

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS 微软 AD 托管测试实验室教程
<a name="ms_ad_tutorial_test_lab"></a>

本节提供了一系列指导性教程，可帮助您建立测试实验室环境，您可以在 AWS 其中试用 AWS 托管 Microsoft AD。

**Topics**
+ [教程：在中设置基础 AWS 托管 Microsoft AD 测试实验室 AWS](ms_ad_tutorial_test_lab_base.md)
+ [教程：创建从 AWS 托管 Microsoft AD 到亚马逊 EC2 上自行管理的 Active Directory 安装的信任](ms_ad_tutorial_test_lab_trust.md)

# 教程：在中设置基础 AWS 托管 Microsoft AD 测试实验室 AWS
<a name="ms_ad_tutorial_test_lab_base"></a>

本教程将教你如何设置 AWS 环境，为使用运行 Windows Server 2019 的新 Amazon EC2 实例安装全新 Microsoft AD AWS 托管做好准备。然后，它会教你使用典型的 Active Directory 管理工具从 EC2 Windows 实例 AWS 管理你的 Microsoft AD 托管环境。当你完成本教程时，你已经设置好了网络先决条件并配置了新的 AWS 托管 Microsoft AD 林。

如下图所示，您根据本教程创建的实验室是动手学习 AWS 托管 Microsoft AD 的基础组件。您可以在以后添加可选教程，以获得更多动手体验。本教程系列非常适合任意新接触 AWS Managed Microsoft AD 并需要测试实验室以进行评估的用户。完成本教程需要大约 1 个小时。

![\[显示教程步骤的示意图：1 设置您的环境，2 创建您的 AWS 托管 Microsoft AD，3 部署 Amazon EC2，以及 4 测试实验室。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase.png)


**[步骤 1：为 AWS 托管 Microsoft AD Active Directory 设置 AWS 环境](microsoftadbasestep1.md)**  
在完成先决任务之后，您可以在 EC2 实例中创建和配置 Amazon VPC。

**[第 2 步：创建你的 Microsoft AD AWS 托管活动目录](microsoftadbasestep2.md)**  
在此步骤中，您首次在中 AWS 设置了 AWS 托管 Microsoft AD。

**[第 3 步：部署 Amazon EC2 实例来管理您的 AWS 托管微软 AD 活动目录](microsoftadbasestep3.md)**  
在这里，您将演练将客户端计算机连接到新域以及在 EC2 中设置新 Windows Server 系统所需的各种部署后任务。

**[步骤 4：验证基本测试实验室正常工作](microsoftadbasestep4.md)**  
最后，作为管理员，您将验证您可以从 EC2 中的 Windows Server 系统登录并连接到 AWS Managed Microsoft AD。在成功测试了实验室可以运行之后，您可以继续添加其他实验室指南模块。

# 先决条件
<a name="microsoftadbaseprereq"></a>

如果您计划仅使用本教程中的 UI 步骤创建测试实验室，则可以跳过先决条件部分并转到步骤 1。但是，如果您计划使用 AWS CLI 命令或 AWS Tools for Windows PowerShell 模块来创建测试实验室环境，则必须先配置以下内容：
+ **拥有访问密钥和私有访问密钥**的 IAM 用户 — 如果您要使用 AWS CLI 或 AWS Tools for Windows PowerShell 模块，则需要拥有访问密钥的 IAM 用户。如果您没有访问密钥，请参阅[创建、修改或删除您自己的访问密钥（AWS 管理控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)。
+ **AWS Command Line Interface （可选）**— [AWS CLI 在 Windows 上下载并安装](https://docs.aws.amazon.com/cli/latest/userguide/install-windows.html)。安装之后，打开命令提示符或者 PowerShell 窗口，然后键入 `aws configure`。请注意，您需要访问密钥和私有密钥以完成设置。有关如何完成此任务的步骤，请查看第一个先决条件。先决条件将提示以下内容：
  + AWS 访问密钥 ID [无]: `AKIAIOSFODNN7EXAMPLE`
  + AWS 秘密访问密钥 [无]: `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`
  + 默认区域名称 [无]：`us-west-2`
  + 默认输出格式 [无]：`json`
+ **AWS Tools for Windows PowerShell****（可选）**-下载并安装最新版本的 f AWS Tools for Windows PowerShell [https://aws.amazon.com/powershell/](https://aws.amazon.com/powershell/)rom，然后运行以下命令。请注意，您需要访问密钥和私有密钥以完成设置。有关如何完成此任务的步骤，请查看第一个先决条件。

  `Set-AWSCredentials -AccessKey {AKIAIOSFODNN7EXAMPLE} -SecretKey {wJalrXUtnFEMI/K7MDENG/ bPxRfiCYEXAMPLEKEY} -StoreAs {default}`

# 步骤 1：为 AWS 托管 Microsoft AD Active Directory 设置 AWS 环境
<a name="microsoftadbasestep1"></a>

在 AWS 测试实验室中创建 AWS 托管 Microsoft AD 之前，您首先需要设置您的 Amazon EC2 密钥对，以便对所有登录数据进行加密。

## 创建密钥对
<a name="createkeypair2"></a>

如果您已有已密钥对，可跳过本步骤。有关 Amazon EC2 密钥对的更多信息，请参阅[创建密钥对](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/create-key-pairs.html)。

**创建密钥对**

1. 登录 AWS 管理控制台 并打开 Amazon EC2 控制台，网址为[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。

1. 在导航窗格中的 **Network & Security** 下，选择 **Key Pairs**，然后选择 **Create Key Pair**。

1. 对于 **Key pair name (密钥对名称)**，键入 **AWS-DS-KP**。对于 **Key pair file format (密钥对文件格式)**，选择 **pem**，然后选择 **Create (创建)**。

1. 您的浏览器会自动下载私有密钥文件。该文件名是您在创建密钥对时指定的名称，扩展名为 `.pem`。将私有密钥文件保存在安全位置。
**重要**  
这是您保存私有密钥文件的唯一机会。当您启动实例时，需要提供密钥对的名称；当您解密实例密码时，需要提供相应的私有密钥。

## 创建、配置和对等两个 Amazon VPCs
<a name="createvpc"></a>

如下图所示，当你完成这个多步骤的过程时，你已经创建并配置了两个公有子网，每个 VPC 两个公有子网 VPCs，每个 VPC 一个 Internet Gateway，以及两者之间的一个 VPC 对等连接。 VPCs出于简单性和成本考 VPCs 虑，我们选择使用公网和子网。对于生产工作负载，我们建议您使用私有模式 VPCs。有关提高 VPC 安全性的更多信息，请参阅 [Amazon Virtual Private Cloud 中的安全性](https://docs.aws.amazon.com/vpc/latest/userguide/security.html)。

