Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Connect AWS Managed Microsoft AD à votre infrastructure Active Directory existante
Cette section décrit comment configurer les relations de confiance entre AWS Managed Microsoft AD et votre infrastructure Active Directory existante.
**Topics**
+ [
# Création d'une relation de confiance entre votre Microsoft AD AWS géré et votre AD autogéré
](ms_ad_setup_trust.md)
+ [
# Ajout de routes IP lors de l'utilisation d'adresses IP publiques avec votre Microsoft AD AWS géré
](ms_ad_adding_routes.md)
+ [
# Tutoriel : Création d'une relation de confiance entre votre Microsoft AD AWS géré et votre domaine Active Directory autogéré
](ms_ad_tutorial_setup_trust.md)
+ [
# Tutoriel : Création d'une relation de confiance entre deux domaines Microsoft AD AWS gérés
](ms_ad_tutorial_setup_trust_between_2_managed_ad_domains.md)
# Création d'une relation de confiance entre votre Microsoft AD AWS géré et votre AD autogéré
Vous pouvez configurer des relations d'approbation externes et forestières unidirectionnelles ou bidirectionnelles entre votre Service d' AWS annuaire pour Microsoft Active Directory et les annuaires autogérés (sur site), ainsi qu'entre plusieurs annuaires AWS Microsoft AD gérés dans le cloud. AWS AWS Managed Microsoft AD prend en charge les trois directions des relations de confiance : entrante, sortante et bidirectionnelle (bidirectionnelle).
Pour plus d'informations sur les relations de confiance, voir [Tout ce que vous vouliez savoir sur les approbations avec AWS Managed Microsoft AD](https://aws.amazon.com/blogs//security/everything-you-wanted-to-know-about-trusts-with-aws-managed-microsoft-ad/).
**Note**
Lorsque vous configurez des relations de confiance, vous devez vous assurer que votre annuaire autogéré est et reste compatible avec Directory Service s. Pour plus d'informations sur vos responsabilités, veuillez consulter notre [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model).
AWS Managed Microsoft AD prend en charge les approbations externes et forestières. Pour passer en revue un exemple de scénario montrant comment créer une approbation de forêt, veuillez consulter [Tutoriel : Création d'une relation de confiance entre votre Microsoft AD AWS géré et votre domaine Active Directory autogéré](ms_ad_tutorial_setup_trust.md).
Une confiance bidirectionnelle est requise pour les applications AWS d'entreprise telles qu'Amazon Chime, Amazon Connect, Quick, AWS IAM Identity Center, WorkDocs, Amazon WorkMail, WorkSpaces Amazon et le. AWS Management Console AWS Managed Microsoft AD doit être en mesure d'interroger les utilisateurs et les groupes de votre Active Directory autogéré.
Vous pouvez activer l'authentification sélective afin que seul le compte de service spécifique à AWS l'application puisse interroger votre Active Directory autogéré. Pour plus d'informations, voir [Renforcer la sécurité de AWS l'intégration de votre application avec AWS Managed Microsoft AD](https://aws.amazon.com//blogs/modernizing-with-aws/enhance-security-of-your-aws-app-integration-with-aws-managed-microsoft-ad/).
Amazon EC2, Amazon RDS et Amazon FSx travailleront dans le cadre d'une confiance unidirectionnelle ou bidirectionnelle.
## Conditions préalables
La création de l'approbation s'effectue en quelques étapes seulement, mais vous devez d'abord effectuer plusieurs étapes préalables à la phase de configuration de la relation d'approbation.
**Note**
AWS Managed Microsoft AD ne prend pas en charge la confiance avec les [domaines à étiquette unique](https://support.microsoft.com/en-us/help/2269810/microsoft-support-for-single-label-domains).
### Connexion au VPC
Si vous créez une relation de confiance avec votre annuaire autogéré, vous devez d'abord connecter votre réseau autogéré au VPC Amazon contenant votre Microsoft AD géré AWS . Le pare-feu de vos réseaux Microsoft AD AWS autogérés et gérés doit avoir les ports réseau ouverts répertoriés dans [WindowsServer 2008 et versions ultérieures](https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts#windows-server-2008-and-later-versions) dans Microsoft la documentation.
Pour utiliser votre nom NetBIOS au lieu de votre nom de domaine complet pour l'authentification auprès de vos AWS applications telles qu'Amazon ou WorkDocs Amazon Quick, vous devez autoriser le port 9389. Pour plus d'informations sur les ports et protocoles Active Directory, consultez la section [Présentation des services et exigences relatives aux ports réseau Windows](https://learn.microsoft.com/en-US/troubleshoot/windows-server/networking/service-overview-and-network-port-requirements#system-services-ports) dans Microsoft la documentation.
Il s'agit des ports minimum requis pour vous permettre de vous connecter à votre annuaire. Votre configuration spécifique peut nécessiter l'ouverture de ports supplémentaires.
### Configuration de votre VPC
Le VPC qui contient votre AWS Microsoft AD géré doit disposer des règles sortantes et entrantes appropriées.
**Pour configurer vos règles sortantes VPC**
1. Dans la [AWS Directory Service console](https://console.aws.amazon.com/directoryservicev2/), sur la page **Détails du répertoire**, notez votre ID d'annuaire Microsoft AD AWS géré.
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Choisissez **Security Groups**.
1. Recherchez votre ID d'annuaire Microsoft AD AWS géré. Dans les résultats de recherche, sélectionnez l'élément avec la description « groupe de sécuritéAWS créé pour les contrôleurs de *répertoire ID* ».
**Note**
Le groupe de sécurité sélectionné est un groupe de sécurité qui est créé automatiquement lorsque vous créez initialement votre annuaire.
1. Accédez à l'onglet **Outbound Rules** de ce groupe de sécurité. Sélectionnez **Edit**, puis **Add another rule**. Pour la nouvelle règle, saisissez les valeurs suivantes :
+ **Type** : All Traffic
+ **Protocole** : All
+ La **Destination** détermine le trafic qui peut quitter vos contrôleurs de domaine et les directions possible sur votre réseau autogéré. Indiquez une adresse IP unique ou une plage d'adresses IP dans une notation CIDR (par exemple, 203.0.113.5/32). Vous pouvez également indiquer le nom ou l'ID d'un autre groupe de sécurité dans la même région. Pour de plus amples informations, veuillez consulter [Comprenez la configuration et l'utilisation AWS des groupes de sécurité de votre annuaire](ms_ad_best_practices.md#understandsecuritygroup).
1. Cliquez sur **Enregistrer**.
### Activation de l'authentification préalable Kerberos
Vos comptes d'utilisateur doivent avoir une pré-authentification Kerberos activée. Pour plus d'informations sur ce paramètre, consultez la section [Préauthentification](http://technet.microsoft.com/en-us/library/cc961961.aspx) sur Microsoft TechNet.
