建立信任關係 - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立信任關係

您可以設定 Microsoft Active Directory 的 AWS Directory Service 與自我管理 (內部部署) 目錄,以及 AWS 雲端中多個 AWS 受管理 Microsoft AD 目錄之間的一個和雙向外部和樹系信任關係。 AWS 受管理的 Microsoft AD 支援所有三個信任關係方向:傳入、傳出和雙向 (雙向)。

如需有關信任關係的詳細資訊,請參閱您想要瞭解的有關 AWS 受管理 Microsoft AD 信任的一切

注意

設定信任關係時,您必須確定您的自我管理目錄與 AWS Directory Service s 保持相容。如需您責任的詳細資訊,請參閱我們的「共同的責任模型」。

AWS 受管理的 Microsoft AD 同時支援外部和樹系信任。如需帶您演練如何建立樹系信任的示範案例,請參閱教學:在 AWS Managed Microsoft AD 和自我管理的 Active Directory 域之間建立信任關係

AWS 企業應用程序需要雙向信任,例如 Amazon Chime QuickSight,Amazon Connect AWS IAM Identity Center WorkDocs,Amazon WorkMail,Amazon WorkSpaces,Amazon 和. AWS Management Console AWS 受管理的 Microsoft AD 必須能夠查詢您自我管理Active Directory中的使用者和群組。

Amazon EC2、Amazon RDS 和 Amazon FSx 將使用單向或雙向信任。

必要條件

建立信任只需要幾個步驟,但您必須先完成幾個必要步驟,才能設定信任。

注意

AWS 受管理的 Microsoft AD 不支援單一標籤網域的信任。

連線到 VPC

如果您要使用自我管理的目錄建立信任關係,則必須先將自我管理網路連線到包含受 AWS 管 Microsoft AD 的 Amazon VPC。您自我管理和 AWS 受管理的 Microsoft AD 網路的防火牆必須開啟的網路連接埠,這些連接埠都必須在Windows伺服器 2008 及更新版本的Microsoft說明文件中列出。

若要使用 NetBIOS 名稱而非完整網域名稱來驗證您的 AWS 應用程式 (例如 Amazon WorkDocs 或 Amazon) QuickSight,您必須允許連接埠 9389。如需有關 Active Directory 連接埠和通訊協定的詳細資訊,請參閱Microsoft說明文件Windows中的服務概觀和網路連接埠需求

您至少需要這些連接埠,才可連線到您的目錄。您特定的組態可能需要開啟其他連接埠。

設定您的 VPC

包含 AWS 受管理 Microsoft AD 的 VPC 人雲端必須具有適當的輸出和輸入規則。

設定您的 VPC 輸出規則
  1. AWS Directory Service 主控台的 [目錄詳細資料] 頁面上,記下您 AWS 受管理的 Microsoft AD 目錄識別碼。

  2. 前往 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  3. 選擇 Security Groups (安全群組)。

  4. 搜尋您 AWS 管理的 Microsoft AD 目錄識別碼。在搜索結果中,選擇描述為「為目錄 ID 目錄控制器AWS 創建安全組」的項目。

    注意

    選取的安全群組是您一開始建立目錄時自動建立的安全群組。

  5. 前往該安全群組的 Outbound Rules (輸出規則) 標籤。依序選取 Edit (編輯) 和 Add another rule (新增其他規則)。針對新的規則,輸入下列值:

    • Type (類型):所有流量

    • Protocol (協定):全部

    • 目標能決定可傳出您域控制站的流量及該流量可傳入您自我管理網路的目標。請指定單一 IP 地址,或是以 CIDR 表示法表示的 IP 地址範圍 (例如 203.0.113.5/32)。您也可以指定位在相同區域的另一個安全群組的名稱或 ID。如需詳細資訊,請參閱 瞭解目錄的 AWS 安全群組組態和使用方式