![\[带有子网和互联网网关的 Amazon VPC 环境，用于创建 AWS 托管的 Microsoft AD 活动目录。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)


所有 AWS CLI 和 PowerShell 示例都使用下面的 VPC 信息，并且是在 us-west-2 中内置的。您可以选择任何[受支持的区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html)来构建环境。有关一般信息，请参阅 [Amazon VPC 是什么？](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)。

**步骤 1：创建两个 VPCs**

在此步骤中，您需要使用下表 VPCs 中的指定参数在同一个账户中创建两个。 AWS 托管 Microsoft AD 支持使用具有该[分享你的 Microsoft AWS 托管广告](ms_ad_directory_sharing.md)功能的单独帐户。第一个 VPC 将用于 AWS 托管 Microsoft AD。第二个 VPC 将用于以后可能在 [教程：创建从 AWS 托管 Microsoft AD 到亚马逊 EC2 上自行管理的 Active Directory 安装的信任](ms_ad_tutorial_test_lab_trust.md)中使用的资源。


****  

|  Managed Active Directory VPC 信息  |  本地 VPC 信息  | 
| --- | --- | 
|  姓名标签： AWS-DS-VPC01 IPv4 CIDR 区块：10.0.0.0/16 IPv6 CIDR 块：没有 IPv6 CIDR 块 租赁：默认  |  姓名标签： AWS-OnPrem-VPC01 IPv4 CIDR 区块：10.100.0.0/16 IPv6 CIDR 块：没有 IPv6 CIDR 块 租赁：默认  | 

有关详细说明，请参阅[创建 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC)。

**步骤 2：每个 VPC 创建两个子网**

创建完成后， VPCs 您需要使用下表中的指定参数为每个 VPC 创建两个子网。对于本测试实验室，每个子网将是 /24。这将允许每个子网最多发出 256 个地址。每个子网必须位于单独的可用区中。将每个子网单独放在可用区中是 [创建 AWS 托管 Microsoft AD 的先决条件](ms_ad_getting_started.md#ms_ad_getting_started_prereqs)之一。


****  

|  AWS-DS-VPC01 子网信息：  |  AWS-OnPrem-VPC01 子网信息  | 
| --- | --- | 
|  名称标签： AWS-DS--VPC01 Subnet01 VPC：vpc-xxxxxxxxxxxxxxxxxxxxxx-D AWS S-VPC01 可用区：us-west-2a IPv4 CIDR 区块：10.0.0.0/24  |  姓名标签： AWS-OnPrem-VPC01-Subnet01  VPC：vpc-xxxxxxxxxxxxxxxxx- AWS OnPrem VPC01 可用区：us-west-2a IPv4 CIDR 区块：10.100.0.0/24  | 
|  姓名标签： AWS-DS--VPC01 Subnet02 VPC：vpc-xxxxxxxxxxxxxxxxxxxxxx-D AWS S-VPC01 可用区：us-west-2b IPv4 CIDR 区块：10.0.1.0/24  |  姓名标签： AWS-OnPrem-VPC01-Subnet02 VPC：vpc-xxxxxxxxxxxxxxxxx- AWS OnPrem VPC01 可用区：us-west-2b IPv4 CIDR 区块：10.100.1.0/24  | 

有关详细说明，请参阅[在 VPC 中创建子网](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet)。

**第 3 步：创建一个 Internet Gateway 并将其连接到你的 VPCs**

由于我们使用的是公有 VPC，因此需要使用下表中的指定参数创建 Internet 网关并将其连接到 VPC。这将允许您连接和管理您的 EC2 实例。


****  

|  AWS-DS-VPC01 Internet Gateway 信息  |  AWS-OnPrem-VPC01 Internet Gateway 信息  | 
| --- | --- | 
|  姓名标签： AWS-DS--IGW VPC01 VPC：vpc-xxxxxxxxxxxxxxxxxxxxxx-D AWS S-VPC01  |  姓名标签： AWS-OnPrem-VPC01-IGW VPC：vpc-xxxxxxxxxxxxxxxxx- AWS OnPrem VPC01  | 

有关详细说明，请参阅 [Internet 网关](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)。

**步骤 4：在 AWS-DS-和-之间配置 VPC 对VPC01等 AWS连接 OnPrem VPC01**

由于您 VPCs 之前已经创建了两个，因此您需要使用下表中的指定参数使用 VPC 对等互连将它们联网在一起。虽然您可以通过多种方式进行连接 VPCs，但本教程将使用 VPC 对等连接。 AWS 托管 Microsoft AD 支持多种解决方案来连接你 VPCs，其中一些包括 [VPC 对等互连](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)、T [ransit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 和 [VPN](https://docs.aws.amazon.com/vpc/latest/adminguide/Welcome.html)。


****  

|  | 
| --- |
|  对等连接名称标签： AWS-DS-VPC01 &AWS--OnPrem-Peer VPC01 VPC（请求者）：vpc AWS-xxxxxxxxxxxxxxxxxxxxx-DS-VPC01 账户：我的账户 区域：此区域 VPC（Accepter）：vpc AWS-xxxxxxxxxxxxxxxxxxxxxxx-OnPrem VPC01  | 

有关如何在您账户中的两个 VPC 之间创建 VPC 对等连接的说明，请参阅[在您账户中的两个 VPC 之间创建 VPC 对等连接](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#create-vpc-peering-connection-local)。

**步骤 5：向每个 VPC 的主路由表添加两条路由**

为了使在前面步骤中创建的 Internet Gateways 和 VPC 对等连接正常运行，您需要 VPCs 使用下表中的指定参数更新两者的主路由表。您将添加两条路由：0.0.0.0/0（它将路由到路由表未明确知道的所有目的地）和 10.0.0.0/16 或 10.100.0.0/16（它将通过上面建立的 VPC 对等连接路由到每个 VPC）。

