Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Connect Microsoft AD AWS Terkelola ke infrastruktur Direktori Aktif yang ada
Bagian ini menjelaskan cara mengonfigurasi hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan infrastruktur Direktori Aktif yang ada.
**Topics**
+ [
# Membuat hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan AD yang dikelola sendiri
](ms_ad_setup_trust.md)
+ [
# Menambahkan rute IP saat menggunakan alamat IP publik dengan Microsoft AD yang AWS Dikelola
](ms_ad_adding_routes.md)
+ [
# Tutorial: Buat hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan domain Direktori Aktif yang dikelola sendiri
](ms_ad_tutorial_setup_trust.md)
+ [
# Tutorial: Buat hubungan kepercayaan antara dua domain Microsoft AD yang AWS Dikelola
](ms_ad_tutorial_setup_trust_between_2_managed_ad_domains.md)
# Membuat hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan AD yang dikelola sendiri
Anda dapat mengonfigurasi hubungan kepercayaan eksternal dan hutan satu dan dua arah antara AWS Directory Service for Microsoft Active Directory dan direktori yang dikelola sendiri (lokal), serta di antara beberapa direktori AWS Microsoft AD Terkelola di cloud. AWS AWS Microsoft AD yang dikelola mendukung ketiga arah hubungan kepercayaan: Masuk, Keluar, dan Dua arah (Bi-directional).
Untuk informasi selengkapnya tentang hubungan kepercayaan, lihat [Semua yang ingin Anda ketahui tentang kepercayaan dengan Microsoft AD yang AWS Dikelola](https://aws.amazon.com/blogs//security/everything-you-wanted-to-know-about-trusts-with-aws-managed-microsoft-ad/).
**catatan**
Saat mengatur hubungan kepercayaan, Anda harus memastikan bahwa direktori yang dikelola sendiri dan tetap kompatibel dengan Directory Service s. Untuk informasi selengkapnya tentang tanggung jawab Anda, silakan lihat [model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model) kami.
AWS Microsoft AD yang dikelola mendukung perwalian eksternal dan hutan. Untuk menelusuri contoh skenario yang menunjukkan cara membuat kepercayaan forest, lihat [Tutorial: Buat hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan domain Direktori Aktif yang dikelola sendiri](ms_ad_tutorial_setup_trust.md).
Kepercayaan dua arah diperlukan untuk Aplikasi AWS Perusahaan seperti Amazon Chime, Amazon Connect, Quick, AWS IAM Identity Center, WorkDocs, Amazon WorkMail, dan WorkSpaces Amazon. Konsol Manajemen AWS AWS Microsoft AD yang dikelola harus dapat menanyakan pengguna dan grup di Direktori Aktif yang dikelola sendiri.
Anda dapat mengaktifkan otentikasi selektif sehingga hanya akun layanan khusus AWS aplikasi yang dapat menanyakan Direktori Aktif yang dikelola sendiri. Untuk informasi selengkapnya, lihat [Meningkatkan keamanan integrasi AWS aplikasi Anda dengan Microsoft AD yang AWS Dikelola](https://aws.amazon.com//blogs/modernizing-with-aws/enhance-security-of-your-aws-app-integration-with-aws-managed-microsoft-ad/).
Amazon EC2, Amazon RDS, dan Amazon FSx akan bekerja dengan kepercayaan satu arah atau dua arah.
## Prasyarat
Membuat kepercayaan hanya memerlukan beberapa langkah, tetapi Anda harus terlebih dahulu menyelesaikan beberapa langkah prasyarat sebelum mengatur kepercayaan.
**catatan**
AWS Microsoft AD yang dikelola tidak mendukung kepercayaan dengan [Domain Label Tunggal](https://support.microsoft.com/en-us/help/2269810/microsoft-support-for-single-label-domains).
### Menghubungkan ke VPC
Jika Anda membuat hubungan kepercayaan dengan direktori yang dikelola sendiri, Anda harus terlebih dahulu menghubungkan jaringan yang dikelola sendiri ke VPC Amazon yang berisi iklan Microsoft Terkelola AWS . Firewall untuk jaringan Microsoft AD yang AWS dikelola sendiri dan dikelola harus membuka port jaringan yang terdaftar di [WindowsServer 2008 dan versi yang lebih baru](https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts#windows-server-2008-and-later-versions) dalam Microsoft dokumentasi.
Untuk menggunakan nama NetBIOS Anda alih-alih nama domain lengkap Anda untuk otentikasi dengan aplikasi Anda AWS seperti Amazon WorkDocs atau Amazon Quick, Anda harus mengizinkan port 9389. Untuk informasi selengkapnya tentang port dan protokol Direktori Aktif, lihat [Ringkasan layanan dan persyaratan port jaringan untuk dokumentasi Windows](https://learn.microsoft.com/en-US/troubleshoot/windows-server/networking/service-overview-and-network-port-requirements#system-services-ports). Microsoft
Ini adalah port-port minimum yang diperlukan untuk dapat terhubung ke direktori Anda. Konfigurasi spesifik Anda mungkin mengharuskan port-port tambahan terbuka.
### Mengkonfigurasi VPC Anda
VPC yang berisi iklan AWS Microsoft Terkelola Anda harus memiliki aturan keluar dan masuk yang sesuai.
**Untuk mengkonfigurasi aturan keluar VPC Anda**
1. Di [AWS Directory Service konsol](https://console.aws.amazon.com/directoryservicev2/), pada halaman **Detail Direktori**, catat ID direktori Microsoft AD AWS Terkelola Anda.
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pilih **Grup Keamanan**.
1. Cari ID direktori Microsoft AD AWS Terkelola Anda. Dalam hasil pencarian, pilih item dengan deskripsi "AWS membuat grup keamanan untuk pengontrol *direktori ID* direktori”.
**catatan**
Grup keamanan yang dipilih adalah grup keamanan yang dibuat secara otomatis ketika Anda awalnya membuat direktori Anda.
1. Pergi ke tab **Aturan Keluar** dari grup keamanan tersebut. Pilih **Edit**, kemudian **Tambahkan aturan lain**. Untuk aturan baru, masukkan nilai berikut:
+ **Jenis**: Semua Lalu lintas
+ **Protokol**: Semua
+ **Tujuan** menentukan lalu lintas yang dapat meninggalkan pengontrol domain Anda dan ke mana ia dapat pergi di jaringan yang dikelola sendiri. Tentukan alamat IP tunggal atau cakupan alamat IP dalam notasi CIDR (misalnya, 203.0.113.5/32). Anda juga dapat menentukan nama atau ID grup keamanan lain di Region yang sama. Untuk informasi selengkapnya, lihat [Memahami konfigurasi dan penggunaan grup AWS keamanan direktori Anda](ms_ad_best_practices.md#understandsecuritygroup).
