本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
第 1 步:准备您的AmazonMicrosoft AD 托管的 Microsoft AD
在本部分中,您将获得Amazon为与另一个 AD 建立信任关系准备Amazon管理 Microsoft AD。以下许多步骤与您在中完成的步骤几乎相同。教程:在您之间创建信任关系Amazon托管微软 AD 和你的自我管理的 Active Directory 域. 但是,这次是配置Amazon托管微软 AD 环境以相互协作。
配置 VPC 子网和安全组
你必须允许来自一个人的流量Amazon托管微软 AD 网络连接到包含你的其他人的 VPCAmazon管理 Microsoft AD。为此,您需要确保与子网关联的 ACL 用于部署Amazon在您的域控制器上配置托管的 Microsoft AD 和安全组规则,二者都允许必需的流量以支持信任。
端口要求因域控制器使用的 Windows Server 版本和将利用信任的服务或应用程序而异。在本教程中,您将需要打开以下端口:
入站
TCP/UDP 53 - DNS
TCP/UDP 88 - Kerberos 身份验证
UDP 123 - NTP
TCP 135 - RPC
TCP/UDP 389 - LDAP
TCP/UDP 445 - SMB
注意
不再支持 SMBv1。
-
TCP/UDP 464 - Kerberos 身份验证
TCP 636 - LDAPS (通过 TLS/SSL 的 LDAP)
TCP 3269 - 全局目录
-
TCP/UDP 1024-65535 - RPC 的临时端口
出站
ALL
注意
这些是从两者连接 VPC 所需的最少端口。Amazon管理 Microsoft AD 的。根据您的特定配置,您可能需要打开其他端口。有关更多信息,请参阅 。如何为 Active Directory 域和信任配置防火墙
配置Amazon托管的 Microsoft AD 域控制器出站规则
注意
对每个目录重复以下步骤 1-6。
-
转到 Amazon Directory Service 控制台
。在目录列表中,请记下您的目录 IDAmazon管理 Microsoft AD 目录。 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Security Groups。
-
使用搜索框搜索Amazon托管的 Microsoft AD 目录 ID。在搜索结果中,选择带描述的项Amazon为<yourdirectoryID>目录控制器创建了安全组.
-
转到该安全组的 Outbound Rules 选项卡。依次选择 Edit、Add another rule。对于新规则,输入以下值:
-
类型:所有流量
-
协议:ALL
-
Destination 确定可以离开您的域控制器的流量,以及它可以传送到何处。用 CIDR 表示法指定单个 IP 地址或 IP 地址范围 (例如 203.0.113.5/32)。您还可以在同一区域中指定其他安全组的名称或 ID。有关更多信息,请参阅 了解你的目录Amazon安全组的配置和使用。
-
-
选择 Save。
确保启用 Kerberos 预身份验证
现在要确认用户在Amazon此外,托管的 Microsoft AD 还启用了 Kerberos 预身份验证。此过程与针对本地目录完成的过程相同。这是默认设置,但是我们来检查一下以确保未更改任何内容。
查看用户 kerberos 设置
-
登录作为成员的实例Amazon使用管理员账户用于域或已委派管理域中用户的权限的账户。
-
如果尚未安装,请安装“Active Directory 用户和计算机”工具和 DNS 工具。可在安装活动目录管理工具中了解如何安装这些工具。
-
打开服务器管理器。在 Tools 菜单上,选择 Active Directory Users and Computers。
-
选择您的域中的 Users 文件夹。请注意,这是您的 NetBIOS 名称下的用户文件夹,而不是全限定域名 (FQDN) 下的用户文件夹。
在用户列表中,右键单击一名用户,然后选择属性。
-
选择 Account 选项卡。在 Account options 列表中,确保未 选中 Do not require Kerberos preauthentication。
下一步
第 2 步:创建与另一个信任关系Amazon托管的 Microsoft AD 域