Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Tutorial: Erstellen einer Vertrauensstellung von AWS Managed Microsoft AD zu einer selbstverwalteten Active Directory-Installation auf Amazon EC2
In diesem Tutorial erfahren Sie, wie Sie eine Vertrauensstellung zwischen der AWS Verzeichnisdienst-Gesamtstruktur für Microsoft Active Directory einrichten, die Sie im [Basis-Tutorial](ms_ad_tutorial_test_lab_base.md) erstellt haben. Sie erfahren außerdem, wie Sie einen neuen nativen Active-Directory-Forest auf einem Windows-Server in Amazon EC2 erstellen. Wie in der folgenden Abbildung dargestellt, ist das Lab, das Sie anhand dieses Tutorials erstellen, der zweite Baustein, der für die Einrichtung eines vollständigen AWS Managed Microsoft AD-Testlabors erforderlich ist. Sie können das Testlabor verwenden, um Ihre reinen Cloud- oder Hybrid-Cloud-basierten AWS Lösungen zu testen.
Es sollte nur einmal erforderlich sein, dieses Tutorial zu erstellen. Anschließend können Sie bei Bedarf weitere optionale Tutorials hinzufügen.
![\[Schritte zur Schaffung einer Vertrauensstellung von einem Microsoft Active Directory zu einem selbstverwalteten Active Directory: Richten Sie Ihre Umgebung ein, erstellen Sie Ihr Microsoft Active Directory, stellen Sie eine Amazon EC2 EC2-Instance bereit und testen Sie das Lab.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust.png)
**[Schritt 1: Ihre Umgebung für Vertrauensstellungen einrichten](microsoftadtruststep1.md)**
Bevor Sie Vertrauensstellungen zwischen einer neuen Active-Directory-Gesamtstruktur und der im [Basis-Tutorial](ms_ad_tutorial_test_lab_base.md) erstellten Gesamtstruktur von AWS Managed Microsoft AD einrichten können, müssen Sie Ihre Amazon-EC2-Umgebung vorbereiten. Dazu erstellen Sie zunächst einen Windows-Server-2019-Server, befördern diesen Server zu einem Domain-Controller und konfigurieren dann Ihre VPC entsprechend.
**[Schritt 2: Vertrauensstellungen erstellen](microsoftadtruststep2.md)**
In diesem Schritt erstellen Sie eine bidirektionale Gesamtstruktur-Vertrauensstellung zwischen Ihrer neu erstellten Active Directory-Gesamtstruktur, die in Amazon EC2 gehostet wird, und Ihrer AWS verwalteten Microsoft AD-Gesamtstruktur in. AWS
**[Schritt 3: Die Vertrauensstellung überprüfen](microsoftadtruststep3.md)**
Schließlich verwenden Sie als Administrator die Directory Service Konsole, um zu überprüfen, ob die neuen Trusts betriebsbereit sind.
# Schritt 1: Ihre Umgebung für Vertrauensstellungen einrichten
In diesem Abschnitt richten Sie Ihre Amazon EC2 EC2-Umgebung ein, stellen Ihre neue Gesamtstruktur bereit und bereiten Ihre VPC auf Vertrauensstellungen mit vor. AWS
![\[Amazon EC2 EC2-Umgebung mit Amazon VPC, Subnetzen und Internet Gateways zur Bereitstellung einer neuen Gesamtstruktur und zum Aufbau einer Vertrauensbeziehung.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/tutorialmicrosoftadbase_vpclayout.png)
## Eine EC2-Instance für Windows Server 2019 erstellen
Gehen Sie wie folgt vor, um einen Mitgliedsserver für Windows Server 2019 in Amazon EC2 zu erstellen.
**So erstellen Sie eine EC2-Instance für Windows Server 2019**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie in der Amazon-EC2-Konsole **Instance starten** aus.
1. Suchen Sie auf der Seite **Schritt 1** *xxxxxxxxxxxxxxxxx* in der Liste nach **Microsoft Windows Server 2019 Base - ami-**. Wählen Sie anschließend **Select** aus.
1. Wählen Sie auf der Seite **Step 2** die Option **t2.large** und wählen Sie dann **Next: Configure Instance Details**.
1. Führen Sie auf der Seite **Step 3** die folgenden Schritte aus:
+ Wählen Sie für **Netzwerk** die Option **vpc- *xxxxxxxxxxxxxxxxx* AWS- OnPrem -** aus VPC01 (die Sie zuvor im [Base-Tutorial](microsoftadbasestep1.md#createvpc) eingerichtet haben).
