Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Tutorial: Buat hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan domain Direktori Aktif yang dikelola sendiri
<a name="ms_ad_tutorial_setup_trust"></a>

Tutorial ini memandu Anda melalui semua langkah yang diperlukan untuk mengatur hubungan kepercayaan antara AWS Directory Service untuk Microsoft Active Directory dan Microsoft Active Directory yang dikelola sendiri (lokal). Meskipun membuat kepercayaan hanya memerlukan beberapa langkah, Anda harus terlebih dahulu menyelesaikan langkah-langkah prasyarat berikut. 

**Topics**
+ [Prasyarat](before_you_start.md)
+ [Langkah 1: Siapkan Domain AD yang dikelola sendiri](ms_ad_tutorial_setup_trust_prepare_onprem.md)
+ [Langkah 2: Siapkan Microsoft AD yang AWS Dikelola](ms_ad_tutorial_setup_trust_prepare_mad.md)
+ [Langkah 3: Buat hubungan kepercayaan](ms_ad_tutorial_setup_trust_create.md)

**Lihat Juga**

[Membuat hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan AD yang dikelola sendiri](ms_ad_setup_trust.md)

# Prasyarat
<a name="before_you_start"></a>

Tutorial ini mengasumsikan bahwa Anda telah memiliki hal berikut:

**catatan**  
AWS Microsoft AD yang dikelola tidak mendukung kepercayaan dengan [domain label tunggal](https://support.microsoft.com/en-us/help/2269810/microsoft-support-for-single-label-domains).
+ Direktori Microsoft AD AWS Terkelola yang dibuat pada AWS. Jika Anda memerlukan bantuan untuk melakukannya, lihat [Memulai dengan Microsoft AD yang AWS Dikelola](ms_ad_getting_started.md).
+ Instans EC2 yang berjalan Windows ditambahkan ke Microsoft AD yang AWS Dikelola. Jika Anda memerlukan bantuan untuk melakukannya, lihat [Bergabung dengan instans Windows Amazon EC2 ke Direktori Aktif AWS Microsoft AD Terkelola](launching_instance.md).
**penting**  
Akun admin untuk Microsoft AD yang AWS Dikelola harus memiliki akses administratif ke instans ini.
+ Alat Windows Server berikut diinstal pada contoh itu:
  + Alat AD DS dan AD LDS
  + DNS

  Jika Anda memerlukan bantuan untuk melakukannya, lihat [Menginstal Alat Administrasi Direktori Aktif untuk Microsoft AD yang AWS Dikelola](ms_ad_install_ad_tools.md).
+ Microsoft Active Directory yang dikelola sendiri (lokal)

  Anda harus memiliki akses administratif ke direktori ini. Alat Windows Server yang sama seperti yang tercantum di atas juga harus tersedia untuk direktori ini.
+ Sambungan aktif antara jaringan yang dikelola sendiri dan VPC yang berisi iklan Microsoft AWS Terkelola Anda. Jika Anda memerlukan bantuan untuk melakukannya, lihat [Pilihan Konektivitas Amazon Virtual Private Cloud](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-vpc-connectivity-options.pdf).
+ Kebijakan keamanan lokal yang ditetapkan dengan benar. Periksa `Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously` dan pastikan bahwa itu berisi setidaknya tiga pipa bernama berikut: 
  + netlogon
  + samr
  + lsarpc
+ NetBIOS dan nama domain harus unik dan tidak bisa sama untuk membangun hubungan kepercayaan

Untuk informasi lebih lanjut tentang prasyarat untuk menciptakan hubungan kepercayaan, lihat. [Membuat hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan AD yang dikelola sendiri](ms_ad_setup_trust.md)

## Konfigurasi tutorial
<a name="tutorial_config"></a>

Untuk tutorial ini, kami telah membuat iklan Microsoft yang AWS Dikelola dan domain yang dikelola sendiri. Jaringan yang dikelola sendiri terhubung ke VPC Microsoft AD yang AWS Dikelola. Berikut ini adalah properti dari dua direktori tersebut:

### AWS Microsoft AD terkelola berjalan AWS
<a name="mad_domain"></a>
+ Nama domain (FQDN): Ad.example.com MyManaged
+ Nama NetBIOS: AD MyManaged
+ Alamat DNS: 10.0.10.246, 10.0.20.121
+ VPC CIDR: 10.0.0.0/16

Microsoft AD yang AWS Dikelola berada di ID VPC: vpc-12345678.

