Creazione di una relazione di trust - AWS Directory Service
PrerequisitiCrea la relazione di trust

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di una relazione di trust

È possibile configurare relazioni di trust esterne e forestali unidirezionali tra il AWS Directory Service per Microsoft Active Directory e le directory autogestite (locali), nonché tra più directory AWS Microsoft AD gestite nel cloud. AWS AWS Microsoft AD gestito supporta tutte e tre le direzioni delle relazioni di trust: in entrata, in uscita e bidirezionale (bidirezionale).

Per ulteriori informazioni sulla relazione di trust, vedi Tutto quello che volevi sapere sui trust con AWS Managed Microsoft AD.

Nota

Quando si impostano relazioni di trust, è necessario assicurarsi che la directory autogestita sia e rimanga compatibile con AWS Directory Service s. Per ulteriori informazioni sulle proprie responsabilità, consultare il nostro modello sulla responsabilità condivisa.

AWS Microsoft AD gestito supporta trust sia esterni che forestali. Per esaminare uno scenario di esempio che mostra come creare un trust tra foreste, consulta Tutorial: creazione di una relazione di trust tra il tuo Microsoft AD gestito da AWS e il dominio di Active Directory autogestito.

È richiesta una fiducia bidirezionale per le app AWS aziendali come Amazon Chime, Amazon Connect AWS IAM Identity Center, QuickSight Amazon WorkDocs, Amazon WorkMail, WorkSpaces Amazon e. AWS Management Console AWS Microsoft AD gestito deve essere in grado di interrogare gli utenti e i gruppi gestiti automaticamenteActive Directory.

Amazon EC2, Amazon RDS e Amazon FSx funzionano con un trust unidirezionale o bidirezionale.

Prerequisiti

La creazione di un trust richiede solo pochi passaggi, ma è necessario completare diverse fasi preliminari prima di configurare il trust.

Nota

AWS Microsoft AD gestito non supporta l'attendibilità con domini a etichetta singola.

Connettiti a VPC

Se stai creando una relazione di fiducia con la tua directory autogestita, devi prima connettere la tua rete autogestita ad Amazon VPC contenente il tuo Managed Microsoft AD AWS . Il firewall per le reti Microsoft AD AWS gestite e autogestite deve avere aperte le porte di rete elencate nella Microsoft documentazione di WindowsServer 2008 e versioni successive.

Per utilizzare il nome NetBIOS anziché il nome di dominio completo per l'autenticazione con AWS applicazioni come Amazon o WorkDocs Amazon QuickSight, è necessario consentire la porta 9389. Per ulteriori informazioni sulle porte e i protocolli di Active Directory, consulta Panoramica del servizio e requisiti delle porte di rete nella documentazione. Windows Microsoft

Queste sono le porte minime necessarie per riuscire a connettersi alla directory. La propria configurazione specifica potrebbe richiedere l'apertura di porte aggiuntive.

Configura il VPC

Il VPC che contiene Managed AWS Microsoft AD deve avere le regole in uscita e in entrata appropriate.

Configurazione delle regole in uscita del VPC

  1. Nella AWS Directory Service console, nella pagina Dettagli della directory, annota l'ID della directory Microsoft AD AWS gestita.

  2. Apri alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  3. Scegli i Security Groups (Gruppi di sicurezza).

  4. Cerca il tuo ID di directory AWS Managed Microsoft AD. Nei risultati della ricerca, seleziona l'elemento con la descrizione "gruppo di sicurezza AWS creato per i controller di directory ID delle directory».

    Nota

    Il gruppo di sicurezza selezionato è un gruppo di sicurezza che viene creato in modo automatico quando crei la directory inizialmente.

  5. Vai alla scheda Outbound Rules (Regole in uscita) di tale gruppo di sicurezza. Seleziona Edit (Modifica), quindi seleziona Add another rule (Aggiungi un'altra regola). Inserisci i valori seguenti per la nuova regola:

    • Type (Tipo): tutto il traffico

    • Protocol (Protocol): tutti

    • Destinazione determina il traffico che può lasciare i controller di dominio e dove può andare all'interno della rete autogestita. Specifica un singolo indirizzo IP o un intervallo di indirizzi IP nella notazione CIDR (ad esempio, 203.0.113.5/32). Puoi specificare anche il nome o l'ID di un altro gruppo di sicurezza nella stessa regione. Per ulteriori informazioni, consulta Comprendi la configurazione e l'utilizzo del gruppo di AWS sicurezza della tua directory.

  6. Seleziona Salva.

Abilitazione della preautenticazione Kerberos

Gli account utente devono avere la preautenticazione Kerberos abilitata. Per ulteriori informazioni su questa impostazione, consulta Preauthentication on Microsoft TechNet.

