Я начинаю некоторое знакомство / тестирование с рабочими пространствами AWS, но мы хотим использовать нашу собственную AD для аутентификации, поэтому я создал небольшой экземпляр AWS Win2K12 и установил на нем AD (и связанный DNS-сервер).
Затем я хотел попытаться создать AD Connector, но я несколько дней пытался заставить его работать и не получалось. Я пробовал несколько разных конфигураций, но получаю Failed с одним из двух типов ошибок:
1) Я получаю ошибки, указывающие, что в AD нет записей SRV для ldap a Kerberos. Но, глядя на то, что на моем DNS-сервере (через апплет DNS для Windows) я вижу записи SRV для «ldap» и «Kerberos». На самом деле, я вижу несколько разных наборов в разных местах DNS.
OR
2) Другая ошибка, которую я получаю, заключается в том, что в ней говорится, что DNS-сервер не существует на порту 53. Это даже если я выключаю брандмауэр Windows.
Вот фактический пример одного из сообщений об ошибках SRV:
«Обнаружены проблемы конфигурации: запись SRV для LDAP не существует для IP: 192.168.0.xxx, запись SRV для Kerberos не существует для IP: 192.168.0.xxx. Проверьте существующую конфигурацию и повторите операцию».
Некоторые дополнительные комментарии:
Экземпляр AD довольно простой, просто AD + DNS на этом экземпляре AWS.
Кроме того, используемая мной группа безопасности в основном полностью открыта как для ввода, так и для вывода.
Я запустил небольшой скрипт для тестирования AD (из документа prerequisites doc), и он работает, за исключением того, что когда он выполняет функциональные тесты леса и домена, они выдают «Unknown» для типа, а также по какой-то причине тест TCP / порт 5722 не пройден. Также иногда я получаю сообщение об ошибке «домен не найден». Этот тест также иногда дает разные результаты в зависимости от того, на какой машине запущен сценарий теста.
Кроме того, я сделал еще один экземпляр Win2K12 и смог присоединить этот экземпляр к этому домену AD, поэтому кажется, что AD и, возможно, DNS-сервер, в целом, «работают», но я просто не могу понять, как чтобы успешно создать соединитель AD, поэтому, если у кого-то есть идеи, что может быть не так, пожалуйста, помогите!
Заранее спасибо,
Jim
EDIT:
Вот что дает выполнение команды проверки каталога:
E:> DirTest \ DirectoryServicePortTest.exe -d "domain.dev" -ip "192.168.0.xxx" -tcp "53,88,135,389,445,3268,5722,9389" -
UDP "53,88,123,138,389,445"
Тестирование лесного функционального уровня.
Функциональный уровень леса = Неизвестно: СБОЙ
Проверка функционального уровня домена.
Функциональный уровень домена = Неизвестно: СБОЙ
Тестирование портов TCP на 192.168.0.xxx:
Проверка TCP-порта 53: ПРОЙДЕН
Проверка TCP-порта 88: ПРОЙДЕН
Проверка TCP-порта 135: ПРОЙДЕН
Проверка TCP-порта 389: ПРОЙДЕНО
Проверка TCP-порта 445: ПРОЙДЕН
Проверка TCP-порта 3268: пройдено
Проверка TCP-порта 5722: СБОЙ
Проверка TCP-порта 9389: PASSED
Тестирование портов UDP на 192.168.0.xxx:
Проверка UDP-порта 53: пройдено
Проверка UDP-порта 88: пройдено
Проверка UDP-порта 123: пройдено
Проверка UDP-порта 138: ПРОЙДЕНО
Проверка UDP-порта 389: пройдено
Проверка UDP-порта 445: PASSED
РЕДАКТИРОВАТЬ: Я продолжал получать это работает. Пока безуспешно, но я включил отладку на DNS-сервере, и пока у меня нет решения, я думаю, что это выглядит примерно так: возможно, что-то привязывает к ec2.internal к полному доменному имени DNS. Мне удалось получить его, чтобы хотя бы увидеть DNS-сервер, создав домен AD с именем «ec2.internal» и netbios «ec2», но теперь я получаю ошибки об отсутствующих записях SRV для LDAP и Kerberos. Я вижу, что записи _ldap и _kerberos SRV фактически существуют там, в DNS, но я думаю, что они похожи на .ec2.internal, но он ищет .ec2.internal.ec2.internal, и я вручную проходил через DNS и добавление этих записей, но по какой-то причине все еще происходит сбой с отсутствующими записями SRV: (...