Membuat hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan AD yang dikelola sendiri - AWS Directory Service
PrasyaratMembuat hubungan kepercayaan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan AD yang dikelola sendiri

Anda dapat mengonfigurasi hubungan kepercayaan eksternal dan hutan satu dan dua arah antara AWS Directory Service for Microsoft Active Directory dan direktori yang dikelola sendiri (lokal), serta di antara beberapa direktori AWS Microsoft AD Terkelola di cloud. AWS AWS Microsoft AD yang dikelola mendukung ketiga arah hubungan kepercayaan: Masuk, Keluar, dan Dua arah (Bi-directional).

Untuk informasi selengkapnya tentang hubungan kepercayaan, lihat Semua yang ingin Anda ketahui tentang kepercayaan dengan Microsoft AD yang AWS Dikelola.

catatan

Saat mengatur hubungan kepercayaan, Anda harus memastikan bahwa direktori yang dikelola sendiri dan tetap kompatibel dengan AWS Directory Service s. Untuk informasi selengkapnya tentang tanggung jawab Anda, silakan lihat model tanggung jawab bersama kami.

AWS Microsoft AD yang dikelola mendukung perwalian eksternal dan hutan. Untuk menelusuri contoh skenario yang menunjukkan cara membuat kepercayaan forest, lihat Tutorial: Buat hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan domain Direktori Aktif yang dikelola sendiri.

Kepercayaan dua arah diperlukan untuk Aplikasi AWS Perusahaan seperti Amazon Chime, Amazon Connect, Amazon,, QuickSight Amazon AWS IAM Identity Center, Amazon WorkDocs, Amazon WorkMail, WorkSpaces Amazon, dan. AWS Management Console AWS Microsoft AD yang dikelola harus dapat menanyakan pengguna dan grup yang dikelola sendiri Active Directory.

Anda dapat mengaktifkan otentikasi selektif sehingga hanya akun layanan khusus AWS aplikasi yang dapat melakukan kueri yang dikelola sendiri Active Directory. Untuk informasi selengkapnya, lihat Meningkatkan keamanan integrasi AWS aplikasi Anda dengan Microsoft AD yang AWS Dikelola.

AmazonEC2, AmazonRDS, dan Amazon FSx akan bekerja dengan kepercayaan satu arah atau dua arah.

Prasyarat

Membuat kepercayaan hanya memerlukan beberapa langkah, tetapi Anda harus terlebih dahulu menyelesaikan beberapa langkah prasyarat sebelum mengatur kepercayaan.

catatan

AWS Microsoft AD yang dikelola tidak mendukung kepercayaan dengan Domain Label Tunggal.

Connect ke VPC

Jika Anda membuat hubungan kepercayaan dengan direktori yang dikelola sendiri, Anda harus terlebih dahulu menghubungkan jaringan yang dikelola sendiri ke Amazon yang VPC berisi iklan AWS Microsoft Terkelola Anda. Firewall untuk jaringan Microsoft AD yang AWS dikelola sendiri dan dikelola Anda harus membuka port jaringan yang terdaftar di Windows Server 2008 dan versi yang lebih baru di Microsoft dokumentasi.

Untuk menggunakan BIOS nama Net Anda alih-alih nama domain lengkap Anda untuk otentikasi dengan AWS aplikasi Anda seperti Amazon atau WorkDocs Amazon QuickSight, Anda harus mengizinkan port 9389. Untuk informasi selengkapnya tentang port dan protokol Direktori Aktif, lihat Ikhtisar layanan dan persyaratan port jaringan untuk Windowsdi Microsoft dokumentasi.

Ini adalah port-port minimum yang diperlukan untuk dapat terhubung ke direktori Anda. Konfigurasi spesifik Anda mungkin mengharuskan port-port tambahan terbuka.

Konfigurasikan VPC

Yang VPC berisi iklan Microsoft AWS Terkelola Anda harus memiliki aturan keluar dan masuk yang sesuai.

