Creazione di una relazione di fiducia tra AWS Managed Microsoft AD e AD autogestito - AWS Directory Service
PrerequisitiCrea la relazione di trust

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di una relazione di fiducia tra AWS Managed Microsoft AD e AD autogestito

È possibile configurare relazioni di trust esterne e forestali unidirezionali tra il AWS Directory Service per Microsoft Active Directory e le directory autogestite (locali), nonché tra più directory AWS Microsoft AD gestite nel cloud. AWS AWS Microsoft AD gestito supporta tutte e tre le direzioni delle relazioni di trust: in entrata, in uscita e bidirezionale (bidirezionale).

Per ulteriori informazioni sulla relazione di trust, vedi Tutto quello che volevi sapere sui trust con AWS Managed Microsoft AD.

Nota

Quando si impostano relazioni di trust, è necessario assicurarsi che la directory autogestita sia e rimanga compatibile con AWS Directory Service s. Per ulteriori informazioni sulle proprie responsabilità, consultare il nostro modello sulla responsabilità condivisa.

AWS Microsoft AD gestito supporta trust sia esterni che forestali. Per esaminare uno scenario di esempio che mostra come creare un trust tra foreste, consulta Tutorial: creazione di una relazione di trust tra il tuo Microsoft AD gestito da AWS e il dominio di Active Directory autogestito.

È richiesta una fiducia bidirezionale per le app AWS aziendali come Amazon Chime, Amazon Connect AWS IAM Identity Center, QuickSight Amazon WorkDocs, Amazon WorkMail, WorkSpaces Amazon e. AWS Management Console AWS Microsoft AD gestito deve essere in grado di interrogare gli utenti e i gruppi in gestione automatica Active Directory.

Puoi abilitare l'autenticazione selettiva in modo che solo l'account del servizio specifico dell' AWS applicazione possa interrogare il servizio gestito autonomamente Active Directory. Per ulteriori informazioni, vedi Migliorare la sicurezza dell'integrazione delle AWS app con AWS Managed Microsoft AD.

Amazon EC2RDS, Amazon e Amazon FSx funzioneranno con un trust unidirezionale o bidirezionale.

Prerequisiti

La creazione di un trust richiede solo pochi passaggi, ma è necessario completare diverse fasi preliminari prima di configurare il trust.

Nota

AWS Microsoft AD gestito non supporta l'attendibilità con domini a etichetta singola.

Connect a VPC

Se stai creando una relazione di fiducia con la tua directory autogestita, devi prima connettere la tua rete autogestita ad Amazon VPC contenente Managed AWS Microsoft AD. Il firewall per le reti Microsoft AD AWS gestite e autogestite deve avere le porte di rete aperte elencate in Windows Server 2008 e versioni successive in Microsoft documentazione.

Per utilizzare il BIOS nome di rete anziché il nome di dominio completo per l'autenticazione con AWS applicazioni come Amazon WorkDocs o Amazon QuickSight, è necessario consentire la porta 9389. Per ulteriori informazioni sulle porte e i protocolli Active Directory, consulta Panoramica del servizio e requisiti delle porte di rete per Windowsin Microsoft documentazione.

Queste sono le porte minime necessarie per riuscire a connettersi alla directory. La propria configurazione specifica potrebbe richiedere l'apertura di porte aggiuntive.

Configura il tuo VPC

Il VPC file che contiene AWS Managed Microsoft AD deve avere le regole in uscita e in entrata appropriate.

Per configurare le regole in uscita VPC

  1. Nella AWS Directory Service console, nella pagina Dettagli della directory, annota l'ID della directory Microsoft AD AWS gestita.

  2. Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.

  3. Scegli i Security Groups (Gruppi di sicurezza).

  4. Cerca il tuo ID di directory AWS Managed Microsoft AD. Nei risultati della ricerca, seleziona l'elemento con la descrizione "gruppo di sicurezza AWS creato per i controller di directory ID delle directory».

    Nota

    Il gruppo di sicurezza selezionato è un gruppo di sicurezza che viene creato in modo automatico quando crei la directory inizialmente.

  5. Vai alla scheda Outbound Rules (Regole in uscita) di tale gruppo di sicurezza. Seleziona Edit (Modifica), quindi seleziona Add another rule (Aggiungi un'altra regola). Inserisci i valori seguenti per la nuova regola:

    • Type (Tipo): tutto il traffico

    • Protocol (Protocol): tutti

    • Destinazione determina il traffico che può lasciare i controller di dominio e dove può andare all'interno della rete autogestita. Specificare un singolo indirizzo IP o un intervallo di indirizzi IP in CIDR notazione (ad esempio, 203.0.113.5/32). Puoi specificare anche il nome o l'ID di un altro gruppo di sicurezza nella stessa regione. Per ulteriori informazioni, consulta Comprendi la configurazione e l'utilizzo del gruppo di AWS sicurezza della tua directory.