  6. 選取 Save (儲存)。

啟用 Kerberos 預先身分驗證

您的使用者帳戶必須啟用 Kerberos 預先驗證。如需有關此設定的詳細資訊,請檢閱 Microsoft TechNet 上的預先驗證

為您的自我管理域設定 DNS 條件式轉寄站

您必須在自我管理域上設定 DNS 條件式轉寄站。如需有關條件式轉寄站的詳細資訊,請參閱在 Microsoft 上指派網域名稱 TechNet 的條件式轉寄站。

若要執行下列步驟,您必須具備自我管理域的下列 Windows Server 工具存取權:

  • AD DS 及 AD LDS 工具

  • DNS

在您的自我管理域上設定條件式轉寄站
  1. 首先,您必須獲取有關 AWS 託管 Microsoft AD 的一些信息。登入 AWS Management Console 並開啟 AWS Directory Service 主控台

  2. 在導覽窗格中,選取 Directories (目錄)。

  3. 選擇 AWS 管理 Microsoft AD 的目錄識別碼。

  4. 記下您目錄的完整網域名稱 (FQDN) 和 DNS 地址。

  5. 現在,返回自我管理域控制站。開啟伺服器管理員。

  6. 工具選單上,選擇 DNS

  7. 在主控台樹狀目錄中,展開您要設定信任之網域的 DNS 伺服器。

  8. 在主控台樹狀目錄中,選擇條件式轉寄站

  9. 動作選單上,選擇新增條件式轉寄站

  10. DNS 網域中,輸入 AWS 受管理的 Microsoft AD 的完整網域名稱 (FQDN),這是您先前提到的。

  11. 選擇主要伺服器的 IP 位址,然後輸入您先前所述的 AWS 受管理 Microsoft AD 目錄的 DNS 位址。

    輸入 DNS 地址之後,您可能會收到「逾時」或「無法解析」錯誤。您通常可以忽略這些錯誤。

  12. 選取 Store this conditional forwarder in Active Directory and replicate as follows: All DNS servers in this domain (在 Active Directory 中儲存此條件式轉寄站,並複寫如下:這個網域中的所有 DNS 伺服器)。選擇確定

信任關係密碼

如果您想要建立與現有網域的信任關係,請使用 Windows Server 管理工具設定該網域上的信任關係。當您執行此作業時,請記下所使用的信任密碼。在 AWS 受管理的 Microsoft AD 上設定信任關係時,您將需要使用這個相同的密碼。如需詳細資訊,請參閱管理 Microsoft 上的信任 TechNet。

您現在已準備好在 AWS 受管理的 Microsoft AD 上建立信任關係。

NetBIOS 和域名稱

NetBIOS 和域名稱必須唯一且不能相同,才能建立信任關係。

建立、驗證或刪除信任關係

注意

信任關係是 AWS 管理 Microsoft AD 的全域功能。如果您使用 多區域複製,則必須在 主要區域 中執行下列步驟。變更將自動套用至所有複寫區域。如需詳細資訊,請參閱 全域與區域功能

與 AWS 管理 Microsoft AD 建立信任關係
  1. 開啟 AWS Directory Service 主控台

  2. 在 [目] 頁面上,選擇您的 AWS 受管理 Microsoft AD 識別碼。

  3. 目錄詳細資訊頁面上,執行下列其中一項:

    • 如果多區域複寫下顯示多個區域,請選取主要區域,然後選擇聯網和安全索引標籤。如需詳細資訊,請參閱 主要區域與其他區域

    • 如果多區域複寫下沒有顯示任何區域,請選擇聯網和安全索引標籤。

  4. Trust relationships (信任關係) 區段,選擇 Actions (動作),然後選取 Add trust relationship (新增信任關係)

  5. Add a trust relationship (新增信任關係) 頁面上提供所需的資訊,包括您信任類型、信任網域的完整網域名稱 (FQDN)、信任密碼和信任方向。

  6. (選擇性) 如果您想要只允許授權的使用者存取 AWS 受管理 Microsoft AD 目錄中的資源,您可以選擇性地選擇性驗證核取方塊。如需有關選擇性驗證的一般資訊,請參閱 Microsoft 上信任的安全性考量 TechNet。

