本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 教程:在你的 AWS 托管 Microsoft AD 和你自行管理的 Active Directory 域之间创建信任关系
本教程将引导你完成在 Microsoft Active Directory 的 AWS 目录服务与你的自我管理(本地)MicrosoftActive Directory 之间建立信任关系所需的所有步骤。虽然创建信任只需执行几个步骤,但是必须先完成以下先决条件步骤。
**Topics**
+ [
# 先决条件
](before_you_start.md)
+ [
# 步骤 1:准备自托管式 AD 域
](ms_ad_tutorial_setup_trust_prepare_onprem.md)
+ [
# 第 2 步:准备你的 AWS 托管微软 AD
](ms_ad_tutorial_setup_trust_prepare_mad.md)
+ [
# 步骤 3:创建信任关系
](ms_ad_tutorial_setup_trust_create.md)
**另请参阅**
[在你的 Microsoft AWS 托管 AD 和自我管理的 AD 之间建立信任关系](ms_ad_setup_trust.md)
# 先决条件
本教程假定您已具备以下条件:
**注意**
AWS 托管 Microsoft AD 不支持对[单一标签域名的](https://support.microsoft.com/en-us/help/2269810/microsoft-support-for-single-label-domains)信任。
+ 已在上创建的 AWS 托管 Microsoft AD 目录 AWS。如果需要有关执行此操作的帮助,请参阅[Microsoft AWS 托管 AD 入门](ms_ad_getting_started.md)。
+ 正在运行的 EC2 实例Windows已添加到该 AWS 托管 Microsoft AD 中。如果需要有关执行此操作的帮助,请参阅[将 Amazon EC2 Windows 实例加入您的 AWS 托管微软 AD 活动目录](launching_instance.md)。
**重要**
您的 AWS 托管 Microsoft AD 的管理员帐户必须具有对此实例的管理权限。
+ 在该实例上安装了以下 Windows Server 工具:
+ AD DS 和 AD LDS 工具
+ DNS
如果需要有关执行此操作的帮助,请参阅[为托管的 Microsoft AD 安装活动目录 AWS 管理工具](ms_ad_install_ad_tools.md)。
+ 一个自托管式(本地)Microsoft Active Directory
您必须拥有此目录的管理访问权限。上面列出的相同 Windows Server 工具还必须可用于此目录。
+ 您的自我管理网络与包含您的托 AWS 管 Microsoft AD 的 VPC 之间的活动连接。如果需要有关执行此操作的帮助,请参阅 [Amazon Virtual Private Cloud 连接选项](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-vpc-connectivity-options.pdf)。
+ 一个正确设置的本地安全策略。检查 `Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously` 并确保其至少包含以下三个命名管道:
+ netlogon
+ samr
+ lsarpc
+ 为了建立信任关系,NetBIOS 和域名必须是唯一的,并且不能相同
有关创建信任关系的先决条件的更多信息,请参阅 [在你的 Microsoft AWS 托管 AD 和自我管理的 AD 之间建立信任关系](ms_ad_setup_trust.md)。
## 教程配置
在本教程中,我们已经创建了一个 AWS 托管 Microsoft AD 和一个自我管理的域。自我管理的网络连接到托 AWS 管微软 AD 的 VPC。以下是两个目录的属性:
### AWS 托管 Microsoft AD 正在运行 AWS
+ 域名 (FQDN): MyManagedad.example.com
+ NetBIOS 名称:AD MyManaged
+ DNS 地址:10.0.10.246、10.0.20.121
+ VPC CIDR:10.0.0.0/16
AWS 托管微软 AD 位于 VPC ID 中:vpc-12345678。
### 自行管理或 AWS 托管的 Microsoft AD 域
+ 域名 (FQDN):corp.example.com
+ NetBIOS 名称:CORP
+ DNS 地址:172.16.10.153
+ 自托管式 CIDR:172.16.0.0/16
**下一步**
[步骤 1:准备自托管式 AD 域](ms_ad_tutorial_setup_trust_prepare_onprem.md)
# 步骤 1:准备自托管式 AD 域
首先需要完成对自托管式(本地)域完成几个先决条件步骤。
