京东云目录服务本地域准备工作

准备本地域

首先需要完成对本地域完成几个先决条件步骤。

配置本地防火墙

必须配置内部防火墙，以便为包含京东云云目录服务的VPC所使用的所有子网，面向CIDR打开以下端口。在本教程中，在以下端口上允许来自10.0.0.0/16（目录服务的VPC的CIDR数据块）的传入和传出流量：

• TCP/UDP53-DNS
• TCP/UDP88-Kerberos身份验证
• TCP/UDP389-LDAP
• TCP445-SMB

注意

这些是将VPC连接到本地目录所需的最少端口。根据你的特定配置，你可能需要打开其他端口。

确保已启用Kerberos预身份验证

这两个目录中的用户账户必须启用Kerberos预身份验证。这是默认值，但让检查任何随机用户的属性以确保无任何更改。

查看用户Kerberos设置

• 在本地域控制器上，打开服务器管理器。
• 在工具菜单上，选择ActiveDirectory用户和计算机。
• 选择Users文件夹并打开上下文（右键单击）菜单。选择右窗格中列出的任何随机用户账户。选择属性.
• 选择账户选项卡。在账户选项列表中，向下滚动并确保未选中不要求Kerberos预身份验证。

 

为本地域配置DNS条件转发服务器

必须在每个域中都设置DNS条件转发服务器。对本地域执行此操作之前，首先要获取有关目录服务详情的一些信息。

在本地域中配置条件转发服务器

• 登录管理控制台，选择目录服务界面。

• 在列表中选择要做信任的目录ID。

• 在详细信息页面上，记下你的目录的目录名称和DNS地址中的值。

• 现在返回到本地域控制器。打开服务器管理器。

• 在工具菜单上，选择DNS。

• 在控制台树中，展开为其设置信任的域的DNS服务器。的服务器是1.ngmap.com

• 在控制台树中，选择条件转发器。

• 在操作菜单上，选择新建条件转发器。

• 在DNSdomain(DNS域)中，键入前面记下的目录服务的完全限定域名(FQDN)。在此示例中，FQDN是1.ngmap.com

• 选择主服务器的IP地址，然后键入前面记下的京东云云目录服务的DNS地址。在此示例中，这些是：10.0.0.9、10.0.0.10

  输入DNS地址之后，可能遇到“超时”或“无法解析”错误。通常可以忽略这些错误。

• 选择在ActiveDirectory中存储此条件转发器，并按如下方式复制它（s）。

• 选择此域中的所有DNS服务器，然后选择确定。