建立信任關係 - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立信任關係

您可以在 AWS Directory Service for Microsoft Active Directory 和自我管理 (內部部署) 目錄之間,以及 AWS 雲端中的不同 AWS Managed Microsoft AD 目錄之間設定單向和雙向外部和林信任關係。AWSManaged Microsoft AD 支援三種信任關係方向:連入、連出及雙向。

如需有關信任關係的詳細資訊,請參閱您想要瞭解的有關AWS受管理 Microsoft AD 信任的一切

注意

設定信任關係時,您必須確定自我管理目錄仍與 AWS Directory Service 保持相容。如需您責任的詳細資訊,請參閱我們的「共同的責任模型」。

AWS Managed Microsoft AD 支援外部和林信任。如需帶您演練如何建立樹系信任的示範案例,請參閱教學:在 AWS Managed Microsoft AD 和自我管理的 Active Directory 域之間建立信任關係

AWS企業應用程序需要雙向信任,例如 Amazon Chime QuickSight,Amazon Connect AWS IAM Identity Center WorkDocs,Amazon WorkMail,Amazon WorkSpaces,Amazon 和. AWS Management Console AWS 受管理的 Microsoft AD 必須能夠查詢您自我管理的活動目錄中的使用者和群組。

Amazon EC2、Amazon RDS 和 Amazon FSx 將使用單向或雙向信任。

先決條件

建立信任只需要幾個步驟,但您必須先完成幾個必要步驟,才能設定信任。

注意

AWS Managed Microsoft AD 不支援信任單一標籤域

連線到 VPC

如果您要建立與自我管理目錄的信任關係,則必須先將自我管理網路連線至包含 AWS Managed Microsoft AD 的 VPC。自我管理和 AWS Managed Microsoft AD 網路的防火牆必須開啟 Windows Server 2008 及更高版本中列出的網路連接埠。

您至少需要這些連接埠,才可連線到您的目錄。您特定的組態可能需要開啟其他連接埠。

設定您的 VPC

含有您 AWS Managed Microsoft AD 的 VPC 必須具有適當的輸出和輸入規則。

設定您的 VPC 輸出規則
  1. AWS Directory Service 主控台目錄詳細資訊頁面上,記下您的 AWS Managed Microsoft AD 目錄 ID。

  2. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  3. 選擇 Security Groups (安全群組)。

  4. 搜尋您的 AWS Managed Microsoft AD 目錄 ID。在搜尋結果中,選取描述為 "AWS created security group for directory ID directory controllers" 的項目。

    注意

    選取的安全群組是您一開始建立目錄時自動建立的安全群組。

  5. 前往該安全群組的 Outbound Rules (輸出規則) 標籤。依序選取 Edit (編輯) 和 Add another rule (新增其他規則)。針對新的規則,輸入下列值:

    • Type (類型):所有流量

    • Protocol (協定):全部

    • 目標能決定可傳出您域控制站的流量及該流量可傳入您自我管理網路的目標。請指定單一 IP 地址,或是以 CIDR 表示法表示的 IP 地址範圍 (例如 203.0.113.5/32)。您也可以指定位在相同區域的另一個安全群組的名稱或 ID。如需詳細資訊,請參閱了解您目錄的 AWS 安全群組設定與用法

  6. 選取 Save (儲存)。

啟用 Kerberos 預先身分驗證

您的使用者帳戶必須啟用 Kerberos 預先驗證。如需有關此設定的詳細資訊,請檢閱 Microsoft TechNet 上的預先驗證

為您的自我管理域設定 DNS 條件式轉寄站

您必須在自我管理域上設定 DNS 條件式轉寄站。如需有關條件式轉寄站的詳細資訊,請參閱在 Microsoft 上指派網域名稱 TechNet 的條件式轉寄站。

若要執行下列步驟,您必須具備自我管理域的下列 Windows Server 工具存取權:

  • AD DS 及 AD LDS 工具

  • DNS

在您的自我管理域上設定條件式轉寄站
  1. 首先,您必須取得 AWS Managed Microsoft AD 的一些相關資訊。登入 AWS Management Console 並開啟 AWS Directory Service 主控台

  2. 在導覽窗格中,選取 Directories (目錄)。

  3. 選擇您的 AWS Managed Microsoft AD 目錄的目錄 ID。

  4. 記下您目錄的完整網域名稱 (FQDN) 和 DNS 地址。

  5. 現在,返回自我管理域控制站。開啟伺服器管理員。

  6. 工具選單上,選擇 DNS

  7. 在主控台樹狀目錄中,展開您要設定信任之網域的 DNS 伺服器。

  8. 在主控台樹狀目錄中,選擇條件式轉寄站

  9. 動作選單上,選擇新增條件式轉寄站

  10. DNS 域中,輸入您稍早記下之 AWS Managed Microsoft AD 的完整域名稱 (FQDN)。

  11. 選擇主要伺服器的 IP 地址,然後輸入您稍早記下之 AWS Managed Microsoft AD 目錄的 DNS 地址。

    輸入 DNS 地址之後,您可能會收到「逾時」或「無法解析」錯誤。您通常可以忽略這些錯誤。

  12. 選取 Store this conditional forwarder in Active Directory and replicate as follows: All DNS servers in this domain (在 Active Directory 中儲存此條件式轉寄站,並複寫如下:這個網域中的所有 DNS 伺服器)。選擇 OK (確定)。

