Étape 2 : création des approbations - AWS Directory Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 2 : création des approbations

Dans cette section, vous créez deux approbations de forêts. Une approbation est créée à partir du domaine Active Directory de votre instance EC2 et l'autre à partir de votre AWS Managed Microsoft AD in AWS.

Confiance bidirectionnelle entre corp.example.com et example.local
Pour créer la confiance entre votre domaine EC2 et votre AWS Managed Microsoft AD

  1. Connectez-vous à example.local.

  2. Ouvrez le Gestionnaire de serveurs et choisissez DNS dans l'arborescence de la console. Prenez note de l'adresse IPv4 indiquée pour le serveur. Vous en aurez besoin au cours de la procédure suivante lors de la création d'un redirecteur conditionnel depuis corp.example.com vers l'annuaire example.local.

  3. Dans le menu Outils, choisissez Domaines et approbations Active Directory.

  4. Dans l'arborescence de la console, cliquez avec le bouton droit de la souris sur example.local, puis choisissez Propriétés.

  5. Dans l'onglet Approbations, choisissez Nouvelle approbation, puis Suivant.

  6. Sur la page Trust Name (Nom d'approbation), saisissez corp.example.com, puis choisissez Next (Suivant).

  7. Sur la page Type d'approbation, choisissez Approbation de forêt, puis Suivant.

    Note

    AWS Managed Microsoft AD prend également en charge les approbations externes. Toutefois, dans le cadre de ce didacticiel, vous allez créer une approbation de forêt birectionnelle.

  8. Sur la page Direction d'approbation, choisissez Bidirectionnelle, puis Suivant.

    Note

    Si vous décidez ultérieurement d'utiliser une approbation unidirectionnelle à la place, assurez-vous que les directions d'approbation sont correctement configurées (sortant sur le domaine d'approbation, entrant sur le domaine approuvé). Pour de plus amples informations générales, veuillez consulter Understanding trust direction (français non garanti) sur le site web de Microsoft.

  9. Sur la page Sens d'approbation, choisissez Ce domaine uniquement, puis Suivant.

  10. Sur la page Niveau d'authentification d'approbations sortantes, choisissez Authentification pour toutes les ressources de la forêt, puis Suivant.

    Note

    Bien que Selective authentication (Authentification sélective) soit une option, pour la simplicité de ce didacticiel, nous vous recommandons de ne pas l'activer ici. Lorsqu'elle est configurée, elle restreint l'accès sur une approbation externe ou de forêt aux seuls utilisateurs d'un domaine ou d'une forêt approuvé ayant reçu explicitement des autorisations d'authentification sur des objets informatiques (ordinateurs de ressources) résidant dans le domaine ou la forêt d'approbation. Pour de plus amples informations, veuillez consulter Configuring selective authentication settings (français non garanti).

  11. Sur la page Mot de passe d'approbation, saisissez le mot de passe d'approbation deux fois, puis choisissez Suivant. Vous utiliserez ce mot de passe au cours de la procédure suivante.

  12. Sur la page Fin de la sélection des approbations, passez en revue les résultats, puis choisissez Suivant.

  13. Sur la page Fin de la création des approbations, passez en revue les résultats, puis choisissez Suivant.

  14. Sur la page Confirmer l'approbation sortante, choisissez Non, ne pas confirmer l'approbation sortante. Ensuite, sélectionnez Next

  15. Sur la pageConfirmer l'approbation entrante, choisissez Non, ne pas confirmer l'approbation entrante. Ensuite, sélectionnez Next

  16. Sur la page Fin de l'Assistant Nouvelle approbation, choisissez Terminer.

Note

Les relations de confiance sont une fonctionnalité globale de AWS Managed Microsoft AD. Si vous utilisez Configuration de la réplication multirégionale pour AWS Managed Microsoft AD, les procédures suivantes doivent être effectuées dans Région principale. Les modifications seront appliquées automatiquement à toutes les régions répliquées. Pour plus d’informations, consultez Caractéristiques mondiales et régionales.

Pour créer un lien de confiance entre votre AWS Managed Microsoft AD et votre domaine EC2

  1. Ouvrez la AWS Directory Service console.

  2. Choisissez l'annuaire corp.example.com.

  3. Sur la page Détails de l'annuaire, procédez de l'une des manières suivantes :

    • Si plusieurs régions apparaissent sous Réplication sur plusieurs régions, sélectionnez la région principale, puis cliquez sur l'onglet Mise en réseau et sécurité. Pour plus d’informations, consultez Régions principales et régions supplémentaires.

    • Si aucune région n'apparaît sous Réplication sur plusieurs régions, choisissez l'onglet Réseau et sécurité.

  4. Dans la section Trust relationships (Relations d'approbation), choisissez Actions, puis sélectionnez Add trust relationship (Ajouter une relation d'approbation).

  5. Dans la boîte de dialogue Ajouter une relation d'approbation, procédez comme suit :

    • Sous Trust type (Type d'approbation) sélectionnez Forest trust (Approbation de forêt.

      Note

      Assurez-vous que le type d'approbation que vous choisissez ici correspond au même type d'approbation configuré dans la procédure précédente (pour créer l'approbation de votre domaine EC2 vers votre Microsoft AD AWS géré).

    • Pour Existing or new remote domain name (Nom de domaine distant existant ou nouveau), tapez exemple.local.

    • Pour Mot de passe d'approbation, saisissez le même mot de passe que vous avez fourni au cours de la procédure précédente.

    • Dans Trust direction (Direction d'approbation), sélectionnez Two-Way (Bidirectionnelle).

      Note

      • Si vous décidez ultérieurement d'utiliser une approbation unidirectionnelle à la place, assurez-vous que les directions d'approbation sont correctement configurées (sortant sur le domaine d'approbation, entrant sur le domaine approuvé). Pour de plus amples informations générales, veuillez consulter Understanding trust direction (français non garanti) sur le site web de Microsoft.

      • Bien que Selective authentication (Authentification sélective) soit une option, pour la simplicité de ce didacticiel, nous vous recommandons de ne pas l'activer ici. Lorsqu'elle est configurée, elle restreint l'accès sur une approbation externe ou de forêt aux seuls utilisateurs d'un domaine ou d'une forêt approuvé ayant reçu explicitement des autorisations d'authentification sur des objets informatiques (ordinateurs de ressources) résidant dans le domaine ou la forêt d'approbation. Pour de plus amples informations, veuillez consulter Configuring selective authentication settings (français non garanti).

    • Dans Conditional forwarder (Redirecteur conditionnel), saisissez l'adresse IP de votre serveur DNS dans la forêt example.local (dont vous avez pris note au cours de la procédure précédente).

      Note

      Un redirecteur conditionnel est un serveur DNS sur un réseau qui est utilisé pour transférer des requêtes DNS en fonction du nom de domaine DNS dans la requête. Par exemple, un serveur DNS peut être configuré pour transférer toutes les requêtes qu'il reçoit pour des noms se terminant par widgets.example.com à l'adresse IP d'un serveur DNS spécifique ou aux adresses IP de plusieurs serveurs DNS.

  6. Choisissez Ajouter.