1. Pilih **Simpan**.
### Aktifkan pra-autentikasi Kerberos
Akun pengguna Anda harus mengaktifkan pra-autentikasi Kerberos. Untuk informasi selengkapnya tentang setelan ini, tinjau [Preauthentication](http://technet.microsoft.com/en-us/library/cc961961.aspx) di Microsoft. TechNet
### Konfigurasikan forwarder bersyarat DNS pada domain yang dikelola sendiri
Anda harus menyiapkan forwarder bersyarat DNS pada domain yang dikelola sendiri. Lihat [Menetapkan Forwarder Bersyarat untuk Nama Domain di Microsoft TechNet untuk detail tentang](https://technet.microsoft.com/en-us/library/cc794735.aspx) penerusan bersyarat.
Untuk melakukan langkah-langkah berikut, Anda harus memiliki akses ke alat Windows Server berikut untuk domain yang dikelola sendiri:
+ Alat AD DS dan AD LDS
+ DNS
**Untuk mengonfigurasi forwarder bersyarat pada domain yang dikelola sendiri**
1. Pertama, Anda harus mendapatkan beberapa informasi tentang AWS Managed Microsoft AD Anda. Masuk ke Konsol Manajemen AWS dan buka [AWS Directory Service konsol](https://console.aws.amazon.com/directoryservicev2/).
1. Di panel navigasi , pilih **Direktori**.
1. Pilih ID direktori iklan Microsoft AWS Terkelola Anda.
1. Perhatikan nama domain yang memenuhi syarat (FQDN) dan alamat DNS dari direktori Anda.
1. Sekarang, kembali ke pengontrol domain yang dikelola sendiri. Buka Pengelola Server
1. Pada menu **Alat**, pilih **DNS**.
1. Pada pohon konsol, perluas server DNS dari domain di mana Anda mengatur kepercayaan.
1. Pada pohon konsol, pilih **Penerusan Bersyarat**.
1. Pada menu **Tindakan**, pilih **Penerusan bersyarat baru**.
1. Di **domain DNS**, ketik nama domain yang memenuhi syarat penuh (FQDN) dari AWS Microsoft AD Terkelola Anda, yang Anda sebutkan sebelumnya.
1. Pilih **alamat IP server utama** dan ketik alamat DNS direktori Microsoft AD AWS Terkelola Anda, yang Anda catat sebelumnya.
Setelah memasukkan alamat DNS, Anda mungkin mendapatkan error “timeout” atau “tidak dapat menyelesaikan”. Anda biasanya dapat mengabaikan error ini.
1. Pilih **Menyimpan penerusan bersyarat ini di Direktori Aktif dan mereplikasi sebagai berikut: Semua server DNS di domain ini**. Pilih **OK**.
### Kata sandi hubungan Kepercayaan
Jika Anda membuat hubungan kepercayaan dengan domain yang ada, atur hubungan kepercayaan pada domain tersebut menggunakan alat Administrasi Server Windows. Saat Anda melakukannya, perhatikan kata sandi kepercayaan yang Anda gunakan. Anda harus menggunakan kata sandi yang sama ini saat mengatur hubungan kepercayaan pada iklan Microsoft yang AWS Dikelola. Untuk informasi selengkapnya, lihat [Mengelola Trust](https://technet.microsoft.com/en-us/library/cc771568.aspx) di Microsoft TechNet.
Anda sekarang siap untuk menciptakan hubungan kepercayaan pada iklan Microsoft yang AWS Dikelola.
### NetBIOS dan Nama Domain
NetBIOS dan nama domain harus unik dan tidak bisa sama untuk membangun hubungan kepercayaan.
## Membuat, memverifikasi, atau menghapus hubungan kepercayaan
**catatan**
Hubungan kepercayaan adalah fitur global dari Microsoft AD yang AWS Dikelola. Jika Anda menggunakan [Konfigurasikan replikasi Multi-Wilayah untuk AWS Microsoft AD yang Dikelola](ms_ad_configure_multi_region_replication.md), prosedur berikut harus dilakukan di [Region primer](multi-region-global-primary-additional.md#multi-region-primary). Perubahan akan diterapkan di semua Region yang direplikasi secara otomatis. Untuk informasi selengkapnya, lihat [Fitur Global vs Regional](multi-region-global-region-features.md).
**Untuk membuat hubungan kepercayaan dengan Microsoft AD yang AWS Dikelola**
1. Buka [konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. Pada halaman **Direktori**, pilih ID AD Microsoft yang AWS Dikelola.
1. Pada halaman **Detail direktori**, lakukan salah satu hal berikut:
+ Jika Anda memiliki beberapa Region yang ditampilkan di bawah **Replikasi multi-Region**, pilih Region primer, dan kemudian pilih tab **Jaringan & keamanan**. Untuk informasi selengkapnya, lihat [Region utama vs tambahan](multi-region-global-primary-additional.md).
+ Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah **Replikasi Multi-Region**, pilih tab **Jaringan & keamanan**.
1. Di bagian **Hubungan kepercayaan**, pilih **Tindakan**, dan kemudian pilih **Tambahkan hubungan kepercayaan**.
1. Pada halaman **Tambahkan hubungan kepercayaan**, berikan informasi yang diperlukan, termasuk jenis kepercayaan, fully qualified domain name (FQDN) dari domain tepercaya Anda, kata sandi kepercayaan dan arah kepercayaan.
1. (Opsional) Jika Anda hanya ingin mengizinkan pengguna yang berwenang untuk mengakses sumber daya di direktori Microsoft AD AWS Terkelola, Anda dapat memilih kotak centang **Autentikasi selektif** secara opsional. Untuk informasi umum tentang otentikasi selektif, lihat [Pertimbangan Keamanan untuk Trusts](https://technet.microsoft.com/pt-pt/library/cc755321(v=ws.10).aspx) di Microsoft. TechNet
1. Untuk **Conditional forwarder**, ketikkan alamat IP server DNS yang dikelola sendiri. Jika sebelumnya Anda telah membuat forwarder bersyarat, Anda dapat mengetik FQDN domain yang dikelola sendiri alih-alih alamat IP DNS.
1. (Opsional) Pilih **Tambahkan alamat IP lain** dan ketik alamat IP server DNS tambahan yang dikelola sendiri. Anda dapat mengulangi langkah ini untuk setiap alamat server DNS yang berlaku untuk total empat alamat.
1. Pilih **Tambahkan**.
1. **Jika server DNS atau jaringan untuk domain yang dikelola sendiri menggunakan ruang alamat IP publik (non-RFC 1918), buka bagian **perutean IP**, pilih **Tindakan**, lalu pilih Tambahkan rute.** Ketik blok alamat IP server DNS Anda atau jaringan yang dikelola sendiri menggunakan format CIDR, misalnya 203.0.113.0/24. Langkah ini tidak diperlukan jika server DNS Anda dan jaringan yang dikelola sendiri menggunakan ruang alamat IP RFC 1918.
