本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在你的 Microsoft Amazon 托管 AD 和自我管理的 AD 之间建立信任关系
你可以在 Microsoft Active Directory 的 Amazon 目录服务与自我管理(本地)目录之间以及 Amazon 云中多个 Amazon 托管 Microsoft AD 目录之间配置单向和双向外部和林信任关系。 Amazon 托管 Microsoft AD 支持所有三个信任关系方向:传入、传出和双向(双向)。
有关信任关系的更多信息,请参阅你想了解的有关 Amazon 托管 Microsoft AD 的信任的所有
注意
设置信任关系时,必须确保您的自管理目录与兼容,并且始终与兼容 Amazon Directory Service。有关您的责任的更多信息,请参阅我们的责任共担模型
Amazon 托管 Microsoft AD 支持外部信任和林信任。要演练演示如何创建林信任的示例方案,请参阅教程:在 Amazon Microsoft AD 与自托管式 Active Directory 域之间创建信任关系。
Amazon Chime、Amazon Connect、亚马逊、亚马逊、亚马逊 QuickSight、亚马 Amazon IAM Identity Center逊 WorkSpaces、 WorkDocs WorkMail亚马逊等 Amazon 企业应用程序需要双向信任。 Amazon Web Services Management Console Amazon 托管 Microsoft AD 必须能够查询你自行管理的用户和群组 Active Directory.
您可以启用选择性身份验证,这样只有 Amazon 应用程序特定的服务帐号才能查询您的自我管理 Active Directory。 有关更多信息,请参阅使用 Amazon 托管 Microsoft AD 增强 Amazon 应用程序集成的安全性
亚马逊EC2RDS、亚马逊和亚马逊FSx将以单向或双向信任的方式合作。
先决条件
创建信任只需几个步骤,但是在设置信任之前必须先完成一些先决条件步骤。
注意
Amazon 托管 Microsoft AD 不支持对单一标签域名的
Connect to VPC
如果您要与自己的自管理目录建立信任关系,则必须先将您的自我管理网络连接到VPC包含您的托管 Amazon Microsoft AD 的亚马逊。您的自我 Amazon 管理和托管 Microsoft AD 网络的防火墙必须打开中列出的网络端口 Windows 服务器 2008 及更高版本
要使用您的网络BIOS名称代替完整域名对诸如亚马逊 WorkDocs 或亚马逊之类的 Amazon 应用程序进行身份验证 QuickSight,则必须允许端口 9389。有关 Active Directory 端口和协议的更多信息,请参阅服务概述和网络端口要求 Windows
这些是能够连接到目录所需的最少端口。根据您的特定配置,您可能需要打开其他端口。
配置你的 VPC
VPC包含你的 Amazon 托管 Microsoft AD 的必须有相应的出站和入站规则。
配置您的VPC出站规则
-
在Amazon Directory Service 控制台
的目录详细信息页面上,记下你的 Amazon 托管 Microsoft AD 目录 ID。 打开亚马逊VPC控制台,网址为https://console.aws.amazon.com/vpc/
。 -
选择 Security Groups。
-
搜索你的 Amazon 托管微软 AD 目录 ID。在搜索结果中,选择描述为 “为目录 ID 目录控制器Amazon 创建安全组” 的项目。
注意
所选安全组是在最初创建目录时自动创建的安全组。
-
转到该安全组的 Outbound Rules 选项卡。依次选择 Edit、Add another rule。对于新规则,输入以下值:
-
Type:All Traffic
-
Protocol:All
-
目的地确定自托管式网络中可以离开域控制器的流量,以及它可以传送到何处。用CIDR符号指定单个 IP 地址或 IP 地址范围(例如,203.0.113.5/32)。您还可以指定同一区域中其他安全组的名称或 ID。有关更多信息,请参阅 了解目录 Amazon 的安全组配置并使用。
-
-
选择保存。
启用 Kerberos 预身份验证
用户账户必须启用 Kerberos 预身份验证。有关此设置的更多信息,请查看 Microsoft TechNet 上的预身份验证
在您的自管理域上配置DNS条件转发器
您必须在自行管理的域上设置DNS条件转发器。有关条件转发器的详细信息,请参阅 Microsoft 上 TechNet 为域名分配
要执行以下步骤,自托管式域必须有权访问以下 Windows Server 工具:
-
AD DS 和 AD LDS 工具
-
DNS
要在自托管式域上配置条件转发器
-
首先,你必须获得一些关于你的 Amazon 托管 Microsoft AD 的信息。登录 Amazon Web Services Management Console 并打开 Amazon Directory Service 控制台
。 -
在导航窗格中,选择 Directories。
-
选择你的 Microsoft Amazon 托管广告的目录 ID。
-
记下完全限定的域名 (FQDN) 和目录DNS的地址。
-
现在,返回自托管式域控制器。打开服务器管理器。
-
