本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 教學課程：從 AWS Managed Microsoft AD 建立對 Amazon EC2 上自我管理 Active Directory 安裝的信任
<a name="ms_ad_tutorial_test_lab_trust"></a>

在本教學課程中，您將了解如何在[基本教學](ms_ad_tutorial_test_lab_base.md)課程中建立的 AWS Directory Service for Microsoft Active Directory 樹系之間建立信任。您也將了解如何在 Amazon EC2 的 Windows Server 上建立新的原生 Active Directory 樹系。如下圖所示，您從本教學課程建立的實驗室是設定完整的 AWS Managed Microsoft AD 測試實驗室時所需的第二個建置區塊。您可以使用測試實驗室來測試純雲端或混合雲端型 AWS 解決方案。

您應該只需要依此教學建立一次。之後，您可以視需要新增選用教學以取得更多體驗。

![\[從 Microsoft Active Directory 建立信任到自我管理 Active Directory 的步驟：設定您的環境、建立 Microsoft Active Directory、部署 Amazon EC2 執行個體，以及測試實驗室。\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust.png)


**[步驟 1：設定建立信任的環境](microsoftadtruststep1.md)**  
您需要準備好 Amazon EC2 環境，才能在新的 Active Directory 樹系與您於[基礎教學](ms_ad_tutorial_test_lab_base.md)中所建立的 AWS Managed Microsoft AD 樹系之間建立信任。若要執行此作業，請先建立 Windows Server 2019 伺服器、將該伺服器升級為網域控制站，然後相應地設定您的 VPC。

**[步驟 2：建立信任](microsoftadtruststep2.md)**  
在此步驟中，您會在 Amazon EC2 中託管的新建立 Active Directory 樹系與 中的 AWS Managed Microsoft AD 樹系之間建立雙向樹系信任關係 AWS。

**[步驟 3：驗證信任](microsoftadtruststep3.md)**  
最後，身為管理員，您可以使用 Directory Service 主控台來驗證新的信任是否正常運作。

# 步驟 1：設定建立信任的環境
<a name="microsoftadtruststep1"></a>

在本節中，您會設定 Amazon EC2 環境、部署新的樹系，以及準備 VPC 以進行信任 AWS。

![\[具有 Amazon VPC、子網路和網際網路閘道的 Amazon EC2 環境，可部署新的樹系並建立信任關係。\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)


## 建立 Windows Server 2019 EC2 執行個體
<a name="createkeypair1"></a>

使用下列程序，在 Amazon EC2 中建立 Windows Server 2019 成員伺服器。

**建立 Windows Server 2019 EC2 執行個體**

1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。

1. 在 Amazon EC2 主控台中，選擇**啟動執行個體**。

1. 在 **Step 1 (步驟 1)** 頁面上，於清單中找到 **Microsoft Windows Server 2019 Base - ami-*xxxxxxxxxxxxxxxxx***。然後選擇**選取**。

1. 在 **Step 2** (步驟 2) 頁面上，選取 **t2.large**，然後選擇 **Next: Configure Instance Details** (下一步：設定執行個體詳細資訊)。

1. 在 **Step 3** (步驟 3) 頁面上，執行下列動作：
   + 針對**網路**，選取 **vpc-*xxxxxxxxxxxxxxxxx* AWS-OnPrem-VPC01** (您之前針對[基礎教學](microsoftadbasestep1.md#createvpc)中設定的值)。
   + 針對**子網路**，選取**子網路-*xxxxxxxxxxxxxxxxxxxxx* \$1 AWS-OnPrem-VPC01-Subnet01 \$1 AWS-OnPrem-VPC01**。
   + 針對 **Auto-assign Public IP** (自動指派公有 IP) 清單，選擇 **Enable** (啟用) (如果此子網路設定未預設為 **Enable** (啟用))。
   + 將其他設定保留為其預設值。
   + 選擇 **Next: Add Storage (下一步：新增儲存體)**。

