Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Tutorial: crea una relazione di fiducia tra il tuo AWS Managed Microsoft AD e il tuo dominio Active Directory autogestito
Questo tutorial illustra tutti i passaggi necessari per impostare una relazione di fiducia tra AWS Directory Service per Microsoft Active Directory e Active Directory autogestito (locale)Microsoft. Sebbene la creazione di trust comprenda poche fasi, è necessario prima completare le seguenti fasi preliminari.
**Topics**
+ [Prerequisiti](before_you_start.md)
+ [Fase 1: Preparazione del dominio di AD autogestito](ms_ad_tutorial_setup_trust_prepare_onprem.md)
+ [Fase 2: Preparazione del programma AWS Managed Microsoft AD](ms_ad_tutorial_setup_trust_prepare_mad.md)
+ [Fase 3: creazione della relazione di trust](ms_ad_tutorial_setup_trust_create.md)
**Vedi anche**
[Creazione di una relazione di fiducia tra AWS Managed Microsoft AD e AD autogestito](ms_ad_setup_trust.md)
# Prerequisiti
Questo tutorial presuppone che tu abbia già:
**Nota**
AWS Microsoft AD gestito non supporta l'attendibilità con [domini Single label](https://support.microsoft.com/en-us/help/2269810/microsoft-support-for-single-label-domains).
+ Una directory Microsoft AD AWS gestita creata su AWS. Se hai bisogno di aiuto per eseguire questa operazione, consulta [Guida introduttiva a AWS Managed Microsoft AD](ms_ad_getting_started.md).
+ Un'istanza EC2 in esecuzione è Windows stata aggiunta a quel AWS Managed Microsoft AD. Se hai bisogno di aiuto per eseguire questa operazione, consulta [Unire un'istanza Windows di Amazon EC2 alla tua directory gestita di AWS Microsoft AD Active Directory](launching_instance.md).
**Importante**
L'account amministratore per AWS Managed Microsoft AD deve disporre dell'accesso amministrativo a questa istanza.
+ I seguenti strumenti Windows del server sono installati su quell'istanza:
+ Strumenti AD DS e AD LDS
+ DNS
Se hai bisogno di aiuto per eseguire questa operazione, consulta [Installazione degli strumenti di amministrazione di Active Directory per AWS Managed Microsoft AD](ms_ad_install_ad_tools.md).
+ Un Microsoft Active Directory autogestito (on-premise)
È necessario disporre dell'accesso amministrativo a questa directory. Gli stessi strumenti Windows Server elencati sopra devono essere disponibili anche per questa directory.
+ Una connessione attiva tra la rete autogestita e il VPC contenente AWS Managed Microsoft AD. Se hai bisogno di assistenza, consulta il documento sulle [opzioni di connettività di Amazon Virtual Private Cloud (VPC)](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-vpc-connectivity-options.pdf).
+ Una policy di sicurezza locale impostata correttamente. Verifica `Local Security Policy > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously` e assicurati che contenga almeno le seguenti pipe con tre nomi:
+ netlogon
+ samr
+ lsarpc
+ Il NetBIOS e i nomi di dominio devono essere univoci e non possono essere gli stessi per stabilire una relazione di trust
Per ulteriori informazioni sui prerequisiti per la creazione di una relazione di trust, consulta [Creazione di una relazione di fiducia tra AWS Managed Microsoft AD e AD autogestito](ms_ad_setup_trust.md).
## Configurazione del tutorial
Per questo tutorial, abbiamo già creato un Microsoft AD AWS gestito e un dominio autogestito. La rete autogestita è connessa al VPC di AWS Managed Microsoft AD. Di seguito sono riportate le proprietà delle due directory:
### AWS Microsoft AD gestito in esecuzione su AWS
+ Nome di dominio (FQDN): ad.example.com MyManaged
+ Nome NetBIOS: AD MyManaged
+ Indirizzi DNS: 10.0.10.246, 10.0.20.121
+ CIDR VPC: 10.0.0.0/16
Il AWS Managed Microsoft AD risiede nell'ID VPC: vpc-12345678.