### Configuration des redirecteurs conditionnels DNS sur votre domaine autogéré
Vous devez configurer des redirecteurs conditionnels DNS sur votre domaine autogéré. Reportez-vous à la section [Affecter un redirecteur conditionnel pour un nom de domaine](https://technet.microsoft.com/en-us/library/cc794735.aspx) sur Microsoft TechNet pour plus de détails sur les redirecteurs conditionnels.
Pour effectuer les étapes suivantes, vous devez avoir accès aux outils Windows Server suivants pour votre domaine autogéré :
+ Outils AD DS et AD LDS
+ DNS
**Pour configurer les redirecteurs conditionnels sur votre domaine autogéré**
1. Vous devez d'abord obtenir des informations sur votre AWS Managed Microsoft AD. Connectez-vous à AWS Management Console et ouvrez la [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. Dans le volet de navigation, sélectionnez **Directories**.
1. Choisissez l'ID de répertoire de votre AWS Managed Microsoft AD.
1. Prenez note du nom de domaine complet (FQDN) et des adresses DNS de votre annuaire.
1. Retournez maintenant à votre contrôleur de domaine autogéré. Ouvrez le Gestionnaire de serveur.
1. Dans le menu **Tools**, choisissez **DNS**.
1. Dans l'arborescence de la console, développez le serveur DNS du domaine pour lequel vous configurez la relation d'approbation.
1. Dans l'arborescence de la console, sélectionnez **Conditional Forwarders**.
1. Dans le menu **Action**, choisissez **New conditional forwarder**.
1. Dans le **domaine DNS**, tapez le nom de domaine complet (FQDN) de votre AWS Managed Microsoft AD, comme vous l'avez indiqué précédemment.
1. Choisissez **les adresses IP des serveurs principaux** et saisissez les adresses DNS de votre annuaire Microsoft AD AWS géré, comme vous l'avez indiqué précédemment.
Après avoir saisi les adresses DNS, il se peut que l'erreur « timeout » ou « Impossible à résoudre » s'affiche. Vous pouvez généralement ignorer ces erreurs.
1. Sélectionnez **Store this conditional forwarder in Active Directory and replicate as follows: All DNS servers in this domain**. Choisissez **OK**.
### Mot de passe de relation d'approbation
Si vous créez une relation d'approbation avec un domaine existant, configurez la relation d'approbation sur ce domaine à l'aide des outils d'administration de Windows Server. Pensez à relever le mot de passe de la relation d'approbation que vous utilisez. Vous devrez utiliser ce même mot de passe lors de la configuration de la relation de confiance sur AWS Managed Microsoft AD. Pour plus d'informations, consultez [la section Gestion des approbations](https://technet.microsoft.com/en-us/library/cc771568.aspx) sur Microsoft TechNet.
Vous êtes maintenant prêt à créer la relation de confiance sur votre AWS Managed Microsoft AD.
### Noms de domaine et NetBIOS
Les noms de domaine et NetBIOS doivent être uniques et ne peuvent pas être identiques pour établir une relation d'approbation.
## Création, vérification ou suppression d'une relation d'approbation
**Note**
Les relations de confiance sont une fonctionnalité globale de AWS Managed Microsoft AD. Si vous utilisez [Configuration de la réplication multirégionale pour AWS Managed Microsoft AD](ms_ad_configure_multi_region_replication.md), les procédures suivantes doivent être effectuées dans [Région principale](multi-region-global-primary-additional.md#multi-region-primary). Les modifications seront appliquées automatiquement à toutes les régions répliquées. Pour de plus amples informations, veuillez consulter [Caractéristiques mondiales et régionales](multi-region-global-region-features.md).
**Pour créer une relation de confiance avec votre Microsoft AD AWS géré**
1. Ouvrez la [AWS Directory Service console](https://console.aws.amazon.com/directoryservicev2/).
1. Sur la page **Répertoires**, choisissez votre identifiant Microsoft AD AWS géré.
1. Sur la page **Détails de l'annuaire**, procédez de l'une des manières suivantes :
+ Si plusieurs régions apparaissent sous **Réplication sur plusieurs régions**, sélectionnez la région principale, puis cliquez sur l'onglet **Mise en réseau et sécurité**. Pour de plus amples informations, veuillez consulter [Régions principales et régions supplémentaires](multi-region-global-primary-additional.md).
+ Si aucune région n'apparaît sous **Réplication sur plusieurs régions**, choisissez l'onglet **Réseau et sécurité**.
1. Dans la section **Trust relationships (Relations d'approbation)**, choisissez **Actions**, puis sélectionnez **Add trust relationship (Ajouter une relation d'approbation)**.
1. Sur la page **Ajouter une relation d'approbation**, fournissez les informations requises, y compris le type d'approbation, le nom de domaine complet (FQDN) de votre domaine approuvé, le mot de passe et la direction d'approbation.
1. (Facultatif) Si vous souhaitez autoriser uniquement les utilisateurs autorisés à accéder aux ressources de votre répertoire AWS Managed Microsoft AD, vous pouvez éventuellement cocher la case **Authentification sélective**. Pour des informations générales sur l'authentification sélective, consultez la section [Considérations relatives à la sécurité pour les entreprises de confiance](https://technet.microsoft.com/pt-pt/library/cc755321(v=ws.10).aspx) chez Microsoft TechNet.
1. Pour **Redirecteur conditionnel**, saisissez l'adresse IP de votre serveur DNS autogéré. Si vous avez créé précédemment des redirecteurs conditionnels, vous pouvez saisir le nom de domaine complet de votre domaine autogéré au lieu d'une adresse IP DNS.
1. (Facultatif) Choisissez **Add another IP (Ajouter une autre adresse IP)** et entrez l'adresse IP d'un autre serveur DNS autogéré. Vous pouvez répéter cette étape pour chaque adresse de serveur DNS applicable pour un total de quatre adresses.
1. Choisissez **Ajouter**.
1. Si le serveur DNS ou le réseau de votre domaine autogéré utilise un espace d'adresse IP publique (non RFC 1918), accédez à la section **IP routing (Routage IP)** et choisissez **Actions**, puis **Add route (Ajouter une route)**. Tapez le bloc d'adresse IP de votre serveur DNS ou réseau autogéré selon le format CIDR, par exemple 203.0.113.0/24. Cette étape n'est pas nécessaire si votre serveur DNS et votre réseau autogéré utilisent des espaces d'adressage IP RFC 1918.