## 配置自托管式防火墙
您必须配置自我管理的防火墙,以便向包含您的托管 AWS Microsoft AD 的 VPC 使用的所有子网开放以下端口。 CIDRs 在本教程中,我们允许来自以下端口的 10.0.0.0/16(我们托管 AWS Microsoft AD 的 VPC 的 CIDR 块)的传入和传出流量:
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Kerberos 身份验证
+ TCP/UDP 389:轻型目录访问协议(LDAP)
+ TCP 445:服务消息块(SMB)
+ TCP 9389-Active Directory Web Services (ADWS)(*可选* ——如果你想使用 NetBIOS 名称而不是完整域名来使用 AWS 亚马逊或 WorkDocs Amazon Quick 等应用程序进行身份验证,则需要打开此端口。)
**注意**
SMBv1 不再支持。
这些是将 VPC 连接到自托管式目录所需的最少端口。根据您的特定配置,您可能需要打开其他端口。
## 确保已启用 Kerberos 预身份验证
这两个目录中的用户账户必须启用 Kerberos 预身份验证。这是默认值,但让我们检查任何随机用户的属性以确保无任何更改。
**查看用户的 Kerberos 设置**
1. 在自托管式域控制器上,打开服务器管理器。
1. 在 **Tools** 菜单上,选择 **Active Directory Users and Computers**。
1. 选择 **Users** 文件夹并打开上下文(右键单击)菜单。选择右窗格中列出的任何随机用户账户。选择**属性**。
1. 选择 **Account** 选项卡。在 **Account options** 列表中,向下滚动并确保**未** 选中 *Do not require Kerberos preauthentication*。
![\[包含账户选项的“公司用户属性”对话框不需要突出显示 Kerberos 预身份验证。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/kerberos_enabled.png)
## 为自托管式域配置 DNS 条件转发器
必须在每个域中都设置 DNS 条件转发服务器。在自行管理的域上执行此操作之前,您将首先获得有关您的 AWS 托管 Microsoft AD 的一些信息。
**要在自托管式域上配置条件转发器**
1. 登录 AWS 管理控制台 并打开[AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)。
1. 在导航窗格中,选择 **Directories**。
1. 选择你的 Microsoft AWS 托管广告的目录 ID。
1. 在**详细信息**页面上,记下您的目录的**目录名称**和 **DNS 地址**中的值。
1. 现在,返回自托管式域控制器。打开服务器管理器。
1. 在 **Tools** 菜单上,选择 **DNS**。
1. 在控制台树中,展开为其设置信任的域的 DNS 服务器。我们的服务器是 WIN-5V70 CN7 VJ0 .corp.example.com。
1. 在控制台树中,选择 **Conditional Forwarders**。
1. 在 **Action** 菜单上,选择 **New conditional forwarder**。
1. 在 **DNS 域**中,键入你之前提到的 AWS 托管 Microsoft AD 的完全限定域名 (FQDN)。在此示例中,FQDN 是 MyManaged ad.example.com。
1. 选择**主服务器的 IP 地址,**然后键入你之前提到的 Microsoft AD AWS 托管目录的 DNS 地址。在此示例中,这些是:10.0.10.246、10.0.20.121
输入 DNS 地址之后,可能遇到“超时”或“无法解析”错误。通常可以忽略这些错误。
![\[“新条件转发器”对话框中突出显示 DNS 服务器的 IP 地址。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/new_cond_forwarder_diag_box_2.png)
1. 选择 **Store this conditional forwarder in Active Directory, and replicate it as follows**。
1. 选择 **All DNS servers in this domain**,然后选择 **OK**。
**下一步**
[第 2 步:准备你的 AWS 托管微软 AD](ms_ad_tutorial_setup_trust_prepare_mad.md)
# 第 2 步:准备你的 AWS 托管微软 AD
现在,让我们为你的 AWS 托管 Microsoft AD 做好建立信任关系的准备。以下许多步骤与刚才为自托管式域完成的步骤几乎相同。但是,这次你使用的是你的 AWS 托管 Microsoft AD。
## 配置 VPC 子网和安全组
您必须允许流量从您的自行管理的网络流向包含您的 AWS 托管 Microsoft AD 的 VPC。为此,您需要确保与用于部署 AWS 托管 Microsoft AD 的子网 ACLs 关联以及域控制器上配置的安全组规则都允许支持信任所需的流量。