### Dominio Microsoft AD AWS gestito o autogestito
+ Nome del dominio (FQDN): corp.example.com
+ Nome NetBIOS: CORP
+ Indirizzi DNS: 172.16.10.153
+ CIDR autogestito: 172.16.0.0/16
**Fase successiva**
[Fase 1: Preparazione del dominio di AD autogestito](ms_ad_tutorial_setup_trust_prepare_onprem.md)
# Fase 1: Preparazione del dominio di AD autogestito
In primo luogo, è necessario completare varie fasi preliminari sul tuo dominio autogestito (on-premise).
## Configurazione del firewall gestito autogestito
È necessario configurare il firewall autogestito in modo che le seguenti porte siano aperte a tutte CIDRs le sottoreti utilizzate dal VPC che contiene Managed Microsoft AD. AWS In questo tutorial, consentiamo il traffico in entrata e in uscita da 10.0.0.0/16 (il blocco CIDR del VPC del nostro Managed AWS Microsoft AD) sulle seguenti porte:
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - autenticazione Kerberos
+ TCP/UDP 389 - Lightweight Directory Access Protocol (LDAP)
+ TCP 445 - Server Message Block (SMB)
+ TCP 9389 - Active Directory Web Services (ADWS) (*opzionale*: questa porta deve essere aperta se si desidera utilizzare il nome NetBIOS anziché il nome di dominio completo per l'autenticazione con applicazioni come AWS Amazon o Amazon Quick.) WorkDocs
**Nota**
SMBv1 non è più supportato.
Queste sono le porte minime necessarie per connettere il VPC alla directory autogestita. La propria configurazione specifica potrebbe richiedere l'apertura di porte aggiuntive.
## Assicurarsi che la preautenticazione di Kerberos sia abilitata
La preautenticazione di Kerberos deve essere abilitata per gli account utente in entrambe le directory. Questa è l'impostazione predefinita, ma controlliamo le proprietà di qualsiasi utente causale per assicurarci che non siano state apportate modifiche.
**Per visualizzare le impostazioni Kerberos dell'utente**
1. Sul controller di dominio gestito dal cliente, apri Server Manager.
1. Nel menu **Tools** (Strumenti), scegli **Active Directory Users and Computers** (Strumento Users and Computers (Utenti e computer) di Active Directory).
1. Scegli la cartella **Users (Utenti)** e apri il menu contestuale (clic sul tasto destro). Seleziona un account utente casuale elencato nel riquadro di destra. Scegli **Properties (Proprietà)**.
1. Seleziona la scheda **Account**. Nell'elenco **Account options** (Opzioni account), scorri verso il basso e assicurati che **Do not require Kerberos preauthentication** (Non richiedere la preautenticazione Kerberos) *non* sia selezionato.
![\[La finestra di dialogo Corp User Properties con l'opzione account non richiede l'evidenziazione della preautenticazione Kerberos.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/kerberos_enabled.png)
## Configurazione dei server d'inoltro condizionale DNS per il dominio autogestito
È necessario configurare i server d'inoltro condizionale DNS su ciascun dominio. Prima di eseguire questa operazione sul tuo dominio autogestito, riceverai alcune informazioni sul tuo AWS Managed Microsoft AD.
**Configurazione dei server d'inoltro condizionale sul dominio autogestito**
1. Accedi a Console di gestione AWS e apri la [AWS Directory Service console](https://console.aws.amazon.com/directoryservicev2/).
1. Nel riquadro di navigazione seleziona **Directories** (Directory).
1. Scegli l'ID della directory del tuo AWS Managed Microsoft AD.
1. Nella pagina **Details (Dettagli)**, prendi nota dei valori in **Directory name (Nome directory)** e in **DNS address (Indirizzo DNS)** della tua directory.
1. Ora torna al controller di dominio autogestito. Aprire Server Manager.
1. Nel menu **Tools** (Strumenti), seleziona **DNS**.
1. Nella struttura della console, espandi il server DNS del dominio per il quale configuri il trust. Il nostro server è CN7 VJ0 WIN-5V70 .corp.example.com.
