Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Tutorial: Erstellen Sie eine Vertrauensbeziehung zwischen Ihrem AWS verwalteten Microsoft AD und Ihrer selbstverwalteten Active Directory-Domäne
Dieses Tutorial führt Sie durch alle Schritte, die zum Einrichten einer Vertrauensstellung zwischen dem AWS Directory Service für Microsoft Active Directory und Ihrem selbstverwalteten (lokalen) Microsoft Active Directory erforderlich sind. Eine Vertrauensstellung zu erstellen, erfordert nur wenige Schritte, jedoch müssen Sie zuerst die folgenden vorbereitenden Schritte ausführen.
**Topics**
+ [Voraussetzungen](before_you_start.md)
+ [Schritt 1: Selbstverwaltete AD-Domain vorbereiten](ms_ad_tutorial_setup_trust_prepare_onprem.md)
+ [Schritt 2: Bereiten Sie Ihr AWS verwaltetes Microsoft AD vor](ms_ad_tutorial_setup_trust_prepare_mad.md)
+ [Schritt 3: Eine Vertrauensstellung einrichten](ms_ad_tutorial_setup_trust_create.md)
**Weitere Informationen finden Sie auch unter:**
[Aufbau einer Vertrauensbeziehung zwischen Ihrem AWS verwalteten Microsoft AD und selbstverwaltetem AD](ms_ad_setup_trust.md)
# Voraussetzungen
In dieser praktischen Anleitung wird davon ausgegangen, dass Sie bereits über folgende Elemente verfügen:
**Anmerkung**
AWS Managed Microsoft AD unterstützt kein Vertrauen in [Single-Label-Domains](https://support.microsoft.com/en-us/help/2269810/microsoft-support-for-single-label-domains).
+ Ein AWS verwaltetes Microsoft AD-Verzeichnis, das am erstellt wurde AWS. Weitere Informationen hierzu finden Sie unter [Erste Schritte mit AWS Managed Microsoft AD](ms_ad_getting_started.md).
+ Eine laufende EC2-Instanz Windows wurde zu diesem AWS Managed Microsoft AD hinzugefügt. Weitere Informationen hierzu finden Sie unter [Hinzufügen einer Amazon EC2 Windows-Instance zu Ihrem AWS verwalteten Microsoft AD Active Directory](launching_instance.md).
**Wichtig**
Das Administratorkonto für Ihr AWS verwaltetes Microsoft AD muss Administratorzugriff auf diese Instanz haben.
+ Die folgenden Windows Servertools sind auf dieser Instanz installiert:
+ AD DS- und AD LDS-Tools
+ DNS
Weitere Informationen hierzu finden Sie unter [Installation der Active Directory-Verwaltungstools für AWS verwaltetes Microsoft AD](ms_ad_install_ad_tools.md).
+ Ein selbstverwaltetes (On-Premises) Microsoft Active Directory
Sie müssen Administratorzugriff auf dieses Verzeichnis haben. Dieselben Windows Servertools wie oben aufgeführt müssen auch für dieses Verzeichnis verfügbar sein.
+ Eine aktive Verbindung zwischen Ihrem selbstverwalteten Netzwerk und der VPC, die Ihr AWS verwaltetes Microsoft AD enthält. Weitere Informationen hierzu finden Sie im Bereich mit den [Konnektivitätsoptionen für Amazon Virtual Private Cloud](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-vpc-connectivity-options.pdf).
+ Eine korrekt eingestellte lokale Sicherheitsrichtlinie. Überprüfen Sie `Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously` und stellen Sie sicher, dass sie mindestens die drei folgenden benannten Pipes enthält:
+ netlogon
+ samr
+ lsarpc
+ Der NetBIOS- und der Domainname müssen eindeutig sein und dürfen nicht identisch sein, um eine Vertrauensstellung aufzubauen
Weitere Informationen über die Voraussetzungen für die Einrichtung einer Vertrauensstellung finden Sie unter [Aufbau einer Vertrauensbeziehung zwischen Ihrem AWS verwalteten Microsoft AD und selbstverwaltetem AD](ms_ad_setup_trust.md).