Untuk mengonfigurasi aturan VPC keluar Anda

  1. Di AWS Directory Service konsol, pada halaman Detail Direktori, catat ID direktori Microsoft AD AWS Terkelola Anda.

  2. Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

  3. Pilih Grup Keamanan.

  4. Cari ID direktori Microsoft AD AWS Terkelola Anda. Dalam hasil pencarian, pilih item dengan deskripsi "AWS membuat grup keamanan untuk pengontrol direktori ID direktori”.

    catatan

    Grup keamanan yang dipilih adalah grup keamanan yang dibuat secara otomatis ketika Anda awalnya membuat direktori Anda.

  5. Pergi ke tab Aturan Keluar dari grup keamanan tersebut. Pilih Edit, kemudian Tambahkan aturan lain. Untuk aturan baru, masukkan nilai berikut:

    • Jenis: Semua Lalu lintas

    • Protokol: Semua

    • Tujuan menentukan lalu lintas yang dapat meninggalkan pengontrol domain Anda dan ke mana ia dapat pergi di jaringan yang dikelola sendiri. Tentukan satu alamat IP atau rentang alamat IP dalam CIDR notasi (misalnya, 203.0.113.5/32). Anda juga dapat menentukan nama atau ID grup keamanan lain di Region yang sama. Untuk informasi selengkapnya, lihat Pahami konfigurasi grup AWS keamanan direktori Anda dan gunakan.

  6. Pilih Simpan.

Aktifkan pra-autentikasi Kerberos

Akun pengguna Anda harus mengaktifkan pra-autentikasi Kerberos. Untuk informasi selengkapnya tentang setelan ini, tinjau Preauthentication di Microsoft. TechNet

Konfigurasikan forwarder DNS bersyarat pada domain yang dikelola sendiri

Anda harus menyiapkan forwarder DNS bersyarat pada domain yang dikelola sendiri. Lihat Menetapkan Forwarder Bersyarat untuk Nama Domain di Microsoft TechNet untuk detail tentang penerusan bersyarat.

Untuk melakukan langkah-langkah berikut, Anda harus memiliki akses ke alat Windows Server berikut untuk domain yang dikelola sendiri:

  • LDSAlat AD DS dan AD

  • DNS

Untuk mengonfigurasi forwarder bersyarat pada domain yang dikelola sendiri

  1. Pertama, Anda harus mendapatkan beberapa informasi tentang Microsoft AD yang AWS Dikelola. Masuk ke AWS Management Console dan buka AWS Directory Service konsol.

  2. Di panel navigasi , pilih Direktori.

  3. Pilih ID direktori iklan Microsoft AWS Terkelola Anda.

  4. Catat nama domain yang sepenuhnya memenuhi syarat (FQDN) dan DNS alamat direktori Anda.

  5. Sekarang, kembali ke pengontrol domain yang dikelola sendiri. Buka Pengelola Server

  6. Pada menu Tools, pilih DNS.

  7. Di pohon konsol, perluas DNS server domain tempat Anda menyiapkan kepercayaan.

  8. Pada pohon konsol, pilih Penerusan Bersyarat.

  9. Pada menu Tindakan, pilih Penerusan bersyarat baru.

  10. Di DNSdomain, ketikkan nama domain yang sepenuhnya memenuhi syarat (FQDN) dari Microsoft AD yang AWS Dikelola, yang Anda sebutkan sebelumnya.

  11. Pilih alamat IP server utama dan ketikkan DNS alamat direktori Microsoft AD AWS Terkelola Anda, yang Anda catat sebelumnya.

    Setelah memasukkan DNS alamat, Anda mungkin mendapatkan kesalahan “batas waktu” atau “tidak dapat menyelesaikan”. Anda biasanya dapat mengabaikan error ini.

