本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在你的 Microsoft Amazon 托管 AD 和自我管理的 AD 之间建立信任关系
你可以在 Microsoft Active Directory 的 Amazon 目录服务与自我管理(本地)目录之间以及 Amazon 云中多个 Amazon 托管 Microsoft AD 目录之间配置单向和双向外部和林信任关系。 Amazon 托管 Microsoft AD 支持所有三个信任关系方向:传入、传出和双向(双向)。
有关信任关系的更多信息,请参阅[你想了解的有关 Amazon 托管 Microsoft AD 的信任的所有](https://www.amazonaws.cn/blogs//security/everything-you-wanted-to-know-about-trusts-with-aws-managed-microsoft-ad/)信息。
**注意**
设置信任关系时,必须确保您的自管理目录与兼容,并且始终与 Amazon Directory Service s 兼容。有关您的责任的更多信息,请参阅我们的[责任共担模型](https://www.amazonaws.cn/compliance/shared-responsibility-model)。
Amazon 托管 Microsoft AD 支持外部信任和林信任。要演练演示如何创建林信任的示例方案,请参阅[教程:在你的 Amazon 托管 Microsoft AD 和你自行管理的 Active Directory 域之间创建信任关系](ms_ad_tutorial_setup_trust.md)。
Amazon Chime、Amazon Connect、Quick、、、Amazon Amazon IAM Identity Center、 WorkDocs A WorkMail ma WorkSpaces zon 等 Amazon 企业应用程序需要双向信任。 Amazon Web Services 管理控制台 Amazon 托管 Microsoft AD 必须能够查询你自行管理的 Active Directory 中的用户和群组。
您可以启用选择性身份验证,这样只有 Amazon 应用程序特定的服务帐户才能查询您自行管理的 Active Directory。有关更多信息,请参阅[使用 Amazon 托管 Microsoft AD 增强 Amazon 应用程序集成的安全性](https://www.amazonaws.cn//blogs/modernizing-with-aws/enhance-security-of-your-aws-app-integration-with-aws-managed-microsoft-ad/)。
Amazon EC2、Amazon RDS 和亚马逊 FSx 将使用单向或双向信任。
## 先决条件
创建信任只需几个步骤,但是在设置信任之前必须先完成一些先决条件步骤。
**注意**
Amazon 托管 Microsoft AD 不支持对[单一标签域名的](https://support.microsoft.com/en-us/help/2269810/microsoft-support-for-single-label-domains)信任。
### 连接到 VPC
如果您要与自己的自托管式目录建立信任关系,则必须先将自托管式网络连接到包含 Amazon Managed Microsoft AD 的 Amazon VPC。您的自我 Amazon 管理和托管 Microsoft AD 网络的防火墙必须打开Microsoft文档中 [WindowsServer 2008 及更高版本](https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts#windows-server-2008-and-later-versions)中列出的网络端口。
要使用您的 NetBIOS 名称代替完整域名对 WorkDocs 亚马逊或 Amazon Quick Amazon 等应用程序进行身份验证,则必须允许端口 9389。有关 Active Directory 端口和协议的更多信息,请参阅 Microsoft 文档中的 [Windows 服务概述和网络端口要求](https://learn.microsoft.com/en-US/troubleshoot/windows-server/networking/service-overview-and-network-port-requirements#system-services-ports)。
这些是能够连接到目录所需的最少端口。根据您的特定配置,您可能需要打开其他端口。
### 配置 VPC
包含您的 Amazon 托管 Microsoft AD 的 VPC 必须具有相应的出站和入站规则。
**配置 VPC 出站规则**
1. 在[Amazon Directory Service 控制台](https://console.amazonaws.cn/directoryservicev2/)的**目录详细信息**页面上,记下你的 Amazon 托管 Microsoft AD 目录 ID。
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.amazonaws.cn/vpc/) 的 Amazon VPC 控制台。