**catatan**
Saat menggunakan ruang alamat IP publik, pastikan bahwa Anda tidak menggunakan salah satu dari [Rentang alamat IP AWS](https://ip-ranges.amazonaws.com/ip-ranges.json) karena ini tidak dapat digunakan.
1. (Opsional) Kami merekomendasikan bahwa saat Anda berada di halaman **Tambahkan rute** Anda juga pilih **Menambahkan rute ke grup keamanan untuk VPC direktori ini**. Ini akan mengkonfigurasi grup keamanan seperti yang dijelaskan di atas dalam “Konfigurasi VPC Anda.” Aturan keamanan ini memengaruhi antarmuka jaringan internal yang tidak terbuka secara publik. Jika opsi ini tidak tersedia, Anda akan melihat pesan yang menunjukkan bahwa Anda telah menyesuaikan grup keamanan Anda.
Anda harus mengatur hubungan kepercayaan pada kedua domain. Hubungan harus saling melengkapi. Misalnya, jika Anda membuat kepercayaan keluar pada satu domain, Anda harus membuat kepercayaan masuk di sisi lain.
Jika Anda membuat hubungan kepercayaan dengan domain yang ada, atur hubungan kepercayaan pada domain tersebut menggunakan alat Administrasi Server Windows.
Anda dapat membuat beberapa kepercayaan antara Microsoft AD yang AWS Dikelola dan berbagai domain Direktori Aktif. Namun, hanya satu hubungan kepercayaan per pasangan dapat eksis pada suatu waktu. Misalnya, jika Anda memiliki kepercayaan satu arah yang ada pada “Arah masuk” dan Anda kemudian ingin mengatur hubungan kepercayaan lain di “Arah keluar,” Anda harus menghapus hubungan kepercayaan yang ada, dan menciptakan kepercayaan “Dua arah” yang baru.
**Untuk memverifikasi hubungan kepercayaan keluar**
1. Buka [konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. Pada halaman **Direktori**, pilih ID AD Microsoft yang AWS Dikelola.
1. Pada halaman **Detail direktori**, lakukan salah satu hal berikut:
+ Jika Anda memiliki beberapa Region yang ditampilkan di bawah **Replikasi multi-Region**, pilih Region primer, dan kemudian pilih tab **Jaringan & keamanan**. Untuk informasi selengkapnya, lihat [Region utama vs tambahan](multi-region-global-primary-additional.md).
+ Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah **Replikasi Multi-Region**, pilih tab **Jaringan & keamanan**.
1. Di bagian **Hubungan kepercayaan**, pilih kepercayaan yang ingin Anda verifikasi, pilih **Tindakan**, dan kemudian pilih **Verifikasi hubungan kepercayaan**.
Proses ini hanya memverifikasi arah keluar dari kepercayaan dua arah. AWS tidak mendukung verifikasi trust yang masuk. Untuk informasi selengkapnya tentang cara memverifikasi kepercayaan ke atau dari Direktori Aktif yang dikelola sendiri, lihat [Verifikasi Kepercayaan](https://technet.microsoft.com/en-us/library/cc753821.aspx) di Microsoft TechNet.
**Untuk menghapus hubungan kepercayaan yang ada**
1. Buka [konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. Pada halaman **Direktori**, pilih ID AD Microsoft yang AWS Dikelola.
1. Pada halaman **Detail direktori**, lakukan salah satu hal berikut:
+ Jika Anda memiliki beberapa Region yang ditampilkan di bawah **Replikasi multi-Region**, pilih Region primer, dan kemudian pilih tab **Jaringan & keamanan**. Untuk informasi selengkapnya, lihat [Region utama vs tambahan](multi-region-global-primary-additional.md).
+ Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah **Replikasi Multi-Region**, pilih tab **Jaringan & keamanan**.
1. Di bagian **Hubungan kepercayaan**, pilih kepercayaan yang ingin Anda hapus, pilih **Tindakan**, dan kemudian pilih **Hapus hubungan kepercayaan**.
1. Pilih **Hapus**.
# Menambahkan rute IP saat menggunakan alamat IP publik dengan Microsoft AD yang AWS Dikelola
Anda dapat menggunakan AWS Directory Service untuk Microsoft Active Directory untuk memanfaatkan banyak fitur Active Directory yang kuat, termasuk membangun kepercayaan dengan direktori lain. Namun, jika server DNS untuk jaringan direktori lain menggunakan alamat IP publik (non-RFC 1918), Anda harus menentukan alamat IP tersebut sebagai bagian dari konfigurasi kepercayaan. Petunjuk untuk melakukan ini dapat ditemukan di [Membuat hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan AD yang dikelola sendiri](ms_ad_setup_trust.md).
Demikian pula, Anda juga harus memasukkan informasi alamat IP saat merutekan lalu lintas dari iklan Microsoft yang AWS Dikelola AWS ke VPC rekan, jika AWS VPC menggunakan rentang IP publik.
Saat Anda menambahkan alamat IP seperti yang dijelaskan di [Membuat hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan AD yang dikelola sendiri](ms_ad_setup_trust.md), Anda memiliki pilihan untuk memilih **Menambahkan rute ke grup keamanan untuk VPC direktori ini**. Opsi ini harus dipilih kecuali Anda sebelumnya telah menyesuaikan [Grup keamanan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule) Anda untuk memungkinkan lalu lintas yang diperlukan seperti yang ditunjukkan di bawah. Lihat informasi yang lebih lengkap di [Memahami konfigurasi dan penggunaan grup AWS keamanan direktori Anda](ms_ad_best_practices.md#understandsecuritygroup).
# Tutorial: Buat hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan domain Direktori Aktif yang dikelola sendiri
Tutorial ini memandu Anda melalui semua langkah yang diperlukan untuk mengatur hubungan kepercayaan antara AWS Directory Service untuk Microsoft Active Directory dan Microsoft Active Directory yang dikelola sendiri (lokal). Meskipun membuat kepercayaan hanya memerlukan beberapa langkah, Anda harus terlebih dahulu menyelesaikan langkah-langkah prasyarat berikut.
**Topics**
+ [
# Prasyarat
](before_you_start.md)
+ [
# Langkah 1: Siapkan Domain AD yang dikelola sendiri
](ms_ad_tutorial_setup_trust_prepare_onprem.md)
+ [
# Langkah 2: Siapkan Microsoft AD yang AWS Dikelola
](ms_ad_tutorial_setup_trust_prepare_mad.md)
+ [
# Langkah 3: Buat hubungan kepercayaan
](ms_ad_tutorial_setup_trust_create.md)
**Lihat Juga**
[Membuat hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan AD yang dikelola sendiri](ms_ad_setup_trust.md)
# Prasyarat
Tutorial ini mengasumsikan bahwa Anda telah memiliki hal berikut:
**catatan**
AWS Microsoft AD yang dikelola tidak mendukung kepercayaan dengan [domain label tunggal](https://support.microsoft.com/en-us/help/2269810/microsoft-support-for-single-label-domains).
