When to create a trust relationship - AWS Directory Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

When to create a trust relationship

您可以在 AWS Directory Service for Microsoft Active Directory 与本地目录之间,以及在 AWS Managed Microsoft AD 云中的多个 AWS 目录之间配置单向和双向的外部信任关系和林信任关系。AWS Managed Microsoft AD 支持所有三种信任关系方向:传入、传出和双向。

注意

设置信任关系时,必须确保本地目录与 AWS Directory Services 兼容并保持此兼容性。有关您的责任的更多信息,请参阅我们的责任共担模型.

AWS Managed Microsoft AD 同时支持外部信任和林信任。要演练演示如何创建林信任的示例方案,请参阅教程:在 AWS Managed Microsoft AD 与本地域之间创建信任关系.

Prerequisites

创建信任只需几个步骤,但是在设置信任之前必须先完成一些先决条件步骤。

注意

AWS Managed Microsoft AD 不支持对单个标签域.的信任。

连接到 VPC

如果要创建与本地目录的信任关系,则必须先将本地网络连接到包含 的 VPC。AWS Managed Microsoft AD. The firewall for your on-premises network must have the following ports open to the CIDRs for both subnets in the VPC.

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 身份验证

  • TCP/UDP 389 - LDAP

  • TCP 445 - SMB

    注意

    SMBv1 is no longer supported.

这些是能够连接到目录所需的最少端口。根据您的特定配置,您可能需要打开其他端口。

配置 VPC

包含 AWS Managed Microsoft AD 的 VPC 必须具有适当的出站和入站规则。

配置 VPC 出站规则

  1. In the AWS Directory Service console, on the Directory Details page, note your AWS Managed Microsoft AD directory ID.

  2. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  3. 选择 Security Groups.

  4. 搜索 AWS Managed Microsoft AD 目录 ID。In the search results, select the item with the description "AWS created security group for directory ID directory controllers".

    注意

    所选安全组是在最初创建目录时自动创建的安全组。

  5. Go to the Outbound Rules tab of that security group. 依次选择 EditAdd another rule. 对于新规则,输入以下值:

    • Type:All Traffic

    • Protocol:All

    • Destination 确定您本地网络中可以离开您的域控制器的流量,以及它可以传送到何处。用 CIDR 表示法指定单个 IP 地址或 IP 地址范围 (例如 203.0.113.5/32)。You can also specify the name or ID of another security group in the same Region. 有关更多信息,请参阅 了解目录的 AWS 安全组配置和使用.

  6. 选择 Save.

配置 VPC 入站规则

  1. In the AWS Directory Service console, on the Directory Details page, note your AWS Managed Microsoft AD directory ID.

  2. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  3. 选择 Security Groups.

  4. 搜索 AWS Managed Microsoft AD 目录 ID。In the search results, select the item with the description "AWS created security group for directory ID directory controllers".

    注意

    所选安全组是在最初创建目录时自动创建的安全组。

  5. Go to the Inbound Rules tab of that security group. 依次选择 EditAdd another rule. 对于新规则,输入以下值:

    • Type:Custom UDP Rule

    • Protocol:UDP

    • Port Range: 445

    • For Source, specify a single IP address, or an IP address range in CIDR notation (for example, 203.0.113.5/32). You can also specify the name or ID of another security group in the same Region. 此设置确定可从您的本地网络到达域控制器的流量。有关更多信息,请参阅 了解目录的 AWS 安全组配置和使用.

  6. 选择 Save.