## Praktische Anleitung zur Konfiguration
Für dieses Tutorial haben wir bereits ein AWS verwaltetes Microsoft AD und eine selbstverwaltete Domain erstellt. Das selbstverwaltete Netzwerk ist mit der VPC von AWS Managed Microsoft AD verbunden. Im Folgenden sehen Sie die Eigenschaften der beiden Verzeichnisse:
### AWS Verwaltetes Microsoft AD läuft auf AWS
+ Domänenname (FQDN): MyManaged AD.Example.com
+ NetBIOS-Name: AD MyManaged
+ DNS-Adressen: 10.0.10.246, 10.0.20.121
+ VPC-CIDR: 10.0.0.0/16
Das AWS verwaltete Microsoft AD befindet sich in der VPC-ID: vpc-12345678.
### Selbstverwaltete oder AWS verwaltete Microsoft AD-Domain
+ Domainname (FQDN): corp.example.com
+ NetBIOS-Name: CORP
+ DNS-Adressen: 172.16.10.153
+ Selbstverwaltetes CIDR: 172.16.0.0/16
**Nächster Schritt**
[Schritt 1: Selbstverwaltete AD-Domain vorbereiten](ms_ad_tutorial_setup_trust_prepare_onprem.md)
# Schritt 1: Selbstverwaltete AD-Domain vorbereiten
Zunächst müssen Sie auf Ihrer selbstverwalteten (On-Premises)-Domain einige voraussetzende Schritte durchführen.
## Selbstverwaltete Firewall konfigurieren
Sie müssen Ihre selbstverwaltete Firewall so konfigurieren, dass die folgenden Ports CIDRs für alle Subnetze geöffnet sind, die von der VPC verwendet werden, die Ihr AWS verwaltetes Microsoft AD enthält. In diesem Tutorial lassen wir sowohl eingehenden als auch ausgehenden Datenverkehr von 10.0.0.0/16 (dem CIDR-Block unserer AWS verwalteten Microsoft AD-VPC) an den folgenden Ports zu:
+ TCP/UDP 53 – DNS
+ TCP/UDP 88 – Kerberos-Authentifizierung
+ TCP/UDP 389 — Lightweight Directory Access Protocol (LDAP)
+ TCP 445 — Server-Nachrichtenblock (SMB)
+ TCP 9389 — Active Directory Web Services (ADWS) (*Optional* — Dieser Port muss geöffnet sein, wenn Sie Ihren NetBIOS-Namen anstelle Ihres vollständigen Domainnamens für die Authentifizierung mit AWS Anwendungen wie Amazon WorkDocs oder Amazon Quick verwenden möchten.)
**Anmerkung**
SMBv1 wird nicht mehr unterstützt.
Dies sind die minimalen Ports, die für die Verbindung der VPC mit dem selbstverwalteten Verzeichnis notwendig sind. Ihre spezifische Konfiguration erfordert möglicherweise die Öffnung zusätzlicher Ports.
## Sicherstellen, dass Kerberos-Vorauthentifizierung aktiviert ist
Benutzerkonten in beiden Verzeichnissen müssen Kerberos Vorauthentifizierung aktiviert haben. Dies ist die Standardeinstellung. Wir überprüfen allerdings die Eigenschaften eines beliebigen Benutzers, um sicherzustellen, dass nichts geändert ist.
**Um die Kerberos-Einstellungen eines Benutzers anzuzeigen**
1. Öffnen Sie Server Manager auf Ihrem selbstverwalteten Domain-Controller.
1. Wählen Sie im Menü **Tools** den Eintrag **Active Directory Users and Computers**.
1. Wählen Sie den Ordner **Users (Benutzer)** und öffnen Sie das Kontextmenü (rechte Maustaste). Wählen Sie im rechten Bereich ein beliebiges Benutzerkonto aus. Wählen Sie **Properties** (Eigenschaften).
1. Wählen Sie die Registerkarte **Account**. Scrollen Sie in der Liste **Account options** nach unten und stellen Sie sicher, dass **Do not require Kerberos preauthentication** *nicht* ausgewählt ist.
![\[Das Dialogfeld „Corp User Properties“, in dem die Kontooption „Keine Kerberos-Vorauthentifizierung erforderlich“ markiert ist, ist markiert.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/kerberos_enabled.png)
## DNS-bedingte Weiterleitungen für Ihre selbstverwaltete Domain konfigurieren
Sie müssen DNS-bedingte Weiterleitungen auf jeder Domain einrichten. Bevor Sie dies auf Ihrer selbstverwalteten Domain tun, erhalten Sie zunächst einige Informationen zu Ihrem AWS verwalteten Microsoft AD.
