Erstellen einer Vertrauensstellung - AWS Directory Service
VoraussetzungenErstellen der Vertrauensstellung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen einer Vertrauensstellung

Sie können ein- und bidirektionale externe Vertrauensstellungen und Gesamtstruktur-Vertrauensstellungen zwischen Ihrem AWS Directory Service für Microsoft Active Directory und selbstverwalteten (lokalen) Verzeichnissen sowie zwischen mehreren AWS verwalteten Microsoft AD-Verzeichnissen in der Cloud konfigurieren. AWS AWS Managed Microsoft AD unterstützt alle drei Richtungen von Vertrauensbeziehungen: Eingehend, Ausgehend und Bidirektional (bidirektional).

Weitere Informationen zur Vertrauensstellung finden Sie unter Alles, was Sie über Vertrauensstellungen mit AWS Managed Microsoft AD wissen wollten.

Anmerkung

Beim Einrichten von Vertrauensstellungen müssen Sie sicherstellen, dass Ihr selbstverwaltetes Verzeichnis mit AWS Directory Service s kompatibel ist und bleibt. Weitere Informationen zu Ihren Verantwortlichkeiten finden Sie in unserem Modell für übergreifende Verantwortlichkeit.

AWS Managed Microsoft AD unterstützt sowohl externe als auch Forest-Trusts. Ein Beispielszenario, das Sie durch das Erstellen einer Gesamtstruktur-Vertrauensstellung führt, finden Sie unter Tutorial: Eine Vertrauensstellung zwischen Ihrem AWS Managed Microsoft AD und Ihrer selbstverwalteten Active-Directory-Domain erstellen.

Für AWS Unternehmens-Apps wie Amazon Chime, Amazon Connect, Amazon, Amazon, Amazon und die ist eine bidirektionale Vertrauensstellung WorkSpaces erforderlich. QuickSight AWS IAM Identity Center WorkDocs WorkMail AWS Management Console AWS Managed Microsoft AD muss in der Lage sein, die Benutzer und Gruppen in Ihrem selbstverwalteten Active Directory System abzufragen.

Amazon EC2, Amazon RDS und Amazon FSx funktionieren entweder mit einer unidirektionalen oder einer bidirektionalen Vertrauensstellung.

Voraussetzungen

Eine Vertrauensstellung zu erstellen erfordert nur wenige Schritte, jedoch müssen Sie vor deren Einrichtung zuerst verschiedene vorbereitende Maßnahmen durchführen.

Anmerkung

AWS Managed Microsoft AD unterstützt kein Vertrauen in Single Label Domains.

Verbinden mit der VPC

Wenn Sie eine Vertrauensbeziehung mit Ihrem selbstverwalteten Verzeichnis aufbauen, müssen Sie zuerst Ihr selbstverwaltetes Netzwerk mit der Amazon VPC verbinden, die Ihr AWS verwaltetes Microsoft AD enthält. In der Firewall für Ihre selbstverwalteten und AWS verwalteten Microsoft AD-Netzwerke müssen die Netzwerkports geöffnet sein, die in der Microsoft Dokumentation zu WindowsServer 2008 und späteren Versionen aufgeführt sind.

Um Ihren NetBIOS-Namen anstelle Ihres vollständigen Domainnamens für die Authentifizierung mit Ihren AWS Anwendungen wie Amazon WorkDocs oder Amazon zu verwenden QuickSight, müssen Sie Port 9389 zulassen. Weitere Informationen zu Active Directory-Ports und -Protokollen finden Sie in der Dokumentation unter Serviceübersicht und Netzwerk-Port-Anforderungen für Windows. Microsoft

Das ist das Minimum an notwendigen Ports, um eine Verbindung mit Ihrem Verzeichnis herstellen zu können. Ihre spezifische Konfiguration erfordert möglicherweise die Öffnung zusätzlicher Ports.

Konfigurieren Ihrer VPC

Die VPC, die Ihr AWS verwaltetes Microsoft AD enthält, muss über die entsprechenden Regeln für ausgehenden und eingehenden Datenverkehr verfügen.

Konfigurieren Ihrer ausgehenden VPC-Regeln

  1. Notieren Sie sich in der AWS Directory Service Konsole auf der Seite mit den Verzeichnisdetails Ihre AWS verwaltete Microsoft AD-Verzeichnis-ID.

  2. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  3. Wählen Sie Security Groups.

