AWS Directory Service
管理指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

步骤 3:创建信任关系

现在准备工作已完成,最后的几个步骤是创建信任。首先在本地域上创建信任,最后在 AWS Managed Microsoft AD 上创建信任。如果您在创建信任的过程中遇到任何问题,请参阅信任创建状态原因获得帮助。

在您的本地 Active Directory 中配置信任

在本教程中,将配置一个双向林信任。但是,如果创建单向林信任,请注意,每个域上的信任方向必须互相补充。例如,如果在本地域上创建单向传出信任,则需要在 AWS Managed Microsoft AD 上创建单向传入信任。

注意

AWS Managed Microsoft AD 还支持外部信任。但是,在此教程中,您将创建一个双向林信任。

在本地 AD 中配置信任

  1. 打开服务器管理器,然后在 Tools 菜单上,选择 Active Directory Domains and Trusts

  2. 打开域的上下文 (右键单击) 菜单,选择 Properties

  3. 选择 Trusts 选项卡,然后选择 New trust。请键入 AWS Managed Microsoft AD 的名称,然后选择 Next (下一步)

  4. 选择 Forest trust。选择 Next

  5. 选择 Two-way。选择 Next

  6. 选择 This domain only。选择 Next

  7. 选择 Forest-wide authentication。选择 Next

  8. 键入 Trust password。请务必记住此密码,因为在为 AWS Managed Microsoft AD 设置信任时会需要它。

  9. 在下一个对话框中,确认设置,然后选择 Next。确认已成功创建信任,再次选择 Next

  10. 选择 No, do not confirm the outgoing trust。选择 Next

  11. 选择 No, do not confirm the incoming trust。选择 Next

在您的 AWS Managed Microsoft AD 目录中配置信任

最后,配置与您的 AWS Managed Microsoft AD 目录的林信任关系。因为已在本地域上创建了双向林信任,因此还将使用 AWS Managed Microsoft AD 目录创建双向信任。

在您的 AWS Managed Microsoft AD 目录中配置信任

  1. 返回到 AWS Directory Service console

  2. Directories (目录) 页面上,选择您的 AWS Managed Microsoft AD ID。

  3. 目录详细信息页面上,选择 Networking & security (联网和安全性) 选项卡。

  4. 信任关系部分中,选择操作,然后选择添加信任关系

  5. Add a trust relationship (添加信任关系) 页面上,键入本地域的 FQDN(在本教程为 corp.example.com)。键入在本地域上创建信任时所使用的信任密码。指定方向。在本例中,我们选择 Two-way

  6. Conditional forwarder 字段中,输入本地 DNS 服务器的 IP 地址。在此示例中,输入 172.16.10.153。

  7. (可选)选择 Add another IP address (添加另一个 IP 地址),并输入本地 DNS 服务器的第二个 IP 地址。最多可以指定总共四个 DNS 服务器。

  8. 选择 Add

祝贺您。现在,本地域 (corp.example.com) 与 AWS Managed Microsoft AD (MyManagedAD.example.com) 之间已具有信任关系。这两个域之间只能设置一个关系。例如,如果要将信任方向更改为单向,则需要先删除现有信任关系,然后才能创建新关系。

有关更多信息 (包括有关验证或删除信任的说明),请参阅何时创建信任关系