AWS目录服务信任关系设置本地域准备

准备本地域

首先需要完成对本地域完成几个先决条件步骤。

配置本地防火墙

必须配置内部防火墙,以便为包含京东云目录服务的 VPC 所使用的所有子网,面向 CIDR 打开以下端口。在本教程中,我们在以下端口上允许来自 10.0.0.0/16(目录服务的VPC的CIDR数据块)的传入和传出流量:

  • TCP/UDP 53 – DNS
  • TCP/UDP 88 – Kerberos 身份验证
  • TCP/UDP 389 – LDAP
  • TCP 445 – SMB

注意

这些是将 VPC 连接到本地目录所需的最少端口。根据您的特定配置,您可能需要打开其他端口。

确保已启用 Kerberos 预身份验证

这两个目录中的用户账户必须启用 Kerberos 预身份验证。这是默认值,但让我们检查任何随机用户的属性以确保无任何更改。

查看用户 Kerberos 设置

  1. 在本地域控制器上,打开服务器管理器。
  2. 在 工具 菜单上,选择 Active Directory 用户和计算机
  3. 选择 Users 文件夹并打开上下文(右键单击)菜单。选择右窗格中列出的任何随机用户账户。选择 属性.
  4. 选择 账户 选项卡。在 账户选项 列表中,向下滚动并确保 选中 不要求 Kerberos 预身份验证
图片

为本地域配置 DNS 条件转发服务器

必须在每个域中都设置 DNS 条件转发服务器。对本地域执行此操作之前,首先要获取有关目录服务详情的一些信息。

在本地域中配置条件转发服务器

  1. 登录管理控制台,选择目录服务界面。
  2. 在列表中选择要做信任的目录ID。
  3. 详细信息页面上,记下您的目录的目录名称和 DNS 地址中的值。
  4. 现在返回到本地域控制器。打开服务器管理器。
  5. 在 工具 菜单上,选择 DNS
  6. 在控制台树中,展开为其设置信任的域的 DNS 服务器。我们的服务器是 jd1.ngmap.com
  7. 在控制台树中,选择 条件转发器
  8. 在 操作 菜单上,选择 新建条件转发器
  9. 在 DNS domain (DNS 域) 中,键入前面记下的目录服务的完全限定域名 (FQDN)。在此示例中,FQDN 是 jd1.ngmap.com
  10. 选择 主服务器的 IP 地址,然后键入前面记下的京东云目录服务的 DNS 地址。在此示例中,这些是:10.0.0.9、10.0.0.10输入 DNS 地址之后,可能遇到“超时”或“无法解析”错误。通常可以忽略这些错误。
图片
  1. 选择 在 Active Directory 中存储此条件转发器,并按如下方式复制它(s)
  2. 选择 此域中的所有DNS服务器,然后选择 确定

发表评论