1. 选择**安全组**。
1. 搜索你的 Amazon 托管微软 AD 目录 ID。在搜索结果中,选择描述为 “为*目录 ID 目录*控制器Amazon 创建安全组” 的项目。
**注意**
所选安全组是在最初创建目录时自动创建的安全组。
1. 转到该安全组的 **Outbound Rules** 选项卡。依次选择 **Edit**、**Add another rule**。对于新规则,输入以下值:
+ **Type**:All Traffic
+ **Protocol**:All
+ **目的地**确定自托管式网络中可以离开域控制器的流量,以及它可以传送到何处。用 CIDR 表示法指定单个 IP 地址或 IP 地址范围 (例如 203.0.113.5/32)。您还可以指定同一区域中其他安全组的名称或 ID。有关更多信息,请参阅 [了解目录 Amazon 的安全组配置并使用](ms_ad_best_practices.md#understandsecuritygroup)。
1. 选择**保存**。
### 启用 Kerberos 预身份验证
用户账户必须启用 Kerberos 预身份验证。有关此设置的更多信息,请查看 Microsoft TechNet 上的[预身份验证](http://technet.microsoft.com/en-us/library/cc961961.aspx)。
### 在自托管式域中配置 DNS 条件转发器
必须在自托管式域中设置 DNS 条件转发服务器。有关[条件转发器的详细信息,请参阅 Microsoft 上 TechNet 为域名分配](https://technet.microsoft.com/en-us/library/cc794735.aspx)条件转发器。
要执行以下步骤,自托管式域必须有权访问以下 Windows Server 工具:
+ AD DS 和 AD LDS 工具
+ DNS
**要在自托管式域上配置条件转发器**
1. 首先,你必须获得一些关于你的 Amazon 托管 Microsoft AD 的信息。登录 Amazon Web Services 管理控制台 并打开 [Amazon Directory Service 控制台](https://console.amazonaws.cn/directoryservicev2/)。
1. 在导航窗格中,选择 **Directories**。
1. 选择你的 Microsoft Amazon 托管广告的目录 ID。
1. 记下目录的完全限定域名 (FQDN) 和 DNS 地址。
1. 现在,返回自托管式域控制器。打开服务器管理器。
1. 在 **Tools** 菜单上,选择 **DNS**。
1. 在控制台树中,展开为其设置信任的域的 DNS 服务器。
1. 在控制台树中,选择 **Conditional Forwarders**。
1. 在 **Action** 菜单上,选择 **New conditional forwarder**。
1. 在 **DNS 域**中,键入你之前提到的 Amazon 托管 Microsoft AD 的完全限定域名 (FQDN)。
1. 选择**主服务器的 IP 地址,**然后键入你之前提到的 Microsoft AD Amazon 托管目录的 DNS 地址。
输入 DNS 地址之后,可能遇到“超时”或“无法解析”错误。通常可以忽略这些错误。
1. 选择 **Store this conditional forwarder in Active Directory and replicate as follows: All DNS servers in this domain**。选择**确定**。
### 信任关系密码
如果要创建与现有域的信任关系,则使用 Windows Server 管理工具对该域设置信任关系。执行此操作时,请记下所使用的信任密码。在 Amazon 托管 Microsoft AD 上设置信任关系时,你需要使用相同的密码。有关更多信息,请参阅在 Microsoft 上[管理信任](https://technet.microsoft.com/en-us/library/cc771568.aspx) TechNet。
现在,您可以在 Microsoft Amazon 托管广告上创建信任关系了。
### NetBIOS 和域名
为了建立信任关系,NetBIOS 和域名必须是唯一的,并且不能相同。
## 创建、验证或删除信任关系
**注意**
信任关系是 Microsoft Amazon 托管 AD 的全球特征。如果您使用的是 [为 Amazon 托管的 Microsoft AD 配置多区域复制](ms_ad_configure_multi_region_replication.md),则必须在 [主 区域](multi-region-global-primary-additional.md#multi-region-primary) 中执行以下过程。更改将自动应用于所有复制的区域。有关更多信息,请参阅 [全局与区域特色](multi-region-global-region-features.md)。
**与你的 Microsoft Amazon 托管 AD 建立信任关系**
1. 打开 [Amazon Directory Service 控制台](https://console.amazonaws.cn/directoryservicev2/)。