  6. Seleziona Salva.

Abilitazione della preautenticazione Kerberos

Gli account utente devono avere la preautenticazione Kerberos abilitata. Per ulteriori informazioni su questa impostazione, consulta Preauthentication on Microsoft TechNet.

Configura gli DNS inoltratori condizionali sul tuo dominio autogestito

È necessario configurare gli spedizionieri DNS condizionali nel dominio autogestito. Per informazioni dettagliate sui server d'inoltro condizionali, consulta Assegnazione di un server d'inoltro condizionale TechNet per un nome di dominio su Microsoft.

Per eseguire la procedura seguente, devi disporre dell'accesso ai seguenti strumenti di Windows Server nel dominio autogestito:

  • Servizi di dominio Active Directory e AD Tools LDS

  • DNS

Configurazione dei server d'inoltro condizionale sul dominio autogestito

  1. Innanzitutto è necessario ottenere alcune informazioni su AWS Managed Microsoft AD. Accedi alla AWS Management Console e apri la console AWS Directory Service.

  2. Nel riquadro di navigazione seleziona Directories (Directory).

  3. Scegli l'ID della directory del tuo AWS Managed Microsoft AD.

  4. Prendi nota del nome di dominio completo (FQDN) e DNS degli indirizzi della tua rubrica.

  5. Ora torna al controller di dominio autogestito. Aprire Server Manager.

  6. Nel menu Strumenti, scegliete DNS.

  7. Nell'albero della console, espandi il DNS server del dominio per il quale stai configurando il trust.

  8. Nella struttura della console, scegli Conditional Forwarders (Serve d'inoltro condizionale).

  9. Nel menu Action (Operazione), scegli New conditional forwarder (Nuovo server d'inoltro condizionale).

  10. In DNSdominio, digita il nome di dominio completo (FQDN) del tuo AWS Managed Microsoft AD, indicato in precedenza.

  11. Scegliete gli indirizzi IP dei server primari e digitate gli DNS indirizzi della directory AWS Managed Microsoft AD, che avete annotato in precedenza.

    Dopo aver inserito gli DNS indirizzi, potresti ricevere un errore di «timeout» o «impossibile risolvere». In genere, puoi ignorare questi errori.

  12. Seleziona Archivia questo server d'inoltro condizionale in Active Directory e replica come segue: Tutti i DNS server di questo dominio. Scegli OK.

Password della relazione di trust

Se crei una relazione di trust con un dominio esistente, configurala su tale dominio utilizzando gli strumenti di Windows Server Administration. Nel farlo, annota la password di trust utilizzata. È necessario utilizzare la stessa password per configurare la relazione di trust su AWS Managed Microsoft AD. Per ulteriori informazioni, vedi Managing Trust on Microsoft TechNet.

Ora sei pronto per creare la relazione di trust sul tuo AWS Managed Microsoft AD.

Net BIOS e nomi di dominio

La rete BIOS e i nomi di dominio devono essere unici e non possono coincidere per stabilire una relazione di fiducia.

Creazione, verifica o eliminazione di una relazione di trust

Nota

Le relazioni di fiducia sono una funzionalità globale di AWS Managed Microsoft AD. Se utilizzi Configurazione della replica multiarea per Managed AWS Microsoft AD, è necessario eseguire le seguenti procedure in Regione principale. Le modifiche verranno applicate automaticamente in tutte le Regioni replicate. Per ulteriori informazioni, consulta Funzionalità globali e regionali.

Per creare una relazione di fiducia con AWS Managed Microsoft AD

  1. Apri la AWS Directory Service console.

  2. Nella pagina Directory, scegli il tuo ID Microsoft AD AWS gestito.

  3. Nella pagina Dettaglio report, procedi in uno dei seguenti modi:

    • Se nella sezione Replica multiregione sono visualizzate più Regioni, seleziona quella principale, quindi scegli la scheda Rete e sicurezza. Per ulteriori informazioni, consulta Regioni primarie e regioni aggiuntive.

    • Se non hai alcuna regione visualizzata in replica multiregione, scegli la scheda Rete e sicurezza.

  4. Nella sezione Trust relationships (Relazioni di trust), scegli Actions (Azioni), quindi seleziona Add trust relationship (Aggiungi relazione di trust).

  5. Nella pagina Aggiungi una relazione di trust, fornisci le informazioni richieste, tra cui il tipo di trust, il nome di dominio completo (FQDN) del tuo dominio affidabile, la password di trust e la direzione di trust.

