第 1 步:准备您的AmazonMicrosoft AD 托管的 Microsoft AD - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 1 步:准备您的AmazonMicrosoft AD 托管的 Microsoft AD

在本部分中,您将获得Amazon为与另一个 AD 建立信任关系准备Amazon管理 Microsoft AD。以下许多步骤与您在中完成的步骤几乎相同。教程:在您之间创建信任关系Amazon托管微软 AD 和你的自我管理的 Active Directory 域. 但是,这次是配置Amazon托管微软 AD 环境以相互协作。

配置 VPC 子网和安全组

你必须允许来自一个人的流量Amazon托管微软 AD 网络连接到包含你的其他人的 VPCAmazon管理 Microsoft AD。为此,您需要确保与子网关联的 ACL 用于部署Amazon在您的域控制器上配置托管的 Microsoft AD 和安全组规则,二者都允许必需的流量以支持信任。

端口要求因域控制器使用的 Windows Server 版本和将利用信任的服务或应用程序而异。在本教程中,您将需要打开以下端口:

入站

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 身份验证

  • UDP 123 - NTP

  • TCP 135 - RPC

  • TCP/UDP 389 - LDAP

  • TCP/UDP 445 - SMB

    注意

    不再支持 SMBv1。

  • TCP/UDP 464 - Kerberos 身份验证

  • TCP 636 - LDAPS (通过 TLS/SSL 的 LDAP)

  • TCP 3269 - 全局目录

  • TCP/UDP 1024-65535 - RPC 的临时端口

出站

  • ALL

注意

这些是从两者连接 VPC 所需的最少端口。Amazon管理 Microsoft AD 的。根据您的特定配置,您可能需要打开其他端口。有关更多信息,请参阅 。如何为 Active Directory 域和信任配置防火墙在微软的网站上。

配置Amazon托管的 Microsoft AD 域控制器出站规则
注意

对每个目录重复以下步骤 1-6。

  1. 转到 Amazon Directory Service 控制台。在目录列表中,请记下您的目录 IDAmazon管理 Microsoft AD 目录。

  2. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  3. 在导航窗格中,选择 Security Groups

  4. 使用搜索框搜索Amazon托管的 Microsoft AD 目录 ID。在搜索结果中,选择带描述的项Amazon为<yourdirectoryID>目录控制器创建了安全组.

    
                        搜索安全组
  5. 转到该安全组的 Outbound Rules 选项卡。依次选择 EditAdd another rule。对于新规则,输入以下值:

    • 类型:所有流量

    • 协议:ALL

    • Destination 确定可以离开您的域控制器的流量,以及它可以传送到何处。用 CIDR 表示法指定单个 IP 地址或 IP 地址范围 (例如 203.0.113.5/32)。您还可以在同一区域中指定其他安全组的名称或 ID。有关更多信息,请参阅 了解你的目录Amazon安全组的配置和使用

  6. 选择 Save

    
                        编辑安全组

确保启用 Kerberos 预身份验证

现在要确认用户在Amazon此外,托管的 Microsoft AD 还启用了 Kerberos 预身份验证。此过程与针对本地目录完成的过程相同。这是默认设置,但是我们来检查一下以确保未更改任何内容。

查看用户 kerberos 设置
  1. 登录作为成员的实例Amazon使用管理员账户用于域或已委派管理域中用户的权限的账户。

  2. 如果尚未安装,请安装“Active Directory 用户和计算机”工具和 DNS 工具。可在安装活动目录管理工具中了解如何安装这些工具。

  3. 打开服务器管理器。在 Tools 菜单上,选择 Active Directory Users and Computers

  4. 选择您的域中的 Users 文件夹。请注意,这是您的 NetBIOS 名称下的用户文件夹,而不是全限定域名 (FQDN) 下的用户文件夹。

    
                                        正确的用户文件夹
  5. 在用户列表中,右键单击一名用户,然后选择属性

  6. 选择 Account 选项卡。在 Account options 列表中,确保 选中 Do not require Kerberos preauthentication

下一步

第 2 步:创建与另一个信任关系Amazon托管的 Microsoft AD 域