您可以通过 VPC 名称标签（AWS-DS-VPC01 或 AWS-OnPrem-VPC01）进行筛选，轻松找到每个 VPC 的正确路由表。


****  

|  AWS-DS-VPC01 路线 1 信息  |  AWS-DS-VPC01 路线 2 信息  |  AWS-OnPrem-VPC01 路线 1 信息  |  AWS-OnPrem-VPC01 路线 2 信息  | 
| --- | --- | --- | --- | 
|  目的地：0.0.0.0/0 目标：igw-xxxxxxxxxxxxxxxxxxxxxxx- AWS DS-IGW VPC01  |  目的地：10.100.0.0/16 目标：pcx-xxxxxxxxxxxxxxxxxxxxxxx AWS-DS-&--Peer VPC01 AWS OnPrem VPC01  |  目的地：0.0.0.0/0 目标：igw-xxxxxxxxxxxxxxxxxxxxxx- AWS Onprem-VPC01  |  目的地：10.0.0.0/16 目标：pcx-xxxxxxxxxxxxxxxxxxxxxxx AWS-DS-&--Peer VPC01 AWS OnPrem VPC01  | 

有关如何向 VPC 路由表添加路由的说明，请参阅[从路由表添加和删除路由](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes)。

## 为 Amazon EC2 实例创建安全组
<a name="createsecuritygroup"></a>

默认情况下， AWS 托管 Microsoft AD 会创建一个安全组来管理其域控制器之间的流量。在本节中，您需要创建 2 个安全组（每个 VPC 一个），它们用于使用下表中的指定参数管理 EC2 实例的 VPC 内流量。您还需要添加规则，允许从任意位置的 RDP (3389) 入站，以及来自本地 VPC 的所有流量类型入站。有关更多信息，请参阅[适用于 Windows 实例的 Amazon EC2 安全组](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html)。


****  

|  AWS-DS-VPC01 安全组信息：  | 
| --- | 
|  安全组名称： AWS DS 测试实验室安全组 描述： AWS DS 测试实验室安全组 VPC：vpc-xxxxxxxxxxxxxxxxxxxxxx-D AWS S-VPC01  | 

** AWS-DS-的安全组入站规则 VPC01**


****  

| Type | 协议 | 端口范围 | 来源 | 流量的类型 | 
| --- | --- | --- | --- | --- | 
| 自定义 TCP 规则  | TCP | 3389 | 我的 IP | 远程桌面 | 
| 所有流量 | All | 全部 | 10.0.0.0/16 | 所有本地 VPC 流量 | 

** AWS-DS-的安全组出站规则 VPC01**


****  

| Type | 协议 | 端口范围 | 目标位置 | 流量的类型 | 
| --- | --- | --- | --- | --- | 
| 所有流量 | All | 全部 | 0.0.0.0/0 | 所有流量 | 


****  

| AWS-OnPrem-VPC01 安全组信息： | 
| --- | 
|  安全组名称： AWS OnPrem 测试实验室安全组。 描述： AWS OnPrem 测试实验室安全组。 VPC：vpc-xxxxxxxxxxxxxxxxx- AWS OnPrem VPC01  | 

** AWS-OnPrem-的安全组入站规则 VPC01**


****  

| Type | 协议 | 端口范围 | 来源 | 流量的类型 | 
| --- | --- | --- | --- | --- | 
| 自定义 TCP 规则  | TCP | 3389 | 我的 IP | 远程桌面 | 
| 自定义 TCP 规则  | TCP | 53 | 10.0.0.0/16 | DNS | 
| 自定义 TCP 规则  | TCP  | 88 | 10.0.0.0/16 | Kerberos | 
| 自定义 TCP 规则  | TCP  | 389 | 10.0.0.0/16 | LDAP | 
| 自定义 TCP 规则  | TCP | 464 | 10.0.0.0/16 | Kerberos 更改/设置密码 | 
| 自定义 TCP 规则  | TCP | 445 | 10.0.0.0/16 | SMB / CIFS | 
| 自定义 TCP 规则  | TCP | 135 | 10.0.0.0/16 | 复制 | 
| 自定义 TCP 规则  | TCP | 636 | 10.0.0.0/16 | LDAP SSL | 
| 自定义 TCP 规则  | TCP | 49152 - 65535 | 10.0.0.0/16 | RPC | 
| 自定义 TCP 规则  | TCP | 3268 - 3269 | 10.0.0.0/16 | LDAP GC 和 LDAP GC SSL | 
| 自定义 UDP 规则  | UDP | 53 | 10.0.0.0/16 | DNS | 
| 自定义 UDP 规则  | UDP | 88 | 10.0.0.0/16 | Kerberos | 
| 自定义 UDP 规则  | UDP | 123 | 10.0.0.0/16 | Windows 时间 | 
| 自定义 UDP 规则  | UDP | 389 | 10.0.0.0/16 | LDAP | 
| 自定义 UDP 规则  | UDP | 464 | 10.0.0.0/16 | Kerberos 更改/设置密码 | 
| 所有流量 | All | 全部 | 10.100.0.0/16 | 所有本地 VPC 流量 | 

** AWS-OnPrem-的安全组出站规则 VPC01**


****  

| Type | 协议 | 端口范围 | 目标位置 | 流量的类型 | 
| --- | --- | --- | --- | --- | 
| 所有流量 | All | 全部 | 0.0.0.0/0 | 所有流量 | 

有关如何创建规则并将规则添加到安全组的详细说明，请参阅[使用安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)。

# 第 2 步：创建你的 Microsoft AD AWS 托管活动目录
<a name="microsoftadbasestep2"></a>

您可以使用三种不同的方法来创建目录。您可以使用该 AWS 管理控制台 过程（建议在本教程中使用），也可以使用 AWS CLI 或 AWS Tools for Windows PowerShell 过程来创建您的目录。

**方法 1：创建你的 Microsoft AD AWS 托管目录 (AWS 管理控制台)**

1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中，选择**目录**，然后选择**设置目录**。

1. 在**选择目录类型**页面上，选择 **AWS Managed Microsoft AD**，然后选择**下一步**。

1. 在 **Enter directory information (输入目录信息)** 页面上，提供以下信息，然后选择 **Next (下一步)**。
   + 对于 **Edition (版本)**，选择 **Standard Edition (标准版)** 或 **Enterprise Edition (企业版)**。有关版本的更多信息，请参阅 [AWS Directory Service for Microsoft Active Directory](what_is.md#microsoftad)。
   + 对于 **Directory DNS name (目录 DNS 名称)**，键入 **corp.example.com**。
   + 对于 **Directory NetBIOS name (目录 NetBIOS 名称)**，键入 **corp**。
   + 对于 **Directory description (目录描述)**，键入 **AWS DS Managed**。
   + 对于 **Admin password**，键入您要用于此账户的密码，并在 **Confirm password** 中再次键入密码。此 **Admin** 账户在目录创建过程中自动创建。密码不能包含单词 *admin*。目录管理员密码区分大小写，且长度必须介于 8 到 64 (含) 个字符之间。至少，它还必须包含下列四种类别中三种类别的一个字符：
     + 小写字母 (a-z)
     + 大写字母 (A-Z)
     + 数字 (0-9)
     + 非字母数字字符 (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)