+ Direktori Microsoft AD AWS Terkelola yang dibuat pada AWS. Jika Anda memerlukan bantuan untuk melakukannya, lihat [Memulai dengan Microsoft AD yang AWS Dikelola](ms_ad_getting_started.md).
+ Instans EC2 yang berjalan Windows ditambahkan ke Microsoft AD yang AWS Dikelola. Jika Anda memerlukan bantuan untuk melakukannya, lihat [Bergabung dengan instans Windows Amazon EC2 ke Direktori Aktif AWS Microsoft AD Terkelola](launching_instance.md).
**penting**
Akun admin untuk Microsoft AD yang AWS Dikelola harus memiliki akses administratif ke instans ini.
+ Alat Windows Server berikut diinstal pada contoh itu:
+ Alat AD DS dan AD LDS
+ DNS
Jika Anda memerlukan bantuan untuk melakukannya, lihat [Menginstal Alat Administrasi Direktori Aktif untuk Microsoft AD yang AWS Dikelola](ms_ad_install_ad_tools.md).
+ Microsoft Active Directory yang dikelola sendiri (lokal)
Anda harus memiliki akses administratif ke direktori ini. Alat Windows Server yang sama seperti yang tercantum di atas juga harus tersedia untuk direktori ini.
+ Sambungan aktif antara jaringan yang dikelola sendiri dan VPC yang berisi iklan Microsoft AWS Terkelola Anda. Jika Anda memerlukan bantuan untuk melakukannya, lihat [Pilihan Konektivitas Amazon Virtual Private Cloud](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-vpc-connectivity-options.pdf).
+ Kebijakan keamanan lokal yang ditetapkan dengan benar. Periksa `Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously` dan pastikan bahwa itu berisi setidaknya tiga pipa bernama berikut:
+ netlogon
+ samr
+ lsarpc
+ NetBIOS dan nama domain harus unik dan tidak bisa sama untuk membangun hubungan kepercayaan
Untuk informasi lebih lanjut tentang prasyarat untuk menciptakan hubungan kepercayaan, lihat. [Membuat hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan AD yang dikelola sendiri](ms_ad_setup_trust.md)
## Konfigurasi tutorial
Untuk tutorial ini, kami telah membuat iklan Microsoft yang AWS Dikelola dan domain yang dikelola sendiri. Jaringan yang dikelola sendiri terhubung ke VPC Microsoft AD yang AWS Dikelola. Berikut ini adalah properti dari dua direktori tersebut:
### AWS Microsoft AD terkelola berjalan AWS
+ Nama domain (FQDN): Ad.example.com MyManaged
+ Nama NetBIOS: AD MyManaged
+ Alamat DNS: 10.0.10.246, 10.0.20.121
+ VPC CIDR: 10.0.0.0/16
Microsoft AD yang AWS Dikelola berada di ID VPC: vpc-12345678.
### Domain Microsoft AD yang AWS dikelola sendiri atau Dikelola
+ Nama domain (FQDN): corp.example.com
+ Nama NetBIOS: CORP
+ Alamat DNS: 172.16.10.153
+ CIDR yang dikelola sendiri: 172.16.0.0/16
**Langkah Selanjutnya**
[Langkah 1: Siapkan Domain AD yang dikelola sendiri](ms_ad_tutorial_setup_trust_prepare_onprem.md)
# Langkah 1: Siapkan Domain AD yang dikelola sendiri
Pertama, Anda perlu menyelesaikan beberapa langkah prasyarat pada domain yang dikelola sendiri (lokal) Anda.
## Konfigurasikan firewall yang dikelola sendiri
Anda harus mengonfigurasi firewall yang dikelola sendiri sehingga port berikut terbuka CIDRs untuk semua subnet yang digunakan oleh VPC yang berisi iklan Microsoft Terkelola AWS Anda. Dalam tutorial ini, kami mengizinkan lalu lintas masuk dan keluar dari 10.0.0.0/16 (blok CIDR dari VPC AWS Microsoft AD Terkelola kami) pada port berikut:
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Autentikasi Kerberos
+ TCP/UDP 389 - Protokol Akses Direktori Ringan (LDAP)
+ TCP 445 - Blok Pesan Server (SMB)
+ TCP 9389 - Active Directory Web Services (ADWS) (*Opsional* - Port ini harus terbuka jika Anda ingin menggunakan nama NetBIOS Anda alih-alih nama domain lengkap Anda untuk otentikasi dengan aplikasi seperti AWS Amazon atau Amazon Quick.) WorkDocs
**catatan**
SMBv1 tidak lagi didukung.
Ini adalah port minimum yang diperlukan untuk menghubungkan VPC ke direktori yang dikelola sendiri. Konfigurasi spesifik Anda mungkin mengharuskan port-port tambahan terbuka.
## Pastikan bahwa Kerberos pra-autentikasi diaktifkan
Akun pengguna di kedua direktori harus mengaktifkan praautentikasi Kerberos. Ini adalah default, tapi mari kita periksa properti dari setiap pengguna acak untuk memastikan tidak ada yang berubah.
**Untuk melihat pengaturan Kerberos pengguna**
1. Pada pengontrol domain yang dikelola sendiri, buka Server Manager.
1. Pada menu **Alat**, pilih **Pengguna dan komputer Direktori Aktif**.
1. Pilih folder **Pengguna** dan buka menu konteks (klik kanan). Pilih akun pengguna acak yang tercantum dalam panel kanan. Pilih **Properti**.
1. Pilih tab **Akun**. Di daftar **Opsi akun**, gulir ke bawah dan pastikan bahwa **Tidak memerlukan preautentikasi Kerberos** *tidak* dicentang.
![\[Kotak dialog Corp User Properties dengan opsi akun tidak memerlukan preotentikasi Kerberos disorot.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/kerberos_enabled.png)
## Konfigurasikan forwarder bersyarat DNS untuk domain yang dikelola sendiri
Anda harus mengatur penerusan bersyarat DNS pada setiap domain. Sebelum melakukan ini di domain yang dikelola sendiri, pertama-tama Anda akan mendapatkan beberapa informasi tentang iklan Microsoft yang AWS Dikelola.
**Untuk mengonfigurasi forwarder bersyarat pada domain yang dikelola sendiri**
1. Masuk ke Konsol Manajemen AWS dan buka [AWS Directory Service konsol](https://console.aws.amazon.com/directoryservicev2/).