+ Wählen Sie für **Subnetz subnet** **- *xxxxxxxxxxxxxxxxx* \$1 AWS- - -Subnet01 \$1 OnPrem - VPC01 -** aus. AWS OnPrem VPC01
+ Wählen Sie für **Auto-assign Public IP** die Option **Enable** (falls die Subnetz-Einstellung nicht standardmäßig auf **Enable** gesetzt ist).
+ Übernehmen Sie für die anderen Einstellungen die Standardwerte.
+ Wählen Sie **Next: Add Storage** aus.
1. Behalten Sie auf der Seite **Step 4** die Standardeinstellungen bei und wählen Sie dann **Next: Add Tags**.
1. Wählen Sie auf der Seite **Step 5** die Option **Add Tag** aus. Geben Sie unter **Key** die Zeichenfolge **example.local-DC01** ein und wählen Sie dann **Next: Configure Security Group**.
1. Wählen Sie auf der Seite **Schritt 6** die Option **Bestehende Sicherheitsgruppe auswählen**, wählen Sie die **AWS -On-Premises-Testumgebungs-Sicherheitsgruppe** (die Sie zuvor im [Base-Tutorial](microsoftadbasestep1.md#createsecuritygroup) eingerichtet haben) und wählen Sie dann **Überprüfen und starten**, um Ihre Instance zu überprüfen.
1. Überprüfen Sie auf der Seite **Step 7** die Seite und wählen Sie dann **Launch**.
1. Erledigen Sie im Dialogfeld **Select an existing key pair or create a new key pair** Folgendes:
+ Wählen Sie **Vorhandenes Schlüsselpaar auswählen** aus.
+ Wählen Sie unter **Schlüsselpaar auswählen** die Option **AWS-DS-KP** (die Sie zuvor im [Base-Tutorial](microsoftadbasestep1.md#createkeypair2) eingerichtet haben).
+ Markieren Sie das Kontrollkästchen **I acknowledge...**.
+ Wählen Sie **Instances starten** aus.
1. Wählen Sie **Instances anzeigen** aus, um zur Amazon-EC2-Konsole zurückzukehren und den Status der Bereitstellung anzuzeigen.
## Ihren Server zu einem Domain-Controller ernennen
Bevor Sie Vertrauensbeziehungen erstellen können, müssen Sie den ersten Domain-Controller für einen neuen Forest erstellen und bereitstellen. Während dieses Prozesses konfigurieren Sie einen neuen Active Directory-Forest, installieren DNS und richten Sie diesen Server so ein, dass er den lokalen DNS-Server für die Namensauflösung verwendet. Nach Abschluss dieses Verfahrens müssen Sie den Server neu starten.
**Anmerkung**
Wenn Sie einen Domänencontroller erstellen möchten AWS , der sich mit Ihrem lokalen Netzwerk repliziert, müssen Sie die EC2-Instance zunächst manuell mit Ihrer lokalen Domäne verbinden. Anschließend können Sie den Server einem Domain-Controller bekanntgeben.
**Ihren Server einem Domain-Controller bekanntgeben**
1. Wählen Sie in der Amazon-EC2-Konsole die Option **Instances**, wählen Sie die zuvor erstellte Instance und wählen Sie dann **Verbinden**.
1. Wählen Sie im Dialogfeld **Connect To Your Instance** **Download Remote Desktop File** aus.
1. Geben Sie im Dialogfeld **Windows Security** Ihre lokalen Administrator-Anmeldeinformationen für den Windows Server-Computer ein, um sich anzumelden (z. B. **administrator**). Wenn Sie das lokale Administratorpasswort noch nicht haben, gehen Sie zurück zur Amazon-EC2-Konsole, klicken Sie mit der rechten Maustaste auf die Instance und wählen Sie **Windows-Passwort abrufen**. Navigieren Sie zu Ihrer `AWS DS KP.pem` Datei oder Ihren persönlichen `.pem` Schlüssel, und wählen Sie dann **Decrypt Password**.
1. Wählen Sie im Menü **Start** die Option **Server Manager**.
1. Wählen Sie im **Dashboard** **Add Roles and Features**.
1. Wählen Sie im **Add Roles and Features Wizard** **Next**.
1. Wählen Sie auf der Seite **Select installation type** die Option **Role-based or feature-based installation** und wählen Sie **Next**.
1. Stellen Sie sicher, dass auf der Seite **Select destination server** der lokale Server ausgewählt ist, und wählen Sie dann **Next**.