1. Nella struttura della console, scegli **Conditional Forwarders** (Serve d'inoltro condizionale).
1. Nel menu **Action** (Operazione), scegli **New conditional forwarder** (Nuovo server d'inoltro condizionale).
1. Nel **dominio DNS**, digita il nome di dominio completo (FQDN) del tuo Managed AWS Microsoft AD, come indicato in precedenza. In questo esempio, il nome di dominio completo è AD.example.com. MyManaged
1. Scegli **gli indirizzi IP dei server primari** e digita gli indirizzi DNS della directory AWS Managed Microsoft AD, che hai annotato in precedenza. In questo esempio, sono: 10.0.10.246, 10.0.20.121
Dopo aver inserito l'indirizzo DNS, potresti ricevere un errore "timeout" o "unable to resolve" ("impossibile risolvere"). In genere, puoi ignorare questi errori.
![\[Nuova finestra di dialogo Conditional Forwarder con gli indirizzi IP dei server DNS evidenziati.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/new_cond_forwarder_diag_box_2.png)
1. Seleziona **Store this conditional forwarder in Active Directory, and replicate it as follows** (Memorizza questo server d'inoltro condizionale in Active Directory e replicalo come segue).
1. Seleziona **All DNS servers in this domain** (Tutti i server DNS in questo dominio), quindi seleziona **OK**.
**Fase successiva**
[Fase 2: Preparazione del programma AWS Managed Microsoft AD](ms_ad_tutorial_setup_trust_prepare_mad.md)
# Fase 2: Preparazione del programma AWS Managed Microsoft AD
Ora prepariamo AWS Managed Microsoft AD per la relazione di fiducia. Molte delle fasi seguenti sono quasi identiche a quelle appena completate per il dominio autogestito. Questa volta, tuttavia, stai lavorando con il tuo AWS Managed Microsoft AD.
## Configurazione delle sottoreti VPC e dei gruppi di sicurezza
È necessario consentire il traffico dalla rete autogestita al VPC contenente AWS Managed Microsoft AD. A tale scopo, è necessario assicurarsi che le regole ACLs associate alle sottoreti utilizzate per distribuire Managed AWS Microsoft AD e le regole dei gruppi di sicurezza configurate sui controller di dominio consentano entrambe il traffico necessario per supportare i trust.
I requisiti di porta variano in base alla versione di Windows Server utilizzata dal controller di dominio e dai servizi o applicazioni che sfruttano il trust. Per gli scopi di questo tutorial, sarà necessario aprire le seguenti porte:
**In entrata**
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - autenticazione Kerberos
+ UDP 123 - NTP
+ TCP 135 - RPC
+ TCP/UDP 389 - LDAP
+ TCP/UDP 445 - SMB
+ TCP/UDP 464 - Autenticazione Kerberos
+ TCP 636 - LDAPS (LDAP su TLS/SSL)
+ TCP 3268-3269 - Catalogo globale
+ TCP/UDP 49152-65535 - Porte temporanee per RPC
**Nota**
SMBv1 non è più supportato.
**In uscita**
+ ALL
**Nota**
Queste sono le porte minime necessarie per riuscire a connettere il VPC e la directory autogestita. La propria configurazione specifica potrebbe richiedere l'apertura di porte aggiuntive.
**Per configurare le regole in entrata e in uscita del controller di dominio Microsoft AD AWS gestito**
1. Tornare alla console [AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/). Nell'elenco delle directory, prendi nota dell'ID della directory AWS Managed Microsoft AD.
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Fai clic su **Gruppi di sicurezza** nel riquadro di navigazione.
1. Utilizza la casella di ricerca per cercare il tuo ID di directory Microsoft AD AWS gestito. Nei risultati della ricerca, seleziona il gruppo di sicurezza con la descrizione**AWS created security group for *yourdirectoryID* directory controllers**.
![\[Nella console Amazon VPC, i risultati della ricerca per il gruppo di sicurezza per i controller di directory sono evidenziati.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/security-group-search.png)
1. Vai alla scheda **Outbound Rules** (Regole in uscita) per tale gruppo di sicurezza. Scegli **Modifica regole**, quindi **Aggiungi regola**. Inserisci i valori seguenti per la nuova regola:
+ **Type** (Tipo): traffico ALL
+ **Protocol** (Protocollo): ALL
+ **Destination** (Destinazione) determina il traffico che può lasciare i controller di dominio e dove può andare. Specifica un singolo indirizzo IP o un intervallo di indirizzi IP nella notazione CIDR (ad esempio, 203.0.113.5/32). Puoi specificare anche il nome o l'ID di un altro gruppo di sicurezza nella stessa regione. Per ulteriori informazioni, consulta [Comprendi la configurazione e l'utilizzo del gruppo AWS di sicurezza della tua directory](ms_ad_best_practices.md#understandsecuritygroup).