**Note**
Lorsque vous définissez un espace d'adressage IP publique, assurez-vous de ne pas utiliser l'une des [plages d'adresses IP AWS](https://ip-ranges.amazonaws.com/ip-ranges.json) ; en effet, celles-ci ne peuvent pas être exploitées dans ce type de cas.
1. (Facultatif) Nous vous recommandons de sélectionner **Add routes to the security group for this directory's VPC (Ajouter des routes au groupe de sécurité pour le VPC de cet annuaire)** pendant que vous êtes sur la page **Add routes (Ajouter des routes)**. Cela va permettre de configurer les groupes de sécurité comme indiqué ci-dessus dans la section « Configuration de votre VPC ». Ces règles de sécurité ont un impact sur une interface réseau interne qui n'est pas exposée publiquement. Si cette option n'est pas disponible, un message s'affichera pour indiquer que vous avez déjà personnalisé vos groupes de sécurité.
Vous devez configurer la relation d'approbation sur les deux domaines. Les relations doivent être complémentaires. Par exemple, si vous créez une relation d'approbation sortante sur un domaine, vous devez créer une relation d'approbation entrante sur l'autre.
Si vous créez une relation d'approbation avec un domaine existant, configurez la relation d'approbation sur ce domaine à l'aide des outils d'administration de Windows Server.
Vous pouvez créer plusieurs approbations entre votre Microsoft AD AWS géré et différents domaines Active Directory. Cependant, vous ne pouvez avoir qu'une seule relation d'approbation par paire. Par exemple, si vous avez déjà une relation de confiance unidirectionnelle dans le « sens entrant » et que vous souhaitez ensuite établir une autre relation de confiance dans le « sens sortant », vous devrez supprimer le lien de confiance existant et créer un nouveau lien de confiance « bidirectionnel ».
**Pour vérifier une relation d'approbation sortante**
1. Ouvrez la [AWS Directory Service console](https://console.aws.amazon.com/directoryservicev2/).
1. Sur la page **Répertoires**, choisissez votre identifiant Microsoft AD AWS géré.
1. Sur la page **Détails de l'annuaire**, procédez de l'une des manières suivantes :
+ Si plusieurs régions apparaissent sous **Réplication sur plusieurs régions**, sélectionnez la région principale, puis cliquez sur l'onglet **Mise en réseau et sécurité**. Pour de plus amples informations, veuillez consulter [Régions principales et régions supplémentaires](multi-region-global-primary-additional.md).
+ Si aucune région n'apparaît sous **Réplication sur plusieurs régions**, choisissez l'onglet **Réseau et sécurité**.
1. Dans la section **Trust relationships (Relations d'approbation)**, sélectionnez la relation d'approbation que vous voulez vérifier et choisissez **Actions**, puis **Verify trust relationship (Vérifier la relation d'approbation)**.
Ce processus vérifie uniquement le sens sortant d'une confiance bidirectionnelle. AWS ne prend pas en charge la vérification des trusts entrants. Pour plus d'informations sur la façon de vérifier une approbation depuis ou vers votre Active Directory autogéré, consultez [Vérifier une approbation](https://technet.microsoft.com/en-us/library/cc753821.aspx) sur Microsoft TechNet.
**Suppression d'une relation d'approbation existante**
1. Ouvrez la [AWS Directory Service console](https://console.aws.amazon.com/directoryservicev2/).
1. Sur la page **Répertoires**, choisissez votre identifiant Microsoft AD AWS géré.
1. Sur la page **Détails de l'annuaire**, procédez de l'une des manières suivantes :
+ Si plusieurs régions apparaissent sous **Réplication sur plusieurs régions**, sélectionnez la région principale, puis cliquez sur l'onglet **Mise en réseau et sécurité**. Pour de plus amples informations, veuillez consulter [Régions principales et régions supplémentaires](multi-region-global-primary-additional.md).
+ Si aucune région n'apparaît sous **Réplication sur plusieurs régions**, choisissez l'onglet **Réseau et sécurité**.
1. Dans la section **Trust relationships (Relations d'approbation)**, sélectionnez la relation d'approbation que vous voulez supprimer et choisissez **Actions**, puis **Delete trust relationship (Supprimer la relation d'approbation)**.
1. Sélectionnez **Supprimer**.
# Ajout de routes IP lors de l'utilisation d'adresses IP publiques avec votre Microsoft AD AWS géré
Vous pouvez utiliser AWS Directory Service for Microsoft Active Directory pour tirer parti de nombreuses fonctionnalités puissantes d'Active Directory, notamment pour établir des approbations avec d'autres annuaires. Toutefois, si les serveurs DNS des réseaux d'autres annuaires utilisent des adresses IP publiques (non RFC 1918), vous devez spécifier ces adresses IP dans le cadre de la configuration de la relation d'approbation. Vous pourrez trouver des informations à ce sujet dans [Création d'une relation de confiance entre votre Microsoft AD AWS géré et votre AD autogéré](ms_ad_setup_trust.md).
De même, vous devez également saisir les informations d'adresse IP lorsque vous acheminez le trafic depuis votre AWS Managed Microsoft AD AWS vers un VPC homologue, si le AWS VPC utilise des plages d'adresses IP publiques.
Lorsque vous ajoutez les adresses IP comme décrit dans [Création d'une relation de confiance entre votre Microsoft AD AWS géré et votre AD autogéré](ms_ad_setup_trust.md), vous avez la possibilité de sélectionner **Add routes to the security group for this directory's VPC**. Cette option doit être sélectionnée, sauf si vous avez déjà personnalisé votre [groupe de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule) pour autoriser le trafic nécessaire comme indiqué ci-dessous. Pour de plus amples informations, veuillez consulter [Comprenez la configuration et l'utilisation AWS des groupes de sécurité de votre annuaire](ms_ad_best_practices.md#understandsecuritygroup).
# Tutoriel : Création d'une relation de confiance entre votre Microsoft AD AWS géré et votre domaine Active Directory autogéré
Ce didacticiel explique toutes les étapes nécessaires à la mise en place d'une relation de confiance entre AWS Directory Service for Microsoft Active Directory et votre Microsoft Active Directory autogéré (sur site). Même si la création de la relation d'approbation ne requiert que quelques étapes, vous devez d'abord effectuer les étapes préalables suivantes.
**Topics**
+ [
# Conditions préalables
](before_you_start.md)
+ [
# Étape 1 : préparer votre domaine AD autogéré
](ms_ad_tutorial_setup_trust_prepare_onprem.md)
+ [
# Étape 2 : Préparation de votre Microsoft AD AWS géré
](ms_ad_tutorial_setup_trust_prepare_mad.md)
+ [
# Étape 3 : créer la relation d'approbation
](ms_ad_tutorial_setup_trust_create.md)
**Voir aussi**
[Création d'une relation de confiance entre votre Microsoft AD AWS géré et votre AD autogéré](ms_ad_setup_trust.md)
# Conditions préalables
Le didacticiel présume que vous avez déjà effectué les étapes suivantes :
**Note**
AWS Managed Microsoft AD ne prend pas en charge la confiance avec les [domaines à étiquette unique](https://support.microsoft.com/en-us/help/2269810/microsoft-support-for-single-label-domains).
