在 Managed Microsoft AD 与自 Amazon 托管式 AD 之间创建信任关系 - Amazon Directory Service
先决条件创建信任关系
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Managed Microsoft AD 与自 Amazon 托管式 AD 之间创建信任关系

您可以在 C Amazon loud 中的 Directory 与自托管式(本地) Amazon 目录之间以及多个 Amazon Managed Microsoft AD 目录之间,配置单向/双向外部和林信任关系。 Amazon Managed Microsoft AD 支持所有三种信任关系方向:传入、传出和双向。

有关信任关系的更多信息,请参阅 Everythin g you with Managed Micro Amazon soft AD

注意

设置信任关系时,必须确保自托管式目录与兼容并保持此兼容性 Amazon Directory Service。有关您的责任的更多信息,请参阅我们的责任共担模型

Amazon Managed Microsoft AD 支持外部信任和林信任。要演练演示如何创建林信任的示例方案,请参阅教程:在 Amazon Microsoft AD 与自托管式 Active Directory 域之间创建信任关系

Amazon Chime、Amazon Connect、、、、Amazon、Amazon、A Amazon IAM Identity Center mazon QuickSight、A WorkDocs WorkMail ma WorkSpaces zon 等 Amazon 企业应用程序需要双向信任。 Amazon Web Services Management Console Amazon Managed Microsoft AD 必须能够查询自托管Active Directory式中的用户和组。

您可以启用选择性身份验证,以便仅 Amazon 应用程序特定的服务账户才能查询您的自托管式Active Directory。有关更多信息,请参阅增强 Amazon 应用程序与 Amazon Managed Microsoft AD 集成的安全性

Amazon EC2、Amazon RDS 和 Amazon FSx 支持单向或双向信任中的任一种。

先决条件

创建信任只需几个步骤,但是在设置信任之前必须先完成一些先决条件步骤。

注意

Amazon Managed Microsoft AD 不支持对单个标签域的信任。

连接到 VPC

如果您要与自己的自托管式目录建立信任关系,则必须先将自托管式网络连接到包含 Amazon Managed Microsoft AD 的 Amazon VPC。您的自托管式和 Amazon Managed Microsoft AD 网络的防火墙必须打开Microsoft文档中的 WindowsServer 2008 及更高版本中列出的网络端口。

要使用您的 NetBIOS 名称代替完整域名来对 Amazon 应用程序(例如 Amazon 或 WorkDocs Amazon)进行身份验证 QuickSight,您必须允许端口 9389。有关 Active Directory 端口和协议的更多信息,请参阅 Microsoft 文档中的 Windows 服务概述和网络端口要求

这些是能够连接到目录所需的最少端口。根据您的特定配置,您可能需要打开其他端口。

配置 VPC

包含 Managed Micro Amazon soft AD 的 VPC 必须具有适当的出站和入站规则。

配置 VPC 出站规则

  1. Amazon Directory Service 控制台中的目录详细信息页面上,记下 Managed Micro Amazon soft AD 目录 ID。

  2. 打开位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

  3. 选择 Security Groups

  4. 搜索 Managed M Amazon icrosoft AD 目录 ID。在搜索结果中,选择带 “已为 d irectory ID 目录控制器Amazon 创建安全组” 描述的项。

    注意

    所选安全组是在最初创建目录时自动创建的安全组。

  5. 转到该安全组的 Outbound Rules 选项卡。依次选择 EditAdd another rule。对于新规则,输入以下值:

    • Type:All Traffic

    • Protocol:All

    • 目的地确定自托管式网络中可以离开域控制器的流量,以及它可以传送到何处。用 CIDR 表示法指定单个 IP 地址或 IP 地址范围 (例如 203.0.113.5/32)。您还可以指定同一区域中其他安全组的名称或 ID。有关更多信息,请参阅 了解目录的 Amazon 安全组配置和使用

  6. 选择保存

启用 Kerberos 预身份验证

用户账户必须启用 Kerberos 预身份验证。有关此设置的更多信息,请参阅 Microsoft 上的 Preauthen tic TechNet ation。

在自托管式域中配置 DNS 条件转发器

必须在自托管式域中设置 DNS 条件转发服务器。有关条件转发器的详细信息,请参阅 Microsoft 上 TechNet 为域名分配条件转发器。

要执行以下步骤,自托管式域必须有权访问以下 Windows Server 工具:

  • AD DS 和 AD LDS 工具

  • DNS

要在自托管式域上配置条件转发器

  1. 首先必须获取有关 Managed Microsof Amazon t AD 的一些信息。登录 Amazon Web Services Management Console 并打开 Amazon Directory Service 控制台

  2. 在导航窗格中,选择 Directories

  3. 选择 Managed Microsof Amazon t AD 的目录 ID。

  4. 记下目录的完全限定域名 (FQDN) 和 DNS 地址。

  5. 现在,返回自托管式域控制器。打开服务器管理器。

  6. Tools 菜单上,选择 DNS

  7. 在控制台树中,展开为其设置信任的域的 DNS 服务器。

  8. 在控制台树中,选择 Conditional Forwarders

  9. Action 菜单上,选择 New conditional forwarder

  10. DNS 域中,键入前面记下的 Managed Microsoft AD 的完全限定域名(FQDN)。 Amazon

  11. 选择主服务器的 IP 地址,然后键入前面记下的 Managed Microsoft AD 目录的 DNS 地址。 Amazon

    输入 DNS 地址之后,可能遇到“超时”或“无法解析”错误。通常可以忽略这些错误。

  12. 选择 Store this conditional forwarder in Active Directory and replicate as follows: All DNS servers in this domain。选择确定