**So konfigurieren Sie bedingte Weiterleitungen auf Ihre selbstverwaltete Domain**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die [AWS Directory Service Konsole](https://console.aws.amazon.com/directoryservicev2/).
1. Wählen Sie im Navigationsbereich **Directories** aus.
1. Wählen Sie die Verzeichnis-ID Ihres AWS Managed Microsoft AD.
1. Notieren Sie sich auf der Seite **Details** die Werte in **Directory name (Verzeichnisname)** und die **DNS address (DNS-Adresse)** Ihres Verzeichnisses.
1. Kehren Sie jetzt zu Ihrem selbstverwalteten Domain-Controller zurück. Öffnen Sie Server Manager.
1. Wählen Sie im Menü **Tools** den Eintrag **DNS**.
1. Erweitern Sie in der Konsolenstruktur den DNS-Server der Domain, für die Sie die Vertrauensstellung einrichten. Unser Server ist CN7 VJ0 WIN-5V70 .corp.example.com.
1. Wählen Sie in der Konsolenbaumstruktur **Conditional Forwarders**.
1. Wählen Sie im Menü **Action** den Eintrag **New conditional forwarder**.
1. Geben Sie **unter DNS-Domäne** den vollqualifizierten Domänennamen (FQDN) Ihres AWS verwalteten Microsoft AD ein, den Sie zuvor notiert haben. In diesem Beispiel lautet MyManaged der FQDN AD.Example.com.
1. Wählen Sie die **IP-Adressen der Primärserver** und geben Sie die DNS-Adressen Ihres AWS verwalteten Microsoft AD-Verzeichnisses ein, die Sie zuvor notiert haben. In diesem Beispiel sind dies: 10.0.10.246, 10.0.20.121
Nach der Eingabe der DNS-Adressen ist es möglich, einen "Timeout" oder "nicht lösbar" Fehler zu erhalten. Sie können diese Fehler in der Regel ignorieren.
![\[Neues Dialogfeld „Conditional Forwarder“, in dem die IP-Adressen der DNS-Server hervorgehoben sind.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/new_cond_forwarder_diag_box_2.png)
1. Markieren Sie das Kontrollkästchen **Store this conditional forwarder in Active Directory, and replicate it as follows**.
1. Wählen Sie **All DNS servers in this domain** und dann **OK**.
**Nächster Schritt**
[Schritt 2: Bereiten Sie Ihr AWS verwaltetes Microsoft AD vor](ms_ad_tutorial_setup_trust_prepare_mad.md)
# Schritt 2: Bereiten Sie Ihr AWS verwaltetes Microsoft AD vor
Lassen Sie uns nun Ihr AWS Managed Microsoft AD für die Vertrauensbeziehung vorbereiten. Viele der folgenden Schritte sind fast identisch mit dem, was Sie gerade bei Ihrer selbstverwalteten Domain gemacht haben. Diesmal arbeiten Sie jedoch mit Ihrem AWS Managed Microsoft AD.
## Ihre VPC-Subnetze und Sicherheitsgruppen konfigurieren
Sie müssen Datenverkehr von Ihrem selbstverwalteten Netzwerk zur VPC zulassen, die Ihr AWS verwaltetes Microsoft AD enthält. Dazu müssen Sie sicherstellen, dass die mit den Subnetzen, die für die Bereitstellung Ihres AWS verwalteten Microsoft AD verwendeten Subnetzes ACLs verknüpft sind, und die auf Ihren Domänencontrollern konfigurierten Sicherheitsgruppenregeln den erforderlichen Datenverkehr zur Unterstützung von Vertrauensstellungen zulassen.