  4. Suchen Sie nach Ihrer AWS Managed Microsoft AD-Verzeichnis-ID. Wählen Sie in den Suchergebnissen das Element mit der Beschreibung "Sicherheitsgruppe für Verzeichnis-ID-Verzeichniscontroller AWS erstellt“ aus.

    Anmerkung

    Die ausgewählte Sicherheitsgruppe wird automatisch erzeugt, wenn Sie Ihr Verzeichnis zum ersten Mal erstellen.

  5. Wählen Sie die Registerkarte Outbound Rules dieser Sicherheitsgruppe. Wählen Sie Edit und Add another rule. Geben Sie die folgenden Werte für die neue Regel ein:

    • Typ: All Traffic (Gesamter Datenverkehr)

    • Protocol: All (Alle)

    • Die Zieladresse bestimmt den Datenverkehr, der Ihre Domain-Controller verlassen kann, und wohin er in Ihrem selbstverwalteten Netzwerk gesendet werden kann. Geben Sie eine einzelne IP-Adresse oder einen IP-Adressbereich in CIDR-Notation an (z. B. 203.0.113.5/32). Sie können auch den Namen oder die ID einer anderen Sicherheitsgruppe in derselben Region angeben. Weitere Informationen finden Sie unter Machen Sie sich mit der Konfiguration und Verwendung der AWS Sicherheitsgruppen in Ihrem Verzeichnis vertraut.

  6. Wählen Sie Speichern.

Kerberos-Vorabauthentifizierung aktivieren

Auf Ihren Benutzerkonten muss die Kerberos-Vorabauthentifizierung aktiviert sein. Weitere Informationen zu dieser Einstellung finden Sie unter Vorauthentifizierung bei Microsoft TechNet.

DNS-bedingte Weiterleitunge in Ihrer selbstverwalteten Domain konfigurieren

Sie müssen DNS bedingte Weiterleitungen auf Ihrer selbstverwalteten Domain einrichten. Einzelheiten zu bedingten Weiterleitungen finden Sie unter Zuweisen einer bedingten Weiterleitung TechNet für einen Domainnamen auf Microsoft.

Um die folgenden Schritte ausführen zu können, benötigen Sie Zugriff auf die folgenden Windows-Server-Tools Ihrer selbstverwalteten Domain:

  • AD DS- und AD LDS-Tools

  • DNS

So konfigurieren Sie bedingte Weiterleitungen auf Ihre selbstverwaltete Domain

  1. Zunächst müssen Sie einige Informationen zu Ihrem AWS Managed Microsoft AD erhalten. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Directory Service -Konsole.

  2. Wählen Sie im Navigationsbereich Directories aus.

  3. Wählen Sie die Verzeichnis-ID Ihres AWS Managed Microsoft AD.

  4. Notieren Sie sich den vollqualifizierten Domainnamen (FQDN) und die DNS-Adressen Ihres Verzeichnisses.

  5. Kehren Sie jetzt zu Ihrem selbstverwalteten Domain-Controller zurück. Öffnen Sie Server Manager.

  6. Wählen Sie im Menü Tools den Eintrag DNS.

  7. Erweitern Sie in der Konsolenstruktur den DNS-Server der Domain, für die Sie die Vertrauensstellung einrichten.

  8. Wählen Sie in der Konsolenbaumstruktur Conditional Forwarders.

  9. Wählen Sie im Menü Action den Eintrag New conditional forwarder.

  10. Geben Sie unter DNS-Domäne den vollqualifizierten Domänennamen (FQDN) Ihres AWS verwalteten Microsoft AD ein, den Sie zuvor notiert haben.

  11. Wählen Sie die IP-Adressen der Masterserver und geben Sie die DNS-Adressen Ihres AWS verwalteten Microsoft AD-Verzeichnisses ein, die Sie zuvor notiert haben.

    Nach der Eingabe der DNS-Adressen ist es möglich, einen "Timeout" oder "nicht lösbar" Fehler zu erhalten. Sie können diese Fehler in der Regel ignorieren.

  12. Markieren Sie das Kontrollkästchen Store this conditional forwarder in Active Directory, and replicate as follows: All DNS servers in this domain. Wählen Sie OK aus.