1. 在 **Step 4** (步驟 4) 頁面上，保留預設設定，然後選擇 **Next: Add Tags** (下一步：新增標籤)。

1. 在 **Step 5** (步驟 5) 頁面上，選擇 **Add Tag** (新增標籤)。在 **Key (金鑰)** 下，輸入 **example.local-DC01**，然後選擇 **Next: Configure Security Group (下一步：設定安全群組)**。

1. 在**步驟 6** 頁面上，選擇**選取現有安全群組**並選取 **AWS DS RDP 安全群組** (即您之前在[基礎教學](microsoftadbasestep1.md#createsecuritygroup)中設定的值)，然後選擇**檢閱和啟動**以檢閱您的執行個體。

1. 在 **Step 7** (步驟 7) 頁面上，檢閱頁面，然後選擇 **Launch** (啟動)。

1. 在 **Select an existing key pair or create a new key pair** (選取現有金鑰對或建立新金鑰對) 對話方塊中，執行下列動作：
   + 選擇 **Choose an existing key pair** (選擇現有金鑰對)。
   + 在**選取金鑰對**下，選擇 **AWS-DS-KP** (您之前在[基礎教學](microsoftadbasestep1.md#createkeypair2)中設定的值)。
   + 選取 **I acknowledge...** (我確認...) 核取方塊。
   + 選擇 **Launch Instances** (啟動執行個體)。

1. 選擇 **檢視執行個體**返回 Amazon EC2 主控台並檢視部署的狀態。

## 將您的伺服器升級為域控制站
<a name="promoteserver"></a>

您必須為新樹系建立第一個網域控制站並加以部署，才能建立信任。在此過程中，您會設定新的 Active Directory 樹系、安裝 DNS，並設定此伺服器使用本機 DNS 伺服器進行名稱解析。您必須在此程序結束時重新啟動伺服器。

**注意**  
如果您想要在 中建立網域控制站 AWS ，以使用內部部署網路複寫，您必須先手動將 EC2 執行個體加入內部部署網域。之後，您可以將伺服器升級為網域控制站。

**將您的伺服器升級為網域控制站**

1. 在 Amazon EC2 主控台中，選擇**執行個體**並選取您剛建立的執行個體，然後選擇**連線**。

1. 在 **Connect To Your Instance** (連線到您的執行個體) 對話方塊中，選擇 **Download Remote Desktop File** (下載遠端桌面檔)。

1. 在 **Windows Security (Windows 安全性)** 對話方塊中，輸入 Windows Server 電腦的本機管理員登入資料進行登入 (例如 **administrator**)。如果您還沒有本機管理員密碼，請回到 Amazon EC2 主控台，在執行個體上按一下滑鼠右鍵，然後選擇**取得 Windows 密碼**。導覽至您的 `AWS DS KP.pem` 檔案或您個人的 `.pem` 金鑰，然後選擇 **Decrypt Password (解密密碼)**。

1. 從**開始**選單，選擇**伺服器管理員**。

1. 在**儀表板**中，選擇**新增角色及功能**。

1. 在**新增角色及功能精靈**中，選擇**下一步**。

1. 在**選取安裝類型**頁面上，選擇**角色型或功能型安裝**，然後選擇**下一步**。

1. 在**選取目的地伺服器**頁面上，確定已選取本機伺服器，然後選擇**下一步**。

1. 在**選取伺服器角色**頁面上，選取 **Active Directory Domain Services**。在**新增角色及功能精靈**對話方塊中，確認已選取**包含管理工具 (如適用)** 核取方塊。選擇**新增功能**，然後選擇**下一步**。

1. 在**選取功能**頁面上，選擇**下一步**。

1. 在 **Active Directory Domain Services** 頁面上，選擇**下一步**。

1. 在**確認安裝選項**頁面上，選擇**安裝**。

1. 安裝 Active Directory 二進位檔案之後，選擇**關閉**。

1. 當伺服器管理員開啟時，尋找**管理**文字頂端附近的標記。當此標記變成黃色時，即表示伺服器已準備好升級。

1. 選擇黃色標記，然後選擇**將此伺服器升級為網域控制站**。

1. 在**部署設定**頁面上，選擇**新增樹系**。在**根網域名稱**中，輸入 **example.local**，然後選擇 ** 下一步**。

1. 在**網域控制站選項**頁面上，執行下列動作：
   + 在**樹系功能等級**和**網域功能等級**中，選擇 **Windows Server 2016**。
   + 在**指定網域控制器功能**下，確認已同時選取 **DNS 伺服器**和**全域目錄 (GC)**。
   + 輸入目錄服務還原模式 (DSRM) 密碼並確認。然後選擇**下一步**。