Die Portanforderungen variieren je nach der Version von Windows Server, die von Ihren Domain-Controllern, den Services und den Anwendungen verwendet wird, die die Vertrauensstellung nutzen. Für dieses Tutorial müssen Sie folgende Ports öffnen:
**Eingehend**
+ TCP/UDP 53 – DNS
+ TCP/UDP 88 – Kerberos-Authentifizierung
+ UDP 123 – NTP
+ TCP 135 – RPC
+ TCP/UDP 389 – LDAP
+ TCP/UDP 445 – SMB
+ TCP/UDP 464 – Kerberos-Authentifizierung
+ TCP 636 - LDAPS (LDAP über TLS/SSL)
+ TCP 3268-3269 – Globaler Katalog
+ TCP/UDP 49152-65535 – Flüchtige Ports für RPC
**Anmerkung**
SMBv1 wird nicht mehr unterstützt.
**Ausgehend**
+ ALL
**Anmerkung**
Dies sind die minimalen Ports, die benötigt werden, um eine Verbindung zwischen der VPC und dem selbstverwalteten Verzeichnis herstellen zu können. Ihre spezifische Konfiguration erfordert möglicherweise die Öffnung zusätzlicher Ports.
**So konfigurieren Sie Ihre ausgehenden und eingehenden Regeln für Ihren AWS verwalteten Microsoft AD-Domänencontroller**
1. Kehren Sie zur [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/) zurück. Notieren Sie sich in der Verzeichnisliste die Verzeichnis-ID für Ihr AWS verwaltetes Microsoft AD-Verzeichnis.
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Security Groups (Sicherheitsgruppen)** aus.
1. Verwenden Sie das Suchfeld, um nach Ihrer AWS verwalteten Microsoft AD-Verzeichnis-ID zu suchen. Wählen Sie in den Suchergebnissen die Sicherheitsgruppe mit der Beschreibung aus**AWS created security group for *yourdirectoryID* directory controllers**.
![\[In der Amazon VPC-Konsole sind die Suchergebnisse für die Sicherheitsgruppe für die Directory-Controller hervorgehoben.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/security-group-search.png)
1. Wählen Sie die Registerkarte **Outbound Rules** dieser Sicherheitsgruppe. Wählen Sie **Ausgehende Regeln bearbeiten** und dann **Regel hinzufügen**. Geben Sie die folgenden Werte für die neue Regel ein:
+ **Typ**: ALL Traffic (GESAMTER Datenverkehr)
+ **Protocol**: ALL (Alle)
+ **Destination** bestimmt den Datenverkehr, der Ihre Domain-Controller verlassen kann, und wohin er gesendet werden kann. Geben Sie eine einzelne IP-Adresse oder einen IP-Adressbereich in CIDR-Notation an (z. B. 203.0.113.5/32). Sie können auch den Namen oder die ID einer anderen Sicherheitsgruppe in derselben Region angeben. Weitere Informationen finden Sie unter [Machen Sie sich mit der Konfiguration und Verwendung der AWS Sicherheitsgruppen Ihres Verzeichnisses vertraut](ms_ad_best_practices.md#understandsecuritygroup).
1. Wählen Sie **Regel speichern** aus.
![\[Bearbeiten Sie in der Amazon VPC-Konsole die ausgehenden Regeln für die Directory-Controller-Sicherheitsgruppen.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/editing-and-saving-rule.png)
## Sicherstellen, dass Kerberos-Vorauthentifizierung aktiviert ist
Jetzt möchten Sie sicherstellen, dass für Benutzer in Ihrem AWS Managed Microsoft AD auch die Kerberos-Vorauthentifizierung aktiviert ist. Dies ist derselbe Vorgang, den Sie für Ihr selbstverwaltetes Verzeichnis durchgeführt haben. Dies ist die Standardeinstellung, die jedoch noch einmal überprüft werden sollte, um sicherzustellen, dass nichts geändert ist.
**So zeigen Sie Benutzer-Kerberos-Einstellungen an**
1. Melden Sie sich bei einer Instanz an, die Mitglied Ihres AWS verwalteten Microsoft AD-Verzeichnisses ist, indem Sie entweder das [AWS Verwaltetes Microsoft AD-Administratorkonto und Gruppenberechtigungen](ms_ad_getting_started_admin_account.md) für die Domäne oder ein Konto verwenden, dem Berechtigungen zur Verwaltung von Benutzern in der Domäne delegiert wurden.
1. Wenn sie nicht bereits installiert sind, installieren Sie das Active Directory-Benutzer- und -Computer-Tool und das DNS-Tool. Erfahren Sie, wie Sie diese Tools installieren, in [Installation der Active Directory-Verwaltungstools für AWS verwaltetes Microsoft AD](ms_ad_install_ad_tools.md).
