本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 教學課程:在 AWS Managed Microsoft AD 和自我管理 Active Directory 網域之間建立信任關係
本教學課程會逐步解說設定 AWS Directory Service for Microsoft Active Directory 與自我管理 (內部部署) Microsoft Active Directory 之間信任關係所需的所有步驟。雖然建立信任只需要幾個步驟,但您必須先完成下列必要步驟。
**Topics**
+ [先決條件](before_you_start.md)
+ [步驟 1:準備您自我管理的 AD 域](ms_ad_tutorial_setup_trust_prepare_onprem.md)
+ [步驟 2:準備您的 AWS Managed Microsoft AD](ms_ad_tutorial_setup_trust_prepare_mad.md)
+ [步驟 3:建立信任關係](ms_ad_tutorial_setup_trust_create.md)
**另請參閱**
[在 AWS Managed Microsoft AD 和自我管理 AD 之間建立信任關係](ms_ad_setup_trust.md)
# 先決條件
此教學假設您已具備下列項目:
**注意**
AWS Managed Microsoft AD 不支援與[單一標籤網域的](https://support.microsoft.com/en-us/help/2269810/microsoft-support-for-single-label-domains)信任。
+ 在 上建立的 AWS Managed Microsoft AD 目錄 AWS。如果您需要協助來執行此作業,請參閱「[Managed AWS Microsoft AD 入門](ms_ad_getting_started.md)」。
+ 執行 的 EC2 執行個體Windows已新增至該 AWS Managed Microsoft AD。如果您需要協助來執行此作業,請參閱「[將 Amazon EC2 Windows 執行個體加入 AWS Managed Microsoft AD Active Directory](launching_instance.md)」。
**重要**
Managed AWS Microsoft AD 的管理員帳戶必須具有此執行個體的管理存取權。
+ 該執行個體上安裝了下列Windows伺服器工具:
+ AD DS 及 AD LDS 工具
+ DNS
如果您需要協助來執行此作業,請參閱「[安裝 AWS Managed Microsoft AD 的 Active Directory 管理工具](ms_ad_install_ad_tools.md)」。
+ 自我管理 (內部部署) Microsoft Active Directory
您必須具備此目錄的管理存取權。此目錄也必須提供上述相同的Windows伺服器工具。
+ 自我管理網路與包含 AWS Managed Microsoft AD 的 VPC 之間的作用中連線。如果您需要協助來執行此作業,請參閱「[Amazon Virtual Private Cloud 連線選項](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-vpc-connectivity-options.pdf)」。
+ 已正確設定的本機安全政策。檢查 `Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously` 並確保其中包含至少下列三個具名管道:
+ netlogon
+ samr
+ lsarpc
+ NetBIOS 和域名稱必須唯一且不能相同,才能建立信任關係
如需有關建立信任關係的先決條件的詳細資訊,請參閱 [在 AWS Managed Microsoft AD 和自我管理 AD 之間建立信任關係](ms_ad_setup_trust.md)。
## 教學組態
在本教學課程中,我們已建立 AWS Managed Microsoft AD 和自我管理網域。自我管理網路已連線至 AWS Managed Microsoft AD 的 VPC。以下是這兩個目錄的屬性:
### AWS 在 上執行的受管 Microsoft AD AWS
+ 網域名稱 (FQDN):MyManagedAD.example.com
+ NetBIOS 名稱:MyManagedAD
+ DNS 地址:10.0.10.246、10.0.20.121
+ VPC CIDR:10.0.0.0/16
AWS Managed Microsoft AD 位於 VPC ID:vpc-12345678。
### 自我管理或 AWS 受管 Microsoft AD 網域
+ 網域名稱 (FQDN):corp.example.com
+ NetBIOS 名稱:CORP
+ DNS 地址:172.16.10.153
+ 自我管理 CIDR:172.16.0.0/16
**後續步驟**
[步驟 1:準備您自我管理的 AD 域](ms_ad_tutorial_setup_trust_prepare_onprem.md)
# 步驟 1:準備您自我管理的 AD 域
首先,您必須在自我管理 (內部部署) 域上完成幾個必要步驟。
## 設定自我管理防火牆
您必須設定自我管理防火牆,以便將下列連接埠開放給包含 AWS Managed Microsoft AD 之 CIDRs。在本教學課程中,我們在下列連接埠上允許來自 10.0.0.0/16 ( AWS Managed Microsoft AD VPC 的 CIDR 區塊) 的傳入和傳出流量:
