Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Schritt 2: Vertrauensstellungen erstellen In diesem Abschnitt erstellen Sie zwei separate Forest-Vertrauensbeziehungen. Eine Vertrauensstellung wird von der Active Directory-Domäne auf Ihrer EC2-Instance und die andere von Ihrem AWS verwalteten Microsoft AD in AWS erstellt. ![\[Bidirektionale Vertrauensstellung zwischen corp.example.com und example.local\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust_twoway.png) **So stellen Sie das Vertrauen zwischen Ihrer EC2-Domain und Ihrem AWS verwalteten Microsoft AD her** 1. Melden Sie sich bei **example.local** an. 1. Öffnen Sie **Server Manager** und wählen Sie in der Konsolenstruktur **DNS**. Notieren Sie sich die für den Server IPv4 angegebene Adresse. Sie benötigen diese im nächsten Verfahren, wenn Sie eine bedingte Weiterleitung von **corp.example.com** zum Verzeichnis **example.local** erstellen. 1. Wählen Sie im Menü **Tools** den Eintrag **Active Directory Domains and Trusts**. 1. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf **example.local** und wählen Sie dann **Properties**. 1. Wählen Sie auf der Registerkarte **Trusts** die Option **New Trust** und dann **Next**. 1. Geben Sie auf der Seite **Trust Name** den Namen **corp.example.com** ein und wählen Sie dann **Next**. 1. Wählen Sie auf der Seite **Trust Type** die Option **Forest trust** und wählen Sie dann **Next**. **Anmerkung** AWS Managed Microsoft AD unterstützt auch externe Vertrauensstellungen. Für dieses Tutorial erstellen Sie jedoch eine bidirektionale Gesamtstruktur-Vertrauensstellung. 1. Wählen Sie auf der Seite **Direction of Trust** die Option **Two-way** und wählen Sie dann **Next**. **Anmerkung** Wenn Sie sich später entscheiden, dies stattdessen mit einer einseitigen Vertrauensstellung zu versuchen, vergewissern Sie sich, dass die Richtungen der Vertrauensstellung korrekt eingerichtet sind (ausgehend von der Trusting Domain, eingehend auf der Trusted Domain). Allgemeine Informationen finden Sie auf der Website von Microsoft unter [Verstehen der Vertrauensstellungs-Richtung](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)). 1. Wählen Sie auf der Seite **Sides of Trust** die Option **This domain only** und dann **Next**. 1. Wählen Sie auf der Seite **Outgoing Trust Authentication Level** die Option **Forest-wide authentication** und dann **Next**. **Anmerkung** Die **selektive Authentifizierung** ist zwar eine Option, aber der Einfachheit halber empfehlen wir, sie hier nicht zu aktivieren. Wenn diese Funktion konfiguriert ist, beschränkt sie den Zugriff über eine externe oder Gesamtstruktur-Vertrauensstellung auf diejenigen Benutzer in einer Trusted Domain oder Gesamtstruktur, denen explizit die Berechtigung zur Authentifizierung für Computerobjekte (Ressourcencomputer) in der Trusting Domain oder Gesamtstruktur erteilt wurde. Weitere Informationen finden Sie unter [Konfigurieren der Einstellungen für die selektive Authentifizierung](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)). 1. Geben Sie auf der Seite **Trust Password** zweimal das Passwort für die Vertrauensbeziehung ein, und wählen Sie dann **Next**. Im nächsten Verfahren verwenden Sie dasselbe Passwort. 1. Sehen Sie sich auf der Seite **Trust Selections Complete** die Ergebnisse an, und wählen Sie dann **Next**. 1. Sehen Sie sich auf der Seite **Trust Creation Complete** die Ergebnisse an, und wählen Sie dann **Next**. 1. Wählen Sie auf der Seite **Confirm Outgoing Trust** die Option **No, do not confirm the outgoing trust**. Wählen Sie anschließend **Weiter**. 1. Wählen Sie auf der Seite **Confirm Incoming Trust** die Option **No, do not confirm the incoming trust**. Wählen Sie anschließend **Weiter**. 