1. Seleziona **Salva regola**.
![\[Nella console Amazon VPC, modifica le regole in uscita per i gruppi di sicurezza dei controller di directory.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/editing-and-saving-rule.png)
## Assicurarsi che la preautenticazione di Kerberos sia abilitata
Ora vuoi confermare che anche gli utenti del tuo AWS Managed Microsoft AD abbiano abilitato la preautenticazione Kerberos. Si tratta della stesso processo completato per la directory autogestita. Questa è l'impostazione predefinita, ma controlliamo per assicurarci che non siano state apportate modifiche.
**Visualizzazione delle impostazioni Kerberos dell'utente**
1. Accedi a un'istanza che fa parte della tua directory di Microsoft AD AWS gestita utilizzando il comando [AWS Account Microsoft AD Administrator gestito e autorizzazioni di gruppo](ms_ad_getting_started_admin_account.md) per il dominio o un account a cui sono state delegate le autorizzazioni per la gestione degli utenti nel dominio.
1. Se non sono installati, installa gli strumenti DNS e Utenti e computer di Active Directory. Scopri come installare questi strumenti in [Installazione degli strumenti di amministrazione di Active Directory per AWS Managed Microsoft AD](ms_ad_install_ad_tools.md).
1. Aprire Server Manager. Nel menu **Tools** (Strumenti), scegli **Active Directory Users and Computers** (Strumento Users and Computers (Utenti e computer) di Active Directory).
1. Scegli la cartella **Users** (Utenti) nel dominio. Da notare che questa è la cartella **Users (Utenti)** sotto il nome NetBIOS e non la cartella **Users (Utenti) ** sotto il nome del dominio completo (FQDN).
![\[Nella finestra di dialogo Utenti e computer di Active Directory, la cartella Utenti è evidenziata.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/correct_users_folder.png)
1. Nell'elenco di utenti, fai clic con il pulsante destro del mouse su un utente, quindi scegli **Proprietà (Properties)**.
1. Seleziona la scheda **Account**. Nell'elenco **Account options** (Opzioni account), assicurati che **Do not require Kerberos preauthentication** (Non richiedere la preautenticazione Kerberos) *non* sia selezionato.
**Fase successiva**
[Fase 3: creazione della relazione di trust](ms_ad_tutorial_setup_trust_create.md)
# Fase 3: creazione della relazione di trust
Ora che il lavoro di preparazione è completato, le fasi finali servono a creare i trust. Prima crei la fiducia sul tuo dominio autogestito e infine sul tuo AWS Managed Microsoft AD. In caso di problemi durante il processo di creazione del trust, consultare [Motivo stato di creazione trust](ms_ad_troubleshooting_trusts.md) per ricevere assistenza.
## Configurazione dell'attendibilità nell'Active Directory autogestito
In questo tutorial, è possibile configurare un trust tra foreste bidirezionale. Tuttavia, se si crea un trust tra foreste unidirezionale occorre tenere presente che le direzioni del trust su ciascuno dei domini devono essere complementari. Ad esempio, se crei un trust unidirezionale in uscita sul tuo dominio autogestito, devi creare un trust unidirezionale in entrata sul tuo Managed Microsoft AD. AWS
**Nota**
AWS Managed Microsoft AD supporta anche i trust esterni. Tuttavia, ai fini di questo tutorial, verrà creato un trust tra foreste bidirezionale.
**Per configurare l'attendibilità nell'Active Directory autogestito**
1. Aprire Server Manager e nel menu **Tools** (Strumenti) scegliere **Active Directory Domains and Trusts** (Trust e domini di Active Directory).
1. Aprire il menu contestuale (pulsante destro del mouse) del dominio e scegliere **Properties** (Proprietà).
1. Scegliere la scheda **Trusts** (Trust) e scegliere **New trust** (Nuovo trust). Digita il nome del tuo AWS Managed Microsoft AD e scegli **Avanti**.
