本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 步骤 3：创建信任关系
<a name="ms_ad_tutorial_setup_trust_create"></a>

现在准备工作已完成，最后的几个步骤是创建信任。首先，你要在自我管理的域上创建信任，最后在你的 AWS 托管 Microsoft AD 上创建信任。如果您在创建信任的过程中遇到任何问题，请参阅[信任创建状态原因](ms_ad_troubleshooting_trusts.md)获得帮助。

## 在自托管式 Active Directory 中配置信任
<a name="tutorial_setup_trust_onprem_trust"></a>

在本教程中，将配置一个双向林信任。但是，如果创建单向林信任，请注意，每个域上的信任方向必须互相补充。例如，如果您在自行管理的域上创建单向传出信任，则需要在托管 Microsoft AD 上创建 AWS 单向传入信任。

**注意**  
AWS 托管 Microsoft AD 还支持外部信任。但是，在此教程中，您将创建一个双向林信任。

**在自托管式 Active Directory 中配置信任**

1. 打开服务器管理器，然后在 **Tools** 菜单上，选择 **Active Directory Domains and Trusts**。

1. 打开域的上下文 (右键单击) 菜单，选择 **Properties**。

1. 选择 **Trusts** 选项卡，然后选择 **New trust**。键入你的 AWS 托管 Microsoft AD 的名称，然后选择 “**下一步**”。

1. 选择 **Forest trust**。选择**下一步**。

1. 选择 **Two-way**。选择**下一步**。

1. 选择 **This domain only**。选择**下一步**。

1. 选择 **Forest-wide authentication**。选择**下一步**。

1. 键入 **Trust password**。请务必记住此密码，因为在为 AWS 托管 Microsoft AD 设置信任时，您需要使用该密码。

1. 在下一个对话框中，确认设置，然后选择 **Next**。确认已成功创建信任，再次选择 **Next**。

1. 选择 **No, do not confirm the outgoing trust**。选择**下一步**。

1. 选择 **No, do not confirm the incoming trust**。选择**下一步**。

## 在你的 AWS 托管 Microsoft AD 目录中配置信任
<a name="tutorial_setup_trust_mad_trust"></a>

最后，您可以配置与您的 AWS 托管 Microsoft AD 目录的林信任关系。由于您在自行管理的域上创建了双向林信任，因此您还可以使用托管 Microsoft AD 目录创建双向信任。 AWS 

**注意**  
信任关系是 Microsoft AWS 托管 AD 的全球特征。如果您使用的是 [为 AWS 托管的 Microsoft AD 配置多区域复制](ms_ad_configure_multi_region_replication.md)，则必须在 [主 区域](multi-region-global-primary-additional.md#multi-region-primary) 中执行以下过程。更改将自动应用于所有复制的区域。有关更多信息，请参阅 [全局与区域特色](multi-region-global-region-features.md)。

**在你的 AWS 托管 Microsoft AD 目录中配置信任**

1. 返回到 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)。

1. 在**目录**页面上，选择你的 AWS 托管 Microsoft AD ID。

1. 在**报告详细信息**页面上，执行以下操作之一：
   + 如果**多区域复制**下显示多个区域，选择主区域，然后选择**网络与安全**选项卡。有关更多信息，请参阅 [主区域与其他区域](multi-region-global-primary-additional.md)。
   + 如果**多区域复制**下未显示任何区域，选择**网络与安全**选项卡。

1. 在**信任关系**部分中，选择**操作**，然后选择**添加信任关系**。

1. 在**添加信任关系**页面上，指定信任类型。在本例中，我们选择**树信任**。键入自托管式域的 FQDN（在本教程 **corp.example.com** 中）。键入在自托管式域上创建信任时所使用的信任密码。指定方向。在本例中，我们选择**双向**。

1. 在**条件转发器**字段中，输入自托管式 DNS 服务器的 IP 地址。在此示例中，输入 172.16.10.153。

1. （可选）选择**添加其他 IP 地址**，并输入自托管式 DNS 服务器的第二个 IP 地址。最多可以指定总共四个 DNS 服务器。

1. 选择**添加**。

祝贺您。现在，你的自我管理域名 (corp.example.com) 和你的托管 AWS 微软 AD (ad.example.com) 之间存在信任关系。MyManaged这两个域之间只能设置一个关系。例如，如果要将信任方向更改为单向，则需要先删除现有信任关系，然后才能创建新关系。

有关更多信息 (包括有关验证或删除信任的说明)，请参阅[在你的 Microsoft AWS 托管 AD 和自我管理的 AD 之间建立信任关系](ms_ad_setup_trust.md)。