Menciptakan hubungan kepercayaan - AWS Directory Service
PrasyaratMembuat hubungan kepercayaan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menciptakan hubungan kepercayaan

Anda dapat mengonfigurasi hubungan kepercayaan eksternal dan hutan satu dan dua arah antara AWS Directory Service for Microsoft Active Directory dan direktori yang dikelola sendiri (lokal), serta di antara beberapa direktori AWS Microsoft AD Terkelola di cloud. AWS AWS Microsoft AD yang dikelola mendukung ketiga arah hubungan kepercayaan: Masuk, Keluar, dan Dua arah (Bi-directional).

Untuk informasi selengkapnya tentang hubungan kepercayaan, lihat Semua yang ingin Anda ketahui tentang kepercayaan dengan Microsoft AD yang AWS Dikelola.

catatan

Saat mengatur hubungan kepercayaan, Anda harus memastikan bahwa direktori yang dikelola sendiri dan tetap kompatibel dengan AWS Directory Service s. Untuk informasi selengkapnya tentang tanggung jawab Anda, silakan lihat model tanggung jawab bersama kami.

AWS Microsoft AD yang dikelola mendukung perwalian eksternal dan hutan. Untuk menelusuri contoh skenario yang menunjukkan cara membuat kepercayaan forest, lihat Tutorial: Buat hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan domain Direktori Aktif yang dikelola sendiri.

Kepercayaan dua arah diperlukan untuk Aplikasi AWS Perusahaan seperti Amazon Chime, Amazon Connect, Amazon,, QuickSight Amazon AWS IAM Identity Center, Amazon WorkDocs, Amazon WorkMail, WorkSpaces Amazon, dan. AWS Management Console AWS Microsoft AD yang dikelola harus dapat menanyakan pengguna dan grup yang dikelola sendiriActive Directory.

Amazon EC2, Amazon RDS, dan Amazon FSx akan bekerja dengan kepercayaan satu arah atau dua arah.

Prasyarat

Membuat kepercayaan hanya memerlukan beberapa langkah, tetapi Anda harus terlebih dahulu menyelesaikan beberapa langkah prasyarat sebelum mengatur kepercayaan.

catatan

AWS Microsoft AD yang dikelola tidak mendukung kepercayaan dengan Domain Label Tunggal.

Menghubungkan ke VPC

Jika Anda membuat hubungan kepercayaan dengan direktori yang dikelola sendiri, Anda harus terlebih dahulu menghubungkan jaringan yang dikelola sendiri ke VPC Amazon yang berisi iklan Microsoft yang Dikelola AWS . Firewall untuk jaringan Microsoft AD yang AWS dikelola sendiri dan dikelola harus membuka port jaringan yang terdaftar di WindowsServer 2008 dan versi yang lebih baru dalam Microsoft dokumentasi.

Untuk menggunakan nama NetBIOS Anda alih-alih nama domain lengkap Anda untuk otentikasi dengan aplikasi Anda AWS seperti Amazon WorkDocs atau QuickSight Amazon, Anda harus mengizinkan port 9389. Untuk informasi selengkapnya tentang port dan protokol Direktori Aktif, lihat Ringkasan layanan dan persyaratan port jaringan untuk dokumentasi Windows. Microsoft

Ini adalah port-port minimum yang diperlukan untuk dapat terhubung ke direktori Anda. Konfigurasi spesifik Anda mungkin mengharuskan port-port tambahan terbuka.

Mengkonfigurasi VPC Anda

VPC yang berisi iklan AWS Microsoft Terkelola Anda harus memiliki aturan keluar dan masuk yang sesuai.

Untuk mengkonfigurasi aturan keluar VPC Anda

  1. Di AWS Directory Service konsol, pada halaman Detail Direktori, catat ID direktori Microsoft AD AWS Terkelola Anda.

  2. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  3. Pilih Grup Keamanan.

  4. Cari ID direktori Microsoft AD AWS Terkelola Anda. Dalam hasil pencarian, pilih item dengan deskripsi "AWS membuat grup keamanan untuk pengontrol direktori ID direktori”.

    catatan

    Grup keamanan yang dipilih adalah grup keamanan yang dibuat secara otomatis ketika Anda awalnya membuat direktori Anda.

  5. Pergi ke tab Aturan Keluar dari grup keamanan tersebut. Pilih Edit, kemudian Tambahkan aturan lain. Untuk aturan baru, masukkan nilai berikut:

    • Jenis: Semua Lalu lintas

    • Protokol: Semua

    • Tujuan menentukan lalu lintas yang dapat meninggalkan pengontrol domain Anda dan ke mana ia dapat pergi di jaringan yang dikelola sendiri. Tentukan alamat IP tunggal atau cakupan alamat IP dalam notasi CIDR (misalnya, 203.0.113.5/32). Anda juga dapat menentukan nama atau ID grup keamanan lain di Region yang sama. Untuk informasi selengkapnya, lihat Pahami konfigurasi grup AWS keamanan direktori Anda dan gunakan.