1. 在**目录**页面上,选择你的 Amazon 托管 Microsoft AD ID。
1. 在**报告详细信息**页面上,执行以下操作之一:
+ 如果**多区域复制**下显示多个区域,选择主区域,然后选择**网络与安全**选项卡。有关更多信息,请参阅 [主区域与其他区域](multi-region-global-primary-additional.md)。
+ 如果**多区域复制**下未显示任何区域,选择**网络与安全**选项卡。
1. 在**信任关系**部分中,选择**操作**,然后选择**添加信任关系**。
1. 在**添加信任关系**页面上,提供所需信息,包括信任类型、受信任域的完全限定域名 (FQDN)、信任密码和信任方向。
1. (可选)如果您只想允许授权用户访问 Amazon 托管 Microsoft AD 目录中的资源,则可以选择选择**性身份验证**复选框。有关选择性身份验证的一般信息,请参阅 Microsoft 上[信任的安全注意事项](https://technet.microsoft.com/pt-pt/library/cc755321(v=ws.10).aspx) TechNet。
1. 对于**条件转发器**,键入自托管式 DNS 服务器的 IP 地址。如果以前创建过条件转发服务器,则可键入自托管式域的 FQDN,而不是 DNS IP 地址。
1. (可选)选择**添加其他 IP 地址**,然后键入另一台自托管式 DNS 服务器的 IP 地址。可以为每台适用的 DNS 服务器地址重复此步骤,总共可输入四个地址。
1. 选择**添加**。
1. 如果自托管式域的 DNS 服务器或网络使用公有(非 RFC 1918)IP 地址空间,则转到 **IP 路由选择**部分,选择**操作**,然后选择**添加路由**。使用 CIDR 格式键入 DNS 服务器或自托管式网络的 IP 地址块,例如 203.0.113.0/24。如果 DNS 服务器和自托管式网络均使用 RFC 1918 IP 地址空间,此步骤并不是必要的。
**注意**
如果使用公有 IP 地址空间,请确保您不会使用 [Amazon IP 地址范围](https://ip-ranges.amazonaws.com/ip-ranges.json)内的任何地址,因为无法使用它们。
1. (可选)我们建议,当您位于**添加路由**页面上时,您还可以选择**向此目录的 VPC 的安全组添加路由**。这样会按照上面“配置 VPC”中的详细说明来配置安全组。这些安全规则会影响未公开的内部网络接口。如果此选项不可用,则您会看到一条消息,指示已自定义了安全组。
必须对两个域都设置信任关系。关系必须互相补充。例如,如果在一个域上创建传出信任,则必须在另一个域上创建传入信任。
如果要创建与现有域的信任关系,则使用 Windows Server 管理工具对该域设置信任关系。
您可以在 Amazon 托管的 Microsoft AD 和各个 Active Directory 域之间创建多个信任。但是,每次只能有一个信任关系存在。例如,如果有一个“传入方向”的现有单向信任,随后要设置“传出方向”的另一个信任关系,则需要删除现有信任关系,再创建新的“双向”信任。
**验证传出信任关系**
1. 打开 [Amazon Directory Service 控制台](https://console.amazonaws.cn/directoryservicev2/)。
1. 在**目录**页面上,选择你的 Amazon 托管 Microsoft AD ID。
1. 在**报告详细信息**页面上,执行以下操作之一:
+ 如果**多区域复制**下显示多个区域,选择主区域,然后选择**网络与安全**选项卡。有关更多信息,请参阅 [主区域与其他区域](multi-region-global-primary-additional.md)。
+ 如果**多区域复制**下未显示任何区域,选择**网络与安全**选项卡。
1. 在**信任关系**部分中,选择您想要验证的信任,选择**操作**,然后选择**验证信任关系**。
此过程仅验证双向信任的传出方向。 Amazon 不支持验证传入的信任。有关如何验证与您自行管理的 Active Directory 之间的信任的更多信息,请参阅在 Microsoft TechNet 上[验证信任](https://technet.microsoft.com/en-us/library/cc753821.aspx)。
**删除现有信任关系**
1. 打开 [Amazon Directory Service 控制台](https://console.amazonaws.cn/directoryservicev2/)。
1. 在**目录**页面上,选择你的 Amazon 托管 Microsoft AD ID。
1. 在**报告详细信息**页面上,执行以下操作之一:
+ 如果**多区域复制**下显示多个区域,选择主区域,然后选择**网络与安全**选项卡。有关更多信息,请参阅 [主区域与其他区域](multi-region-global-primary-additional.md)。
+ 如果**多区域复制**下未显示任何区域,选择**网络与安全**选项卡。
1. 在**信任关系**部分中,选择您想要删除的信任,选择**操作**,然后选择**删除信任关系**。
1. 选择**删除**。