

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ステップ 2: 信頼の作成
<a name="microsoftadtruststep2"></a>

このセクションでは、2 つのフォレストの信頼を別々に作成します。1 つの信頼は EC2 インスタンスの Active Directory ドメインから作成され、もう 1 つの信頼は の AWS Managed Microsoft AD から作成されます AWS。

![\[corp.example.com と example.local の間の双方向の信頼\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/tutorialmicrosoftadtrust_twoway.png)


**EC2 ドメインから AWS Managed Microsoft AD への信頼を作成するには**

1. **example.local** にログインします。

1. **[Server Manager]** (サーバーマネージャー) を開き、コンソールツリーで **[DNS]** を選択します。表示されたサーバーの IPv4 アドレスを書き留めます。このアドレスは、次の手順で **corp.example.com** から **example.local** ディレクトリへの条件付きフォワーダーを作成する際に必要になります。

1. **[Tools]** (ツール) メニューで、**[Active Directory Domains and Trusts]** (Active Directory のドメインと信頼) を選択します。

1. コンソールツリーで、**[example.local]** を右クリックし、**[Properties]** (プロパティ) を選択します。

1. **[Trusts]** (信頼) タブで、**[New Trust]** (新しい信頼) を選択し、**[Next]** (次へ) を選択します。

1. **[Trust Name]** (信頼の名前) ページで、「**corp.example.com**」と入力し、**[Next]** (次へ) を選択します。

1. **[Trust Type]** (信頼のタイプ) ページで、**[Forest trust]** (フォレストの信頼) を選択し、**[Next]** (次へ) を選択します。
**注記**  
AWS Managed Microsoft AD は外部信頼もサポートしています。ただし、このチュートリアルは、双方向フォレストの信頼を作成することを目的とします。

1. **[Direction of Trust]** (信頼の方向) ページで、**[Two-way]** (双方向) を選択し、**[Next]** (次へ) を選択します。
**注記**  
後で一方向の信頼でこれを試す場合、信頼の方向が正しく設定されていることを確認します (信頼するドメインでの送信、信頼されたドメインでの受信)。一般的な情報については、Microsoft のウェブサイトで「[Understanding Trust Direction](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11))」を参照してください。

1. **[Sides of Trust]** (信頼のサイド) ページで、**[This domain only]** (このドメインのみ) を選択し、**[Next]** (次へ) を選択します。

1. **[Outgoing Trust Authentication Level]** (送信する信頼の認証レベル) ページで、**[Forest-wide authentication]** (フォレスト全体の認証) を選択し、**[Next]** (次へ) を選択します。
**注記**  
**[Selective authentication]** (選択的な認証) はオプションですが、このチュートリアルをシンプルにするため、ここでは有効にしないことをお勧めします。これを設定すると、外部またはフォレストの信頼を介したアクセスが、信頼されたドメインやフォレスト内のユーザーのみに制限されます。これらには、信頼するドメインやフォレストに存在するコンピュータオブジェクト (リソースコンピュータ) に対する認証のアクセス許可が明示的に付与されています。詳細については、「[Configuring Selective Authentication Settings](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10))」を参照してください。

1. **[Trust Password]** (信頼のパスワード) ページで、信頼のパスワードを 2 回入力し、**[Next]** (次へ) を選択します。この同じパスワードを次の手順でも使用します。

1. **[Trust Selections Complete]** (信頼の選択の完了) ページで結果を確認し、**[Next]** (次へ) を選択します。

1. **[Trust Creation Complete]** (信頼の作成の完了) ページで結果を確認し、**[Next]** (次へ) を選択します。

1. **[Confirm Outgoing Trust]** (送信する信頼の確認) ページで、**[No, do not confirm the outgoing trust]** (いいえ、送信の信頼を承認しません) を選択します。その後、**[Next]** (次へ) を選択します。

1. **[Confirm Incoming Trust]** (受信の信頼の確認) ページで、**[No, do not confirm the incoming trust]** (いいえ、受信の信頼を承認しません)を選択します。その後、**[Next]** (次へ) を選択します。

1. **[Completing the New Trust Wizard]** (新しい信頼ウィザードの完了) ページで、**[Finish]** (完了) を選択します。

**注記**  
信頼関係は AWS Managed Microsoft AD のグローバル機能です。[AWS Managed Microsoft AD のマルチリージョンレプリケーションを設定する](ms_ad_configure_multi_region_replication.md) を使用している場合、[プライマリリージョン](multi-region-global-primary-additional.md#multi-region-primary) で次の手順を実行する必要があります。変更した内容は、レプリケートされたすべてのリージョンで自動的に適用されます。詳細については、「[グローバル機能とリージョン機能](multi-region-global-region-features.md)」を参照してください。

**AWS Managed Microsoft AD から EC2 ドメインへの信頼を作成するには**

1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/) を開きます。

1. **[corp.example.com]** ディレクトリを選択します。

1. **[Directory details]** (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。
   + **[Multi-Region replication]** (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、プライマリリージョンを選択した上で、**[Networking & security]** (ネットワークとセキュリティ) タブを開きます。詳細については、「[プライマリリージョンと追加のリージョン](multi-region-global-primary-additional.md)」を参照してください。
   + **[Multi-Region replication]** (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。

1. **[Trust relationships]** (信頼関係) セクションで、**[Actions]** (アクション)、**[Add trust relationship]** (信頼関係の追加) の順に選択します。

1. **[Add a trust relationship]** (信頼関係の追加) ダイアログボックスで、次の操作を行います。
   + **[Trust type]** (信頼のタイプ) で、**[Forest trust]** (フォレストの信頼) を選択します。
**注記**  
ここで選択した**信頼タイプ**が、前の手順で設定したのと同じ信頼タイプと一致することを確認してください (EC2 ドメインから AWS Managed Microsoft AD への信頼を作成するには）。
   + **[Existing or new remote domain name]** (既存または新しいリモートのドメイン名) に、「**example.local**」と入力します。
   + **[Trust password]** (信頼のパスワード) に、前の手順で指定したものと同じパスワードを入力します。
   + **[Trust direction]** (信頼の方向) で、**[Two-way]** (双方向) を選択します。
**注記**  
後で一方向の信頼でこれを試す場合、信頼の方向が正しく設定されていることを確認します (信頼するドメインでの送信、信頼されたドメインでの受信)。一般的な情報については、Microsoft のウェブサイトで「[Understanding Trust Direction](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731404(v=ws.11))」を参照してください。
**[Selective authentication]** (選択的な認証) はオプションですが、このチュートリアルをシンプルにするため、ここでは有効にしないことをお勧めします。これを設定すると、外部またはフォレストの信頼を介したアクセスが、信頼されたドメインやフォレスト内のユーザーのみに制限されます。これらには、信頼するドメインやフォレストに存在するコンピュータオブジェクト (リソースコンピュータ) に対する認証のアクセス許可が明示的に付与されています。詳細については、「[Configuring Selective Authentication Settings](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc816580(v=ws.10))」を参照してください。
   + **[Conditional forwarder]** (条件付きフォワーダー) に、**example.local** フォレストでの DNS サーバーの IP アドレス (前の手順で書き留めたもの) を入力します。
**注記**  
条件付きフォワーダーは、クエリ内の DNS ドメイン名に従って DNS クエリを転送するためのネットワーク上の DNS サーバーです。例えば、widgets.example.com で終わる名前に関して受信したすべてのクエリを、特定の DNS サーバーや複数の DNS サーバーの IP アドレスに転送するように DNS サーバーを設定できます。

1. **[Add]** (追加) を選択します。