1. Wählen Sie auf der Seite **Completing the New Trust Wizard** die Option **Finish**. **Anmerkung** Vertrauensbeziehungen sind eine globale Funktion von AWS Managed Microsoft AD. Wenn Sie [Konfiguration der regionsübergreifenden Replikation für AWS Managed Microsoft AD](ms_ad_configure_multi_region_replication.md) verwenden, müssen die folgenden Verfahren in [Primäre -Region](multi-region-global-primary-additional.md#multi-region-primary) ausgeführt werden. Die Änderungen werden automatisch auf alle replizierten Regionen angewendet. Weitere Informationen finden Sie unter [Globale und regionale Features](multi-region-global-region-features.md). **So stellen Sie das Vertrauen zwischen Ihrem AWS verwalteten Microsoft AD und Ihrer EC2-Domain her** 1. Öffnen Sie die [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/). 1. Wählen Sie das Verzeichnis **corp.example.com**. 1. Führen Sie auf der Seite **Verzeichnisdetails** einen der folgenden Schritte aus: + Wenn Sie unter **Multi-Region-Replikation** mehrere Regionen angezeigt bekommen, wählen Sie die primäre Region aus und wählen dann die Registerkarte **Netzwerk und Sicherheit**. Weitere Informationen finden Sie unter [Primäre Regionen im Vergleich zu zusätzlichen Regionen](multi-region-global-primary-additional.md). + Wenn unter **Multi-Region-Replikation** keine Regionen angezeigt werden, wählen Sie die Registerkarte **Netzwerk und Sicherheit**. 1. Wählen Sie im Abschnitt **Trust relationships (Vertrauensstellungen)** die Option **Actions (Aktionen)** und dann **Add trust relationship (Vertrauensstellung hinzufügen** aus. 1. Führen Sie im Dialogfeld **Add a trust relationship** die folgenden Schritte aus: + Wählen Sie unter **Vertrauenstyp** die Option **Gesamtstruktur-Vertrauenstellung** aus. **Anmerkung** Stellen Sie sicher, dass der **Vertrauenstyp**, den Sie hier auswählen, mit dem gleichen Vertrauenstyp übereinstimmt, der im vorherigen Verfahren konfiguriert wurde (Um die Vertrauensstellung zwischen Ihrer EC2-Domäne und Ihrem AWS verwalteten Microsoft AD zu erstellen). + Geben Sie für **Bestehender oder neuer Name der Remote Domain** **example.local** ein. + Geben Sie für **Trust password** dasselbe Passwort ein, das Sie im vorigen Verfahren verwendet haben. + Wählen Sie für **Vertrauensstellungs-Richtung** die Option **Bidirektional**. **Anmerkung** Wenn Sie sich später entscheiden, dies stattdessen mit einer einseitigen Vertrauensstellung zu versuchen, vergewissern Sie sich, dass die Richtungen der Vertrauensstellung korrekt eingerichtet sind (ausgehend von der Trusting Domain, eingehend auf der Trusted Domain). Allgemeine Informationen finden Sie auf der Website von Microsoft unter [Verstehen der Vertrauensstellungs-Richtung](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)). Die **selektive Authentifizierung** ist zwar eine Option, aber der Einfachheit halber empfehlen wir, sie hier nicht zu aktivieren. Wenn diese Funktion konfiguriert ist, beschränkt sie den Zugriff über eine externe oder Gesamtstruktur-Vertrauensstellung auf diejenigen Benutzer in einer Trusted Domain oder Gesamtstruktur, denen explizit die Berechtigung zur Authentifizierung für Computerobjekte (Ressourcencomputer) in der Trusting Domain oder Gesamtstruktur erteilt wurde. Weitere Informationen finden Sie unter [Konfigurieren der Einstellungen für die selektive Authentifizierung](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)). + Geben Sie für **Conditional forwarder** die IP-Adresse Ihres DNS-Servers in der **example.local**-Gesamtstruktur ein (die Sie im vorigen Verfahren notiert haben). **Anmerkung** Eine bedingte Weiterleitung ist ein DNS-Server in einem Netzwerk, der DNS-Abfragen entsprechend dem DNS-Domainnamen in der Anfrage weiterleitet. Ein DNS-Server kann beispielsweise so konfiguriert werden, dass er alle Anfragen, die er für Namen mit der Endung widgets.example.com erhält, an die IP-Adresse eines bestimmten DNS-Servers oder an die IP-Adressen mehrerer DNS-Server weiterleitet. 1. Wählen Sie **Hinzufügen** aus.