  12. Pilih Simpan forwarder bersyarat ini di Active Directory dan replikasi sebagai berikut: Semua DNS server di domain ini. Pilih OKE.

Kata sandi hubungan Kepercayaan

Jika Anda membuat hubungan kepercayaan dengan domain yang ada, atur hubungan kepercayaan pada domain tersebut menggunakan alat Administrasi Server Windows. Saat Anda melakukannya, perhatikan kata sandi kepercayaan yang Anda gunakan. Anda harus menggunakan kata sandi yang sama ini saat mengatur hubungan kepercayaan pada iklan Microsoft yang AWS Dikelola. Untuk informasi selengkapnya, lihat Mengelola Trust di Microsoft TechNet.

Anda sekarang siap untuk menciptakan hubungan kepercayaan pada iklan Microsoft yang AWS Dikelola.

Nama Net BIOS dan Domain

Net BIOS dan nama domain harus unik dan tidak bisa sama untuk membangun hubungan kepercayaan.

Membuat, memverifikasi, atau menghapus hubungan kepercayaan

catatan

Hubungan kepercayaan adalah fitur global dari Microsoft AD yang AWS Dikelola. Jika Anda menggunakan Konfigurasikan replikasi Multi-Wilayah untuk AWS Microsoft AD yang Dikelola, prosedur berikut harus dilakukan di Region primer. Perubahan akan diterapkan di semua Region yang direplikasi secara otomatis. Untuk informasi selengkapnya, lihat Fitur Global vs Regional.

Untuk membuat hubungan kepercayaan dengan Microsoft AD yang AWS Dikelola

  1. Buka konsol AWS Directory Service.

  2. Pada halaman Direktori, pilih ID AD Microsoft yang AWS Dikelola.

  3. Pada halaman Detail direktori, lakukan salah satu hal berikut:

    • Jika Anda memiliki beberapa Region yang ditampilkan di bawah Replikasi multi-Region, pilih Region primer, dan kemudian pilih tab Jaringan & keamanan. Untuk informasi selengkapnya, lihat Region utama vs tambahan.

    • Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah Replikasi Multi-Region, pilih tab Jaringan & keamanan.

  4. Di bagian Hubungan kepercayaan, pilih Tindakan, dan kemudian pilih Tambahkan hubungan kepercayaan.

  5. Pada halaman Tambahkan hubungan kepercayaan, berikan informasi yang diperlukan, termasuk jenis kepercayaan, nama domain yang sepenuhnya memenuhi syarat (FQDN) dari domain tepercaya Anda, kata sandi kepercayaan, dan arah kepercayaan.

  6. (Opsional) Jika Anda hanya ingin mengizinkan pengguna yang berwenang untuk mengakses sumber daya di direktori Microsoft AD AWS Terkelola, Anda dapat memilih kotak centang Autentikasi selektif secara opsional. Untuk informasi umum tentang otentikasi selektif, lihat Pertimbangan Keamanan untuk Trusts di Microsoft. TechNet

  7. Untuk Conditional forwarder, ketikkan alamat IP server yang dikelola sendiri. DNS Jika sebelumnya Anda telah membuat kondisional forwarder, Anda dapat mengetik domain FQDN yang dikelola sendiri alih-alih alamat IP. DNS

  8. (Opsional) Pilih Tambahkan alamat IP lain dan ketik alamat IP DNS server tambahan yang dikelola sendiri. Anda dapat mengulangi langkah ini untuk setiap alamat DNS server yang berlaku dengan total empat alamat.

  9. Pilih Tambahkan.

  10. Jika DNS server atau jaringan untuk domain yang dikelola sendiri menggunakan ruang alamat IP publik (RFCnon-1918), buka bagian perutean IP, pilih Tindakan, lalu pilih Tambahkan rute. Ketik blok alamat IP DNS server atau jaringan yang dikelola sendiri menggunakan CIDR format, misalnya 203.0.113.0/24. Langkah ini tidak diperlukan jika DNS server Anda dan jaringan yang dikelola sendiri menggunakan RFC 1918 spasi alamat IP.

    catatan

    Saat menggunakan ruang alamat IP publik, pastikan bahwa Anda tidak menggunakan salah satu dari Rentang alamat IP AWS karena ini tidak dapat digunakan.

