步骤 1:准备 Amazon Managed Microsoft AD - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 1:准备 Amazon Managed Microsoft AD

在本节中,您将使 Amazon Managed Microsoft AD 准备就绪,以便与其他 Amazon Managed Microsoft AD 建立信任关系。以下许多步骤与在 教程:在 Amazon Microsoft AD 与自托管式 Active Directory 域之间创建信任关系 中完成的步骤几乎相同。但是,这一次,您要将 Amazon Managed Microsoft AD 环境配置为相互协作。

配置 VPC 子网和安全组

您必须允许流量从 Amazon Managed Microsoft AD 网络流向包含另一个 Amazon Managed Microsoft AD 的 VPC。为此,您需要确保用于部署 Amazon Managed Microsoft AD 的、与子网关联的 ACL 以及域控制器上配置的安全组规则都允许必需的流量以支持信任。

端口要求因域控制器使用的 Windows Server 版本和将利用信任的服务或应用程序而异。在本教程中,您将需要打开以下端口:

入站

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 身份验证

  • UDP 123 - NTP

  • TCP 135 - RPC

  • TCP/UDP 389 - LDAP

  • TCP/UDP 445 - SMB

    注意

    不再支持 SMBv1。

  • TCP/UDP 464 - Kerberos 身份验证

  • TCP 636 - LDAPS (通过 TLS/SSL 的 LDAP)

  • TCP 3268-3269 – 全局目录

  • TCP/UDP 1024-65535 - RPC 的临时端口

出站

  • ALL

注意

这些是从两个 Amazon Managed Microsoft AD 的目录连接 VPC 所需的最低端口。根据您的特定配置,您可能需要打开其他端口。有关更多信息,请参阅 Microsoft 网站上的 How to configure a firewall for Active Directory domains and trusts

要配置 Amazon Managed Microsoft AD 域控制器出站规则
注意

对每个目录重复下面的步骤 1-6。

  1. 转到 Amazon Directory Service 控制台。在目录列表中,记下 Amazon Managed Microsoft AD 目录的目录 ID。

  2. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  3. 在导航窗格中,选择 Security Groups(安全组)。

  4. 使用搜索框搜索 Amazon Managed Microsoft AD 目录 ID。在搜索结果中,选择带 Amazon created security group for yourdirectoryID directory controllers 描述的项目。

    
                        在 Amazon VPC 控制台中,会突出显示目录控制器安全组的搜索结果。
  5. 转到该安全组的 Outbound Rules 选项卡。依次选择 EditAdd another rule。对于新规则,输入以下值:

    • Type:ALL Traffic

    • Protocol:ALL

    • Destination 确定可以离开您的域控制器的流量,以及它可以传送到何处。用 CIDR 表示法指定单个 IP 地址或 IP 地址范围 (例如 203.0.113.5/32)。您还可以指定同一区域中其他安全组的名称或 ID。有关更多信息,请参阅了解目录 Amazon 的安全组配置并使用

  6. 选择 Save(保存)。

    
                        在 Amazon VPC 控制台中,编辑目录控制器安全组的出站规则。

确保已启用 Kerberos 预身份验证

现在要确认 Amazon Managed Microsoft AD 中的用户还启用了 Kerberos 预身份验证。此过程与针对本地目录完成的过程相同。这是默认设置,但是我们来检查一下以确保未更改任何内容。

要查看用户 Kerberos 设置
  1. 使用域的 管理员账户的权限 或已委托管理域中用户的权限的账户登录作为 Amazon Managed Microsoft AD 目录成员的实例。

  2. 如果尚未安装,请安装“Active Directory 用户和计算机”工具和 DNS 工具。可在安装适用于 Amazon 托管微软 AD 的 Active Directory 管理工具中了解如何安装这些工具。

  3. 打开服务器管理器。在 Tools 菜单上,选择 Active Directory Users and Computers

  4. 选择您的域中的 Users 文件夹。请注意,这是您的 NetBIOS 名称下的用户文件夹,而不是全限定域名 (FQDN) 下的用户文件夹。

    
                                        在 Active Directory 用户和计算机对话框中,突出显示了 “用户” 文件夹。
  5. 在用户列表中,右键单击一名用户,然后选择属性

  6. 选择 Account 选项卡。在 Account options 列表中,确保 选中 Do not require Kerberos preauthentication

下一步

步骤 2:与其他 Amazon Managed Microsoft AD 域创建信任关系