+ Un répertoire Microsoft AD AWS géré créé le AWS. Si vous avez besoin d'aide pour effectuer l'opération, veuillez consulter [Commencer à utiliser AWS Managed Microsoft AD](ms_ad_getting_started.md).
+ Une instance EC2 en cours d'exécution Windows a été ajoutée à cette instance Microsoft AD AWS gérée. Si vous avez besoin d'aide pour effectuer l'opération, veuillez consulter [Joindre une instance Windows Amazon EC2 à votre répertoire AWS Microsoft AD Active Directory géré](launching_instance.md).
**Important**
Le compte administrateur de votre AWS Managed Microsoft AD doit disposer d'un accès administratif à cette instance.
+ Les outils de Windows serveur suivants sont installés sur cette instance :
+ Outils AD DS et AD LDS
+ DNS
Si vous avez besoin d'aide pour effectuer l'opération, veuillez consulter [Installation des outils d'administration Active Directory pour Microsoft AD AWS géré](ms_ad_install_ad_tools.md).
+ Annuaire Microsoft Active Directory (sur site) autogéré
Vous devez disposer d'un accès administratif à cet annuaire. Les mêmes outils de Windows serveur que ceux répertoriés ci-dessus doivent également être disponibles pour ce répertoire.
+ Une connexion active entre votre réseau autogéré et le VPC contenant votre Microsoft AD AWS géré. Si vous avez besoin d'aide pour effectuer l'opération, veuillez consulter la section [Amazon Virtual Private Cloud Connectivity Options](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-vpc-connectivity-options.pdf) (français non garanti).
+ Une politique de sécurité locale définie correctement. Vérifiez `Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously` et assurez-vous que ce paramètre contient au moins les trois canaux nommés suivants :
+ netlogon
+ samr
+ lsarpc
+ Les noms de domaine et NetBIOS doivent être uniques et ne peuvent pas être identiques pour établir une relation de confiance.
Pour plus d'informations sur les prérequis relatifs à la création d'une relation de confiance, veuillez consulter [Création d'une relation de confiance entre votre Microsoft AD AWS géré et votre AD autogéré](ms_ad_setup_trust.md).
## Configuration du didacticiel
Pour ce didacticiel, nous avons déjà créé un domaine Microsoft AD AWS géré et un domaine autogéré. Le réseau autogéré est connecté au VPC de AWS Managed Microsoft AD. Voici les propriétés des deux annuaires :
### AWS Microsoft AD géré s'exécutant sur AWS
+ Nom de domaine (FQDN) : MyManaged AD.Example.com
+ Nom NetBIOS : AD MyManaged
+ Adresses DNS : 10.0.10.246, 10.0.20.121
+ CIDR VPC : 10.0.0.0/16
Le Microsoft AD AWS géré réside dans l'ID VPC : vpc-12345678.
### Domaine Microsoft AD AWS autogéré ou géré
+ Nom de domaine (FQDN) : corp.example.com
+ Nom NetBIOS : CORP
+ Adresses DNS : 172.16.10.153
+ CIDR autogéré : 172.16.0.0/16
**Étape suivante**
[Étape 1 : préparer votre domaine AD autogéré](ms_ad_tutorial_setup_trust_prepare_onprem.md)
# Étape 1 : préparer votre domaine AD autogéré
Tout d'abord, vous devez suivre plusieurs étapes préalables sur votre domaine (sur site) autogéré.
## Configurer votre pare-feu autogéré
Vous devez configurer votre pare-feu autogéré de manière à ce que les ports suivants soient ouverts à tous CIDRs les sous-réseaux utilisés par le VPC qui contient votre Microsoft AD géré AWS . Dans ce didacticiel, nous autorisons le trafic entrant et sortant depuis la version 10.0.0.0/16 (le bloc CIDR du VPC de notre Managed AWS Microsoft AD) sur les ports suivants :
+ TCP/UDP 53 ‑ DNS
+ TCP/UDP 88 ‑ Authentification Kerberos
+ TCP/UDP 389 - Protocole LDAP (Lightweight Directory Access Protocol)
+ TCP 445 - Bloc de messages du serveur (SMB)
+ TCP 9389 - Active Directory Web Services (ADWS) (*facultatif* - Ce port doit être ouvert si vous souhaitez utiliser votre nom NetBIOS au lieu de votre nom de domaine complet pour vous authentifier auprès d'applications telles qu'Amazon ou AWS WorkDocs Amazon Quick.)
**Note**
SMBv1 n'est plus pris en charge.
Il s'agit des ports minimum nécessaires pour connecter le VPC à l'annuaire autogéré. Votre configuration spécifique peut nécessiter l'ouverture de ports supplémentaires.
## Vérification de l'activation de l'authentification préalable Kerberos
Les comptes d'utilisateur dans les deux annuaires doivent avoir une pré-authentification Kerberos activée. Il s'agit de la configuration par défaut, mais vérifiez les propriétés d'un utilisateur choisi de manière aléatoire afin de vous assurer que rien n'a changé.
**Pour afficher les paramètres Kerberos de l'utilisateur**
1. Sur votre contrôleur de domaine autogéré, ouvrez le Gestionnaire de serveur.
1. Dans le menu **Tools**, choisissez **Active Directory Users and Computers**.
1. Choisissez le dossier **Utilisateurs** et ouvrez le menu contextuel (clic droit). Sélectionnez un compte utilisateur de manière aléatoire parmi ceux répertoriés dans le volet droit. Choisissez **Propriétés**.
1. Choisissez l'onglet **Account**. Parcourez la liste **Account options** vers le bas pour vérifier que l'option **Do not require Kerberos preauthentication** n'est *pas* cochée.
![\[La boîte de dialogue Corp User Properties avec l'option de compte ne nécessite pas que la préauthentification Kerberos soit mise en évidence.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/kerberos_enabled.png)
## Configuration des redirecteurs conditionnels DNS pour votre domaine autogéré
Vous devez configurer des redirecteurs conditionnels DNS sur chaque domaine. Avant de procéder à cette opération sur votre domaine autogéré, vous allez d'abord obtenir des informations sur votre AWS Managed Microsoft AD.
**Pour configurer les redirecteurs conditionnels sur votre domaine autogéré**
1. Connectez-vous à la [AWS Directory Service console AWS Management Console et ouvrez-la](https://console.aws.amazon.com/directoryservicev2/).
