我已经创建了 AWS 托管 AD,并尝试与我的本地部署建立信任。经过多次尝试和在互联网上进行深入研究后,我始终收到此错误:
无法访问远程域 *****。请确保您的安全组设置正确,并且您的条件转发器配置正确。
安全组看起来不错,条件转发器也不错,所有先决条件都已满足。我将非常感激有关解决问题的提示和帮助
答案1
确保您的防火墙/路由配置正确,“无法访问”很可能是连接问题。
您将需要这些(未过滤的)端口:
| 出站 | 入站 |
|---|---|
| 49152-65535/UDP | 123/UDP W32时间 |
| 49152-65535/TCP | 135/TCP RPC 端点映射器 |
| 49152-65535/TCP | 464/TCP/UDP Kerberos 密码更改 |
| 49152-65535/TCP | 49152-65535/TCP RPC 用于 LSA、SAM、NetLogon (*) |
| 49152 -65535/TCP/UDP | 389/TCP/UDP 轻量级 LDAP |
| 49152-65535/TCP | 636/TCP LDAP SSL |
| 49152-65535/TCP | 3268/TCP LDAP 网关 |
| 49152-65535/TCP | 3269/TCP LDAP GC SSL |
| 53,49152 -65535/TCP/UDP | 53/TCP/UDP 域名系统 |
| 49152-65535/TCP | 49152 -65535/TCP FRS RPC (*) |
| 49152 -65535/TCP/UDP | 88/TCP/UDP Kerberos |
| 49152 -65535/TCP/UDP | 445/TCP SMB(**) |
| 49152-65535/TCP | 49152-65535/TCP DFSR RPC (*) |
并非此处列出的所有端口都是必需的全部场景。例如,如果防火墙将成员和 DC 分开,则您不必打开 FRS 或 DFSR 端口。因此在这种情况下,我认为您必须这样做。
当 LDAP 请求长时间挂起并等待响应时,Microsoft LDAP 也会使用 ICMP。如果没有收到 ping 响应,则会以 LDAP_TIMEOUT 使 LDAP 请求失败。
在建立连接之前以及使用 DFS 定位服务器时,Windows 重定向器还使用 ICMP 消息来验证 DNS 服务是否解析了服务器 IP。因此,请确保在 DC 之间启用了 ICMP。