步驟 1:準備您自我管理的 AD 域 - AWS Directory Service
設定自我管理防火牆確定已啟用 Kerberos 預先驗證為您的自我管理域設定 DNS 條件式轉寄站

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 1:準備您自我管理的 AD 域

首先,您必須在自我管理 (內部部署) 域上完成幾個必要步驟。

設定自我管理防火牆

您必須設定自我管理的防火牆,以便針對包含受管理 Microsoft AD 的 VPC 所使用的所有子網路,開放下列連接埠供 CIDR 使用。 AWS 在本教程中,我們允許來自 10.0.0/16(我們 AWS 託管 Microsoft AD VPC 的 CIDR 塊)的傳入和傳出流量在以下端口上:

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 身分驗證

  • 輕量型目錄存取通訊協定

  • 伺服器訊息區 (SMB)

  • TCP 9389-使用中目錄 Web 服務 (ADWS) (用-如果您想要使用 NetBIOS 名稱而不是完整的網域名稱進行身份驗證,如 Amazon WorkDocs 或 Amazon AWS 應用程式,則需要開啟此連接埠。) QuickSight

注意

不再支援 SMBv1。

您至少需要這些連接埠,才可將 VPC 連線到自我管理目錄。您特定的組態可能需要開啟其他連接埠。

確定已啟用 Kerberos 預先驗證

這兩個目錄中的使用者帳戶必須已啟用 Kerberos 預先驗證。這是預設值,但請檢查隨機使用者的屬性以確定沒有任何變更。

若要檢視使用者的 Kerberos 設定

  1. 在自我管理的域控制站上,開啟「伺服器管理員」。

  2. Tools (工具) 選單上,選擇 Active Directory Users and Computers (Active Directory 使用者和電腦)。

  3. 選擇 Users (使用者) 資料夾,開啟內容功能表 (按一下滑鼠右鍵)。選擇適當窗格中所列的任何隨機使用者帳戶。選擇 Properties (屬性)

  4. 選擇 Account (帳戶) 標籤。在帳戶選項清單中,向下捲動並確定 核取不需要 Kerberos 預先驗證

    具有帳戶選項的「公司使用者內容」對話方塊不需要反白顯示 Kerberos 預先驗證。

為您的自我管理域設定 DNS 條件式轉寄站

您必須在每個網域上設定 DNS 條件式轉寄站。在您的自我管理網域上執行這項操作之前,您會先取得有關 AWS 受管理 Microsoft AD 的一些資訊。

在您的自我管理域上設定條件式轉寄站

  1. 登入 AWS Management Console 並開啟AWS Directory Service 主控台

  2. 在導覽窗格中,選取 Directories (目錄)。

  3. 選擇 AWS 管理 Microsoft AD 的目錄識別碼。

  4. Details (詳細資訊) 頁面,記錄目錄中的 Directory name (目錄名稱) 以及 DNS address (DNS 地址) 的數值。

  5. 現在,返回自我管理域控制站。開啟伺服器管理員。

  6. 工具選單上,選擇 DNS

  7. 在主控台樹狀目錄中,展開您要設定信任之網域的 DNS 伺服器。我們的伺服器是 WIN-5V70CN7VJ0.corp.example.com。

  8. 在主控台樹狀目錄中,選擇條件式轉寄站

  9. 動作選單上,選擇新增條件式轉寄站

  10. DNS 網域中,輸入 AWS 受管理的 Microsoft AD 的完整網域名稱 (FQDN),這是您先前提到的。在此範例中,FQDN 為 MyManaged廣告。

  11. 選擇主要伺服器的 IP 位址,然後輸入您先前所述的 AWS 受管理 Microsoft AD 目錄的 DNS 位址。在此範例中為 10.0.10.246、10.0.20.121

    輸入 DNS 地址之後,您可能會收到「逾時」或「無法解析」錯誤。您通常可以忽略這些錯誤。

    「新增條件式轉寄站」對話方塊,其中會反白顯示 DNS 伺服器的 IP 位址。

  12. 選取在 Active Directory 中儲存此條件式轉寄站,並複寫如下

  13. 選取這個網域中的所有 DNS 伺服器,然後選擇確定

後續步驟

步驟 2:準備您的 AWS Managed Microsoft AD