  7. 針對條件式轉寄站,輸入您自我管理 DNS 伺服器的 IP 地址。如果您先前已建立條件式轉寄站,您可以輸入自我管理域的 FQDN,而非 DNS 的 IP 地址。

  8. (選用) 選擇新增另一個 IP 地址,然後輸入其他自我管理 DNS 伺服器的 IP 地址。您可以為每個適用的 DNS 伺服器地址 (共四個地址) 重複此步驟。

  9. 選擇新增

  10. 如果您自我管理域的 DNS 伺服器或網路使用公有 (非 RFC 1918) IP 地址空間,請前往 IP 路由區段,選擇動作,然後選擇新增路由。使用 CIDR 格式輸入您 DNS 伺服器或自我管理網路的 IP 地址區塊,例如 203.0.113.0/24。如果您的 DNS 伺服器和自我管理網路都使用 RFC 1918 IP 地址空間,則不需要此步驟。

    注意

    使用公有 IP 地址空間時,請務必不要使用任何 AWS IP 地址範圍,因為這些範圍無法使用。

  11. (選用) 我們建議您在 Add routes (新增路由) 頁面上時,同時選取 Add routes to the security group for this directory's VPC (將路由新增至此目錄 VPC 的安全群組)。這會設定安全群組,如上面的「設定您的 VPC」所詳述。這些安全規則會影響未公開的內部網路界面。如果這個選項無法使用,您會另外看到訊息,指出您已自訂安全群組。

您必須在這兩個網域上設定信任關係。這些關係必須是互補的。例如,如果您在一個網域上建立連出信任,則必須在另一個網域上建立連入信任。

如果您想要建立與現有網域的信任關係,請使用 Windows Server 管理工具設定該網域上的信任關係。

您可以在 AWS 受管理的 Microsoft AD 和各種活動目錄域之間創建多個信任。不過,每對一次只能存在一個信任關係。例如,如果您已有「連入方向」的單向信任,之後想要設定「連出方向」的另一個信任關係,您將需要刪除現有信任關係,再建立新的「雙向」信任。

驗證連出信任關係
  1. 開啟 AWS Directory Service 主控台

  2. 在 [目] 頁面上,選擇您的 AWS 受管理 Microsoft AD 識別碼。

  3. 目錄詳細資訊頁面上,執行下列其中一項:

    • 如果多區域複寫下顯示多個區域,請選取主要區域,然後選擇聯網和安全索引標籤。如需詳細資訊,請參閱 主要區域與其他區域

    • 如果多區域複寫下沒有顯示任何區域,請選擇聯網和安全索引標籤。

  4. Trust relationships (信任關係) 區段,選取您要驗證的信任,選擇 Actions (動作),然後選取 Verify trust relationship (驗證信任關係)

這個過程只驗證雙向信任的傳出方向。 AWS 不支援對傳入信任的驗證。如需有關如何驗證與您自我管理的 Active Directory 之間的信任的詳細資訊,請參閱驗證 Microsoft TechNet 上的信任

刪除現有的信任關係
  1. 開啟 AWS Directory Service 主控台

  2. 在 [目] 頁面上,選擇您的 AWS 受管理 Microsoft AD 識別碼。

  3. 目錄詳細資訊頁面上,執行下列其中一項:

    • 如果多區域複寫下顯示多個區域,請選取主要區域,然後選擇聯網和安全索引標籤。如需詳細資訊,請參閱 主要區域與其他區域

    • 如果多區域複寫下沒有顯示任何區域,請選擇聯網和安全索引標籤。

  4. Trust relationships (信任關係) 區段,選取您要刪除的信任,選擇 Actions (動作),然後選取 Delete trust relationship (刪除信任關係)

  5. 選擇 刪除