1. Di panel navigasi , pilih **Direktori**.
1. Pilih ID direktori iklan Microsoft AWS Terkelola Anda.
1. Pada halaman **Detail**, perhatikan nilai-nilai dalam **Nama direktori** dan **Alamat DNS** dari direktori Anda.
1. Sekarang, kembali ke pengontrol domain yang dikelola sendiri. Buka Pengelola Server
1. Pada menu **Alat**, pilih **DNS**.
1. Pada pohon konsol, perluas server DNS dari domain di mana Anda mengatur kepercayaan. Server kami adalah CN7 VJ0 WIN-5V70 .corp.example.com.
1. Pada pohon konsol, pilih **Penerusan Bersyarat**.
1. Pada menu **Tindakan**, pilih **Penerusan bersyarat baru**.
1. Di **domain DNS**, ketik nama domain yang memenuhi syarat penuh (FQDN) dari AWS Microsoft AD Terkelola Anda, yang Anda sebutkan sebelumnya. Dalam contoh ini, FQDN adalah Ad.example.com. MyManaged
1. Pilih **alamat IP server utama** dan ketik alamat DNS direktori Microsoft AD AWS Terkelola Anda, yang Anda catat sebelumnya. Dalam contoh ini yaitu: 10.0.10.246, 10.0.20.121
Setelah memasukkan alamat DNS, Anda mungkin mendapatkan error “timeout” atau “tidak dapat menyelesaikan”. Anda biasanya dapat mengabaikan error ini.
![\[Kotak dialog Conditional Forwarder baru dengan alamat IP server DNS disorot.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/new_cond_forwarder_diag_box_2.png)
1. Pilih **Menyimpan penerusan bersyarat ini di Direktori Aktif dan mereplikasi sebagai berikut**.
1. Pilih **Semua server DNS dalam domain ini**, lalu pilih **OK**.
**Langkah Selanjutnya**
[Langkah 2: Siapkan Microsoft AD yang AWS Dikelola](ms_ad_tutorial_setup_trust_prepare_mad.md)
# Langkah 2: Siapkan Microsoft AD yang AWS Dikelola
Sekarang mari kita siapkan iklan Microsoft AWS Terkelola Anda untuk hubungan kepercayaan. Banyak dari langkah-langkah berikut hampir identik dengan apa yang baru saja Anda selesaikan untuk domain yang dikelola sendiri. Kali ini, bagaimanapun, Anda bekerja dengan Microsoft AD yang AWS Dikelola.
## Mengkonfigurasi subnet VPC dan grup keamanan Anda
Anda harus mengizinkan lalu lintas dari jaringan yang dikelola sendiri ke VPC yang berisi iklan Microsoft yang AWS Dikelola. Untuk melakukan ini, Anda harus memastikan bahwa yang ACLs terkait dengan subnet yang digunakan untuk menyebarkan AD AWS Microsoft Terkelola dan aturan grup keamanan yang dikonfigurasi pada pengontrol domain Anda, keduanya memungkinkan lalu lintas yang diperlukan untuk mendukung trust.
Persyaratan port bervariasi berdasarkan versi Windows Server yang digunakan oleh pengendali domain Anda dan layanan atau aplikasi yang akan memanfaatkan kepercayaan. Untuk tujuan tutorial ini, Anda harus membuka port-port berikut ini:
**Ke dalam**
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Autentikasi Kerberos
+ UDP 123 - NTP
+ TCP 135 - RPC
+ TCP/UDP 389 - LDAP
+ TCP/UDP 445 - SMB
+ TCP/UDP 464 - Autentikasi Kerberos
+ TCP 636 - LDAPS (LDAP melalui TLS/SSL)
+ TCP 3268-3269 - Katalog Global
+ TCP/UDP 49152-65535 - Port-port sementara untuk RPC
**catatan**
SMBv1 tidak lagi didukung.
**Ke luar**
+ SEMUA
**catatan**
Ini adalah port minimum yang diperlukan untuk dapat menghubungkan VPC dan direktori yang dikelola sendiri. Konfigurasi spesifik Anda mungkin mengharuskan port-port tambahan terbuka.
**Untuk mengonfigurasi aturan keluar dan masuk pengontrol domain Microsoft AD AWS Terkelola**
1. Kembali ke [Konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/). Dalam daftar direktori, perhatikan ID direktori untuk direktori Microsoft AD AWS Terkelola Anda.
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pada panel navigasi, pilih **Grup Keamanan**.
1. Gunakan kotak pencarian untuk mencari ID direktori Microsoft AD AWS Terkelola Anda. Dalam hasil pencarian, pilih Grup Keamanan dengan deskripsi**AWS created security group for *yourdirectoryID* directory controllers**.
![\[Di Konsol VPC Amazon, hasil pencarian untuk grup keamanan untuk pengontrol direktori disorot.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/security-group-search.png)
1. Pergi ke tab **Aturan Keluar** untuk grup keamanan tersebut. Pilih **Edit aturan keluar**, lalu **Tambahkan aturan**. Untuk aturan baru, masukkan nilai berikut:
+ **Jenis**: SEMUA Lalu lintas
+ **Protokol**: SEMUA
+ **Tujuan** menentukan lalu lintas yang dapat meninggalkan pengendali domain Anda dan ke mana ia akan pergi. Tentukan alamat IP tunggal atau cakupan alamat IP dalam notasi CIDR (misalnya, 203.0.113.5/32). Anda juga dapat menentukan nama atau ID grup keamanan lain di Region yang sama. Untuk informasi selengkapnya, lihat [Memahami konfigurasi dan penggunaan grup AWS keamanan direktori Anda](ms_ad_best_practices.md#understandsecuritygroup).
1. Pilih **Simpan Aturan**.
![\[Di Konsol VPC Amazon, edit aturan keluar untuk grup keamanan pengontrol direktori.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/editing-and-saving-rule.png)
## Pastikan bahwa Kerberos pra-autentikasi diaktifkan
Sekarang Anda ingin mengonfirmasi bahwa pengguna di Microsoft AD AWS Terkelola Anda juga mengaktifkan pra-otentikasi Kerberos. Ini adalah proses yang sama yang Anda selesaikan untuk direktori yang dikelola sendiri. Ini adalah default, tapi mari kita periksa untuk memastikan tidak ada yang berubah.
**Untuk melihat pengaturan kerberos pengguna**
1. Masuk ke instans yang merupakan anggota direktori Microsoft AD AWS Terkelola menggunakan domain [AWS Akun Administrator Microsoft AD yang dikelola dan izin grup](ms_ad_getting_started_admin_account.md) untuk atau akun yang telah didelegasikan izin untuk mengelola pengguna di domain.