Configurazione dei server d'inoltro condizionale DNS sul dominio autogestito

È necessario configurare i server d'inoltro condizionale DNS sul dominio autogestito. Per informazioni dettagliate sui server d'inoltro condizionali, consulta Assegnazione di un server d'inoltro condizionale TechNet per un nome di dominio su Microsoft.

Per eseguire la procedura seguente, devi disporre dell'accesso ai seguenti strumenti di Windows Server nel dominio autogestito:

  • Strumenti AD DS e AD LDS

  • DNS

Configurazione dei server d'inoltro condizionale sul dominio autogestito

  1. Innanzitutto è necessario ottenere alcune informazioni su AWS Managed Microsoft AD. Accedi alla AWS Management Console e apri la console AWS Directory Service.

  2. Nel riquadro di navigazione seleziona Directories (Directory).

  3. Scegli l'ID della directory del tuo AWS Managed Microsoft AD.

  4. Annota il nome di dominio completo (FQDN) e l'indirizzo DNS della tua directory.

  5. Ora torna al controller di dominio autogestito. Aprire Server Manager.

  6. Nel menu Tools (Strumenti), seleziona DNS.

  7. Nella struttura della console, espandi il server DNS del dominio per il quale configuri il trust.

  8. Nella struttura della console, scegli Conditional Forwarders (Serve d'inoltro condizionale).

  9. Nel menu Action (Operazione), scegli New conditional forwarder (Nuovo server d'inoltro condizionale).

  10. Nel dominio DNS, digita il nome di dominio completo (FQDN) del tuo Managed AWS Microsoft AD, come indicato in precedenza.

  11. Scegli gli indirizzi IP dei server primari e digita gli indirizzi DNS della directory AWS Managed Microsoft AD, che hai annotato in precedenza.

    Dopo aver inserito l'indirizzo DNS, potresti ricevere un errore "timeout" o "unable to resolve" ("impossibile risolvere"). In genere, puoi ignorare questi errori.

  12. Seleziona Store this conditional forwarder in Active Directory and replicate as follows: All DNS servers in this domain (Memorizza questo server d'inoltro condizionale in Active Directory e replica come segue: tutti i server DNS in questo dominio). Scegli OK.

Password della relazione di trust

Se crei una relazione di trust con un dominio esistente, configurala su tale dominio utilizzando gli strumenti di Windows Server Administration. Nel farlo, annota la password di trust utilizzata. È necessario utilizzare la stessa password per configurare la relazione di trust su AWS Managed Microsoft AD. Per ulteriori informazioni, vedi Managing Trust on Microsoft TechNet.

Ora sei pronto per creare la relazione di trust sul tuo AWS Managed Microsoft AD.

NetBIOS e nomi di dominio

Il NetBIOS e i nomi di dominio devono essere univoci e non possono essere gli stessi per stabilire una relazione di trust.

Creazione, verifica o eliminazione di una relazione di trust

Nota

Le relazioni di fiducia sono una funzionalità globale di AWS Managed Microsoft AD. Se utilizzi Replica multi regione, è necessario eseguire le seguenti procedure in Primary Regione AWS. Le modifiche verranno applicate automaticamente in tutte le Regioni replicate. Per ulteriori informazioni, consulta Funzionalità globali e regionali.

Per creare una relazione di fiducia con AWS Managed Microsoft AD

  1. Apri la AWS Directory Service console.

  2. Nella pagina Directory, scegli il tuo ID Microsoft AD AWS gestito.

  3. Nella pagina Dettaglio report, procedi in uno dei seguenti modi:

    • Se nella sezione Replica multiregione sono visualizzate più Regioni, seleziona quella principale, quindi scegli la scheda Rete e sicurezza. Per ulteriori informazioni, consulta Primario o aggiuntivo Regioni AWS.

    • Se non hai alcuna regione visualizzata in replica multiregione, scegli la scheda Rete e sicurezza.

  4. Nella sezione Trust relationships (Relazioni di trust), scegli Actions (Azioni), quindi seleziona Add trust relationship (Aggiungi relazione di trust).

  5. Nella pagina Add a trust relationship (Aggiungi una relazione di trust), fornisci le informazioni necessarie, tra cui il tipo di trust, il nome dominio completo (FQDN) del dominio trusted, la password di trust e la direzione di trust.