### Domain Microsoft AD yang AWS dikelola sendiri atau Dikelola
<a name="onprem_domain"></a>
+ Nama domain (FQDN): corp.example.com
+ Nama NetBIOS: CORP
+ Alamat DNS: 172.16.10.153
+ CIDR yang dikelola sendiri: 172.16.0.0/16

**Langkah Selanjutnya**

[Langkah 1: Siapkan Domain AD yang dikelola sendiri](ms_ad_tutorial_setup_trust_prepare_onprem.md)

# Langkah 1: Siapkan Domain AD yang dikelola sendiri
<a name="ms_ad_tutorial_setup_trust_prepare_onprem"></a>

Pertama, Anda perlu menyelesaikan beberapa langkah prasyarat pada domain yang dikelola sendiri (lokal) Anda.

## Konfigurasikan firewall yang dikelola sendiri
<a name="tutorial_setup_trust_connect_vpc"></a>

Anda harus mengonfigurasi firewall yang dikelola sendiri sehingga port berikut terbuka CIDRs untuk semua subnet yang digunakan oleh VPC yang berisi iklan Microsoft Terkelola AWS Anda. Dalam tutorial ini, kami mengizinkan lalu lintas masuk dan keluar dari 10.0.0.0/16 (blok CIDR dari VPC AWS Microsoft AD Terkelola kami) pada port berikut:

 
+ TCP/UDP 53 - DNS 
+ TCP/UDP 88 - Autentikasi Kerberos
+ TCP/UDP 389 - Protokol Akses Direktori Ringan (LDAP)
+ TCP 445 - Blok Pesan Server (SMB)
+ TCP 9389 - Active Directory Web Services (ADWS) (*Opsional* - Port ini harus terbuka jika Anda ingin menggunakan nama NetBIOS Anda alih-alih nama domain lengkap Anda untuk otentikasi dengan aplikasi seperti AWS Amazon atau Amazon Quick.) WorkDocs 

**catatan**  
SMBv1 tidak lagi didukung.  
Ini adalah port minimum yang diperlukan untuk menghubungkan VPC ke direktori yang dikelola sendiri. Konfigurasi spesifik Anda mungkin mengharuskan port-port tambahan terbuka.

## Pastikan bahwa Kerberos pra-autentikasi diaktifkan
<a name="tutorial_setup_trust_enable_kerberos"></a>

Akun pengguna di kedua direktori harus mengaktifkan praautentikasi Kerberos. Ini adalah default, tapi mari kita periksa properti dari setiap pengguna acak untuk memastikan tidak ada yang berubah.

**Untuk melihat pengaturan Kerberos pengguna**

1. Pada pengontrol domain yang dikelola sendiri, buka Server Manager.

1. Pada menu **Alat**, pilih **Pengguna dan komputer Direktori Aktif**.

1. Pilih folder **Pengguna** dan buka menu konteks (klik kanan). Pilih akun pengguna acak yang tercantum dalam panel kanan. Pilih **Properti**. 

1. Pilih tab **Akun**. Di daftar **Opsi akun**, gulir ke bawah dan pastikan bahwa **Tidak memerlukan preautentikasi Kerberos** *tidak* dicentang.   
![\[Kotak dialog Corp User Properties dengan opsi akun tidak memerlukan preotentikasi Kerberos disorot.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/kerberos_enabled.png)

## Konfigurasikan forwarder bersyarat DNS untuk domain yang dikelola sendiri
<a name="tutorial_setup_trust_onprem_forwarder"></a>

Anda harus mengatur penerusan bersyarat DNS pada setiap domain. Sebelum melakukan ini di domain yang dikelola sendiri, pertama-tama Anda akan mendapatkan beberapa informasi tentang iklan Microsoft yang AWS Dikelola.

**Untuk mengonfigurasi forwarder bersyarat pada domain yang dikelola sendiri**

1. Masuk ke Konsol Manajemen AWS dan buka [AWS Directory Service konsol](https://console.aws.amazon.com/directoryservicev2/).

1. Di panel navigasi , pilih **Direktori**.

1. Pilih ID direktori iklan Microsoft AWS Terkelola Anda.

1. Pada halaman **Detail**, perhatikan nilai-nilai dalam **Nama direktori** dan **Alamat DNS** dari direktori Anda.

1. Sekarang, kembali ke pengontrol domain yang dikelola sendiri. Buka Pengelola Server

1. Pada menu **Alat**, pilih **DNS**.

1. Pada pohon konsol, perluas server DNS dari domain di mana Anda mengatur kepercayaan. Server kami adalah CN7 VJ0 WIN-5V70 .corp.example.com.