Passwort der Vertrauensstellung

Wenn Sie eine Vertrauensstellung mit einer bestehenden Domain erstellen, können Sie die Domain mit den Windows Server Verwaltungs-Tools dort einrichten. Notieren Sie währenddessen das Passwort, das Sie für die Vertrauensstellung benutzen. Sie müssen dasselbe Passwort verwenden, wenn Sie die Vertrauensbeziehung auf dem AWS Managed Microsoft AD einrichten. Weitere Informationen finden Sie unter Managing Trusts auf Microsoft TechNet.

Sie sind jetzt bereit, die Vertrauensbeziehung in Ihrem AWS Managed Microsoft AD einzurichten.

NetBIOS und Domainnamen

Die NetBIOS- und Domainnamen müssen eindeutig sein und dürfen nicht identisch sein, um eine Vertrauensstellung aufzubauen.

Eine Vertrauensbeziehung erstellen, überprüfen oder löschen

Anmerkung

Vertrauensbeziehungen sind eine globale Funktion von AWS Managed Microsoft AD. Wenn Sie Multi-Region-Replikation verwenden, müssen die folgenden Verfahren in Primäre -Region ausgeführt werden. Die Änderungen werden automatisch auf alle replizierten Regionen angewendet. Weitere Informationen finden Sie unter Globale und regionale Features.

Um eine Vertrauensbeziehung mit Ihrem AWS Managed Microsoft AD aufzubauen

  1. Öffnen Sie die AWS Directory Service -Konsole.

  2. Wählen Sie auf der Seite Verzeichnisse Ihre AWS verwaltete Microsoft AD-ID aus.

  3. Führen Sie auf der Seite Verzeichnisdetails einen der folgenden Schritte aus:

    • Wenn Sie unter Multi-Region-Replikation mehrere Regionen angezeigt bekommen, wählen Sie die primäre Region aus und wählen dann die Registerkarte Netzwerk und Sicherheit. Weitere Informationen finden Sie unter Primäre Regionen im Vergleich zu zusätzlichen Regionen.

    • Wenn unter Multi-Region-Replikation keine Regionen angezeigt werden, wählen Sie die Registerkarte Netzwerk und Sicherheit.

  4. Wählen Sie im Abschnitt Trust relationships (Vertrauensstellungen) die Option Actions (Aktionen) und dann Add trust relationship (Vertrauensstellung hinzufügen aus.

  5. Geben Sie auf der Seite Eine Vertrauensstellung hinzufügen die erforderlichen Informationen ein, einschließlich Vertrauenstyps, des voll ständig qualifizierten Domainnamens (FQDN) Ihrer vertrauenswürdigen Domain, des Vertrauenspassworts und der Richtung der Vertrauensstellung.

  6. (Optional) Wenn Sie nur autorisierten Benutzern den Zugriff auf Ressourcen in Ihrem AWS verwalteten Microsoft AD-Verzeichnis ermöglichen möchten, können Sie optional das Kontrollkästchen Selektive Authentifizierung aktivieren. Allgemeine Informationen zur selektiven Authentifizierung finden Sie unter Sicherheitsaspekte für Trusts bei Microsoft TechNet.

  7. Geben Sie für Conditional forwarder die IP-Adresse Ihres selbstverwalteten DNS-Servers ein. Wenn Sie zuvor bereits bedingte Weiterleitungen erstellt haben, können Sie den FQDN Ihrer selbstverwalteten Domain anstelle einer DNS IP-Adresse eingeben.

  8. (Optional) Wählen Sie Weitere IP-Adresse hinzufügen und geben Sie die IP-Adresse eines zusätzlichen selbstverwalteten DNS-Servers ein. Sie können diesen Schritt für jede anzuwendende DNS Server-Adresse bis zu insgesamt vier Adressen wiederholen.

  9. Wählen Sie Hinzufügen aus.

  10. Wenn der DNS-Server oder das Netzwerk Ihrer selbstverwalteten Domain einer öffentlichen IP-Adressumgebung (nicht RFC 1918) verwendet, wählen Sie die Registerkarte IP-Routing, Aktionen und dann Route hinzufügen aus. Geben Sie den IP-Adressblock Ihres DNS-Servers oder selbstverwalteten Netzwerks im CIDR-Format ein, z. B. 203.0.113.0/24. Dieser Schritt ist nicht erforderlich, wenn Ihr DNS-Server und Ihr selbstverwaltetes Netzwerk RFC 1918 IP-Adressumgebungen verwenden.