  11. (Opsional) Kami menyarankan bahwa saat Anda berada di halaman Tambahkan rute yang Anda juga pilih Tambahkan rute ke grup keamanan untuk direktori ini VPC. Ini akan mengkonfigurasi grup keamanan seperti yang dijelaskan di atas di “Konfigurasikan AndaVPC.” Aturan keamanan ini memengaruhi antarmuka jaringan internal yang tidak terbuka secara publik. Jika opsi ini tidak tersedia, Anda akan melihat pesan yang menunjukkan bahwa Anda telah menyesuaikan grup keamanan Anda.

Anda harus mengatur hubungan kepercayaan pada kedua domain. Hubungan harus saling melengkapi. Misalnya, jika Anda membuat kepercayaan keluar pada satu domain, Anda harus membuat kepercayaan masuk di sisi lain.

Jika Anda membuat hubungan kepercayaan dengan domain yang ada, atur hubungan kepercayaan pada domain tersebut menggunakan alat Administrasi Server Windows.

Anda dapat membuat beberapa kepercayaan antara Microsoft AD yang AWS Dikelola dan berbagai domain Direktori Aktif. Namun, hanya satu hubungan kepercayaan per pasangan dapat eksis pada suatu waktu. Misalnya, jika Anda memiliki kepercayaan satu arah yang ada di “Arah masuk” dan Anda kemudian ingin mengatur hubungan kepercayaan lain di “Arah keluar,” Anda perlu menghapus hubungan kepercayaan yang ada, dan membuat kepercayaan “Dua arah” baru.

Untuk memverifikasi hubungan kepercayaan keluar

  1. Buka konsol AWS Directory Service.

  2. Pada halaman Direktori, pilih ID AD Microsoft yang AWS Dikelola.

  3. Pada halaman Detail direktori, lakukan salah satu hal berikut:

    • Jika Anda memiliki beberapa Region yang ditampilkan di bawah Replikasi multi-Region, pilih Region primer, dan kemudian pilih tab Jaringan & keamanan. Untuk informasi selengkapnya, lihat Region utama vs tambahan.

    • Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah Replikasi Multi-Region, pilih tab Jaringan & keamanan.

  4. Di bagian Hubungan kepercayaan, pilih kepercayaan yang ingin Anda verifikasi, pilih Tindakan, dan kemudian pilih Verifikasi hubungan kepercayaan.

Proses ini hanya memverifikasi arah keluar dari kepercayaan dua arah. AWS tidak mendukung verifikasi perwalian yang masuk. Untuk informasi selengkapnya tentang cara memverifikasi kepercayaan ke atau dari Direktori Aktif yang dikelola sendiri, lihat Verifikasi Kepercayaan di Microsoft TechNet.

Untuk menghapus hubungan kepercayaan yang ada

  1. Buka konsol AWS Directory Service.

  2. Pada halaman Direktori, pilih ID AD Microsoft yang AWS Dikelola.

  3. Pada halaman Detail direktori, lakukan salah satu hal berikut:

    • Jika Anda memiliki beberapa Region yang ditampilkan di bawah Replikasi multi-Region, pilih Region primer, dan kemudian pilih tab Jaringan & keamanan. Untuk informasi selengkapnya, lihat Region utama vs tambahan.

    • Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah Replikasi Multi-Region, pilih tab Jaringan & keamanan.

  4. Di bagian Hubungan kepercayaan, pilih kepercayaan yang ingin Anda hapus, pilih Tindakan, dan kemudian pilih Hapus hubungan kepercayaan.

  5. Pilih Hapus.