本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 AWS Managed Microsoft AD 和自我管理 AD 之間建立信任關係
您可以在 AWS Directory Service for Microsoft Active Directory 和自我管理 (內部部署) 目錄之間,以及在 AWS 雲端的多個 AWS Managed Microsoft AD 目錄之間設定單向和雙向外部和樹系信任關係。 AWS 受管 Microsoft AD 支援這三種信任關係方向:傳入、傳出和雙向 (雙向)。
如需信任關係的詳細資訊,請參閱[有關 AWS Managed Microsoft AD 信任的所有須知](https://aws.amazon.com/blogs//security/everything-you-wanted-to-know-about-trusts-with-aws-managed-microsoft-ad/)。
**注意**
設定信任關係時,您必須確保您的自我管理目錄與 相容 Directory Service。如需您責任的詳細資訊,請參閱我們的「[共同的責任模型](https://aws.amazon.com/compliance/shared-responsibility-model)」。
AWS Managed Microsoft AD 同時支援外部和樹系信任。如需帶您演練如何建立樹系信任的示範案例,請參閱[教學課程:在 AWS Managed Microsoft AD 和自我管理 Active Directory 網域之間建立信任關係](ms_ad_tutorial_setup_trust.md)。
Amazon Chime、Amazon Connect、Quick、 AWS IAM Identity Center、WorkDocs、Amazon WorkMail、Amazon WorkSpaces 和 等 AWS 企業應用程式需要雙向信任 AWS 管理主控台。 AWS 受管 Microsoft AD 必須能夠查詢自我管理 Active Directory 中的使用者和群組。
您可以啟用選擇性身分驗證,以便只有 AWS 應用程式特定的服務帳戶可以查詢您的自我管理 Active Directory。如需詳細資訊,請參閱[增強 AWS 應用程式與 AWS Managed Microsoft AD 整合的安全性](https://aws.amazon.com//blogs/modernizing-with-aws/enhance-security-of-your-aws-app-integration-with-aws-managed-microsoft-ad/)。
Amazon EC2、Amazon RDS 和 Amazon FSx 將使用單向或雙向信任。
## 先決條件
建立信任只需要幾個步驟,但您必須先完成幾個必要步驟,才能設定信任。
**注意**
AWS Managed Microsoft AD 不支援與[單一標籤網域的](https://support.microsoft.com/en-us/help/2269810/microsoft-support-for-single-label-domains)信任。
### 連線到 VPC
如果您要建立與自我管理目錄的信任關係,您必須先將自我管理網路連線到包含 AWS Managed Microsoft AD 的 Amazon VPC。自我管理網路和 AWS Managed Microsoft AD 網路的防火牆必須開啟Microsoft文件中 [Windows Server 2008 和更新版本](https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts#windows-server-2008-and-later-versions)中列出的網路連接埠。
若要使用 NetBIOS 名稱而非完整網域名稱,搭配 Amazon WorkDocs 或 Amazon Quick 等 AWS 應用程式進行身分驗證,您必須允許連接埠 9389。如需 Active Directory 連接埠和通訊協定的詳細資訊,請參閱 Microsoft 文件中的 [的服務概觀和網路連接埠需求Windows](https://learn.microsoft.com/en-US/troubleshoot/windows-server/networking/service-overview-and-network-port-requirements#system-services-ports)。
您至少需要這些連接埠,才可連線到您的目錄。您特定的組態可能需要開啟其他連接埠。
### 設定您的 VPC
包含 AWS Managed Microsoft AD 的 VPC 必須具有適當的傳出和傳入規則。
**設定您的 VPC 輸出規則**
1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)的**目錄詳細資訊**頁面上,記下您的 AWS Managed Microsoft AD 目錄 ID。
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 選擇 **Security Groups** (安全群組)。
1. 搜尋您的 AWS Managed Microsoft AD 目錄 ID。在搜尋結果中,選取描述為「為*目錄 ID* 目錄控制站AWS 建立安全群組」的項目。
**注意**
選取的安全群組是您一開始建立目錄時自動建立的安全群組。