1. Pada pohon konsol, pilih **Penerusan Bersyarat**.

1. Pada menu **Tindakan**, pilih **Penerusan bersyarat baru**. 

1. Di **domain DNS**, ketik nama domain yang memenuhi syarat penuh (FQDN) dari AWS Microsoft AD Terkelola Anda, yang Anda sebutkan sebelumnya. Dalam contoh ini, FQDN adalah Ad.example.com. MyManaged

1. Pilih **alamat IP server utama** dan ketik alamat DNS direktori Microsoft AD AWS Terkelola Anda, yang Anda catat sebelumnya. Dalam contoh ini yaitu: 10.0.10.246, 10.0.20.121

   Setelah memasukkan alamat DNS, Anda mungkin mendapatkan error “timeout” atau “tidak dapat menyelesaikan”. Anda biasanya dapat mengabaikan error ini.  
![\[Kotak dialog Conditional Forwarder baru dengan alamat IP server DNS disorot.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/new_cond_forwarder_diag_box_2.png)

1. Pilih **Menyimpan penerusan bersyarat ini di Direktori Aktif dan mereplikasi sebagai berikut**.

1. Pilih **Semua server DNS dalam domain ini**, lalu pilih **OK**.

**Langkah Selanjutnya**

[Langkah 2: Siapkan Microsoft AD yang AWS Dikelola](ms_ad_tutorial_setup_trust_prepare_mad.md)

# Langkah 2: Siapkan Microsoft AD yang AWS Dikelola
<a name="ms_ad_tutorial_setup_trust_prepare_mad"></a>

Sekarang mari kita siapkan iklan Microsoft AWS Terkelola Anda untuk hubungan kepercayaan. Banyak dari langkah-langkah berikut hampir identik dengan apa yang baru saja Anda selesaikan untuk domain yang dikelola sendiri. Kali ini, bagaimanapun, Anda bekerja dengan Microsoft AD yang AWS Dikelola.

## Mengkonfigurasi subnet VPC dan grup keamanan Anda
<a name="tutorial_setup_trust_open_vpc"></a>

Anda harus mengizinkan lalu lintas dari jaringan yang dikelola sendiri ke VPC yang berisi iklan Microsoft yang AWS Dikelola. Untuk melakukan ini, Anda harus memastikan bahwa yang ACLs terkait dengan subnet yang digunakan untuk menyebarkan AD AWS Microsoft Terkelola dan aturan grup keamanan yang dikonfigurasi pada pengontrol domain Anda, keduanya memungkinkan lalu lintas yang diperlukan untuk mendukung trust. 

Persyaratan port bervariasi berdasarkan versi Windows Server yang digunakan oleh pengendali domain Anda dan layanan atau aplikasi yang akan memanfaatkan kepercayaan. Untuk tujuan tutorial ini, Anda harus membuka port-port berikut ini: 

**Ke dalam**
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Autentikasi Kerberos
+ UDP 123 - NTP 
+ TCP 135 - RPC 
+ TCP/UDP 389 - LDAP 
+ TCP/UDP 445 - SMB 
+ TCP/UDP 464 - Autentikasi Kerberos
+ TCP 636 - LDAPS (LDAP melalui TLS/SSL) 
+ TCP 3268-3269 - Katalog Global 
+ TCP/UDP 49152-65535 - Port-port sementara untuk RPC

**catatan**  
SMBv1 tidak lagi didukung.

**Ke luar**
+ SEMUA

**catatan**  
Ini adalah port minimum yang diperlukan untuk dapat menghubungkan VPC dan direktori yang dikelola sendiri. Konfigurasi spesifik Anda mungkin mengharuskan port-port tambahan terbuka. 

**Untuk mengonfigurasi aturan keluar dan masuk pengontrol domain Microsoft AD AWS Terkelola**

1. Kembali ke [Konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/). Dalam daftar direktori, perhatikan ID direktori untuk direktori Microsoft AD AWS Terkelola Anda.

1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Pada panel navigasi, pilih **Grup Keamanan**.

1. Gunakan kotak pencarian untuk mencari ID direktori Microsoft AD AWS Terkelola Anda. Dalam hasil pencarian, pilih Grup Keamanan dengan deskripsi**AWS created security group for *yourdirectoryID* directory controllers**.  
![\[Di Konsol VPC Amazon, hasil pencarian untuk grup keamanan untuk pengontrol direktori disorot.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/security-group-search.png)

1. Pergi ke tab **Aturan Keluar** untuk grup keamanan tersebut. Pilih **Edit aturan keluar**, lalu **Tambahkan aturan**. Untuk aturan baru, masukkan nilai berikut: 
   + **Jenis**: SEMUA Lalu lintas
   + **Protokol**: SEMUA
   + **Tujuan** menentukan lalu lintas yang dapat meninggalkan pengendali domain Anda dan ke mana ia akan pergi. Tentukan alamat IP tunggal atau cakupan alamat IP dalam notasi CIDR (misalnya, 203.0.113.5/32). Anda juga dapat menentukan nama atau ID grup keamanan lain di Region yang sama. Untuk informasi selengkapnya, lihat [Memahami konfigurasi dan penggunaan grup AWS keamanan direktori Anda](ms_ad_best_practices.md#understandsecuritygroup).

