步骤 1:准备自托管式 AD 域 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 1:准备自托管式 AD 域

首先需要完成对自托管式(本地)域完成几个先决条件步骤。

配置自托管式防火墙

您必须配置您的自我管理防火墙,以便包含您的托管 Amazon Microsoft AD 的 VPC 使用的所有子网的 CIDR 开放以下端口。在本教程中,我们允许来自以下端口的 10.0.0.0/16(我们托管 Amazon Microsoft AD 的 VPC 的 CIDR 块)的传入和传出流量:

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 身份验证

  • TCP/UDP 389-轻量级目录访问协议 (LDAP)

  • TCP 445-服务器消息块 (SMB)

  • TCP 9389-Active Directory Web 服务 (ADWS)(可选 ——如果你想使用你的 NetBIOS 名称而不是完整的域名来使用亚马逊或 Amazon 亚马逊等应用程序进行身份验证,则需要打开此端口。) WorkDocs QuickSight

注意

不再支持 SMBv1。

这些是将 VPC 连接到自托管式目录所需的最少端口。根据您的特定配置,您可能需要打开其他端口。

确保已启用 Kerberos 预身份验证

这两个目录中的用户账户必须启用 Kerberos 预身份验证。这是默认值,但让我们检查任何随机用户的属性以确保无任何更改。

查看用户的 Kerberos 设置
  1. 在自托管式域控制器上,打开服务器管理器。

  2. Tools 菜单上,选择 Active Directory Users and Computers

  3. 选择 Users 文件夹并打开上下文(右键单击)菜单。选择右窗格中列出的任何随机用户账户。选择属性

  4. 选择 Account 选项卡。在 Account options 列表中,向下滚动并确保 选中 Do not require Kerberos preauthentication

    带有帐户选项的 “公司用户属性” 对话框不需要突出显示 Kerberos 预身份验证。

为自托管式域配置 DNS 条件转发器

必须在每个域中都设置 DNS 条件转发服务器。在自行管理的域上执行此操作之前,您将首先获得有关您的 Amazon 托管 Microsoft AD 的一些信息。

要在自托管式域上配置条件转发器
  1. 登录 Amazon Web Services Management Console 并打开Amazon Directory Service 控制台

  2. 在导航窗格中,选择 Directories

  3. 选择你的 Microsoft Amazon 托管广告的目录 ID。

  4. 详细信息页面上,记下您的目录的目录名称DNS 地址中的值。

  5. 现在,返回自托管式域控制器。打开服务器管理器。

  6. Tools 菜单上,选择 DNS

  7. 在控制台树中,展开为其设置信任的域的 DNS 服务器。我们的服务器是 WIN-5V70CN7VJ0.corp.example.com。

  8. 在控制台树中,选择 Conditional Forwarders

  9. Action 菜单上,选择 New conditional forwarder

  10. DNS 域中,键入你之前提到的 Amazon 托管 Microsoft AD 的完全限定域名 (FQDN)。在此示例中,FQDN 是 MyManaged ad.example.com。

  11. 选择主服务器的 IP 地址,然后键入你之前提到的 Microsoft AD Amazon 托管目录的 DNS 地址。在此示例中,这些是:10.0.10.246、10.0.20.121

    输入 DNS 地址之后,可能遇到“超时”或“无法解析”错误。通常可以忽略这些错误。

    新的条件转发器对话框突出显示了 DNS 服务器的 IP 地址。
  12. 选择 Store this conditional forwarder in Active Directory, and replicate it as follows

  13. 选择 All DNS servers in this domain,然后选择 OK

下一步

步骤 2:准备 Amazon Managed Microsoft AD