Aufbau einer Vertrauensbeziehung zwischen Ihrem AWS verwalteten Microsoft AD und selbstverwaltetem AD - AWS Directory Service
VoraussetzungenErstellen der Vertrauensstellung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aufbau einer Vertrauensbeziehung zwischen Ihrem AWS verwalteten Microsoft AD und selbstverwaltetem AD

Sie können ein- und bidirektionale externe Vertrauensstellungen und Gesamtstruktur-Vertrauensstellungen zwischen Ihrem AWS Directory Service für Microsoft Active Directory und selbstverwalteten (lokalen) Verzeichnissen sowie zwischen mehreren AWS verwalteten Microsoft AD-Verzeichnissen in der Cloud konfigurieren. AWS AWS Managed Microsoft AD unterstützt alle drei Richtungen von Vertrauensbeziehungen: Eingehend, Ausgehend und Bidirektional (bidirektional).

Weitere Informationen zur Vertrauensstellung finden Sie unter Alles, was Sie über Vertrauensstellungen mit AWS Managed Microsoft AD wissen wollten.

Anmerkung

Beim Einrichten von Vertrauensstellungen müssen Sie sicherstellen, dass Ihr selbstverwaltetes Verzeichnis mit AWS Directory Service s kompatibel ist und bleibt. Weitere Informationen zu Ihren Verantwortlichkeiten finden Sie in unserem Modell für übergreifende Verantwortlichkeit.

AWS Managed Microsoft AD unterstützt sowohl externe als auch Forest-Trusts. Ein Beispielszenario, das Sie durch das Erstellen einer Gesamtstruktur-Vertrauensstellung führt, finden Sie unter Tutorial: Eine Vertrauensstellung zwischen Ihrem AWS Managed Microsoft AD und Ihrer selbstverwalteten Active-Directory-Domain erstellen.

Für AWS Unternehmens-Apps wie Amazon Chime, Amazon Connect, Amazon, Amazon, Amazon und die ist eine bidirektionale Vertrauensstellung WorkSpaces erforderlich. QuickSight AWS IAM Identity Center WorkDocs WorkMail AWS Management Console AWS Verwaltetes Microsoft AD muss in der Lage sein, die Benutzer und Gruppen in Ihrem selbstverwalteten System abzufragen Active Directory.

Sie können die selektive Authentifizierung aktivieren, sodass nur das AWS anwendungsspezifische Dienstkonto Ihr selbstverwaltetes Konto abfragen kann Active Directory. Weitere Informationen finden Sie unter Verbessern Sie die Sicherheit Ihrer AWS App-Integration mit AWS Managed Microsoft AD.

Amazon EC2RDS, Amazon und Amazon FSx arbeiten entweder mit einem unidirektionalen oder bidirektionalen Vertrauen.

Voraussetzungen

Eine Vertrauensstellung zu erstellen erfordert nur wenige Schritte, jedoch müssen Sie vor deren Einrichtung zuerst verschiedene vorbereitende Maßnahmen durchführen.

Anmerkung

AWS Managed Microsoft AD unterstützt kein Vertrauen in Single Label Domains.

Connect dich mit VPC

Wenn Sie eine Vertrauensbeziehung mit Ihrem selbstverwalteten Verzeichnis aufbauen, müssen Sie zuerst Ihr selbstverwaltetes Netzwerk mit dem Amazon verbinden, das Ihr AWS verwaltetes Microsoft AD VPC enthält. In der Firewall für Ihre selbstverwalteten und AWS verwalteten Microsoft AD-Netzwerke müssen die Netzwerkports geöffnet sein, die unter aufgeführt sind Windows Server 2008 und spätere Versionen in Microsoft -Dokumentation.

Um Ihren BIOS Netznamen anstelle Ihres vollständigen Domainnamens für die Authentifizierung mit Ihren AWS Anwendungen wie Amazon WorkDocs oder Amazon zu verwenden QuickSight, müssen Sie Port 9389 zulassen. Weitere Informationen zu Active Directory-Ports und -Protokollen finden Sie unter Serviceübersicht und Netzwerk-Port-Anforderungen für Windowsin Microsoft -Dokumentation.

Das ist das Minimum an notwendigen Ports, um eine Verbindung mit Ihrem Verzeichnis herstellen zu können. Ihre spezifische Konfiguration erfordert möglicherweise die Öffnung zusätzlicher Ports.

Konfiguriere deine VPC

DasVPC, das Ihr AWS verwaltetes Microsoft AD enthält, muss über die entsprechenden Regeln für ausgehenden und eingehenden Datenverkehr verfügen.