1. Jika mereka belum diinstal, instal alat Pengguna dan Komputer Direktori Aktif dan alat DNS. Pelajari cara memasang alat ini di [Menginstal Alat Administrasi Direktori Aktif untuk Microsoft AD yang AWS Dikelola](ms_ad_install_ad_tools.md).
1. Buka Pengelola Server Pada menu **Alat**, pilih **Pengguna dan komputer Direktori Aktif**.
1. Pilih folder **Pengguna** di domain Anda. Perhatikan bahwa ini adalah folder **Pengguna** di bawah nama NetBIOS Anda, bukan folder **Pengguna** di bawah nama domain yang memenuhi syarat (FQDN).
![\[Dalam kotak dialog Active Directory Users and Computers, folder Users disorot.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/correct_users_folder.png)
1. Dalam daftar pengguna, klik kanan pada pengguna, dan kemudian pilih **Properti**.
1. Pilih tab **Akun**. Di daftar **Opsi akun**, pastikan bahwa **Tidak memerlukan preautentikasi Kerberos** *tidak* dicentang.
**Langkah Selanjutnya**
[Langkah 3: Buat hubungan kepercayaan](ms_ad_tutorial_setup_trust_create.md)
# Langkah 3: Buat hubungan kepercayaan
Sekarang setelah persiapan selesai, langkah-langkah terakhir adalah membuat kepercayaan. Pertama, Anda membuat kepercayaan pada domain yang dikelola sendiri, dan akhirnya di Microsoft AD yang AWS Dikelola. Jika Anda memiliki masalah selama proses pembuatan kepercayaan, lihat [Alasan status pembuatan kepercayaan](ms_ad_troubleshooting_trusts.md) untuk bantuan.
## Konfigurasikan kepercayaan pada Direktori Aktif yang dikelola sendiri
Dalam tutorial ini, Anda mengkonfigurasi kepercayaan forest dua arah. Namun, jika Anda membuat kepercayaan forest satu arah, ketahui bahwa arah kepercayaan pada masing-masing domain Anda harus saling melengkapi. Misalnya, jika Anda membuat kepercayaan keluar satu arah pada domain yang dikelola sendiri, Anda perlu membuat kepercayaan masuk satu arah pada iklan AWS Microsoft yang Dikelola.
**catatan**
AWS Microsoft AD yang dikelola juga mendukung kepercayaan eksternal. Namun, untuk tujuan tutorial ini, Anda akan membuat kepercayaan forest dua arah.
**Untuk mengonfigurasi kepercayaan pada Direktori Aktif yang dikelola sendiri**
1. Buka Pengelola Server dan pada menu **Alat**, pilih **Domain Direktori Aktif dan Kepercayaan**.
1. Buka menu konteks (klik kanan) dari domain Anda dan pilih **Properties**.
1. Pilih tab **Kepercayaan** dan pilih **Kepercayaan baru**. Ketik nama iklan Microsoft AWS Terkelola Anda dan pilih **Berikutnya**.
1. Pilih **Kepercayaan forest**. Pilih **Berikutnya**.
1. Pilih **Dua arah**. Pilih **Berikutnya**.
1. Pilih **Hanya domain ini**. Pilih **Berikutnya**.
1. Pilih **Autentikasi seluruh forest**. Pilih **Berikutnya**.
1. Ketik **Kata sandi kepercayaan**. Pastikan untuk mengingat kata sandi ini karena Anda akan membutuhkannya saat menyiapkan kepercayaan untuk iklan Microsoft AWS Terkelola Anda.
1. Di kotak dialog berikutnya, konfirmasikan pengaturan Anda dan pilih **Selanjutnya**. Konfirmasikan bahwa kepercayaan telah dibuat dengan sukses dan pilih lagi **Selanjutnya**.
1. Pilih **Tidak, jangan konfirmasikan kepercayaan keluar**. Pilih **Berikutnya**.
1. Pilih **Tidak, jangan konfirmasikan kepercayaan masuk**. Pilih **Berikutnya**.
## Konfigurasikan kepercayaan di direktori Microsoft AD AWS Terkelola Anda
Terakhir, Anda mengonfigurasi hubungan trust hutan dengan direktori Microsoft AD AWS Terkelola Anda. Karena Anda membuat trust hutan dua arah pada domain yang dikelola sendiri, Anda juga membuat kepercayaan dua arah menggunakan direktori AWS Microsoft AD yang Dikelola.
**catatan**
Hubungan kepercayaan adalah fitur global dari Microsoft AD yang AWS Dikelola. Jika Anda menggunakan [Konfigurasikan replikasi Multi-Wilayah untuk AWS Microsoft AD yang Dikelola](ms_ad_configure_multi_region_replication.md), prosedur berikut harus dilakukan di [Region primer](multi-region-global-primary-additional.md#multi-region-primary). Perubahan akan diterapkan di semua Region yang direplikasi secara otomatis. Untuk informasi selengkapnya, lihat [Fitur Global vs Regional](multi-region-global-region-features.md).
**Untuk mengonfigurasi kepercayaan di direktori Microsoft AD yang AWS Dikelola**
1. Kembali ke [Konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. Pada halaman **Direktori**, pilih ID AD Microsoft yang AWS Dikelola.
1. Pada halaman **Detail direktori**, lakukan salah satu hal berikut:
+ Jika Anda memiliki beberapa Region yang ditampilkan di bawah **Replikasi multi-Region**, pilih Region primer, dan kemudian pilih tab **Jaringan & keamanan**. Untuk informasi selengkapnya, lihat [Region utama vs tambahan](multi-region-global-primary-additional.md).
+ Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah **Replikasi Multi-Region**, pilih tab **Jaringan & keamanan**.
1. Di bagian **Hubungan kepercayaan**, pilih **Tindakan**, dan kemudian pilih **Tambahkan hubungan kepercayaan**.
1. Pada halaman **Tambahkan hubungan kepercayaan**, tentukan jenis Trust. Dalam hal ini, kami memilih **kepercayaan Hutan**. Ketik FQDN domain yang dikelola sendiri (dalam tutorial ini). **corp.example.com** Ketik kata sandi kepercayaan yang sama dengan yang Anda gunakan saat membuat kepercayaan pada domain yang dikelola sendiri. Tentukan arah. Dalam hal ini, kami memilih **Dua arah**.
1. Di bidang **Conditional forwarder**, masukkan alamat IP server DNS yang dikelola sendiri. Dalam contoh ini, masukkan 172.16.10.153.
1. (Opsional) Pilih **Tambahkan alamat IP lain** dan masukkan alamat IP kedua untuk server DNS yang dikelola sendiri. Anda dapat menentukan hingga total empat server DNS.