1. 在 **Choose VPC and subnets (选择 VPC 和子网)** 页面上，提供以下信息，然后选择 **Next (下一步)**。
   + 对于 **VPC**，请选择以 **AWS-DS-** 开头VPC01并以 **(10.0.0.0** /16) 结尾的选项。
   + 对于 **Subnets (子网)**，选择 **10.0.0.0/24** 和 **10.0.1.0/24** 公有子网。

1. 在 **Review & create (检查并创建)** 页面上，检查目录信息并进行任何必要的更改。如果信息正确，请选择 **Create directory (创建目录)**。创建目录需要 20 到 40 分钟。创建后，**Status** 值将更改为 **Active**。

**方法 2：创建你的 Microsoft AWS 托管 AD (PowerShell)（可选）**

1. 打开 PowerShell。

1. 键入以下命令。请务必使用前述 AWS 管理控制台 过程的步骤 4 中提供的值。

   ```
   New-DSMicrosoftAD -Name corp.example.com –ShortName corp –Password P@ssw0rd –Description "AWS DS Managed" - VpcSettings_VpcId vpc-xxxxxxxx -VpcSettings_SubnetId subnet-xxxxxxxx, subnet-xxxxxxxx
   ```

**方法 3：创建你的 Microsoft AWS 托管 AD (AWS CLI)（可选）**

1. 打开 AWS CLI.

1. 键入以下命令。请务必使用前述 AWS 管理控制台 过程的步骤 4 中提供的值。

   ```
   aws ds create-microsoft-ad --name corp.example.com --short-name corp --password P@ssw0rd --description "AWS DS Managed" --vpc-settings VpcId= vpc-xxxxxxxx,SubnetIds= subnet-xxxxxxxx, subnet-xxxxxxxx
   ```

# 第 3 步：部署 Amazon EC2 实例来管理您的 AWS 托管微软 AD 活动目录
<a name="microsoftadbasestep3"></a>

对于本实验室，我们将使用具有公有 IP 地址的 Amazon EC2 实例，使其易于从任意位置访问管理实例。在生产设置中，您可以使用私有 VPC 中的实例，这些实例只能通过 VPN 或 Direct Connect 链接访问。对于实例是否具有公有 IP 地址没有要求。

在此部分中，您将演练在新 EC2 实例上，使用 Windows Server 将客户端计算机连接到域所需的各种部署后任务。在下一步中，您将使用 Windows Server 来验证实验室正常运行。

## 可选：为目录创建-D AWS S-VPC01 中设置的 DHCP 选项
<a name="createdhcpoptionsset"></a>

在此可选步骤中，您将设置 DHCP 选项范围，以便您的 VPC 中的 EC2 实例自动使用您的 AWS 托管 Microsoft AD 进行 DNS 解析。有关更多信息，请参阅[ DHCP 选项集](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_DHCP_Options.html)。

**为目录创建 DHCP 选项集**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **DHCP Options Sets**，然后选择 **Create DHCP options set**。

1. 在**创建 DHCP 选项集**页面上，提供目录的以下值：
   + 对于**名称**，键入 **AWS DS DHCP**。
   + 对于 **Domain name (域名)**，键入 **corp.example.com**。
   + 对于 **Domain name servers (域名服务器)**，键入 AWS 所提供目录的 DNS 服务器的 IP 地址。
**注意**  
要查找这些地址，请转到 Directory Service **目录**页面，然后选择适用的目录 ID。在 “**详细信息**” 页面上，识别并使用 **DNS 地址**中显示的。 IPs   
或者，要查找这些地址，请转到 Directory Service **目录**页面，然后选择适用的目录 ID。然后，选择**扩展和共享**。在 “**域控制器**” 下 IPs ，识别并使用 **IP 地址**中显示的。
   + 将 **NTP servers**、**NetBIOS name servers** 和 **NetBIOS node type** 的设置留空。

1. 选择**创建 DHCP 选项集**，然后选择**关闭**。新的 DHCP 选项集会出现在您的 DHCP 选项列表中。

1. 记下新的 DHCP 选项集的 ID (**dopt-*xxxxxxxx***)。在此过程的末尾，您将新选项集与 VPC 关联时使用此项。
**注意**  
无缝域加入发挥作用，而无需配置 DHCP 选项集。

1. 在导航窗格中，选择**您的 VPCs**。

1. 在列表中 VPCs，选择 **AWS DS VPC**，选择**操作**，然后选择**编辑 DHCP 选项集**。

1. 在**编辑 DHCP 选项集**页面上，选择您在步骤 5 中记录的选项集，然后选择**保存**。

## 创建角色以将 Windows 实例加入你的 AWS 托管微软 AD 域
<a name="configureec2"></a>

使用此过程可配置将 Amazon EC2 Windows 实例加入域中的角色。有关更多信息，请参阅 [将 Amazon EC2 Windows 实例加入您的 AWS 托管微软 AD 活动目录](launching_instance.md)。

**配置 EC2 以将 Windows 实例加入域中**

1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1. 在 IAM 控制台的导航窗格中，选择**角色**，然后选择**创建角色**。

1. 在 **选择受信任实体的类型** 下，选择 **AWS 服务**。

1. 在紧靠**选择将使用此角色的服务**下面，选择 **EC2**，然后选择**下一步: 权限**。

1. 在**附加的权限策略**页面上，执行以下操作：
   + 选中 **Amazon SSMManaged InstanceCore** 托管政策旁边的复选框。此策略提供了使用 Systems Manager 服务所需的最低权限。
   + 选中 **Amazon SSMDirectory ServiceAccess** 托管政策旁边的复选框。该策略提供了将实例加入由 Directory Service托管的 Active Directory 的权限。

   有关可以为 Systems Manager 附加的此类托管和其他策略的信息，请参阅《AWS Systems Manager 用户指南》**中的[为 Systems Manager 创建 IAM 实例配置文件](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html)。有关托管策略的更多信息，请参阅《IAM 用户指南**》中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

