步骤 1:准备 Amazon Managed Microsoft AD - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 1:准备 Amazon Managed Microsoft AD

在本节中,您将准备好您的 Amazon 托管 Microsoft AD 与其他 Amazon 托管 Microsoft AD 建立信任关系。以下许多步骤与在 教程:在 Amazon Microsoft AD 与自托管式 Active Directory 域之间创建信任关系 中完成的步骤几乎相同。但是,这一次,你要将 Amazon 托管 Microsoft AD 环境配置为可以相互协作。

配置 VPC 子网和安全组

您必须允许流量从一个 Amazon 托管的微软 AD 网络流向包含您的另一个 Amazon 托管微软 AD 的 VPC。为此,您需要确保与用于部署 Amazon 托管 Microsoft AD 的子网 ACLs 关联以及域控制器上配置的安全组规则都允许支持信任所需的流量。

端口要求因域控制器使用的 Windows Server 版本和将利用信任的服务或应用程序而异。在本教程中,您将需要打开以下端口:

入站

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 身份验证

  • UDP 123 - NTP

  • TCP 135 - RPC

  • TCP/UDP 389 - LDAP

  • TCP/UDP 445 - SMB

    注意

    SMBv1 不再支持。

  • TCP/UDP 464 - Kerberos 身份验证

  • TCP 636 - LDAPS (通过 TLS/SSL 的 LDAP)

  • TCP 3268-3269 – 全局目录

  • TCP/UDP 1024-65535 - RPC 的临时端口

出站

  • ALL

注意

这些是连接两个 Amazon 托管 Microsoft AD 所需的最低端口。 VPCs 根据您的特定配置,您可能需要打开其他端口。有关更多信息,请参阅 Microsoft 网站上的 How to configure a firewall for Active Directory domains and trusts

配置你的 Amazon 托管 Microsoft AD 域控制器出站规则
注意

对每个目录重复下面的步骤 1-6。

  1. 转到 Amazon Directory Service 控制台。在目录列表中,记下你的 Microsoft AD Amazon 托管目录的目录 ID。

  2. 打开位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

  3. 在导航窗格中,选择安全组

  4. 使用搜索框搜索你的 Amazon 托管 Microsoft AD 目录 ID。在搜索结果中,选择带 Amazon created security group for yourdirectoryID directory controllers 描述的项目。

    在 Amazon VPC 控制台中,会突出显示目录控制器安全组的搜索结果。
  5. 转到该安全组的 Outbound Rules 选项卡。依次选择 EditAdd another rule。对于新规则,输入以下值:

    • Type:ALL Traffic

    • Protocol:ALL

    • Destination 确定可以离开您的域控制器的流量,以及它可以传送到何处。用 CIDR 表示法指定单个 IP 地址或 IP 地址范围 (例如 203.0.113.5/32)。您还可以指定同一区域中其他安全组的名称或 ID。有关更多信息,请参阅 了解目录 Amazon 的安全组配置并使用

  6. 选择保存

    在 Amazon VPC 控制台中,编辑目录控制器安全组的出站规则。

确保已启用 Kerberos 预身份验证

现在,你要确认你的 Amazon 托管 Microsoft AD 中的用户是否也启用了 Kerberos 预身份验证。此过程与针对本地目录完成的过程相同。这是默认设置,但是我们来检查一下以确保未更改任何内容。

要查看用户 Kerberos 设置
  1. 使用域名或已被委派 Amazon 管理域中用户的权限的账户,登录属于托管 Microsoft AD 目录成员的实例。Amazon 托管微软 AD 管理员账户权限

  2. 如果尚未安装,请安装“Active Directory 用户和计算机”工具和 DNS 工具。可在为托管的 Microsoft AD 安装活动目录 Amazon 管理工具中了解如何安装这些工具。

  3. 打开服务器管理器。在 Tools 菜单上,选择 Active Directory Users and Computers

  4. 选择您的域中的 Users 文件夹。请注意,这是您的 NetBIOS 名称下的用户文件夹,而不是全限定域名 (FQDN) 下的用户文件夹。

    在 Active Directory “用户和计算机” 对话框中,突出显示 “用户” 文件夹。
  5. 在用户列表中,右键单击一名用户,然后选择属性

  6. 选择 Account 选项卡。在 Account options 列表中,确保 选中 Do not require Kerberos preauthentication

下一步

第 2 步:与其他 Amazon 托管 Microsoft AD 域建立信任关系