1. Dans le volet de navigation, sélectionnez **Directories**.
1. Choisissez l'ID de répertoire de votre AWS Managed Microsoft AD.
1. Sur la page **Details (Détails)**, notez les valeurs des zones **Directory name (Nom de l'annuaire)** et **DNS address (Adresse DNS)** de votre annuaire.
1. Retournez maintenant à votre contrôleur de domaine autogéré. Ouvrez le Gestionnaire de serveur.
1. Dans le menu **Tools**, choisissez **DNS**.
1. Dans l'arborescence de la console, développez le serveur DNS du domaine pour lequel vous configurez la relation d'approbation. Notre serveur est CN7 VJ0 WIN-5V70 .corp.example.com.
1. Dans l'arborescence de la console, sélectionnez **Conditional Forwarders**.
1. Dans le menu **Action**, choisissez **New conditional forwarder**.
1. Dans le **domaine DNS**, tapez le nom de domaine complet (FQDN) de votre AWS Managed Microsoft AD, comme vous l'avez indiqué précédemment. Dans cet exemple, le FQDN est MyManaged AD.Example.com.
1. Choisissez **les adresses IP des serveurs principaux** et saisissez les adresses DNS de votre annuaire Microsoft AD AWS géré, comme vous l'avez indiqué précédemment. Dans cet exemple, il s'agit de : 10.0.10.246, 10.0.20.121
Après avoir saisi les adresses DNS, il se peut que l'erreur « timeout » ou « Impossible à résoudre » s'affiche. Vous pouvez généralement ignorer ces erreurs.
![\[Nouvelle boîte de dialogue du redirecteur conditionnel avec les adresses IP des serveurs DNS surlignées.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/new_cond_forwarder_diag_box_2.png)
1. Sélectionnez **Store this conditional forwarder in Active Directory, and replicate it as follows**.
1. Sélectionnez **All DNS servers in this domain**, puis cliquez sur **OK**.
**Étape suivante**
[Étape 2 : Préparation de votre Microsoft AD AWS géré](ms_ad_tutorial_setup_trust_prepare_mad.md)
# Étape 2 : Préparation de votre Microsoft AD AWS géré
Préparons maintenant votre Microsoft AD AWS géré pour la relation de confiance. Une grande partie des étapes suivantes est quasi-identique aux opérations que vous venez d'effectuer pour votre domaine autogéré. Toutefois, cette fois, vous travaillez avec votre AWS Managed Microsoft AD.
## Configuration de vos groupes de sécurité et sous-réseaux VPC
Vous devez autoriser le trafic de votre réseau autogéré vers le VPC contenant votre Microsoft AD AWS géré. Pour ce faire, vous devez vous assurer que les règles ACLs associées aux sous-réseaux utilisés pour déployer votre AWS Managed Microsoft AD et les règles de groupe de sécurité configurées sur vos contrôleurs de domaine autorisent toutes deux le trafic requis pour soutenir les approbations.
Les exigences relatives aux ports varient en fonction de la version de Windows Server utilisée par vos contrôleurs de domaine et les services ou applications qui utiliseront l'approbation. Dans le cadre de ce didacticiel, vous devez ouvrir les ports suivants :
**Entrant**
+ TCP/UDP 53 ‑ DNS
+ TCP/UDP 88 ‑ Authentification Kerberos
+ UDP 123 - NTP
+ TCP 135 - RPC
+ TCP/UDP 389 ‑ LDAP
+ TCP/UDP 445 - SMB
+ TCP/UDP 464 ‑ Authentification Kerberos
+ TCP 636 - LDAPS (LDAP sur TLS/SSL)
+ TCP 3268-3269 - Catalogue global
+ TCP/UDP 49152-65535 - Ports éphémères pour RPC
**Note**
SMBv1 n'est plus pris en charge.
**Sortant**
+ ALL
**Note**
Il s'agit des ports minimum nécessaires pour connecter le VPC et l'annuaire autogéré. Votre configuration spécifique peut nécessiter l'ouverture de ports supplémentaires.
**Pour configurer les règles sortantes et entrantes de votre contrôleur de domaine Microsoft AD AWS géré**
1. Revenez à la [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/). Dans la liste des annuaires, notez l'ID du répertoire de votre annuaire Microsoft AD AWS géré.
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le panneau de navigation, choisissez **Groupes de sécurité**.
1. Utilisez le champ de recherche pour rechercher votre ID d'annuaire Microsoft AD AWS géré. Dans les résultats de recherche, sélectionnez le groupe de sécurité avec la description**AWS created security group for *yourdirectoryID* directory controllers**.
![\[Dans la console Amazon VPC, les résultats de recherche relatifs au groupe de sécurité pour les contrôleurs d'annuaire sont mis en évidence.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/security-group-search.png)
1. Accédez à l'onglet **Outbound Rules** de ce groupe de sécurité. Choisissez **Modifier les règles sortantes**, puis **Ajouter une règle**. Pour la nouvelle règle, saisissez les valeurs suivantes :
+ **Type** : ALL Traffic
+ **Protocole** : ALL
+ La **Destination** détermine le trafic qui peut quitter vos contrôleurs de domaine et où il peut aller. Indiquez une adresse IP unique ou une plage d'adresses IP dans une notation CIDR (par exemple, 203.0.113.5/32). Vous pouvez également indiquer le nom ou l'ID d'un autre groupe de sécurité dans la même région. Pour de plus amples informations, veuillez consulter [Comprenez la configuration et l'utilisation AWS des groupes de sécurité de votre annuaire](ms_ad_best_practices.md#understandsecuritygroup).
1. Sélectionnez **Enregistrer la règle**.
![\[Dans la console Amazon VPC, modifiez les règles sortantes pour les groupes de sécurité des contrôleurs d'annuaire.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/editing-and-saving-rule.png)
## Vérification de l'activation de l'authentification préalable Kerberos
Vous voulez maintenant vérifier que la pré-authentification Kerberos est également activée pour les utilisateurs de votre Microsoft AD AWS géré. Il s'agit du même processus que celui que vous venez d'effectuer pour votre annuaire autogéré. Il s'agit de la valeur par défaut, mais nous allons vérifier que rien n'a changé.
**Pour afficher les paramètres Kerberos utilisateur**
1. Connectez-vous à une instance membre de votre annuaire Microsoft AD AWS géré en utilisant soit le compte correspondant au [AWS Compte administrateur Microsoft AD géré et autorisations de groupe](ms_ad_getting_started_admin_account.md) domaine, soit un compte auquel des autorisations ont été déléguées pour gérer les utilisateurs du domaine.