1. 选择**下一步：标签**。

1. （可选）添加一个或多个标签键值对以组织、跟踪或控制该角色的访问，然后选择**下一步: 审核**。

1. **在角色名称**中，输入角色的名称，描述该角色用于将实例加入域，例如**EC2DomainJoin**。

1. （可选）对于**角色描述**，请输入描述。

1. 选择 **Create role (创建角色)**。系统将让您返回到 **角色** 页面。

## 创建 Amazon EC2 实例并自动加入目录
<a name="deployec2instance"></a>

在此过程中，您将在 EC2 实例中设置 Windows Server 系统，该系统稍后可用于在 Active Directory 中管理用户、组和策略。

**创建 EC2 实例并自动加入目录**

1. 打开位于 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 的 Amazon EC2 控制台。

1. 选择**启动实例**。

1. 在**步骤 1** 页面上，在**微软 Windows Server 2019 Base 旁边——ami—— *xxxxxxxxxxxxxxxxx*** **选择选择**。

1. 在 **Step 2 (步骤 2)** 页面上，选择 **t3.micro**（注意，您可以选择更大的实例类型），然后选择 **Next: Configure Instance Details (下一步：配置实例详细信息)**。

1. 在 **Step 3** 页面中，执行以下操作：
   + 对于**网络**，请选择以 **AWS-DS-** 结尾的 VP **CVPC01（例如，vpc-*xxxxxxxxxxxxxxxxx* \$1 AWS-DS-VPC01**）。
   + 对于**子网**，请选择**公有子网 1**，该子网应针对您的首选可用区进行预配置（例如，**子网-*xxxxxxxxxxxxxxxxx* \$1 AWS-DS-VPC01-Subnet01 \$1**）。*us-west-2a*
   + 对于 **Auto-assign Public IP**，选择 **Enable** (如果子网设置未默认设置为启用)。
   + 对于**域加入目录**，请选择 c **orp.example.com (**d-)。*xxxxxxxxxx*
   + 对于 **IAM 角色**，请选择您为实例角色指定的名称[创建角色以将 Windows 实例加入你的 AWS 托管微软 AD 域](#configureec2)，例如**EC2DomainJoin**。
   + 将其他设置保留为默认值。
   + 选择**下一步：添加存储**。

1. 在 **Step 4** 页面上，保留默认设置，然后选择 **Next: Add Tags**。

1. 在 **Step 5** 页面上，选择 **Add Tag**。在 **Key (键)** 下，键入 **corp.example.com-mgmt**，然后选择 **Next: Configure Security Group (下一步: 配置安全组)**。

1. 在**步骤 6** 页面上，依次选择**选择现有安全组**、**AWS DS RDP 安全组**（您以前在[基本教程](microsoftadbasestep1.md#createsecuritygroup)中已设置）和**查看并启动**以查看实例。

1. 在 **Step 7** 页面上，查看页面，然后选择 **Launch**。

1. 在 **Select an existing key pair or create a new key pair** 对话框上，执行下列操作之一：
   + 选择**选择现有密钥对**。
   + 在**选择密钥对**下，选择 **AWS-DS-KP**。
   + 选中 **I acknowledge...** 复选框。
   + 选择**启动新实例**。

1. 选择**查看实例**以返回 Amazon EC2 控制台并查看部署的状态。

## 在 EC2 实例上安装 Active Directory 工具
<a name="installadtools"></a>

您可以从两种方法中选择，在 EC2 实例上安装 Active Directory 域管理工具。您可以使用 Server Manager UI（本教程建议的方法）或 PowerShell。

**在 EC2 实例上安装 Active Directory 工具（Server Manager）**

1. 在 Amazon EC2 控制台中，选择**实例**，选择您刚刚创建的实例，然后选择**连接**。

1. 在**连接到您的实例**对话框中，选择**获取密码**以检索您的密码（如果您尚未这样做），然后选择**下载远程桌面文件**。

1. 在 **Windows Security (Windows 安全)** 对话框中，键入 Windows Server 计算机的本地管理员凭证以登录（例如，**administrator**）。

1. 从 **Start** 菜单中选择 **Server Manager**。

1. 在 **Dashboard** 中，选择 **Add Roles and Features**。

1. 在 **Add Roles and Features Wizard** 中，选择 **Next**。

1. 在 **Select installation type** 页面上选择 **Role-based or feature-based installation**，然后选择 **Next**。

1. 在 **Select destination server** 页面上，请确保选中了本地服务器，然后选择 **Next**。

1. 在 **Select server roles** 页面上，选择 **Next**。

1. 在 **Select features** 页面中，执行以下操作：
   + 选中 **Group Policy Management** 复选框。
   + 展开 **Remote Server Administration Tools**，然后展开 **Role Administration Tools**。
   + 选中 **AD DS and AD LDS Tools** 复选框。
   + 选中 **DNS Server Tools** 复选框。
   + 选择**下一步**。

1. 在 **Confirm installation selections** 页面上，查看信息，然后选择 **Install**。功能安装完成后，以下新工具或管理单元将在“开始”菜单的“Windows 管理工具”文件夹中可用。
   + Active Directory 管理中心
   + Active Directory 域和信任
   + 适用于 PowerShell 的 Active Directory 模块
   + Active Directory 站点和服务
   + Active Directory 用户和计算机
   + ADSI 编辑
   + DNS
   + 组策略管理

**在 EC2 实例上安装 Active Directory 工具（PowerShell）（可选）**

1. 启动 PowerShell。

1. 键入以下命令。

   ```
   Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
   ```

# 步骤 4：验证基本测试实验室正常工作
<a name="microsoftadbasestep4"></a>

在添加其他测试实验室指南模块之前，使用以下过程验证已成功设置该测试实验室。此过程验证您的 Windows 服务器配置是否正确，是否可以连接到 corp.example.com 域，以及是否用于管理您的托管 AWS 微软 AD 林。

**验证基本测试实验室正常工作**

1. 从您以本地管理员身份登录的 EC2 实例中注销 

1. 返回 Amazon EC2 控制台，在导航窗格中选择**实例**。然后选择已创建的实例。选择**连接**。

1. 在 **Connect To Your Instance** 对话框中，选择 **Download Remote Desktop File**。

1. 在 **Windows Security (Windows 安全)** 对话框中，键入您的 CORP 域的管理员凭证以便登录（例如，**corp\$1admin**）。

