准备本地域
首先需要完成对本地域完成几个先决条件步骤。
配置本地防火墙
必须配置内部防火墙,以便为包含京东云目录服务的 VPC 所使用的所有子网,面向 CIDR 打开以下端口。在本教程中,我们在以下端口上允许来自 10.0.0.0/16(目录服务的VPC的CIDR数据块)的传入和传出流量:
- TCP/UDP 53 – DNS
- TCP/UDP 88 – Kerberos 身份验证
- TCP/UDP 389 – LDAP
- TCP 445 – SMB
注意
这些是将 VPC 连接到本地目录所需的最少端口。根据您的特定配置,您可能需要打开其他端口。
确保已启用 Kerberos 预身份验证
这两个目录中的用户账户必须启用 Kerberos 预身份验证。这是默认值,但让我们检查任何随机用户的属性以确保无任何更改。
查看用户 Kerberos 设置
- 在本地域控制器上,打开服务器管理器。
- 在 工具 菜单上,选择 Active Directory 用户和计算机。
- 选择 Users 文件夹并打开上下文(右键单击)菜单。选择右窗格中列出的任何随机用户账户。选择 属性.
- 选择 账户 选项卡。在 账户选项 列表中,向下滚动并确保未 选中 不要求 Kerberos 预身份验证。
为本地域配置 DNS 条件转发服务器
必须在每个域中都设置 DNS 条件转发服务器。对本地域执行此操作之前,首先要获取有关目录服务详情的一些信息。
在本地域中配置条件转发服务器
- 登录管理控制台,选择目录服务界面。
- 在列表中选择要做信任的目录ID。
- 在详细信息页面上,记下您的目录的目录名称和 DNS 地址中的值。
- 现在返回到本地域控制器。打开服务器管理器。
- 在 工具 菜单上,选择 DNS。
- 在控制台树中,展开为其设置信任的域的 DNS 服务器。我们的服务器是 jd1.ngmap.com
- 在控制台树中,选择 条件转发器。
- 在 操作 菜单上,选择 新建条件转发器。
- 在 DNS domain (DNS 域) 中,键入前面记下的目录服务的完全限定域名 (FQDN)。在此示例中,FQDN 是 jd1.ngmap.com
- 选择 主服务器的 IP 地址,然后键入前面记下的京东云目录服务的 DNS 地址。在此示例中,这些是:10.0.0.9、10.0.0.10输入 DNS 地址之后,可能遇到“超时”或“无法解析”错误。通常可以忽略这些错误。
- 选择 在 Active Directory 中存储此条件转发器,并按如下方式复制它(s)。
- 选择 此域中的所有DNS服务器,然后选择 确定。