1. Pilih **Simpan Aturan**.  
![\[Di Konsol VPC Amazon, edit aturan keluar untuk grup keamanan pengontrol direktori.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/editing-and-saving-rule.png)

## Pastikan bahwa Kerberos pra-autentikasi diaktifkan
<a name="tutorial_setup_trust_enable_kerberos_on_mad"></a>

Sekarang Anda ingin mengonfirmasi bahwa pengguna di Microsoft AD AWS Terkelola Anda juga mengaktifkan pra-otentikasi Kerberos. Ini adalah proses yang sama yang Anda selesaikan untuk direktori yang dikelola sendiri. Ini adalah default, tapi mari kita periksa untuk memastikan tidak ada yang berubah.

**Untuk melihat pengaturan kerberos pengguna**

1. Masuk ke instans yang merupakan anggota direktori Microsoft AD AWS Terkelola menggunakan domain [AWS Akun Administrator Microsoft AD yang dikelola dan izin grup](ms_ad_getting_started_admin_account.md) untuk atau akun yang telah didelegasikan izin untuk mengelola pengguna di domain.

1. Jika mereka belum diinstal, instal alat Pengguna dan Komputer Direktori Aktif dan alat DNS. Pelajari cara memasang alat ini di [Menginstal Alat Administrasi Direktori Aktif untuk Microsoft AD yang AWS Dikelola](ms_ad_install_ad_tools.md).

1. Buka Pengelola Server Pada menu **Alat**, pilih **Pengguna dan komputer Direktori Aktif**.

1. Pilih folder **Pengguna** di domain Anda. Perhatikan bahwa ini adalah folder **Pengguna** di bawah nama NetBIOS Anda, bukan folder **Pengguna** di bawah nama domain yang memenuhi syarat (FQDN).  
![\[Dalam kotak dialog Active Directory Users and Computers, folder Users disorot.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/correct_users_folder.png)

1. Dalam daftar pengguna, klik kanan pada pengguna, dan kemudian pilih **Properti**.

1.  Pilih tab **Akun**. Di daftar **Opsi akun**, pastikan bahwa **Tidak memerlukan preautentikasi Kerberos** *tidak* dicentang. 

**Langkah Selanjutnya**

[Langkah 3: Buat hubungan kepercayaan](ms_ad_tutorial_setup_trust_create.md)

# Langkah 3: Buat hubungan kepercayaan
<a name="ms_ad_tutorial_setup_trust_create"></a>

Sekarang setelah persiapan selesai, langkah-langkah terakhir adalah membuat kepercayaan. Pertama, Anda membuat kepercayaan pada domain yang dikelola sendiri, dan akhirnya di Microsoft AD yang AWS Dikelola. Jika Anda memiliki masalah selama proses pembuatan kepercayaan, lihat [Alasan status pembuatan kepercayaan](ms_ad_troubleshooting_trusts.md) untuk bantuan.

## Konfigurasikan kepercayaan pada Direktori Aktif yang dikelola sendiri
<a name="tutorial_setup_trust_onprem_trust"></a>

Dalam tutorial ini, Anda mengkonfigurasi kepercayaan forest dua arah. Namun, jika Anda membuat kepercayaan forest satu arah, ketahui bahwa arah kepercayaan pada masing-masing domain Anda harus saling melengkapi. Misalnya, jika Anda membuat kepercayaan keluar satu arah pada domain yang dikelola sendiri, Anda perlu membuat kepercayaan masuk satu arah pada iklan AWS Microsoft yang Dikelola.

**catatan**  
AWS Microsoft AD yang dikelola juga mendukung kepercayaan eksternal. Namun, untuk tujuan tutorial ini, Anda akan membuat kepercayaan forest dua arah.

**Untuk mengonfigurasi kepercayaan pada Direktori Aktif yang dikelola sendiri**

1. Buka Pengelola Server dan pada menu **Alat**, pilih **Domain Direktori Aktif dan Kepercayaan**.

1. Buka menu konteks (klik kanan) dari domain Anda dan pilih **Properties**.

1. Pilih tab **Kepercayaan** dan pilih **Kepercayaan baru**. Ketik nama iklan Microsoft AWS Terkelola Anda dan pilih **Berikutnya**.