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Kerberos 身分驗證
+ TCP/UDP 389 - 輕量型目錄存取通訊協定 (LDAP)
+ TCP 445 - 伺服器訊息區塊 (SMB)
+ TCP 9389 - Active Directory Web Services (ADWS) (*選用* - 如果您想要使用 NetBIOS 名稱而非完整網域名稱,搭配 Amazon WorkDocs 或 Amazon Quick 等 AWS 應用程式進行身分驗證,則需要開啟此連接埠。)
**注意**
不再支援 SMBv1。
您至少需要這些連接埠,才可將 VPC 連線到自我管理目錄。您特定的組態可能需要開啟其他連接埠。
## 確定已啟用 Kerberos 預先驗證
這兩個目錄中的使用者帳戶必須已啟用 Kerberos 預先驗證。這是預設值,但請檢查隨機使用者的屬性以確定沒有任何變更。
**檢視使用者的 Kerberos 設定**
1. 在自我管理的域控制站上,開啟「伺服器管理員」。
1. 在 **Tools** (工具) 選單上,選擇 **Active Directory Users and Computers** (Active Directory 使用者和電腦)。
1. 選擇 **Users (使用者)** 資料夾,開啟內容功能表 (按一下滑鼠右鍵)。選擇適當窗格中所列的任何隨機使用者帳戶。選擇 **Properties (屬性)**。
1. 選擇 **Account** (帳戶) 標籤。在**帳戶選項**清單中,向下捲動並確定 **未**核取*不需要 Kerberos 預先驗證*。
![\[具有帳戶選項的 Corp User Properties 對話方塊不需要反白顯示 Kerberos 預先驗證。\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/kerberos_enabled.png)
## 為您的自我管理域設定 DNS 條件式轉寄站
您必須在每個網域上設定 DNS 條件式轉寄站。在自我管理網域上執行此操作之前,您會先取得一些 Managed Microsoft AD AWS 的相關資訊。
**在您的自我管理域上設定條件式轉寄站**
1. 登入 AWS 管理主控台 並開啟 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)。
1. 在導覽窗格中,選取 **Directories** (目錄)。
1. 選擇 AWS Managed Microsoft AD 的目錄 ID。
1. 在 **Details** (詳細資訊) 頁面,記錄目錄中的 **Directory name** (目錄名稱) 以及 **DNS address** (DNS 地址) 的數值。
1. 現在,返回自我管理域控制站。開啟伺服器管理員。
1. 在**工具**選單上,選擇 **DNS**。
1. 在主控台樹狀目錄中,展開您要設定信任之網域的 DNS 伺服器。我們的伺服器是 WIN-5V70CN7VJ0.corp.example.com。
1. 在主控台樹狀目錄中,選擇**條件式轉寄站**。
1. 在**動作**選單上,選擇**新增條件式轉寄站**。
1. 在 **DNS 網域**中,輸入您先前記下的 AWS Managed Microsoft AD 的完整網域名稱 (FQDN)。在此範例中,FQDN 是 MyManagedAD.example.com。
1. 選擇**主要伺服器的 IP 地址**,然後輸入您稍早記下的 AWS Managed Microsoft AD 目錄的 DNS 地址。在此範例中為 10.0.10.246、10.0.20.121
輸入 DNS 地址之後,您可能會收到「逾時」或「無法解析」錯誤。您通常可以忽略這些錯誤。
![\[新的條件式轉寄站對話方塊,反白顯示 DNS 伺服器的 IP 地址。\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/new_cond_forwarder_diag_box_2.png)
1. 選取**在 Active Directory 中儲存此條件式轉寄站,並複寫如下**。
1. 選取**這個網域中的所有 DNS 伺服器**,然後選擇**確定**。
**後續步驟**
[步驟 2:準備您的 AWS Managed Microsoft AD](ms_ad_tutorial_setup_trust_prepare_mad.md)
# 步驟 2:準備您的 AWS Managed Microsoft AD
現在,讓我們讓您的 AWS Managed Microsoft AD 準備好建立信任關係。下列許多步驟幾乎都與您剛剛在自我管理域方面完成的步驟相同。不過,這次您正在使用 AWS Managed Microsoft AD。
## 設定您的 VPC 子網路和安全群組
您必須允許從自我管理網路到包含 AWS Managed Microsoft AD 的 VPC 的流量。若要這樣做,您需要確保與用來部署 AWS Managed Microsoft AD 的子網路相關聯的 ACLs 和網域控制站上設定的安全群組規則,都允許必要的流量支援信任。
連接埠要求取決於您網域控制器所使用的 Windows Server 以及使用信任的服務或應用程式。在此教學課程中,您需開啟以下連接埠:
**傳入**
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Kerberos 身分驗證
+ UDP 123 - NTP
+ TCP 135 - RPC
+ TCP/UDP 389 - LDAP
+ TCP/UDP 445 - SMB
+ TCP/UDP 464 - Kerberos 身分驗證
+ TCP 636 - LDAPS (透過 TLS/SSL 的 LDAP)
+ TCP 3268-3269 - 通用類別
+ TCP/UDP 49152-65535 - RPC 暫時性連接埠
**注意**
不再支援 SMBv1。
**傳出**
+ ALL
**注意**
您至少需要這些連接埠,才可連線 VPC 和自我管理目錄。您特定的組態可能需要開啟其他連接埠。
**設定 AWS Managed Microsoft AD 網域控制器傳出和傳入規則**
1. 返回 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)。在目錄清單中,記下 AWS Managed Microsoft AD 目錄的目錄 ID。
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Security Groups** (安全群組)。
1. 使用搜尋方塊來搜尋 AWS Managed Microsoft AD 目錄 ID。在搜尋結果中,選取描述為 的安全群組**AWS created security group for *yourdirectoryID* directory controllers**。
![\[在 Amazon VPC 主控台中,系統會反白顯示目錄控制器的安全群組搜尋結果。\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/security-group-search.png)
1. 前往該安全群組的 **Outbound Rules** (傳出規則) 標籤。選擇**編輯規則**,然後選擇**新增規則**。針對新的規則,輸入下列值:
+ **Type** (類型):所有流量
+ **Protocol** (協定):全部
+ **Destination** (目標) 能決定可傳出您網域控制器的流量及該流量傳入的目標。請指定單一 IP 地址,或是以 CIDR 表示法表示的 IP 地址範圍 (例如 203.0.113.5/32)。您也可以指定位在相同區域的另一個安全群組的名稱或 ID。如需詳細資訊,請參閱[了解目錄 AWS 的安全群組組態和使用](ms_ad_best_practices.md#understandsecuritygroup)。
1. 選取**儲存規則**。
![\[在 Amazon VPC 主控台中,編輯目錄控制器安全群組的傳出規則。\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/editing-and-saving-rule.png)
## 確定已啟用 Kerberos 預先驗證
現在,您想要確認 AWS Managed Microsoft AD 中的使用者也已啟用 Kerberos 預先驗證。這與您在自我管理目錄方面完成的程序相同。這是預設值,但請檢查以確定沒有任何變更。
**檢視使用者的 Kerberos 設定**
1. 使用[AWS Managed Microsoft AD Administrator 帳戶和群組許可](ms_ad_getting_started_admin_account.md)網域的 或已委派管理網域中使用者許可的帳戶,登入屬於 AWS Managed Microsoft AD 目錄成員的執行個體。
1. 如果尚未安裝,請安裝 Active Directory 使用者和電腦工具及 DNS 工具。若要了解如何安裝這些工具,請參閱[安裝 AWS Managed Microsoft AD 的 Active Directory 管理工具](ms_ad_install_ad_tools.md)。
1. 開啟伺服器管理員。在 **Tools** (工具) 選單上,選擇 **Active Directory Users and Computers** (Active Directory 使用者和電腦)。
1. 選擇您網域中的 **Users** (使用者) 資料夾。請注意,這是在您的 NetBIOS 名稱下的 **Users** (使用者) 資料夾,而不是在完全合格的網域名稱 (FQDN) 下的 **Users** (使用者) 資料夾。
![\[在 Active Directory 使用者和電腦對話方塊中,使用者資料夾會反白顯示。\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/correct_users_folder.png)
1. 使用者清單中,請按一下滑鼠右鍵,選擇 **Properties** (屬性)。
1. 選擇 **Account** (帳戶) 標籤。在 **Account options** (帳戶選項) 清單中,確認 **Do not require Kerberos preauthentication** (不需要 Kerberos 預先驗證) *未*核取。
**後續步驟**
[步驟 3:建立信任關係](ms_ad_tutorial_setup_trust_create.md)
# 步驟 3:建立信任關係
既然準備工作已完成,最後步驟便要建立信任。首先,在自我管理網域上建立信任,最後在 AWS Managed Microsoft AD 上建立信任。如果您在信任建立程序期間發生任何問題,請參閱「[信任建立狀態原因](ms_ad_troubleshooting_trusts.md)」以取得協助。