Um Ihre Regeln für ausgehenden Datenverkehr zu VPC konfigurieren

  1. Notieren Sie sich in der AWS Directory Service Konsole auf der Seite mit den Verzeichnisdetails Ihre AWS verwaltete Microsoft AD-Verzeichnis-ID.

  2. Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.

  3. Wählen Sie Security Groups.

  4. Suchen Sie nach Ihrer AWS Managed Microsoft AD-Verzeichnis-ID. Wählen Sie in den Suchergebnissen das Element mit der Beschreibung "Sicherheitsgruppe für Verzeichnis-ID-Verzeichniscontroller AWS erstellt“ aus.

    Anmerkung

    Die ausgewählte Sicherheitsgruppe wird automatisch erzeugt, wenn Sie Ihr Verzeichnis zum ersten Mal erstellen.

  5. Wählen Sie die Registerkarte Outbound Rules dieser Sicherheitsgruppe. Wählen Sie Edit und Add another rule. Geben Sie die folgenden Werte für die neue Regel ein:

    • Typ: All Traffic (Gesamter Datenverkehr)

    • Protocol: All (Alle)

    • Die Zieladresse bestimmt den Datenverkehr, der Ihre Domain-Controller verlassen kann, und wohin er in Ihrem selbstverwalteten Netzwerk gesendet werden kann. Geben Sie eine einzelne IP-Adresse oder einen IP-Adressbereich in CIDR Notation an (z. B. 203.0.113.5/32). Sie können auch den Namen oder die ID einer anderen Sicherheitsgruppe in derselben Region angeben. Weitere Informationen finden Sie unter Machen Sie sich mit der Konfiguration und Verwendung der AWS Sicherheitsgruppe in Ihrem Verzeichnis vertraut.

  6. Wählen Sie Speichern.

Kerberos-Vorabauthentifizierung aktivieren

Auf Ihren Benutzerkonten muss die Kerberos-Vorabauthentifizierung aktiviert sein. Weitere Informationen zu dieser Einstellung finden Sie unter Vorauthentifizierung bei Microsoft TechNet.

Konfigurieren Sie DNS bedingte Weiterleitungen auf Ihrer selbstverwalteten Domain

Sie müssen DNS bedingte Weiterleitungen auf Ihrer selbstverwalteten Domain einrichten. Einzelheiten zu bedingten Weiterleitungen finden Sie unter Zuweisen einer bedingten Weiterleitung TechNet für einen Domainnamen auf Microsoft.

Um die folgenden Schritte ausführen zu können, benötigen Sie Zugriff auf die folgenden Windows-Server-Tools Ihrer selbstverwalteten Domain:

  • AD DS und AD Tools LDS

  • DNS

So konfigurieren Sie bedingte Weiterleitungen auf Ihre selbstverwaltete Domain

  1. Zunächst müssen Sie einige Informationen zu Ihrem AWS Managed Microsoft AD erhalten. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Directory Service -Konsole.

  2. Wählen Sie im Navigationsbereich Directories aus.

  3. Wählen Sie die Verzeichnis-ID Ihres AWS Managed Microsoft AD.

  4. Notieren Sie sich den vollqualifizierten Domainnamen (FQDN) und die DNS Adressen Ihres Verzeichnisses.

  5. Kehren Sie jetzt zu Ihrem selbstverwalteten Domain-Controller zurück. Öffnen Sie Server Manager.

  6. Wählen Sie im Menü Tools die Option DNS.

  7. Erweitern Sie in der Konsolenstruktur den DNS Server der Domäne, für die Sie den Trust einrichten möchten.

  8. Wählen Sie in der Konsolenbaumstruktur Conditional Forwarders.

  9. Wählen Sie im Menü Action den Eintrag New conditional forwarder.

  10. Geben Sie im Feld DNSDomäne den vollqualifizierten Domänennamen (FQDN) Ihres AWS verwalteten Microsoft AD ein, den Sie zuvor notiert haben.

  11. Wählen Sie die IP-Adressen der Primärserver und geben Sie die DNS Adressen Ihres AWS verwalteten Microsoft AD-Verzeichnisses ein, das Sie zuvor notiert haben.

    Nach der Eingabe der DNS Adressen wird möglicherweise der Fehler „Timeout“ oder „Unable to resolve“ angezeigt. Sie können diese Fehler in der Regel ignorieren.

  12. Wählen Sie Diese bedingte Weiterleitung in Active Directory speichern und replizieren Sie wie folgt: Alle DNS Server in dieser Domäne. Wählen Sie OK aus.

