第 2 步:创建信任 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 2 步:创建信任

在本部分中,您将创建两个单独的林信任。创建一个从 EC2 实例上的 Active Directory 域创建,另一个从上的创建。Amazon在托管的 Microsoft ADAmazon.

创建从 EC2 域到 的信任AmazonManaged Microsoft AD

  1. 登录到 example.local

  2. 打开 Server Manager,然后在控制台树中选择 DNS。记下列出的服务器 IPv4 地址。在下一过程中,当您创建从 corp.example.comexample.local 目录的条件转发服务器时,您将需要此地址。

  3. Tools 菜单中,选择 Active Directory Domains and Trusts

  4. 在控制台树中,右键单击 example.local,然后选择 Properties

  5. Trusts 选项卡上,选择 New Trust,然后选择 Next

  6. Trust Name (信任名称) 页面上,键入 corp.example.com,然后选择 Next (下一步)

  7. Trust Type 页面上,选择 Forest trust,然后选择 Next

    注意

    Amazon托管的 Microsoft AD 还支持外部信任。但是,在此教程中,您将创建一个双向林信任。

  8. Direction of Trust 页面上,选择 Two-way,然后选择 Next

    注意

    如果您稍后决定使用单向信任来尝试此操作,请确保正确设置信任方向(在信任域上传出,在信任域上传入)。有关一般信息,请参阅了解信任方向在微软的网站上。

  9. Sides of Trust 页面上,选择 This domain only,然后选择 Next

  10. Outgoing Trust Authentication Level 页面上,选择 Forest-wide authentication,然后选择 Next

    注意

    虽然 Selective authentication (选择性身份验证) 是一个选项,但为本教程简单起见,我们建议您在此处不要启用它。配置后,它会将对外部或林信任的访问仅限制为受信任域或林中的以下这类用户:已明确向这些用户提供对位于该受信任域或林中的计算机对象(资源计算机)的身份验证权限。有关更多信息,请参阅 。配置选择性验证设置.

  11. Trust Password 页面上,键入信任密码两次,然后选择 Next。在下一个过程中,您将使用这个相同的新密码。

  12. Trust Selections Complete 页面上,检查结果,然后选择 Next

  13. Trust Creation Complete 页面上,检查结果,然后选择 Next

  14. Confirm Outgoing Trust 页面上,选择 No, do not confirm the outgoing trust。然后选择下一个

  15. Confirm Incoming Trust 页面上,选择 No, do not confirm the incoming trust。然后选择下一个

  16. Completing the New Trust Wizard 页面上,选择 Finish

注意

信任关系是AmazonManaged Microsoft AD。如果您正在使用多区域复制,必须在主 区域. 这些更改将自动应用于所有复制的区域。有关更多信息,请参阅 全球与区域功能

从中创建信任Amazon将微软 AD 托管到你的 EC2 域

  1. 打开 Amazon Directory Service 控制台。

  2. 选择 corp.example.com 目录。

  3. 在存储库的目录详细信息页面上,执行以下操作之一:

    • 如果你在下面显示了多个地区多区域复制,选择主要区域,然后选择联网和安全“选项卡。有关更多信息,请参阅 主要与其他地区

    • 如果您没有在下方显示任何地区多区域复制,选择联网和安全“选项卡。

  4. 信任关系部分中,选择操作,然后选择添加信任关系

  5. Add a trust relationship 对话框中,执行以下操作:

    • Trust type (信任类型) 下,选择 Forest trust (林信任)

      注意

      确保信任类型在此处选择与在之前过程中配置的相同信任类型匹配(创建从 EC2 域到的信任。AmazonManaged Microsoft AD)。

    • 对于 Existing or new remote domain name (现有或新的远程域名),键入 example.local

    • 对于 Trust password,键入您在上一过程中提供的相同密码。

    • Trust direction (信任方向) 下,选择 Two-way (双向)

      注意

      • 如果您稍后决定使用单向信任来尝试此操作,请确保正确设置信任方向(在信任域上传出,在信任域上传入)。有关一般信息,请参阅了解信任方向在微软的网站上。

      • 虽然 Selective authentication (选择性身份验证) 是一个选项,但为本教程简单起见,我们建议您在此处不要启用它。配置后,它会将对外部或林信任的访问仅限制为受信任域或林中的以下这类用户:已明确向这些用户提供对位于该受信任域或林中的计算机对象(资源计算机)的身份验证权限。有关更多信息,请参阅 。配置选择性验证设置.

    • 对于 Conditional forwarder (条件转发器),键入 example.local 林中您的 DNS 服务器的 IP 地址(您在上一个过程中记录的地址)。

      注意

      条件转发器是网络上的 DNS 服务器,用于根据查询中的 DNS 域名转发 DNS 查询。例如,可以将 DNS 服务器配置为将它接收到的针对以 widgets.example.com 结尾的名称的所有查询转发到某个特定 DNS 服务器的 IP 地址或多个 DNS 服务器的 IP 地址。

  6. 选择 Add (添加)