端口要求因域控制器使用的 Windows Server 版本和将利用信任的服务或应用程序而异。在本教程中,您将需要打开以下端口:
**入站**
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Kerberos 身份验证
+ UDP 123 - NTP
+ TCP 135 - RPC
+ TCP/UDP 389 - LDAP
+ TCP/UDP 445 - SMB
+ TCP/UDP 464 - Kerberos 身份验证
+ TCP 636 - LDAPS (通过 TLS/SSL 的 LDAP)
+ TCP 3268-3269 – 全局目录
+ TCP/UDP 49152-65535 – RPC 的临时端口
**注意**
SMBv1 不再支持。
**出站**
+ ALL
**注意**
这些是连接 VPC 和自托管式目录所需的最少端口。根据您的特定配置,您可能需要打开其他端口。
**配置你的 AWS 托管 Microsoft AD 域控制器出站和入站规则**
1. 返回到 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)。在目录列表中,记下你的 Microsoft AD AWS 托管目录的目录 ID。
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择**安全组**。
1. 使用搜索框搜索你的 AWS 托管 Microsoft AD 目录 ID。在搜索结果中,选择带 **AWS created security group for *yourdirectoryID* directory controllers** 描述的安全组。
![\[在 Amazon VPC 控制台中,会突出显示目录控制器安全组的搜索结果。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/security-group-search.png)
1. 转到该安全组的 **Outbound Rules** 选项卡。选择**编辑出站规则**,然后选择**添加规则**。对于新规则,输入以下值:
+ **Type**:ALL Traffic
+ **Protocol**:ALL
+ **Destination** 确定可以离开您的域控制器的流量,以及它可以传送到何处。用 CIDR 表示法指定单个 IP 地址或 IP 地址范围 (例如 203.0.113.5/32)。您还可以指定同一区域中其他安全组的名称或 ID。有关更多信息,请参阅 [了解目录 AWS 的安全组配置并使用](ms_ad_best_practices.md#understandsecuritygroup)。
1. 选择**保存规则**。
![\[在 Amazon VPC 控制台中,编辑目录控制器安全组的出站规则。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/editing-and-saving-rule.png)
## 确保已启用 Kerberos 预身份验证
现在,你要确认你的 AWS 托管 Microsoft AD 中的用户是否也启用了 Kerberos 预身份验证。此过程与针对自托管式目录完成的过程相同。这是默认设置,但是我们来检查一下以确保未更改任何内容。
**要查看用户 Kerberos 设置**
1. 使用域名或已被委派 AWS 管理域中用户的权限的账户,登录属于托管 Microsoft AD 目录成员的实例。[AWS 托管的 Microsoft AD 管理员账户和群组权限](ms_ad_getting_started_admin_account.md)
1. 如果尚未安装,请安装“Active Directory 用户和计算机”工具和 DNS 工具。可在[为托管的 Microsoft AD 安装活动目录 AWS 管理工具](ms_ad_install_ad_tools.md)中了解如何安装这些工具。
1. 打开服务器管理器。在 **Tools** 菜单上,选择 **Active Directory Users and Computers**。
1. 选择您的域中的 **Users** 文件夹。请注意,这是您的 NetBIOS 名称下的**用户**文件夹,而不是全限定域名 (FQDN) 下的**用户**文件夹。
![\[在 Active Directory 用户和计算机对话框中,将突出显示 Users 文件夹。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/correct_users_folder.png)
1. 在用户列表中,右键单击一名用户,然后选择**属性**。
1. 选择 **Account** 选项卡。在 **Account options** 列表中,确保**未** 选中 *Do not require Kerberos preauthentication*。
**下一步**
[步骤 3:创建信任关系](ms_ad_tutorial_setup_trust_create.md)