Passwort der Vertrauensstellung

Wenn Sie eine Vertrauensstellung mit einer bestehenden Domain erstellen, können Sie die Domain mit den Windows Server Verwaltungs-Tools dort einrichten. Notieren Sie währenddessen das Passwort, das Sie für die Vertrauensstellung benutzen. Sie müssen dasselbe Passwort verwenden, wenn Sie die Vertrauensbeziehung auf dem AWS Managed Microsoft AD einrichten. Weitere Informationen finden Sie unter Managing Trusts auf Microsoft TechNet.

Sie sind jetzt bereit, die Vertrauensbeziehung in Ihrem AWS Managed Microsoft AD einzurichten.

Netz BIOS - und Domainnamen

Die Netz BIOS - und Domainnamen müssen eindeutig sein und dürfen nicht identisch sein, um eine Vertrauensbeziehung aufzubauen.

Eine Vertrauensbeziehung erstellen, überprüfen oder löschen

Anmerkung

Vertrauensbeziehungen sind eine globale Funktion von AWS Managed Microsoft AD. Wenn Sie Konfiguration der regionsübergreifenden Replikation für AWS Managed Microsoft AD verwenden, müssen die folgenden Verfahren in Primäre -Region ausgeführt werden. Die Änderungen werden automatisch auf alle replizierten Regionen angewendet. Weitere Informationen finden Sie unter Globale und regionale Features.

Um eine Vertrauensbeziehung mit Ihrem AWS Managed Microsoft AD aufzubauen

  1. Öffnen Sie die AWS Directory Service -Konsole.

  2. Wählen Sie auf der Seite Verzeichnisse Ihre AWS verwaltete Microsoft AD-ID aus.

  3. Führen Sie auf der Seite Verzeichnisdetails einen der folgenden Schritte aus:

    • Wenn Sie unter Multi-Region-Replikation mehrere Regionen angezeigt bekommen, wählen Sie die primäre Region aus und wählen dann die Registerkarte Netzwerk und Sicherheit. Weitere Informationen finden Sie unter Primäre Regionen im Vergleich zu zusätzlichen Regionen.

    • Wenn unter Multi-Region-Replikation keine Regionen angezeigt werden, wählen Sie die Registerkarte Netzwerk und Sicherheit.

  4. Wählen Sie im Abschnitt Trust relationships (Vertrauensstellungen) die Option Actions (Aktionen) und dann Add trust relationship (Vertrauensstellung hinzufügen aus.

  5. Geben Sie auf der Seite Vertrauensstellung hinzufügen die erforderlichen Informationen ein, darunter den Vertrauenstyp, den vollqualifizierten Domänennamen (FQDN) Ihrer vertrauenswürdigen Domäne, das Vertrauenskennwort und die Vertrauensrichtung.

  6. (Optional) Wenn Sie nur autorisierten Benutzern den Zugriff auf Ressourcen in Ihrem AWS verwalteten Microsoft AD-Verzeichnis ermöglichen möchten, können Sie optional das Kontrollkästchen Selektive Authentifizierung aktivieren. Allgemeine Informationen zur selektiven Authentifizierung finden Sie unter Sicherheitsaspekte für Trusts bei Microsoft TechNet.

  7. Geben Sie für Conditional Forwarder die IP-Adresse Ihres DNS selbstverwalteten Servers ein. Wenn Sie zuvor bedingte Weiterleitungen erstellt haben, können Sie anstelle FQDN einer IP-Adresse die Ihrer selbstverwalteten Domain eingeben. DNS

  8. (Optional) Wählen Sie Weitere IP-Adresse hinzufügen und geben Sie die IP-Adresse eines zusätzlichen DNS selbstverwalteten Servers ein. Sie können diesen Schritt für jede zutreffende DNS Serveradresse wiederholen, sodass insgesamt vier Adressen vorhanden sind.

  9. Wählen Sie Hinzufügen aus.

  10. Wenn der DNS Server oder das Netzwerk für Ihre selbstverwaltete Domain einen öffentlichen IP-Adressraum (nicht RFC 1918) verwendet, gehen Sie zum Abschnitt IP-Routing, wählen Sie Aktionen und dann Route hinzufügen aus. Geben Sie den IP-Adressblock Ihres DNS Servers oder Ihres selbstverwalteten Netzwerks im CIDR Format ein, z. B. 203.0.113.0/24. Dieser Schritt ist nicht erforderlich, wenn sowohl Ihr DNS Server als auch Ihr selbstverwaltetes Netzwerk 1918 IP-Adressräume verwenden. RFC

    Anmerkung

    Wenn Sie eine öffentlichen IP-Adressumgebung verwenden, stellen Sie sicher, dass Sie keine der AWS -IP-Adressbereiche verwenden, da diese nicht genutzt werden können.

