创建信任关系 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建信任关系

您可以在之间配置单向和双向的外部信任关系和林信任关系Amazon适用于 Microsoft Active Directory 和自我管理(本地)目录以及多个目录之间的 Directory ServiceAmazon中的 Managed Microsoft AD 目录Amazon云。Amazon托管微软 AD 支持所有三个信任关系方向:传入、传出和双向(双向)。

注意

在设置信任关系时,必须确保您的自我管理目录与Amazon Directory Service。有关您的责任的更多信息,请参阅我们的责任共担模型

AmazonAmazon Managed Microsoft AD 支持外部信任和林信任。要演练演示如何创建林信任的示例方案,请参阅教程:在您之间创建信任关系Amazon托管微软 AD 和你的自我管理的 Active Directory 域

需要双向信任Amazon企业应用程序,例如 Amazon Chime、Amazon Connect、Amazon QuickSight、Amazon Web Services Single Sign On、Amazon WorkDocs、Amazon WorkMail、Amazon WorkSpaces 和Amazon Web Services Management Console.Amazon 托管 Microsoft AD 必须能够查询自我管理的 AD 中的用户和组。

Amazon EC2、Amazon RDS 和 Amazon FSx 将使用单向或双向信任。

先决条件

创建信任只需几个步骤,但是在设置信任之前必须先完成一些先决条件步骤。

注意

AmazonAmazon Managed Microsoft AD 不支持信任单一标签域.

连接到 VPC

如果要创建与自我管理目录的信任关系,则必须先将自我管理网络连接到包含的 VPC。Amazon托管的 Microsoft AD。对于 VPC 中的两个子网的 CIDR,自我管理网络的防火墙必须对 CIDR 开放以下端口。

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 身份验证

  • TCP/UDP 389 - LDAP

  • TCP 445 - SMB

    注意

    不再支持 SMBv1。

这些是能够连接到目录所需的最少端口。根据您的特定配置,您可能需要打开其他端口。

配置 VPC

包含的 VPCAmazonManaged Microsoft AD 必须具有适当的出站和入站规则。

配置 VPC 出站规则

  1. Amazon Directory Service控制台,在目录细节页面,请注意你的Amazon托管的 Microsoft AD 目录 ID。

  2. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  3. 选择 Security Groups

  4. 搜索Amazon托管的 Microsoft AD 目录 ID。在搜索结果中,选择带描述的项目”Amazon为创建安全组目录 ID目录控制器”。

    注意

    所选安全组是在最初创建目录时自动创建的安全组。

  5. 转到该安全组的 Outbound Rules 选项卡。依次选择 EditAdd another rule。对于新规则,输入以下值:

    • 类型:所有流量

    • 协议:全部

    • 目的地确定可以离开域控制器的流量,以及它可以传送到您的自我管理网络中的位置。用 CIDR 表示法指定单个 IP 地址或 IP 地址范围 (例如 203.0.113.5/32)。您还可以在同一区域中指定另一个安全组的名称或 ID。有关更多信息,请参阅 了解你的目录Amazon配置安全组和使用

  6. 选择 Save

启用 Kerberos 预身份验证

用户账户必须启用 Kerberos 预身份验证。有关此设置的更多信息,请查看 Microsoft TechNet 上的 Preauthentication

在自管域中配置 DNS 条件转发器

必须在自我管理域中设置 DNS 条件转发服务器。请参阅为域名分配有条件转发器在 Microsoft 上 TechNet 了解有关条件代理的详细信息。

要执行以下步骤,您的自我管理域必须有权访问以下 Windows Server 工具:

  • AD DS 和 AD LDS 工具

  • DNS

在自我管理域中配置条件转发服务器

  1. 首先必须获取有关的一些信息Amazon托管的 Microsoft AD。登录到Amazon Web Services Management Console然后打开Amazon Directory Service控制台在 https://console.aws.amazon.com/directoryservicev2/。

  2. 在导航窗格中,选择 Directories

  3. 选择的目录 IDAmazon托管的 Microsoft AD。

  4. 记下目录的完全限定域名 (FQDN) 和 DNS 地址。

  5. 现在返回到自我管理域控制器。打开服务器管理器。

  6. Tools 菜单上,选择 DNS

  7. 在控制台树中,展开为其设置信任的域的 DNS 服务器。

  8. 在控制台树中,选择 Conditional Forwarders

  9. Action 菜单上,选择 New conditional forwarder

  10. InDNS 域,键入您的完全限定域名 (FQDN)Amazon你之前注意到的托管微软 AD。

  11. 选择主服务器的 IP 地址然后键入你的 DNS 地址Amazon前面记下的 Managed Microsoft AD 目录。

    输入 DNS 地址之后,可能遇到“超时”或“无法解析”错误。通常可以忽略这些错误。

  12. Select将此条件转发服务器存储在 Active Directory 中,然后复制如下:该域中的所有 DNS 服务器. 选择 OK(确定)。

信任关系密码

如果要创建与现有域的信任关系,则使用 Windows Server 管理工具对该域设置信任关系。执行此操作时,请记下所使用的信任密码。在上设置信任关系时,需要使用该密码。Amazon托管的 Microsoft AD。有关更多信息,请参阅 Microsoft TechNet 上的管理信任