1. 前往該安全群組的 **Outbound Rules** (輸出規則) 標籤。依序選取 **Edit** (編輯) 和 **Add another rule** (新增其他規則)。針對新的規則,輸入下列值:
+ **Type** (類型):所有流量
+ **Protocol** (協定):全部
+ **目標**能決定可傳出您域控制站的流量及該流量可傳入您自我管理網路的目標。請指定單一 IP 地址,或是以 CIDR 表示法表示的 IP 地址範圍 (例如 203.0.113.5/32)。您也可以指定位在相同區域的另一個安全群組的名稱或 ID。如需詳細資訊,請參閱[了解目錄 AWS 的安全群組組態和使用](ms_ad_best_practices.md#understandsecuritygroup)。
1. 選取**儲存**。
### 啟用 Kerberos 預先身分驗證
您的使用者帳戶必須啟用 Kerberos 預先驗證。如需此設定的詳細資訊,請檢閱 Microsoft TechNet 上的 [Preauthentication](http://technet.microsoft.com/en-us/library/cc961961.aspx)。
### 為您的自我管理域設定 DNS 條件式轉寄站
您必須在自我管理域上設定 DNS 條件式轉寄站。如需條件式轉寄站的詳細資訊,請參閱 Microsoft TechNet 上的 [Assign a Conditional Forwarder for a Domain Name](https://technet.microsoft.com/en-us/library/cc794735.aspx)。
若要執行下列步驟,您必須具備自我管理域的下列 Windows Server 工具存取權:
+ AD DS 及 AD LDS 工具
+ DNS
**在您的自我管理域上設定條件式轉寄站**
1. 首先,您必須取得一些 Managed AWS Microsoft AD 的相關資訊。登入 AWS 管理主控台 並開啟 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)。
1. 在導覽窗格中,選取 **Directories** (目錄)。
1. 選擇 AWS Managed Microsoft AD 的目錄 ID。
1. 記下您目錄的完整網域名稱 (FQDN) 和 DNS 地址。
1. 現在,返回自我管理域控制站。開啟伺服器管理員。
1. 在**工具**選單上,選擇 **DNS**。
1. 在主控台樹狀目錄中,展開您要設定信任之網域的 DNS 伺服器。
1. 在主控台樹狀目錄中,選擇**條件式轉寄站**。
1. 在**動作**選單上,選擇**新增條件式轉寄站**。
1. 在 **DNS 網域**中,輸入您先前記下的 AWS Managed Microsoft AD 的完整網域名稱 (FQDN)。
1. 選擇**主要伺服器的 IP 地址**,然後輸入您稍早記下的 AWS Managed Microsoft AD 目錄的 DNS 地址。
輸入 DNS 地址之後,您可能會收到「逾時」或「無法解析」錯誤。您通常可以忽略這些錯誤。
1. 選取 **Store this conditional forwarder in Active Directory and replicate as follows: All DNS servers in this domain** (在 Active Directory 中儲存此條件式轉寄站,並複寫如下:這個網域中的所有 DNS 伺服器)。選擇**確定**。
### 信任關係密碼
如果您想要建立與現有網域的信任關係,請使用 Windows Server 管理工具設定該網域上的信任關係。當您執行此作業時,請記下所使用的信任密碼。在 AWS Managed Microsoft AD 上設定信任關係時,您將需要使用此相同的密碼。如需詳細資訊,請參閱 Microsoft TechNet 上的 [Managing Trusts](https://technet.microsoft.com/en-us/library/cc771568.aspx)。
您現在可以在 AWS Managed Microsoft AD 上建立信任關係。
### NetBIOS 和域名稱
NetBIOS 和域名稱必須唯一且不能相同,才能建立信任關係。
## 建立、驗證或刪除信任關係
**注意**
信任關係是 AWS Managed Microsoft AD 的全域功能。如果您使用 [設定 AWS Managed Microsoft AD 的多區域複寫](ms_ad_configure_multi_region_replication.md),則必須在 [主要區域](multi-region-global-primary-additional.md#multi-region-primary) 中執行下列步驟。變更將自動套用至所有複寫區域。如需詳細資訊,請參閱[全域與區域功能](multi-region-global-region-features.md)。
**建立與 AWS Managed Microsoft AD 的信任關係**
1. 開啟 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)。
1. 在**目錄**頁面上,選擇您的 AWS Managed Microsoft AD ID。
1. 在**目錄詳細資訊**頁面上,執行下列其中一項:
+ 如果**多區域複寫**下顯示多個區域,請選取主要區域,然後選擇**聯網和安全**索引標籤。如需詳細資訊,請參閱[主要區域與其他區域](multi-region-global-primary-additional.md)。
