我开始对AWS Workspaces进行一些熟悉/测试,但是我们想使用自己的AD进行身份验证,因此我创建了一个小型Win2K12 AWS实例并在其上安装了AD(和关联的DNS服务器)。
然后,我想尝试创建一个AD连接器,但是我已经尝试了好几天使它正常工作,但失败了。我尝试了很多不同的配置,但都失败了,有两种错误之一:
1)我收到错误消息,指示AD中没有ldap Kerberos的SRV记录。但是查看我的DNS服务器(通过Windows DNS小程序),我可以看到“ ldap”和“ Kerberos”的SRV记录。实际上,我在DNS中的不同位置看到了几个不同的集合。
OR
2)我得到的另一个错误是,它说DNS服务器不在端口53上。即使关闭Windows防火墙也是如此。
这是SRV错误消息之一的实际示例:
“检测到配置问题:IP:192.168.0.xxx不存在LDAP的SRV记录,IP:192.168.0.xxx不存在Kerberos的SRV记录。请验证现有配置,然后重试该操作。”
一些其他评论: AD实例非常简单,只是该一个AWS实例上的AD + DNS。
此外,我使用的安全组基本上完全开放,用于输入和输出。
我已经运行了用于测试AD的小脚本(来自前提条件文档),并且可以正常工作,除了在执行林和域功能测试时,它们为类型以及由于某种原因给出了“未知” TCP /端口5722测试失败。另外,有时,我会收到一条错误消息,指出“无法找到”域。根据运行测试脚本的计算机,有时该测试有时还会得到不同的结果。
此外,我制作了另一个Win2K12实例,并且能够将该实例加入到该AD域,因此,一般来说,AD和DNS服务器似乎都在“运行”,但我只是想不通要成功创建AD连接器,因此,如果有人知道什么地方可能出了问题,请帮忙!
预先感谢, 吉姆
编辑: 这是运行目录测试命令所提供的内容:
E:> DirTest \ DirectoryServicePortTest.exe -d“ domain.dev” -ip“ 192.168.0.xxx” -tcp“ 53,88,135,389,445,3268,5722,9389”- udp“ 53,88,123,138,389,445” 测试森林功能级别。 森林功能级别=未知:失败
测试域功能级别。 域功能级别=未知:失败
测试TCP端口到192.168.0.xxx: 检查TCP端口53:通过 检查TCP端口88:通过 检查TCP端口135:通过 检查TCP端口389:通过 检查TCP端口445:通过 检查TCP端口3268:通过 正在检查TCP端口5722:失败 检查TCP端口9389:通过
测试到192.168.0.xxx的UDP端口: 检查UDP端口53:通过 检查UDP端口88:通过 检查UDP端口123:通过 检查UDP端口138:通过 检查UDP端口389:通过 检查UDP端口445:通过
编辑:我一直在继续进行这项工作。到目前为止没有成功,但是我在DNS服务器上启用了调试功能,尽管到目前为止我还没有解决方案,但我认为这似乎是对DNS FQDN附加了“ ec2.internal”。通过将AD域创建为“ ec2.internal”和netbios“ ec2”,我现在至少可以看到DNS服务器,但是现在我收到有关缺少LDAP和Kerberos SRV记录的错误。我可以看到_ldap和_kerberos SRV记录实际上位于DNS中,但是我认为它们类似于.ec2.internal,但是它正在寻找.ec2.internal.ec2.internal,并且我一直在手动进行DNS并添加这些记录,但是由于某些原因,它仍然会因缺少SRV记录而失败:(...
答案 0 :(得分:0)
我认为AD连接器是将您的AWS工作空间连接到您的 prem 域上(通过VPN或DirectConnect)。 当您说“我创建了一个小型Win2K12 AWS实例并安装了AD”时,我将其解释为“我使用Win2012创建了一个EC2实例并将其设为DC”。如果是这样,我认为您的问题类似于经典的“圆孔方形钉”问题:)
您是否查看过“简单AD”或“ Microsoft AD”选项?那些可能更适合您。