  6. (Facoltativo) Se desideri consentire solo agli utenti autorizzati di accedere alle risorse nella tua directory Microsoft AD AWS gestita, puoi facoltativamente scegliere la casella di controllo Autenticazione selettiva. Per informazioni generali sull'autenticazione selettiva, vedere Considerazioni sulla sicurezza per i trust su Microsoft. TechNet

  7. In Server d'inoltro condizionale, digita l'indirizzo IP del server DNS autogestito. Se in precedenza hai creato server d'inoltro condizionale, puoi digitare il nome di dominio completo (FQDN) del dominio autogestito, invece dell'indirizzo IP DNS.

  8. (Facoltativo) Scegli Aggiungi un altro indirizzo IP e digita l'indirizzo IP di un server DNS autogestito aggiuntivo. Puoi ripetere questa fase per ogni indirizzo del server DNS applicabile, per un totale di quattro indirizzi.

  9. Scegli Aggiungi.

  10. Se il server DNS o la rete del dominio autogestito utilizza un spazio di indirizzi IP pubblici (al di fuori dello spazio RFC 1918), accedi alla sezione Instradamento IP), scegli Operazioni, quindi seleziona Aggiungi instradamento. Digita il blocco dell'indirizzo IP del server DNS o della rete autogestita tramite il formato CIDR, ad esempio 203.0.113.0/24. Questa fase non è necessaria se sia il server DNS che la rete autogestita utilizzano spazi di indirizzi IP RFC 1918.

    Nota

    Quando utilizzi uno spazio di indirizzi IP pubblici, assicurati di non utilizzare nessuno degli intervalli di indirizzi IP AWS, in quanto questi non possono essere utilizzati.

  11. (Facoltativo) Quando sei sulla pagina Add routes (Aggiungi instradamento), ti consigliamo di selezionare anche Add routes to the security group for this directory's VPC (Aggiungi instradamenti al gruppo di sicurezza del VPC di questa directory). Ciò permetterà la configurazione dei gruppi di sicurezza, come descritto sopra nella sezione "Configura VPC". Queste regole di sicurezza incidono su un'interfaccia di rete interna che non viene esposta pubblicamente. Se questa opzione non è disponibile, visualizzerai un messaggio che indica che hai già personalizzato i gruppi di sicurezza.

È necessario configurare la relazione di trust su entrambi i domini. Le relazioni devono essere complementari. Ad esempio, nel caso di creazione di un trust in uscita su un dominio, sarà necessario creare un trust in entrata sull'altro.

Se crei una relazione di trust con un dominio esistente, configurala su tale dominio utilizzando gli strumenti di Windows Server Administration.

Puoi creare più trust tra il tuo AWS Managed Microsoft AD e vari domini Active Directory. Tuttavia, può esistere solo una relazione di fiducia per coppia alla volta. Ad esempio, se disponi di un trust unidirezionale esistente in "direzione in entrata" e desideri configurare un'altra relazione di trust nella "direzione in uscita", sarà necessario eliminare la relazione di trust esistente e crearne una nuova "bidirezionale".

Verifica di una relazione di trust in uscita

  1. Apri la AWS Directory Service console.

  2. Nella pagina Directory, scegli il tuo ID Microsoft AD AWS gestito.

  3. Nella pagina Dettaglio report, procedi in uno dei seguenti modi:

    • Se nella sezione Replica multiregione sono visualizzate più Regioni, seleziona quella principale, quindi scegli la scheda Rete e sicurezza. Per ulteriori informazioni, consulta Primario o aggiuntivo Regioni AWS.

    • Se non hai alcuna regione visualizzata in replica multiregione, scegli la scheda Rete e sicurezza.

  4. Nella sezione Trust relationships (Relazioni di trust), seleziona il trust da verificare, scegli Actions (Operazioni), quindi seleziona Verify trust relationship (Verifica relazione di trust).

Questo processo verifica solo la direzione in uscita di un trust bidirezionale. AWS non supporta la verifica di un trust in entrata. Per ulteriori informazioni su come verificare l'attendibilità da o verso l'Active Directory autogestito, consulta Verify a Trust on Microsoft TechNet.

Eliminazione di una relazione di trust esistente

  1. Apri la AWS Directory Service console.

  2. Nella pagina Directory, scegli il tuo ID Microsoft AD AWS gestito.

  3. Nella pagina Dettaglio report, procedi in uno dei seguenti modi:

    • Se nella sezione Replica multiregione sono visualizzate più Regioni, seleziona quella principale, quindi scegli la scheda Rete e sicurezza. Per ulteriori informazioni, consulta Primario o aggiuntivo Regioni AWS.

    • Se non hai alcuna regione visualizzata in replica multiregione, scegli la scheda Rete e sicurezza.

  4. Nella sezione Trust relationships (Relazioni di trust), seleziona il trust da eliminare, scegli Actions (Operazioni), quindi seleziona Delete trust relationship (Elimina relazione di trust).

  5. Scegli Delete (Elimina).