    Anmerkung

    Wenn Sie eine öffentlichen IP-Adressumgebung verwenden, stellen Sie sicher, dass Sie keine der AWS -IP-Adressbereiche verwenden, da diese nicht genutzt werden können.

  11. (Optional) Wir empfehlen, dass Sie auf der Seite Add routes (Routen hinzufügen) auch Add routes to the security group for this directory's VPC (Routen zur Sicherheitsgruppe für die VPC dieses Verzeichnisses hinzufügen) auswählen. So konfigurieren Sie die Sicherheitsgruppen wie oben unter „Konfigurieren Ihrer VPC” beschrieben. Diese Sicherheitsregeln betreffen eine interne Netzwerkschnittstelle, die nicht öffentlich zugänglich ist. Wenn diese Option nicht verfügbar ist, wird stattdessen eine Meldung angezeigt, dass Sie Ihre Sicherheitsgruppen bereits angepasst haben.

Sie müssen die Vertrauensstellung auf beiden Domains einrichten. Die Stellungen müssen wechselseitig sein. Wenn Sie beispielsweise eine ausgehende Vertrauensstellung in einer Domain erstellen, benötigen Sie auf der anderen eine eingehende.

Wenn Sie eine Vertrauensstellung mit einer bestehenden Domain erstellen, können Sie die Domain mit den Windows Server Verwaltungs-Tools dort einrichten.

Sie können mehrere Vertrauensstellungen zwischen Ihrem AWS verwalteten Microsoft AD und verschiedenen Active Directory-Domänen einrichten. Jedoch kann zeitgleich nur eine Vertrauensstellung pro Paar bestehen. Wenn Sie beispielsweise über eine bestehende, einseitige Vertrauensstellung in „Eingehender Richtung” verfügen und dann eine weitere „Ausgehender Richtung” einrichten möchten, müssen Sie die bestehende Vertrauensstellung löschen und eine neue „wechselseitige” erstellen.

Um eine ausgehende Vertrauensstellung zu überprüfen:

  1. Öffnen Sie die AWS Directory Service -Konsole.

  2. Wählen Sie auf der Seite Verzeichnisse Ihre AWS verwaltete Microsoft AD-ID aus.

  3. Führen Sie auf der Seite Verzeichnisdetails einen der folgenden Schritte aus:

    • Wenn Sie unter Multi-Region-Replikation mehrere Regionen angezeigt bekommen, wählen Sie die primäre Region aus und wählen dann die Registerkarte Netzwerk und Sicherheit. Weitere Informationen finden Sie unter Primäre Regionen im Vergleich zu zusätzlichen Regionen.

    • Wenn unter Multi-Region-Replikation keine Regionen angezeigt werden, wählen Sie die Registerkarte Netzwerk und Sicherheit.

  4. Wählen Sie im Abschnitt Trust relationships (Vertrauensstellungen) die Vertrauensstellung aus, die Sie überprüfen möchten, dann Actions (Aktionen) und schließlich Verify trust relationship (Vertrauensstellung überprüfen).

Bei diesem Vorgang wird nur die ausgehende Richtung einer bidirektionalen Vertrauensstellung überprüft. AWS unterstützt nicht die Überprüfung eingehender Trusts. Weitere Informationen zum Überprüfen einer Vertrauensstellung für oder von Ihrem selbstverwalteten Active Directory finden Sie unter Verify a Trust on Microsoft TechNet.

Um eine bestehende Vertrauensstellung zu löschen:

  1. Öffnen Sie die AWS Directory Service -Konsole.

  2. Wählen Sie auf der Seite Verzeichnisse Ihre AWS verwaltete Microsoft AD-ID aus.

  3. Führen Sie auf der Seite Verzeichnisdetails einen der folgenden Schritte aus:

    • Wenn Sie unter Multi-Region-Replikation mehrere Regionen angezeigt bekommen, wählen Sie die primäre Region aus und wählen dann die Registerkarte Netzwerk und Sicherheit. Weitere Informationen finden Sie unter Primäre Regionen im Vergleich zu zusätzlichen Regionen.

    • Wenn unter Multi-Region-Replikation keine Regionen angezeigt werden, wählen Sie die Registerkarte Netzwerk und Sicherheit.

  4. Wählen Sie im Abschnitt Trust relationships (Vertrauensstellungen) die Beziehung aus, die Sie löschen möchten, dann Actions (Aktionen) und schließlich Delete trust relationship (Vertrauensstellung löschen).

  5. Wählen Sie Löschen.