1. Si ce n'est pas encore fait, installez les outils Utilisateurs et ordinateurs Active Directory et DNS. Découvrez comment installer ces outils dans [Installation des outils d'administration Active Directory pour Microsoft AD AWS géré](ms_ad_install_ad_tools.md).
1. Ouvrez le Gestionnaire de serveur. Dans le menu **Tools**, choisissez **Active Directory Users and Computers**.
1. Choisissez le dossier **Users** dans votre domaine. Notez qu'il s'agit du dossier **Users** sous votre nom NetBIOS, et non du dossier **Users ** sous le nom de domaine complet (FQDN).
![\[Dans la boîte de dialogue Utilisateurs et ordinateurs Active Directory, le dossier Utilisateurs est surligné.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/correct_users_folder.png)
1. Dans la liste des utilisateurs, cliquez avec le bouton droit sur un utilisateur, puis choisissez **Properties (Propriétés)**.
1. Choisissez l'onglet **Account**. Dans la liste **Account options**, vérifiez que l'option **Do not require Kerberos preauthentication** n'est *pas* cochée.
**Étape suivante**
[Étape 3 : créer la relation d'approbation](ms_ad_tutorial_setup_trust_create.md)
# Étape 3 : créer la relation d'approbation
Maintenant que le travail de préparation est terminé, les étapes finales consistent à créer les approbations. Vous créez d'abord la confiance sur votre domaine autogéré, puis enfin sur votre AWS Managed Microsoft AD. Si vous avez des problèmes lors du processus de création de la relation d'approbation, veuillez consulter [Raisons liées aux statuts de création d'une relation d'approbation](ms_ad_troubleshooting_trusts.md) pour obtenir de l'aide.
## Configurer l'approbation dans votre annuaire Active Directory autogéré
Dans ce didacticiel, configurez une relation d'approbation de forêt bidirectionnelle. Toutefois, si vous créez une relation d'approbation de forêt unidirectionnelle, sachez que les directions d'approbation sur chacun de vos domaines doivent être complémentaires. Par exemple, si vous créez une approbation unidirectionnelle sortante sur votre domaine autogéré, vous devez créer une approbation unidirectionnelle entrante sur votre AWS Microsoft AD géré.
**Note**
AWS Managed Microsoft AD prend également en charge les approbations externes. Toutefois, dans le cadre de ce didacticiel, vous allez créer une approbation de forêt birectionnelle.
**Pour configurer la confiance dans votre Active Directory autogéré**
1. Ouvrez le Gestionnaire de serveur, puis dans le menu **Tools**, choisissez **Active Directory Domains and Trusts**.
1. Ouvrez le menu contextuel (clic droit) de votre domaine, puis choisissez **Properties**.
1. Choisissez l'onglet **Trusts**, puis choisissez **New trust**. Tapez le nom de votre Microsoft AD AWS géré et choisissez **Next**.
1. Choisissez **Forest trust**. Choisissez **Suivant**.
1. Choisissez **Two-way**. Choisissez **Suivant**.
1. Choisissez **This domain only**. Choisissez **Suivant**.
1. Choisissez **Forest-wide authentication**. Choisissez **Suivant**.
1. Saisissez un **mot de passe d'approbation**. N'oubliez pas ce mot de passe, car vous en aurez besoin lors de la configuration de l'approbation pour votre AWS Managed Microsoft AD.
1. Dans la boîte de dialogue suivante, confirmez vos paramètres et choisissez **Next**. Confirmez que la relation d'approbation a été créée avec succès, puis choisissez à nouveau **Next**.
1. Choisissez **No, do not confirm the outgoing trust**. Choisissez **Suivant**.
1. Choisissez **No, do not confirm the incoming trust**. Choisissez **Suivant**.
## Configurez la confiance dans votre annuaire Microsoft AD AWS géré
Enfin, vous configurez la relation d'approbation de la forêt avec votre répertoire Microsoft AD AWS géré. Comme vous avez créé une approbation forestière bidirectionnelle sur le domaine autogéré, vous créez également une approbation bidirectionnelle à l'aide de votre répertoire AWS Microsoft AD géré.
**Note**
Les relations de confiance sont une fonctionnalité globale de AWS Managed Microsoft AD. Si vous utilisez [Configuration de la réplication multirégionale pour AWS Managed Microsoft AD](ms_ad_configure_multi_region_replication.md), les procédures suivantes doivent être effectuées dans [Région principale](multi-region-global-primary-additional.md#multi-region-primary). Les modifications seront appliquées automatiquement à toutes les régions répliquées. Pour de plus amples informations, veuillez consulter [Caractéristiques mondiales et régionales](multi-region-global-region-features.md).
**Pour configurer la confiance dans votre annuaire Microsoft AD AWS géré**
1. Revenez à la [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. Sur la page **Répertoires**, choisissez votre identifiant Microsoft AD AWS géré.
1. Sur la page **Détails de l'annuaire**, procédez de l'une des manières suivantes :
+ Si plusieurs régions apparaissent sous **Réplication sur plusieurs régions**, sélectionnez la région principale, puis cliquez sur l'onglet **Mise en réseau et sécurité**. Pour de plus amples informations, veuillez consulter [Régions principales et régions supplémentaires](multi-region-global-primary-additional.md).
+ Si aucune région n'apparaît sous **Réplication sur plusieurs régions**, choisissez l'onglet **Réseau et sécurité**.
1. Dans la section **Trust relationships (Relations d'approbation)**, choisissez **Actions**, puis sélectionnez **Add trust relationship (Ajouter une relation d'approbation)**.
1. Sur la page **Ajouter une relation d'approbation**, spécifiez le type de confiance. Dans ce cas, nous avons choisi **Approbation de forêt**. Entrez le nom de domaine complet de votre domaine autogéré (dans ce didacticiel **corp.example.com**). Tapez le même mot de passe de relation d'approbation que vous avez utilisé lors de la création de la relation d'approbation sur votre domaine autogéré. Spécifiez la direction. Dans ce cas, nous choisissons **Bidirectionnelle**.
1. Dans le champ **Redirecteur conditionnel**, entrez l'adresse IP de votre serveur DNS autogéré. Pour cet exemple, entrez 172.16.10.153.
1. (Facultatif) Choisissez **Ajouter une autre adresse IP**, puis entrez une deuxième adresse IP pour votre serveur DNS sur site. Vous pouvez spécifier un maximum de quatre serveurs DNS.
1. Choisissez **Ajouter**.
Félicitations \$1 Vous disposez désormais d'une relation de confiance entre votre domaine autogéré (corp.example.com) et votre AWS Microsoft AD géré (AD.example.com). MyManaged Une seule relation peut être configurée entre ces deux domaines. Si vous souhaitez par exemple passer à une direction d'approbation unidirectionnelle, vous devrez tout d'abord supprimer cette relation d'approbation existante, puis en créer une autre.
