本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 第 2 步：准备你的 AWS 托管微软 AD
<a name="ms_ad_tutorial_setup_trust_prepare_mad"></a>

现在，让我们为你的 AWS 托管 Microsoft AD 做好建立信任关系的准备。以下许多步骤与刚才为自托管式域完成的步骤几乎相同。但是，这次你使用的是你的 AWS 托管 Microsoft AD。

## 配置 VPC 子网和安全组
<a name="tutorial_setup_trust_open_vpc"></a>

您必须允许流量从您的自行管理的网络流向包含您的 AWS 托管 Microsoft AD 的 VPC。为此，您需要确保与用于部署 AWS 托管 Microsoft AD 的子网 ACLs 关联以及域控制器上配置的安全组规则都允许支持信任所需的流量。

端口要求因域控制器使用的 Windows Server 版本和将利用信任的服务或应用程序而异。在本教程中，您将需要打开以下端口：

**入站**
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Kerberos 身份验证
+ UDP 123 - NTP 
+ TCP 135 - RPC 
+ TCP/UDP 389 - LDAP 
+ TCP/UDP 445 - SMB 
+ TCP/UDP 464 - Kerberos 身份验证
+ TCP 636 - LDAPS (通过 TLS/SSL 的 LDAP) 
+ TCP 3268-3269 – 全局目录 
+ TCP/UDP 49152-65535 – RPC 的临时端口

**注意**  
SMBv1 不再支持。

**出站**
+ ALL

**注意**  
这些是连接 VPC 和自托管式目录所需的最少端口。根据您的特定配置，您可能需要打开其他端口。

**配置你的 AWS 托管 Microsoft AD 域控制器出站和入站规则**

1. 返回到 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)。在目录列表中，记下你的 Microsoft AD AWS 托管目录的目录 ID。

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择**安全组**。

1. 使用搜索框搜索你的 AWS 托管 Microsoft AD 目录 ID。在搜索结果中，选择带 **AWS created security group for *yourdirectoryID* directory controllers** 描述的安全组。  
![\[在 Amazon VPC 控制台中，会突出显示目录控制器安全组的搜索结果。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/security-group-search.png)

1. 转到该安全组的 **Outbound Rules** 选项卡。选择**编辑出站规则**，然后选择**添加规则**。对于新规则，输入以下值：
   + **Type**：ALL Traffic
   + **Protocol**：ALL
   + **Destination** 确定可以离开您的域控制器的流量，以及它可以传送到何处。用 CIDR 表示法指定单个 IP 地址或 IP 地址范围 (例如 203.0.113.5/32)。您还可以指定同一区域中其他安全组的名称或 ID。有关更多信息，请参阅 [了解目录 AWS 的安全组配置并使用](ms_ad_best_practices.md#understandsecuritygroup)。

1. 选择**保存规则**。  
![\[在 Amazon VPC 控制台中，编辑目录控制器安全组的出站规则。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/editing-and-saving-rule.png)

## 确保已启用 Kerberos 预身份验证
<a name="tutorial_setup_trust_enable_kerberos_on_mad"></a>

现在，你要确认你的 AWS 托管 Microsoft AD 中的用户是否也启用了 Kerberos 预身份验证。此过程与针对自托管式目录完成的过程相同。这是默认设置，但是我们来检查一下以确保未更改任何内容。

**要查看用户 Kerberos 设置**

1. 使用域名或已被委派 AWS 管理域中用户的权限的账户，登录属于托管 Microsoft AD 目录成员的实例。[AWS 托管的 Microsoft AD 管理员账户和群组权限](ms_ad_getting_started_admin_account.md)

1. 如果尚未安装，请安装“Active Directory 用户和计算机”工具和 DNS 工具。可在[为托管的 Microsoft AD 安装活动目录 AWS 管理工具](ms_ad_install_ad_tools.md)中了解如何安装这些工具。

1. 打开服务器管理器。在 **Tools** 菜单上，选择 **Active Directory Users and Computers**。

1. 选择您的域中的 **Users** 文件夹。请注意，这是您的 NetBIOS 名称下的**用户**文件夹，而不是全限定域名 (FQDN) 下的**用户**文件夹。  
![\[在 Active Directory 用户和计算机对话框中，将突出显示 Users 文件夹。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/correct_users_folder.png)

1. 在用户列表中，右键单击一名用户，然后选择**属性**。

1.  选择 **Account** 选项卡。在 **Account options** 列表中，确保**未** 选中 *Do not require Kerberos preauthentication*。

**下一步**

[步骤 3：创建信任关系](ms_ad_tutorial_setup_trust_create.md)