步驟 2:準備您的 AWS Managed Microsoft AD - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 2:準備您的 AWS Managed Microsoft AD

現在,讓我們為您的託 AWS 管 Microsoft AD 做好信任關係做好準備。下列許多步驟幾乎都與您剛剛在自我管理域方面完成的步驟相同。不過,這次您正在使用 AWS 受管理的 Microsoft AD。

設定您的 VPC 子網路和安全群組

您必須允許從自我管理網路傳輸到包含受管理 Microsoft AD 的 VPC 人雲端的 AWS 流量。若要這麼做,您必須確定與用來部署 AWS 受管理 Microsoft AD 的子網路相關聯的 ACL,以及在網域控制站上設定的安全性群組規則,兩者都允許必要的流量來支援信任。

連接埠要求取決於您網域控制器所使用的 Windows Server 以及使用信任的服務或應用程式。在此教學課程中,您需開啟以下連接埠:

傳入

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 身分驗證

  • UDP 123 - NTP

  • TCP 135 - RPC

  • TCP/UDP 389 - LDAP

  • TCP/UDP 445 - SMB

  • TCP/UDP 464 - Kerberos 身分驗證

  • TCP 636 - LDAPS (透過 TLS/SSL 的 LDAP)

  • TCP 3268-3269 - 通用類別

  • TCP/UDP 49152-65535 - RPC 暫時性連接埠

注意

不再支援 SMBv1。

傳出

  • ALL

注意

您至少需要這些連接埠,才可連線 VPC 和自我管理目錄。您特定的組態可能需要開啟其他連接埠。

若要設定 AWS 受管理的 Microsoft AD 網域控制站輸出和輸入規則
  1. 返回 AWS Directory Service 主控台。在目錄清單中,記下您 AWS 受管理的 Microsoft AD 目錄的目錄識別碼。

  2. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  3. 在導覽窗格中,選擇安全群組

  4. 使用搜尋方塊來搜尋您 AWS 受管理的 Microsoft AD 目錄識別碼。在搜尋結果中,選取包含說明的「安全性群組」AWS created security group for yourdirectoryID directory controllers

    在 Amazon VPC 主控台中,目錄控制器的安全群組搜尋結果會反白顯示。
  5. 前往該安全群組的 Outbound Rules (傳出規則) 標籤。選擇編輯規則,然後選擇新增規則。針對新的規則,輸入下列值:

    • Type (類型):所有流量

    • Protocol (協定):全部

    • Destination (目標) 能決定可傳出您網域控制器的流量及該流量傳入的目標。請指定單一 IP 地址,或是以 CIDR 表示法表示的 IP 地址範圍 (例如 203.0.113.5/32)。您也可以指定位在相同區域的另一個安全群組的名稱或 ID。如需詳細資訊,請參閱 了解目錄 AWS 的安全群組組態和使用

  6. 選取儲存規則

    在 Amazon VPC 主控台中,編輯目錄控制器安全群組的輸出規則。

確定已啟用 Kerberos 預先驗證

現在,您想要確認 AWS 管理 Microsoft AD 中的使用者也已啟用 Kerberos 預先驗證。這與您在自我管理目錄方面完成的程序相同。這是預設值,但請檢查以確定沒有任何變更。

檢視使用者的 Kerberos 設定
  1. 使用網域或已委派權限來管理網域中使用者的帳戶,登入身AWS Managed Microsoft AD Administrator 帳戶許可為 AWS 受管理 Microsoft AD 目錄成員的執行個體。

  2. 如果尚未安裝,請安裝 Active Directory 使用者和電腦工具及 DNS 工具。若要了解如何安裝這些工具,請參閱安裝 AWS Managed Microsoft AD 的 Active Directory 管理工具

  3. 開啟伺服器管理員。在 Tools (工具) 選單上,選擇 Active Directory Users and Computers (Active Directory 使用者和電腦)。

  4. 選擇您網域中的 Users (使用者) 資料夾。請注意,這是在您的 NetBIOS 名稱下的 Users (使用者) 資料夾,而不是在完全合格的網域名稱 (FQDN) 下的 Users (使用者) 資料夾。

    在 [Active Directory使用者和電腦] 對話方塊中,會亮顯 [使用者] 資料夾。
  5. 使用者清單中,請按一下滑鼠右鍵,選擇 Properties (屬性)。

  6. 選擇 Account (帳戶) 標籤。在 Account options (帳戶選項) 清單中,確認 Do not require Kerberos preauthentication (不需要 Kerberos 預先驗證) 核取。

後續步驟

步驟 3:建立信任關係