1. 登录之后，在 **Start** 菜单中的 **Windows Administrative Tools** 下，选择 **Active Directory Users and Computers**。

1. 你应该会看到 **corp.example.com** 上显示了所有默认域名 OUs 和与新域名关联的账户。在 “**域控制器**” 下，请注意在本教程的步骤 2 中创建 AWS 托管 Microsoft AD 时自动创建的域控制器的名称。

恭喜您！您的 AWS 托管 Microsoft AD 基础测试实验室环境现已配置完毕。您可以随时开始添加该系列中的下一个测试实验室。

下一个教程：[教程：创建从 AWS 托管 Microsoft AD 到亚马逊 EC2 上自行管理的 Active Directory 安装的信任](ms_ad_tutorial_test_lab_trust.md)

# 教程：创建从 AWS 托管 Microsoft AD 到亚马逊 EC2 上自行管理的 Active Directory 安装的信任
<a name="ms_ad_tutorial_test_lab_trust"></a>

在本教程中，您将学习如何在[基础教程](ms_ad_tutorial_test_lab_base.md)中创建的 Microsoft A AWS ctive Directory 目录林之间创建信任关系。您还将学习在 Amazon EC2 中的 Windows Server 上创建新的本机 Active Directory 林。如下图所示，在设置完整的托管 Microsoft AD 测试实验室时，您根据本教程创建的实验室是设置完整的 AWS 托管 Microsoft AD 测试实验室时所需的第二个构建块。您可以使用测试实验室来测试您的纯云或基于混合云的解决方案 AWS 。

您只需要创建本教程一次。然后，您可以根据需要添加可选的教程，提供更多的体验。

![\[创建从 Microsoft Active Directory 到自托管式 Active Directory 的信任的步骤如下：设置您的环境、创建 Microsoft Active Directory、部署 Amazon EC2 实例，然后测试实验室。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust.png)


**[步骤 1：为建立信任设置环境](microsoftadtruststep1.md)**  
在新的 Active Directory 林与您在[基本教程](ms_ad_tutorial_test_lab_base.md)中创建的 AWS Managed Microsoft AD 林之间建立信任前，需要准备 Amazon EC2 环境。为此，您首先需要创建一个 Windows Server 2019 服务器，将该服务器提升为域控制器，然后相应地配置您的 VPC。

**[步骤 2：创建信任](microsoftadtruststep2.md)**  
在此步骤中，您将在 Amazon EC2 中托管的新创建的 Active Directory 林与中的托管 Microsoft AD 林之间创建双向林信任关系 AWS。 AWS 

**[步骤 3：验证信任](microsoftadtruststep3.md)**  
最后，作为管理员，您可以使用 Directory Service 控制台来验证新的信任是否正常运行。

# 步骤 1：为建立信任设置环境
<a name="microsoftadtruststep1"></a>

在本节中，您将设置您的 Amazon EC2 环境，部署您的新林，并准备好您的 VPC 以备与之建立信任 AWS。

![\[Amazon EC2 环境包含 Amazon VPC、子网和互联网网关，用于部署新林并建立信任关系。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)


## 创建 Windows Server 2019 EC2 实例
<a name="createkeypair1"></a>

使用以下过程在 Amazon EC2 中创建一个 Windows Server 2019 成员服务器。

**创建 Windows Server 2019 EC2 实例**

1. 打开位于 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 的 Amazon EC2 控制台。

1. 在 Amazon EC2 控制台中，选择**启动实例**。

1. 在**步骤 1** 页面上，在列表*xxxxxxxxxxxxxxxxx*中找到**微软 Windows Server 2019 Base — ami-**。然后选择 **Select**。

1. 在 **Step 2** 页面上，选择 **t2.large**，然后选择 **Next: Configure Instance Details**。

1. 在 **Step 3** 页面中，执行以下操作：
   + 对于**网络**，选择 **vpc-*xxxxxxxxxxxxxxxxx* AWS OnPrem--VPC01**（您之前在[基础教程中进行了](microsoftadbasestep1.md#createvpc)设置）。
   + 对于**子网**，选择**子网-*xxxxxxxxxxxxxxxxx* \$1 AWS-OnPrem-VPC01-Subnet01 \$1 AWS**--。OnPrem VPC01
   + 对于 **Auto-assign Public IP** 列表，选择 **Enable** (如果子网设置未默认设置为 **Enable**)。
   + 将其他设置保留为默认值。
   + 选择**下一步：添加存储**。

1. 在 **Step 4** 页面上，保留默认设置，然后选择 **Next: Add Tags**。

1. 在 **Step 5** 页面上，选择 **Add Tag**。在 **Key (键)** 下，键入 **example.local-DC01**，然后选择 **Next: Configure Security Group (下一步: 配置安全组)**。

1. 在**步骤 6** 页面上，依次选择**选择现有安全组**、**AWS On-Prem DS RDP 安全组**（您以前在[基本教程](microsoftadbasestep1.md#createsecuritygroup)中已设置）和**查看并启动**以查看实例。

1. 在 **Step 7** 页面上，查看页面，然后选择 **Launch**。

1. 在 **Select an existing key pair or create a new key pair** 对话框上，执行下列操作之一：
   + 选择**选择现有密钥对**。
   + 在**选择密钥对**下，选择 **AWS-DS-KP**（您以前在[基本教程](microsoftadbasestep1.md#createkeypair2)中已设置）。
   + 选中 **I acknowledge...** 复选框。
   + 选择**启动新实例**。

1. 选择**查看实例**以返回 Amazon EC2 控制台并查看部署的状态。

## 将服务器提升为域控制器
<a name="promoteserver"></a>

在创建信任之前，您必须为新林构建和部署第一个域控制器。在此过程中，您需要配置新的 Active Directory 林，安装 DNS，并将此服务器设置为使用本地 DNS 服务器来解析名称。在此过程结束时，您必须重新启动服务器。

**注意**  
如果您想在中创建可与您的本地网络复制 AWS 的域控制器，则需要先手动将 EC2 实例加入您的本地域。然后，您可以将服务器提升为域控制器。

**将您的服务器提升为域控制器**

1. 在 Amazon EC2 控制台中，选择**实例**，选择您刚刚创建的实例，然后选择**连接**。

1. 在 **Connect To Your Instance** 对话框中，选择 **Download Remote Desktop File**。

1. 在 **Windows Security (Windows 安全)** 对话框中，键入 Windows Server 计算机的本地管理员凭证以登录（例如，**administrator**）。如果您还没有本地管理员密码，请返回到 Amazon EC2 控制台，右键单击该实例，然后选择**获取 Windows 密码**。导航到您的 `AWS DS KP.pem` 文件或您的个人 `.pem` 密钥，然后选择 **Decrypt Password**。