在 “工具” 菜单上,选择DNS。
-
在控制台树中,展开要为其设置信任的域的DNS服务器。
-
在控制台树中,选择 Conditional Forwarders。
-
在 Action 菜单上,选择 New conditional forwarder。
-
在DNS域中,键入你之前提到的 Amazon 托管 Microsoft AD 的完全限定域名 (FQDN)。
-
选择主服务器的 IP 地址,然后键入你之前记下的 Amazon 托管 Microsoft AD 目录DNS的地址。
输入DNS地址后,可能会出现 “超时” 或 “无法解析” 错误。通常可以忽略这些错误。
-
选择 “将此条件转发器存储在 Active Directory 中”,然后按如下方式进行复制:此域中的所有DNS服务器。选择确定。
信任关系密码
如果要创建与现有域的信任关系,则使用 Windows Server 管理工具对该域设置信任关系。执行此操作时,请记下所使用的信任密码。在 Amazon 托管 Microsoft AD 上设置信任关系时,你需要使用相同的密码。有关更多信息,请参阅在 Microsoft 上管理信任
现在,您可以在 Microsoft Amazon 托管广告上创建信任关系了。
网络BIOS和域名
网络BIOS和域名必须是唯一的,并且不能相同,才能建立信任关系。
创建、验证或删除信任关系
注意
信任关系是 Microsoft Amazon 托管广告的全球特征。如果您使用的是 为 Amazon 托管的 Microsoft AD 配置多区域复制,则必须在 主 区域 中执行以下过程。更改将自动应用于所有复制的区域。有关更多信息,请参阅 全局与区域特色。
与你的 Microsoft Amazon 托管 AD 建立信任关系
-
在目录页面上,选择你的 Amazon 托管 Microsoft AD ID。
-
在报告详细信息页面上,执行以下操作之一:
-
如果多区域复制下显示多个区域,选择主区域,然后选择网络与安全选项卡。有关更多信息,请参阅 主区域与其他区域。
-
如果多区域复制下未显示任何区域,选择网络与安全选项卡。
-
-
在信任关系部分中,选择操作,然后选择添加信任关系。
-
在添加信任关系页面上,提供所需的信息,包括信任类型、可信域的完全限定域名 (FQDN)、信任密码和信任方向。
-
(可选)如果您只想允许授权用户访问 Amazon 托管 Microsoft AD 目录中的资源,则可以选择选择性身份验证复选框。有关选择性身份验证的一般信息,请参阅 Microsoft 上信任的安全注意事项
TechNet。 -
在条件转发器中,键入您的自管理DNS服务器的 IP 地址。如果您之前创建过条件转发器,则可以键入自己管理FQDN的域名,而不是 DNS IP 地址。
-
(可选)选择 “添加其他 IP 地址”,然后键入其他自管理DNS服务器的 IP 地址。您可以对每个适用的DNS服务器地址重复此步骤,总共可获得四个地址。
-
选择添加。
-
如果您的自管理域的DNS服务器或网络使用公共(非 RFC 1918 年)IP 地址空间,请转至 IP 路由部分,选择操作,然后选择添加路由。使用CIDR格式(例如 203.0.113.0/24)键入DNS服务器或自管网络的 IP 地址块。如果您的DNS服务器和自管理网络都使用 RFC 1918 个 IP 地址空间,则无需执行此步骤。
注意
如果使用公有 IP 地址空间,请确保您不会使用 Amazon IP 地址范围
内的任何地址,因为无法使用它们。 -
(可选)我们建议您在添加路由页面上同时选择向该目录的安全组添加路由VPC。这将按照上文 “配置您的” 中所述配置安全组VPC。这些安全规则会影响未公开的内部网络接口。如果此选项不可用,则您会看到一条消息,指示已自定义了安全组。
必须对两个域都设置信任关系。关系必须互相补充。例如,如果在一个域上创建传出信任,则必须在另一个域上创建传入信任。
如果要创建与现有域的信任关系,则使用 Windows Server 管理工具对该域设置信任关系。
您可以在 Amazon 托管的 Microsoft AD 和各个 Active Directory 域之间创建多个信任。但是,每次只能有一个信任关系存在。例如,如果有一个“传入方向”的现有单向信任,随后要设置“传出方向”的另一个信任关系,则需要删除现有信任关系,再创建新的“双向”信任。
验证传出信任关系
-
在目录页面上,选择你的 Amazon 托管 Microsoft AD ID。
-
在报告详细信息页面上,执行以下操作之一:
-
如果多区域复制下显示多个区域,选择主区域,然后选择网络与安全选项卡。有关更多信息,请参阅 主区域与其他区域。
-
如果多区域复制下未显示任何区域,选择网络与安全选项卡。
-
-
在信任关系部分中,选择您想要验证的信任,选择操作,然后选择验证信任关系。
此过程仅验证双向信任的传出方向。 Amazon 不支持验证传入的信任。有关如何验证与您自行管理的 Active Directory 之间的信任的更多信息,请参阅在 Microsoft TechNet 上验证信任
删除现有信任关系
-
在目录页面上,选择你的 Amazon 托管 Microsoft AD ID。
-
在报告详细信息页面上,执行以下操作之一:
-
如果多区域复制下显示多个区域,选择主区域,然后选择网络与安全选项卡。有关更多信息,请参阅 主区域与其他区域。
-
如果多区域复制下未显示任何区域,选择网络与安全选项卡。
-
-
在信任关系部分中,选择您想要删除的信任,选择操作,然后选择删除信任关系。
-
选择 Delete(删除)。