1. 在 **DNS 選項**頁面上，忽略委派的相關警告，然後選擇**下一步**。

1. 在 **Additional options (其他選項)** 頁面上，確定 **EXAMPLE** 已列為 NetBios 網域名稱。

1. 在**路徑**頁面上，保留預設值，然後選擇**下一步**。

1. 在**檢閱選項**頁面上，選擇**下一步**。伺服器現在會檢查以確認是否滿足網域控制站的所有必要條件。您可能會看到一些警告，但可以放心地忽略。

1. 選擇 **Install (安裝)**。一旦安裝完成，伺服器會重新啟動並成為可運作的網域控制站。

## 設定您的 VPC
<a name="configurevpc1"></a>

下列三個程序將引導您完成設定 VPC 以連線到 AWS的步驟。

**設定您的 VPC 輸出規則**

1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)中，記下您先前在[基礎教學](microsoftadbasestep2.md)課程中建立的 AWS corp.example.com Managed Microsoft AD 目錄 ID。

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Security Groups** (安全群組)。

1. 搜尋您的 AWS Managed Microsoft AD 目錄 ID。在搜尋結果中，選取描述為 **AWS created security group for d-*xxxxxx* directory controllers** 的項目。
**注意**  
此安全群組會在您一開始建立目錄時自動建立。

1. 在該安全群組下，選擇 **Outbound Rules** (輸出規則) 標籤。依序選擇 **Edit** (編輯) 和 **Add another rule** (新增其他規則)，然後新增下列值：
   + 針對 **Type** (類型)，選擇 **All Traffic** (所有流量)。
   + 針對 **Destination (目標)**，輸入 **0.0.0.0/0**。
   + 將其他設定保留為其預設值。
   + 選取**儲存**。

**確認已啟用 Kerberos 預先驗證**

1. 在 **example.local** 網域控制站上，開啟**伺服器管理員**。

1. 在 **Tools** (工具) 選單上，選擇 **Active Directory Users and Computers** (Active Directory 使用者和電腦)。

1. 導覽至**使用者**目錄，在任何使用者上按一下滑鼠右鍵並選取**內容**，然後選擇**帳戶**標籤。在**帳戶選項**清單中，向下捲動並確定 **未**選取**不需要 Kerberos 預先驗證**。

1. 對 **corp.example.com-mgmt** 執行個體中的 **corp.example.com** 網域執行相同步驟。

**設定 DNS 條件式轉寄站**
**注意**  
條件式轉寄站是網路上的 DNS 伺服器，可根據查詢中的 DNS 網域名稱來轉寄 DNS 查詢。例如，您可以設定 DNS 伺服器，將其收到的名稱以 widgets.example.com 結尾的所有查詢轉寄至特定 DNS 伺服器的 IP 地址，或轉寄至多個 DNS 伺服器的 IP 地址。

1. 開啟 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)。

1. 在導覽窗格中，選擇**目錄**。

1. 選取 AWS Managed Microsoft AD 的**目錄 ID**。

1. 記下您目錄的完整域名稱 (FQDN) **corp.example.com** 和 DNS 地址。

1. 現在，返回您的 **example.local** 網域控制站，然後開啟**伺服器管理員**。

1. 在**工具**選單上，選擇 **DNS**。

1. 在主控台樹狀目錄中，展開您要設定信任之網域的 DNS 伺服器，然後導覽至**條件式轉寄站**。

1. 在**條件式轉寄站**上按一下滑鼠右鍵，然後選擇**新增條件式轉寄站**。

1. 在 DNS 網域中，輸入 **corp.example.com**。

1. 在**主要伺服器的 IP 地址**下，選擇 **<Click here to add ...>**，輸入 AWS Managed Microsoft AD 目錄的第一個 DNS 地址 （您在先前程序中記下的），然後按 **Enter** 鍵。對第二個 DNS 地址執行相同步驟。輸入 DNS 地址之後，您可能會收到「逾時」或「無法解析」錯誤。您通常可以忽略這些錯誤。

