步骤 3:创建信任关系 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 3:创建信任关系

现在准备工作已完成,最后的几个步骤是创建信任。首先在自托管式域上创建信任,最后在 Amazon Managed Microsoft AD 上创建信任。如果您在创建信任的过程中遇到任何问题,请参阅信任创建状态原因获得帮助。

在自托管式 Active Directory 中配置信任

在本教程中,将配置一个双向林信任。但是,如果创建单向林信任,请注意,每个域上的信任方向必须互相补充。例如,如果在自托管式域上创建单向传出信任,则需要在 Amazon Managed Microsoft AD 上创建单向传入信任。

注意

Amazon Managed Microsoft AD 还支持外部信任。但是,在此教程中,您将创建一个双向林信任。

配置对您自行管理的 Active Directory 的信任
  1. 打开服务器管理器,然后在 Tools 菜单上,选择 Active Directory Domains and Trusts

  2. 打开域的上下文 (右键单击) 菜单,选择 Properties

  3. 选择 Trusts 选项卡,然后选择 New trust。键入 Amazon Managed Microsoft AD 的名称,然后选择下一步

  4. 选择 Forest trust。选择下一步

  5. 选择 Two-way。选择下一步

  6. 选择 This domain only。选择下一步

  7. 选择 Forest-wide authentication。选择下一步

  8. 键入 Trust password。请务必记住此密码,因为在为 Amazon Managed Microsoft AD 设置信任时会需要它。

  9. 在下一个对话框中,确认设置,然后选择 Next。确认已成功创建信任,再次选择 Next

  10. 选择 No, do not confirm the outgoing trust。选择下一步

  11. 选择 No, do not confirm the incoming trust。选择下一步

在 Amazon Managed Microsoft AD 目录中配置信任

最后,配置与 Amazon Managed Microsoft AD 目录的林信任关系。因为已在自托管式域上创建了双向林信任,因此还将使用 Amazon Managed Microsoft AD 创建双向信任。

注意

信任关系是 Amazon Managed Microsoft AD 的全局功能。如果您使用的是 为 Amazon 托管的 Microsoft AD 配置多区域复制,则必须在 主 区域 中执行以下过程。更改将自动应用于所有复制的区域。有关更多信息,请参阅全局与区域特色

要在 Amazon Managed Microsoft AD 目录中配置信任
  1. 返回到 Amazon Directory Service 控制台

  2. 目录页面上,选择 Amazon Managed Microsoft AD ID。

  3. 报告详细信息页面上,执行以下操作之一:

    • 如果多区域复制下显示多个区域,选择主区域,然后选择网络与安全选项卡。有关更多信息,请参阅主区域与其他区域

    • 如果多区域复制下未显示任何区域,选择网络与安全选项卡。

  4. 信任关系部分中,选择操作,然后选择添加信任关系

  5. 添加信任关系页面上,指定信任类型。在本例中,我们选择树信任。键入自托管式域的 FQDN(在本教程 corp.example.com 中)。键入在自托管式域上创建信任时所使用的信任密码。指定方向。在本例中,我们选择双向

  6. 条件转发器字段中,输入自托管式 DNS 服务器的 IP 地址。在此示例中,输入 172.16.10.153。

  7. (可选)选择添加其他 IP 地址,并输入自托管式 DNS 服务器的第二个 IP 地址。最多可以指定总共四个 DNS 服务器。

  8. 选择添加

祝贺您。现在,你的自我管理域名 (corp.example.com) 和你的托管Amazon微软 AD (ad.example.com) 之间存在信任关系。MyManaged这两个域之间只能设置一个关系。例如,如果要将信任方向更改为单向,则需要先删除现有信任关系,然后才能创建新关系。

有关更多信息 (包括有关验证或删除信任的说明),请参阅在你的 Microsoft Amazon 托管 AD 和自我管理的 AD 之间建立信任关系