1. 从 **Start** 菜单中选择 **Server Manager**。

1. 在 **Dashboard** 中，选择 **Add Roles and Features**。

1. 在 **Add Roles and Features Wizard** 中，选择 **Next**。

1. 在 **Select installation type** 页面上选择 **Role-based or feature-based installation**，然后选择 **Next**。

1. 在 **Select destination server** 页面上，请确保选中了本地服务器，然后选择 **Next**。

1. 在 **Select server roles** 页面上，选择 **Active Directory Domain Services**。在 **Add Roles and Features Wizard** 对话框中，确认 **Include management tools** (如果适用) 复选框已选中。选择 **Add Features**，然后选择 **Next**。

1. 在**选择功能**页面上，选择**下一步**。

1. 在 **Active Directory Domain Services** 页面上，选择 **Next**。

1. 在 **Confirm installation selections** 页面上，选择 **Install**。

1. 在安装 Active Directory 二进制文件后，选择 **Close**。

1. 打开 Server Manager 后，查找顶部单词 **Manage** 旁边的标记。当此标记变成黄色后，即可提升服务器。

1. 选择黄色标记，然后选择 **Promote this server to a domain controller**。

1. 在 **Deployment Configuration** 页面上，选择 **Add a new forest**。在 **Root domain name (根域名)** 中，键入 **example.local**，然后选择 **Next (下一步)**。

1. 在 **Domain Controller Options** 页面上，执行以下操作：
   + 在 **Forest functional level** 和 **Domain functional level** 中，选择 **Windows Server 2016**。
   + 在 **Specify domain controller capabilities** 下，确保 **DNS server** 和 **Global Catalog（GC）**都处于选中状态。
   + 键入并确认目录服务还原模式 (DSRM) 密码。然后选择**下一步**。

1. 在 **DNS Options** 页面上，忽略有关委托的警告，然后选择 **Next**。

1. 在**其他选项**页面上，确保将 EX **AM** PLE 列为 NetBios 域名。

1. 在 **Paths** 页面上，保留默认设置，然后选择 **Next**。

1. 在 **Review Options** 页面上，选择 **Next**。现在，服务器会检查以确保域控制器的所有先决条件都得到满足。您可能会看到显示一些警告，不过您可以安全地忽略它们。

1. 选择**安装**。安装完成后，服务器会重启，然后变为正常运行的域控制器。

## 配置 VPC
<a name="configurevpc1"></a>

下面三个过程将指导您完成在 AWS上为连接配置 VPC 的各个步骤。

**配置 VPC 出站规则**

1. [在[AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)中，记下你之前在基础教程中创建的 corp.example.com 的 AWS 托管微软 AD 目录 ID。](microsoftadbasestep2.md)

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择**安全组**。

1. 搜索你的 AWS 托管微软 AD 目录 ID。在搜索结果中，选择描述**为 d *xxxxxx* 目录控制器AWS 创建的安全组的**项目。
**注意**  
此安全组在您最初创建目录时自动创建。

1. 选择该安全组下方的 **Outbound Rules** 选项卡。依次选择 **Edit** 和 **Add another rule**，然后添加以下值：
   + 对于 **Type**，选择 **All Traffic**。
   + 对于 **Destination**，键入 **0.0.0.0/0**。
   + 将其他设置保留为默认值。
   + 选择**保存**。

**要确保已启用 Kerberos 预身份验证**

1. 在 **example.local** 域控制器上，打开 **Server Manager**。

1. 在 **Tools** 菜单上，选择 **Active Directory Users and Computers**。

1. 导航到 **Users (用户)** 目录，右键单击任意用户并选择 **属性**，然后选择 **Account (账户)** 选项卡。在 **Account options** 列表中，向下滚动并确保**未** 选中 **Do not require Kerberos preauthentication**。

1. 从 **corp.example.com-mgmt** 实例对 **corp.example.com** 域执行相同的步骤。

**配置 DNS 条件转发服务器**
**注意**  
条件转发器是网络上的 DNS 服务器，用于根据查询中的 DNS 域名转发 DNS 查询。例如，可以将 DNS 服务器配置为将它接收到的针对以 widgets.example.com 结尾的名称的所有查询转发到某个特定 DNS 服务器的 IP 地址或多个 DNS 服务器的 IP 地址。

1. 打开 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)。

1. 在导航窗格中，选择**目录**。

1. 选择你的 Microsoft AWS 托管广告的**目录 ID**。

1. 记下目录的完全限定域名 (FQDN) **corp.example.com** 和 DNS 地址。

1. 现在，返回到您的 **example.local** 域控制器，然后打开 **Server Manager**。

1. 在 **Tools** 菜单上，选择 **DNS**。

1. 在控制台树中，展开为其设置信任的域的 DNS 服务器，然后导航到 **Conditional Forwarders**。

1. 右键单击 **Conditional Forwarders**，然后选择 **New Conditional Forwarder**。

1. 在 DNS 域中，键入 **corp.example.com**。

1. 在**主服务器的 IP 地址**下，选择 **<单击此处添加... **>，键入你的 Microsoft AD AWS 托管目录的第一个 DNS 地址（你在前面的过程中记下了这个地址），然后**按 Enter**。对第二个 DNS 地址执行相同的操作。在键入 DNS 地址之后，可能遇到“超时”或“无法解析”错误。通常可以忽略这些错误。

1. 选中 **Store this conditional forwarder in Active Directory, and replicate as follows** 复选框。在下拉菜单中，选择 **All DNS servers in this Forest**，然后选择 **OK**。

# 步骤 2：创建信任
<a name="microsoftadtruststep2"></a>

在本部分中，您将创建两个单独的林信任。一个信任是从你的 EC2 实例上的 Active Directory 域创建的，另一个是从你的 AWS 托管 Microsoft AD 中创建的 AWS。

![\[corp.example.com 和 example.local 之间的双向信任\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust_twoway.png)