  7. 重复这些步骤,添加以下每个规则:

    Type 协议 端口范围
    自定义 UDP 规则 UDP 88 Specify the Source traffic used in the previous step.
    自定义 UDP 规则 UDP 123 Specify the Source traffic used in the previous step.
    自定义 UDP 规则 UDP 138 Specify the Source traffic used in the previous step.
    自定义 UDP 规则 UDP 389 Specify the Source traffic used in the previous step.
    自定义 UDP 规则 UDP 464 Specify the Source traffic used in the previous step.
    自定义 TCP 规则 TCP 88 Specify the Source traffic used in the previous step.
    自定义 TCP 规则 TCP 135 Specify the Source traffic used in the previous step.
    自定义 TCP 规则 TCP 445 Specify the Source traffic used in the previous step.
    自定义 TCP 规则 TCP 464 Specify the Source traffic used in the previous step.
    自定义 TCP 规则 TCP 636 Specify the Source traffic used in the previous step.
    自定义 TCP 规则 TCP 1024-65535 Specify the Source traffic used in the previous step.
    自定义 TCP 规则 TCP 3268 - 3269 Specify the Source traffic used in the previous step.
    DNS (UDP) UDP 53 Specify the Source traffic used in the previous step.
    DNS (TCP) TCP 53 Specify the Source traffic used in the previous step.
    LDAP TCP 389 Specify the Source traffic used in the previous step.
    所有 ICMP 全部 不适用 Specify the Source traffic used in the previous step.
    所有流量 全部 全部 当前安全组 (您的目录的安全组).

    这些安全规则会影响未公开的内部网络接口。

Enable Kerberos pre-authentication

用户账户必须启用 Kerberos 预身份验证。For more information about this setting, review Preauthentication on Microsoft TechNet.

Configure DNS conditional forwarders on your on-premises domain

必须在本地域中设置 DNS 条件转发服务器。Refer to Assign a Conditional Forwarder for a Domain Name on Microsoft TechNet for details on conditional forwarders.

要执行以下步骤,您的本地域必须有权访问以下 Windows Server 工具:

  • AD DS 和 AD LDS 工具

  • DNS

在本地域中配置条件转发服务器

  1. 首先必须获取有关 的一些信息。AWS Managed Microsoft AD. 登录 AWS 管理控制台 并打开位于 AWS Directory Service console 的 https://console.amazonaws.cn/directoryservicev2/.

  2. 在导航窗格中,选择 Directories.

  3. 选择 的目录 ID。AWS Managed Microsoft AD.

  4. 记下目录的完全限定域名 (FQDN) 和 DNS 地址。

  5. 现在返回到本地域控制器。打开服务器管理器。

  6. Tools 菜单上,选择 DNS.

  7. 在控制台树中,展开为其设置信任的域的 DNS 服务器。

  8. 在控制台树中,选择 Conditional Forwarders.

  9. Action 菜单上,选择 New conditional forwarder.

  10. In DNS domain, type the fully qualified domain name (FQDN) of your AWS Managed Microsoft AD, which you noted earlier.

  11. Choose IP addresses of the master servers and type the DNS addresses of your AWS Managed Microsoft AD directory, which you noted earlier.

    输入 DNS 地址之后,可能遇到“超时”或“无法解析”错误。通常可以忽略这些错误。

  12. 选择 Store this conditional forwarder in Active Directory and replicate as follows: All DNS servers in this domain. 选择确定.

Trust relationship password

如果要创建与现有域的信任关系,则使用 Windows Server 管理工具对该域设置信任关系。执行此操作时,请记下所使用的信任密码。在 上设置信任关系时,需要使用该密码。AWS Managed Microsoft AD. For more information, see Managing Trusts on Microsoft TechNet.

现在您已准备就绪,可在 上创建信任关系。AWS Managed Microsoft AD.

Create, verify, or delete a trust relationship

注意

Trust relationships is a global feature of AWS Managed Microsoft AD. 如果正在使用 多区域复制,则必须在主要区域中执行以下过程。这些更改将自动应用于所有复制的区域。有关更多信息,请参阅全球与区域性功能

创建与 的信任关系AWS Managed Microsoft AD

  1. 打开 AWS Directory Service console.