现在您已准备就绪,可在上创建信任关系。Amazon托管的 Microsoft AD。

创建、验证或删除信任关系

注意

信任关系是Amazon托管的 Microsoft AD。如果您正在使用多区域复制,必须在主 区域. 这些更改将自动应用于所有复制的区域。有关更多信息,请参阅 全球与区域功能

创建与 的信任关系Amazon托管的 Microsoft AD

  1. 打开 Amazon Directory Service 控制台

  2. 在存储库的目录页面上,选择Amazon托管的 Microsoft AD ID。

  3. 在存储库的目录详细信息页面上,执行以下操作之一:

    • 如果你在下面显示了多个地区多区域复制,选择主要区域,然后选择网络 & 安全选项卡。有关更多信息,请参阅 主要与其他地区

    • 如果在下面没有显示任何地区多区域复制,选择网络 & 安全选项卡。

  4. 信任关系部分中,选择操作,然后选择添加信任关系

  5. 添加信任关系页面上,提供所需信息,包括信任类型、受信任域的完全限定域名 (FQDN)、信任密码和信任方向。

  6. (可选)如果您希望仅允许授权用户访问Amazon托管微软 AD 目录,你可以选择选择性验证”复选框。有关选择性身份验证的一般信息,请参阅 Microsoft TechNet 上的信任的安全注意事项

  7. 适用于条件货发,键入您的自我管理 DNS 服务器的 IP 地址。如果以前创建过条件转发服务器,可键入自我管理域的 FQDN,而不是 DNS IP 地址。

  8. (可选)选择添加另一个 IP 地址然后键入另一台自我管理 DNS 服务器的 IP 地址。可以为每台适用的 DNS 服务器地址重复此步骤,总共可输入四个地址。

  9. 选择 Add(添加)。

  10. 如果您的 DNS 服务器或网络使用公有(非 RFC 1918)IP 地址空间,则转至IP 路由部分,选择操作,然后选择添加路由. 使用 CIDR 格式键入 DNS 服务器或自我管理网络的 IP 地址块,例如 203.0.113.0/24。如果 DNS 服务器和自我管理网络均使用 RFC 1918 IP 地址空间,此步骤并不是必要的。

    注意

    在使用公有 IP 地址空间时,请确保不要使用AmazonIP 地址范围因为无法使用。

  11. (可选)我们建议,当您位于添加路由页面上时,您还可以选择向此目录的 VPC 的安全组添加路由。这样会按照上面“配置 VPC”中的详细说明来配置安全组。这些安全规则会影响未公开的内部网络接口。如果此选项不可用,则您会看到一条消息,指示已自定义了安全组。

必须对两个域都设置信任关系。关系必须互相补充。例如,如果在一个域上创建传出信任,则必须在另一个域上创建传入信任。

如果要创建与现有域的信任关系,则使用 Windows Server 管理工具对该域设置信任关系。

您可以在之间创建多个信任Amazon管理微软 AD 和各种活动目录域。但是,每次只能有一个信任关系存在。例如,如果有一个“传入方向”的现有单向信任,随后要设置“传出方向”的另一个信任关系,则需要删除现有信任关系,再创建新的“双向”信任。

验证传出信任关系

  1. 打开 Amazon Directory Service 控制台

  2. 在存储库的目录页面上,选择Amazon托管的 Microsoft AD ID。

  3. 在存储库的目录详细信息页面上,执行以下操作之一:

    • 如果你在下面显示了多个地区多区域复制,选择主要区域,然后选择网络 & 安全选项卡。有关更多信息,请参阅 主要与其他地区

    • 如果在下面没有显示任何地区多区域复制,选择网络 & 安全选项卡。

  4. 信任关系部分中,选择您想要验证的信任,选择操作,然后选择验证信任关系

此过程仅验证双向信任的传出方向。Amazon不支持验证传入信任。有关如何验证传入或传出自我管理 Active Directory 的信任的更多信息,请参阅验证信任在 Microsoft TechNet 上。

删除现有信任关系

  1. 打开 Amazon Directory Service 控制台

  2. 在存储库的目录页面上,选择Amazon托管的 Microsoft AD ID。

  3. 在存储库的目录详细信息页面上,执行以下操作之一:

    • 如果你在下面显示了多个地区多区域复制,选择主要区域,然后选择网络 & 安全选项卡。有关更多信息,请参阅 主要与其他地区

    • 如果在下面没有显示任何地区多区域复制,选择网络 & 安全选项卡。

  4. 信任关系部分中,选择您想要删除的信任,选择操作,然后选择删除信任关系

  5. 选择 Delete