如何配置云应用和Windows AD网络互通
操作场景
Windows AD部署在企业内网或和云应用在同一个VPC内的情况下,需要先配置云应用和Windows AD网络互通。
前提条件
已获取域管理员的帐号和密码。
操作步骤
场景一:Windows AD部署在客户数据中心内网
- 首先需要通过云专线或者IPsec VPN连接客户数据中心与VPC之间的网络。参考云专线服务的《快速入门》或者虚拟专用网络VPN服务的《管理员指南》进行配置。
- 如果Windows AD与云应用之间部署了防火墙,则需要在防火墙上给云应用开启以下端口供云应用连接Windows AD,如表1所示。
表1 端口列表 角色
端口
协议
描述
AD
135
TCP
RPC协议(LDAP、分布式文件系统和分布式文件复制需要使用该端口)
137
UDP
NetBIOS名称解析(网络登录服务需要使用该端口)
138
UDP
NetBIOS数据包服务(分布式文件系统、网络登录等服务需要使用该端口)
139
TCP
NetBIOS-SSN服务(网络基本输入输出接口)
445
TCP
NetBIOS-SSN服务(网络基本输入输出接口)
445
UDP
NetBIOS-SSN服务(网络基本输入输出接口)
49152-65535
TCP
RPC动态端口(AD未加固开放的端口。如果AD已加固,需要开放端口50152-51151)
49152-65535
UDP
RPC动态端口(AD未加固开放的端口。如果AD已加固,需要开放端口50152-51151)
88
TCP
Kerberos密钥分发中心服务
88
UDP
Kerberos密钥分发中心服务
123
UDP
NTP服务使用的端口
389
UDP
LDAP服务器
389
TCP
LDAP服务器
464
TCP
Kerberos认证协议
464
UDP
Kerberos认证协议
500
UDP
isakmp
593
TCP
RPC over HTTP
636
TCP
LDAP SSL
DNS
53
TCP
DNS服务器
53
UDP
DNS服务器
- 配置完成之后,请参考验证方法进行对接的验证,以确认网络和端口是否正常工作。
场景二:Windows AD部署在云应用所在VPC的另一个子网
验证方法
- 检查AD服务器防火墙或安全组设置,确保已开启表1端口。
- 通过ECS服务,在与云应用服务器相同的VPC中创建一台Windows OS的实例,并将该实例加入已有域。
- 使用RDP客户端工具(例如 “mstsc”)或VNC方式登录Windows实例。
- 将ADTest.zip下载到Windows实例,然后解压。
- 在“ADTest.exe”所在文件夹空白区域中,按住“Shift”,单击右键,选择“在此处打开命令窗口”。
- 在打开的“命令提示符”中,输入以下命令检查AD管理服务器连通性。
ADTest.exe -file ADTest.cfg -ip AD的IP地址 -domain AD的域名 -user 域管理员帐号
命令示例:
ADTest.exe -file ADTest.cfg -ip 192.168.161.78 -domain abc.com -user vdsadmin
- 输入“vdsadmin”的密码。
- 检查返回的测试结果是否全部为“SUCCEEDED”,如果包含“FAILED”,请根据提示信息检查AD管理服务器配置或防火墙端口。