1. Pilih **Tambahkan**.
Selamat. Anda sekarang memiliki hubungan kepercayaan antara domain yang dikelola sendiri (corp.example.com) dan iklan AWS Microsoft Terkelola (Ad.example.com). MyManaged Hanya satu hubungan yang dapat diatur antara kedua domain ini. Jika misalnya, Anda ingin mengubah arah kepercayaan ke satu arah, Anda harus terlebih dahulu menghapus hubungan kepercayaan yang ada ini dan membuat yang baru.
Untuk informasi selengkapnya, termasuk petunjuk tentang memverifikasi atau menghapus kepercayaan, lihat [Membuat hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan AD yang dikelola sendiri](ms_ad_setup_trust.md).
# Tutorial: Buat hubungan kepercayaan antara dua domain Microsoft AD yang AWS Dikelola
Tutorial ini memandu Anda melalui semua langkah yang diperlukan untuk mengatur hubungan kepercayaan antara dua domain AWS Directory Service untuk Microsoft Active Directory.
**Topics**
+ [
# Langkah 1: Siapkan Microsoft AD yang AWS Dikelola
](ms_ad_tutorial_setup_trust_prepare_mad_between_2_managed_ad_domains.md)
+ [
# Langkah 2: Buat hubungan kepercayaan dengan domain Microsoft AD AWS Terkelola lainnya
](ms_ad_tutorial_setup_trust_create_between_2_managed_ad_domains.md)
**Lihat Juga**
[Membuat hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan AD yang dikelola sendiri](ms_ad_setup_trust.md)
# Langkah 1: Siapkan Microsoft AD yang AWS Dikelola
Di bagian ini, Anda akan menyiapkan iklan Microsoft AWS Terkelola untuk hubungan kepercayaan dengan iklan Microsoft AWS Terkelola lainnya. Banyak dari langkah-langkah berikut hampir identik dengan apa yang Anda lakukan[Tutorial: Buat hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan domain Direktori Aktif yang dikelola sendiri](ms_ad_tutorial_setup_trust.md). Namun, kali ini, Anda mengonfigurasi lingkungan Microsoft AD yang AWS Dikelola agar berfungsi satu sama lain.
## Mengkonfigurasi subnet VPC dan grup keamanan Anda
Anda harus mengizinkan lalu lintas dari satu jaringan Microsoft AD AWS Terkelola ke VPC yang berisi iklan AWS Microsoft Terkelola lainnya. Untuk melakukan ini, Anda harus memastikan bahwa yang ACLs terkait dengan subnet yang digunakan untuk menyebarkan AD AWS Microsoft Terkelola dan aturan grup keamanan yang dikonfigurasi pada pengontrol domain Anda, keduanya memungkinkan lalu lintas yang diperlukan untuk mendukung trust.
Persyaratan port bervariasi berdasarkan versi Windows Server yang digunakan oleh pengendali domain Anda dan layanan atau aplikasi yang akan memanfaatkan kepercayaan. Untuk tujuan tutorial ini, Anda harus membuka port-port berikut ini:
**Ke dalam**
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Autentikasi Kerberos
+ UDP 123 - NTP
+ TCP 135 - RPC
+ TCP/UDP 389 - LDAP
+ TCP/UDP 445 - SMB
**catatan**
SMBv1 tidak lagi didukung.
+ TCP/UDP 464 - Autentikasi Kerberos
+ TCP 636 - LDAPS (LDAP melalui TLS/SSL)
+ TCP 3268-3269 - Katalog Global
+ TCP/UDP 1024-65535 - Port sementara untuk RPC
**Ke luar**
+ SEMUA
**catatan**
Ini adalah port minimum yang diperlukan untuk dapat menghubungkan VPCs dari kedua Microsoft AD yang AWS Dikelola. Konfigurasi spesifik Anda mungkin mengharuskan port-port tambahan terbuka. Untuk informasi selengkapnya, lihat [Cara mengonfigurasi firewall untuk domain dan trust Active Directory di situs](https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts) web Microsoft.
**Untuk mengonfigurasi aturan keluar pengontrol domain Microsoft AD AWS Terkelola**
**catatan**
Ulangi langkah 1-6 di bawah ini untuk setiap direktori.
1. Pergi ke [AWS Directory Service konsol](https://console.aws.amazon.com/directoryservicev2/). Dalam daftar direktori, perhatikan ID direktori untuk direktori Microsoft AD AWS Terkelola Anda.
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pada panel navigasi, pilih **Grup Keamanan**.
1. Gunakan kotak pencarian untuk mencari ID direktori Microsoft AD AWS Terkelola Anda. Dalam hasil pencarian, pilih item dengan deskripsi**AWS created security group for *yourdirectoryID* directory controllers**.
![\[Di Konsol VPC Amazon, hasil pencarian untuk grup keamanan untuk pengontrol direktori disorot.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/security-group-search.png)
1. Pergi ke tab **Aturan Keluar** untuk grup keamanan tersebut. Pilih **Edit**, kemudian **Tambahkan aturan lain**. Untuk aturan baru, masukkan nilai berikut:
+ **Jenis**: SEMUA Lalu lintas
+ **Protokol**: SEMUA
+ **Tujuan** menentukan lalu lintas yang dapat meninggalkan pengendali domain Anda dan ke mana ia akan pergi. Tentukan alamat IP tunggal atau cakupan alamat IP dalam notasi CIDR (misalnya, 203.0.113.5/32). Anda juga dapat menentukan nama atau ID grup keamanan lain di Region yang sama. Untuk informasi selengkapnya, lihat [Memahami konfigurasi dan penggunaan grup AWS keamanan direktori Anda](ms_ad_best_practices.md#understandsecuritygroup).
1. Pilih **Simpan**.
![\[Di Konsol VPC Amazon, edit aturan keluar untuk grup keamanan pengontrol direktori.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/editing-and-saving-rule.png)
## Pastikan bahwa Kerberos pra-autentikasi diaktifkan
Sekarang Anda ingin mengonfirmasi bahwa pengguna di Microsoft AD AWS Terkelola Anda juga mengaktifkan pra-otentikasi Kerberos. Ini adalah proses yang sama yang Anda selesaikan untuk direktori on-premise Anda. Ini adalah default, tapi mari kita periksa untuk memastikan tidak ada yang berubah.
**Untuk melihat pengaturan kerberos pengguna**
1. Masuk ke instans yang merupakan anggota direktori Microsoft AD AWS Terkelola Anda menggunakan domain [AWS Akun Administrator Microsoft AD yang dikelola dan izin grup](ms_ad_getting_started_admin_account.md) untuk atau akun yang telah didelegasikan izin untuk mengelola pengguna di domain.
1. Jika mereka belum diinstal, instal alat Pengguna dan Komputer Direktori Aktif dan alat DNS. Pelajari cara memasang alat ini di [Menginstal Alat Administrasi Direktori Aktif untuk Microsoft AD yang AWS Dikelola](ms_ad_install_ad_tools.md).