  11. (Optional) Wir empfehlen, dass Sie auf der Seite Routen hinzufügen auch Routen zur Sicherheitsgruppe für dieses Verzeichnis hinzufügen auswählen. VPC Dadurch werden die Sicherheitsgruppen wie oben unter „Konfigurieren Sie Ihre“ beschrieben konfiguriertVPC. Diese Sicherheitsregeln betreffen eine interne Netzwerkschnittstelle, die nicht öffentlich zugänglich ist. Wenn diese Option nicht verfügbar ist, wird stattdessen eine Meldung angezeigt, dass Sie Ihre Sicherheitsgruppen bereits angepasst haben.

Sie müssen die Vertrauensstellung auf beiden Domains einrichten. Die Stellungen müssen wechselseitig sein. Wenn Sie beispielsweise eine ausgehende Vertrauensstellung in einer Domain erstellen, benötigen Sie auf der anderen eine eingehende.

Wenn Sie eine Vertrauensstellung mit einer bestehenden Domain erstellen, können Sie die Domain mit den Windows Server Verwaltungs-Tools dort einrichten.

Sie können mehrere Vertrauensstellungen zwischen Ihrem AWS verwalteten Microsoft AD und verschiedenen Active Directory-Domänen einrichten. Jedoch kann zeitgleich nur eine Vertrauensstellung pro Paar bestehen. Wenn Sie beispielsweise über eine bestehende, einseitige Vertrauensstellung in „Eingehender Richtung” verfügen und dann eine weitere „Ausgehender Richtung” einrichten möchten, müssen Sie die bestehende Vertrauensstellung löschen und eine neue „wechselseitige” erstellen.

Um eine ausgehende Vertrauensstellung zu überprüfen:

  1. Öffnen Sie die AWS Directory Service -Konsole.

  2. Wählen Sie auf der Seite Verzeichnisse Ihre AWS verwaltete Microsoft AD-ID aus.

  3. Führen Sie auf der Seite Verzeichnisdetails einen der folgenden Schritte aus:

    • Wenn Sie unter Multi-Region-Replikation mehrere Regionen angezeigt bekommen, wählen Sie die primäre Region aus und wählen dann die Registerkarte Netzwerk und Sicherheit. Weitere Informationen finden Sie unter Primäre Regionen im Vergleich zu zusätzlichen Regionen.

    • Wenn unter Multi-Region-Replikation keine Regionen angezeigt werden, wählen Sie die Registerkarte Netzwerk und Sicherheit.

  4. Wählen Sie im Abschnitt Trust relationships (Vertrauensstellungen) die Vertrauensstellung aus, die Sie überprüfen möchten, dann Actions (Aktionen) und schließlich Verify trust relationship (Vertrauensstellung überprüfen).

Bei diesem Vorgang wird nur die ausgehende Richtung einer bidirektionalen Vertrauensstellung überprüft. AWS unterstützt nicht die Überprüfung eingehender Trusts. Weitere Informationen zum Überprüfen einer Vertrauensstellung für oder von Ihrem selbstverwalteten Active Directory finden Sie unter Verify a Trust on Microsoft TechNet.

Um eine bestehende Vertrauensstellung zu löschen:

  1. Öffnen Sie die AWS Directory Service -Konsole.

  2. Wählen Sie auf der Seite Verzeichnisse Ihre AWS verwaltete Microsoft AD-ID aus.

  3. Führen Sie auf der Seite Verzeichnisdetails einen der folgenden Schritte aus:

    • Wenn Sie unter Multi-Region-Replikation mehrere Regionen angezeigt bekommen, wählen Sie die primäre Region aus und wählen dann die Registerkarte Netzwerk und Sicherheit. Weitere Informationen finden Sie unter Primäre Regionen im Vergleich zu zusätzlichen Regionen.

    • Wenn unter Multi-Region-Replikation keine Regionen angezeigt werden, wählen Sie die Registerkarte Netzwerk und Sicherheit.

  4. Wählen Sie im Abschnitt Trust relationships (Vertrauensstellungen) die Beziehung aus, die Sie löschen möchten, dann Actions (Aktionen) und schließlich Delete trust relationship (Vertrauensstellung löschen).

  5. Wählen Sie Löschen.