1. Wählen Sie auf der Seite **Select server roles** die Option **Active Directory Domain Services**. Überprüfen Sie im Dialogfeld **Add Roles and Features Wizard**, ob das Kontrollkästchen **Include management tools (if applicable)** ausgewählt ist. Wählen Sie **Add Features** und anschließend **Next ** aus.
1. Wählen Sie auf der Seite **Features auswählen** die Option **Weiter** aus.
1. Wählen Sie auf der Seite **Active Directory Domain Services** **Next**.
1. Wählen Sie auf der Seite **Confirm installation selections** **Install**.
1. Nachdem die Active Directory-Binärdateien installiert wurden, wählen Sie **Close**.
1. Wenn Server Manager geöffnet wird, suchen Sie nach einem Flag oben neben dem Wort **Manage**. Wenn dieses Flag gelb wird, kann der Server bekanntgegeben werden.
1. Wählen Sie das gelbe Flag und wählen Sie dann **Promote this server to a domain controller**.
1. Wählen Sie auf der Seite **Deployment Configuration** **Add a new forest**. Geben Sie in **Root domain name** die Zeichenfolge **example.local** ein und wählen Sie **Next**.
1. Erledigen Sie auf der Seite **Domain Controller Options** Folgendes:
+ Wählen Sie in **Forest functional level** und **Domain functional level** die Option **Windows Server 2016**.
+ Vergewissern Sie sich, dass unter **Domänencontroller-Funktionen angeben** sowohl **DNS-Server** als auch **Global Catalog (GC) ausgewählt** sind.
+ Geben Sie ein DSRM-Passwort (Directory Services Restore Mode) ein und bestätigen Sie es. Klicken Sie anschließend auf **Weiter**.
1. Ignorieren Sie auf der Seite **DNS Options** die Warnung über die Delegation und wählen Sie **Next**.
1. Vergewissern Sie sich, dass auf der Seite **Zusätzliche Optionen** **EXAMPLE** als NetBios Domainname aufgeführt ist.
1. Behalten Sie auf der Seite **Paths** die Standardwerte bei, und wählen Sie dann **Next**.
1. Wählen Sie auf der Seite **Review Options** **Weiter**. Der Server prüft jetzt, ob alle Voraussetzungen für den Domain-Controller erfüllt sind. Möglicherweise werden einige Warnungen angezeigt, Sie können sie jedoch einfach ignorieren.
1. Wählen Sie **Installieren** aus. Nachdem die Installation abgeschlossen ist, wird der Server neu gestartet und wird dann zu einem funktionalen Domain-Controller.
## Konfigurieren Ihrer VPC
Die folgenden drei Verfahren führen Sie durch die Schritte zum Konfigurieren Ihrer VPC für die Anbindung an AWS.
**Konfigurieren Ihrer ausgehenden VPC-Regeln**
1. [Notieren Sie sich in der [AWS Directory Service Konsole](https://console.aws.amazon.com/directoryservicev2/) die AWS verwaltete Microsoft AD-Verzeichnis-ID für corp.example.com, die Sie zuvor im Base-Tutorial erstellt haben.](microsoftadbasestep2.md)
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Security Groups (Sicherheitsgruppen)** aus.
1. Suchen Sie nach Ihrer AWS Managed Microsoft AD-Verzeichnis-ID. Wählen Sie in den Suchergebnissen das Element mit der Beschreibung aus, die **Sicherheitsgruppe für *xxxxxx* D-Directory-Controller AWS erstellt wurde**.
**Anmerkung**
Diese Sicherheitsgruppe wurde automatisch erstellt, als Sie Ihr Verzeichnis erstellt haben.
1. Wählen Sie die Registerkarte **Outbound Rules** unter dieser Sicherheitsgruppe. Wählen Sie **Edit**, **Add another rule** und fügen Sie die folgenden Werte hinzu:
+ Wählen Sie für **Type** die Option **All Traffic** aus.
+ Geben Sie für **Destination** den Wert **0.0.0.0/0** ein.
+ Übernehmen Sie für die anderen Einstellungen die Standardwerte.
+ Wählen Sie **Speichern** aus.
**So überprüfen Sie, ob die Kerberos-Vorauthentifizierung aktiviert ist**
1. Öffnen Sie auf dem Domain-Controller **example.local** **Server Manager**.