  6. Pilih Simpan.

Aktifkan pra-autentikasi Kerberos

Akun pengguna Anda harus mengaktifkan pra-autentikasi Kerberos. Untuk informasi selengkapnya tentang setelan ini, tinjau Pra-otentikasi di Microsoft. TechNet

Konfigurasikan forwarder bersyarat DNS pada domain yang dikelola sendiri

Anda harus menyiapkan forwarder bersyarat DNS di domain yang dikelola sendiri. Lihat Menetapkan Forwarder Bersyarat untuk Nama Domain di Microsoft TechNet untuk detail tentang penerusan bersyarat.

Untuk melakukan langkah-langkah berikut, Anda harus memiliki akses ke alat Windows Server berikut untuk domain yang dikelola sendiri:

  • Alat AD DS dan AD LDS

  • DNS

Untuk mengonfigurasi forwarder bersyarat pada domain yang dikelola sendiri

  1. Pertama, Anda harus mendapatkan beberapa informasi tentang Microsoft AD yang AWS Dikelola. Masuk ke AWS Management Console dan buka AWS Directory Service konsol.

  2. Di panel navigasi , pilih Direktori.

  3. Pilih ID direktori iklan Microsoft AWS Terkelola Anda.

  4. Perhatikan nama domain yang memenuhi syarat (FQDN) dan alamat DNS dari direktori Anda.

  5. Sekarang, kembali ke pengontrol domain yang dikelola sendiri. Buka Pengelola Server

  6. Pada menu Alat, pilih DNS.

  7. Pada pohon konsol, perluas server DNS dari domain di mana Anda mengatur kepercayaan.

  8. Pada pohon konsol, pilih Penerusan Bersyarat.

  9. Pada menu Tindakan, pilih Penerusan bersyarat baru.

  10. Di domain DNS, ketik nama domain yang memenuhi syarat penuh (FQDN) dari AWS Microsoft AD Terkelola Anda, yang Anda sebutkan sebelumnya.

  11. Pilih alamat IP server utama dan ketik alamat DNS direktori Microsoft AD AWS Terkelola Anda, yang Anda catat sebelumnya.

    Setelah memasukkan alamat DNS, Anda mungkin mendapatkan error “timeout” atau “tidak dapat menyelesaikan”. Anda biasanya dapat mengabaikan error ini.

  12. Pilih Menyimpan penerusan bersyarat ini di Direktori Aktif dan mereplikasi sebagai berikut: Semua server DNS di domain ini. Pilih OK.

Kata sandi hubungan Kepercayaan

Jika Anda membuat hubungan kepercayaan dengan domain yang ada, atur hubungan kepercayaan pada domain tersebut menggunakan alat Administrasi Server Windows. Saat Anda melakukannya, perhatikan kata sandi kepercayaan yang Anda gunakan. Anda harus menggunakan kata sandi yang sama ini saat mengatur hubungan kepercayaan pada iklan Microsoft yang AWS Dikelola. Untuk informasi selengkapnya, lihat Mengelola Trust di Microsoft TechNet.

Anda sekarang siap untuk menciptakan hubungan kepercayaan pada iklan Microsoft yang AWS Dikelola.

NetBIOS dan Nama Domain

NetBIOS dan nama domain harus unik dan tidak bisa sama untuk membangun hubungan kepercayaan.

Membuat, memverifikasi, atau menghapus hubungan kepercayaan

catatan

Hubungan kepercayaan adalah fitur global dari Microsoft AD yang AWS Dikelola. Jika Anda menggunakan Replikasi multi-Region, prosedur berikut harus dilakukan di Region primer. Perubahan akan diterapkan di semua Region yang direplikasi secara otomatis. Untuk informasi selengkapnya, lihat Fitur Global vs Regional.

Untuk membuat hubungan kepercayaan dengan Microsoft AD yang AWS Dikelola

  1. Buka konsol AWS Directory Service.

  2. Pada halaman Direktori, pilih ID AD Microsoft yang AWS Dikelola.

  3. Pada halaman Detail direktori, lakukan salah satu hal berikut:

    • Jika Anda memiliki beberapa Region yang ditampilkan di bawah Replikasi multi-Region, pilih Region primer, dan kemudian pilih tab Jaringan & keamanan. Untuk informasi selengkapnya, lihat Region utama vs tambahan.

    • Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah Replikasi Multi-Region, pilih tab Jaringan & keamanan.

  4. Di bagian Hubungan kepercayaan, pilih Tindakan, dan kemudian pilih Tambahkan hubungan kepercayaan.

  5. Pada halaman Tambahkan hubungan kepercayaan, berikan informasi yang diperlukan, termasuk jenis kepercayaan, fully qualified domain name (FQDN) dari domain tepercaya Anda, kata sandi kepercayaan dan arah kepercayaan.