信任關係密碼

如果您想要建立與現有網域的信任關係,請使用 Windows Server 管理工具設定該網域上的信任關係。當您執行此作業時,請記下所使用的信任密碼。當您設定 AWS Managed Microsoft AD 上的信任關係時,將需要使用此相同的密碼。如需詳細資訊,請參閱管理 Microsoft 上的信任 TechNet。

您現在可以在 AWS Managed Microsoft AD 上建立信任關係。

NetBIOS 和域名稱

NetBIOS 和域名稱必須唯一且不能相同,才能建立信任關係。

建立、驗證或刪除信任關係

注意

信任關係是 AWS Managed Microsoft AD 的全域功能。如果您使用 多區域複製,則必須在 主要區域 中執行下列步驟。變更將自動套用至所有複寫區域。如需詳細資訊,請參閱全域與區域功能

建立與 AWS Managed Microsoft AD 的信任關係
  1. 開啟 AWS Directory Service 主控台

  2. 目錄頁面上,選擇您的 AWS Managed Microsoft AD ID。

  3. 目錄詳細資訊頁面上,執行下列其中一項:

    • 如果多區域複寫下顯示多個區域,請選取主要區域,然後選擇聯網和安全索引標籤。如需詳細資訊,請參閱主要區域與其他區域

    • 如果多區域複寫下沒有顯示任何區域,請選擇聯網和安全索引標籤。

  4. Trust relationships (信任關係) 區段,選擇 Actions (動作),然後選取 Add trust relationship (新增信任關係)

  5. Add a trust relationship (新增信任關係) 頁面上提供所需的資訊,包括您信任類型、信任網域的完整網域名稱 (FQDN)、信任密碼和信任方向。

  6. (選用) 如果您只想允許擁有授權的使用者存取您 AWS Managed Microsoft AD 目錄中的資源,可以選擇性選擇選擇性身分驗證核取方塊。如需有關選擇性驗證的一般資訊,請參閱 Microsoft 上信任的安全性考量 TechNet。

  7. 針對條件式轉寄站,輸入您自我管理 DNS 伺服器的 IP 地址。如果您先前已建立條件式轉寄站,您可以輸入自我管理域的 FQDN,而非 DNS 的 IP 地址。

  8. (選用) 選擇新增另一個 IP 地址,然後輸入其他自我管理 DNS 伺服器的 IP 地址。您可以為每個適用的 DNS 伺服器地址 (共四個地址) 重複此步驟。

  9. 選擇 Add (新增)。

  10. 如果您自我管理域的 DNS 伺服器或網路使用公有 (非 RFC 1918) IP 地址空間,請前往 IP 路由區段,選擇動作,然後選擇新增路由。使用 CIDR 格式輸入您 DNS 伺服器或自我管理網路的 IP 地址區塊,例如 203.0.113.0/24。如果您的 DNS 伺服器和自我管理網路都使用 RFC 1918 IP 地址空間,則不需要此步驟。

    注意

    使用公有 IP 地址空間時,請務必不要使用任何 AWS IP 地址範圍,因為這些範圍無法使用。

  11. (選用) 我們建議您在 Add routes (新增路由) 頁面上時,同時選取 Add routes to the security group for this directory's VPC (將路由新增至此目錄 VPC 的安全群組)。這會設定安全群組,如上面的「設定您的 VPC」所詳述。這些安全規則會影響未公開的內部網路界面。如果這個選項無法使用,您會另外看到訊息,指出您已自訂安全群組。

您必須在這兩個網域上設定信任關係。這些關係必須是互補的。例如,如果您在一個網域上建立連出信任,則必須在另一個網域上建立連入信任。

如果您想要建立與現有網域的信任關係,請使用 Windows Server 管理工具設定該網域上的信任關係。

您可以在 AWS Managed Microsoft AD 與各種 Active Directory 域之間建立多個信任。不過,每對一次只能存在一個信任關係。例如,如果您已有「連入方向」的單向信任,之後想要設定「連出方向」的另一個信任關係,您將需要刪除現有信任關係,再建立新的「雙向」信任。

驗證連出信任關係
  1. 開啟 AWS Directory Service 主控台

  2. 目錄頁面上,選擇您的 AWS Managed Microsoft AD ID。

  3. 目錄詳細資訊頁面上,執行下列其中一項:

    • 如果多區域複寫下顯示多個區域,請選取主要區域,然後選擇聯網和安全索引標籤。如需詳細資訊,請參閱主要區域與其他區域

    • 如果多區域複寫下沒有顯示任何區域,請選擇聯網和安全索引標籤。

  4. Trust relationships (信任關係) 區段,選取您要驗證的信任,選擇 Actions (動作),然後選取 Verify trust relationship (驗證信任關係)

此過程僅驗證雙向信任的傳出方向。AWS 不支援傳入信任的驗證。如需有關如何驗證與您自我管理的 Active Directory 之間的信任的詳細資訊,請參閱驗證 Microsoft TechNet 上的信任

刪除現有的信任關係
  1. 開啟 AWS Directory Service 主控台

  2. 目錄頁面上,選擇您的 AWS Managed Microsoft AD ID。

  3. 目錄詳細資訊頁面上,執行下列其中一項:

    • 如果多區域複寫下顯示多個區域,請選取主要區域,然後選擇聯網和安全索引標籤。如需詳細資訊,請參閱主要區域與其他區域

    • 如果多區域複寫下沒有顯示任何區域,請選擇聯網和安全索引標籤。

  4. Trust relationships (信任關係) 區段,選取您要刪除的信任,選擇 Actions (動作),然後選取 Delete trust relationship (刪除信任關係)

  5. 選擇刪除