1. Öffnen Sie Server Manager. Wählen Sie im Menü **Tools** den Eintrag **Active Directory Users and Computers**.
1. Wählen Sie den Ordner **Users** in Ihrer Domain. Beachten Sie, dass es sich hierbei um den Ordner **Users (Benutzer)** unter Ihrem NetBIOS-Namen handelt, nicht um den Ordner **Users (Benutzer) ** unter dem vollständig qualifizierten Domainnamen (FQDN).
![\[Im Dialogfeld „Active Directory-Benutzer und -Computer“ ist der Ordner „Benutzer“ hervorgehoben.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/correct_users_folder.png)
1. Klicken Sie in der Liste der Benutzer mit der rechten Maustaste auf einen Benutzer, und klicken Sie dann auf **Properties (Eigenschaften)**.
1. Wählen Sie die Registerkarte **Account**. Stellen Sie in der Liste **Account options** sicher, dass **Do not require Kerberos preauthentication** *nicht* ausgewählt ist.
**Nächster Schritt**
[Schritt 3: Eine Vertrauensstellung einrichten](ms_ad_tutorial_setup_trust_create.md)
# Schritt 3: Eine Vertrauensstellung einrichten
Da die Vorbereitungen jetzt abgeschlossen sind, können Sie die Vertrauensstellungen herstellen. Zuerst erstellen Sie das Vertrauen für Ihre selbstverwaltete Domain und dann schließlich für Ihr AWS verwaltetes Microsoft AD. Wenn während der Erstellung von Vertrauensstellungen Probleme auftreten, finden Sie weitere Informationen unter [Gründe für den Status der Vertrauensstellung](ms_ad_troubleshooting_trusts.md).
## Konfigurieren Sie die Vertrauensstellung in Ihrem selbstverwalteten Active Directory
Mithilfe dieses Tutorials können Sie eine bidirektionale Gesamtstruktur-Vertrauensstellung konfigurieren. Wenn Sie eine unidirektionale Gesamtstruktur-Vertrauensstellung nutzen möchten, müssen Sie darauf achten, dass sich die Richtungen für die einzelnen Domains ergänzen. Wenn Sie beispielsweise eine unidirektionale, ausgehende Vertrauensstellung für Ihre selbstverwaltete Domain einrichten, müssen Sie eine unidirektionale, eingehende Vertrauensstellung für Ihr AWS verwaltetes Microsoft AD einrichten.
**Anmerkung**
AWS Managed Microsoft AD unterstützt auch externe Vertrauensstellungen. Für dieses Tutorial erstellen Sie jedoch eine bidirektionale Gesamtstruktur-Vertrauensstellung.
**Um die Vertrauensstellung in Ihrem selbstverwalteten Active Directory zu konfigurieren**
1. Öffnen Sie Server Manager und wählen Sie im Menü **Tools** die Option **Active Directory Domains and Trusts**.
1. Öffnen Sie mit einem Rechtsklick das Kontextmenü Ihrer Domain und wählen Sie **Properties** aus.
1. Wählen Sie die Registerkarte **Trusts** und dann **New trust**. Geben Sie den Namen Ihres AWS verwalteten Microsoft AD ein und wählen Sie **Weiter**.
1. Wählen Sie **Forest trust**. Wählen Sie **Weiter** aus.
1. Wählen Sie **Two-way**. Wählen Sie **Weiter** aus.
1. Wählen Sie **This domain only**. Wählen Sie **Weiter** aus.
1. Wählen Sie **Forest-wide authentication**. Wählen Sie **Weiter** aus.
1. Geben Sie ein **Trust password** ein. Denken Sie daran, sich dieses Passwort zu merken, da Sie es benötigen, wenn Sie den Trust für Ihr AWS Managed Microsoft AD einrichten.
1. Bestätigen Sie im nächsten Dialogfeld Ihre Einstellungen und wählen Sie **Next** aus. Prüfen Sie, ob die Vertrauensstellung richtig erstellt wurde, und wählen Sie erneut **Next** aus.
