步骤 2:创建信任 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 2:创建信任

在本部分中,您将创建两个单独的林信任。一个从 EC2 实例上的 Active Directory 域创建,另一个从 Amazon 上的 Amazon Managed Microsoft AD 创建。

corp.example.com 和 example.local 之间的双向信任
创建从 EC2 域到 Amazon Managed Microsoft AD 的信任

  1. 登录到 example.local

  2. 打开 Server Manager,然后在控制台树中选择 DNS。记下列出的服务器 IPv4 地址。在下一过程中,当您创建从 corp.example.comexample.local 目录的条件转发服务器时,您将需要此地址。

  3. Tools 菜单中,选择 Active Directory Domains and Trusts

  4. 在控制台树中,右键单击 example.local,然后选择 Properties

  5. Trusts 选项卡上,选择 New Trust,然后选择 Next

  6. Trust Name (信任名称) 页面上,键入 corp.example.com,然后选择 Next (下一步)

  7. Trust Type 页面上,选择 Forest trust,然后选择 Next

    注意

    Amazon Managed Microsoft AD 还支持外部信任。但是,在此教程中,您将创建一个双向林信任。

  8. Direction of Trust 页面上,选择 Two-way,然后选择 Next

    注意

    如果您稍后决定使用单向信任来尝试此操作,请确保正确设置信任方向(在信任域上传出,在信任域上传入)。有关一般信息,请参阅 Microsoft 网站上的了解信任方向

  9. Sides of Trust 页面上,选择 This domain only,然后选择 Next

  10. Outgoing Trust Authentication Level 页面上,选择 Forest-wide authentication,然后选择 Next

    注意

    虽然 Selective authentication (选择性身份验证) 是一个选项,但为本教程简单起见,我们建议您在此处不要启用它。配置后,它会将对外部或林信任的访问仅限制为受信任域或林中的以下这类用户:已明确向这些用户提供对位于该受信任域或林中的计算机对象(资源计算机)的身份验证权限。有关更多信息,请参阅 Configuring selective authentication settings

  11. Trust Password 页面上,键入信任密码两次,然后选择 Next。在下一个过程中,您将使用这个相同的新密码。

  12. Trust Selections Complete 页面上,检查结果,然后选择 Next

  13. Trust Creation Complete 页面上,检查结果,然后选择 Next

  14. Confirm Outgoing Trust 页面上,选择 No, do not confirm the outgoing trust。然后选择下一个

  15. Confirm Incoming Trust 页面上,选择 No, do not confirm the incoming trust。然后选择下一个

  16. Completing the New Trust Wizard 页面上,选择 Finish

注意

信任关系是 Amazon Managed Microsoft AD 的全局功能。如果您使用的是 多区域复制,则必须在 主 区域 中执行以下过程。更改将自动应用于所有复制的区域。有关更多信息,请参阅全局与区域特色

创建从 Amazon Managed Microsoft AD 到 EC2 域的信任

  1. 打开Amazon Directory Service控制台

  2. 选择 corp.example.com 目录。

  3. 报告详细信息页面上,执行以下操作之一:

    • 如果多区域复制下显示多个区域,选择主区域,然后选择网络与安全选项卡。有关更多信息,请参阅主区域与其他区域

    • 如果多区域复制下未显示任何区域,选择网络与安全选项卡。

  4. 信任关系部分中,选择操作,然后选择添加信任关系

  5. Add a trust relationship 对话框中,执行以下操作:

    • Trust type (信任类型) 下,选择 Forest trust (林信任)

      注意

      确保您在此处选择的信任类型与在之前过程中配置的相同信任类型匹配(创建从 EC2 域到 Amazon Managed Microsoft AD 的信任)。

    • 对于 Existing or new remote domain name (现有或新的远程域名),键入 example.local

    • 对于 Trust password,键入您在上一过程中提供的相同密码。

    • Trust direction (信任方向) 下,选择 Two-way (双向)

      注意

      • 如果您稍后决定使用单向信任来尝试此操作,请确保正确设置信任方向(在信任域上传出,在信任域上传入)。有关一般信息,请参阅 Microsoft 网站上的了解信任方向

      • 虽然 Selective authentication (选择性身份验证) 是一个选项,但为本教程简单起见,我们建议您在此处不要启用它。配置后,它会将对外部或林信任的访问仅限制为受信任域或林中的以下这类用户:已明确向这些用户提供对位于该受信任域或林中的计算机对象(资源计算机)的身份验证权限。有关更多信息,请参阅 Configuring selective authentication settings

    • 对于 Conditional forwarder (条件转发器),键入 example.local 林中您的 DNS 服务器的 IP 地址(您在上一个过程中记录的地址)。

      注意

      条件转发器是网络上的 DNS 服务器,用于根据查询中的 DNS 域名转发 DNS 查询。例如,可以将 DNS 服务器配置为将它接收到的针对以 widgets.example.com 结尾的名称的所有查询转发到某个特定 DNS 服务器的 IP 地址或多个 DNS 服务器的 IP 地址。

  6. 选择添加