Langkah 1: Siapkan Domain AD yang dikelola sendiri

Pertama, Anda perlu menyelesaikan beberapa langkah prasyarat pada domain yang dikelola sendiri (lokal) Anda.

Konfigurasikan firewall yang dikelola sendiri

Anda harus mengonfigurasi firewall yang dikelola sendiri sehingga port berikut terbuka ke CIDR untuk semua subnet yang digunakan oleh VPC yang berisi iklan Microsoft Terkelola Anda. AWS Dalam tutorial ini, kami mengizinkan lalu lintas masuk dan keluar dari 10.0.0.0/16 (blok CIDR dari VPC AWS Microsoft AD Terkelola kami) pada port berikut:

• TCP/UDP 53 - DNS

• TCP/UDP 88 - Autentikasi Kerberos

• TCP/UDP 389 - Protokol Akses Direktori Ringan (LDAP)

• TCP 445 - Blok Pesan Server (SMB)

• TCP 9389 - Layanan Web Direktori Aktif (ADWS) (Opsional - Port ini harus terbuka jika Anda ingin menggunakan nama NetBIOS Anda alih-alih nama domain lengkap Anda untuk otentikasi dengan aplikasi seperti AWS Amazon atau Amazon.) WorkDocs QuickSight

catatan

SMBv1 tidak lagi didukung.

Ini adalah port minimum yang diperlukan untuk menghubungkan VPC ke direktori yang dikelola sendiri. Konfigurasi spesifik Anda mungkin mengharuskan port-port tambahan terbuka.

Pastikan bahwa Kerberos pra-autentikasi diaktifkan

Akun pengguna di kedua direktori harus mengaktifkan praautentikasi Kerberos. Ini adalah default, tapi mari kita periksa properti dari setiap pengguna acak untuk memastikan tidak ada yang berubah.

Untuk melihat setelan Kerberos pengguna

1. Pada pengontrol domain yang dikelola sendiri, buka Server Manager.

2. Pada menu Alat, pilih Pengguna dan komputer Direktori Aktif.

3. Pilih folder Pengguna dan buka menu konteks (klik kanan). Pilih akun pengguna acak yang tercantum dalam panel kanan. Pilih Properti.

4. Pilih tab Akun. Di daftar Opsi akun, gulir ke bawah dan pastikan bahwa Tidak memerlukan preautentikasi Kerberos tidak dicentang.

   

Konfigurasikan forwarder bersyarat DNS untuk domain yang dikelola sendiri

Anda harus mengatur penerusan bersyarat DNS pada setiap domain. Sebelum melakukan ini di domain yang dikelola sendiri, pertama-tama Anda akan mendapatkan beberapa informasi tentang iklan Microsoft yang AWS Dikelola.

Untuk mengonfigurasi forwarder bersyarat pada domain yang dikelola sendiri

1. Masuk ke AWS Management Console dan buka AWS Directory Service konsol.

2. Di panel navigasi , pilih Direktori.

3. Pilih ID direktori iklan Microsoft AWS Terkelola Anda.

4. Pada halaman Detail, perhatikan nilai-nilai dalam Nama direktori dan Alamat DNS dari direktori Anda.

5. Sekarang, kembali ke pengontrol domain yang dikelola sendiri. Buka Pengelola Server

6. Pada menu Alat, pilih DNS.

7. Pada pohon konsol, perluas server DNS dari domain di mana Anda mengatur kepercayaan. Server kami adalah WIN-5V70CN7VJ0.corp.example.com.

8. Pada pohon konsol, pilih Penerusan Bersyarat.

9. Pada menu Tindakan, pilih Penerusan bersyarat baru.

10. Di domain DNS, ketik nama domain yang memenuhi syarat penuh (FQDN) dari AWS Microsoft AD Terkelola Anda, yang Anda sebutkan sebelumnya. Dalam contoh ini, FQDN adalah Ad.example.com. MyManaged

11. Pilih alamat IP server utama dan ketik alamat DNS direktori Microsoft AD AWS Terkelola Anda, yang Anda catat sebelumnya. Dalam contoh ini yaitu: 10.0.10.246, 10.0.20.121

    Setelah memasukkan alamat DNS, Anda mungkin mendapatkan error “timeout” atau “tidak dapat menyelesaikan”. Anda biasanya dapat mengabaikan error ini.

    

12. Pilih Menyimpan penerusan bersyarat ini di Direktori Aktif dan mereplikasi sebagai berikut.

13. Pilih Semua server DNS dalam domain ini, lalu pilih OK.

Langkah Selanjutnya

Langkah 2: Siapkan Microsoft AD yang Dikelola AWS