## 在您的自我管理 Active Directory 設定信任
在此教學課程中,您會設定雙向樹系信任。但是如果您建立單向樹系信任,請注意您每個網域的信任方向都必須互相配合。例如,如果您在自我管理網域上建立單向傳出信任,則需要在 AWS Managed Microsoft AD 上建立單向傳入信任。
**注意**
AWS Managed Microsoft AD 也支援外部信任。但在此教學課程中,您將建立一個雙向樹系信任。
**在自我管理 Active Directory 中設定信任**
1. 開啟 Server Manager (伺服器管理員),然後在 **Tools** (工具) 選單上,選擇 **Active Directory Domains and Trusts** (Active Directory 網域和信任)。
1. 開啟您網域的內容 (按一下滑鼠右鍵) 選單,然後選擇 **Properties** (屬性)。
1. 選擇 **Trusts** (信任) 標籤,再選擇 **New trust** (新增信任)。輸入 AWS Managed Microsoft AD 的名稱,然後選擇**下一步**。
1. 選擇 **Forest trust** (森林信任)。選擇**下一步**。
1. 選擇 **Two-way** (雙向)。選擇**下一步**。
1. 選擇 **This domain only** (僅限此網域)。選擇**下一步**。
1. 選擇 **Forest-wide authentication** (全森林身分驗證)。選擇**下一步**。
1. 輸入 **Trust password** (信任密碼)。請務必記住此密碼,因為在設定 AWS Managed Microsoft AD 的信任時需要此密碼。
1. 在下一個對話方塊中,確認您的設定,然後選擇 **Next** (下一步)。確認信任已成功建立,並再次選擇 **Next** (下一步)。
1. 選擇 **No, do not confirm the outgoing trust** (否,不要確認傳出信任)。選擇**下一步**。
1. 選擇 **No, do not confirm the incoming trust** (否,不要確認傳入信任)。選擇**下一步**。
## 在 AWS Managed Microsoft AD 目錄中設定信任
最後,您會設定與 AWS Managed Microsoft AD 目錄的樹系信任關係。由於您在自我管理網域上建立了雙向樹系信任,因此您也可以使用 AWS Managed Microsoft AD 目錄建立雙向信任。
**注意**
信任關係是 AWS Managed Microsoft AD 的全域功能。如果您使用 [設定 AWS Managed Microsoft AD 的多區域複寫](ms_ad_configure_multi_region_replication.md),則必須在 [主要區域](multi-region-global-primary-additional.md#multi-region-primary) 中執行下列步驟。變更將自動套用至所有複寫區域。如需詳細資訊,請參閱[全域與區域功能](multi-region-global-region-features.md)。
**在 AWS Managed Microsoft AD 目錄中設定信任**
1. 返回 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)。
1. 在**目錄**頁面上,選擇您的 AWS Managed Microsoft AD ID。
1. 在**目錄詳細資訊**頁面上,執行下列其中一項:
+ 如果**多區域複寫**下顯示多個區域,請選取主要區域,然後選擇**聯網和安全**索引標籤。如需詳細資訊,請參閱[主要區域與其他區域](multi-region-global-primary-additional.md)。
+ 如果**多區域複寫**下沒有顯示任何區域,請選擇**聯網和安全**索引標籤。
1. 在 **Trust relationships (信任關係)** 區段,選擇 **Actions (動作)**,然後選取 **Add trust relationship (新增信任關係)**。
1. 在**新增信任關係**頁面上,指定信任類型。在此例中,我們選擇**林信任**。鍵入自我管理域的 FQDN (在本教學中為 **corp.example.com**)。輸入您在建立自我管理域之信任時使用的同一組信任密碼。指定方向。在此例中,我們選擇**雙向**。
1. 在**條件式轉寄站**欄位中,輸入您自我管理 DNS 伺服器的 IP 地址。在此範例中,請輸入 172.16.10.153。
1. (選用) 選擇**新增另一個 IP 地址**,然後輸入您自我管理 DNS 伺服器的第二個 IP 地址。您最多總共可以指定四個 DNS 伺服器。
1. 選擇**新增**。
恭喜您。您現在在自我管理網域 (corp.example.com://) 與 AWS Managed Microsoft AD (MyManagedAD.example.com). 這兩個網域之間只可設定一項關係。例如,如果您想要將信任方向變更為單向,您需要先刪除這項現有關係,再建立新的關係。
如需詳細資訊,包括驗證或刪除信任的相關說明,請參閱 [在 AWS Managed Microsoft AD 和自我管理 AD 之間建立信任關係](ms_ad_setup_trust.md)。