1. Wählen Sie **No, do not confirm the outgoing trust**. Wählen Sie **Weiter** aus.
1. Wählen Sie **No, do not confirm the incoming trust**. Wählen Sie **Weiter** aus.
## Konfigurieren Sie die Vertrauensstellung in Ihrem AWS verwalteten Microsoft AD-Verzeichnis
Schließlich konfigurieren Sie die Gesamtstrukturvertrauensstellung mit Ihrem AWS verwalteten Microsoft AD-Verzeichnis. Da Sie für die selbstverwaltete Domäne eine bidirektionale Gesamtstrukturvertrauensstellung eingerichtet haben, erstellen Sie auch eine bidirektionale Vertrauensstellung mithilfe Ihres AWS verwalteten Microsoft AD-Verzeichnisses.
**Anmerkung**
Vertrauensbeziehungen sind eine globale Funktion von AWS Managed Microsoft AD. Wenn Sie [Konfiguration der regionsübergreifenden Replikation für AWS Managed Microsoft AD](ms_ad_configure_multi_region_replication.md) verwenden, müssen die folgenden Verfahren in [Primäre -Region](multi-region-global-primary-additional.md#multi-region-primary) ausgeführt werden. Die Änderungen werden automatisch auf alle replizierten Regionen angewendet. Weitere Informationen finden Sie unter [Globale und regionale Features](multi-region-global-region-features.md).
**So konfigurieren Sie die Vertrauensstellung in Ihrem AWS verwalteten Microsoft AD-Verzeichnis**
1. Kehren Sie zur [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/) zurück.
1. Wählen Sie auf der Seite **Verzeichnisse** Ihre AWS verwaltete Microsoft AD-ID aus.
1. Führen Sie auf der Seite **Verzeichnisdetails** einen der folgenden Schritte aus:
+ Wenn Sie unter **Multi-Region-Replikation** mehrere Regionen angezeigt bekommen, wählen Sie die primäre Region aus und wählen dann die Registerkarte **Netzwerk und Sicherheit**. Weitere Informationen finden Sie unter [Primäre Regionen im Vergleich zu zusätzlichen Regionen](multi-region-global-primary-additional.md).
+ Wenn unter **Multi-Region-Replikation** keine Regionen angezeigt werden, wählen Sie die Registerkarte **Netzwerk und Sicherheit**.
1. Wählen Sie im Abschnitt **Trust relationships (Vertrauensstellungen)** die Option **Actions (Aktionen)** und dann **Add trust relationship (Vertrauensstellung hinzufügen** aus.
1. Geben Sie auf der Seite **Vertrauensstellung hinzufügen** den Vertrauenstyp an. In diesem Fall wählen wir **Gesamtstruktur-Vertrauensstellung**. Geben Sie den FQDN Ihrer selbstverwalteten Domain ein (siehe **corp.example.com** in diesem Tutorial). Geben Sie das Passwort ein, das Sie beim Erstellen der Vertrauensstellung für Ihre selbstverwaltete Domain verwendet haben. Geben Sie die Richtung an. In unserem Beispiel wählen wir **Zwei-Wege** aus.
1. Geben Sie im Feld **Bedingte Weiterleitung** die IP-Adresse Ihres selbstverwalteten DNS-Servers ein. In unserem Beispiel lautet sie 172.16.10.153.
1. (Optional) Wählen Sie **Weitere IP-Adresse hinzufügen** aus und geben Sie eine zweite IP-Adresse für Ihren selbstverwalteten DNS-Server ein. Sie können insgesamt bis zu vier DNS-Server angeben.
1. Wählen Sie **Hinzufügen** aus.
Herzlichen Glückwunsch. Sie haben jetzt eine Vertrauensbeziehung zwischen Ihrer selbstverwalteten Domain (corp.example.com) und Ihrem AWS verwalteten Microsoft AD (AD.example.com). MyManaged Zwischen diesen beiden Domains kann nur eine Vertrauensstellung eingerichtet werden. Wenn Sie beispielweise statt einer bidirektionalen eine unidirektionale Vertrauensstellung nutzen möchten, müssen Sie die bestehende Vertrauensstellung löschen und eine neue erstellen.
Weitere Informationen, etwa Anleitungen zum Bestätigen oder Löschen von Vertrauensstellungen, finden Sie unter [Aufbau einer Vertrauensbeziehung zwischen Ihrem AWS verwalteten Microsoft AD und selbstverwaltetem AD](ms_ad_setup_trust.md).