  2. On the Directories page, choose your AWS Managed Microsoft AD ID.

  3. On the Directory details page, do one of the following:

    • If you have multiple Regions showing under Multi-Region replication, select the primary Region, and then choose the Networking & security tab. 有关更多信息,请参阅 主区域与附加区域.

    • If you do not have any Regions showing under Multi-Region replication, choose the Networking & security tab.

  4. 信任关系部分中,选择操作,然后选择添加信任关系.

  5. On the Add a trust relationship page, provide the required information, including the trust type, fully qualified domain name (FQDN) of your trusted domain, the trust password and the trust direction.

  6. (Optional) If you want to allow only authorized users to access resources in your AWS Managed Microsoft AD directory, you can optionally choose the Selective authentication check box. For general information about selective authentication, see Security Considerations for Trusts on Microsoft TechNet.

  7. For Conditional forwarder, type the IP address of your on-premises DNS server. 如果以前创建过条件转发服务器,则可键入本地域的 FQDN,而不是 DNS IP 地址。

  8. (Optional) Choose Add another IP address and type the IP address of an additional on-premises DNS server. 可以为每台适用的 DNS 服务器地址重复此步骤,总共可输入四个地址。

  9. 选择 Add.

  10. 如果本地域的 DNS 服务器或网络使用公有(非 RFC 1918)IP 地址空间,则转至 IP 路由选择部分,选择操作,然后选择添加路由. 使用 CIDR 格式键入 DNS 服务器或本地网络的 IP 地址块,例如 203.0.113.0/24。如果您的 DNS 服务器和本地网络均使用 RFC 1918 IP 地址空间,此步骤并不是必要的。

    注意

    When using a public IP address space, make sure that you do not use any of the AWS IP address ranges as these cannot be used.

  11. (可选)我们建议,当您位于添加路由页面上时,您还可以选择向此目录的 VPC 的安全组添加路由. 这样会按照上面“配置 VPC”中的详细说明来配置安全组。这些安全规则会影响未公开的内部网络接口。如果此选项不可用,则您会看到一条消息,指示已自定义了安全组。

必须对两个域都设置信任关系。关系必须互相补充。例如,如果在一个域上创建传出信任,则必须在另一个域上创建传入信任。

如果要创建与现有域的信任关系,则使用 Windows Server 管理工具对该域设置信任关系。

可以在 AWS Managed Microsoft AD 与各个 Active Directory 域之间创建多个信任。但是,每次只能有一个信任关系存在。例如,如果有一个“传入方向”的现有单向信任,随后要设置“传出方向”的另一个信任关系,则需要删除现有信任关系,再创建新的“双向”信任。

验证传出信任关系

  1. 打开 AWS Directory Service console.

  2. On the Directories page, choose your AWS Managed Microsoft AD ID.

  3. On the Directory details page, do one of the following:

    • If you have multiple Regions showing under Multi-Region replication, select the primary Region, and then choose the Networking & security tab. 有关更多信息,请参阅 主区域与附加区域.

    • If you do not have any Regions showing under Multi-Region replication, choose the Networking & security tab.

  4. 信任关系部分中,选择您想要验证的信任,选择操作,然后选择验证信任关系.

此过程仅验证双向信任的传出方向。AWS 不支持验证传入信任。For more information on how to verify a trust to or from your on-premises Active Directory, refer to Verify a Trust on Microsoft TechNet.

删除现有信任关系

  1. 打开 AWS Directory Service console.

  2. On the Directories page, choose your AWS Managed Microsoft AD ID.

  3. On the Directory details page, do one of the following:

    • If you have multiple Regions showing under Multi-Region replication, select the primary Region, and then choose the Networking & security tab. 有关更多信息,请参阅 主区域与附加区域.

    • If you do not have any Regions showing under Multi-Region replication, choose the Networking & security tab.

  4. 信任关系部分中,选择您想要删除的信任,选择操作,然后选择删除信任关系.

  5. 选择 Delete.