本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
步骤 3:创建信任关系
现在准备工作已完成,最后的几个步骤是创建信任。首先在自托管式域上创建信任,最后在 Amazon Managed Microsoft AD 上创建信任。如果您在创建信任的过程中遇到任何问题,请参阅信任创建状态原因获得帮助。
在自托管式 Active Directory 中配置信任
在本教程中,将配置一个双向林信任。但是,如果创建单向林信任,请注意,每个域上的信任方向必须互相补充。例如,如果在自托管式域上创建单向传出信任,则需要在 Amazon Managed Microsoft AD 上创建单向传入信任。
注意
Amazon Managed Microsoft AD 还支持外部信任。但是,在此教程中,您将创建一个双向林信任。
配置对您自行管理的 Active Directory 的信任
-
打开服务器管理器,然后在 Tools 菜单上,选择 Active Directory Domains and Trusts。
-
打开域的上下文 (右键单击) 菜单,选择 Properties。
-
选择 Trusts 选项卡,然后选择 New trust。键入 Amazon Managed Microsoft AD 的名称,然后选择下一步。
选择 Forest trust。选择下一步。
-
选择 Two-way。选择下一步。
选择 This domain only。选择下一步。
选择 Forest-wide authentication。选择下一步。
键入 Trust password。请务必记住此密码,因为在为 Amazon Managed Microsoft AD 设置信任时会需要它。
在下一个对话框中,确认设置,然后选择 Next。确认已成功创建信任,再次选择 Next。
选择 No, do not confirm the outgoing trust。选择下一步。
选择 No, do not confirm the incoming trust。选择下一步。
在 Amazon Managed Microsoft AD 目录中配置信任
最后,配置与 Amazon Managed Microsoft AD 目录的林信任关系。因为已在自托管式域上创建了双向林信任,因此还将使用 Amazon Managed Microsoft AD 创建双向信任。
注意
信任关系是 Amazon Managed Microsoft AD 的全局功能。如果您使用的是 为 Amazon 托管的 Microsoft AD 配置多区域复制,则必须在 主 区域 中执行以下过程。更改将自动应用于所有复制的区域。有关更多信息,请参阅全局与区域特色:
要在 Amazon Managed Microsoft AD 目录中配置信任
-
在目录页面上,选择 Amazon Managed Microsoft AD ID。
-
在报告详细信息页面上,执行以下操作之一:
如果多区域复制下显示多个区域,选择主区域,然后选择网络与安全选项卡。有关更多信息,请参阅主区域与其他区域:
如果多区域复制下未显示任何区域,选择网络与安全选项卡。
-
在信任关系部分中,选择操作,然后选择添加信任关系。
-
在添加信任关系页面上,指定信任类型。在本例中,我们选择树信任。键入自托管式域的 FQDN(在本教程
corp.example.com
中)。键入在自托管式域上创建信任时所使用的信任密码。指定方向。在本例中,我们选择双向。 在条件转发器字段中,输入自托管式 DNS 服务器的 IP 地址。在此示例中,输入 172.16.10.153。
(可选)选择添加其他 IP 地址,并输入自托管式 DNS 服务器的第二个 IP 地址。最多可以指定总共四个 DNS 服务器。
选择添加。
祝贺您。现在,你的自我管理域名 (corp.example.com) 和你的托管Amazon微软 AD (ad.example.com) 之间存在信任关系。MyManaged这两个域之间只能设置一个关系。例如,如果要将信任方向更改为单向,则需要先删除现有信任关系,然后才能创建新关系。
有关更多信息 (包括有关验证或删除信任的说明),请参阅在你的 Microsoft Amazon 托管 AD 和自我管理的 AD 之间建立信任关系。