1. Wählen Sie im Menü **Tools** den Eintrag **Active Directory Users and Computers**.
1. Gehen Sie in das Verzeichnis **Users (Benutzer)**, klicken Sie mit der rechten Maustaste auf einen Benutzer und wählen Sie **Properties (Eigenschaften)**. Wählen Sie dann die Registerkarte **Account (Konto)**. Scrollen Sie in der Liste **Account options** nach unten und stellen Sie sicher, dass **Do not require Kerberos preauthentication** **nicht** ausgewählt ist.
1. Führen Sie dieselben Schritte für die Domain **corp.example.com** aus der Instance **corp.example.com-mgmt **aus.
**So konfigurieren Sie DNS-bedingte Weiterleitungen**
**Anmerkung**
Eine bedingte Weiterleitung ist ein DNS-Server in einem Netzwerk, der DNS-Abfragen entsprechend dem DNS-Domainnamen in der Anfrage weiterleitet. Ein DNS-Server kann beispielsweise so konfiguriert werden, dass er alle Anfragen, die er für Namen mit der Endung widgets.example.com erhält, an die IP-Adresse eines bestimmten DNS-Servers oder an die IP-Adressen mehrerer DNS-Server weiterleitet.
1. Öffnen Sie die [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/).
1. Wählen Sie im Navigationsbereich **Verzeichnisse** aus.
1. Wählen Sie die **Verzeichnis-ID** Ihres AWS Managed Microsoft AD aus.
1. Notieren Sie sich den vollqualifizierten Domainnamen (FQDN), **corp.example.com**, und die DNS-Adressen Ihres Verzeichnisses.
1. Jetzt kehren Sie zurück zu Ihrem Domain-Controller **example.local** und öffnen dann **Server Manager**.
1. Wählen Sie im Menü **Tools** den Eintrag **DNS**.
1. Erweitern Sie in der Konsolenstruktur den DNS-Server der Domain, für die Sie die Vertrauensbeziehung einrichten, und gehen Sie zu **Conditional Forwarders**.
1. Klicken Sie mit der rechten Maustaste auf **Conditional Forwarders**, und wählen Sie dann **New Conditional Forwarder**.
1. Geben Sie als DNS-Domain **corp.example.com** ein.
1. Wählen Sie unter **IP-Adressen der Primärserver** die Option **, geben Sie die erste DNS-Adresse Ihres AWS verwalteten Microsoft AD-Verzeichnisses ein (die Sie im vorherigen Verfahren notiert haben), und drücken **Sie dann die EINGABETASTE**. Wiederholen Sie diesen Schritt für die zweite DNS-Adresse. Nach der Eingabe der DNS-Adressen können ein „Timeout“- oder ein „unable to resolve“-Fehler auftreten. Sie können diese Fehler in der Regel ignorieren.
1. Markieren Sie das Kontrollkästchen **Store this conditional forwarder in Active Directory, and replicate as follows**. Wählen Sie im Dropdown-Menü den Eintrag **All DNS servers in this Forest** und wählen Sie dann **OK**.
# Schritt 2: Vertrauensstellungen erstellen
In diesem Abschnitt erstellen Sie zwei separate Forest-Vertrauensbeziehungen. Eine Vertrauensstellung wird von der Active Directory-Domäne auf Ihrer EC2-Instance und die andere von Ihrem AWS verwalteten Microsoft AD in AWS erstellt.
![\[Bidirektionale Vertrauensstellung zwischen corp.example.com und example.local\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust_twoway.png)
**So stellen Sie das Vertrauen zwischen Ihrer EC2-Domain und Ihrem AWS verwalteten Microsoft AD her**
1. Melden Sie sich bei **example.local** an.
1. Öffnen Sie **Server Manager** und wählen Sie in der Konsolenstruktur **DNS**. Notieren Sie sich die für den Server IPv4 angegebene Adresse. Sie benötigen diese im nächsten Verfahren, wenn Sie eine bedingte Weiterleitung von **corp.example.com** zum Verzeichnis **example.local** erstellen.
1. Wählen Sie im Menü **Tools** den Eintrag **Active Directory Domains and Trusts**.
1. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf **example.local** und wählen Sie dann **Properties**.
1. Wählen Sie auf der Registerkarte **Trusts** die Option **New Trust** und dann **Next**.
1. Geben Sie auf der Seite **Trust Name** den Namen **corp.example.com** ein und wählen Sie dann **Next**.
1. Wählen Sie auf der Seite **Trust Type** die Option **Forest trust** und wählen Sie dann **Next**.
**Anmerkung**
AWS Managed Microsoft AD unterstützt auch externe Vertrauensstellungen. Für dieses Tutorial erstellen Sie jedoch eine bidirektionale Gesamtstruktur-Vertrauensstellung.
