Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Langkah 1: Siapkan Domain AD yang dikelola sendiri
<a name="ms_ad_tutorial_setup_trust_prepare_onprem"></a>

Pertama, Anda perlu menyelesaikan beberapa langkah prasyarat pada domain yang dikelola sendiri (lokal) Anda.

## Konfigurasikan firewall yang dikelola sendiri
<a name="tutorial_setup_trust_connect_vpc"></a>

Anda harus mengonfigurasi firewall yang dikelola sendiri sehingga port berikut terbuka CIDRs untuk semua subnet yang digunakan oleh VPC yang berisi iklan Microsoft Terkelola AWS Anda. Dalam tutorial ini, kami mengizinkan lalu lintas masuk dan keluar dari 10.0.0.0/16 (blok CIDR dari VPC AWS Microsoft AD Terkelola kami) pada port berikut:

 
+ TCP/UDP 53 - DNS 
+ TCP/UDP 88 - Autentikasi Kerberos
+ TCP/UDP 389 - Protokol Akses Direktori Ringan (LDAP)
+ TCP 445 - Blok Pesan Server (SMB)
+ TCP 9389 - Active Directory Web Services (ADWS) (*Opsional* - Port ini harus terbuka jika Anda ingin menggunakan nama NetBIOS Anda alih-alih nama domain lengkap Anda untuk otentikasi dengan aplikasi seperti AWS Amazon atau Amazon Quick.) WorkDocs 

**catatan**  
SMBv1 tidak lagi didukung.  
Ini adalah port minimum yang diperlukan untuk menghubungkan VPC ke direktori yang dikelola sendiri. Konfigurasi spesifik Anda mungkin mengharuskan port-port tambahan terbuka.

## Pastikan bahwa Kerberos pra-autentikasi diaktifkan
<a name="tutorial_setup_trust_enable_kerberos"></a>

Akun pengguna di kedua direktori harus mengaktifkan praautentikasi Kerberos. Ini adalah default, tapi mari kita periksa properti dari setiap pengguna acak untuk memastikan tidak ada yang berubah.

**Untuk melihat pengaturan Kerberos pengguna**

1. Pada pengontrol domain yang dikelola sendiri, buka Server Manager.

1. Pada menu **Alat**, pilih **Pengguna dan komputer Direktori Aktif**.

1. Pilih folder **Pengguna** dan buka menu konteks (klik kanan). Pilih akun pengguna acak yang tercantum dalam panel kanan. Pilih **Properti**. 

1. Pilih tab **Akun**. Di daftar **Opsi akun**, gulir ke bawah dan pastikan bahwa **Tidak memerlukan preautentikasi Kerberos** *tidak* dicentang.   
![\[Kotak dialog Corp User Properties dengan opsi akun tidak memerlukan preotentikasi Kerberos disorot.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/kerberos_enabled.png)

## Konfigurasikan forwarder bersyarat DNS untuk domain yang dikelola sendiri
<a name="tutorial_setup_trust_onprem_forwarder"></a>

Anda harus mengatur penerusan bersyarat DNS pada setiap domain. Sebelum melakukan ini di domain yang dikelola sendiri, pertama-tama Anda akan mendapatkan beberapa informasi tentang iklan Microsoft yang AWS Dikelola.

**Untuk mengonfigurasi forwarder bersyarat pada domain yang dikelola sendiri**

1. Masuk ke Konsol Manajemen AWS dan buka [AWS Directory Service konsol](https://console.aws.amazon.com/directoryservicev2/).

1. Di panel navigasi , pilih **Direktori**.

1. Pilih ID direktori iklan Microsoft AWS Terkelola Anda.

1. Pada halaman **Detail**, perhatikan nilai-nilai dalam **Nama direktori** dan **Alamat DNS** dari direktori Anda.

1. Sekarang, kembali ke pengontrol domain yang dikelola sendiri. Buka Pengelola Server

1. Pada menu **Alat**, pilih **DNS**.

1. Pada pohon konsol, perluas server DNS dari domain di mana Anda mengatur kepercayaan. Server kami adalah CN7 VJ0 WIN-5V70 .corp.example.com.

1. Pada pohon konsol, pilih **Penerusan Bersyarat**.

1. Pada menu **Tindakan**, pilih **Penerusan bersyarat baru**. 

1. Di **domain DNS**, ketik nama domain yang memenuhi syarat penuh (FQDN) dari AWS Microsoft AD Terkelola Anda, yang Anda sebutkan sebelumnya. Dalam contoh ini, FQDN adalah Ad.example.com. MyManaged

1. Pilih **alamat IP server utama** dan ketik alamat DNS direktori Microsoft AD AWS Terkelola Anda, yang Anda catat sebelumnya. Dalam contoh ini yaitu: 10.0.10.246, 10.0.20.121

   Setelah memasukkan alamat DNS, Anda mungkin mendapatkan error “timeout” atau “tidak dapat menyelesaikan”. Anda biasanya dapat mengabaikan error ini.  
![\[Kotak dialog Conditional Forwarder baru dengan alamat IP server DNS disorot.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/new_cond_forwarder_diag_box_2.png)

1. Pilih **Menyimpan penerusan bersyarat ini di Direktori Aktif dan mereplikasi sebagai berikut**.

1. Pilih **Semua server DNS dalam domain ini**, lalu pilih **OK**.

**Langkah Selanjutnya**

[Langkah 2: Siapkan Microsoft AD yang AWS Dikelola](ms_ad_tutorial_setup_trust_prepare_mad.md)