Pour plus d'informations, notamment pour obtenir les instructions de vérification ou de suppression d'une approbation, veuillez consulter [Création d'une relation de confiance entre votre Microsoft AD AWS géré et votre AD autogéré](ms_ad_setup_trust.md).
# Tutoriel : Création d'une relation de confiance entre deux domaines Microsoft AD AWS gérés
Ce didacticiel explique toutes les étapes nécessaires à la mise en place d'une relation d'approbation entre deux domaines AWS Directory Service for Microsoft Active Directory.
**Topics**
+ [
# Étape 1 : Préparation de votre Microsoft AD AWS géré
](ms_ad_tutorial_setup_trust_prepare_mad_between_2_managed_ad_domains.md)
+ [
# Étape 2 : créer la relation de confiance avec un autre domaine Microsoft AD AWS géré
](ms_ad_tutorial_setup_trust_create_between_2_managed_ad_domains.md)
**Voir aussi**
[Création d'une relation de confiance entre votre Microsoft AD AWS géré et votre AD autogéré](ms_ad_setup_trust.md)
# Étape 1 : Préparation de votre Microsoft AD AWS géré
Dans cette section, vous préparerez votre Microsoft AD AWS géré à établir une relation de confiance avec un autre Microsoft AD AWS géré. Une grande partie des étapes suivantes est quasi-identique aux opérations que vous avez effectuées pour votre domaine dans [Tutoriel : Création d'une relation de confiance entre votre Microsoft AD AWS géré et votre domaine Active Directory autogéré](ms_ad_tutorial_setup_trust.md). Toutefois, cette fois-ci, vous configurez vos environnements Microsoft AD AWS gérés pour qu'ils fonctionnent les uns avec les autres.
## Configuration de vos groupes de sécurité et sous-réseaux VPC
Vous devez autoriser le trafic d'un réseau Microsoft AD AWS géré vers le VPC contenant votre autre réseau AWS Microsoft AD géré. Pour ce faire, vous devez vous assurer que les règles ACLs associées aux sous-réseaux utilisés pour déployer votre AWS Managed Microsoft AD et les règles de groupe de sécurité configurées sur vos contrôleurs de domaine autorisent toutes deux le trafic requis pour soutenir les approbations.
Les exigences relatives aux ports varient en fonction de la version de Windows Server utilisée par vos contrôleurs de domaine et les services ou applications qui utiliseront l'approbation. Dans le cadre de ce didacticiel, vous devez ouvrir les ports suivants :
**Entrant**
+ TCP/UDP 53 ‑ DNS
+ TCP/UDP 88 ‑ Authentification Kerberos
+ UDP 123 - NTP
+ TCP 135 - RPC
+ TCP/UDP 389 ‑ LDAP
+ TCP/UDP 445 - SMB
**Note**
SMBv1 n'est plus pris en charge.
+ TCP/UDP 464 ‑ Authentification Kerberos
+ TCP 636 - LDAPS (LDAP sur TLS/SSL)
+ TCP 3268-3269 - Catalogue global
+ TCP/UDP 1024-65535 - Ports éphémères pour RPC
**Sortant**
+ ALL
**Note**
Il s'agit des ports minimaux nécessaires pour pouvoir se connecter à VPCs partir des deux AWS Managed Microsoft AD. Votre configuration spécifique peut nécessiter l'ouverture de ports supplémentaires. Pour en savoir plus, veuillez consulter [How to configure a firewall for Active Directory domains and trusts](https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts) (français non garanti) sur le site web de Microsoft.
**Pour configurer les règles sortantes de votre contrôleur de domaine Microsoft AD AWS géré**
**Note**
Répétez les étapes 1 à 6 ci-dessous pour chaque annuaire.
1. Accédez à la [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/). Dans la liste des annuaires, notez l'ID du répertoire de votre annuaire Microsoft AD AWS géré.
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le panneau de navigation, choisissez **Groupes de sécurité**.
1. Utilisez le champ de recherche pour rechercher votre ID d'annuaire Microsoft AD AWS géré. Dans les résultats de recherche, sélectionnez l'élément avec la description**AWS created security group for *yourdirectoryID* directory controllers**.
![\[Dans la console Amazon VPC, les résultats de recherche relatifs au groupe de sécurité pour les contrôleurs d'annuaire sont mis en évidence.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/security-group-search.png)
1. Accédez à l'onglet **Outbound Rules** de ce groupe de sécurité. Choisissez **Edit**, puis **Add another rule**. Pour la nouvelle règle, saisissez les valeurs suivantes :
+ **Type** : ALL Traffic
+ **Protocole** : ALL
+ La **Destination** détermine le trafic qui peut quitter vos contrôleurs de domaine et où il peut aller. Indiquez une adresse IP unique ou une plage d'adresses IP dans une notation CIDR (par exemple, 203.0.113.5/32). Vous pouvez également indiquer le nom ou l'ID d'un autre groupe de sécurité dans la même région. Pour de plus amples informations, veuillez consulter [Comprenez la configuration et l'utilisation AWS des groupes de sécurité de votre annuaire](ms_ad_best_practices.md#understandsecuritygroup).
1. Cliquez sur **Enregistrer**.
![\[Dans la console Amazon VPC, modifiez les règles sortantes pour les groupes de sécurité des contrôleurs d'annuaire.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/editing-and-saving-rule.png)
## Vérification de l'activation de l'authentification préalable Kerberos
Vous voulez maintenant vérifier que la pré-authentification Kerberos est également activée pour les utilisateurs de votre compte Microsoft AD AWS géré. Il s'agit du même processus que celui que vous venez d'effectuer pour votre annuaire sur site. Il s'agit de la valeur par défaut, mais nous allons vérifier que rien n'a changé.
**Pour afficher les paramètres Kerberos utilisateur**
1. Connectez-vous à une instance membre de votre annuaire Microsoft AD AWS géré en utilisant soit le compte correspondant au [AWS Compte administrateur Microsoft AD géré et autorisations de groupe](ms_ad_getting_started_admin_account.md) domaine, soit un compte auquel des autorisations ont été déléguées pour gérer les utilisateurs du domaine.
1. Si ce n'est pas encore fait, installez les outils Utilisateurs et ordinateurs Active Directory et DNS. Découvrez comment installer ces outils dans [Installation des outils d'administration Active Directory pour Microsoft AD AWS géré](ms_ad_install_ad_tools.md).