  6. (Opsional) Jika Anda hanya ingin mengizinkan pengguna yang berwenang untuk mengakses sumber daya di direktori Microsoft AD AWS Terkelola, Anda dapat memilih kotak centang Autentikasi selektif secara opsional. Untuk informasi umum tentang otentikasi selektif, lihat Pertimbangan Keamanan untuk Trusts di Microsoft. TechNet

  7. Untuk Conditional forwarder, ketikkan alamat IP server DNS yang dikelola sendiri. Jika sebelumnya Anda telah membuat forwarder bersyarat, Anda dapat mengetik FQDN domain yang dikelola sendiri alih-alih alamat IP DNS.

  8. (Opsional) Pilih Tambahkan alamat IP lain dan ketik alamat IP server DNS tambahan yang dikelola sendiri. Anda dapat mengulangi langkah ini untuk setiap alamat server DNS yang berlaku untuk total empat alamat.

  9. Pilih Tambahkan.

  10. Jika server DNS atau jaringan untuk domain yang dikelola sendiri menggunakan ruang alamat IP publik (non-RFC 1918), buka bagian perutean IP, pilih Tindakan, lalu pilih Tambahkan rute. Ketik blok alamat IP server DNS Anda atau jaringan yang dikelola sendiri menggunakan format CIDR, misalnya 203.0.113.0/24. Langkah ini tidak diperlukan jika server DNS Anda dan jaringan yang dikelola sendiri menggunakan ruang alamat IP RFC 1918.

    catatan

    Saat menggunakan ruang alamat IP publik, pastikan bahwa Anda tidak menggunakan salah satu dari Rentang alamat IP AWS karena ini tidak dapat digunakan.

  11. (Opsional) Kami merekomendasikan bahwa saat Anda berada di halaman Tambahkan rute Anda juga pilih Menambahkan rute ke grup keamanan untuk VPC direktori ini. Ini akan mengkonfigurasi grup keamanan seperti yang dijelaskan di atas dalam “Konfigurasi VPC Anda.” Aturan keamanan ini memengaruhi antarmuka jaringan internal yang tidak terbuka secara publik. Jika opsi ini tidak tersedia, Anda akan melihat pesan yang menunjukkan bahwa Anda telah menyesuaikan grup keamanan Anda.

Anda harus mengatur hubungan kepercayaan pada kedua domain. Hubungan harus saling melengkapi. Misalnya, jika Anda membuat kepercayaan keluar pada satu domain, Anda harus membuat kepercayaan masuk di sisi lain.

Jika Anda membuat hubungan kepercayaan dengan domain yang ada, atur hubungan kepercayaan pada domain tersebut menggunakan alat Administrasi Server Windows.

Anda dapat membuat beberapa kepercayaan antara Microsoft AD yang AWS Dikelola dan berbagai domain Direktori Aktif. Namun, hanya satu hubungan kepercayaan per pasangan dapat eksis pada suatu waktu. Misalnya, jika Anda memiliki kepercayaan satu arah yang ada di “Arah masuk” dan Anda kemudian ingin mengatur hubungan kepercayaan lain di “Arah keluar,” Anda perlu menghapus hubungan kepercayaan yang ada, dan membuat kepercayaan “Dua arah” baru.

Untuk memverifikasi hubungan kepercayaan keluar

  1. Buka konsol AWS Directory Service.

  2. Pada halaman Direktori, pilih ID AD Microsoft yang AWS Dikelola.

  3. Pada halaman Detail direktori, lakukan salah satu hal berikut:

    • Jika Anda memiliki beberapa Region yang ditampilkan di bawah Replikasi multi-Region, pilih Region primer, dan kemudian pilih tab Jaringan & keamanan. Untuk informasi selengkapnya, lihat Region utama vs tambahan.

    • Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah Replikasi Multi-Region, pilih tab Jaringan & keamanan.

  4. Di bagian Hubungan kepercayaan, pilih kepercayaan yang ingin Anda verifikasi, pilih Tindakan, dan kemudian pilih Verifikasi hubungan kepercayaan.

Proses ini hanya memverifikasi arah keluar dari kepercayaan dua arah. AWS tidak mendukung verifikasi perwalian yang masuk. Untuk informasi selengkapnya tentang cara memverifikasi kepercayaan ke atau dari Direktori Aktif yang dikelola sendiri, lihat Verifikasi Kepercayaan di Microsoft TechNet.

Untuk menghapus hubungan kepercayaan yang ada

  1. Buka konsol AWS Directory Service.

  2. Pada halaman Direktori, pilih ID AD Microsoft yang AWS Dikelola.

  3. Pada halaman Detail direktori, lakukan salah satu hal berikut:

    • Jika Anda memiliki beberapa Region yang ditampilkan di bawah Replikasi multi-Region, pilih Region primer, dan kemudian pilih tab Jaringan & keamanan. Untuk informasi selengkapnya, lihat Region utama vs tambahan.

    • Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah Replikasi Multi-Region, pilih tab Jaringan & keamanan.

  4. Di bagian Hubungan kepercayaan, pilih kepercayaan yang ingin Anda hapus, pilih Tindakan, dan kemudian pilih Hapus hubungan kepercayaan.

  5. Pilih Hapus.