本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 步骤 2:创建信任 在本部分中,您将创建两个单独的林信任。一个信任是从你的 EC2 实例上的 Active Directory 域创建的,另一个是从你的 Amazon 托管 Microsoft AD 中创建的 Amazon。 ![\[corp.example.com 和 example.local 之间的双向信任\]](http://docs.amazonaws.cn/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust_twoway.png) **创建从你的 EC2 域到你的 Amazon 托管 Microsoft AD 的信任** 1. 登录到 **example.local**。 1. 打开 **Server Manager**,然后在控制台树中选择 **DNS**。记下列出的服务器 IPv4 地址。在下一过程中,当您创建从 **corp.example.com** 到 **example.local** 目录的条件转发服务器时,您将需要此地址。 1. 在 **Tools** 菜单中,选择 **Active Directory Domains and Trusts**。 1. 在控制台树中,右键单击 **example.local**,然后选择 **Properties**。 1. 在 **Trusts** 选项卡上,选择 **New Trust**,然后选择 **Next**。 1. 在 **Trust Name (信任名称)** 页面上,键入 **corp.example.com**,然后选择 **Next (下一步)**。 1. 在 **Trust Type** 页面上,选择 **Forest trust**,然后选择 **Next**。 **注意** Amazon 托管 Microsoft AD 还支持外部信任。但是,在此教程中,您将创建一个双向林信任。 1. 在 **Direction of Trust** 页面上,选择 **Two-way**,然后选择 **Next**。 **注意** 如果您稍后决定使用单向信任来尝试此操作,请确保正确设置信任方向(在信任域上传出,在信任域上传入)。有关一般信息,请参阅 Microsoft 网站上的[了解信任方向](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11))。 1. 在 **Sides of Trust** 页面上,选择 **This domain only**,然后选择 **Next**。 1. 在 **Outgoing Trust Authentication Level** 页面上,选择 **Forest-wide authentication**,然后选择 **Next**。 **注意** 虽然 **Selective authentication (选择性身份验证)** 是一个选项,但为本教程简单起见,我们建议您在此处不要启用它。配置后,它会将对外部或林信任的访问仅限制为受信任域或林中的以下这类用户:已明确向这些用户提供对位于该受信任域或林中的计算机对象(资源计算机)的身份验证权限。有关更多信息,请参阅 [Configuring selective authentication settings](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10))。 1. 在 **Trust Password** 页面上,键入信任密码两次,然后选择 **Next**。在下一个过程中,您将使用这个相同的新密码。 1. 在 **Trust Selections Complete** 页面上,检查结果,然后选择 **Next**。 1. 在 **Trust Creation Complete** 页面上,检查结果,然后选择 **Next**。 1. 在 **Confirm Outgoing Trust** 页面上,选择 **No, do not confirm the outgoing trust**。然后选择**下一个** 1. 在 **Confirm Incoming Trust** 页面上,选择 **No, do not confirm the incoming trust**。然后选择**下一个** 1. 在 **Completing the New Trust Wizard** 页面上,选择 **Finish**。 **注意** 信任关系是 Microsoft Amazon 托管 AD 的全球特征。如果您使用的是 [为 Amazon 托管的 Microsoft AD 配置多区域复制](ms_ad_configure_multi_region_replication.md),则必须在 [主 区域](multi-region-global-primary-additional.md#multi-region-primary) 中执行以下过程。更改将自动应用于所有复制的区域。有关更多信息,请参阅 [全局与区域特色](multi-region-global-region-features.md)。 **创建从您的 Amazon 托管 Microsoft AD 到您的 EC2 域的信任** 1. 打开 [Amazon Directory Service 控制台](https://console.amazonaws.cn/directoryservicev2/)。 1. 选择 **corp.example.com** 目录。 1. 在**报告详细信息**页面上,执行以下操作之一: + 如果**多区域复制**下显示多个区域,选择主区域,然后选择**网络与安全**选项卡。有关更多信息,请参阅 [主区域与其他区域](multi-region-global-primary-additional.md)。 + 如果**多区域复制**下未显示任何区域,选择**网络与安全**选项卡。 1. 在**信任关系**部分中,选择**操作**,然后选择**添加信任关系**。 1. 在 **Add a trust relationship** 对话框中,执行以下操作: + 在 **Trust type (信任类型)** 下,选择 **Forest trust (林信任)**。 **注意** 请确保您在此处选择的**信任类型**与前一步骤中配置的信任类型相同(创建从您的 EC2 域到 Amazon 托管 Microsoft AD 的信任)。 + 对于 **Existing or new remote domain name (现有或新的远程域名)**,键入 **example.local**。 + 对于 **Trust password**,键入您在上一过程中提供的相同密码。 + 在 **Trust direction (信任方向)** 下,选择 **Two-way (双向)**。 **注意** 如果您稍后决定使用单向信任来尝试此操作,请确保正确设置信任方向(在信任域上传出,在信任域上传入)。有关一般信息,请参阅 Microsoft 网站上的[了解信任方向](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11))。 虽然 **Selective authentication (选择性身份验证)** 是一个选项,但为本教程简单起见,我们建议您在此处不要启用它。配置后,它会将对外部或林信任的访问仅限制为受信任域或林中的以下这类用户:已明确向这些用户提供对位于该受信任域或林中的计算机对象(资源计算机)的身份验证权限。有关更多信息,请参阅 [Configuring selective authentication settings](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10))。 + 对于 **Conditional forwarder (条件转发器)**,键入 **example.local** 林中您的 DNS 服务器的 IP 地址(您在上一个过程中记录的地址)。 **注意** 条件转发器是网络上的 DNS 服务器,用于根据查询中的 DNS 域名转发 DNS 查询。例如,可以将 DNS 服务器配置为将它接收到的针对以 widgets.example.com 结尾的名称的所有查询转发到某个特定 DNS 服务器的 IP 地址或多个 DNS 服务器的 IP 地址。 1. 选择**添加**。