1. Buka Pengelola Server Pada menu **Alat**, pilih **Pengguna dan komputer Direktori Aktif**.
1. Pilih folder **Pengguna** di domain Anda. Perhatikan bahwa ini adalah folder **Pengguna** di bawah nama NetBIOS Anda, bukan folder **Pengguna** di bawah nama domain yang memenuhi syarat (FQDN).
![\[Dalam kotak dialog Active Directory Users and Computers, folder Users disorot.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/correct_users_folder.png)
1. Dalam daftar pengguna, klik kanan pada pengguna, dan kemudian pilih **Properti**.
1. Pilih tab **Akun**. Di daftar **Opsi akun**, pastikan bahwa **Tidak memerlukan preautentikasi Kerberos** *tidak* dicentang.
**Langkah Selanjutnya**
[Langkah 2: Buat hubungan kepercayaan dengan domain Microsoft AD AWS Terkelola lainnya](ms_ad_tutorial_setup_trust_create_between_2_managed_ad_domains.md)
# Langkah 2: Buat hubungan kepercayaan dengan domain Microsoft AD AWS Terkelola lainnya
Sekarang setelah pekerjaan persiapan selesai, langkah terakhir adalah membuat kepercayaan antara dua domain Microsoft AD AWS Terkelola Anda. Jika Anda memiliki masalah selama proses pembuatan kepercayaan, lihat [Alasan status pembuatan kepercayaan](ms_ad_troubleshooting_trusts.md) untuk bantuan.
## Konfigurasikan kepercayaan pada domain Microsoft AD AWS Terkelola pertama Anda
Dalam tutorial ini, Anda mengkonfigurasi kepercayaan forest dua arah. Namun, jika Anda membuat kepercayaan forest satu arah, ketahui bahwa arah kepercayaan pada masing-masing domain Anda harus saling melengkapi. Misalnya, jika Anda membuat kepercayaan keluar satu arah pada domain pertama ini, Anda perlu membuat kepercayaan masuk satu arah pada domain AWS Microsoft AD Terkelola kedua Anda.
**catatan**
AWS Microsoft AD yang dikelola juga mendukung kepercayaan eksternal. Namun, untuk tujuan tutorial ini, Anda akan membuat kepercayaan forest dua arah.
**Untuk mengonfigurasi kepercayaan pada domain Microsoft AD AWS Terkelola pertama Anda**
1. Buka [konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. Pada halaman **Direktori**, pilih ID AD Microsoft AWS Terkelola pertama Anda.
1. Pada halaman **Detail direktori**, lakukan salah satu hal berikut:
+ Jika Anda memiliki beberapa Region yang ditampilkan di bawah **Replikasi multi-Region**, pilih Region primer, dan kemudian pilih tab **Jaringan & keamanan**. Untuk informasi selengkapnya, lihat [Region utama vs tambahan](multi-region-global-primary-additional.md).
+ Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah **Replikasi Multi-Region**, pilih tab **Jaringan & keamanan**.
1. Di bagian **Hubungan kepercayaan**, pilih **Tindakan**, dan kemudian pilih **Tambahkan hubungan kepercayaan**.
1. Pada halaman **Tambahkan hubungan kepercayaan**, Ketik FQDN domain AWS Microsoft AD Terkelola kedua Anda. Pastikan untuk mengingat kata sandi ini karena Anda akan membutuhkannya saat menyiapkan kepercayaan untuk iklan Microsoft AWS Terkelola kedua Anda. Tentukan arah. Dalam hal ini, pilih **Dua arah**.
1. Di bidang **Conditional forwarder**, masukkan alamat IP server DNS AWS Microsoft AD terkelola kedua Anda.
1. (Opsional) Pilih **Tambahkan alamat IP lain** dan masukkan alamat IP kedua untuk server DNS Microsoft AD AWS Terkelola kedua Anda. Anda dapat menentukan hingga total empat server DNS.
1. Pilih **Tambahkan**. Kepercayaan akan gagal pada titik ini yang diharapkan sampai kita menciptakan sisi lain dari kepercayaan.
## Konfigurasikan kepercayaan di domain Microsoft AD AWS Terkelola kedua Anda
Sekarang, Anda mengonfigurasi hubungan trust hutan dengan direktori Microsoft AD AWS Terkelola kedua Anda. Karena Anda membuat trust hutan dua arah pada domain Microsoft AD AWS Terkelola pertama, Anda juga membuat kepercayaan dua arah menggunakan domain AWS Microsoft AD Terkelola ini.
**Untuk mengonfigurasi kepercayaan pada domain Microsoft AD AWS Terkelola kedua Anda**
1. Kembali ke [Konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. Pada halaman **Direktori**, pilih ID AD Microsoft AWS Terkelola kedua Anda.
1. Pada halaman **Detail direktori**, lakukan salah satu hal berikut:
+ Jika Anda memiliki beberapa Region yang ditampilkan di bawah **Replikasi multi-Region**, pilih Region primer, dan kemudian pilih tab **Jaringan & keamanan**. Untuk informasi selengkapnya, lihat [Region utama vs tambahan](multi-region-global-primary-additional.md).
+ Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah **Replikasi Multi-Region**, pilih tab **Jaringan & keamanan**.
1. Di bagian **Hubungan kepercayaan**, pilih **Tindakan**, dan kemudian pilih **Tambahkan hubungan kepercayaan**.
1. Pada halaman **Tambahkan hubungan kepercayaan**, Ketik FQDN domain AWS Microsoft AD Terkelola pertama Anda. Ketik kata sandi kepercayaan yang sama yang Anda gunakan saat membuat kepercayaan pada domain on-premise Anda. Tentukan arah. Dalam hal ini, pilih **Dua arah**.
1. Di bidang **Conditional forwarder**, masukkan alamat IP server DNS AWS Microsoft AD terkelola pertama Anda.
1. (Opsional) Pilih **Tambahkan alamat IP lain** dan masukkan alamat IP kedua untuk server DNS Microsoft AD AWS Terkelola pertama Anda. Anda dapat menentukan hingga total empat server DNS.
1. Pilih **Tambahkan**. Kepercayaan harus diverifikasi segera setelah itu.
1. Sekarang, kembali ke kepercayaan yang Anda buat di domain pertama dan verifikasi kembali hubungan kepercayaan.
Selamat. Anda sekarang memiliki hubungan kepercayaan antara dua domain Microsoft AD yang AWS Dikelola. Hanya satu hubungan yang dapat diatur antara kedua domain ini. Jika misalnya, Anda ingin mengubah arah kepercayaan ke satu arah, Anda harus terlebih dahulu menghapus hubungan kepercayaan yang ada ini dan membuat yang baru.