步驟 3:建立信任關係 - AWS Directory Service
在您的自我管理 Active Directory 設定信任在 AWS Managed Microsoft AD 目錄中設定信任

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 3:建立信任關係

既然準備工作已完成,最後步驟便要建立信任。首先,您在自我管理網域上建立信任,最後在 AWS Managed Microsoft AD 上建立信任。如果您在信任建立程序期間發生任何問題,請參閱「信任建立狀態原因」以取得協助。

在您的自我管理 Active Directory 設定信任

在此教學課程中,您會設定雙向樹系信任。但是如果您建立單向樹系信任,請注意您每個網域的信任方向都必須互相配合。例如,如果您在自我管理網域上建立單向傳出信任,則需要在 AWS Managed Microsoft AD 上建立單向傳入信任。

注意

AWS Managed Microsoft AD 也支援外部信任。但在此教學課程中,您將建立一個雙向樹系信任。

在自我管理 Active Directory 中設定信任

  1. 開啟 Server Manager (伺服器管理員),然後在 Tools (工具) 選單上,選擇 Active Directory Domains and Trusts (Active Directory 網域和信任)。

  2. 開啟您網域的內容 (按一下滑鼠右鍵) 選單,然後選擇 Properties (屬性)。

  3. 選擇 Trusts (信任) 標籤,再選擇 New trust (新增信任)。輸入 AWS Managed Microsoft AD 的名稱,然後選擇下一步

  4. 選擇 Forest trust (森林信任)。選擇 Next (下一步)

  5. 選擇 Two-way (雙向)。選擇 Next (下一步)

  6. 選擇 This domain only (僅限此網域)。選擇 Next (下一步)

  7. 選擇 Forest-wide authentication (全森林身分驗證)。選擇 Next (下一步)

  8. 輸入 Trust password (信任密碼)。請務必記住此密碼,因為在設定 AWS Managed Microsoft AD 的信任時,您需要此密碼。

  9. 在下一個對話方塊中,確認您的設定,然後選擇 Next (下一步)。確認信任已成功建立,並再次選擇 Next (下一步)。

  10. 選擇 No, do not confirm the outgoing trust (否,不要確認傳出信任)。選擇 Next (下一步)

  11. 選擇 No, do not confirm the incoming trust (否,不要確認傳入信任)。選擇 Next (下一步)

在 AWS Managed Microsoft AD 目錄中設定信任

最後,您可以設定與 AWS Managed Microsoft AD 目錄的樹系信任關係。由於您在自我管理網域上建立雙向樹系信任,因此您也可以使用 AWS Managed Microsoft AD 目錄建立雙向信任。

注意

信任關係是 AWS Managed Microsoft AD 的全域功能。如果您使用 設定 AWS Managed Microsoft AD 的多區域複寫,則必須在 主要區域 中執行下列步驟。變更將自動套用至所有複寫區域。如需詳細資訊,請參閱全域與區域功能

在 AWS Managed Microsoft AD 目錄中設定信任

  1. 返回 AWS Directory Service 主控台

  2. 目錄頁面上,選擇您的 AWS Managed Microsoft AD ID。

  3. 目錄詳細資訊頁面上,執行下列其中一項:

    • 如果多區域複寫下顯示多個區域,請選取主要區域,然後選擇聯網和安全索引標籤。如需詳細資訊,請參閱主要區域與其他區域

    • 如果多區域複寫下沒有顯示任何區域,請選擇聯網和安全索引標籤。

  4. Trust relationships (信任關係) 區段,選擇 Actions (動作),然後選取 Add trust relationship (新增信任關係)

  5. 新增信任關係頁面上,指定信任類型。在此例中,我們選擇林信任。鍵入自我管理域的 FQDN (在本教學中為 corp.example.com)。輸入您在建立自我管理域之信任時使用的同一組信任密碼。指定方向。在此例中,我們選擇雙向

  6. 條件式轉寄站欄位中,輸入您自我管理 DNS 伺服器的 IP 地址。在此範例中,請輸入 172.16.10.153。

  7. (選用) 選擇新增另一個 IP 地址,然後輸入您自我管理 DNS 伺服器的第二個 IP 地址。您最多總共可以指定四個 DNS 伺服器。

  8. 選擇新增

恭喜您。您現在在自我管理網域 (corp.example.com) 與 AWS Managed Microsoft AD (MyManagedAD.example.com). 這兩個網域之間只可設定一項關係。例如,如果您想要將信任方向變更為單向,您需要先刪除這項現有關係,再建立新的關係。

如需詳細資訊,包括驗證或刪除信任的相關說明,請參閱 在 AWS Managed Microsoft AD 和自我管理 AD 之間建立信任關係