1. 選取 **Store this conditional forwarder in Active Directory, and replicate as follows** (在 Active Directory 中儲存此條件式轉寄站，並複寫如下) 核取方塊。在下拉式選單中，選擇**這個樹系中的所有 DNS 伺服器**，然後選擇**確定**。

# 步驟 2：建立信任
<a name="microsoftadtruststep2"></a>

在本節中，您會建立兩個不同的樹系信任。一個信任是從 EC2 執行個體上的 Active Directory 網域建立，另一個信任則從 中的 AWS Managed Microsoft AD 建立 AWS。

![\[corp.example.com 與 example.local 之間的雙向信任\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust_twoway.png)


**建立從 EC2 網域到 AWS Managed Microsoft AD 的信任**

1. 登入 **example.local**。

1. 開啟**伺服器管理員**，然後在主控台樹狀目錄中選擇 **DNS**。記下所列出的伺服器 IPv4 位址。在下一個程序中，當您建立從 **corp.example.com** 到 **example.local** 目錄的條件式轉寄站時會需要用到。

1. 在**工具**選單中，選擇 **Active Directory 網域及信任**。

1. 在主控台樹狀目錄中，在 **example.local** 上按一下滑鼠右鍵，然後選擇**內容**。

1. 在**信任**標籤上，選擇**新增信任**，然後選擇**下一步**。

1. 在**信任名稱**頁面上，輸入 **corp.example.com**，然後選擇 **下一步**。

1. 在**信任類型**頁面上，選擇**樹系信任**，然後選擇**下一步**。
**注意**  
AWS Managed Microsoft AD 也支援外部信任。但在此教學課程中，您將建立一個雙向樹系信任。

1. 在**信任方向**頁面上，選擇**雙向**，然後選擇**下一步**。
**注意**  
如果您稍後決定改用單向信任來嘗試此操作，請確定信任方向已正確設定 (信任網域上的傳出、信任網域上的傳入)。如需一般資訊，請參閱 Microsoft 網站上的 [Understanding trust direction](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)) 一文。

1. 在**信任方**頁面上，選擇**只建立於這個網域**，然後選擇**下一步**。

1. 在**連出信任驗證等級**頁面上，選擇 **Forest-wide authentication** (驗證整個樹系)，然後選擇**下一步**。
**注意**  
雖然選項中有 **Selective authentication (選擇性身分驗證)**，但為了簡化本教學課程，我們建議您不要在此處啟用。設定時，只有受信任網域或樹系中已明確授與位於信任網域或樹系中的電腦物件 (資源電腦) 身分驗證許可的使用者，才能透過外部或樹系信任進行存取。如需詳細資訊，請參閱 [Configuring selective authentication settings](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)) 一文。

1. 在**信任密碼**頁面上，輸入兩次信任密碼，然後選擇**下一步**。您將會在下一個程序中使用此相同的密碼。

1. 在**信任選取完成**頁面上，檢閱結果，然後選擇**下一步**。

1. 在**信任建立完成**頁面上，檢閱結果，然後選擇**下一步**。

1. 在**確認連出信任**頁面上，選擇**否，不要確認連出信任**。然後選擇**下一步**

1. 在**確認連入信任**頁面上，選擇**否，不要確認連入信任**。然後選擇**下一步**

1. 在**完成新增信任精靈**頁面上，選擇**完成**。

**注意**  
信任關係是 AWS Managed Microsoft AD 的全域功能。如果您使用 [設定 AWS Managed Microsoft AD 的多區域複寫](ms_ad_configure_multi_region_replication.md)，則必須在 [主要區域](multi-region-global-primary-additional.md#multi-region-primary) 中執行下列步驟。變更將自動套用至所有複寫區域。如需詳細資訊，請參閱[全域與區域功能](multi-region-global-region-features.md)。

