Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Fase 2: Preparazione del programma AWS Managed Microsoft AD
<a name="ms_ad_tutorial_setup_trust_prepare_mad"></a>

Ora prepariamo AWS Managed Microsoft AD per la relazione di fiducia. Molte delle fasi seguenti sono quasi identiche a quelle appena completate per il dominio autogestito. Questa volta, tuttavia, stai lavorando con il tuo AWS Managed Microsoft AD.

## Configurazione delle sottoreti VPC e dei gruppi di sicurezza
<a name="tutorial_setup_trust_open_vpc"></a>

È necessario consentire il traffico dalla rete autogestita al VPC contenente AWS Managed Microsoft AD. A tale scopo, è necessario assicurarsi che le regole ACLs associate alle sottoreti utilizzate per distribuire Managed AWS Microsoft AD e le regole dei gruppi di sicurezza configurate sui controller di dominio consentano entrambe il traffico necessario per supportare i trust. 

I requisiti di porta variano in base alla versione di Windows Server utilizzata dal controller di dominio e dai servizi o applicazioni che sfruttano il trust. Per gli scopi di questo tutorial, sarà necessario aprire le seguenti porte: 

**In entrata**
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - autenticazione Kerberos
+ UDP 123 - NTP 
+ TCP 135 - RPC 
+ TCP/UDP 389 - LDAP 
+ TCP/UDP 445 - SMB 
+ TCP/UDP 464 - Autenticazione Kerberos
+ TCP 636 - LDAPS (LDAP su TLS/SSL) 
+ TCP 3268-3269 - Catalogo globale 
+ TCP/UDP 49152-65535 - Porte temporanee per RPC

**Nota**  
SMBv1 non è più supportato.

**In uscita**
+ ALL

**Nota**  
Queste sono le porte minime necessarie per riuscire a connettere il VPC e la directory autogestita. La propria configurazione specifica potrebbe richiedere l'apertura di porte aggiuntive. 

**Per configurare le regole in entrata e in uscita del controller di dominio Microsoft AD AWS gestito**

1. Tornare alla console [AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/). Nell'elenco delle directory, prendi nota dell'ID della directory AWS Managed Microsoft AD.

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Fai clic su **Gruppi di sicurezza** nel riquadro di navigazione.

1. Utilizza la casella di ricerca per cercare il tuo ID di directory Microsoft AD AWS gestito. Nei risultati della ricerca, seleziona il gruppo di sicurezza con la descrizione**AWS created security group for *yourdirectoryID* directory controllers**.  
![\[Nella console Amazon VPC, i risultati della ricerca per il gruppo di sicurezza per i controller di directory sono evidenziati.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/security-group-search.png)

1. Vai alla scheda **Outbound Rules** (Regole in uscita) per tale gruppo di sicurezza. Scegli **Modifica regole**, quindi **Aggiungi regola**. Inserisci i valori seguenti per la nuova regola: 
   + **Type** (Tipo): traffico ALL
   + **Protocol** (Protocollo): ALL
   + **Destination** (Destinazione) determina il traffico che può lasciare i controller di dominio e dove può andare. Specifica un singolo indirizzo IP o un intervallo di indirizzi IP nella notazione CIDR (ad esempio, 203.0.113.5/32). Puoi specificare anche il nome o l'ID di un altro gruppo di sicurezza nella stessa regione. Per ulteriori informazioni, consulta [Comprendi la configurazione e l'utilizzo del gruppo AWS di sicurezza della tua directory](ms_ad_best_practices.md#understandsecuritygroup).

1. Seleziona **Salva regola**.  
![\[Nella console Amazon VPC, modifica le regole in uscita per i gruppi di sicurezza dei controller di directory.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/editing-and-saving-rule.png)

## Assicurarsi che la preautenticazione di Kerberos sia abilitata
<a name="tutorial_setup_trust_enable_kerberos_on_mad"></a>

Ora vuoi confermare che anche gli utenti del tuo AWS Managed Microsoft AD abbiano abilitato la preautenticazione Kerberos. Si tratta della stesso processo completato per la directory autogestita. Questa è l'impostazione predefinita, ma controlliamo per assicurarci che non siano state apportate modifiche.

**Visualizzazione delle impostazioni Kerberos dell'utente**

1. Accedi a un'istanza che fa parte della tua directory di Microsoft AD AWS gestita utilizzando il comando [AWS Account Microsoft AD Administrator gestito e autorizzazioni di gruppo](ms_ad_getting_started_admin_account.md) per il dominio o un account a cui sono state delegate le autorizzazioni per la gestione degli utenti nel dominio.

1. Se non sono installati, installa gli strumenti DNS e Utenti e computer di Active Directory. Scopri come installare questi strumenti in [Installazione degli strumenti di amministrazione di Active Directory per AWS Managed Microsoft AD](ms_ad_install_ad_tools.md).

1. Aprire Server Manager. Nel menu **Tools** (Strumenti), scegli **Active Directory Users and Computers** (Strumento Users and Computers (Utenti e computer) di Active Directory).

1. Scegli la cartella **Users** (Utenti) nel dominio. Da notare che questa è la cartella **Users (Utenti)** sotto il nome NetBIOS e non la cartella **Users (Utenti) ** sotto il nome del dominio completo (FQDN).  
![\[Nella finestra di dialogo Utenti e computer di Active Directory, la cartella Utenti è evidenziata.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/correct_users_folder.png)

1. Nell'elenco di utenti, fai clic con il pulsante destro del mouse su un utente, quindi scegli **Proprietà (Properties)**.

1.  Seleziona la scheda **Account**. Nell'elenco **Account options** (Opzioni account), assicurati che **Do not require Kerberos preauthentication** (Non richiedere la preautenticazione Kerberos) *non* sia selezionato. 

**Fase successiva**

[Fase 3: creazione della relazione di trust](ms_ad_tutorial_setup_trust_create.md)