1. Scegliere **Forest Trust** (Trust tra foreste). Scegli **Next (Successivo)**.
1. Scegliere **Two-way** (Bidirezionale). Scegli **Next (Successivo)**.
1. Scegliere **This domain only** (Solo questo dominio). Scegli **Next (Successivo)**.
1. Scegliere **Forest-wide authentication** (Autenticazione a livello di foresta). Scegli **Next (Successivo)**.
1. Digitare una **Trust password** (Password di trust). Assicurati di ricordare questa password perché ti servirà quando configuri l'attendibilità per AWS Managed Microsoft AD.
1. Nella finestra di dialogo successiva, confermare le impostazioni e scegliere **Next** (Avanti). Confermare la corretta creazione del trust e scegliere nuovamente **Next** (Avanti).
1. Scegliere **No, do not confirm the outgoing trust** (No, non confermare il trust in uscita). Scegli **Next (Successivo)**.
1. Scegliere **No, do not confirm the incoming trust** (No, non confermare il trust in ingresso). Scegli **Next (Successivo)**.
## Configura l'attendibilità nella tua directory AWS Managed Microsoft AD
Infine, si configura la relazione di trust della foresta con la directory AWS Managed Microsoft AD. Poiché hai creato un trust di foresta bidirezionale nel dominio autogestito, crei anche un trust bidirezionale utilizzando la directory Managed AWS Microsoft AD.
**Nota**
Le relazioni di fiducia sono una funzionalità globale di AWS Managed Microsoft AD. Se utilizzi [Configurazione della replica multiarea per Managed AWS Microsoft AD](ms_ad_configure_multi_region_replication.md), è necessario eseguire le seguenti procedure in [Regione principale](multi-region-global-primary-additional.md#multi-region-primary). Le modifiche verranno applicate automaticamente in tutte le Regioni replicate. Per ulteriori informazioni, consulta [Funzionalità globali e regionali](multi-region-global-region-features.md).
**Per configurare l'attendibilità nella directory AWS Managed Microsoft AD**
1. Tornare alla console [AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/).
1. Nella pagina **Directory**, scegli il tuo ID Microsoft AD AWS gestito.
1. Nella pagina **Dettaglio report**, procedi in uno dei seguenti modi:
+ Se nella sezione **Replica multiregione** sono visualizzate più Regioni, seleziona quella principale, quindi scegli la scheda **Rete e sicurezza**. Per ulteriori informazioni, consulta [Regioni primarie e regioni aggiuntive](multi-region-global-primary-additional.md).
+ Se non hai alcuna regione visualizzata in **replica multiregione**, scegli la scheda **Rete e sicurezza**.
1. Nella sezione **Trust relationships (Relazioni di trust)**, scegli **Actions (Azioni)**, quindi seleziona **Add trust relationship (Aggiungi relazione di trust)**.
1. Nella pagina **Aggiungi una relazione di trust**, specifica il Tipo di trust. In questo caso, scegliamo **Trust tra foreste**. Digita il nome completo del dominio autogestito (in questo tutorial **corp.example.com**). Digita la stessa password di trust utilizzata durante la creazione del trust sul dominio autogestito. Specificare la direzione. In questo caso scegliamo **Bidirezionale**.
1. Nel campo **Server d'inoltro condizionale**, inserisci l'indirizzo IP del server DNS autogestito. In questo esempio, inserire 172.16.10.153.
1. (Facoltativo) Scegli **Aggiungi un altro indirizzo IP** e inserisci un secondo indirizzo IP del proprio server DNS locale. È possibile specificare fino a un totale di quattro server DNS.
1. Scegliere **Aggiungi**.
Congratulazioni. Ora hai una relazione di trust tra il tuo dominio autogestito (corp.example.com) e il tuo Managed AWS Microsoft AD (AD.example.com). MyManaged È possibile configurare solo una relazione tra questi due domini. Se, ad esempio, si desidera modificare la direzione del trust in unidirezionale, sarebbe prima di tutto necessario eliminare questa relazione di trust esistente e crearne una nuova.
Per ulteriori informazioni, incluse le istruzioni sulla verifica o sull'eliminazione di trust, consultare [Creazione di una relazione di fiducia tra AWS Managed Microsoft AD e AD autogestito](ms_ad_setup_trust.md).