1. Wählen Sie auf der Seite **Direction of Trust** die Option **Two-way** und wählen Sie dann **Next**.
**Anmerkung**
Wenn Sie sich später entscheiden, dies stattdessen mit einer einseitigen Vertrauensstellung zu versuchen, vergewissern Sie sich, dass die Richtungen der Vertrauensstellung korrekt eingerichtet sind (ausgehend von der Trusting Domain, eingehend auf der Trusted Domain). Allgemeine Informationen finden Sie auf der Website von Microsoft unter [Verstehen der Vertrauensstellungs-Richtung](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)).
1. Wählen Sie auf der Seite **Sides of Trust** die Option **This domain only** und dann **Next**.
1. Wählen Sie auf der Seite **Outgoing Trust Authentication Level** die Option **Forest-wide authentication** und dann **Next**.
**Anmerkung**
Die **selektive Authentifizierung** ist zwar eine Option, aber der Einfachheit halber empfehlen wir, sie hier nicht zu aktivieren. Wenn diese Funktion konfiguriert ist, beschränkt sie den Zugriff über eine externe oder Gesamtstruktur-Vertrauensstellung auf diejenigen Benutzer in einer Trusted Domain oder Gesamtstruktur, denen explizit die Berechtigung zur Authentifizierung für Computerobjekte (Ressourcencomputer) in der Trusting Domain oder Gesamtstruktur erteilt wurde. Weitere Informationen finden Sie unter [Konfigurieren der Einstellungen für die selektive Authentifizierung](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)).
1. Geben Sie auf der Seite **Trust Password** zweimal das Passwort für die Vertrauensbeziehung ein, und wählen Sie dann **Next**. Im nächsten Verfahren verwenden Sie dasselbe Passwort.
1. Sehen Sie sich auf der Seite **Trust Selections Complete** die Ergebnisse an, und wählen Sie dann **Next**.
1. Sehen Sie sich auf der Seite **Trust Creation Complete** die Ergebnisse an, und wählen Sie dann **Next**.
1. Wählen Sie auf der Seite **Confirm Outgoing Trust** die Option **No, do not confirm the outgoing trust**. Wählen Sie anschließend **Weiter**.
1. Wählen Sie auf der Seite **Confirm Incoming Trust** die Option **No, do not confirm the incoming trust**. Wählen Sie anschließend **Weiter**.
1. Wählen Sie auf der Seite **Completing the New Trust Wizard** die Option **Finish**.
**Anmerkung**
Vertrauensbeziehungen sind eine globale Funktion von AWS Managed Microsoft AD. Wenn Sie [Konfiguration der regionsübergreifenden Replikation für AWS Managed Microsoft AD](ms_ad_configure_multi_region_replication.md) verwenden, müssen die folgenden Verfahren in [Primäre -Region](multi-region-global-primary-additional.md#multi-region-primary) ausgeführt werden. Die Änderungen werden automatisch auf alle replizierten Regionen angewendet. Weitere Informationen finden Sie unter [Globale und regionale Features](multi-region-global-region-features.md).
**So stellen Sie das Vertrauen zwischen Ihrem AWS verwalteten Microsoft AD und Ihrer EC2-Domain her**
1. Öffnen Sie die [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/).
1. Wählen Sie das Verzeichnis **corp.example.com**.
1. Führen Sie auf der Seite **Verzeichnisdetails** einen der folgenden Schritte aus:
+ Wenn Sie unter **Multi-Region-Replikation** mehrere Regionen angezeigt bekommen, wählen Sie die primäre Region aus und wählen dann die Registerkarte **Netzwerk und Sicherheit**. Weitere Informationen finden Sie unter [Primäre Regionen im Vergleich zu zusätzlichen Regionen](multi-region-global-primary-additional.md).
+ Wenn unter **Multi-Region-Replikation** keine Regionen angezeigt werden, wählen Sie die Registerkarte **Netzwerk und Sicherheit**.
1. Wählen Sie im Abschnitt **Trust relationships (Vertrauensstellungen)** die Option **Actions (Aktionen)** und dann **Add trust relationship (Vertrauensstellung hinzufügen** aus.
1. Führen Sie im Dialogfeld **Add a trust relationship** die folgenden Schritte aus:
+ Wählen Sie unter **Vertrauenstyp** die Option **Gesamtstruktur-Vertrauenstellung** aus.