  6. (Facoltativo) Se desideri consentire solo agli utenti autorizzati di accedere alle risorse nella tua directory Microsoft AD AWS gestita, puoi facoltativamente scegliere la casella di controllo Autenticazione selettiva. Per informazioni generali sull'autenticazione selettiva, vedere Considerazioni sulla sicurezza per i trust su Microsoft. TechNet

  7. Per Conditional forwarder, digita l'indirizzo IP del server autogestito. DNS Se in precedenza hai creato dei server d'inoltro condizionali, puoi digitare il nome FQDN del tuo dominio autogestito anziché un indirizzo IP. DNS

  8. (Facoltativo) Scegliete Aggiungi un altro indirizzo IP e digitate l'indirizzo IP di un altro server autogestito. DNS È possibile ripetere questo passaggio per ogni indirizzo DNS server applicabile per un totale di quattro indirizzi.

  9. Scegli Aggiungi.

  10. Se il DNS server o la rete del tuo dominio autogestito utilizza uno spazio di indirizzi IP pubblico (non RFC 1918), vai alla sezione Routing IP, scegli Azioni, quindi scegli Aggiungi percorso. Digita il blocco di indirizzi IP del DNS server o della rete autogestita utilizzando il CIDR formato, ad esempio 203.0.113.0/24. Questo passaggio non è necessario se sia il DNS server che la rete autogestita utilizzano 1918 spazi di indirizzi IP. RFC

    Nota

    Quando utilizzi uno spazio di indirizzi IP pubblici, assicurati di non utilizzare nessuno degli intervalli di indirizzi IP AWS, in quanto questi non possono essere utilizzati.

  11. (Facoltativo) Nella pagina Aggiungi percorsi, ti consigliamo di selezionare anche Aggiungi percorsi al gruppo di sicurezza per quelli di questa directory. VPC Ciò configurerà i gruppi di sicurezza come descritto sopra nella sezione «Configura i tuoi»VPC. Queste regole di sicurezza incidono su un'interfaccia di rete interna che non viene esposta pubblicamente. Se questa opzione non è disponibile, visualizzerai un messaggio che indica che hai già personalizzato i gruppi di sicurezza.

È necessario configurare la relazione di trust su entrambi i domini. Le relazioni devono essere complementari. Ad esempio, nel caso di creazione di un trust in uscita su un dominio, sarà necessario creare un trust in entrata sull'altro.

Se crei una relazione di trust con un dominio esistente, configurala su tale dominio utilizzando gli strumenti di Windows Server Administration.

Puoi creare più trust tra il tuo AWS Managed Microsoft AD e vari domini Active Directory. Tuttavia, può esistere solo una relazione di fiducia per coppia alla volta. Ad esempio, se disponi di un trust unidirezionale esistente in "direzione in entrata" e desideri configurare un'altra relazione di trust nella "direzione in uscita", sarà necessario eliminare la relazione di trust esistente e crearne una nuova "bidirezionale".

Verifica di una relazione di trust in uscita

  1. Apri la AWS Directory Service console.

  2. Nella pagina Directory, scegli il tuo ID Microsoft AD AWS gestito.

  3. Nella pagina Dettaglio report, procedi in uno dei seguenti modi:

    • Se nella sezione Replica multiregione sono visualizzate più Regioni, seleziona quella principale, quindi scegli la scheda Rete e sicurezza. Per ulteriori informazioni, consulta Regioni primarie e regioni aggiuntive.

    • Se non hai alcuna regione visualizzata in replica multiregione, scegli la scheda Rete e sicurezza.

  4. Nella sezione Trust relationships (Relazioni di trust), seleziona il trust da verificare, scegli Actions (Operazioni), quindi seleziona Verify trust relationship (Verifica relazione di trust).

Questo processo verifica solo la direzione in uscita di un trust bidirezionale. AWS non supporta la verifica di un trust in entrata. Per ulteriori informazioni su come verificare l'attendibilità da o verso l'Active Directory autogestito, consulta Verify a Trust on Microsoft TechNet.

Eliminazione di una relazione di trust esistente

  1. Apri la AWS Directory Service console.

  2. Nella pagina Directory, scegli il tuo ID Microsoft AD AWS gestito.

  3. Nella pagina Dettaglio report, procedi in uno dei seguenti modi:

    • Se nella sezione Replica multiregione sono visualizzate più Regioni, seleziona quella principale, quindi scegli la scheda Rete e sicurezza. Per ulteriori informazioni, consulta Regioni primarie e regioni aggiuntive.

    • Se non hai alcuna regione visualizzata in replica multiregione, scegli la scheda Rete e sicurezza.

  4. Nella sezione Trust relationships (Relazioni di trust), seleziona il trust da eliminare, scegli Actions (Operazioni), quindi seleziona Delete trust relationship (Elimina relazione di trust).

  5. Scegli Delete (Elimina).