1. Ouvrez le Gestionnaire de serveur. Dans le menu **Tools**, choisissez **Active Directory Users and Computers**.
1. Choisissez le dossier **Users** dans votre domaine. Notez qu'il s'agit du dossier **Users** sous votre nom NetBIOS, et non du dossier **Users ** sous le nom de domaine complet (FQDN).
![\[Dans la boîte de dialogue Utilisateurs et ordinateurs Active Directory, le dossier Utilisateurs est surligné.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/correct_users_folder.png)
1. Dans la liste des utilisateurs, cliquez avec le bouton droit sur un utilisateur, puis choisissez **Properties (Propriétés)**.
1. Choisissez l'onglet **Account**. Dans la liste **Account options**, vérifiez que l'option **Do not require Kerberos preauthentication** n'est *pas* cochée.
**Étape suivante**
[Étape 2 : créer la relation de confiance avec un autre domaine Microsoft AD AWS géré](ms_ad_tutorial_setup_trust_create_between_2_managed_ad_domains.md)
# Étape 2 : créer la relation de confiance avec un autre domaine Microsoft AD AWS géré
Maintenant que le travail de préparation est terminé, les dernières étapes consistent à créer les approbations entre vos deux domaines Microsoft AD AWS gérés. Si vous avez des problèmes lors du processus de création de la relation d'approbation, veuillez consulter [Raisons liées aux statuts de création d'une relation d'approbation](ms_ad_troubleshooting_trusts.md) pour obtenir de l'aide.
## Configurer la confiance dans votre premier domaine Microsoft AD AWS géré
Dans ce didacticiel, configurez une relation d'approbation de forêt bidirectionnelle. Toutefois, si vous créez une relation d'approbation de forêt unidirectionnelle, sachez que les directions d'approbation sur chacun de vos domaines doivent être complémentaires. Par exemple, si vous créez une approbation sortante unidirectionnelle sur ce premier domaine, vous devez créer une approbation unidirectionnelle entrante sur votre deuxième domaine AWS Microsoft AD géré.
**Note**
AWS Managed Microsoft AD prend également en charge les approbations externes. Toutefois, dans le cadre de ce didacticiel, vous allez créer une approbation de forêt birectionnelle.
**Pour configurer la confiance dans votre premier domaine Microsoft AD AWS géré**
1. Ouvrez la [AWS Directory Service console](https://console.aws.amazon.com/directoryservicev2/).
1. Sur la page **Répertoires**, choisissez votre premier identifiant Microsoft AD AWS géré.
1. Sur la page **Détails de l'annuaire**, procédez de l'une des manières suivantes :
+ Si plusieurs régions apparaissent sous **Réplication sur plusieurs régions**, sélectionnez la région principale, puis cliquez sur l'onglet **Mise en réseau et sécurité**. Pour de plus amples informations, veuillez consulter [Régions principales et régions supplémentaires](multi-region-global-primary-additional.md).
+ Si aucune région n'apparaît sous **Réplication sur plusieurs régions**, choisissez l'onglet **Réseau et sécurité**.
1. Dans la section **Trust relationships (Relations d'approbation)**, choisissez **Actions**, puis sélectionnez **Add trust relationship (Ajouter une relation d'approbation)**.
1. Sur la page **Ajouter une relation de confiance**, saisissez le nom de domaine complet de votre deuxième domaine Microsoft AD AWS géré. N'oubliez pas ce mot de passe, car vous en aurez besoin lors de la configuration de la confiance pour votre deuxième AWS Managed Microsoft AD. Spécifiez la direction. Dans ce cas, nous choisissons **Bidirectionnelle**.
1. Dans le champ **Redirecteur conditionnel**, entrez l'adresse IP de votre deuxième serveur DNS Microsoft AD AWS géré.
1. (Facultatif) Choisissez **Ajouter une autre adresse IP** et entrez une deuxième adresse IP pour votre deuxième serveur DNS Microsoft AD AWS géré. Vous pouvez spécifier un maximum de quatre serveurs DNS.
1. Choisissez **Ajouter**. L'approbation échouera à ce stade, ce qui est prévisible jusqu'à ce que nous ayons créé l'autre côté de l'approbation.
## Configurer la confiance dans votre deuxième domaine Microsoft AD AWS géré
À présent, vous configurez la relation d'approbation de la forêt avec votre deuxième annuaire Microsoft AD AWS géré. Comme vous avez créé une approbation forestière bidirectionnelle sur le premier domaine Microsoft AD AWS géré, vous créez également une approbation bidirectionnelle à l'aide de ce domaine AWS Microsoft AD géré.
**Pour configurer la confiance dans votre deuxième domaine Microsoft AD AWS géré**
1. Revenez à la [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. Sur la page **Répertoires**, choisissez votre deuxième identifiant Microsoft AD AWS géré.
1. Sur la page **Détails de l'annuaire**, procédez de l'une des manières suivantes :
+ Si plusieurs régions apparaissent sous **Réplication sur plusieurs régions**, sélectionnez la région principale, puis cliquez sur l'onglet **Mise en réseau et sécurité**. Pour de plus amples informations, veuillez consulter [Régions principales et régions supplémentaires](multi-region-global-primary-additional.md).
+ Si aucune région n'apparaît sous **Réplication sur plusieurs régions**, choisissez l'onglet **Réseau et sécurité**.
1. Dans la section **Trust relationships (Relations d'approbation)**, choisissez **Actions**, puis sélectionnez **Add trust relationship (Ajouter une relation d'approbation)**.
1. Sur la page **Ajouter une relation de confiance**, saisissez le nom de domaine complet de votre premier domaine Microsoft AD AWS géré. Tapez le même mot de passe de relation d'approbation que vous avez utilisé lors de la création de la relation d'approbation sur votre domaine sur site. Spécifiez la direction. Dans ce cas, nous choisissons **Bidirectionnelle**.
1. Dans le champ **Redirecteur conditionnel**, entrez l'adresse IP de votre premier serveur DNS AWS Managed Microsoft AD.
1. (Facultatif) Choisissez **Ajouter une autre adresse IP** et entrez une deuxième adresse IP pour votre premier serveur DNS Microsoft AD AWS géré. Vous pouvez spécifier un maximum de quatre serveurs DNS.
1. Choisissez **Ajouter**. L'approbation doit être vérifiée peu de temps après.
1. Revenez maintenant à l'approbation que vous avez créée dans le premier domaine et vérifiez à nouveau la relation d'approbation.
Félicitations \$1 Vous disposez désormais d'une relation de confiance entre vos deux domaines Microsoft AD AWS gérés. Une seule relation peut être configurée entre ces deux domaines. Si vous souhaitez par exemple passer à une direction d'approbation unidirectionnelle, vous devrez tout d'abord supprimer cette relation d'approbation existante, puis en créer une autre.