**Anmerkung**
Stellen Sie sicher, dass der **Vertrauenstyp**, den Sie hier auswählen, mit dem gleichen Vertrauenstyp übereinstimmt, der im vorherigen Verfahren konfiguriert wurde (Um die Vertrauensstellung zwischen Ihrer EC2-Domäne und Ihrem AWS verwalteten Microsoft AD zu erstellen).
+ Geben Sie für **Bestehender oder neuer Name der Remote Domain** **example.local** ein.
+ Geben Sie für **Trust password** dasselbe Passwort ein, das Sie im vorigen Verfahren verwendet haben.
+ Wählen Sie für **Vertrauensstellungs-Richtung** die Option **Bidirektional**.
**Anmerkung**
Wenn Sie sich später entscheiden, dies stattdessen mit einer einseitigen Vertrauensstellung zu versuchen, vergewissern Sie sich, dass die Richtungen der Vertrauensstellung korrekt eingerichtet sind (ausgehend von der Trusting Domain, eingehend auf der Trusted Domain). Allgemeine Informationen finden Sie auf der Website von Microsoft unter [Verstehen der Vertrauensstellungs-Richtung](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11)).
Die **selektive Authentifizierung** ist zwar eine Option, aber der Einfachheit halber empfehlen wir, sie hier nicht zu aktivieren. Wenn diese Funktion konfiguriert ist, beschränkt sie den Zugriff über eine externe oder Gesamtstruktur-Vertrauensstellung auf diejenigen Benutzer in einer Trusted Domain oder Gesamtstruktur, denen explizit die Berechtigung zur Authentifizierung für Computerobjekte (Ressourcencomputer) in der Trusting Domain oder Gesamtstruktur erteilt wurde. Weitere Informationen finden Sie unter [Konfigurieren der Einstellungen für die selektive Authentifizierung](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10)).
+ Geben Sie für **Conditional forwarder** die IP-Adresse Ihres DNS-Servers in der **example.local**-Gesamtstruktur ein (die Sie im vorigen Verfahren notiert haben).
**Anmerkung**
Eine bedingte Weiterleitung ist ein DNS-Server in einem Netzwerk, der DNS-Abfragen entsprechend dem DNS-Domainnamen in der Anfrage weiterleitet. Ein DNS-Server kann beispielsweise so konfiguriert werden, dass er alle Anfragen, die er für Namen mit der Endung widgets.example.com erhält, an die IP-Adresse eines bestimmten DNS-Servers oder an die IP-Adressen mehrerer DNS-Server weiterleitet.
1. Wählen Sie **Hinzufügen** aus.
# Schritt 3: Die Vertrauensstellung überprüfen
In diesem Abschnitt testen Sie, ob die Vertrauensstellungen zwischen AWS und Active Directory auf Amazon EC2 erfolgreich eingerichtet wurden.
**So überprüfen Sie die Vertrauensbeziehung**
1. Öffnen Sie die [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/).
1. Wählen Sie das Verzeichnis **corp.example.com**.
1. Führen Sie auf der Seite **Verzeichnisdetails** einen der folgenden Schritte aus:
+ Wenn Sie unter **Multi-Region-Replikation** mehrere Regionen angezeigt bekommen, wählen Sie die primäre Region aus und wählen dann die Registerkarte **Netzwerk und Sicherheit**. Weitere Informationen finden Sie unter [Primäre Regionen im Vergleich zu zusätzlichen Regionen](multi-region-global-primary-additional.md).
+ Wenn unter **Multi-Region-Replikation** keine Regionen angezeigt werden, wählen Sie die Registerkarte **Netzwerk und Sicherheit**.
1. Wählen Sie im Abschnitt **Trust relationships (Vertrauensstellungen)** die gerade erstellte Vertrauensstellung aus.
1. Wählen Sie **Actions** und dann **Verify trust relationship**.
Nachdem die Überprüfung abgeschlossen ist, sollte **Verified** in der Spalte **Status** angezeigt werden.
Herzlichen Glückwunsch\$1 Sie haben dieses Tutorial abgeschlossen\$1 Sie verfügen jetzt über eine voll funktionsfähige Active Directory-Multiforest-Umgebung, in der Sie verschiedene Szenarien testen können. Zusätzliche Testlabor-Tutorials sind für 2018 geplant. Sehen Sie deshalb gelegentlich nach, ob es Neuigkeiten gibt.