步驟 1:準備您自我管理的 AD 域 - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 1:準備您自我管理的 AD 域

首先,您必須在自我管理 (內部部署) 域上完成幾個必要步驟。

設定自我管理防火牆

您必須設定自我管理防火牆,確保已開啟下列連接埠來對含有您 AWS Managed Microsoft AD 之 VPC 所使用的所有子網路進行 CIDR。在此教學中,我們允許下列連接埠上來自 10.0.0.0/16 (我們的 AWS Managed Microsoft AD VPC 的 CIDR 區塊) 的傳入和傳出流量:

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 身分驗證

  • TCP/UDP 389 - LDAP

  • TCP 445 - SMB

注意

不再支援 SMBv1。

您至少需要這些連接埠,才可將 VPC 連線到自我管理目錄。您特定的組態可能需要開啟其他連接埠。

確定已啟用 Kerberos 預先驗證

這兩個目錄中的使用者帳戶必須已啟用 Kerberos 預先驗證。這是預設值,但請檢查隨機使用者的屬性以確定沒有任何變更。

若要檢視使用者的 Kerberos 設定
  1. 在自我管理的域控制站上,開啟「伺服器管理員」。

  2. Tools (工具) 選單上,選擇 Active Directory Users and Computers (Active Directory 使用者和電腦)。

  3. 選擇 Users (使用者) 資料夾,開啟內容功能表 (按一下滑鼠右鍵)。選擇適當窗格中所列的任何隨機使用者帳戶。選擇 Properties (屬性)

  4. 選擇 Account (帳戶) 標籤。在帳戶選項清單中,向下捲動並確定 核取不需要 Kerberos 預先驗證

    
                                具有帳戶選項的「公司使用者內容」對話方塊不需要反白顯示 Kerberos 預先驗證。

為您的自我管理域設定 DNS 條件式轉寄站

您必須在每個網域上設定 DNS 條件式轉寄站。在您的自我管理域上執行此作業之前,您會先取得 AWS Managed Microsoft AD 的一些相關資訊。

在您的自我管理域上設定條件式轉寄站
  1. 登入 AWS Management Console 並開啟 AWS Directory Service 主控台

  2. 在導覽窗格中,選取 Directories (目錄)。

  3. 選擇您的 AWS Managed Microsoft AD 目錄的目錄 ID。

  4. Details (詳細資訊) 頁面,記錄目錄中的 Directory name (目錄名稱) 以及 DNS address (DNS 地址) 的數值。

  5. 現在,返回自我管理域控制站。開啟伺服器管理員。

  6. 工具選單上,選擇 DNS

  7. 在主控台樹狀目錄中,展開您要設定信任之網域的 DNS 伺服器。我們的伺服器是 WIN-5V70CN7VJ0.corp.example.com。

  8. 在主控台樹狀目錄中,選擇條件式轉寄站

  9. 動作選單上,選擇新增條件式轉寄站

  10. DNS 域中,輸入您稍早記下之 AWS Managed Microsoft AD 的完整域名稱 (FQDN)。在此範例中,FQDN 為 MyManaged廣告。

  11. 選擇主要伺服器的 IP 地址,然後輸入您稍早記下之 AWS Managed Microsoft AD 目錄的 DNS 地址。在此範例中為 10.0.10.246、10.0.20.121

    輸入 DNS 地址之後,您可能會收到「逾時」或「無法解析」錯誤。您通常可以忽略這些錯誤。

    
                            「新增條件式轉寄站」對話方塊,其中會反白顯示 DNS 伺服器的 IP 位址。
  12. 選取在 Active Directory 中儲存此條件式轉寄站,並複寫如下

  13. 選取這個網域中的所有 DNS 伺服器,然後選擇確定

後續步驟

步驟 2:準備您的 AWS Managed Microsoft AD