Schritt 2: Vertrauensstellungen erstellen - AWS Directory Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 2: Vertrauensstellungen erstellen

In diesem Abschnitt erstellen Sie zwei separate Forest-Vertrauensbeziehungen. Eine Vertrauensstellung wird von der Active Directory-Domäne auf Ihrer EC2-Instance und die andere von Ihrem AWS verwalteten Microsoft AD in AWS erstellt.

Bidirektionale Vertrauensstellung zwischen corp.example.com und example.local
So stellen Sie das Vertrauen zwischen Ihrer EC2-Domain und Ihrem AWS verwalteten Microsoft AD her

  1. Melden Sie sich bei example.local an.

  2. Öffnen Sie Server Manager und wählen Sie in der Konsolenstruktur DNS. Notieren Sie die IPv4-Adresse für den Server. Sie benötigen diese im nächsten Verfahren, wenn Sie eine bedingte Weiterleitung von corp.example.com zum Verzeichnis example.local erstellen.

  3. Wählen Sie im Menü Tools den Eintrag Active Directory Domains and Trusts.

  4. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf example.local und wählen Sie dann Properties.

  5. Wählen Sie auf der Registerkarte Trusts die Option New Trust und dann Next.

  6. Geben Sie auf der Seite Trust Name den Namen corp.example.com ein und wählen Sie dann Next.

  7. Wählen Sie auf der Seite Trust Type die Option Forest trust und wählen Sie dann Next.

    Anmerkung

    AWS Managed Microsoft AD unterstützt auch externe Vertrauensstellungen. Für dieses Tutorial erstellen Sie jedoch eine bidirektionale Gesamtstruktur-Vertrauensstellung.

  8. Wählen Sie auf der Seite Direction of Trust die Option Two-way und wählen Sie dann Next.

    Anmerkung

    Wenn Sie sich später entscheiden, dies stattdessen mit einer einseitigen Vertrauensstellung zu versuchen, vergewissern Sie sich, dass die Richtungen der Vertrauensstellung korrekt eingerichtet sind (ausgehend von der Trusting Domain, eingehend auf der Trusted Domain). Allgemeine Informationen finden Sie auf der Website von Microsoft unter Verstehen der Vertrauensstellungs-Richtung.

  9. Wählen Sie auf der Seite Sides of Trust die Option This domain only und dann Next.

  10. Wählen Sie auf der Seite Outgoing Trust Authentication Level die Option Forest-wide authentication und dann Next.

    Anmerkung

    Die selektive Authentifizierung ist zwar eine Option, aber der Einfachheit halber empfehlen wir, sie hier nicht zu aktivieren. Wenn diese Funktion konfiguriert ist, beschränkt sie den Zugriff über eine externe oder Gesamtstruktur-Vertrauensstellung auf diejenigen Benutzer in einer Trusted Domain oder Gesamtstruktur, denen explizit die Berechtigung zur Authentifizierung für Computerobjekte (Ressourcencomputer) in der Trusting Domain oder Gesamtstruktur erteilt wurde. Weitere Informationen finden Sie unter Konfigurieren der Einstellungen für die selektive Authentifizierung.

  11. Geben Sie auf der Seite Trust Password zweimal das Passwort für die Vertrauensbeziehung ein, und wählen Sie dann Next. Im nächsten Verfahren verwenden Sie dasselbe Passwort.

  12. Sehen Sie sich auf der Seite Trust Selections Complete die Ergebnisse an, und wählen Sie dann Next.

  13. Sehen Sie sich auf der Seite Trust Creation Complete die Ergebnisse an, und wählen Sie dann Next.

  14. Wählen Sie auf der Seite Confirm Outgoing Trust die Option No, do not confirm the outgoing trust. Wählen Sie anschließend Weiter.

  15. Wählen Sie auf der Seite Confirm Incoming Trust die Option No, do not confirm the incoming trust. Wählen Sie anschließend Weiter.

