Configurações do grupo de segurança da AWS para servidores Windows AD
Se você usar servidores do Windows ative Directory (AD) com volumes na nuvem, familiarize-se com as orientações sobre as configurações do grupo de segurança da AWS. As configurações permitem que os volumes de nuvem se integrem corretamente ao AD.
Por padrão, o grupo de segurança da AWS aplicado a uma instância do Windows EC2 não contém regras de entrada para nenhum protocolo, exceto RDP. Você deve adicionar regras aos grupos de segurança anexados a cada instância do Windows AD para habilitar a comunicação de entrada do Cloud Volumes Service. As portas necessárias são as seguintes:
Serviço | Porta | Protocolo |
---|---|---|
AD Web Services |
9389 |
TCP |
DNS |
53 |
TCP |
DNS |
53 |
UDP |
ICMPv4 |
N/A. |
Resposta de eco |
Kerberos |
464 |
TCP |
Kerberos |
464 |
UDP |
Kerberos |
88 |
TCP |
Kerberos |
88 |
UDP |
LDAP |
389 |
TCP |
LDAP |
389 |
UDP |
LDAP |
3268 |
TCP |
Nome NetBIOS |
138 |
UDP |
SAM/LSA |
445 |
TCP |
SAM/LSA |
445 |
UDP |
LDAP seguro |
636 |
TCP |
LDAP seguro |
3269 |
TCP |
w32time |
123 |
UDP |
Se você estiver implantando e gerenciando controladores de domínio de instalação do AD e servidores membros em uma instância do AWS EC2, precisará de várias regras de grupo de segurança para permitir o tráfego para o Cloud Volumes Service. Abaixo está um exemplo de como implementar essas regras para aplicativos do AD como parte do modelo do AWS CloudFormation.
{
"AWSTemplateFormatVersion" : "2010-09-09",
"Description" : "Security Group for AD",
"Parameters" :
{
"VPC" :
{
"Type" : "AWS::EC2::VPC::Id",
"Description" : "VPC where the Security Group will belong:"
},
"Name" :
{
"Type" : "String",
"Description" : "Name Tag of the Security Group:"
},
"Description" :
{
"Type" : "String",
"Description" : "Description Tag of the Security Group:",
"Default" : "Security Group for Active Directory for CVS "
},
"CIDRrangeforTCPandUDP" :
{
"Type" : "String",
"Description" : "CIDR Range for the UDP ports 445,138,464,389,53,123 and for the TCP ports 464,339,3389,3268,88,636,9389,445 and 0-65535: *CIDR range format: 10.0.0.0/24"
}
},
"Resources" :
{
"ADSGWest" :
{
"Type" : "AWS::EC2::SecurityGroup",
"Properties" :
{
"GroupDescription" : {"Ref" : "Description"},
"VpcId" : { "Ref" : "VPC" },
"SecurityGroupIngress" : [
{
"IpProtocol" : "udp",
"CidrIp" : {"Ref" : "CIDRrangeforTCPandUDP"},
"FromPort" : "445",
"ToPort" : "445"
},
{
"IpProtocol" : "udp",
"CidrIp" : {"Ref" : "CIDRrangeforTCPandUDP"},
"FromPort" : "138",
"ToPort" : "138"
},
{
"IpProtocol" : "udp",
"CidrIp" : {"Ref" : "CIDRrangeforTCPandUDP"},
"FromPort" : "464",
"ToPort" : "464"
},
{
"IpProtocol" : "tcp",
"CidrIp" : {"Ref" : "CIDRrangeforTCPandUDP"},
"FromPort" : "464",
"ToPort" : "464"
},
{
"IpProtocol" : "udp",
"CidrIp" : {"Ref" : "CIDRrangeforTCPandUDP"},
"FromPort" : "389",
"ToPort" : "389"
},
{
"IpProtocol" : "udp",
"CidrIp" : {"Ref" : "CIDRrangeforTCPandUDP"},
"FromPort" : "53",
"ToPort" : "53"
},
{
"IpProtocol" : "tcp",
"CidrIp" : {"Ref" : "CIDRrangeforTCPandUDP"},
"FromPort" : "339",
"ToPort" : "339"
},
{
"IpProtocol" : "udp",
"CidrIp" : {"Ref" : "CIDRrangeforTCPandUDP"},
"FromPort" : "123",
"ToPort" : "123"
},
{
"IpProtocol" : "tcp",
"CidrIp" : {"Ref" : "CIDRrangeforTCPandUDP"},
"FromPort" : "3389",
"ToPort" : "3389"
},
{
"IpProtocol" : "tcp",
"CidrIp" : {"Ref" : "CIDRrangeforTCPandUDP"},
"FromPort" : "3268",
"ToPort" : "3268"
},
{
"IpProtocol" : "tcp",
"CidrIp" : {"Ref" : "CIDRrangeforTCPandUDP"},
"FromPort" : "88",
"ToPort" : "88"
},
{
"IpProtocol" : "tcp",
"CidrIp" : {"Ref" : "CIDRrangeforTCPandUDP"},
"FromPort" : "636",
"ToPort" : "636"
},
{
"IpProtocol" : "tcp",
"CidrIp" : {"Ref" : "CIDRrangeforTCPandUDP"},
"FromPort" : "3269",
"ToPort" : "3269"
},
{
"IpProtocol" : "tcp",
"CidrIp" : {"Ref" : "CIDRrangeforTCPandUDP"},
"FromPort" : "53",
"ToPort" : "53"
},
{
"IpProtocol" : "tcp",
"CidrIp" : {"Ref" : "CIDRrangeforTCPandUDP"},
"FromPort" : "0",
"ToPort" : "65535"
},
{
"IpProtocol" : "tcp",
"CidrIp" : {"Ref" : "CIDRrangeforTCPandUDP"},
"FromPort" : "9389",
"ToPort" : "9389"
},
{
"IpProtocol" : "tcp",
"CidrIp" : {"Ref" : "CIDRrangeforTCPandUDP"},
"FromPort" : "445",
"ToPort" : "445"
}
]
}
}
},
"Outputs" :
{
"SecurityGroupID" :
{
"Description" : "Security Group ID",
"Value" : { "Ref" : "ADSGWest" }
}
}
}