信任关系密码

如果要创建与现有域的信任关系,则使用 Windows Server 管理工具对该域设置信任关系。执行此操作时,请记下所使用的信任密码。在 Managed Microsoft AD 上设置信任关系时,需要使用该 Amazon 密码。有关更多信息,请参阅在 Microsoft 上管理信任 TechNet。

现在您已准备就绪,可在 Managed Microsoft Amazon AD 上创建信任关系。

NetBIOS 和域名

为了建立信任关系,NetBIOS 和域名必须是唯一的,并且不能相同。

创建、验证或删除信任关系

注意

信任关系是 Managed Microsoft Amazon AD 的全局功能。如果您使用的是 为 Microsoft A Amazon D 配置多区域复制,则必须在 主 区域 中执行以下过程。更改将自动应用于所有复制的区域。有关更多信息,请参阅 全局与区域特色

创建与 Managed Microsoft Amazon AD 的信任关系

  1. 打开 Amazon Directory Service 管理控制台

  2. 目录页面上,选择 Managed Micro Amazon soft AD ID。

  3. 报告详细信息页面上,执行以下操作之一:

    • 如果多区域复制下显示多个区域,选择主区域,然后选择网络与安全选项卡。有关更多信息,请参阅 主区域与其他区域

    • 如果多区域复制下未显示任何区域,选择网络与安全选项卡。

  4. 信任关系部分中,选择操作,然后选择添加信任关系

  5. 添加信任关系页面上,提供所需信息,包括信任类型、受信任域的完全限定域名 (FQDN)、信任密码和信任方向。

  6. (可选)如果您希望仅允许授权用户访问 Managed Microsoft AD 目录中的资源,可以选择选中选择性身份验证复选框。 Amazon 有关选择性身份验证的一般信息,请参阅 Microsoft 上信任的安全注意事项 TechNet。

  7. 对于条件转发器,键入自托管式 DNS 服务器的 IP 地址。如果以前创建过条件转发服务器,则可键入自托管式域的 FQDN,而不是 DNS IP 地址。

  8. (可选)选择添加其他 IP 地址,然后键入另一台自托管式 DNS 服务器的 IP 地址。可以为每台适用的 DNS 服务器地址重复此步骤,总共可输入四个地址。

  9. 选择添加

  10. 如果自托管式域的 DNS 服务器或网络使用公有(非 RFC 1918)IP 地址空间,则转到 IP 路由选择部分,选择操作,然后选择添加路由。使用 CIDR 格式键入 DNS 服务器或自托管式网络的 IP 地址块,例如 203.0.113.0/24。如果 DNS 服务器和自托管式网络均使用 RFC 1918 IP 地址空间,此步骤并不是必要的。

    注意

    如果使用公有 IP 地址空间,请确保您不会使用 Amazon IP 地址范围内的任何地址,因为无法使用它们。

  11. (可选)我们建议,当您位于添加路由页面上时,您还可以选择向此目录的 VPC 的安全组添加路由。这样会按照上面“配置 VPC”中的详细说明来配置安全组。这些安全规则会影响未公开的内部网络接口。如果此选项不可用,则您会看到一条消息,指示已自定义了安全组。

必须对两个域都设置信任关系。关系必须互相补充。例如,如果在一个域上创建传出信任,则必须在另一个域上创建传入信任。

如果要创建与现有域的信任关系,则使用 Windows Server 管理工具对该域设置信任关系。

您可以在 Managed Microsoft AD 与各个 Active Directory 域之间创建多个 Amazon 但是,每次只能有一个信任关系存在。例如,如果有一个“传入方向”的现有单向信任,随后要设置“传出方向”的另一个信任关系,则需要删除现有信任关系,再创建新的“双向”信任。

验证传出信任关系

  1. 打开 Amazon Directory Service 管理控制台

  2. 目录页面上,选择 Managed Micro Amazon soft AD ID。

  3. 报告详细信息页面上,执行以下操作之一:

    • 如果多区域复制下显示多个区域,选择主区域,然后选择网络与安全选项卡。有关更多信息,请参阅 主区域与其他区域

    • 如果多区域复制下未显示任何区域,选择网络与安全选项卡。

  4. 信任关系部分中,选择您想要验证的信任,选择操作,然后选择验证信任关系

此过程仅验证双向信任的传出方向。 Amazon 不支持验证传入的信任。有关如何验证传入或传出自托管式 Active Directory 的信任的更多信息,请参阅 Microsoft TechNet 上的验证信任

删除现有信任关系

  1. 打开 Amazon Directory Service 管理控制台

  2. 目录页面上,选择 Managed Micro Amazon soft AD ID。

  3. 报告详细信息页面上,执行以下操作之一:

    • 如果多区域复制下显示多个区域,选择主区域,然后选择网络与安全选项卡。有关更多信息,请参阅 主区域与其他区域

    • 如果多区域复制下未显示任何区域,选择网络与安全选项卡。

  4. 信任关系部分中,选择您想要删除的信任,选择操作,然后选择删除信任关系

  5. 选择删除