+ 如果**多區域複寫**下沒有顯示任何區域,請選擇**聯網和安全**索引標籤。
1. 在 **Trust relationships (信任關係)** 區段,選擇 **Actions (動作)**,然後選取 **Add trust relationship (新增信任關係)**。
1. 在 **Add a trust relationship (新增信任關係)** 頁面上提供所需的資訊,包括您信任類型、信任網域的完整網域名稱 (FQDN)、信任密碼和信任方向。
1. (選用) 如果您想要僅允許授權使用者存取 AWS Managed Microsoft AD 目錄中的資源,您可以選擇**選擇性身分驗證**核取方塊。如需有關選擇性身分驗證的詳細資訊,請參閱 Microsoft TechNet 上的 [Security Considerations for Trusts (信任的安全考量事項)](https://technet.microsoft.com/pt-pt/library/cc755321(v=ws.10).aspx)。
1. 針對**條件式轉寄站**,輸入您自我管理 DNS 伺服器的 IP 地址。如果您先前已建立條件式轉寄站,您可以輸入自我管理域的 FQDN,而非 DNS 的 IP 地址。
1. (選用) 選擇**新增另一個 IP 地址**,然後輸入其他自我管理 DNS 伺服器的 IP 地址。您可以為每個適用的 DNS 伺服器地址 (共四個地址) 重複此步驟。
1. 選擇**新增**。
1. 如果您自我管理域的 DNS 伺服器或網路使用公有 (非 RFC 1918) IP 地址空間,請前往 **IP 路由**區段,選擇**動作**,然後選擇**新增路由**。使用 CIDR 格式輸入您 DNS 伺服器或自我管理網路的 IP 地址區塊,例如 203.0.113.0/24。如果您的 DNS 伺服器和自我管理網路都使用 RFC 1918 IP 地址空間,則不需要此步驟。
**注意**
使用公有 IP 地址空間時,請務必不要使用任何 [AWS IP 地址範圍](https://ip-ranges.amazonaws.com/ip-ranges.json),因為這些範圍無法使用。
1. (選用) 我們建議您在 **Add routes (新增路由)** 頁面上時,同時選取 **Add routes to the security group for this directory's VPC (將路由新增至此目錄 VPC 的安全群組)**。這會設定安全群組,如上面的「設定您的 VPC」所詳述。這些安全規則會影響未公開的內部網路界面。如果這個選項無法使用,您會另外看到訊息,指出您已自訂安全群組。
您必須在這兩個網域上設定信任關係。這些關係必須是互補的。例如,如果您在一個網域上建立連出信任,則必須在另一個網域上建立連入信任。
如果您想要建立與現有網域的信任關係,請使用 Windows Server 管理工具設定該網域上的信任關係。
您可以在 AWS Managed Microsoft AD 和各種 Active Directory 網域之間建立多個信任。不過,每對一次只能存在一個信任關係。例如,如果您在「傳入方向」中有現有的單向信任,然後想要在「傳出方向」中設定另一個信任關係,您將需要刪除現有的信任關係,並建立新的「雙向」信任。
**驗證連出信任關係**
1. 開啟 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)。
1. 在**目錄**頁面上,選擇您的 AWS Managed Microsoft AD ID。
1. 在**目錄詳細資訊**頁面上,執行下列其中一項:
+ 如果**多區域複寫**下顯示多個區域,請選取主要區域,然後選擇**聯網和安全**索引標籤。如需詳細資訊,請參閱[主要區域與其他區域](multi-region-global-primary-additional.md)。
+ 如果**多區域複寫**下沒有顯示任何區域,請選擇**聯網和安全**索引標籤。
1. 在 **Trust relationships (信任關係)** 區段,選取您要驗證的信任,選擇 **Actions (動作)**,然後選取 **Verify trust relationship (驗證信任關係)**。
此程序只會驗證雙向信任的傳出方向。 AWS 不支援驗證傳入信任。如需如何驗證您自我管理 Active Directory 之連入或連出信任的詳細資訊,請參閱 Microsoft TechNet 上的 [Verify a Trust](https://technet.microsoft.com/en-us/library/cc753821.aspx) 相關內容。
**刪除現有的信任關係**
1. 開啟 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)。
1. 在**目錄**頁面上,選擇您的 AWS Managed Microsoft AD ID。
1. 在**目錄詳細資訊**頁面上,執行下列其中一項:
+ 如果**多區域複寫**下顯示多個區域,請選取主要區域,然後選擇**聯網和安全**索引標籤。如需詳細資訊,請參閱[主要區域與其他區域](multi-region-global-primary-additional.md)。
+ 如果**多區域複寫**下沒有顯示任何區域,請選擇**聯網和安全**索引標籤。
1. 在 **Trust relationships (信任關係)** 區段,選取您要刪除的信任,選擇 **Actions (動作)**,然後選取 **Delete trust relationship (刪除信任關係)**。
1. 選擇**刪除**。