1. Pilih **Kepercayaan forest**. Pilih **Berikutnya**.

1. Pilih **Dua arah**. Pilih **Berikutnya**.

1. Pilih **Hanya domain ini**. Pilih **Berikutnya**.

1. Pilih **Autentikasi seluruh forest**. Pilih **Berikutnya**.

1. Ketik **Kata sandi kepercayaan**. Pastikan untuk mengingat kata sandi ini karena Anda akan membutuhkannya saat menyiapkan kepercayaan untuk iklan Microsoft AWS Terkelola Anda.

1. Di kotak dialog berikutnya, konfirmasikan pengaturan Anda dan pilih **Selanjutnya**. Konfirmasikan bahwa kepercayaan telah dibuat dengan sukses dan pilih lagi **Selanjutnya**.

1. Pilih **Tidak, jangan konfirmasikan kepercayaan keluar**. Pilih **Berikutnya**.

1. Pilih **Tidak, jangan konfirmasikan kepercayaan masuk**. Pilih **Berikutnya**.

## Konfigurasikan kepercayaan di direktori Microsoft AD AWS Terkelola Anda
<a name="tutorial_setup_trust_mad_trust"></a>

Terakhir, Anda mengonfigurasi hubungan trust hutan dengan direktori Microsoft AD AWS Terkelola Anda. Karena Anda membuat trust hutan dua arah pada domain yang dikelola sendiri, Anda juga membuat kepercayaan dua arah menggunakan direktori AWS Microsoft AD yang Dikelola.

**catatan**  
Hubungan kepercayaan adalah fitur global dari Microsoft AD yang AWS Dikelola. Jika Anda menggunakan [Konfigurasikan replikasi Multi-Wilayah untuk AWS Microsoft AD yang Dikelola](ms_ad_configure_multi_region_replication.md), prosedur berikut harus dilakukan di [Region primer](multi-region-global-primary-additional.md#multi-region-primary). Perubahan akan diterapkan di semua Region yang direplikasi secara otomatis. Untuk informasi selengkapnya, lihat [Fitur Global vs Regional](multi-region-global-region-features.md).

**Untuk mengonfigurasi kepercayaan di direktori Microsoft AD yang AWS Dikelola**

1. Kembali ke [Konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/). 

1. Pada halaman **Direktori**, pilih ID AD Microsoft yang AWS Dikelola.

1. Pada halaman **Detail direktori**, lakukan salah satu hal berikut:
   + Jika Anda memiliki beberapa Region yang ditampilkan di bawah **Replikasi multi-Region**, pilih Region primer, dan kemudian pilih tab **Jaringan & keamanan**. Untuk informasi selengkapnya, lihat [Region utama vs tambahan](multi-region-global-primary-additional.md).
   + Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah **Replikasi Multi-Region**, pilih tab **Jaringan & keamanan**.

1. Di bagian **Hubungan kepercayaan**, pilih **Tindakan**, dan kemudian pilih **Tambahkan hubungan kepercayaan**.

1. Pada halaman **Tambahkan hubungan kepercayaan**, tentukan jenis Trust. Dalam hal ini, kami memilih **kepercayaan Hutan**. Ketik FQDN domain yang dikelola sendiri (dalam tutorial ini). **corp.example.com** Ketik kata sandi kepercayaan yang sama dengan yang Anda gunakan saat membuat kepercayaan pada domain yang dikelola sendiri. Tentukan arah. Dalam hal ini, kami memilih **Dua arah**. 

1. Di bidang **Conditional forwarder**, masukkan alamat IP server DNS yang dikelola sendiri. Dalam contoh ini, masukkan 172.16.10.153.

1. (Opsional) Pilih **Tambahkan alamat IP lain** dan masukkan alamat IP kedua untuk server DNS yang dikelola sendiri. Anda dapat menentukan hingga total empat server DNS.

1. Pilih **Tambahkan**.

Selamat. Anda sekarang memiliki hubungan kepercayaan antara domain yang dikelola sendiri (corp.example.com) dan iklan AWS Microsoft Terkelola (Ad.example.com). MyManaged Hanya satu hubungan yang dapat diatur antara kedua domain ini. Jika misalnya, Anda ingin mengubah arah kepercayaan ke satu arah, Anda harus terlebih dahulu menghapus hubungan kepercayaan yang ada ini dan membuat yang baru.

Untuk informasi selengkapnya, termasuk petunjuk tentang memverifikasi atau menghapus kepercayaan, lihat [Membuat hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan AD yang dikelola sendiri](ms_ad_setup_trust.md).