此设置确定可以到达您的域控制器的流量。有关更多信息,请参阅 了解目录的 AWS 安全组配置和使用.

  8. 选择 Save.

  9. 重复步骤 7 和步骤 8,添加以下每个规则:

    Type 协议 端口范围
    自定义 UDP 规则 UDP 88 Specify the Source traffic used in the previous step.
    自定义 UDP 规则 UDP 123 Specify the Source traffic used in the previous step.
    自定义 UDP 规则 UDP 138 Specify the Source traffic used in the previous step.
    自定义 UDP 规则 UDP 389 Specify the Source traffic used in the previous step.
    自定义 UDP 规则 UDP 464 Specify the Source traffic used in the previous step.
    自定义 TCP 规则 TCP 88 Specify the Source traffic used in the previous step.
    自定义 TCP 规则 TCP 135 Specify the Source traffic used in the previous step.
    自定义 TCP 规则 TCP 445 Specify the Source traffic used in the previous step.
    自定义 TCP 规则 TCP 464 Specify the Source traffic used in the previous step.
    自定义 TCP 规则 TCP 636 Specify the Source traffic used in the previous step.
    自定义 TCP 规则 TCP 1024-65535 Specify the Source traffic used in the previous step.
    自定义 TCP 规则 TCP 3268 - 3269 Specify the Source traffic used in the previous step.
    DNS (UDP) UDP 53 Specify the Source traffic used in the previous step.
    DNS (TCP) TCP 53 Specify the Source traffic used in the previous step.
    LDAP TCP 389 Specify the Source traffic used in the previous step.
    所有 ICMP 全部 不适用 Specify the Source traffic used in the previous step.
    所有流量 全部 全部 当前安全组 (您的目录的安全组).

Ensure that Kerberos pre-authentication is enabled

现在要确认 AWS Managed Microsoft AD 中的用户还启用了 Kerberos 预身份验证。此过程与针对本地目录完成的过程相同。这是默认设置,但是我们来检查一下以确保未更改任何内容。

To view user kerberos settings

  1. 使用域的AWS Managed Microsoft AD或已委派管理域中用户的权限的账户登录作为 管理员账户 目录成员的实例。

  2. 如果尚未安装,请安装“Active Directory 用户和计算机”工具和 DNS 工具。可在中了解如何安装这些工具。安装 Active Directory 管理工具.

  3. 打开服务器管理器。在 Tools 菜单上,选择 Active Directory Users and Computers.

  4. Choose the Users folder in your domain. Note that this is the Users folder under your NetBIOS name, not the Users folder under the fully qualified domain name (FQDN).

    
                                        正确的用户文件夹
  5. 在用户列表中,右键单击一名用户,然后选择属性.

  6. Choose the Account tab. In the Account options list, ensure that Do not require Kerberos preauthentication is not checked.

下一步

Step 3: Create the trust relationship