  16. Wählen Sie auf der Seite Completing the New Trust Wizard die Option Finish.

Anmerkung

Vertrauensbeziehungen sind eine globale Funktion von AWS Managed Microsoft AD. Wenn Sie Konfiguration der regionsübergreifenden Replikation für AWS Managed Microsoft AD verwenden, müssen die folgenden Verfahren in Primäre -Region ausgeführt werden. Die Änderungen werden automatisch auf alle replizierten Regionen angewendet. Weitere Informationen finden Sie unter Globale und regionale Features.

So stellen Sie das Vertrauen zwischen Ihrem AWS verwalteten Microsoft AD und Ihrer EC2-Domain her

  1. Öffnen Sie die AWS Directory Service -Konsole.

  2. Wählen Sie das Verzeichnis corp.example.com.

  3. Führen Sie auf der Seite Verzeichnisdetails einen der folgenden Schritte aus:

    • Wenn Sie unter Multi-Region-Replikation mehrere Regionen angezeigt bekommen, wählen Sie die primäre Region aus und wählen dann die Registerkarte Netzwerk und Sicherheit. Weitere Informationen finden Sie unter Primäre Regionen im Vergleich zu zusätzlichen Regionen.

    • Wenn unter Multi-Region-Replikation keine Regionen angezeigt werden, wählen Sie die Registerkarte Netzwerk und Sicherheit.

  4. Wählen Sie im Abschnitt Trust relationships (Vertrauensstellungen) die Option Actions (Aktionen) und dann Add trust relationship (Vertrauensstellung hinzufügen aus.

  5. Führen Sie im Dialogfeld Add a trust relationship die folgenden Schritte aus:

    • Wählen Sie unter Vertrauenstyp die Option Gesamtstruktur-Vertrauenstellung aus.

      Anmerkung

      Stellen Sie sicher, dass der Vertrauenstyp, den Sie hier auswählen, mit dem gleichen Vertrauenstyp übereinstimmt, der im vorherigen Verfahren konfiguriert wurde (Um die Vertrauensstellung zwischen Ihrer EC2-Domäne und Ihrem AWS verwalteten Microsoft AD zu erstellen).

    • Geben Sie für Bestehender oder neuer Name der Remote Domain example.local ein.

    • Geben Sie für Trust password dasselbe Passwort ein, das Sie im vorigen Verfahren verwendet haben.

    • Wählen Sie für Vertrauensstellungs-Richtung die Option Bidirektional.

      Anmerkung

      • Wenn Sie sich später entscheiden, dies stattdessen mit einer einseitigen Vertrauensstellung zu versuchen, vergewissern Sie sich, dass die Richtungen der Vertrauensstellung korrekt eingerichtet sind (ausgehend von der Trusting Domain, eingehend auf der Trusted Domain). Allgemeine Informationen finden Sie auf der Website von Microsoft unter Verstehen der Vertrauensstellungs-Richtung.

      • Die selektive Authentifizierung ist zwar eine Option, aber der Einfachheit halber empfehlen wir, sie hier nicht zu aktivieren. Wenn diese Funktion konfiguriert ist, beschränkt sie den Zugriff über eine externe oder Gesamtstruktur-Vertrauensstellung auf diejenigen Benutzer in einer Trusted Domain oder Gesamtstruktur, denen explizit die Berechtigung zur Authentifizierung für Computerobjekte (Ressourcencomputer) in der Trusting Domain oder Gesamtstruktur erteilt wurde. Weitere Informationen finden Sie unter Konfigurieren der Einstellungen für die selektive Authentifizierung.

    • Geben Sie für Conditional forwarder die IP-Adresse Ihres DNS-Servers in der example.local-Gesamtstruktur ein (die Sie im vorigen Verfahren notiert haben).

      Anmerkung

      Eine bedingte Weiterleitung ist ein DNS-Server in einem Netzwerk, der DNS-Abfragen entsprechend dem DNS-Domainnamen in der Anfrage weiterleitet. Ein DNS-Server kann beispielsweise so konfiguriert werden, dass er alle Anfragen, die er für Namen mit der Endung widgets.example.com erhält, an die IP-Adresse eines bestimmten DNS-Servers oder an die IP-Adressen mehrerer DNS-Server weiterleitet.

  6. Wählen Sie Hinzufügen aus.