**创建从你的 EC2 域到你的 AWS 托管 Microsoft AD 的信任**

1. 登录到 **example.local**。

1. 打开 **Server Manager**，然后在控制台树中选择 **DNS**。记下列出的服务器 IPv4 地址。在下一过程中，当您创建从 **corp.example.com** 到 **example.local** 目录的条件转发服务器时，您将需要此地址。

1. 在 **Tools** 菜单中，选择 **Active Directory Domains and Trusts**。

1. 在控制台树中，右键单击 **example.local**，然后选择 **Properties**。

1. 在 **Trusts** 选项卡上，选择 **New Trust**，然后选择 **Next**。

1. 在 **Trust Name (信任名称)** 页面上，键入 **corp.example.com**，然后选择 **Next (下一步)**。

1. 在 **Trust Type** 页面上，选择 **Forest trust**，然后选择 **Next**。
**注意**  
AWS 托管 Microsoft AD 还支持外部信任。但是，在此教程中，您将创建一个双向林信任。

1. 在 **Direction of Trust** 页面上，选择 **Two-way**，然后选择 **Next**。
**注意**  
如果您稍后决定使用单向信任来尝试此操作，请确保正确设置信任方向（在信任域上传出，在信任域上传入）。有关一般信息，请参阅 Microsoft 网站上的[了解信任方向](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11))。

1. 在 **Sides of Trust** 页面上，选择 **This domain only**，然后选择 **Next**。

1. 在 **Outgoing Trust Authentication Level** 页面上，选择 **Forest-wide authentication**，然后选择 **Next**。
**注意**  
虽然 **Selective authentication (选择性身份验证)** 是一个选项，但为本教程简单起见，我们建议您在此处不要启用它。配置后，它会将对外部或林信任的访问仅限制为受信任域或林中的以下这类用户：已明确向这些用户提供对位于该受信任域或林中的计算机对象（资源计算机）的身份验证权限。有关更多信息，请参阅 [Configuring selective authentication settings](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10))。

1. 在 **Trust Password** 页面上，键入信任密码两次，然后选择 **Next**。在下一个过程中，您将使用这个相同的新密码。

1. 在 **Trust Selections Complete** 页面上，检查结果，然后选择 **Next**。

1. 在 **Trust Creation Complete** 页面上，检查结果，然后选择 **Next**。

1. 在 **Confirm Outgoing Trust** 页面上，选择 **No, do not confirm the outgoing trust**。然后选择**下一个**

1. 在 **Confirm Incoming Trust** 页面上，选择 **No, do not confirm the incoming trust**。然后选择**下一个**

1. 在 **Completing the New Trust Wizard** 页面上，选择 **Finish**。

**注意**  
信任关系是 Microsoft AWS 托管 AD 的全球特征。如果您使用的是 [为 AWS 托管的 Microsoft AD 配置多区域复制](ms_ad_configure_multi_region_replication.md)，则必须在 [主 区域](multi-region-global-primary-additional.md#multi-region-primary) 中执行以下过程。更改将自动应用于所有复制的区域。有关更多信息，请参阅 [全局与区域特色](multi-region-global-region-features.md)。

**创建从您的 AWS 托管 Microsoft AD 到您的 EC2 域的信任**

1. 打开 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)。

1. 选择 **corp.example.com** 目录。

1. 在**报告详细信息**页面上，执行以下操作之一：
   + 如果**多区域复制**下显示多个区域，选择主区域，然后选择**网络与安全**选项卡。有关更多信息，请参阅 [主区域与其他区域](multi-region-global-primary-additional.md)。
   + 如果**多区域复制**下未显示任何区域，选择**网络与安全**选项卡。

1. 在**信任关系**部分中，选择**操作**，然后选择**添加信任关系**。

1. 在 **Add a trust relationship** 对话框中，执行以下操作：
   + 在 **Trust type (信任类型)** 下，选择 **Forest trust (林信任)**。
**注意**  
请确保您在此处选择的**信任类型**与前一步骤中配置的信任类型相同（创建从您的 EC2 域到 AWS 托管 Microsoft AD 的信任）。
   + 对于 **Existing or new remote domain name (现有或新的远程域名)**，键入 **example.local**。
   + 对于 **Trust password**，键入您在上一过程中提供的相同密码。
   + 在 **Trust direction (信任方向)** 下，选择 **Two-way (双向)**。
**注意**  
如果您稍后决定使用单向信任来尝试此操作，请确保正确设置信任方向（在信任域上传出，在信任域上传入）。有关一般信息，请参阅 Microsoft 网站上的[了解信任方向](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11))。
虽然 **Selective authentication (选择性身份验证)** 是一个选项，但为本教程简单起见，我们建议您在此处不要启用它。配置后，它会将对外部或林信任的访问仅限制为受信任域或林中的以下这类用户：已明确向这些用户提供对位于该受信任域或林中的计算机对象（资源计算机）的身份验证权限。有关更多信息，请参阅 [Configuring selective authentication settings](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10))。
   + 对于 **Conditional forwarder (条件转发器)**，键入 **example.local** 林中您的 DNS 服务器的 IP 地址（您在上一个过程中记录的地址）。
**注意**  
条件转发器是网络上的 DNS 服务器，用于根据查询中的 DNS 域名转发 DNS 查询。例如，可以将 DNS 服务器配置为将它接收到的针对以 widgets.example.com 结尾的名称的所有查询转发到某个特定 DNS 服务器的 IP 地址或多个 DNS 服务器的 IP 地址。

1. 选择**添加**。

# 步骤 3：验证信任
<a name="microsoftadtruststep3"></a>

在本节中，您将测试是否已成功在 AWS 与 Amazon EC2 上的 Active Directory 之间设置信任。

**验证信任**

1. 打开 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)。

1. 选择 **corp.example.com** 目录。

1. 在**报告详细信息**页面上，执行以下操作之一：
   + 如果**多区域复制**下显示多个区域，选择主区域，然后选择**网络与安全**选项卡。有关更多信息，请参阅 [主区域与其他区域](multi-region-global-primary-additional.md)。
   + 如果**多区域复制**下未显示任何区域，选择**网络与安全**选项卡。

1. 在**信任关系**部分中，选择刚创建的信任关系。

1. 选择 **Actions**，然后选择 **Verify trust relationship**。

一旦验证完成后，您应该可以看到 **Status** 下方显示 **Verified**。

祝贺您完成本教程！您现在有一个功能完备的包含多个林的 Active Directory 环境，您可以从该环境开始测试各种场景。其他测试实验室教程计划在 2018 年推出，因此，请不时回来了解新增功能。