# 步骤 3:创建信任关系
现在准备工作已完成,最后的几个步骤是创建信任。首先,你要在自我管理的域上创建信任,最后在你的 AWS 托管 Microsoft AD 上创建信任。如果您在创建信任的过程中遇到任何问题,请参阅[信任创建状态原因](ms_ad_troubleshooting_trusts.md)获得帮助。
## 在自托管式 Active Directory 中配置信任
在本教程中,将配置一个双向林信任。但是,如果创建单向林信任,请注意,每个域上的信任方向必须互相补充。例如,如果您在自行管理的域上创建单向传出信任,则需要在托管 Microsoft AD 上创建 AWS 单向传入信任。
**注意**
AWS 托管 Microsoft AD 还支持外部信任。但是,在此教程中,您将创建一个双向林信任。
**在自托管式 Active Directory 中配置信任**
1. 打开服务器管理器,然后在 **Tools** 菜单上,选择 **Active Directory Domains and Trusts**。
1. 打开域的上下文 (右键单击) 菜单,选择 **Properties**。
1. 选择 **Trusts** 选项卡,然后选择 **New trust**。键入你的 AWS 托管 Microsoft AD 的名称,然后选择 “**下一步**”。
1. 选择 **Forest trust**。选择**下一步**。
1. 选择 **Two-way**。选择**下一步**。
1. 选择 **This domain only**。选择**下一步**。
1. 选择 **Forest-wide authentication**。选择**下一步**。
1. 键入 **Trust password**。请务必记住此密码,因为在为 AWS 托管 Microsoft AD 设置信任时,您需要使用该密码。
1. 在下一个对话框中,确认设置,然后选择 **Next**。确认已成功创建信任,再次选择 **Next**。
1. 选择 **No, do not confirm the outgoing trust**。选择**下一步**。
1. 选择 **No, do not confirm the incoming trust**。选择**下一步**。
## 在你的 AWS 托管 Microsoft AD 目录中配置信任
最后,您可以配置与您的 AWS 托管 Microsoft AD 目录的林信任关系。由于您在自行管理的域上创建了双向林信任,因此您还可以使用托管 Microsoft AD 目录创建双向信任。 AWS
**注意**
信任关系是 Microsoft AWS 托管 AD 的全球特征。如果您使用的是 [为 AWS 托管的 Microsoft AD 配置多区域复制](ms_ad_configure_multi_region_replication.md),则必须在 [主 区域](multi-region-global-primary-additional.md#multi-region-primary) 中执行以下过程。更改将自动应用于所有复制的区域。有关更多信息,请参阅 [全局与区域特色](multi-region-global-region-features.md)。
**在你的 AWS 托管 Microsoft AD 目录中配置信任**
1. 返回到 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)。
1. 在**目录**页面上,选择你的 AWS 托管 Microsoft AD ID。
1. 在**报告详细信息**页面上,执行以下操作之一:
+ 如果**多区域复制**下显示多个区域,选择主区域,然后选择**网络与安全**选项卡。有关更多信息,请参阅 [主区域与其他区域](multi-region-global-primary-additional.md)。
+ 如果**多区域复制**下未显示任何区域,选择**网络与安全**选项卡。
1. 在**信任关系**部分中,选择**操作**,然后选择**添加信任关系**。
1. 在**添加信任关系**页面上,指定信任类型。在本例中,我们选择**树信任**。键入自托管式域的 FQDN(在本教程 **corp.example.com** 中)。键入在自托管式域上创建信任时所使用的信任密码。指定方向。在本例中,我们选择**双向**。
1. 在**条件转发器**字段中,输入自托管式 DNS 服务器的 IP 地址。在此示例中,输入 172.16.10.153。
1. (可选)选择**添加其他 IP 地址**,并输入自托管式 DNS 服务器的第二个 IP 地址。最多可以指定总共四个 DNS 服务器。
1. 选择**添加**。
祝贺您。现在,你的自我管理域名 (corp.example.com) 和你的托管 AWS 微软 AD (ad.example.com) 之间存在信任关系。MyManaged这两个域之间只能设置一个关系。例如,如果要将信任方向更改为单向,则需要先删除现有信任关系,然后才能创建新关系。
有关更多信息 (包括有关验证或删除信任的说明),请参阅[在你的 Microsoft AWS 托管 AD 和自我管理的 AD 之间建立信任关系](ms_ad_setup_trust.md)。