**從 AWS Managed Microsoft AD 建立對 EC2 網域的信任**

1. 開啟 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)。

1. 選擇 **corp.example.com** 目錄。

1. 在**目錄詳細資訊**頁面上，執行下列其中一項：
   + 如果**多區域複寫**下顯示多個區域，請選取主要區域，然後選擇**聯網和安全**索引標籤。如需詳細資訊，請參閱[主要區域與其他區域](multi-region-global-primary-additional.md)。
   + 如果**多區域複寫**下沒有顯示任何區域，請選擇**聯網和安全**索引標籤。

1. 在 **Trust relationships (信任關係)** 區段，選擇 **Actions (動作)**，然後選取 **Add trust relationship (新增信任關係)**。

1. 在 **Add a trust relationship** (新增信任關係) 對話方塊中，執行下列動作：
   + 在 **Trust type (信任類型)** 下，選取 **Forest trust (樹系信任)**。
**注意**  
請確定您在此處選擇的**信任類型**與先前程序中設定的相同信任類型相符 （建立從 EC2 網域到 AWS Managed Microsoft AD 的信任）。
   + 針對 **Existing or new remote domain name (現有或新的遠端網域名稱)**，請輸入 **example.local**。
   + 針對 **Trust password** (信任密碼)，輸入您在上一個程序中提供的相同密碼。
   + 在 **Trust direction (信任方向)**中，選取 **Two-way (雙向)**。
**注意**  
如果您稍後決定改用單向信任來嘗試此操作，請確定信任方向已正確設定 (信任網域上的傳出、信任網域上的傳入)。如需一般資訊，請參閱 Microsoft 網站上的 [Understanding trust direction](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)) 一文。
雖然選項中有 **Selective authentication (選擇性身分驗證)**，但為了簡化本教學課程，我們建議您不要在此處啟用。設定時，只有受信任網域或樹系中已明確授與位於信任網域或樹系中的電腦物件 (資源電腦) 身分驗證許可的使用者，才能透過外部或樹系信任進行存取。如需詳細資訊，請參閱 [Configuring selective authentication settings](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)) 一文。
   + 針對 **Conditional forwarder (條件式轉寄站)**，請輸入 **example.local** 樹系中 DNS 伺服器的 IP 地址 (您在上一個程序中記下的值)。
**注意**  
條件式轉寄站是網路上的 DNS 伺服器，可根據查詢中的 DNS 網域名稱來轉寄 DNS 查詢。例如，您可以設定 DNS 伺服器，將其收到的名稱以 widgets.example.com 結尾的所有查詢轉寄至特定 DNS 伺服器的 IP 地址，或轉寄至多個 DNS 伺服器的 IP 地址。

1. 選擇**新增**。

# 步驟 3：驗證信任
<a name="microsoftadtruststep3"></a>

在本節中，您會測試是否已在 AWS 與 Amazon EC2 上的 Active Directory 之間成功設定信任。

**驗證信任**

1. 開啟 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)。

1. 選擇 **corp.example.com** 目錄。

1. 在**目錄詳細資訊**頁面上，執行下列其中一項：
   + 如果**多區域複寫**下顯示多個區域，請選取主要區域，然後選擇**聯網和安全**索引標籤。如需詳細資訊，請參閱[主要區域與其他區域](multi-region-global-primary-additional.md)。
   + 如果**多區域複寫**下沒有顯示任何區域，請選擇**聯網和安全**索引標籤。

1. 在 **Trust relationships (信任關係)** 區段，選擇您剛才建立的信任關係。

1. 選擇 **Actions** (動作)，然後選擇 **Verify trust relationship** (驗證信任關係)。

一旦驗證完成，您應該會看到 **Status** (狀態) 欄下顯示 **Verified** (已驗證)。

恭喜您完成此教學！您現在擁有可運作的多樹系 Active Directory 環境，您可以從中開始測試各種案例。我們規劃在 2018 年推出更多測試實驗室教學，請不時回來查看是否有任何新教學。